Microsoft: gli ethical hacker vanno tutelati

Niente pi¨ pressioni o cause legali, assicura Microsoft, contro chi scopre e divulga in modo responsabile le vulnerabilitÓ presenti nei propri servizi online. Una filosofia di cui BigM si Ŕ fatta promotrice presso l'intera industria

Seattle (USA) - Pare che in Microsoft il termine hacker non abbia necessariamente una connotazione negativa. In occasione della conferenza californiana ToorCon, BigM si è schierata pubblicamente a difesa di questa categoria, ammettendo che gli ethical hacker, ossia coloro che scoprono e divulgano le falle "in modo responsabile", rappresentano spesso "una risorsa preziosa" nel migliorare la sicurezza dei servizi online.

Microsoft e trixNel dizionario di Microsoft un ethical hacker è colui che segnala tempestivamente al produttore la falla appena scoperta, magari collaborando alla sua correzione, e ne rende pubblici i dettagli solo dopo che il problema è stato risolto. Ma come ammette Microsoft, oggi i ricercatori che testano la sicurezza dei servizi online corrono comunque dei rischi legali, e ciò anche quando seguono alla lettera la netiquette del "buon hacker".

A differenza delle applicazioni tradizionali, che vengono testate dai ricercatori di sicurezza all'interno dei propri laboratori e sulle proprie macchine, i servizi online girano generalmente su server pubblici, ed espongono i bug hunter - anche quelli con buoni intenti - al rischio di essere tracciati e perseguiti legalmente. ╚ già successo: alcuni hacker, anche molto giovani, in passato sono stati trascinati in tribunale per il solo fatto di aver segnalato pubblicamente la falla scoperta in una risorsa online, senza per altro averne divulgato i dettagli o pubblicato exploit dimostrativi.
"Tutto ciò non ha senso", ha commentato Katie Moussouris, security strategist di Microsoft, durante il proprio intervento al ToorCon. "Quando ci imbattiamo in un hacker che agisce responsabilmente a costui noi dobbiamo un favore, e dovremmo ringraziarlo invece di definirlo un poco di buono e consegnarlo alla polizia".

Moussouris afferma di essersi fatto promotore di una disposizione che, se verrà integrata in uno standard attualmente al vaglio dell'International Organization for Standardization (ISO), contribuirà a difendere gli ethical hacker che divulgheranno in modo responsabile le vulnerabilità scoperte nei servizi o nei siti Web di qualsiasi azienda.

Il manager di Microsoft non ha specificato quale sia lo standard a da lui citato, ma The Register ipotizza si tratti della specifica ISO/IEC NP 29147.

"Non rivolgete il vostro odio verso lo scopritore, ma verso la falla", ha dichiarato Moussouris rivolgendosi all'industria. "Non è davvero il caso di scoraggiare le persone che stanno tentando di aiutarci a migliorare la sicurezza dei nostri servizi".
19 Commenti alla Notizia Microsoft: gli ethical hacker vanno tutelati
Ordina
  • Fossero tutti cosi' coloro che usano la loro vita per fare qualcosa, per lasciare un segno evidente e positivo a un passo tecnologico importante, come quello di trovare le vulnerabilita' ma con altra filosofia, non quella che invece usano i giovani che usano invece leggendo qua e la' e frequentando i forum di hacking (pochissimi in italia quelli seri a mio avviso ... forse pochissimi...) si nascondono secondo me' persone anche di altro genere.
    Ma invece ragazzi giovani vanno a defacciare i siti, perche' leggono le vulnerabilita' che questi forum mettono a disposizione di tutti .... ndr .. tralascio i nomi !.
    Lasciando le loro impronte qua e la', molti sono gia' tracciati e non lo sanno, altri invece la Polizia Postale li ha gia' andati a trovare alle 5 del mattino a casa ... ecc.. e molti sono in cause lunghe e costose, per tentare di lavarsi l'onta del Tentata Intrusione Informatica, art del codice penale e tentare di non farsi 3 anni di galera.

    Oggi il termine Hacking e' anche generalizzato, perche' tali individui usano questo termine per fare dispetto, defacciare, cancellare, bucare un sito, causando un danno !! Usando proxy che non sono anonimi e usando Tor .... che spesso invece lascia trasparire sempre piu' spesso il loro vero IP e provenienza.
    Onestamente mi preoccupa vedere l'Undergorund in questo modo, misero e povero, che non porta da nessuna parte, ma solo insegnare a quelli nuovi che tutto e' permesso e puoi fare tutto quello che vuoi, tanto sei solo tu' il responsabile e non io che nel forum metto tutto a disposizione di tutti.
    Contravvenendo all'Etica Hacking, ma solo invece facendo la figura del LAMER, perche' gli si insegna solo a far crescere lamer e delinquenti anche coloro che non lo sono e che vorrebbero imparare, da quelli che invece dovrebbero essere seri e responsabili.
    Chissa' come mai molti forum di hacking seri mondiali, hanno chiuso i battenti a cani e porci ...???
    non+autenticato
  • "Ethical hacker" è uno che scopre un bug, lo comunica a Microsoft e non lo divulga per i due/tre anni che servono a Microsoft per creare la patch, che poi verrà inserita di nascosto in un service pack senza avvisare nessuno.
    In pratica, Microsoft promette l'impunità solo a chi non dirà in giro che Microsoft ci mette un'eternità a risolvere i problemi.

