Un'alleanza mette il bavaglio sulla sicurezza

Non disclosure. E' questo il motto di una coalizione di aziende, nata su iniziativa di Microsoft, che vorrebbe porre un freno alla divulgazione di informazioni sui buchi di sicurezza. Qualcuno protesta: Ŕ una superlobby

Un'alleanza mette il bavaglio sulla sicurezzaMountain View (USA) - Non Ŕ certo un bel periodo, questo, per coloro che sostengono la piena libertÓ di rivelare e diffondere in Rete le vulnerabilitÓ di sicurezza (un concetto sintetizzato nel termine "full disclosure").

Dopo l'aspro intervento di Scott Culp, in cui il manager per la sicurezza di Microsoft addossava al full disclosure tutta una serie di colpe, e dopo la decisione del braccio destro di Linux, Alan Cox, di non includere pi¨ i dettagli delle vulnerabilitÓ nei changelog del kernel di Linux, arriva ora l'annuncio, da parte di Microsoft, della creazione di un cartello di aziende determinate a far prevalere l'etica del "non disclosure".

Bindview, Foundstone, Guardent, @Stake, Internet Security Systems e Microsoft hanno infatti stretto un'intesa che prevede, nell'immediato, la creazione di una linea di condotta comune tesa a limitare la pubblica rivelazione delle informazioni riguardanti le vulnerabilitÓ di sicurezza. In base a questi accordi, i membri di questa coalizione - dichiaratasi aperta a tutte le aziende che ne vogliano far parte - hanno stabilito che durante i primi 30 giorni dal primo annuncio di una falla ometteranno nei propri bollettini di sicurezza ogni dettaglio sul problema ed ogni riferimento esplicito sul come sfruttarlo. Trascorso questo periodo di tempo, le aziende potranno divulgare qualche dettaglio in pi¨, ma rimangono banditi codici d'esempio (exploit) e tool che possano facilitare la vita ai cracker.
L'organizzazione, a cui non Ŕ ancora stato assegnato un nome, proporrÓ presto anche la bozza di uno standard internazionale riguardante le modalitÓ di pubblicazione e divulgazione di bug e altre vulnerabilitÓ di sicurezza, modalitÓ che seguiranno le regole promosse dall'alleanza e che avranno come obiettivo quello di scoraggiare il full disclosure.

Secondo i rappresentanti di questa coalizione capitanata da Microsoft, la pubblicazione di dettagli o exploit riguardanti i problemi di sicurezza nei software - una pratica che Culp ha definito "anarchia dell'informazione" - non farebbe altro che favorire gli "hacker maliziosi" e la proliferazione dei virus worm.

L'organizzazione conta di rilasciare anche tutta una serie di RFC (Requests for Comments) che descrivano ogni aspetto circa le modalitÓ ritenute pi¨ corrette nel riportare buchi di sicurezza, incluso il formato dei report e degli avvisi. Questi RFC verranno sottoposti alla Internet Engineering Task Force dove potranno essere commentati pubblicamente e sottoposti al processo per la trasformazione in standard ufficiali.

