CERT svela i codici degli exploit

Modificando le sue ultradecennali regole di condotta, il CERT sposa a metà le politiche di altri siti di sicurezza pubblicando, dopo 45 giorni dalla loro scoperta, il codice delle falle di sicurezza. Chi festeggia: utenti o cracker?

Web - Dopo 12 anni di vita il CERT cambia la sua politica e, con una decisione che non mancherà di suscitare qualche polemica fra le aziende, decide di pubblicare il codice di tutte le falle di sicurezza che verranno annunciate presso il suo sito a partire dal 20 novembre.

A differenza di altre risorse on-line che mettono subito a disposizione il codice degli exploit di sicurezza, il CERT ha però ritenuto opportuno non rivelare questi dettagli prima che siano passati 45 giorni dalla segnalazione della vulnerabilità, un lasso di tempo che può, in casi particolari, essere modificato a seconda della gravità più o meno elevata del problema di sicurezza.

Il CERT ritiene infatti che il rilascio immediato dei codici andrebbe tutto a favore dei malintenzionati e dei cracker, lasciando gli utenti in uno stato di rischio troppo elevato. Per contro, la pubblicazione dei codici dopo un ragionevole periodo di tempo può spingere le aziende a prendere provvedimenti con più solerzia, a tutto beneficio degli utenti.
In Rete, la condotta del CERT è sicuramente la più conservatrice:, il rilascio al pubblico dei codici degli exploit, a partire dal noto SecurityFocus, per finire ai "cacciatori di bug" come Georgi Guninski, avviene generalmente in tempi brevissimi dalla segnalazione all'azienda interessata, spesso in meno di 24 ore.