Gaia Bottà

Sicurezza, i confini della disclosure

Dove finisce la descrizione di un bug e dove iniziano i dettagli del codice proprietario che certe aziende vorrebbero restassero riservati? Due security company a confronto

Roma - Il mercato delle vulnerabilità vive un momento tumultuoso e il rapporto tra ricercatori e vittime di bug è sempre di più oggetto di dibattito, soprattutto dopo le prese di posizione pubbliche di Google e Microsoft in materia della trasparenza autimposta da programmi come Google Project Zero. Se è eticamente complesso tracciare un confine tra ciò che è giusto venga rivelato e ciò che è più responsabile sottacere, la security company FireEye, questa volta nel ruolo di vittima di una vulnerabilità, mostra di avere le idee chiare: a dimostrarlo, la battaglia mossa nei confronti della security company tedesca ERNW, che ha individuato i bug e avrebbe voluto renderli pubblici per il bene comune, a fini di studio.

Dalla presentazione di Wilhelm

L'azienda tedesca racconta nel proprio blog ufficiale di aver individuato delle falle nel pacchetto di software Malware Protection System di FireEye: i problemi erano stati segnalati nel mese di aprile alla security company statunitense, con la quale si era trovato un accordo per la disclosure dei problemi, prevista dopo i 90 giorni successivi e dopo il rilascio di patch correttive.

FireEye ha avuto modo di consultare i documenti che ERNW aveva preparato per la comunicazione pubblica del proprio operato di ricerca, e ha ritenuto che si spingessero troppo oltre: "Dal punto di vista di FireEye - spiega il fondatore di ERNW - contenevano troppi dettagli tecnici riguardo al funzionamento di MPS, entravano in dettagli non necessari per descrivere le vulnerabilità e, ancora peggio, avrebbero garantito informazioni ai malintenzionati".
Nonostante la security company tedesca ritenesse di aver reso pubbliche le sole informazioni necessarie a comprendere il funzionamento dei bug, aveva accettato di rimuovere i tecnicismi che impensierivano FireEye, e aveva altresì accettato di rimandare la disclosure: all'inizio del mese di agosto un incontro faccia a faccia fra i vertici delle due aziende sembrava aver suggellato la versione definitiva del documento da poter diffondere, spiega ERNW.
La versione di FireEye è evidentemente diversa: non era trascorso nemmeno un giorno dall'incontro quando l'azienda tedesca ha ricevuto una comunicazione legale che, sulla base di presunte violazioni di proprietà intellettuale, diffidava ERNW dal diffondere informazioni relative al contesto della vulnerabilità. A questa prima diffida informale è seguita una ingiunzione del tribunale di Amburgo, che ha costretto ERNW a emendare la presentazione.

Dalla presentazione di Wilhelm

Il ricercatore Felix Wilhelm ha illustrato in pubblico le vulnerabilità nei giorni scorsi, in occasione della conferenza londinese 44CON: le slide del suo intervento, disseminate di espliciti riferimenti alla "censura" operata sulle informazioni, premettevano l'incompletezza della propria relazione, da cui certi dettagli utili a comprendere la natura delle vulnerabilità sono stati omessi per via dei procedimenti legali in corso.
"Si sta comprimendo non solo la libertà di espressione ma anche la possibilità di avvertire e informare gli utenti, molti dei quali hanno partecipato all'evento - ha lamentato Steve Lord, fra gli organizzatori dell'evento - trovo bizzarra, assurda e non professionale la loro reazione alla ricerca".

FireEye ha fornito la propria replica, assicurando che non sia intenzione dell'azienda ostacolare la disclosure delle vulnerabilità: "Non volevamo che venissero rese pubbliche alcune delle informazioni proprietarie che potrebbero mettere a rischio le nostre attività e i nostri utenti".

Gaia Bottà
Notizie collegate
  • SicurezzaIE, HP alla guerra delle vulnerabilitàHewlett-Packard rilascia un exploit per un baco presente in Internet Explorer, un problema che Microsoft si rifiuta di risolvere. Adobe è invece impegnata a distribuire l'ennesima patch correttiva per Flash Player
  • SicurezzaMercato delle vulnerabilità, i soldi non bastanoI ricercatori studiano il metodo più efficace per incrementare la disclosure delle vulnerabilità nel software e analizzano il mercato delle falle. Un mercato non necessariamente governato dalla legge della domanda e dell'offerta
  • SicurezzaGoogle, quando la disclosure può attendereL'ultimatum della pubblicazione dei dettagli delle falle diventa meno rigido: Mountain View terrà conto dei giorni festivi, e concederà proroghe alle aziende che mostrino buona volontà. Microsoft non è pienamente soddisfatta
3 Commenti alla Notizia Sicurezza, i confini della disclosure
Ordina
  • E' bello vedere tanti esperti di "sicurezza" silurati uno dietro l' altro. Avanti il prossimo e boia chi mollaCon la lingua fuori .
    non+autenticato
  • invece di esser cortesi ed avvisare che hanno fatto una cavolata, spiegargli dove l'anno fatta ed aspettare che la sistemino prima di annunciare che c'è un errore di progettazione che rende pericoloso usare il loro prodotto, saranno meno cortesi e annunceranno direttamente l'errore di progettazione, accompagnandolo da un funzionante ma non documentato proof of concept.

    Sono cortesi e li tratti a pesci in faccia? E allora bando alle cortesie: la prossima volta sarai troppo impegnato a correre per tappare il buco prima che siano i tuoi clienti a farti causa per trovare il tempo di disquisire sulle virgole dei documenti o scrivere ingiunzioni.

    A volte veramente sembra di essere all'asilo infantile...
    non+autenticato
  • hanno scritto:

    "Non volevamo che venissero rese pubbliche alcune delle informazioni proprietarie che potrebbero mettere a rischio le nostre attività e i nostri utenti".

    ma si legge:
    "Non volevamo che venissero rese pubbliche alcune delle informazioni proprietarie che dimostrassero quanto siamo cazzoni e quanto poco teniamo a qeulle vacche da mungere che per legge siamo costretti a chiamare 'utenti'.
    non+autenticato