Come era logico attendersi, questa nuova iniziativa promossa da Microsoft ha scatenato le proteste da parte non soltanto della comunitÓ hacker, - quegli hacker che sostengono di non sentirsi affatto "maliziosi" - ma anche da parte di una larga maggioranza della comunitÓ di sviluppatori open source e di diversi esperti di sicurezza indipendenti.
TAG: microsoft
87 Commenti alla Notizia Un'alleanza mette il bavaglio sulla sicurezza
Ordina
  • Spero di non scatenare un flame di dimensioni epiche come di solito accade, ma vorrei proporvi una domanda
    Se M$ non vuole che vengano pubblicati exploit e info relativi ai LORO prodotti quindqi a win e simila, la comunità OS non può imporre che i vengano segnalati i bug del software rilasciato sotto GPL?magari modificando la GPL stessa con unaq clausola che rende perfettamente LEGALE rilasciare info sulla sicurezza di un software protetto da GPL?
    Con questo spero di non scatenare inutili polemiche, era solo una mia domanda nata pensando a ciò che ha fatto Cox e ad alcuni commenti a questa notizia dove si parlava di UNIX
    Ciao
    non+autenticato
  • Leggendo la notizia mi stavo ponendo la stessa domanda, che poi ho trovato qui espressa da pikappa. In effetti, se loro non voglio diffondere notizie sul loro software, non vedo perche' il Linux dovrebbe accodarsi. Io da non informatico ho avuto modo di vedere da vicino per un po' una piccola rete locale di PC windows, ed avendo a casa Linux sul mio computer non ho potuto non fare paragoni. Sono convinto della superiorita' del Linux e della maggiore semplicita' di manutenzione delle reti Linux, tanto da credere che rilasciare le falle di sicurezza di questo OS non sarebbe critico. Un buon amministratore riuscirebbe comunque a tenere tutto sotto controllo. Poi - lo ripeto - io non sono in informatico.
    non+autenticato
  • E non solo. Se non si hanno informazioni sulle falle di sicurezza, come fanno gli amministratori a proteggere una rete?
    non+autenticato
  • Questo da la piena dimostrazione di quanta considerazione diano certe sw-house ai propri utenti(e clienti).
    Non mi sembra giusto e l'ho gia ribadito in altri mei interventi,pubblicare gli exploit belli e pronti, ma non si possono tenere nascosti malfunzionamenti ai clienti in nome della sicurezza.
    Questa cosa verrebbe condannata da qualsiasi associazione dei consumatori, e'come se io comunicassai ad una casa automobilistica che le loro auto hanno la serratura difettosa e loro mi intimassero il silenzio minacciando di denunciarmi.
    non+autenticato
  • Esattamente, dal punto di vista puramente tecnico (e senza scatenare flame ne' crociate), cosa danno in piu' ai sysadmin gli exploit belli e pronti pubblicati sul web?
    Voglio dire, conoscere esattamente come si puo' sfruttare un bug e' senza dubbio indispensabile per poter al limite "mettere una pezza" in attesa della patch ufficiale, ma non mi sembra che serva del codice eseguibile per questo, semmai dei sorgenti; e non e' detto che gli script kiddies siano in grado di compilarli, se non sono pronti per la compilazione (togliere la chiamata a stdio.h non rende meno comprensibile un sorgente c, ma ne impedisce la compilazione).
    Che poi la politica di chiusura totale propugnata da MS, tesa ad impedire non solo la circolazione degli exploit gia' pronti, ma anche di tutte le info relative, sia in sotanza una boiata, non lo metto in dubbio
    non+autenticato
  • - Scritto da: Co.Bra.

    > ma non mi sembra che serva del codice
    > eseguibile per questo, semmai dei sorgenti;
    > e non e' detto che gli script kiddies siano
    > in grado di compilarli, se non sono pronti
    > per la compilazione (togliere la chiamata a
    > stdio.h non rende meno comprensibile un
    > sorgente c, ma ne impedisce la
    > compilazione).

    Non e' detto che i sysadmin siano in grado di compilarli.

    Molti sysadmin almeno gli script piu' comuni li provano, e sono in grado di capite se funziona o no. Ma quasi nessun Sysadmin e' un coder, soprattutto nel mondo M$.
    non+autenticato


  • - Scritto da: Co.Bra.
    > Esattamente, dal punto di vista puramente
    > tecnico (e senza scatenare flame ne'
    > crociate), cosa danno in piu' ai sysadmin
    > gli exploit belli e pronti pubblicati sul
    > web?

    Maggior controllo sui loro sistemi. Se la versione di IIS bacata si trova dietro un firewall il sysadm come fa a controllare?

    > Voglio dire, conoscere esattamente come si
    > puo' sfruttare un bug e' senza dubbio
    > indispensabile per poter al limite "mettere
    > una pezza" in attesa della patch ufficiale,
    > ma non mi sembra che serva del codice
    > eseguibile per questo, semmai dei sorgenti;

    DACCORDISSIMO.


    > e non e' detto che gli script kiddies siano
    > in grado di compilarli, se non sono pronti
    > per la compilazione (togliere la chiamata a
    > stdio.h non rende meno comprensibile un
    > sorgente c, ma ne impedisce la
    > compilazione).

    Boh... io tendo a vedere molti kiddies piu' smaliziati di moltissimi sysadm, sopratutto M$...

    non+autenticato
  • Co.Bra. scrive:
    > Esattamente, dal punto di vista puramente
    > tecnico (e senza scatenare flame ne'
    > crociate), cosa danno in piu' ai sysadmin
    > gli exploit belli e pronti pubblicati sul
    > web?

    Veramente, "exploit belli e pronti" non li
    ho mai trovati; di solito chi li pubblica
    mette almeno un errore - banale, facilmente
    correggibile da un esperto, ma che impedisce
    di usare l'exploit sic et simpliciter.

