Sicurezza, i confini della disclosure

Dove finisce la descrizione di un bug e dove iniziano i dettagli del codice proprietario che certe aziende vorrebbero restassero riservati? Due security company a confronto

Roma – Il mercato delle vulnerabilità vive un momento tumultuoso e il rapporto tra ricercatori e vittime di bug è sempre di più oggetto di dibattito, soprattutto dopo le prese di posizione pubbliche di Google e Microsoft in materia della trasparenza autimposta da programmi come Google Project Zero. Se è eticamente complesso tracciare un confine tra ciò che è giusto venga rivelato e ciò che è più responsabile sottacere, la security company FireEye, questa volta nel ruolo di vittima di una vulnerabilità, mostra di avere le idee chiare: a dimostrarlo, la battaglia mossa nei confronti della security company tedesca ERNW, che ha individuato i bug e avrebbe voluto renderli pubblici per il bene comune, a fini di studio.

Dalla presentazione di Wilhelm

L’azienda tedesca racconta nel proprio blog ufficiale di aver individuato delle falle nel pacchetto di software Malware Protection System di FireEye: i problemi erano stati segnalati nel mese di aprile alla security company statunitense, con la quale si era trovato un accordo per la disclosure dei problemi, prevista dopo i 90 giorni successivi e dopo il rilascio di patch correttive.

FireEye ha avuto modo di consultare i documenti che ERNW aveva preparato per la comunicazione pubblica del proprio operato di ricerca, e ha ritenuto che si spingessero troppo oltre: “Dal punto di vista di FireEye – spiega il fondatore di ERNW – contenevano troppi dettagli tecnici riguardo al funzionamento di MPS, entravano in dettagli non necessari per descrivere le vulnerabilità e, ancora peggio, avrebbero garantito informazioni ai malintenzionati”.
Nonostante la security company tedesca ritenesse di aver reso pubbliche le sole informazioni necessarie a comprendere il funzionamento dei bug, aveva accettato di rimuovere i tecnicismi che impensierivano FireEye, e aveva altresì accettato di rimandare la disclosure: all’inizio del mese di agosto un incontro faccia a faccia fra i vertici delle due aziende sembrava aver suggellato la versione definitiva del documento da poter diffondere , spiega ERNW.

La versione di FireEye è evidentemente diversa: non era trascorso nemmeno un giorno dall’incontro quando l’azienda tedesca ha ricevuto una comunicazione legale che, sulla base di presunte violazioni di proprietà intellettuale , diffidava ERNW dal diffondere informazioni relative al contesto della vulnerabilità. A questa prima diffida informale è seguita una ingiunzione del tribunale di Amburgo, che ha costretto ERNW a emendare la presentazione .

Dalla presentazione di Wilhelm

Il ricercatore Felix Wilhelm ha illustrato in pubblico le vulnerabilità nei giorni scorsi, in occasione della conferenza londinese 44CON: le slide del suo intervento, disseminate di espliciti riferimenti alla “censura” operata sulle informazioni, premettevano l’ incompletezza della propria relazione , da cui certi dettagli utili a comprendere la natura delle vulnerabilità sono stati omessi per via dei procedimenti legali in corso.
“Si sta comprimendo non solo la libertà di espressione ma anche la possibilità di avvertire e informare gli utenti, molti dei quali hanno partecipato all’evento – ha lamentato Steve Lord, fra gli organizzatori dell’evento – trovo bizzarra, assurda e non professionale la loro reazione alla ricerca”.

FireEye ha fornito la propria replica, assicurando che non sia intenzione dell’azienda ostacolare la disclosure delle vulnerabilità: “Non volevamo che venissero rese pubbliche alcune delle informazioni proprietarie che potrebbero mettere a rischio le nostre attività e i nostri utenti”.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Uqbar scrive:
    Ah!
    E cosa risolverebbe il dominio?Marketing? FUD? False speranze?Mah!
  • Nome e cognome scrive:
    Io non uso Tor
    ... perchè sono talmente scemo che neanche so come si fa.
  • Fabio Aloisio scrive:
    Con l'imodium la diarrea mi è passata
    GALERA BASTONATE E CALCI IN XXXX A CHI USA TORRRR !!!E' COLPA VOSTRA SE HO UN PENE DI SOLI 10 CM, XXXXXXXX!
  • Fabio Aloisio scrive:
    Ho passato i 40 anni, ancora vergine...
    GALERA A CHI USA TORRRRR!
    • ... scrive:
      Re: Ho passato i 40 anni, ancora vergine...
      - Scritto da: Fabio Aloisio
      GALERA A CHI USA TORRRRR![img]http://i.imgur.com/EWeacqI.jpg[/img]
  • Fabio Aloisio scrive:
    Ho la diarrea
    Comunque adesso prendo un po' di imodium e sono a posto.
  • Fabio Aloisio scrive:
    ...
    Tor va abolito per il bene dell'umanità perchè serve ai criminali di tutte le risme per fare i loro sporchi affari!
  • utonto scrive:
    ???
    Ma cos'è tor? C'entra col calcio? (newbie)
    • hhhh scrive:
      Re: ???
      - Scritto da: utonto
      Ma cos'è tor? C'entra col calcio? (newbie)Sì, è dove vanno i medici del calcio a comprare la roba da somministrare
      • utonto scrive:
        Re: ???
        - Scritto da: hhhh
        - Scritto da: utonto

