Roma – Chi aveva sperato che la storica task force di Internet, la IETF , potesse risolvere la questione bollente della divulgazione delle vulnerabilità del software può smettere di sperare. La IETF infatti non sembra intenzionata a invischiarsi in una problematica così complessa, resa ancora più intricata dal “conflitto di interessi” dei produttori di software e dei ricercatori di sicurezza.
Qualche tempo fa due security analyst, Steve Christey and Chris Wysopal, avevano presentato alla IETF un documento intitolato “Responsible Vulnerability Disclosure Process” (Procedure per la divulgazione responsabile delle vulnerabilità), con cui proponevano la discussione e l’approvazione in seno alla Security Area Advisory Group della IETF di norme che regolamentassero la divulgazione delle vulnerabilità di sicurezza scoperte nel software.
Dopo attenta analisi, i membri della sezione sicurezza della IETF hanno però deciso che non spetta a questo organo, il cui compito primario è quello di affrontare i problemi tecnici di Internet, l’approvazione di linee guida riguardanti questioni di natura etica.
Sfuma così la speranza di un “arbitrato imparziale” su un fronte così importante. Fronte che rischia di scaldarsi ulteriormente perché, come accennato, sempre più accesso è lo scontro tra chi difende il principio del “full disclosure”, ovvero la libertà di pubblicare i dettagli delle vulnerabilità allorquando lo si ritiene necessario, e i sostenitori del “non disclosure”, cioè coloro che sono convinti sia più sicuro per tutti rivelare i problemi solo a certe condizioni e dopo un determinato lasso di tempo.
E’ facile immaginare come i primi sostenitori del non disclosure siano proprio i produttori di software, Microsoft in testa. E proprio Microsoft, insieme ad altri colossi come HP, Sun, Compaq e Oracle, lo scorso mese ha formalmente annunciato la nascita di un’alleanza, la Organization for Internet Security (OIS), con cui spera di mettere fine a quella che Scott Culp, manager della sicurezza del big di Redmond, in un suo noto intervento definì “anarchia dell’informazione”.
Di certo la IETF sembra essersi tolta dalle mani una bella patata bollente, una patata che rischiava fra l’altro di innescare non poche polemiche riguardanti il fatto che la bozza presentata da Christey e Wysopal sembra riflettere gli interessi solo di una parte: i produttori. Non per nulla si notano molteplici somiglianze fra le linee di condotta proposte nel documento e quelle che la OIS vorrebbe far sue: fra queste la proposta di non divulgare, durante i primi 30 giorni dall’annuncio di una falla, dettagli ed exploit riguardanti le vulnerabilità.
Culp si è mostrato deluso dal diniego della IETF di trattare un argomento tanto importante per il settore. “La IETF era il posto più logico da dove iniziare – ha detto Culp -, ma se questo non è quello giusto, allora il luogo giusto non esiste”.
Sebbene molti esperti di sicurezza seguano già le pratiche dettagliate nella bozza proposta alla IETF, altri dichiarano di voler rimanere liberi di decidere un proprio modello di comportamento caso per caso. Fra questi vi è Georgi Guninski , un celebre cane sciolto del mondo della sicurezza che in passato ha più volte fatto arrabbiare Microsoft per la “prematura” divulgazione di falle ed exploit.