    > Voglio dire, conoscere esattamente come si
    > puo' sfruttare un bug e' senza dubbio
    > indispensabile per poter al limite "mettere
    > una pezza" in attesa della patch ufficiale,

    Di solito la pubblicazione di un exploit
    permette di "mettere il pepe al culo" al
    fornitore, che altrimenti non avrebbe
    interesse a sviluppare e distruibuire la
    patch; l'exploit, pero', non e' che una
    delle informazioni - utili ad amministratori
    ed esperti di sicurezza - che Microsoft
    vuole rendere segrete.

    Per non disturbare il prossimo Nimda, presumo ...
    non+autenticato
  • Attenzione, chi ci guadagna da questa politica, è chi ha il sw tendenzialmente più bug-ato.
    Non possiamo, non dobbiamo, non vogliamo, aderire a questa politica, che di fatto spunta un'arma dello UNIX nei confronti dei sistemi M$: la sicurezza.
    Per questo va respinta al mittente; ed esortato i sysadmin, gli sviluppatori che hanno a cuore il mondo UNIX a conmtinuare l'attività di monitoraggio e rilevamento bug, soprattutto degli o.s. win; con conseguente fornitura (se possibile) dell'exploit relativo.
    In effetti c'è da credere che il motivo principale per cui oggi sui server M$ occupi circa il 46% da oltre il 50% che era, Linux il 28% circa ed il resto gli altri UNIX sostanzialmente, lo si deve alle migliori performance ed alla migliore stabilità in max parte degli UNIX?
    No!!
    Lo si deve anche a questi fattori, ma per la maggiore alla sicurezza, almeno nei server di fascia piccolo/media.
    E per il desktop le cose sono ancora più stringenti: un'ut., che predilige mediamente la facilità, non sceglierà Linux (o cmq altri UNIX) per la stabilità o per le performance; ma se c'è un'arma che può portarlo a scegliere Linux, lasciando la facilità (da circo) della M$ è la sicurezza.
    Se aboliamo l'insicurezza (falso) dei sistemi win (falso poichè esisterebbero cmq, sarebbero solo nascosti), togliamo l'arma principale di Linux nel desktop.
    Questa politica non conviene allo UNIX cosi come a Linux in particolare, gli toglie un'arma nei confronti di win, poichè tendenzialmente gli o.s. UNIX sono più sicuri dei win (merito anche di una filosofia costruttiva diversa).
    Per cui, oltre a convincere A. Cox a ritornare sui suoi passi (mossa sbagliata di A. Cox), va respinta al mittente la proposta. Anzi, intensifichiamo l'attività, proprio in Europa, per mettere gli USA con le spalle al muro, costringendoli a rivedere il DMCA act, voluto dalle house dell'audio/video, e sponsorizzato da M$. Che ricordate è l'unica a guadagnarci, e se non si vuole questo, ma anzi si vuole ridurre il peso di M$, questa proposta va respinta.
    E' una "guerra", ed in una guerra non si buttano le armi per fare un favore al nemico; ma si usano al meglio per i propri vantaggi!
    non+autenticato
  • hahahahahahahahahahahahahhahahahahahaha!!!! quasta di M$ a favore del'omerta' e' una bella cazzata, ma quelle che dici tu sono bellissime...se tenete a Unix???? continuate a monitorare i bug di winnt????...ahhahahahahahahahahahahaa figa sei un grande grazie di esistere.

    Quindi seconto te Unix potrebbe perdere terreno causa l'aumentata sicurezza di NT per via dell'omerta' di chiccessia....poveracci noi/voi e tutto il mondo del'IT.

    Tu non vuoi il bene dell'Informazione ma solo quelle della tua marchetta da sistemista Unix.

    Nasconditi sotto i sassi Lamma.
    non+autenticato
  • Bravo continua a ridere... non penso che riderai anche quando della gente incazzatissima per quello che hai scritto ti butterà all'aria il tuo bel server NT PIENO di BUG fino al buco del culo.
    Questo sono gli hackers, persone che sono nate su internet, che si vedono togliere pian piano i loro diritti di sapere tutti i problemi di sicurezza (a scopo benefico) a causa aziende come microsoft che intraprendono una politica enormemente scorretta per la comunità internet solo per continuare a guadagnare miliardi su miliardi.
    Quanto a Unix, in confronto la microsoft non è altro che una piccolissima porzione di rete non l'avranno vinta.
    Pubblicare i bug è essenziale perchè rimangano molti posti di lavoro come security admin che correggono continuamente questi buchi, non si può insabbiare tutto e sostituire tutto con uno stupido software che ci farebbe diventare vittime incontrastate di molti malintenzionati.
    non+autenticato
  • Non ho ben capito cosa vuoi dire????... poi ehhmm proprio ti sbagli gli Hacker non sono nati affatto con Internet e nemmeno gli Smane.