        Ma cos'è tor? C'entra col calcio? (newbie)

        Sì, è dove vanno i medici del calcio a comprare
        la roba da
        somministrareMo non ho capito? (newbie)
  • Nome e cognome scrive:
    Io non ho nulla da nascondere
    Perchè sono un XXXXXXXX. Mi sono sempre appecoronato al gregge, da bambino facevo la spia per la maestra, ho sempre votato chi difende il padrone accodandomi alla moda del momento (berlusconi, lega, l'anno scorso renzi), speravo di essere in qualche modo ricompensato e invece mi ritrovo con un XXXXX di stipendio da impiegatuccio e in un appartamento dimXXXXX.Però almeno mica sono l'unico!
    • Fabio Aloisio scrive:
      Re: Io non ho nulla da nascondere
      - Scritto da: Nome e cognome
      Perchè sono un XXXXXXXX. Mi sono sempre
      appecoronato al gregge, da bambino facevo la spia
      per la maestra, ho sempre votato chi difende il
      padrone accodandomi alla moda del momento
      (berlusconi, lega, l'anno scorso renzi), speravo
      di essere in qualche modo ricompensato e invece
      mi ritrovo con un XXXXX di stipendio da
      impiegatuccio e in un appartamento
      dimXXXXX.

      Però almeno mica sono l'unico!Bravo, anch'io, uguale! Siamo tutti XXXXXXXX e fieri di esserlo!!!
    • ... scrive:
      Re: Io non ho nulla da nascondere
      - Scritto da: Nome e cognome
      Perchè sono un XXXXXXXX. Mi sono sempre
      appecoronato al gregge, da bambino facevo la spia
      per la maestra, ho sempre votato chi difende il
      padrone accodandomi alla moda del momento
      (berlusconi, lega, l'anno scorso renzi), speravo
      di essere in qualche modo ricompensato e invece
      mi ritrovo con un XXXXX di stipendio da
      impiegatuccio e in un appartamento
      dimXXXXX.

