Black Hat, la sicurezza secondo Dan Geer

Il guru della sicurezza informatica interviene a Las Vegas parlando di Windows XP open source, responsabilità legali per chi vende software e di acquisti di massa delle falle zero day da parte del governo statunitense

Roma – Dan Geer interviene all’edizione 2014 della conferenza Black Hat prendendosela ancora una volta con Microsoft, i produttori di software e più in generale con un’industria informatica che, a suo dire, si deve assumere le proprie responsabilità in vista dell’imminente disastro di sicurezza che attende l’umanità digitale al varco.

Co-autore del sistema X Window e del protocollo di autenticazione Kerberos, Geer è noto per aver accusato Microsoft (nel 2003) di rappresentare un rischio concreto alla sicurezza nazionale degli Stati Uniti per via del monopolio di fatto detenuto da Windows nel mercato dei Personal Computer. Dopo questa sortita l’esperto perse il posto, ma ora si è ampiamente rifatto come chief information security officer per i capitalisti di ventura di In-Q-Tel che lavorano per supportare lo sviluppo tecnologico della CIA.

Nel suo speech Cybersecurity as Realpolitik , Geer ha inanellato alcune idee per dare un nuovo volto della sicurezza informatica, idee sicuramente destinate ad alimentare polemiche su più fronti. L’umanità digitale è a un bivio, spiega l’esperto, e occorrono soluzioni drastiche per evitare la distruzione dell’intera industria tecnologica dovuta all’inazione.

Geer propone ad esempio di imporre ai produttori di software proprietario la responsabilità legale delle conseguenze concrete di eventuali bug e vulnerabilità di sicurezza presenti nel codice, responsabilità da cui potrebbero invece essere esentate quelle aziende che rilasciassero pubblicamente il codice sotto licenza open.

Il governo statunitense, poi, dovrebbe poi acquistare tutte le vulnerabilità zero day a un prezzo 10 volte superiore a quello di mercato, imporre lo sviluppo di patch correttive e poi pubblicare tutti i dettagli sulle falle, propone Geer, un modo per ridurre la capacità distruttiva delle falle e contribuire alla pace nel mondo (sic).

Il guru dell’infosec non si dimentica di Microsoft e invoca la distribuzione del codice sorgente di Windows XP, un obbligo che dovrebbe essere imposto a tutte quelle aziende che abbandonano il supporto di un prodotto software allo stesso modo in cui l’abbandono di un figlio o di una proprietà privano un individuo dei diritti su quel figlio o quella proprietà.