    Poi chi ti ha detto che ho un server NT?A bocca aperta

    Ciao Ne'
    non+autenticato
  • > Poi chi ti ha detto che ho un server NT?A bocca aperta

    Beh, in effetti da come ti esprimi piu' in la di ME non credo tu possa andare.
    NT, lo posso dire con cognizione di causa perche' lo uso, mi sembra un gradino troppo alto per te.
    non+autenticato
  • - Scritto da: nt-user
    > Beh, in effetti da come ti esprimi piu' in
    > la di ME non credo tu possa andare.
    > NT, lo posso dire con cognizione di causa
    > perche' lo uso, mi sembra un gradino troppo
    > alto per te.
    Hai sicuramente ragioneA bocca aperta

    non+autenticato


  • - Scritto da: nt-user
    > > Poi chi ti ha detto che ho un server NT?
    > A bocca aperta
    >
    > Beh, in effetti da come ti esprimi piu' in
    > la di ME non credo tu possa andare.
    > NT, lo posso dire con cognizione di causa
    > perche' lo uso, mi sembra un gradino troppo
    > alto per te.

    Questo in genere lo sostengono tutti i sysadmin NT che non hanno mai visto un sitema UNIX. Io ho lavorato sia su sistemi NT che su sistemi UNIX e non ho ancora trovato qualche task che NT sappia risolvere in modo anche lontanamente paragonabile a UNIX senza spendere almeno 6 pali di software aggiuntivo. Certo chi ha visto solo DOS e Win9x rimane a bocca aperta di fronte ad un sistema multiutente (quasi) e che esternamente si comporta (circa) come un sistema multitasking in modalita' protetta... d'altronde la sicurezza di un sistema dipende molto dal sysadm, e se si usa un sistema operativo che anche un imbecille e' in grado di far (forse) funzionare, chissa' quanti imbecilli ci sono (sempre con le doverose eccezioni, naturalmente!)
    non+autenticato
  • - Scritto da: ironclad
    > Questo in genere lo sostengono tutti i
    > sysadmin NT che non hanno mai visto un
    cut...cut
    > funzionare, chissa' quanti imbecilli ci sono
    > (sempre con le doverose eccezioni,
    > naturalmente!)
    Bravo questo e' un atteggiamento positivo, tutti coglioni quelli che usano NT/2000 per i loro server.
    non+autenticato


  • - Scritto da: X-MaD
    >
    > Quindi seconto te Unix potrebbe perdere
    > terreno causa l'aumentata sicurezza di NT
    > per via dell'omerta' di
    > chiccessia....poveracci noi/voi e tutto il
    > mondo del'IT.
    >

    Non mi sembra che qualcuno abbia detto "aumentata sicurezza di NT"... solo che nessuno (pochi) potranno dimostrare che NT e' bacato....
    Peraltro quei pochi che vanno a dire "ho trovato un bug..." potrebbero essere perseguibili dalla legge in quanto autori di reverse enginering e altre pratiche terroristiche, cosi' sarebbero sempre meno quelli che dichiarano le vulnerabilita'.... almeno pubblicamente!!!

    > Tu non vuoi il bene dell'Informazione ma
    > solo quelle della tua marchetta da
    > sistemista Unix.

    In realta la cosa conviene anche ai buoni sistemisti NT che vorrebbero sapere come mai la loro rete e' un colabrodo... (altrimenti basta lavarsi le mani dicendo "Siamo in attesa delle patch da Redmond.. cosa vuole ch importi se qualche ragazzino e' entrato nel sistema e si ha preso il file con i numeri di carta di credito..."
    non+autenticato
  • Ma forse non avete capito:
    Io considero questa iniziativa peggio della peste bubbonica (Information Want To Be Free diceva un tale, e quel tale la sapeva lunga credetemi).

    A me non e' piaciuto che BSD_Like facesse delle ridicole affermazione da crociato *nix.. perche' il punto non e' la ridicola diatriba e piu' bello il mio Linux del tuo NT di cacca, il punto e' che la politica di M$ e il suo monopolio fanno ormai paura, INDIPENDENTEMENTE dai sui prodotti.