      Però almeno mica sono l'unico![yt]Bt_kR7u6mM4[/yt]
  • bubba scrive:
    la spiegazione e' chiara
    dall'articolo non avevo capito bene che servisse questa stramberia... ma leggendo la m/l...(...)4) A certificate would permit service providers to remove their anonymity while preserving the anonymity of their clients5) Continued use of certs for .onion is important for companies like Facebook(...)serve alle AZIENDE che, per qualche motivo, si vogliono far riconoscere/essere trusted, (ANCHE) dentro la darknet. Il "ANCHE" e' necessario in quanto il cert viene dato dai soliti, e devi essere autenticabile e pagante "da fuori"Cio' ci porta a una bega collaterale, fastidiosa per FB appunto, e cosi' verra' sanata. FB aveva gia' ottenuto un cert per il suo .onion. Questo e' "normale" perche' le CA consentono di emettere cert per domain o ip non routabili. "sfortunatamente" cio' e' deprecabile da qualche anno e, pare, verra' proibito a fine anno..... quindi senza questo mod, FB avrebbe avuto problemi... :P(lateral rant: ma perche' diamine uno dovrebbe comprare un certificato verificabile su internet per un TLD inesistente (www.azienda.athome ) che ha senso solo in casa tua? Non potresti mettere una CA in casa e/o generare un selfsigned? RISPOSTA : si potrei, ma e' faticoso gestire i client e i miei utenti-bonobo hanno paura ad accettare i selfcert, allora compro della roba che non-ha-senso su internet, per evitare la fatica)Probabilmente cio' generera' anche alcuni strani effetti collaterali "fuori", visto che prima tentare di risolvere un .onion ti veniva sparato un NX DOMAIN... ma ora ..?(il link riportato dice una roba UN BEL PO' vaga : "Now, after the IETF and IANA's decision gets implemented in software products, computers will now ignore Web queries to a .onion domain, and forward users directly to their local Tor software without sending a blind DNS query over the Internet." . vedremo. )
    • ... scrive:
      Re: la spiegazione e' chiara
      ah beh si beh...
    • Gioco a nascondino scrive:
      Re: la spiegazione e' chiara
      - Scritto da: bubba
      (il link riportato dice una roba UN BEL PO' vaga
      : "Now, after the IETF and IANA's decision gets
      implemented in software products, computers will
      now ignore Web queries to a .onion domain, and
      forward users directly to their local Tor
      software without sending a blind DNS query over
      the Internet." . vedremo.Vedere che? Se stai usando un browser qualunque senza Tor e provi ad accedere ad un dominio .onion sei un XXXXXXXX, se invece stai dentro Tor (per esempio con il TBB) il DNS resolving verrà fatto tramite la rete Tor stessa, come ora, e come documentato nel protocollo e verificabile nel codice sorgente pubblico del TBB. Non vedo problemi.
  • Ingenuo scrive:
    Spieghiamioci meglio
    Quello che c'è scritto in questo articolo è abbastanza fuorviante e a tratti impreciso.TOR è in sostanza un PROXY a cui si collega il browser e ultimamente è stato integrato nel browser TOR stesso per cui non è più necessario lanciare Vidalia e compagnia.Quando il browser è proxato, ogni richiesta ai DNS passa dal proxy (anche quelle non sulla darknet), altrimenti l'anonimato va a farsi friggere, quindi sono i nodi esterni che fanno le richieste, come è giusto che sia e continuerà ad essere così per fortuna.Per quanto riguarda i domini .ONION poi, questi NON SONO MAI USCITI in nessun modo dalla Darknet, anche perché i DNS normali li ignorano, ma sono gestiti internamente e non ci sono nodi di uscita coinvolti.Se quindi dite che .onion è stato aggiunto ai domini locali è un bene perchè così usando un .onion da un browser "normale" non proxato, il browser rifiuterà la richiesta, invece di inviare al DNS una richiesta che sarebbe rifiutata ma comunque probabilmente registrata.Ma è tutto lì non c'è niente di più di prima riguardo la sicurezza degli utenti che usano propriamente TOR sulla giusta rete.
    • ... scrive:
      Re: Spieghiamioci meglio
      - Scritto da: Ingenuo
      Quello che c'è scritto in questo articolo è
      abbastanza fuorviante e a tratti
      impreciso.alfoso copia, traduce e pubblica. la verifica della precisione del testo non fa parte dei suoi compiti (di nessuno in PI, ad essere precisi).
  • hhhh scrive:
    cioè?
    ora si potranno dirottare i domini onion sulla clearnet?E questo sarebbe più sicuro (certificati a parte)? Stessa cosa per localhost: uno mappa le connessioni che non vuole far uscire su localhost, ma questi fanno in modo che un DNS le risolva cosicchè ciò che è privato esce fuori dal PC?Avrò capito male io...
    • Ciccio... un altro scrive:
      Re: cioè?
      - Scritto da: hhhh
      ora si potranno dirottare i domini onion sulla
      clearnet?
      E questo sarebbe più sicuro (certificati a
      parte)?


      Stessa cosa per localhost: uno mappa le
      connessioni che non vuole far uscire su
      localhost, ma questi fanno in modo che un DNS le
      risolva cosicchè ciò che è privato esce fuori dal
      PC?

