La parola "protocollo" compare ovunque nell'IT, in genere descrivendo i dettagli su come scambiare dati tra richiedente e rispondente.
Quindi abbiamo HTTP, abbreviazione di protocollo di trasferimento ipertestuale, che spiega come comunicare con un server web; SMTP, o semplice protocollo di trasferimento della posta, che disciplina l'invio e la ricezione di posta elettronica; e BGP, il protocollo del gateway di frontiera, per mezzo del quale gli ISP si comunicano tra loro a quali destinazioni Internet possono contribuire a fornire i dati e con quale rapidità.
Ma esiste anche un protocollo importante che aiuta gli esseri umani nell'IT, inclusi ricercatori, soccorritori, amministratori di sistema, manager e utenti, a essere cauti nel modo in cui gestiscono le informazioni sulle minacce alla sicurezza informatica.
Quel protocollo è noto come TLP, abbreviazione di Protocollo semaforico, concepito come un modo molto semplice per etichettare le informazioni sulla sicurezza informatica in modo che il destinatario possa facilmente capire quanto siano sensibili e quanto ampiamente possano essere condivise senza peggiorare le cose negative.
È interessante notare che non tutti sottoscrivono l'idea che la diffusione delle informazioni sulla sicurezza informatica dovrebbe mai essere limitata, anche volontariamente.
Appassionati di cosiddetti completa divulgazione insistere sul fatto che pubblicare quante più informazioni possibili, il più ampiamente possibile, il più rapidamente possibile, è in realtà il modo migliore per affrontare vulnerabilità, exploit, attacchi informatici e simili.
I sostenitori della piena divulgazione ammetteranno liberamente che questo a volte fa il gioco dei criminali informatici, identificando chiaramente le informazioni di cui hanno bisogno (e rivelando conoscenze che potrebbero non avere in precedenza) per avviare immediatamente gli attacchi, prima che qualcuno sia pronto.
La divulgazione completa può anche interrompere le difese informatiche costringendo gli amministratori di sistema ovunque a interrompere qualsiasi cosa stiano facendo e distogliere immediatamente la loro attenzione su qualcosa che altrimenti avrebbe potuto essere tranquillamente programmato per l'attenzione un po' più tardi, se solo non fosse stato gridato dai tetti.
Semplice, facile ed equo
Tuttavia, i sostenitori della piena divulgazione ti diranno che niente potrebbe essere più semplice, più facile o più giusto che dirlo a tutti allo stesso tempo.
Dopotutto, se lo dici ad alcune persone ma non ad altre, in modo che possano iniziare a preparare potenziali difese in relativa segretezza e quindi forse superare i criminali informatici, potresti effettivamente peggiorare le cose per il mondo in generale.
Se anche una delle persone nella cerchia ristretta si rivela una canaglia, o rivela inavvertitamente il segreto semplicemente per la natura di come rispondono, o per i piani che improvvisamente decidono di mettere in atto, allora i truffatori potrebbero benissimo decodificare le informazioni segrete per se stessi comunque...
…e poi tutti gli altri che non fanno parte della cerchia ristretta saranno gettati in pasto ai lupi.
Comunque, chi decide quali individui o organizzazioni vengono ammessi nella cerchia ristretta (o nell'"Old Boy's Club", se vuoi essere peggiorativo)?
Inoltre, la dottrina della divulgazione completa garantisce che le aziende non possano farla franca con problemi radicali sotto il tappeto e non fare nulla al riguardo.
Nelle parole del famigerato (e problematico, ma questo è un argomento per un altro giorno) film di hacker del 1992 Sneakers: "Niente più segreti, Marty."
Divulgazione responsabile
La divulgazione completa, tuttavia, non è il modo in cui la risposta alla sicurezza informatica viene solitamente eseguita in questi giorni.
In effetti, alcuni tipi di dati relativi alle minacce informatiche semplicemente non possono essere condivisi eticamente o legalmente, se ciò potrebbe danneggiare la privacy di qualcuno o mettere i destinatari stessi in violazione delle normative sulla protezione dei dati o sul possesso dei dati.
Invece, il settore della sicurezza informatica si è in gran parte stabilito su una sorta di via di mezzo per la segnalazione di informazioni sulla sicurezza informatica, nota informalmente come divulgazione responsabile.
Questo processo si basa sull'idea che il modo più sicuro ed equo per risolvere i problemi di sicurezza informatica senza farli esplodere immediatamente al mondo intero è dare alle persone che hanno creato i problemi le "prime risposte" per risolverli.
