Google ammetterà delle eccezioni alla propria policy di rivelazione pubblica dei bug individuati nel codice altrui: l’inesorabile ultimatum che scade a 90 giorni dalla prima segnalazione privata potrà essere prorogato, così da consentire la distribuzione delle patch in corso di lavorazione.
L’ iniziativa Google Project Zero, spiegano i rappresentanti di Mountain View in un post ufficiale, prevede un conto alla rovescia di 90 giorni, che scatta nel momento in cui la vulnerabilità viene segnalata all’azienda a cui compete rimediare e culmina con una disclosure pubblica della falla: si tratta di una policy comune a molte aziende, utile a sollecitare una reazione che ponga fine al problema. Mountain View snocciola qualche numero: dei 154 bug risolti dopo le segnalazioni private di Project Zero, l’85 per cento è stato sistemato entro i 90 giorni dalla segnalazione; i 37 problemi individuati in Adobe Flash sono tutti stati risolti entro la scadenza fissata da Google, e nel mese di febbraio non sono previste rivelazioni pubbliche su falle ancora da tappare. Le scadenze che si accompagnano a Project Zero, però, fanno emergere però una situazione disdicevole: “la community di attaccanti pronti a sfruttare le vulnerabilità – osserva Google – investe nella ricerca decisamente di più rispetto alla community di ricercatori che dovrebbe operare per difendersi”. Ad alcune disclosure pubbliche effettuate allo scadere dei 90 giorni, riconosce Google senza citare i nomi delle dirette interessate Apple e Microsoft, è stato posto rimedio in tempi abbastanza brevi a seguito della pubblicazione dei bug.
Per questo motivo, probabilmente incoraggiata dall’ ampio dibattito seguito all’ intervento di Microsoft e al suo invito ad una discolusre più responsabile che sappia rispettare i tempi delle aziende vittime delle falle, Google ha scelto di transigere: oltre ad assegnare un codice CVE, così da assicurare un’identità standard alla vulnerabilità, d’ora in poi Mountain View ammetterà delle eccezioni alle tempistiche della pubblicazione dei bug. Si terrà dunque conto dei fine settimana e delle festività: la disclosure avverrà nel giorno feriale successivo alla scadenza. Si concederà inoltre all’azienda colpita dal bug la possibilità di posticipare di 14 giorni la pubblicazione dei dettagli della falla nel caso in cui una patch sia in fase di sviluppo: se è prevista una sistemazione per il codice afflitto dal problema ed è stata fissata nel giro di pochi giorni una data del rilascio della patch, Google ammetterà una proroga, dando così la possibilità di distribuire la patch senza scombinare i ritmi degli update a cui gli utenti sono abituati. Non sono previsti favoritismi , e Google si riserva il diritto di modificare le scadenze degli ultimatum “sulla base di circostanze estreme”.
“Se è positivo osservare alcune modifiche alle pratiche di disclosure – ha commentato Chris Betz, a capo del Security Response Center di Microsoft, che aveva ammonito Google invitandola ad una policy più responsabile – siamo in disaccordo con l’arbitrarietà delle scadenze, perché ogni problema di sicurezza fa storia a sé e i tempi per lo sviluppo e il test di un aggiornamento variano”. La disclosure pubblica, secondo Redmond, resta un atto che mette a rischio in primo luogo gli utenti.
Gaia Bottà