Perchè la Responsible Disclosure funziona

Da qualche anno, il concetto di hacking etico ha iniziato a prendere una nuova forma, grazie a programmi di Bug Bounty, Responsable Disclosure e possibilità di segnalare vulnerabilità (ad alcuni enti) senza dover avere il timore di una denuncia per accesso abusivo ad un sistema informatico.

Come ben si è capito, essere sicuri al 100% non è possibile. Chiunque, dopo un Penetration Testing o un Vulnerability Assesments, assicuri un rischio di essere attaccati e vedersi violati i sistemi pari a zero, non ha capito ancora nulla di sicurezza informatica. Questo a causa di diversi motivi:

  • Un attaccante esterno potrebbe aver maggiore conoscenza di attacchi e vulnerabilità, basta vedere il recente caso di Hacking Team;
  • Un attaccante potrebbe avere un budget economico pressochè illimitato. Questo implica l’aver più attaccanti verso un unico target;
  • La riduzione delle vulnerabilità è un problema umano, mentre la riduzione del rischio no. Gli approcci basati sul rischio che preparano per eventi estremi sono focalizzati sull’acquisire informazioni probabilistiche sugli eventi stessi. Questo implica che non è possibile includere eventi estremi che, probabilisticamente, potrebbero avvenire.

Verizon DataBreach 2017

La soluzione, almeno da parte di multinazionali ed enti, è stata quella di affidarsi a programmi di Bug Bounty, in modo tale da ridurre la probabilità e la superficie di attacco, grazie a centinaia ( se non migliaia ) di ricercatori che, pressoché gratuitamente, sfidano le loro capacità e la capacità dell’infrastruttura di resistere agli attacchi, in cambio di ricompense, monetarie e non.

Oltre ad esserci diversi siti che ospitano programmi appositi, come Hackerone o Bugcrowd, dove vengono pubblicati quotidianamente report di vulnerabilità, alcuni poco rilevanti, altri potenzialmente devastanti, altri enti hanno deciso di avviare un programma per conto loro, come CERT-EUROPA, che pubblica i nomi e i contatti di chi ha segnalato potenziali vulnerabilità nella rete dello stesso.

Bacheca delle vulnerabilità segnalate su Hackerone

Recentemente mi ha sorpreso decisamente in positivo un azienda italiana (Telecom Italia) che ha deciso di aprire il proprio programma di Responsible Disclosure, permettendo la segnalazione di vulnerabilità identificate nella loro infrastruttura, aumentando di fatto la sicurezza della stessa, visto che in molti, nello scorso mese, sembra abbiano effettuato segnalazioni.

Tempo fa, si riportava che anche il Team per la Trasformazione Digitale era all’opera per un programma del genere , ne vedremo mai l’effettiva pubblicazione?

I miei complimenti vanno, per ora, alla Telecom e al team che gestisce le segnalazioni. In brevissimo tempo hanno gestito la mia e patchato la vulnerabilità segnalata. La mia speranza è ora quella di poter fare altri articoli con altre aziende o enti italiani che seguiranno la stessa strada.

Responsible Disclosure TIM

 

Hits: 550

Facebooktwitterredditlinkedintumblrmail

L’articolo Perchè la Responsible Disclosure funziona proviene da HackTips.

HackTips


Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? Possiamo aiutarti!

Contattaci subito per avere un aiuto immediato : dettagliaci tramite mail o Whatsapp che tipo di supporto ti occorre e ti invieremo un riscontro immediato!

Compila e invia il modulo qui sotto per inviarci subito una richiesta di supporto

Scrivi il tuo indirizzo email qui

Scrivi qui come possiamo aiutarti - ti supportiamo immediatamente per ogni tua esigenza!

chevron_left
chevron_right