Black Hat, la sicurezza secondo Dan Geer

Il guru della sicurezza informatica interviene a Las Vegas parlando di Windows XP open source, responsabilità legali per chi vende software e di acquisti di massa delle falle zero day da parte del governo statunitense
Il guru della sicurezza informatica interviene a Las Vegas parlando di Windows XP open source, responsabilità legali per chi vende software e di acquisti di massa delle falle zero day da parte del governo statunitense

Dan Geer interviene all’edizione 2014 della conferenza Black Hat prendendosela ancora una volta con Microsoft, i produttori di software e più in generale con un’industria informatica che, a suo dire, si deve assumere le proprie responsabilità in vista dell’imminente disastro di sicurezza che attende l’umanità digitale al varco.

Co-autore del sistema X Window e del protocollo di autenticazione Kerberos, Geer è noto per aver accusato Microsoft (nel 2003) di rappresentare un rischio concreto alla sicurezza nazionale degli Stati Uniti per via del monopolio di fatto detenuto da Windows nel mercato dei Personal Computer. Dopo questa sortita l’esperto perse il posto, ma ora si è ampiamente rifatto come chief information security officer per i capitalisti di ventura di In-Q-Tel che lavorano per supportare lo sviluppo tecnologico della CIA.

Nel suo speech Cybersecurity as Realpolitik , Geer ha inanellato alcune idee per dare un nuovo volto della sicurezza informatica, idee sicuramente destinate ad alimentare polemiche su più fronti. L’umanità digitale è a un bivio, spiega l’esperto, e occorrono soluzioni drastiche per evitare la distruzione dell’intera industria tecnologica dovuta all’inazione.

Geer propone ad esempio di imporre ai produttori di software proprietario la responsabilità legale delle conseguenze concrete di eventuali bug e vulnerabilità di sicurezza presenti nel codice, responsabilità da cui potrebbero invece essere esentate quelle aziende che rilasciassero pubblicamente il codice sotto licenza open.

Il governo statunitense, poi, dovrebbe poi acquistare tutte le vulnerabilità zero day a un prezzo 10 volte superiore a quello di mercato, imporre lo sviluppo di patch correttive e poi pubblicare tutti i dettagli sulle falle, propone Geer, un modo per ridurre la capacità distruttiva delle falle e contribuire alla pace nel mondo (sic).

Il guru dell’infosec non si dimentica di Microsoft e invoca la distribuzione del codice sorgente di Windows XP, un obbligo che dovrebbe essere imposto a tutte quelle aziende che abbandonano il supporto di un prodotto software allo stesso modo in cui l’abbandono di un figlio o di una proprietà privano un individuo dei diritti su quel figlio o quella proprietà.

Il diritto all’oblio imposto dalle recenti sentenze europee a Google e agli altri colossi della ricerca in rete? Un diritto essenziale che andrebbe ulteriormente rafforzato, spiega ancora Geer, perché tutti hanno il diritto di “reinventarsi” e i professionisti dell’intelligence hanno sempre più difficoltà a creare false identità realistiche da usare nell’ambito del loro lavoro contro i cattivi.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

08 08 2014
Link copiato negli appunti