    ... in questo caso, chi sono gli IMPUNITI?

    Speriamo che di questi "ethical hackers" non ce ne siano troppi, se no siamo rovinati ...
    non+autenticato
  • Che razza di ruolo ha all'interno di una azienda?!?!?
  • non ha nulla da temere, quindi...OcchiolinoOcchiolinoOcchiolino
    non+autenticato
  • ______________           __________________



                    

                       ______________
    non+autenticato
  • - Scritto da: No_Ballmer
    > non ha nulla da temere, quindi...OcchiolinoOcchiolinoOcchiolino


    guarda che cosi gli fai solo pubblicità bello...
    non+autenticato
  • se io scoprissi una falla in windows,mi farei pagare per comunicargliela. e' una questione di principio,loro non mi danno niente gratis a me,perche' io dovrei aiutarli a gratis ?
  • - Scritto da: marietto2008
    > se io scoprissi una falla in windows,mi farei
    > pagare per comunicargliela. e' una questione di
    > principio,loro non mi danno niente gratis a
    > me,perche' io dovrei aiutarli a gratis
    > ?

    Fammi capire, tu utilizzi un prodotto, scopri che il prodotto è fallato e non comunichi a chi te l'ha venduto il difetto in modo tale che lo correggano?
    Per un masochista il tuo ragionamento fila anche.
    non+autenticato
  • no,a gratis non lo comunico. non lavoro per loro,preferisco tenermi il difetto,tanto sono loro che ci perdono di piu',io il pc lo uso a casa,non in azienda,percui non c'e' pericolo che qualcuno vi entri. i loro prodotti me li fanno pagare cari e sono anche fallati e devo anche aiutarli a gratis a correggerli ? chi sono io ? babbo natale ?
  • - Scritto da: marietto2008
    > no,a gratis non lo comunico. non lavoro per
    > loro,preferisco tenermi il difetto,tanto sono
    > loro che ci perdono di piu',io il pc lo uso a
    > casa,non in azienda,percui non c'e' pericolo che
    > qualcuno vi entri. i loro prodotti me li fanno
    > pagare cari e sono anche fallati e devo anche
    > aiutarli a gratis a correggerli ? chi sono io ?
    > babbo natale
    > ?

    La maggioranza delle persone non lavorano neppure per le multinazionali che producono le auto.. allora che dovrebbero fare se riscontrano un difetto, tacere e schiantarsi per principio preso perchè pretendono dei soldi per comunicarlo ?!
    Mah!
    non+autenticato
  • mi dispiace tanto per gli altri,ma non e' colpa mia se la microsoft vende prodotti scadenti e li fa pagare piu' di quello che valgono. pensassero invece a creare sistemi piu' leggeri,piu' stabili e meno cari. io non sono un loro dipendente,non ho nessun interesse ad aiutare una ditta che non mi regala niente. se trovassi un bug in linux invece lo comunicherei a palla di fuoco,perche' nella comunita' open c'e' un forte senso di appartenenza,siamo tutti fratelli e ci aiutiamo fra di noi,non c'e' qualcuno che mi chiede denaro per l'acquisto del sistema e nemmeno per aiutarmi a risolvere i problemi. percio' in questo caso mi sento in dovere di aiutare.
  • questo per esmpio è molto giusto, se un sistema è gratuito io li aiuto gratuitamente, se il sistema è a pagamento li aiuto a pagamento.
    Se poi il mio sistema è bacato:
    1)oltre a me quella falla quante altre persone possono conoscerla?Contando che l'ho trovata da solo?
    2)Evito di eseguire operazioni che mettano a rischio il mio sistema da quella falla, se è possibile fare altro, quindi aggirarla.
  • bel paragone azzeccato eh... se io trovo un difetto nella mio punto vado dal meccanico e me lo faccio aggiustare, se è possibile, se non si può aggiustare vado dalla fiat e mi faccio dare una punto nuova e magari gli faccio pure causa perchè ho rischiato la vita per quel difetto.

    tu cosa faresti invece? andresti lì a dirgli che c'è un problema e fargli vedere come metterlo a posto e te ne torneresti a casa sulla tua punto "bacata" aspettando che arrivino a sistemartela?
    ma non diciamo cavolate per favore.
    c'è gente pagata apposta per fare questo, perchè dovrebbero farlo gli acquirenti che comprando il prodotto danno lo stipendio a quelli lì?

    tornando all'articolo, microsoft stà cercando di stimolare la gente a comportarsi come una comunità di sviluppo opensource, dove chi trova un problema lo comunica subito a tutti, con la piccola differenza che non vogliono che sia comunicato a tutti ma solo a loro, bella roba.
    non+autenticato
  • prima di tutto i sistemi operativi non sono come le auto. se la mia auto ha dei problemi,io rischio di rimanere a piedi,se windows ha dei problemi che non sono cosi' seri da non permettermi di usarlo,che me ne frega,me lo tengo uguale,tanto lo devo usare a casa,chi vuoi che mi entri dentro ? nessuno ha interesse a venire a rubare i dati a me !
    e' proprio per il fatto che la microsoft vuole che i suoi utenti si comportino come fanno con l'open source,che mi sta ancora + sulle balle ! loro vogliono avere il meglio dai loro consumatori,ma in cambio cosa danno ?
    -----------------------------------------------------------
    Modificato dall' autore il 22 aprile 2008 11.51
    -----------------------------------------------------------