CERT svela i codici degli exploit

Modificando le sue ultradecennali regole di condotta, il CERT sposa a metÓ le politiche di altri siti di sicurezza pubblicando, dopo 45 giorni dalla loro scoperta, il codice delle falle di sicurezza. Chi festeggia: utenti o cracker?

Web - Dopo 12 anni di vita il CERT cambia la sua politica e, con una decisione che non mancherÓ di suscitare qualche polemica fra le aziende, decide di pubblicare il codice di tutte le falle di sicurezza che verranno annunciate presso il suo sito a partire dal 20 novembre.

A differenza di altre risorse on-line che mettono subito a disposizione il codice degli exploit di sicurezza, il CERT ha per˛ ritenuto opportuno non rivelare questi dettagli prima che siano passati 45 giorni dalla segnalazione della vulnerabilitÓ, un lasso di tempo che pu˛, in casi particolari, essere modificato a seconda della gravitÓ pi¨ o meno elevata del problema di sicurezza.

Il CERT ritiene infatti che il rilascio immediato dei codici andrebbe tutto a favore dei malintenzionati e dei cracker, lasciando gli utenti in uno stato di rischio troppo elevato. Per contro, la pubblicazione dei codici dopo un ragionevole periodo di tempo pu˛ spingere le aziende a prendere provvedimenti con pi¨ solerzia, a tutto beneficio degli utenti.
In Rete, la condotta del CERT Ŕ sicuramente la pi¨ conservatrice:, il rilascio al pubblico dei codici degli exploit, a partire dal noto SecurityFocus, per finire ai "cacciatori di bug" come Georgi Guninski, avviene generalmente in tempi brevissimi dalla segnalazione all'azienda interessata, spesso in meno di 24 ore.