Mountain View (USA) - Non è certo un bel periodo, questo, per coloro che sostengono la piena libertà di rivelare e diffondere in Rete le vulnerabilità di sicurezza (un concetto sintetizzato nel termine "full disclosure").
Dopo l'
aspro intervento di Scott Culp, in cui il manager per la sicurezza di Microsoft addossava al full disclosure tutta una serie di colpe, e dopo
la decisione del braccio destro di Linux, Alan Cox, di non includere più i dettagli delle vulnerabilità nei changelog del kernel di Linux, arriva ora l'annuncio, da parte di Microsoft, della creazione di un cartello di aziende determinate a far prevalere l'etica del "non disclosure".
Bindview, Foundstone, Guardent, @Stake, Internet Security Systems e Microsoft hanno infatti stretto un'intesa che prevede, nell'immediato, la creazione di una linea di condotta comune tesa a limitare la pubblica rivelazione delle informazioni riguardanti le vulnerabilità di sicurezza. In base a questi accordi, i membri di questa coalizione - dichiaratasi aperta a tutte le aziende che ne vogliano far parte - hanno stabilito che durante i primi 30 giorni dal primo annuncio di una falla ometteranno nei propri bollettini di sicurezza ogni dettaglio sul problema ed ogni riferimento esplicito sul come sfruttarlo. Trascorso questo periodo di tempo, le aziende potranno divulgare qualche dettaglio in più, ma rimangono banditi codici d'esempio (exploit) e tool che possano facilitare la vita ai cracker.
L'organizzazione, a cui non è ancora stato assegnato un nome, proporrà presto anche la bozza di uno standard internazionale riguardante le modalità di pubblicazione e divulgazione di bug e altre vulnerabilità di sicurezza, modalità che seguiranno le regole promosse dall'alleanza e che avranno come obiettivo quello di scoraggiare il full disclosure.
Secondo i rappresentanti di questa coalizione capitanata da Microsoft, la pubblicazione di dettagli o exploit riguardanti i problemi di sicurezza nei software - una pratica che Culp ha definito "anarchia dell'informazione" - non farebbe altro che favorire gli "hacker maliziosi" e la proliferazione dei virus worm.
L'organizzazione conta di rilasciare anche tutta una serie di RFC (Requests for Comments) che descrivano ogni aspetto circa le modalità ritenute più corrette nel riportare buchi di sicurezza, incluso il formato dei report e degli avvisi. Questi RFC verranno sottoposti alla Internet Engineering Task Force dove potranno essere commentati pubblicamente e sottoposti al processo per la trasformazione in standard ufficiali.
Come era logico attendersi, questa nuova iniziativa promossa da Microsoft ha scatenato le proteste da parte non soltanto della comunità hacker, - quegli hacker che sostengono di non sentirsi affatto "maliziosi" - ma anche da parte di una larga maggioranza della comunità di sviluppatori open source e di diversi esperti di sicurezza indipendenti.