Il diritto all’oblio imposto dalle recenti sentenze europee a Google e agli altri colossi della ricerca in rete? Un diritto essenziale che andrebbe ulteriormente rafforzato, spiega ancora Geer, perché tutti hanno il diritto di “reinventarsi” e i professionisti dell’intelligence hanno sempre più difficoltà a creare false identità realistiche da usare nell’ambito del loro lavoro contro i cattivi.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Aniello Caputo scrive:
    ...
    ma che me ne frega a me degli activecs.
  • Mr Bil. scrive:
    E se non esiste aggiornamento?
    Mi auguro che questo tipo di controllo si possa disattivare, oppure segnare come affidabile un compinente ActiveX obsoleto per Microsoft.Esistono una miriade di dispositivi, vedi telecamere IP, VCR IP che utilizzano i controlli Activex per poter visualizzare l'interfaccia sul browser, molti di questi prodotti hanno piu di 6 o 7 anni, quindi non credo che la casa madre sia intenzionata ad aggiornarli.
    • Capsicum scrive:
      Re: E se non esiste aggiornamento?
      - Scritto da: Mr Bil.
      Esistono una miriade di dispositivi, vedi
      telecamere IP, VCR IP che utilizzano i controlli
      Activex per poter visualizzare l'interfaccia sul
      browser, molti di questi prodotti hanno piu di 6
      o 7 anni, quindi non credo che la casa madre sia
      intenzionata ad
      aggiornarli.Beh è facile se il prodotto è obsoleto si butta tutto se non lo è si scrive (non si riscrive) una applicazione sensata se era fatta con activex semplicemente non era sensata.
    • bubba scrive:
      Re: E se non esiste aggiornamento?
      - Scritto da: Mr Bil.
      Mi auguro che questo tipo di controllo si possa
      disattivare, oppure segnare come affidabile un
      compinente ActiveX obsoleto per
      Microsoft.
      Esistono una miriade di dispositivi, vedi
      telecamere IP, VCR IP che utilizzano i controlli
      Activex per poter visualizzare l'interfaccia sul
      browser, molti di questi prodotti hanno piu di 6
      o 7 anni, quindi non credo che la casa madre sia
      intenzionata ad
      aggiornarli.Out-of-date ActiveX control blocking for managed environmentsOut-of-date ActiveX control blocking is turned off in the Local Intranet Zone and Trusted Sites Zone, to help ensure that intranet Web sites and trusted line-of-business apps can continue to use ActiveX controls without disruption. quindi il malware puo' continuare a girare allegramente, no hay problema :)
  • Etype scrive:
    mmmmmmmmm
    Prima riga -
    " Microsoft continua a fare passi avanti per migliorare la sicurezza di Internet Explorer "ma se pochi giorni fà è risultato il più fallato di sempre ! :D
  • ... scrive:
    ActiveX
    Una "tecnologia" ridicola...
    • Leguf Iussef Khalifa scrive:
      Re: ActiveX
      - Scritto da: ...
      Una "tecnologia" ridicola...Ridicola si ma col buco! ;)
    • Alvaro Vitali scrive:
      Re: ActiveX
      - Scritto da: ...
      Una "tecnologia" ridicola...Ridicola è un eufemismo! Gli ActiveX sono stati il principale veicolo di diffusione dei virus su Windows; ai bei tempi, mi ricordo che attraverso questa pseudo-tecnologia si riusciva da remoto a far avviare qualunque programma (a scopo didattico, ad esempio, c'erano dei siti per IE, collegandosi ai quali si faceva avviare la calcolatrice di Windows).M$ conosce benissimo la pericolosità di ActiveX, ma continua ad usarli per rendersi incompatibile con le altre piattaforme.
      • ... scrive:
        Re: ActiveX
        M$ conosce benissimo la pericolosità di ActiveX, ma e' costretta a continuare a gestirli perche' nel mondo ci sono migliaia di societa' (tra le quali, banche, assicurazioni, ministeri ecc...)che usano software scritto per IE con ActiveX e che non possono riscrivere tutto da capo.ActiveX e' stato uno sbaglio, ma e' stato anche un modo molto semplice per ottenere cose che altrimenti sarebbero state piu' complesse. Ora quello che puo' fare MS (e che sta facendo) e' cercare di arginare i pericoli. Ma non puo' dismettere il supporto agli ActiveX.
  • tucumcari scrive:
    In pratica
    Mazzo mondo web scritto con programmi MS anni fa e con ActiveX non aggiornate non sara' più leggibile dai nuovi browser.Meglio meglio... la gente passera' a Mozilla e a Opera. :D
    • tucumcari scrive:
      Re: In pratica
      Si Legù potrebbero ma poi c'è l'incertezza del supporto al telugu.Che fare?(newbie)
      • ... scrive:
        Re: In pratica
        - Scritto da: tucumcari
        Si Legù potrebbero ma poi c'è l'incertezza del
        supporto al
        telugu.
        Che fare?
        (newbie)[yt]AeQxiqPDWw4[/yt]
      • ... scrive:
        Re: In pratica
        - Scritto da: tucumcari
        Si Legù potrebbero ma poi c'è l'incertezza del
        supporto al
        telugu.
        Che fare?
        (newbie)ma il telugu e' il dialetto legalese parlato da leguleio?
    • collione scrive:
      Re: In pratica
      - Scritto da: tucumcari
      Mazzo mondo web scritto con programmi MS anni fa
      e con ActiveX non aggiornate non sara' più
      leggibile dai nuovi
      browser.
      Meglio meglio... la gente passera' a Mozilla e a
      Opera.
      :Duh!?! se pazzi a mozilla e opera comunque non li leggiqua si rischia di avere tutti quei bei siti della PA, zeppi di ActiveX, praticamente inutilizzabililo so, è colpa della PA che appalta a dei cialtroni
      • tucumcari scrive:
        Re: In pratica
        - Scritto da: collione
        - Scritto da: tucumcari

        Mazzo mondo web scritto con programmi MS anni fa

        e con ActiveX non aggiornate non sara' più

        leggibile dai nuovi

        browser.

        Meglio meglio... la gente passera' a Mozilla e
        a

        Opera.

        :D

        uh!?! se pazzi a mozilla e opera comunque non li
        leggi

        qua si rischia di avere tutti quei bei siti della
        PA, zeppi di ActiveX, praticamente
        inutilizzabiliPer quello che servono! (rotfl)
        lo so, è colpa della PA che appalta a dei
        cialtroniIn realta' appalta a furbi che sanno bene che dopo un po' la tecnologia sara' obsoleta, e che saranno costretti ad avvalersi di nuovo dei loro servigi.Con Xenix era uguale.
        • tucumcari scrive:
          Re: In pratica
          - Scritto da: bubba
          .. ma andare a discutere nel forum di arkham
          asylum, non sarebbe piu'
          adeguato?ehm lo so ma bisogna che tu metta il link (possibilmente in telugu) per Leguleio altrimenti come fa?
          • bubba scrive:
            Re: In pratica
            - Scritto da: tucumcari
            - Scritto da: bubba


            .. ma andare a discutere nel forum di arkham

            asylum, non sarebbe piu'

            adeguato?
            ehm lo so ma bisogna che tu metta il link
            (possibilmente in telugu) per Leguleio altrimenti
            come
            fa?beh... :$ potresti accompagnarlo tu, no? :P :)
Chiudi i commenti