Roma – Scott Culp, il manager della sicurezza di Microsoft che lo scorso mese lanciò il suo anatema contro la pubblicazione sul Web dei cosiddetti “exploit” – codici di esempio utilizzabili per sfruttare le vulnerabilità di sicurezza – ha trovato in Alan Cox, luogotenente di Linus Torvalds nello sviluppo del kernel Linux, un inatteso alleato.
Secondo quanto ha scritto su SecurityFocus.com Jon Lasser, esponente della comunità open source e autore del libro “Think Unix” (2000, Que), la decisione di Cox di eliminare dai changelog (la lista delle modifiche) del kernel Linux ogni descrizione relativa a problemi di sicurezza, sembra infatti seguire la tesi di Culp: sopprimere ogni informazione che possa tornate utile ai cracker.
Da quanto scrive Lasser, Cox giustifica questa scelta sostenendo che la descrizione delle falle di sicurezza che affliggono il kernel di Linux potrebbero violare quanto previsto dal Digital Millennium Copyright Act (DMCA), la stessa legge che, vietando la divulgazione di sistemi atti a violare le protezioni dei software, ha fatto incriminare il programmatore russo Dmitri Sklyarov ed ha messo il bavaglio al professor Edward W. Felten nel caso SDMI.
Lo scorso luglio, in un messaggio spedito alla comunità Linux, Cox scrisse: “Dopo l’arresto di Dimitry Sklyarov è chiaro come non sia più sicuro per i progettisti di software visitare gli Stati Uniti. Nonostante egli sia stato chiaramente scelto per ragioni politiche, perché come russo è un buon esempio da mostrare al pubblico americano, il rischio si estende molto più lontano. Finché non verrà risolto il pasticcio della DMCA suggerirei a tutti i cittadini non statunitensi di boicottare le conferenze negli USA e consiglierei a tutti gli organismi statunitensi di tenere le proprie conferenze all’estero”. Evidentemente Cox ha ritenuto che queste precauzioni non siano più sufficienti per tenere il mondo degli hacker del kernel Linux lontano dai guai.
Tuttavia Lasser teme che la decisione di Cox possa creare un pericoloso precedente per tutta la comunità di sviluppatori, esponendo coloro che sono a favore del “full disclosure”, ossia della piena divulgazione di codici e descrizioni delle vulnerabilità di sicurezza, ad un rischio ancora maggiore di essere perseguiti dalla legge come criminali.
Alan Cox si è detto favorevole al full disclosure nel momento in cui un produttore di software non dimostri sufficiente tempestività nel correggere il problema, o nel caso in cui la vulnerabilità sia già ampiamente circolata nell’ambiente.
“Ragione più che sufficiente – scrive Lesser – perché Cox dimostri più cautela nell’appoggiare involontariamente gli sforzi di Microsoft e di altri nemici della divulgazione”.
Nel suo articolo, Lesser sottolinea l’estrema importanza della divulgazione degli exploit come prezioso, e spesso fondamentale, complemento all’amministrazione e alla manutenzione dei sistemi di rete. Egli sostiene che “l’arrogante assunzione di Culp di conoscere di cosa necessitino gli amministratori di rete per svolgere il loro lavoro è sbalorditiva”.
“L’appoggio da parte dell’industria al DMCA – conclude Lesser – ed i ripetuti tentativi di sopprimere la piena divulgazione delle vulnerabilità di sicurezza, sono una prova ulteriore che gli utenti debbano badare a sé stessi. Questa è una delle ragioni per cui Linux, con la sua etica open source, è sempre stato un’ottima scelta per la sicurezza. Speriamo che rimanga tale”.