Esiste una prassi, diffusa tra le aziende, denominata “Responsible Disclosure”, che definisce la metodologia da seguire quando si scopre una falla di sicurezza in un software. Vediamo meglio nel dettaglio in cosa consiste.
Che cos'è la "Responsible Disclosure"?
Spesso capita che ricercatori, hacker etici o chiunque utilizzi un software o un prodotto hardware possa imbattersi in un bug. Abbiamo assistito negli ultimi anni alla scoperta di diverse vulnerabilità nei processori, mentre da sempre leggiamo notizie inerenti all'individuazione di falle di sicurezza nei programmi. A volte ci si riferisce in maniera generica alla scoperta di bug, ma questi “difetti”, di progettazione o programmazione, possono essere innocui, come degli errori che avvengono quando si compie una determinata azione, o problemi ben più gravi nel caso di una vera e propria falla di sicurezza, la quale potrebbe essere usata da un eventuale malintenzionato per rubare dati o accedere a parti sensibili di un software o componente hardware. È chiaro che sul web esiste, in qualsiasi momento, qualcuno che non vede l’ora di poter sfruttare queste falle a proprio vantaggio, usandole per rubare dati o effettuare altre operazioni che possono creare dei danni.
Siccome non tutti coloro che scoprono queste falle sono, di base, degli hacker intenzionati a fare danni, ma molte volte si tratta di ricercatori, università o programmatori esperti che, di fatto, non sono pericolosi, è stata istituita una prassi il cui scopo è permettere alle aziende che sviluppano quel determinato software o componente di poter intervenire e risolvere il problema prima che sia troppo tardi, vale a dire prima che qualche hacker malevolo ne venga a conoscenza e le sfrutti a suo vantaggio.
https://www.youtube.com/watch?v=OLJEegnT6Ag&ab_channel=FerryLa “Responsible Disclosure”, che possiamo tradurre in “divulgazione responsabile”, prevede semplicemente che la persona che scopre una vulnerabilità contatti l'azienda produttrice di quel determinato software o componente hardware e attenda un certo lasso di tempo prima di renderla pubblica, il che più delle volte significa comunicarla al mondo di Internet tramite forum o altre piattaforme. Quando questa vulnerabilità viene rivelata, il software (o hardware) in realtà non è più a rischio, perché nel frattempo sarà stato aggiornato per eliminare il problema.
Questa “divulgazione responsabile” pone le sue basi sul sentimento di responsabilità sociale, cioè fa in modo di evitare che una propria scoperta possa essere usata da qualcuno per creare danni e quindi mettere in pericolo altri individui. Ovviamente questa etica sociale è più forte in alcune persone piuttosto che in altre, ma mediamente è quello che ricercatori o hacker etici dovrebbero fare. Il fatto di divulgare la vulnerabilità scoperta dopo che è stata risolta ha senso, dal punto di vista del ricercatore, per una questione di riconoscenza personale e, perché no, di bravura, che alla persona stessa potrebbe fare comodo, quindi è del tutto normale.
Non esistono delle procedure o dei tempi specifici da seguire nell’effettuare questa “Responsible Disclosure”: ogni azienda in realtà dovrebbe avere la propria prassi. È sufficiente fare una ricerca su Google con “Responsible Disclosure”, seguito dal nome dell’azienda, per accedere a pagine in cui viene spiegata la prassi, cioè tutte le informazioni relative a chi comunicare la vulnerabilità, in che modo e così via. Solitamente il tempo in cui questa scoperta deve rimanere segreta, per permettere all’azienda di risolvere il problema, varia da un mese a un anno, con una media tra i 90 e i 120 giorni.
Diverse aziende hanno all’attivo anche dei programmi di riconoscimento economico per chi rileva e comunica bug e vulnerabilità. In pratica, se scoprite una vulnerabilità, in base alla gravità e altri fattori, potreste ricevere in cambio un premio in denaro. Tuttavia, non dovrebbe essere questo il motore alle spalle della "divulgazione responsabile", che, come detto in precedenza, dovrebbe essere mossa da un senso civico.
Che cos'è la "Full Disclosure"?
Il contrario della Responsible Disclosure è la Full Disclosure, dove la vulnerabilità viene divulgata appena scoperta, senza avvisare l’azienda, e rischiando di lasciare che venga utilizzata per creare danni. Solitamente, è preferibile usare la Responsible Disclosure, anche se possono esserci delle situazioni in cui non è applicabile, come ad esempio quando è impossibile contattare l’azienda, e di conseguenza manca una vera e propria procedura, non si riceve una risposta da parte della società o quest'ultima comunica di non avere intenzione di procedere all'applicazione di una correzione. In questo caso è accettabile utilizzare meno cautela, come una sorta di messaggio forte da dare all’azienda per spingerla a risolvere il problema.