Alfonso Maruccia

NSA, la sicurezza e i bug altrui

L'agenzia di intelligence fa propaganda e fornisce un paio di numeri sulle vulnerabilitÓ scovate nei software statunitensi: buona parte dei bug viene riferita ai produttori, quel che resta serve a combattere le minacce

NSA, la sicurezza e i bug altruiRoma - Nel rispetto di quello che l'agenzia a tre lettere chiama "mese della consapevolezza sulla cyber-sicurezza", NSA ha svelato qualche particolare sul modo in cui l'intelligence gestisce le vulnerabilità nei software a stelle e strisce, inclusa la percentuale dei bug comunicati ai produttori e quelli rimasti "inediti" per motivi di sicurezza nazionale.

NSA

Stando a quanto rivela l'agenzia che secondo il Datagate spia il mondo, quindi, più del 91 per cento delle vulnerabilità nel codice "creato o usato negli USA" e passate attraverso un processo di revisione interno, sono state poi comunicate a beneficio del pubblico e ovviamente dei produttori del software interessato.

La NSA ammette quindi di trattenere per sé il 9 per cento delle vulnerabilità software scoperte dai suoi analisti, un potenziale "tesoro" di falle zero day, exploit e rischi sistemici che dal punto di vista dell'intelligence rappresenterebbe un'arma legittima per la difesa della cyber-sicurezza nazionale degli USA.
La decisione di comunicare la presenza di un bug ha dei pro e dei contro, dice ancora NSA, e la gestione esclusiva delle informazioni "per un periodo di tempo limitato" può avere conseguenze significative sul fronte della cyber-sicurezza. In sostanza, come dimostrato ampiamente dal Datagate, quel 9 per cento di vulnerabilità mai rese note sono parte integrante del toolkit a disposizione dell'agenzia per spiare, crackare sistemi e compromettere il software in tutto il mondo.

Che la NSA gestisca le falle a proprio uso e consumo non è certo una novità assoluta, come sottolinea EFF, e le nuove cifre comunicate dall'agenzia non dicono nulla di preciso: non è chiaro, ad esempio, se in quel 91 per cento di vulnerabilità rese note pubblicamente siano incluse o meno le falle prima adoperate per il cyber-warfare o meno.

Alfonso Maruccia
Notizie collegate
  • AttualitàUSA, il Senato sceglie la sorveglianza di CISALa politica di Capitol Hill ha approvato la controversa legge per la cyber-sicurezza, anche se in realtÓ la nuova norma rafforza solo il tecnocontrollo dell'intelligence. La battaglia non Ŕ ancora finita, promettono gli oppositori
  • BusinessSafe Harbor, pressioni dall'Italia e dall'UEL'Europa, all'unisono con il Garante Privacy, ricorda alle aziende che per trasferire i dati oltreoceano non bastano le autocertificazioni previste da 15 anni a questa parte. Le negoziazioni con gli States devono accelerare
  • AttualitàZerodium, un milione di dollari per il bug su iOSLa societÓ che vende e compra exploit assegna uno dei suoi sostanziosi premi in denaro a un team di hacker provetti, che Ŕ stato capace di bypassare tutte le difese di iOS e installare una app malevola. La NSA ci andrÓ a nozze
  • SicurezzaPwn2Own, attentato alla cybersicurezza?HP revoca al proprio supporto all'edizione giapponese della manifestazione che premia i ricercatori pi¨ abili nello sfruttare i bug: l'accordo di Wassenaar sull'esportazione di armi e tecnologie non Ŕ abbastanza chiaro
2 Commenti alla Notizia NSA, la sicurezza e i bug altrui
Ordina