    Ho cmq sbagliato a dare del Lamma a chi di fatto non conosco.... mi sono comportato da lammerone io stesso.
    non+autenticato
  • Per me il bene dell'IT e degli o.s. passa solo con UNIX, innanzi tutto!
    Poi, non ho grande dispiacere per i soprannomi, preferisco valutare le tue critiche (poche, potevi se ne avevi darne di più).
    Come detto non esiste un'o.s. che sia performante stabile, sicuro e al contempo facile. Ora siccome per la facilità, gli ut. prediligono win, e dicasi per motivi analoghi le ditte (se win avesse la sicurezza degli UNIX, oggi sarebbe all'85% dei server; non ci sarebbe giusto sui server dove sono espressamente richieste performance e stabilità), se si concede a zio Bill un'arma, questo la userà sicuramente per aumentare il suo "dominio", e per espandere la "peste" (passatemela, via..) di win ancora di più.
    Non ci vuole Gandhi per capire che è ingiusto, anche nei confronti dello UNIX in generale, le cui qualità, non verrebbero tutte riconosciute.
    Infine, non sò a quale "marchetta" di UNIX alludi; io conosco: Linux, FreeBSD, OpenBSD, NetBSD, Solaris, AIX, Plan9, QNX, Digital UNIX; appena oggi ho installato nell'azienda (settore inf. di una delle 5 più grandi aziende italiana) Linux su un server della Siemens con 4 Ppro destinato ad Oracle e SAP essenzialmente, per uso interno. Per superare e capire i problemi del Myles DAC960p/PD che equipaggia il server Primergy 500, il Bios degli SCSI; in modo da farlo funzionare per Linux; in 1 settimana sono tornato a casa 2 volte alle ore 21:20; altrimenti veniva destinato a win: mai, qualsiasi sacrificio ma win mai! Ed oggi è riuscito.
    Come hai riportato non si difende solo UNIX rifiutando questa proposta, ma anche; e chi sta a cuore questi o.s. non concede terreno ad M$ (al nemico)!!
    non+autenticato
  • A mio avviso qui qualcuno sta davvero esagerando.
    Non basta che le multinazionali del software ci abbiano abituato a programmi che si piantano di continuo, dalle features evanescenti, scarsamente funzionanti, in grado di cancellare in pochi minuti il lavoro di giorni.
    E già, è ormai diventata una consuetudine: il computer si pianta per qualche non meglio precisato difetto e l'unica cosa che ci resta da fare è da inveire contro chissà quale divinità informatica prima di rimboccarci le maniche e ricominciare tutto da capo, sperando stavolta di avere miglior sorte in questa sorta di roulette russa.
    Chi ti vende il software ovviamente non ha nessuna responsabilità in tutto ciò: anche se sborsi suon di milioni in software "professionale" nessuno ti da alcuna garanzia sul fatto che questo software riesca a svolgere il lavoro per il quale è stato concepito.
    In altre parole, è come se la tua fiammante ferrari, nuova fiammante, non abbia alcuna garanzia sull'affidabilità dei freni.
    E' naturale che gli imprevisti siano in agguato dietro l'angolo, ma la casistica di crash di numerosi software "seri" fa pensare, senza purtroppo neanche molta ironia, che l'imprevisto sia il funzionamento e non il malfunzionamento.
    E la società produttrice del software che cosa fa in questi casi? Che responsabilità ha? Praticamente nessuna.
    E' curioso osservare come in altri settori dell'industria, ad esempio nel settore degli elettrodomestici, esista il concetto di responsabilità del produttore: se uno si ustiona o prende la scossa per via di un prodotto mal realizzato o non conforme a determinate regole di sicurezza può avere come minimo diritto a un risarcimento danni.
    Sempre nel settore elettrodomestici, in italia esiste l'istituto del marchio di qualità, la famosa IMQ, che si occupa di rilasciare certificazioni per i vari prodotti e di vigilare sulla qualità degli stessi.
    E per il software?
    Si, ok, il software è una scienza (forse sarebbe meglio dire alchimia) troppo complessa o troppo poco deterministica, ma possibile che non si possa davvero fare qualcosa?
    Agli utenti del software chi ci pensa?
    Possibile che ogni volta si debba subire una simile prepotenza da parte delle multinazionali del sw?
    A sentire questi singori sembrerebbe che i problemi dei loro software siano inesistenti, e anche nel caso che tali problemi di fatto esistessero, diventerebbe illegale parlarne.
    Ma di che cosa si tratta, di tecnologia o di fanatismo religioso?
    Non ho parole.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)