Ad esempio, se trovi una falla in un prodotto di accesso remoto che potrebbe portare a un bypass di sicurezza, o se trovi un bug in un server che potrebbe portare all'esecuzione di codice in modalità remota, segnalalo in privato al fornitore del prodotto (o il team che se ne occupa, se è open source).
Quindi accetti con loro un periodo di segretezza, che in genere dura da pochi giorni a pochi mesi, durante il quale possono risolverlo segretamente, se lo desiderano, e rivelare i dettagli cruenti solo dopo che le loro correzioni sono pronte.
Ma se il periodo concordato scade senza risultato, si passa alla modalità di divulgazione completa e si rivelano comunque i dettagli a tutti, assicurandosi così che il problema non possa essere semplicemente spazzato sotto il tappeto e ignorato all'infinito.
Condivisione controllata
Naturalmente, la divulgazione responsabile non significa che l'organizzazione che ha ricevuto il rapporto iniziale sia obbligata a mantenere le informazioni per sé
I primi destinatari di una segnalazione privata possono decidere di voler o di dover condividere comunque la notizia, magari in modo limitato.
Ad esempio, se disponi di una patch critica che richiede la cooperazione di diverse parti della tua organizzazione, non avrai altra scelta che condividere le informazioni internamente.
E se hai una patch in uscita che sai risolverà una falla di sicurezza scoperta di recente, ma solo se i tuoi clienti apportano alcune modifiche alla configurazione prima di implementarla, potresti avvisarli in anticipo in modo che possano prepararsi.
Allo stesso tempo, potresti chiedere loro gentilmente di non dire al resto del mondo tutto sulla questione per il momento.
Oppure potresti indagare su un attacco informatico in corso e potresti voler rivelare quantità diverse di dettagli a un pubblico diverso mentre l'indagine si svolge.
Potresti avere consigli generali che possono essere condivisi in modo sicuro e utile in questo momento con il mondo intero.
Potresti avere dati specifici (come elenchi di indirizzi IP o altri indicatori di compromissione) che desideri condividere con una sola azienda, perché le informazioni li rivelano inevitabilmente come vittime.
E potresti voler rivelare tutto ciò che sai, non appena lo sai, ai singoli investigatori delle forze dell'ordine di cui ti fidi per perseguire i criminali coinvolti.
Come etichettare le informazioni?
Come etichettare inequivocabilmente questi diversi livelli di informazioni sulla sicurezza informatica?
Le forze dell'ordine, i servizi di sicurezza, le forze armate e gli organismi internazionali ufficiali hanno in genere il loro gergo, noto come contrassegno protettivo, per questo genere di cose, con etichette che tutti conosciamo dai film di spionaggio, come SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, E così via.
Ma etichette diverse significano cose diverse in diverse parti del mondo, quindi questo tipo di contrassegno protettivo non si traduce bene per l'uso pubblico in molte lingue, regioni e culture della sicurezza informatica diverse.
(A volte queste etichette possono essere linguisticamente impegnative. Se un documento riservato prodotto dalle Nazioni Unite, ad esempio, dovesse essere etichettato UN - CLASSIFIED? O sarebbe male interpretato come UNCLASSIFIED e essere ampiamente condiviso?)
Che ne dici di un sistema di etichettatura che utilizza parole semplici e un'ovvia metafora globale?
Ecco dove il Protocollo semaforico entra in gioco
La metafora, come avrai intuito, è l'umile segnale stradale, che usa gli stessi colori, con più o meno gli stessi significati, in quasi tutti i paesi del mondo.
ROSSO significa fermarsi, e nient'altro che fermarsi; AMBRA significa fermarsi a meno che ciò non sia di per sé pericoloso; e VERDE significa che ti è permesso andare, supponendo che sia sicuro farlo.
I moderni segnali stradali, che utilizzano i LED per produrre frequenze luminose specifiche, invece di filtri per rimuovere le bande di colore indesiderate dalle lampade a incandescenza, sono così luminosi e mirati con precisione che alcune giurisdizioni non si preoccupano più di testare i potenziali driver per il cosiddetto daltonismo, perché il tre bande di frequenza emesse sono così strette da essere quasi impossibili da confondere, e i loro significati sono così ben consolidati.
Anche se vivi in un paese in cui i semafori hanno segnali "intermedi" aggiuntivi, come verde + ambra insieme, rosso + ambra insieme o un colore che lampeggia continuamente da solo, praticamente tutti nel mondo capiscono le metafore del semaforo basato solo su quei tre colori principali.
In effetti, anche se sei abituato a chiamare la luce di mezzo GIALLO invece di AMBRA, come fanno alcuni paesi, è ovvio a cosa si riferisce AMBRA, se non altro perché è quello in mezzo che non è ROSSO o VERDE.
