venerdì 24 maggio 2013

Sky e la gestione delle vulnerabilità

Sandro Sanna mi ha segnalato questo articolo di Panorama:
- http://mytech.panorama.it/sicurezza/bug-sito-sky-hacker?utm_source=feedburne
r&utm_medium=feed&utm_campaign=Feed%3A+FeedDiTuttiICanaliDiPanoramait+%28Pan
orama.it+-+Tutti+i+canali%29


In poche parole, tale Fabio Natalucci (in gergo, il "findeer") ha segnalato
una vulnerabilità a Sky. Sky ha poi negato e il Natalucci ne ha scritto
assai sul suo blog:
- http://www.fabionatalucci.it/la-bella-risposta-di-sky/
- http://www.fabionatalucci.it/per-sky-hackingsky/

Non che la notizia sia diversa da tante altre, ma mi ha fatto riflettere sul
fatto che sono in lavorazione i seguenti standard in merito al
"Vulnerability handling":
- ISO/IEC 29147 - Responsible vulnerability disclosure (fornisce linee guida
per la divulgazione delle potenziali vulnerabilità nei prodotti e servizi
online);
- ISO/IEC 30111 - Vulnerability handling processes (descrive i processi per
i vendor della gestione della segnalazioni di potenziali vulnerabilità nei
prodotti e nei servizi online).

Sono tutti e due in stato di DIS e se non ci sono intoppi dovrebbero essere
quindi pubblicati tra un anno circa.

Per quanto riguarda il caso in questione, cose che si dovrebbero fare ma non
sono state fatte:
- ogni fornitore di servizi o prodotti dovrebbe rendere disponibile un
canale sicuro attraverso cui comunicare le vulnerabilità e poi mettersi in
comunicazione con il "finder" se non comprende bene la natura della
segnalazione;
- il "finder" non dovrebbe mai rendere disponibile l'exploit, ma solo un
resoconto (per esempio sul modello dei Microsoft Buletin).

Si dice anche che il "finder" potrebbe comunicare la vulnerabilità ad un
CERT, ma sembra che in Italia continui a non esistere...

Nessun commento:

Posta un commento