I saggi su SecLab

Svelare o non svelare?

SecLab n° 5, maggio 2003

Il problema è vecchio, molto più di quanto non si pensi. E come tutti i problemi molto vecchi non ha una soluzione definitiva e soddisfacente: tanto è vero che di tanto in tanto, dopo periodi più o meno lunghi di quiescenza, torna alla ribalta dell’attualità grazie al "solito" casus belli, non mancando ogni volta di sollevare un nuovo polverone di polemiche e dibattiti.

Il problema è semplicemente quello della disclosure, come dicono gli anglosassoni con ammirevole sintesi linguistica; o, come diremmo noi con un giro di parole, del fatto se sia giusto o no rendere pubbliche le vulnerabilità dei sistemi una volta che queste siano state scoperte ed accertate.

Il problema, dicevo, è sorprendentemente antico, tanto che il conseguente dibattito era già molto caldo ben prima che il computer venisse persino concepito. Uno dei primi "casi" si verificò In Inghilterra verso la metà del XIX secolo, in seguito alla pubblicazione di un libro ("Rudimentary Treatise on the Construction of Locks", Charles Tomlinson, 1853) che illustrava tra l’altro le tecniche utilizzate dai ladri per aprire le serrature e i lucchetti dei tipi comunemente diffusi all’epoca. L’autore sapeva che sarebbe stato accusato da qualcuno di incauta divulgazione di informazioni "dannose alla comunità"; e si difese nella prefazione stessa del suo libro, sostenendo con forza la tesi che, proprio per il bene della comunità, certe informazioni dovrebbero essere rese pubbliche e non mantenute segrete.

Oggi, esattamente centocinquant’anni dopo, ci troviamo più o meno nella stessa condizione: di fronte all’escalation di attacchi ai sistemi informativi di mezzo mondo, portati avanti quasi esclusivamente sfruttando le vulnerabilità dei software più diffusi, ci poniamo il problema se sia giusto divulgare le informazioni su tali vulnerabilità, e quale sia il modo più corretto di farlo.

Certamente nessuno vuole aiutare i "cattivi" dando loro più informazioni di quelle che magari già hanno; ma d’altronde nella maggioranza dei casi chi attacca ne sa più di chi si difende, o almeno ha dalla sua parte un certo vantaggio temporale: e quindi la tempestiva pubblicazione di una nuova vulnerabilità non dovrebbe aiutare così tanto i malintenzionati, mentre potrebbe dare un minimo di chanche in più agli utilizzatori onesti. Su questo punto generale più o meno si è tutti d’accordo. Il problema però non è risolto, ha solo cambiato aspetto, trasformandosi in questa variante: una volta scoperta una nuova vulnerabilità, e ammesso di averla subito comunicata al produttore del software incriminato affinché lo corregga, quanto tempo occorre aspettare prima di renderla pubblica? E con che dettaglio tecnico è opportuno effettuare la comunicazione?

Su questi punti non c’è largo consenso. Sinora la convenzione seguita più o meno da tutta la comunità degli esperti di sicurezza stabiliva che prima della divulgazione pubblica di una nuova vulnerabilità occorresse attendere che il produttore avesse emesso una patch correttiva, e che la descrizione dovesse dare informazioni abbastanza indicative del problema ma non tali da consentire ad altri di sfruttare la vulnerabilità identificata. Peraltro queste sono appunto convenzioni, e più volte sono state infrante in passato per vari motivi.

Ultimamente però le cose si sono fatte più complesse: da un lato il CERT, oramai due anni fa, ha stabilito di restringere ulteriormente le regole, limitando sensibilmente la divulgazione di nuove vulnerabilità; dall’altra proprio lo stesso CERT, poche settimane fa, è rimasto vittima di un hacker che, tramite la lista di discussione Full Disclosure, ha provveduto a divulgare informazioni precise e dettagliate su alcune vulnerabilità alle quali il CERT stava lavorando in forma riservata e che non dovevano essere ancora rese pubbliche. Ciò ha riaperto il dibattito generale sul problema della divulgazione, anche e soprattutto perché l’autore anonimo di questi messaggi, che si firma Hack4Life, ha dichiarato esplicitamente di... lavorare per i cattivi! In uno dei suoi messaggi accompagnatori, infatti, egli informa che rilascerà i suoi prossimi messaggi contenenti la descrizione di nuove vulnerabilità alle sette di ogni venerdì sera, per dare modo agli hacker di lavorarci su durante il weekend avvantaggiandosi così rispetto ai difensori che potranno agire solo il successivo lunedì mattina. Egli afferma inoltre che molti sembrano aver dimenticato come la divulgazione delle vulnerabilità non serva ad aiutare gli amministratori di sistema ma gli hacker, che sono coloro i quali dovrebbero sfruttarle realmente.

Il moderatore di Full Disclosure si è rifiutato di cancellare i messaggi di Hack4Life dalla lista, come gli aveva invece chiesto il CERT, perché oramai le informazioni in essi contenute erano da considerarsi di dominio pubblico, ed anche perché la filosofia della lista è proprio quella della "divulgazione a tutti i costi", come unico mezzo per aiutare la comunità (dei buoni, questa volta...) a progredire. Tanto è bastato per far gridare allo scandalo mass-media e benpensanti, e riaprire un dibattito tutto sommato sterile ed infinito.

Ritorna così alla mente il buon Tomlinson che, un secolo e mezzo fa, si preoccupava dei rischi e dei vantaggi connessi alla divulgazione delle vulnerabilità delle serrature. Nihil novi sub sole dicevano gli antichi, ed avevano ragione. Riletta oggi, la prefazione del libro di Tomlinson è di stupefacente attualità, e sembra quasi il commento ideale per l’episodio appena accaduto: "Negli ultimi uno o due anni è sorto il dubbio, di natura commerciale ma per certi versi anche sociale, se sia giusto discutere così pubblicamente della sicurezza o insicurezza delle serrature. Molte persone di buon senso pensano che la discussione sui modi di farsi beffe della presunta protezione offerta dalle chiusure costituisca un premio alla disonestà, in quanto mostra agli altri come essere disonesti. Ciò tuttavia è errato. Gli scassinatori sono generalmente piuttosto esperti nella loro professione, e conoscono già molto più di quanto potremmo insegnare loro in merito alle diverse tecniche di scassinamento. Gli scassinatori sapevano un sacco di cose riguardo alla forzature delle serrature ben prima che i fabbri cominciassero a discuterne tra loro, cosa che è avvenuta piuttosto di recente. Se una serratura, costruita da chiunque in qualsiasi paese, non è così inviolabile come si pensa che sia, è certamente interesse delle persone oneste saperlo, in quanto è ragionevolmente certo che i disonesti saranno i primi ad applicare nella pratica tale conoscenza; e la diffusione della conoscenza è necessaria per consentire a coloro che potrebbero essere danneggiati da questa ignoranza di combattere ad armi pari. [...] Solo una visione limitata e di parte della questione può portare all’opinione che ne possa derivare danno: e se vi dovesse essere danno, esso sarà molto più che controbilanciato dal bene."

Saggio pubblicato su SecLab n° 5, anno I, del 19 maggio 2003
Copyright © 2003, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 4 settembre 2006
Visitatori dal 6 maggio 2003: 23,328

Torna alla Pagina dei saggi sulla newsletter SecLab
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi