Un'alleanza per normalizzare la sicurezza

Un nutrito gruppo di aziende del settore IT ha dato vita ad un'alleanza attraverso cui standardizzare le modalità con cui le falle di sicurezza vengono rivelate. La politica scelta è quella del non disclosure

Un'alleanza per normalizzare la sicurezzaSan Jose (USA) - Sono anni ormai che esperti di sicurezza e industria dibattono su come e quando pubblicare le vulnerabilità di sicurezza, ma ad oggi non esiste ancora un vero e proprio standard che regolamenti la questione.

In questo ultimo anno il dibattito in merito a quale politica adottare per la pubblicazione di falle ed exploit è stato assai acceso e ha visto schierati da un lato i difensori del "full disclosure", ovvero della libertà di pubblicare ciò che si ritiene importante quando lo si ritiene necessario, e dall'altro quelli del "non disclosure", convinti invece che sia più sicuro per tutti rivelare i problemi solo a certe condizioni e dopo un determinato lasso di tempo.

Diverse delle maggiori aziende del settore, fra cui Microsoft, HP, Sun, Compaq e Oracle, hanno ora annunciato di aver dato vita alla Organization for Internet Security (OIS), un'alleanza determinata a far prevalere l'etica del "non disclosure".
L'intesa prevede, nell'immediato, il varo di una linea di condotta comune tesa a limitare la pubblica rivelazione delle informazioni riguardanti le vulnerabilità di sicurezza.

In base a questi accordi, i membri di questa coalizione - aperta a tutte le aziende che ne vorranno far parte - hanno stabilito che durante i primi 30 giorni dal primo annuncio di una falla ometteranno nei propri bollettini di sicurezza ogni dettaglio sul problema ed ogni riferimento esplicito sul come sfruttarlo.

Trascorso questo periodo di tempo, le aziende potranno divulgare qualche dettaglio in più, ma rimangono banditi codici d'esempio (exploit) e tool che possano facilitare la vita ai cracker.

L'organizzazione proporrà presto anche la bozza di uno standard internazionale riguardante le modalità di pubblicazione e divulgazione di bug e altre vulnerabilità di sicurezza, modalità che seguiranno le regole promosse dall'alleanza e che avranno come obiettivo quello di scoraggiare il full disclosure.

Secondo i rappresentanti di questa coalizione capitanata da Microsoft, la pubblicazione di dettagli o exploit riguardanti i problemi di sicurezza nei software - una pratica che Scott Culp, manager della sicurezza di Microsoft, ha definito "anarchia dell'informazione" - non farebbe altro che favorire gli "hacker maliziosi" e la proliferazione dei virus worm.

L'organizzazione conta di rilasciare anche tutta una serie di RFC (Requests for Comments) che descrivano ogni aspetto circa le modalità ritenute più corrette nel riportare buchi di sicurezza, incluso il formato dei report e degli avvisi. Questi RFC verranno sottoposti alla Internet Engineering Task Force dove potranno essere commentati pubblicamente e sottoposti al processo per la trasformazione in standard ufficiali.

Come era logico attendersi, questa nuova iniziativa promossa da Microsoft ha scatenato le proteste da parte non soltanto della comunità hacker, - quegli hacker che sostengono di non sentirsi affatto "maliziosi" ("malicious") - ma anche da parte di una larga maggioranza della comunità di sviluppatori open source e di diversi esperti di sicurezza indipendenti.

Christopher Klaus, fondatore e CTO di Internet Security Systems, una delle società che ha aderito alla coalizione sul non disclosure, ha affermato: "Qui non si tenta di dar vita ad una società segreta degli exploit. Stiamo solo cercando di creare uno standard che suggerisca norme di comportamento fra aziende di sicurezza e produttori di software".

Ma vista la polvere sollevata è certo che la diatriba fra full e non disclosure non finisce qui.
TAG: sicurezza
14 Commenti alla Notizia Un'alleanza per normalizzare la sicurezza
Ordina
  • vi spiego installo php 4.0.6 su un linux REd HAT 7.2 e lo utilizzo con apache per inviare cookies , poi monto lo stesso mecanismo su solaris, dove gia prima era montato appena faccio ripartire apache con i moduli per il php, ne linux ne solaris inviano più i cookie, interpretano le pagine in php ma non inviano cookies.

    QUALCUNO mi sa aiutare?
    non+autenticato
  • perfetto, era OVVIO che prima o poi si sarebbe arrivati al varo dell'insabbiamento sistematico delle notizie anche nel nostro settore.
    Che bello.
    Da domani non dovremo più dedicare la prima ora di lavoro al mattino a spulciare le KB in cerca di una patch che non lasci la nostra farm, ed il lavoro di MESI, in balia dell'ultimo stronzetto armato di astalavista e il classico cazzo da fare.
    Nascondiamo i problemi, così sembrerà che non esistano.

    Che bello.
    non+autenticato
  • Ovvio visto che Micro$oft non riesce a sviluppare codice sicuro la cosa migliore da fare e' come gli struzzi, finira' st'abuso?
    non+autenticato
  • appunto, finirà che tanto x cambiare saremo noialtri che ci lavoriamo direttamente a doverci fare le cose in casa.
    in fondo si fa presto: si tira su un bel sitino in cui chiunque trova una falla la posta, poi si vede come fanno a negarne l'esistenza ...

    isi
    non+autenticato
  • Solo una societa` di programmatori incapaci come la M$ poteva promuovere una cosa del genere !

    C'e` solo da vergognarsi ad agire in queso modo.
    Cosi` adesso se compreremo un uindous server non sappremo neanche se e' bucabile !
    Bravi, comoplimenti !!!
    MA SCRIVETE SOFTWARE DECENTE IMBRANATI !!!

    RIDICOLI !!!!


    Gente, io mi sono svegliato e sto apertamente boicottantdo e denigrando tali ridoicole societa`.Un esempio ? Ho fatto risparmiare milioni alle societa` di cui mi occupo facendogli installare server linux.
    Spero che Wine 1.0 esca alla svelta, cosi` potro` cominciare a boicottare sti fessi anche sul lato desktop!

    SEMPLICEMENTE RIDICOLI !

    PATETICI !!!
    non+autenticato
  • Se Microsoft, invece di sfogarsi in queste crociate contro mulini a vento, si sforzasse di scrivere codice sicuro prima di pubblicare il software (e non di fermare lo sviluppo dopo anni, come hanno annunciato, per ricontrollare il codice) forse non avrebbe tanta paura dei crackers... Code Red riguardava solo Win2k, ed Outlook e' uno dei software piu' bacati della storia. E sono solo due esempi. A questo si aggiunge che in giro per il mondo e' pieno di pseudo-amministratori NT totalmente IGNORANTI dal punto di vista della sicurezza (e non solo). Code Red (sempre lui) era gia' noto un mese prima del boom della sua diffusione. Forse se fossero state applicate le patch in tempo si sarebbero evitati un po' di problemi?
    Mi stupisce che Sun si sia unita a questo patetico trenino capeggiato da una software house che ora piu' che mai cerca di riportare i binari del mercato verso la propria stazione.
    non+autenticato
  • Se ad esempio IIS ha un baco che consente
    ad un hacker di bucare la mia intranet
    ed io non so come si fa a sfruttarlo
    COME STRACAPPERO FACCIO
    a sapere se l'ultima service pack
    me lo ha corretto?

    E FORZA MICRO$OFT TANTA VOGLIA DI VENDEREEEEEE

    Pino Silvestre
    l1vo8f1yv9hw08a001@sneakemail.com
    non+autenticato
  • > COME STRACAPPERO FACCIO
    > a sapere se l'ultima service pack
    > me lo ha corretto?

    A me pare ancche non corretto nei confronti dei privati che pagano il SW = alle aziende, anzi di + perche' non possono sfruttare le promozioni tipo 5X3, e non ricevono lo stesso servizio!!!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)