Gaia Bottà

Google, quando la disclosure può attendere

L'ultimatum della pubblicazione dei dettagli delle falle diventa meno rigido: Mountain View terrà conto dei giorni festivi, e concederà proroghe alle aziende che mostrino buona volontà. Microsoft non è pienamente soddisfatta

Roma - Google ammetterà delle eccezioni alla propria policy di rivelazione pubblica dei bug individuati nel codice altrui: l'inesorabile ultimatum che scade a 90 giorni dalla prima segnalazione privata potrà essere prorogato, così da consentire la distribuzione delle patch in corso di lavorazione.

L'iniziativa Google Project Zero, spiegano i rappresentanti di Mountain View in un post ufficiale, prevede un conto alla rovescia di 90 giorni, che scatta nel momento in cui la vulnerabilità viene segnalata all'azienda a cui compete rimediare e culmina con una disclosure pubblica della falla: si tratta di una policy comune a molte aziende, utile a sollecitare una reazione che ponga fine al problema. Mountain View snocciola qualche numero: dei 154 bug risolti dopo le segnalazioni private di Project Zero, l'85 per cento è stato sistemato entro i 90 giorni dalla segnalazione; i 37 problemi individuati in Adobe Flash sono tutti stati risolti entro la scadenza fissata da Google, e nel mese di febbraio non sono previste rivelazioni pubbliche su falle ancora da tappare. Le scadenze che si accompagnano a Project Zero, però, fanno emergere però una situazione disdicevole: "la community di attaccanti pronti a sfruttare le vulnerabilità - osserva Google - investe nella ricerca decisamente di più rispetto alla community di ricercatori che dovrebbe operare per difendersi". Ad alcune disclosure pubbliche effettuate allo scadere dei 90 giorni, riconosce Google senza citare i nomi delle dirette interessate Apple e Microsoft, è stato posto rimedio in tempi abbastanza brevi a seguito della pubblicazione dei bug.

Per questo motivo, probabilmente incoraggiata dall'ampio dibattito seguito all'intervento di Microsoft e al suo invito ad una discolusre più responsabile che sappia rispettare i tempi delle aziende vittime delle falle, Google ha scelto di transigere: oltre ad assegnare un codice CVE, così da assicurare un'identità standard alla vulnerabilità, d'ora in poi Mountain View ammetterà delle eccezioni alle tempistiche della pubblicazione dei bug. Si terrà dunque conto dei fine settimana e delle festività: la disclosure avverrà nel giorno feriale successivo alla scadenza. Si concederà inoltre all'azienda colpita dal bug la possibilità di posticipare di 14 giorni la pubblicazione dei dettagli della falla nel caso in cui una patch sia in fase di sviluppo: se è prevista una sistemazione per il codice afflitto dal problema ed è stata fissata nel giro di pochi giorni una data del rilascio della patch, Google ammetterà una proroga, dando così la possibilità di distribuire la patch senza scombinare i ritmi degli update a cui gli utenti sono abituati. Non sono previsti favoritismi, e Google si riserva il diritto di modificare le scadenze degli ultimatum "sulla base di circostanze estreme".
"Se è positivo osservare alcune modifiche alle pratiche di disclosure - ha commentato Chris Betz, a capo del Security Response Center di Microsoft, che aveva ammonito Google invitandola ad una policy più responsabile - siamo in disaccordo con l'arbitrarietà delle scadenze, perché ogni problema di sicurezza fa storia a sé e i tempi per lo sviluppo e il test di un aggiornamento variano". La disclosure pubblica, secondo Redmond, resta un atto che mette a rischio in primo luogo gli utenti.

Gaia Bottà
Notizie collegate
  • SicurezzaInternet Explorer, nuova falla XSSIE risulta bucato, e questa volta si tratta di una vulnerabilità XSS. Coinvolte le versioni aggiornate del browser Microsoft su sistema operativo Windows 7. Una patch è in corso di sviluppo
  • SicurezzaGoogle e la guerra delle vulnerabilitàMountain View continua a pubblicare dettagli sulle vulnerabilità di sicurezza nel software altrui, in un programma di disclosure che non salva nessuno: ora è la volta di Apple. Quando la falla è di Google, i tempi di aggiornamento sono relativamente brevi
  • SicurezzaAndroid, quando la falla resta apertaIl componente WebView relativo ad Android 4.3 e release precedenti, in uso presso la maggioranza degli utenti, non verrà più aggiornato: Google cede la responsabilità agli OEM. E' polemica su una politica degli update non sempre trasparente
  • SicurezzaMicrosoft critica Google per la disclosure avventataRedmond si schiera contro la pubblicazione dei dettagli delle falle di Windows 8.1 ad opera di Mountain View: la trasparenza è utile, ma solo dopo le patch
  • SicurezzaGoogle guarda alle falle di WindowsMicrosoft, che aveva ignorato il problema per tre mesi, dopo la pubblicazione dell'exploit dichiara di essere al lavoro per l'aggiornamento
  • SicurezzaGoogle, Progetto Zero contro i bug altruiUna nuova iniziativa di Mountain View si prefigge l'obiettivo di migliorare la sicurezza del software usato da un numero considerevole di persone, un investimento per scongiurare l'arrivo del prossimo caso Heartbleed
2 Commenti alla Notizia Google, quando la disclosure può attendere
Ordina