      Avrò capito male io...A me PARE DI CAPIRE che la cosa serva affinché i browser considerino i domini .onion "speciali" e NON inviino richieste ai server DNS "normali" per la risoluzione di quegli indirizzi. Questo per evitare che la tua navigazione in TOR lasci questo tipo di tracce (richieste di risoluzione DNS) sulla rete "in chiaro".SE ho capito bene... Tieni conto che non so bene come funzioni TOR, non so come venga gestita la risoluzione DNS al suo interno (immagino che ci sia un "client" TOR, che richiamerà dei propri server DNS, ma non lo so)...
      • hhhh scrive:
        Re: cioè?
        - Scritto da: Ciccio... un altro
        A me PARE DI CAPIRE che la cosa serva affinché i
        browser considerino i domini .onion "speciali" e
        NON inviino richieste ai server DNS "normali" per
        la risoluzione di quegli indirizzi. mhhhh.. è ragionevole, ma suppongo che i browser distribuiti in bundle con TOR siano già modificati per agire così.Però se fosse come dici ci sta, perché aumenterebbe la sicurezza delle soluzioni intermedie (browser standard non moddato + tor). Mi aspetto comunque un bug in questo giro, che permetterà di far risolvere gli onion al DNS pubblico e sgamare così tutti i navigatori drogati ;)
        • Ciccio... un altro scrive:
          Re: cioè?
          - Scritto da: hhhh
          Mi aspetto comunque un bug in questo giro, che
          permetterà di far risolvere gli onion al DNS
          pubblico e sgamare così tutti i navigatori
          drogati
          ;)Chi lo sa, forse ad ogni richiesta di acXXXXX ad uno di questi domini speciali, il browser farà partire automaticamente una bella email diretta all'FBI (negli ultimi anni si sente parlare sempre di NSA... fatemi citare la cara vecchia FBI che andava di moda nei telefilm degli anni 90). ^_^
          • Ciccia scrive:
            Re: cioè?
            Non è necessaria l'email.Ci pensa il gestore dei certificati SSL a registrare sul proprio server tutte le richieste HTTP e a metterle a disposizione delle autorità.
          • Fabio Aloisio scrive:
            Re: cioè?
            E mi pare anche giusto che vengano messe a disposizione dell'Autorità. Perchè tu cos'hai da nascondere?
          • hhhh scrive:
            Re: cioè?
            - Scritto da: Fabio Aloisio
            E mi pare anche giusto che vengano messe a
            disposizione dell'Autorità.in ogni caso non accade così, si usano i certificati locali per validare.Se fosse così facile la sicurezza di TOR sarebbe una barzelletta (che poi per me lo è, ma non in modo così ovvio e spudorato).
            Perchè tu cos'hai da nascondere?io niente, infatti vivo in una casa con pareti trasparenti.
          • Gioco a nascondino scrive:
            Re: cioè?
            - Scritto da: hhhh
            - Scritto da: Fabio Aloisio

            E mi pare anche giusto che vengano messe a

            disposizione dell'Autorità.

            in ogni caso non accade così, si usano i
            certificati locali per
            validare.
            Se fosse così facile la sicurezza di TOR sarebbe
            una barzelletta (che poi per me lo è, ma non in
            modo così ovvio e
            spudorato).Allo stato attuale non risulta che il PROTOCOLLO usato da Tor sia mai stato bucato. TUTTI i casi di indagini su Tor (silkroad 1&2, ecc...) si basavano o su utenti che lasciavano attivo javascript, oppure falle nel browser (e non in Tor), oppure ancora errate configurazioni dei webservers su cui girava l'onion service, o ancora le buone vecchie indagini sui trasporti fisici delle merci illegali vendute tramite Tor.Non c'è una sola indagine in cui sia stata documentato l'uso di una falla in Tor in quanto tale.
          • ... scrive:
            Re: cioè?
            - Scritto da: Fabio Aloisio
            E mi pare anche giusto che vengano messe a
            disposizione dell'Autorità.

            Perchè tu cos'hai da nascondere?eh no, o ti firmi "nome e cognome", "Voice of Raison" o io a questo gioco non ci sto'!
          • Gioco a nascondino scrive:
            Re: cioè?
            - Scritto da: Fabio Aloisio
            E mi pare anche giusto che vengano messe a
            disposizione dell'Autorità.

            Perchè tu cos'hai da nascondere?Il classico della serie: "Io non ho nulla da nascondere". Per forza, sei un povero XXXXXXXX!
          • Gioco a nascondino scrive:
            Re: cioè?
            - Scritto da: Ciccio... un altro
            - Scritto da: hhhh


            Mi aspetto comunque un bug in questo giro, che

            permetterà di far risolvere gli onion al DNS

            pubblico e sgamare così tutti i navigatori

            drogati

            ;)

            Chi lo sa, forse ad ogni richiesta di acXXXXX ad
            uno di questi domini speciali, il browser farà
            partire automaticamente una bella email diretta
            all'FBI (negli ultimi anni si sente parlare
            sempre di NSA... fatemi citare la cara vecchia
            FBI che andava di moda nei telefilm degli anni
            90).
            ^_^Acclarato che sia tu, sia il tizio a cui rispondi non avete la più vaga idea di come funzioni il DNS resolving in Tor, forse sarebbe il caso che taceste, no? P.S.: no, non chiedetemi di spiegarvelo, non aiuto il prossimo aggratis. Se vi va leggetevi le specifiche protocollo.
          • hhhh scrive:
            Re: cioè?
            - Scritto da: Gioco a nascondino
            Acclarato che sia tu, sia il tizio a cui rispondi
            non avete la più vaga idea di come funzioni il
            DNS resolving in TorNon c'entra un piffero come funziona il DNS in TOR.L'articolo parla di domini onion (e tanti altri), il fatto che alcuni di questi domini funzionino solo dentro TOR è solo incidentale.
Chiudi i commenti