Microsoft richiama alla responsabilità le aziende di settore: è necessario lavorare compatti, senza seguire strategie solipsistiche, per garantire la sicurezza degli utenti. Google, il principale destinatario dell’ammonizione di Redmond, si è comportato diversamente, rivelando al mondo delle pericolose falle che affliggono Windows 8.1, prima della pubblicazione della relativa soluzione: Microsoft non risparmia le critiche.
Una prima pubblicazione dei dettagli relativi al bug del sistema operativo di Microsoft è avvenuta alla fine di dicembre, seguita da un’ altra pubblicazione relativa a un secondo bug. Le scelte di Mountain View sono state determinate dalle date scandite da Project Zero , progetto con cui la Grande G si impegna a monitorare i software altrui alla ricerca di falle, a rivelarle agli sviluppatori e a sollecitarli con la promessa di una disclosure pubblica, una volta trascorsi tre mesi dalla prima segnalazione. Se Google ha organizzato questo sistema allertare gli utenti e per stimolare i tecnici a una rapida risoluzione dei problemi, Microsoft ritiene che si tratti di una scelta irresponsabile.
Chris Betz, a capo del Microsoft Security Response Center (MSRC), spiega che Google ha ignorato la richiesta di Redmond di temporeggiare nella pubblicazione delle informazioni relative alle vulnerabilità: nonostante la patch per la seconda vulnerabilità fosse pronta per essere rilasciata entro pochi giorni dopo la disclosure, rispettando le tempistiche del Patch Tuesday , Mountain View avrebbe scelto di proseguire sulla propria strada, consegnando ai media e ai malintenzionati un succulento argomento di conversazione.
Il tutto, denuncia Microsoft, ai danni dell’ utente finale : non tutti si sanno difendere autonomamente, senza una soluzione fornita dallo sviluppatore del software fallato, spiega Betz, e anche coloro che si muovono per mettersi ai ripari sono sottoposti a “un rischio significativamente aumentato dalla pubblicazione di informazioni che un cybercriminale potrebbe usare per orchestrare un attacco”.
L’approccio adeguato, secondo Microsoft, è quello della Coordinated Vulnerability Disclosure ( CVD ), sulla base del quale ricercatori di sicurezza e aziende lavorano fianco a fianco per la trasparenza, ma non prima di aver risolto i problemi del codice, operazione che può richiedere tempi differenti a seconda del contesto: Betz spiega che pressoché nessuna delle vulnerabilità gestita privatamente prima del rilascio di un fix è stata sfruttata da malintenzionati, a differenza delle vulnerabilità rese pubbliche anzitempo. “Le policy e gli approcci che limitano o ignorano la collaborazione fra aziende – questa la convinzione di Redmond – non fanno bene né ai ricercatori di sicurezza, né alle aziende che vendono software, né ai consumatori. È un gioco a somma zero in cui tutte le parti finiscono per essere danneggiate”.
L’Update Tuesday in programma per domani conterrà la patch utile a sistemare il secondo bug segnalato da Google: per la prima volta, dopo 10 anni, la giornata dedicata agli aggiornamenti non è stata preceduta da alcun tipo di notifica a favore degli utenti consumer.
Gaia Bottà
Ti potrebbe interessare
12 gen 2015