Appunti Vulnerabilità

INDICE

Vulnerabilità

Politiche di divulgazione della vulnerabilità

Divulgazione coordinata

Divulgazione totale

Non divulgazione

Zero-day vulnerability

Bug bounty

Patching

Patch Management

Vulnerabilità

Una vulnerabilità informatica può essere intesa come una componente di un sistema informatico, in corrispondenza alla quale le misure di sicurezza sono assenti, ridotte o compromesse.

Alcuni errori software introducono vulnerabilità nella sicurezza: una vulnerabilità è sconosciuta finché non la scopre qualcuno e può essere diffusa.

Livelli del rischio durante l'evoluzione della conoscenza di una vulnerabilità e delle patch.

Una vulnerabilità segue le seguenti fasi:

1. Una vulnerabilità di sicurezza viene scoperta: il rischio non è più nullo.
2. La vulnerabilità viene resa pubblica: si ha un altro aumento del livello di rischio, il quale raggiunge il suo picco massimo.
3. ...

La vulnerabilità è conosciuta dal vendor: il rischio inizia a scendere. 4. Il vendor notifica i suoi clienti (non sempre) 5. I tool di sicurezza vengono aggiornati 6. La patch viene pubblicata 7. L'esistenza della patch è ampiamente conosciuta: il pericolo della vulnerabilità scende realmente quando quasi tutti sono a conoscenza della patch. 8. La patch è installata in tutti i sistemi affetti: il rischio è zero quando tutti hanno installato la correzione (di solito non succede mai). 12. Vulnerabilità 2 La window of exposion è il periodo di tempo che intercorre tra la prima volta che una vulnerabilità diventa attiva e quando il numero di sistemi vulnerabili si riduce fino a diventare insignificante. Politiche di divulgazione della vulnerabilità Le persone coinvolte nella ricerca delle vulnerabilità hanno le loro politiche, formate da varie motivazioni: la discussione è stata concentrata sulla diffusione di

Una vulnerabilità può essere gestita in modo coordinato, totale o assente.

Divulgazione coordinata

I sostenitori della divulgazione coordinata credono che i produttori di software abbiano il diritto di controllare le informazioni sulle vulnerabilità che riguardano i loro prodotti. Il principio cardine di questa politica è che nessuno debba essere informato riguardo alla vulnerabilità fino a quando il produttore stesso non concede il permesso.

Diversi professionisti del settore discutono che l'utente finale non possa beneficiare dell'accesso alle informazioni sulle vulnerabilità senza istruzioni o patch da parte del produttore del software, poiché i rischi di condividere ricerche con persone malintenzionate è troppo elevato per così pochi benefici.

Divulgazione totale

La divulgazione totale è la politica di pubblicare informazioni sulle vulnerabilità il prima possibile e senza omettere dettagli, rendendo l'informazione accessibile

Al mondo intero senza alcuna restrizione. I sostenitori di questa pratica credono che i benefici della libera disponibilità delle ricerche siano maggiori dei rischi, mentre gli avversari preferiscono la distribuzione limitata.

Ci sono alcuni problemi fondamentali della divulgazione coordinata che possono essere risolti con la piena divulgazione:

• Se i clienti non conoscono le vulnerabilità, non possono richiedere le patch e i venditori non hanno nessun incentivo economico per correggere la vulnerabilità.
• Gli amministratori di sistema non possono prendere decisioni informate riguardo al rischio nei loro sistemi, poiché le informazioni hanno accesso limitato.
• I malintenzionati che conoscono la falla hanno un lungo periodo di tempo per continuare a sfruttarla.

Non ci sono delle vie standard per rendere le informazioni sulle vulnerabilità disponibili al pubblico: i ricercatori spesso usano delle mailing list dedicate per l'argomento.

Relazioni accademiche o conferenze industriali.

La non divulgazione è il principio secondo il quale nessuna informazione riguardo alle vulnerabilità debba essere condivisa, oppure condivisa sotto un accordo di non divulgazione.

La non divulgazione è tipicamente usata quando un ricercatore intende:

• Usare la conoscenza di una vulnerabilità per attaccare un sistema informatico gestito dai suoi nemici.
• Scambiare le informazioni con una terza parte in cambio di denaro, la quale tipicamente la sfrutta per attaccare i suoi nemici.

Zero-day vulnerability è una qualsiasi vulnerabilità di sicurezza informatica non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico: viene scoperta ma non resa pubblica.

Vengono chiamati 0-day proprio perché sono passati zero giorni da quando la vulnerabilità è stata conosciuta dallo sviluppatore e quindi lo sviluppatore ha avuto "zero giorni".

per riparare la falla nel programma prima che qualcuno possa scrivere un exploit per essa. Normalmente si parla di 0-day riferendosi ad essi come attività dolose compiute da cracker che si adoperano per trovarle proprio con l'intenzione di guadagnarsi un accesso abusivo ad un sistema informatico vulnerabile. Con le vulnerabilità normali, il venditore software è a conoscenza della vulnerabilità e ha il tempo di pubblicare una patch di sicurezza prima che un hacker abbia avuto il tempo di creare un exploit funzionante. Per gli exploit 0-day, l'exploit diventa attivo prima che una patch sia stata resa disponibile. Non divulgando le vulnerabilità note, un distributore di software spera di raggiungere lo stato in cui la maggior parte dei sistemi abbia applicato la patch prima che l'exploit diventi attivo. 12. Vulnerabilità 4 Bug bounty Un programma bug bounty è un accordo proposto da numerosi siti Internet e sviluppatori software grazie.

al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.

Questi programmi permettono agli sviluppatori di scoprire e risolvere tali bug prima che siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto.

Patching è il processo che indica una porzione di software progettata per aggiornare o migliorare un programma includendo la risoluzione di vulnerabilità di sicurezza e altri bug generici. Il termine patch è solitamente associato a un piccolo aggiornamento.

Esistono diversi tipi di patch: quella finalizzata alla correzione delle vulnerabilità si dice patch di sicurezza.

Il patching è un costo esterno senza nessun valore e ricavo per il produttore.

Patch Management è un sottoproblema del configuration management: fare una patch o no dipende dal rischio che c'è nell'applicare al sistema la

Patch in confronto al rischio che c'è nel non applicarla, eventualmente lasciando punti vulnerabili e valutando cosa si rischia non patchando il sistema. Questa valutazione è difficile da fare a priori e spesso deve essere effettuata all'interno di una metodologia ben chiara e ben pianificata.

La produzione di una patch comprende varie fasi:

1. Definizione di una baseline: bisogna avere chiaro com'è il sistema attualmente.
2. Creare un ambiente di test: l'ambiente di test deve essere diverso dall'ambiente di produzione.
3. Avere un piano di backup, salvando le configurazioni attuali prima di applicare la patch. Bisogna sapere cosa fare se la patch causa problemi: bisogna essere preparati.

Vulnerabilità 5