San Jose (USA) – Sono anni ormai che esperti di sicurezza e industria dibattono su come e quando pubblicare le vulnerabilità di sicurezza, ma ad oggi non esiste ancora un vero e proprio standard che regolamenti la questione.
In questo ultimo anno il dibattito in merito a quale politica adottare per la pubblicazione di falle ed exploit è stato assai acceso e ha visto schierati da un lato i difensori del “full disclosure”, ovvero della libertà di pubblicare ciò che si ritiene importante quando lo si ritiene necessario, e dall’altro quelli del “non disclosure”, convinti invece che sia più sicuro per tutti rivelare i problemi solo a certe condizioni e dopo un determinato lasso di tempo.
Diverse delle maggiori aziende del settore, fra cui Microsoft, HP, Sun, Compaq e Oracle, hanno ora annunciato di aver dato vita alla Organization for Internet Security (OIS), un’alleanza determinata a far prevalere l’etica del “non disclosure”.
L’intesa prevede, nell’immediato, il varo di una linea di condotta comune tesa a limitare la pubblica rivelazione delle informazioni riguardanti le vulnerabilità di sicurezza.
In base a questi accordi, i membri di questa coalizione – aperta a tutte le aziende che ne vorranno far parte – hanno stabilito che durante i primi 30 giorni dal primo annuncio di una falla ometteranno nei propri bollettini di sicurezza ogni dettaglio sul problema ed ogni riferimento esplicito sul come sfruttarlo.
Trascorso questo periodo di tempo, le aziende potranno divulgare qualche dettaglio in più, ma rimangono banditi codici d’esempio (exploit) e tool che possano facilitare la vita ai cracker.
L’organizzazione proporrà presto anche la bozza di uno standard internazionale riguardante le modalità di pubblicazione e divulgazione di bug e altre vulnerabilità di sicurezza, modalità che seguiranno le regole promosse dall’alleanza e che avranno come obiettivo quello di scoraggiare il full disclosure.
Secondo i rappresentanti di questa coalizione capitanata da Microsoft, la pubblicazione di dettagli o exploit riguardanti i problemi di sicurezza nei software – una pratica che Scott Culp, manager della sicurezza di Microsoft, ha definito “anarchia dell’informazione” – non farebbe altro che favorire gli “hacker maliziosi” e la proliferazione dei virus worm.
L’organizzazione conta di rilasciare anche tutta una serie di RFC (Requests for Comments) che descrivano ogni aspetto circa le modalità ritenute più corrette nel riportare buchi di sicurezza, incluso il formato dei report e degli avvisi. Questi RFC verranno sottoposti alla Internet Engineering Task Force dove potranno essere commentati pubblicamente e sottoposti al processo per la trasformazione in standard ufficiali.
Come era logico attendersi, questa nuova iniziativa promossa da Microsoft ha scatenato le proteste da parte non soltanto della comunità hacker, – quegli hacker che sostengono di non sentirsi affatto “maliziosi” (“malicious”) – ma anche da parte di una larga maggioranza della comunità di sviluppatori open source e di diversi esperti di sicurezza indipendenti.
Christopher Klaus, fondatore e CTO di Internet Security Systems, una delle società che ha aderito alla coalizione sul non disclosure, ha affermato: “Qui non si tenta di dar vita ad una società segreta degli exploit. Stiamo solo cercando di creare uno standard che suggerisca norme di comportamento fra aziende di sicurezza e produttori di software”.
Ma vista la polvere sollevata è certo che la diatriba fra full e non disclosure non finisce qui.