TLP versione 2.0
I Protocollo semaforico è stato introdotto per la prima volta nel 1999 e seguendo il principio di Mantienilo semplice e diretto (KISS), è diventato un utile sistema di etichettatura per i rapporti di cyubersecurity.
In definitiva, il TLP richiedeva quattro livelli, non tre, quindi il colore BIANCO è stato aggiunto per significare "puoi condividerlo con chiunque" e i designatori sono stati definiti in modo molto specifico come le stringhe di testo TLP:RED (tutte maiuscole, nessuno spazio), TLP:AMBER, TLP:GREEN ed TLP:WHITE.
Mantenendo gli spazi fuori dalle etichette e forzandoli in maiuscolo, risaltano chiaramente nelle righe dell'oggetto delle e-mail, sono facili da usare durante l'ordinamento e la ricerca e non verranno divise tra le righe per errore.
Ebbene, dopo oltre 20 anni di servizio, il TLP ha subito un piccolo aggiornamento, quindi da agosto 2022 abbiamo Protocollo semaforo 2.0.
In primo luogo, il colore WHITE è stato sostituito con CLEAR.
Il bianco non solo ha sfumature razziali ed etniche che la decenza comune ci invita a evitare, ma rappresenta anche in modo confuso tutti gli altri colori mescolati insieme, come se potesse significare andare e fermarsi allo stesso tempo.
Quindi CLEAR non è solo una parola che si adatta più comodamente alla società odierna, ma anche una parola che si adatta più chiaramente allo scopo previsto (ehm).
Ed è stato aggiunto un quinto marcatore, vale a dire TLP:AMBER+STRICT.
I livelli sono interpretati come segue:
TLP:RED |
"Solo per gli occhi e le orecchie dei singoli destinatari." Questo è abbastanza facile da interpretare: se ricevi un documento di sicurezza informatica TLP:RED, puoi agire su di esso, ma non devi inoltrarlo a nessun altro. Quindi non c'è bisogno che tu cerchi di capire se dovresti farlo sapere ad amici, colleghi o colleghi ricercatori. Questo livello è riservato alle informazioni che potrebbero causare "rischio significativo per la privacy, la reputazione o le operazioni delle organizzazioni coinvolte". |
TLP:AMBER+STRICT |
Puoi condividere queste informazioni, ma solo con altre persone all'interno della tua organizzazione. Quindi puoi discuterne con i team di programmazione o con il dipartimento IT. Ma devi tenerlo “in casa”. In particolare, non devi inoltrarlo ai tuoi clienti, partner commerciali o fornitori. Sfortunatamente, la documentazione TLP non tenta di definire se un appaltatore o un fornitore di servizi è interno o esterno. Ti suggeriamo di trattare la frase “limitare la condivisione all'organizzazione esclusivamente" il più rigorosamente possibile, come suggerisce il nome di questo livello di sicurezza, ma sospettiamo che alcune aziende finiranno con un'interpretazione più liberale di questa regola. |
TLP:AMBER |
Come TLP:AMBER+STRICT, ma puoi condividere le informazioni con i clienti (il documento TLP utilizza effettivamente la parola clienti) se necessario. |
TLP:GREEN |
Puoi condividere queste informazioni all'interno della tua comunità. Il TLP lascia a te essere ragionevole su quali persone costituiscono la tua comunità, notando solo questo "quando la 'comunità' non è definita, si presuppone la comunità della sicurezza/difesa informatica." In pratica, potresti anche presumere che qualsiasi cosa pubblicata come TLP:GREEN finirà come di dominio pubblico, ma spetta a te essere premuroso su come condividerlo tu stesso. |
TLP:CLEAR |
Molto semplicemente, sei libero di condividere queste informazioni con chiunque tu voglia. Come dice il TLP: “I destinatari possono diffonderlo al mondo; non c'è limite alla divulgazione”. Questa etichetta è particolarmente utile quando si condividono due o più documenti con una parte fidata e almeno uno dei documenti è contrassegnato per la condivisione limitata. Mettere TLP:CLEAR sul contenuto che possono condividere, e forse che vuoi che condividano per aumentare la consapevolezza, rende le tue attenzioni abbondantemente chiare, se vuoi scusare il gioco di parole. |
Giusto per essere chiari (scusate!), Non mettiamo TLP:CLEAR su ogni articolo di Naked Security che pubblichiamo, dato che questo sito è già pubblicamente accessibile, ma ti invitiamo ad assumerlo.
