La fondazione GCSEC promuove l’iniziativa del Manifesto italiano di Coordinated Vulnerabilty Disclosure.
Il fronte delle minacce cyber risulta essere sempre più organizzato e sofisticato. Su forum e blog nel deep web, quotidianamente gli attaccanti si scambio informazioni su nuove tecniche di attacco, vulnerabilità, strumenti per sfruttarle, sistemi vulnerabili da attaccare. In taluni casi sono forniti su richiesta veri e propri servizi di attacco. Per rispondere a un tale scenario, le organizzazioni dovrebbero continuare ad alimentare le collaborazioni tra pubblico e privato ma iniziare anche a instaurare nuove forme di collaborazione con gli altri stakeholder della community della cyber security per usufruire della creatività e delle competenze collettive. In tale ambito, la fondazione GCSEC promuove l’iniziativa del Manifesto italiano di Coordinated Vulnerabilty Disclosure, meccanismo di cooperazione tra le organizzazioni e la comunità della sicurezza informatica per la scoperta ”coordinata” e ”responsabile” delle vulnerabilità tecnologiche. Tramite quest’approccio, un esperto del settore, comunemente definito reporter, potrà responsabilmente (rispettando i termini e le condizioni condivise e definite) riportare alle organizzazioni firmatarie del manifesto le vulnerabilità scoperte dando la possibilità alle organizzazioni di identificare e mitigare le vulnerabilità prima che possano essere sfruttate da terzi riducendo il rischio di compromissione. L’idea del manifesto italiano nasce dall’analoga iniziativa, avviata dalla multinazionale olandese Rabobank che offre servizi bancari e finanziari, e la piattaforma CIO, l’associazione indipendente dei CIO e responsabili IT delle organizzazioni pubbliche e private nei Paesi Bassi. Il Manifesto olandese il 12 maggio 2016 è stato sottoscritto da oltre trenta organizzazioni tra cui ABN AMRO, ENCS, Honeywell, ING, NS, NUON, NXP,Palo Alto Networks, Philips, PostNL, SAAB, SNS Bank, Stedin, Surfnet, Tennet, TNO e Vodafone.
Tale meccanismo non è attivo solo in Olanda ma è già adottato da anni da organizzazioni internazionali come Facebook, Nokia, Apple e Tesla Motors rafforzando il loro livello di sicurezza informatica, aumentando la fiducia dei clienti, riducendo al minimo le opportunità per i cyber criminali di sfruttare le vulnerabilità e dando l’opportunità agli esperti del settore di ottenere premi.
La «segnalazione responsabile della vulnerabilità» riguarda solo le vulnerabilità tecniche di sicurezza. Il «servizio» non può essere utilizzato per segnalare reclami relativi a frodi, alla qualità o disponibilità dei servizi, a casi di phishing. I cosiddetti ”reporter” possono testare le vulnerabilità esclusivamente rispettando le regole stabilite nella «politica di divulgazione coordinata delle vulnerabilità», pubblicato sul suo sito web dell’organizzazione, agendo in buona fede e impegnandosi a non causare alcun danno a dati, sistemi o servizi. Il reporter non sfrutta le vulnerabilità né divulga o condivide la scoperta con altri senza il consenso dell’organizzazione stessa (se gli viene concesso).
In cambio, l’organizzazione si impegna a non intraprendere azioni legali nei confronti del reporter, che ha scoperto e segnalato responsabilmente la vulnerabilità, e in taluni casi conferisce una ricompensa e/o il riconoscimento delle competenze. Il nome del reporter viene pubblicato sul cosiddetto ”hall of fame” contenente la lista di tutti i reporter che si sono distinti con la relativa classifica. Il punteggio viene assegnato in base alla tipologia delle vulnerabilità scoperte, alla loro numerosità e alla percentuale di vulnerabilità confermate dalle analisi interne di cui l’organizzazione non era a conoscenza. Solitamente, una volta identificata una nuova vulnerabilità, l’esperto invia all’organizzazione un report che include almeno la descrizione della vulnerabilità, le evidenze dell’avvenuto sfruttamento della stessa (es. screenshot, video, log e indirizzi IP, URL vulnerabili e parametri), le istruzioni per sfruttarla e le possibili remediation da implementare. Generalmente, le organizzazioni inviano un primo riscontro entro 2 o 3 giorni a seconda della complessità dell’analisi da effettuare. Alcune aziende, come GitHubSecurity, dichiarano di inviare una prima risposta entro le prime 24 ore. Il team di sicurezza dell’organizzazione convalida o meno la segnalazione ricevuta, invia al reporter l’accordo di riservatezza sulla vulnerabilità e risolve la vulnerabilità stessa. Se necessario, può chiedere al reporter di aggiornare l’analisi e di fornire ulteriori evidenze o informazioni. Durante tutto l’iter, il reporter è costantemente informato dello stato di avanzamento delle indagini, sottoscrive l’accordo di riservatezza e pubblica le vulnerabilità solo se autorizzato dall’organizzazione stessa. In alcuni casi, quando la remediation della vulnerabilità è troppo costosa, difficile o impossibile da realizzare, l’organizzazione potrebbe vietare la divulgazione della vulnerabilità.
E’ importante notare che il team di sicurezza dell’organizzazione o altri esperti potrebbero aver già individuato una serie di vulnerabilità. Per ottenere il premio, il reporter deve essere stato il primo a rilevarla rispettando le regole definite.
La tipologia e l’ammontare della ricompensa varia da caso a caso e dipende dal valore rappresentato dalla vulnerabilità scoperta per l’organizzazione. Ad esempio nel caso di Google, i premi per bug qualificati variano da $ 100 a $ 20.000 mentre per FCA da $ 150 a $ 1,500. Proprio FCA, Fiat-Chrysler Automotives, rappresenta un caso di recente adozione del modello – lo scorso luglio – ma che in breve tempo ha ottenuto grandi risultati. A oggi sulla pagina di Bugcrowd, piattaforma scelta da FCA, del ”hall the fame” è pubblicata la lista dei 197 reporter che si sono distinti segnalando importanti problematiche di sicurezza dei veicoli connessi di FCA, inclusi i sistemi interni, i servizi e le applicazioni esterne che interagiscono con loro. A oggi, in pochi mesi, sono stati assegnati già 54 premi, dimostrazione della rilevanza delle vulnerabilità scoperte. Bugcrowd (bugcrowd.com/fca), in particolare, è un portale, già utilizzato da molte altre realtà anche diverse tra loro (es. MasterCard, Aruba, Tesla Motors, Western Union, Sophos) sul quale i membri della community, esperti di sicurezza, possono segnalare le vulnerabilità riscontrate. Forse la più famosa piattaforma di bug bounty è Hackerone, un portale che mette in contatto più di 550 organizzazioni con la community di esperti in cyber security. Sono presenti su Hackerone ad esempio Dropbox, General Motors, Adobe, Dipartimento della Difesa Americano, Yahoo!, Twitter e Uber.
La fondazione GCSEC promuove il Manifesto italiano, una dichiarazione d’intenti in cui le organizzazioni sostengono il principio di divulgazione coordinata delle vulnerabilità e dichiarano di impegnarsi ad attuare le best practice concordate; inoltre sta analizzando le best practice internazionali per la stesura del framework di riferimento e la definizione di linee guida come punto di partenza di discussione per le organizzazioni italiane interessate a partecipare all’iniziativa.
È stata già presentata l’iniziativa a una pletora di rappresentanti delle infrastrutture critiche italiane con cui verranno effettuati gli approfondimenti sulla tematica cercando di includere anche la PA che sta definendo internamente una propria iniziativa.