Nel rispetto di quello che l’agenzia a tre lettere chiama “mese della consapevolezza sulla cyber-sicurezza”, NSA ha svelato qualche particolare sul modo in cui l’intelligence gestisce le vulnerabilità nei software a stelle e strisce, inclusa la percentuale dei bug comunicati ai produttori e quelli rimasti “inediti” per motivi di sicurezza nazionale.
Stando a quanto rivela l’agenzia che secondo il Datagate spia il mondo, quindi, più del 91 per cento delle vulnerabilità nel codice “creato o usato negli USA” e passate attraverso un processo di revisione interno, sono state poi comunicate a beneficio del pubblico e ovviamente dei produttori del software interessato.
La NSA ” target=”_blank”>ammette quindi di trattenere per sé il 9 per cento delle vulnerabilità software scoperte dai suoi analisti, un potenziale “tesoro” di falle zero day, exploit e rischi sistemici che dal punto di vista dell’intelligence rappresenterebbe un’arma legittima per la difesa della cyber-sicurezza nazionale degli USA.
La decisione di comunicare la presenza di un bug ha dei pro e dei contro , dice ancora NSA, e la gestione esclusiva delle informazioni “per un periodo di tempo limitato” può avere conseguenze significative sul fronte della cyber-sicurezza. In sostanza, come dimostrato ampiamente dal Datagate, quel 9 per cento di vulnerabilità mai rese note sono parte integrante del toolkit a disposizione dell’agenzia per spiare, crackare sistemi e compromettere il software in tutto il mondo.
Che la NSA gestisca le falle a proprio uso e consumo non è certo una novità assoluta, come sottolinea EFF , e le nuove cifre comunicate dall’agenzia non dicono nulla di preciso: non è chiaro, ad esempio, se in quel 91 per cento di vulnerabilità rese note pubblicamente siano incluse o meno le falle prima adoperate per il cyber-warfare o meno.
Alfonso Maruccia
Ti potrebbe interessare
10 nov 2015