TIM e la responsible disclosure

La sicurezza informatica in Italia (ma non solamente in Italia) è ancora un tasto dolente, come si può leggere nell’annuale rapporto rilasciato da Clusit. Personalmente riassumo il 2017 in tre macro argomenti, per quanto riguarda il tema “sicurezza digitale”: Spectre e Meltdown, Wannacry e Coinhive.

Dopo Spectre e Meltdown, e dopo una pessima organizzazione nel rilascio di una patch che risolvesse le problematiche per i propri prodotti, Intel ha reso pubblico (tramite il sito HackerOne) il proprio programma di bug bounty. Questa scelta non è casuale: Intel ha deciso di affidarsi e fidarsi della comunità informatica, che quotidianamente utilizza i suoi prodotti, pagando, anche molto profumatamente, chiunque faccia delle segnalazioni riguardo a vulnerabilità presenti nei suoi prodotti. L’intento sembra quello di evitare un nuovo caso, e caos, come quello di Spectre e Meltdown. Nella speranza che gestiscano meglio il rilascio di patch future, il programma di Intel è un vantaggio per tutti, anche e soprattutto per i suoi clienti che magari avranno dei prodotti più sicuri.

Una storia diversa è quella di Wannacry. Wannacry è un ransomware che ha colpito computer e reti di tutto il mondo sfruttando l’exploit EternalBlue (MS17-010) contro i sistemi operativi Windows. Microsoft aveva rilasciato la patch per questa vulnerabilità diverse settimane prima, eppure il numero di persone colpite dal malware è stato impressionante. In questo caso il problema si può, parzialmente, identificare nell’incuria da parte dell’utente: molti dei sistemi operativi colpiti erano in ritardo con gli aggiornamenti o, peggio, non erano più supportati (ad esempio Windows XP). Un riassunto valido della storia lo potete trovare su questo sito.

Per ultimo c’è il fenomeno Coinhive. Il 2017 è stato anche l’anno dei Bitcoin e delle cripto-monete, diventate un fenomeno di massa (ormai quando si ha un problema, qualsiasi problema, sembra che la soluzione sia “blockchain”). Con la diffusione dei Bitcoin sono aumentati anche i miners. Coinhive è un codice javascript che permette di sfruttare la CPU altrui per tentare di “minare” le criptovalute, ed è sufficiente aggiungerlo a una pagina web per sfruttare la potenza di calcolo dei visitatori (spesso ignari). Alcuni ad-blockers, ad esempio uBlock Origin, ormai proteggono da questo javascript (*ma a volte vengono aggirati), ma trovo incredibile che basti un codice javascript aperto in un browser per sfruttare la CPU altrui. In futuro non è detto che questo codice non possa avere anche altri utilizzi, magari più condivisibili e utili, dopotutto il principio alla base è la condivisione della potenza di calcolo.

In questo scenario si inserisce un Italia che viene descritta bene dal rapporto Clusit, che tra l’altro cita tutti e tre gli argomenti riportati sopra. Quello che però non fa notare è l’assenza di programmi di bug bounty, come forma di prevenzione, nelle aziende italiane, soprattutto nelle aziende medio-grandi.

Una delle rare eccezioni viene rappresentata da TIM (Telecom Italia) che ad aprile 2018 ha presentato il suo programma pubblico di responsible disclosure. È un primo passo importante nel panorama nazionale: TIM è una multinazionale nel settore delle telecomunicazioni, che più di altri rischia attacchi informatici. Quello che si può apprezzare del programma è la completezza, perché copre praticamente tutti i servizi e prodotti TIM: portali web a marchio TIM – Telecom, prodotti hardware (come i router) a marchio TIM, applicazioni prodotte da TIM. Per ora TIM premia con un ringraziamento nella propria Hall of Fame. Non sono a conoscenza di molte aziende italiane che siano munite di programma bug bounty, FCA ne ha uno, molto limitato, su Bugcrowd e altroconsumo.it ne ha uno su Intigriti.
Questi sono gli unici altri due casi di cui sono a conoscenza, se qualcuno conosce qualche altro programma italiano di responsible disclosure mi può inviare una e-mail all’indirizzo presente in questa pagina, sarò contento di aggiungerlo all’articolo.

Sì, sono riuscito a inserire il mio nome nel Hall of Fame di TIM 🙂

TIM Hall of Fame
TIM Hall of Fame

Ho riportato le seguenti problematiche:

  • alcuni reflected DOM XSS in *.tim.it
  • alcuni stored XSS nella webmail di TIM (TIM Mail, TIM Mobile Mail, TIM Mail Light)