Negli ultimi tempi, Google e Mozilla hanno lanciato le rispettive campagne di "bug bounty", ovvero due programmi di retribuzione dell'attività di ricerca e scoperta di vulnerabilità dei loro prodotti.Microsoft, per il momento, non condivide questo approccio e Feliciano Intini in NonSoloSecurity Blog si chiede se sia giusto pagare in denaro chi scopre le vulnerabilità.
Riporto qui alcune idee scaturite dalla discussione con Feliciano.
Si tratta di un interessante problema la cui soluzione credo sia ben lungi dall'essere individuata, ma é bene vedere che ci siano vari approcci che cercano di stimolare la ricerca di bachi per aumentare il grado di sicurezza delle applicazioni: anche in questo argomento si agisce per approssimazioni successive e non esiste una soluzione scritta nella pietra.
Il mercato sotterraneo degli exploit esiste da quando sono state scoperte le prime vulnerabilità: per contrastare questa tendenza, alcuni anni fa è stato sviluppato l'approccio dei "bug bounty programs" non solo dai produttori di software ma anche da società di sicurezza: iDefense, ZDI , iSight, SecuriTeam, Netragard, Wabisabilabi sono i nomi di alcune di esse (sebbene Wabisabilabi abbia chiuso le attività di vulnerability auction l'anno scorso).
Nonostante sia da alcuni anni che questo tipo di mercato ha una sua reale sostanza, è effettivamente ancora difficile trovare un prezzo equo in grado di definire il valore di una vulnerabilità.
Ma il punto non riguarda solo il prezzo, ma altri tipi di motivazione che spingono un hacker (nell'accezione corretta del termine, ovvero di colui che cerca, scova, mette le mani dentro, scopre, ecc) ad analizzare un'applicazione e a individuarne le vulnerabilità: tra queste ci sono (in ordine sparso e spesso in alternativa tra loro) certamente la soddisfazione del riconoscimento, la possibilità di trovare impiego come dipendente o consulente sulla sicurezza e, non ultima, la volontà di aiutare il prossimo ad essere più sicuro. Come dicevo prima, può darsi che un hacker sia spinto da tutti questi motivi o solo da alcuni di essi. Può anche darsi che cerchi vulnerabilità solo e unicamente per ottenerne un vantaggio economico. Si sa, il mondo é bello perché è vario.
Va da sè, comunque, che il denaro é un ottimo motivatore, per cui credo sia necessario un approccio duale, che costutuisca un bilanciamento tra la soddisfazione economica e il riconoscimento, e che eviti così pericolose derive verso il mercato nero.
Come dicevo prima, é arduo dare un valore corretto all'individuazione di una vulnerabilità, perchè esistono vari gradi di pericolosità, vari gradi di diffusione della vulnerabilità e vari gradi di semplicità di implementazione di exploit. E' interessante l'approccio di Google e Mozilla che hanno definito un valore di massima della vulnerabilità, che credo sia stato messo in opera per:
- dare una struttura a una attività sempre più diffusa;
- evitare le intermediazioni delle società sopra descritte;
- evitare pericolose derive verso il mercato nero.
Sebbene condivida i principi che hanno spinto Microsoft ad abbracciare il Coordinated Vulnerability Disclosure (CVD), mi lascia freddo il suo approccio di non retribuire chi trova una vulnerabilità: a questo punto, dal momento che ci sono società disposte a comprare le vulnerabilità e a renderle disponibili al produttore e al pubblico, perchè non fare un favore all'umanità guadagnandoci anche sopra
Io vedo il bug bounty non come uno strumento per liberalizzare, quanto invece per dare una regolamentazione a un mercato che potenzialmente si potrebbe liberalizzare con la conseguenza che ben dice Feliciano di "vederlo viziare dalle dinamiche tipiche indotte dalla legge della domanda e dell’offerta".
Il bug bounty è stato lanciato da organizzazioni e aziende con una discreta maturità per una presa di consapevolezza che l'approccio corretto è di seguire varie strade.
Penso quindi sia stato condiviso sia da Google sia da Mozilla che non è possibile escludere né gli intermediari che comprano le vulnerabilità, nè il mercato nero, nè il dover far fronte alla "full disclosure" in-the-wild, né il contatto diretto.
Il tema principale è la sicurezza degli utenti e il passo fatto da Microsoft abbracciando la CVD é sicuramente epocale perché costitusice un'apertura e un riconoscimento all'importanza della comunità dei ricercatori di sicurezza (non che prima non ci fosse, era solo di minore entità).
Io auspico che lo facciano anche gli altri, come auspico che anche MS introduca il bug bounty.
Per chi volesse avere qualche altra informazione sulle ricerche accademiche in questo campo consiglio la lettura di alcuni documenti pubblicati alcuni anni fa sull'argomento:
weis2007.econinfosec.org/papers/29.pdf
www.andyozment.com/papers/weis04-ozment-bugauc-slides.pdf
www.systemdynamics.org/conferences/2007/proceed/papers/RADIA352.pdf
Pacman
Nostradamus
Magical Cat Adventure
Snake