Non toccate i Bug Hunter!

Scoprono i problemi di sicurezza dei software e vengono criticati dalle aziende perché mettErebbero a rischio gli utenti. Ma l'ignoranza non protegge il consumatore dai software "nati male"

Web - Piove sui "Bug Hunter", sui cacciatori di buchi nei software, soprattutto su quegli avventurieri che lavorano su programmi utilizzati da milioni di utenti Internet e che scovano problemi di sicurezza capaci di compromettere i dati, la privacy e il sistema di chi li usa. Piove, perché sta montando una polemica sul modo in cui alcuni di loro, molti di loro, diffondono i dati delle proprie scoperte. C'è chi sostiene che quando si trova un bug bisogna comunicarlo solo all'azienda produttrice del software fallato, altrimenti si dà una mano a crackers e affini.

Ad Associated Press nei giorni scorsi il boss della sicurezza Microsoft, Scott Culp, ha messo all'indice i cacciatori di bachi che diffondono le proprie scoperte per prendersene il merito: "Facendo uscire queste informazioni è possibile raggiungere qualcuno che intraprenda passi per difendere il proprio sistema. Ma è molto più sicuro che venga raggiunto chi utilizzerà quelle informazioni per colpire gli utenti dei software fallati". Secondo Culp un cacciatore, quando scopre un bug, dovrebbe prima di tutto aiutare il produttore a trovare una soluzione.

Ma non è una strada che intraprendono in molti, per ragioni che sembrano ovvie. Anzitutto un Bug Hunter ha tutto l'interesse a rendere pubbliche le proprie scoperte, perché questo significa vedere riconosciuto il proprio valore e veder crescere le proprie "quotazioni". In secondo luogo, come sostiene Georgi Guninski, il re dei cacciatori di bug nei software Internet, "rendere pubblico un baco non fa danni. Credo che scoprire i buchi di sicurezza renda i prodotti più sicuri". Non solo, sono molti i produttori, un caso recente è quello di Critical Path, che neppure dopo molti giorni dalla notifica di un baco nei propri sistemi intraprendono la via di una soluzione o di un aggiornamento del software fallato. A quel punto, rivelare l'esistenza del bug diventa una forma di garanzia per l'utente che utilizza, senza sapere, un programma pericoloso.
Ma l'ignoranza di un baco nel software che si utilizza può essere considerata una forma di protezione? In fondo questo è quanto propongono alcuni eminenti esponenti del mondo della sicurezza. Basti pensare che Joel de la Garza, di Securify, è arrivato a proporre un "Giuramento di Ippocrate" per i Bug Hunter, con il quale la non diffusione delle informazioni verrebbe elevata a stile di vita.

L'altra sponda è fortunatamente ben rappresentata, perché questa polemica sta facendo uscire allo scoperto tecnici e produttori di alto livello, come Ron Moritz, boss informatico di Symantec, secondo cui la diffusione dei dati è sempre utile, in ogni caso, anche se l'azienda produttrice non è pronta a coprire il baco: "Qualche volta la minaccia non può essere dissolta in un attimo, ma se si parla della cosa allora sia i buoni che i cattivi sono informati, in caso contrario lo sanno solo i cattivi".

E forse proprio ai "cattivi" dovrebbe pensare chi se la prende con un Guninski o un Gibson che, dopo averle comunicate ai produttori, rendono pubbliche le proprie scoperte entro 24 ore. Nessun utente verrà mai a dire loro: avrei preferito non sapere.

Gilberto Mondi
TAG: sicurezza