Google, quando la disclosure può attendere

L'ultimatum della pubblicazione dei dettagli delle falle diventa meno rigido: Mountain View terrà conto dei giorni festivi, e concederà proroghe alle aziende che mostrino buona volontà. Microsoft non è pienamente soddisfatta

Roma – Google ammetterà delle eccezioni alla propria policy di rivelazione pubblica dei bug individuati nel codice altrui: l’inesorabile ultimatum che scade a 90 giorni dalla prima segnalazione privata potrà essere prorogato, così da consentire la distribuzione delle patch in corso di lavorazione.

L’ iniziativa Google Project Zero, spiegano i rappresentanti di Mountain View in un post ufficiale, prevede un conto alla rovescia di 90 giorni, che scatta nel momento in cui la vulnerabilità viene segnalata all’azienda a cui compete rimediare e culmina con una disclosure pubblica della falla: si tratta di una policy comune a molte aziende, utile a sollecitare una reazione che ponga fine al problema. Mountain View snocciola qualche numero: dei 154 bug risolti dopo le segnalazioni private di Project Zero, l’85 per cento è stato sistemato entro i 90 giorni dalla segnalazione; i 37 problemi individuati in Adobe Flash sono tutti stati risolti entro la scadenza fissata da Google, e nel mese di febbraio non sono previste rivelazioni pubbliche su falle ancora da tappare. Le scadenze che si accompagnano a Project Zero, però, fanno emergere però una situazione disdicevole: “la community di attaccanti pronti a sfruttare le vulnerabilità – osserva Google – investe nella ricerca decisamente di più rispetto alla community di ricercatori che dovrebbe operare per difendersi”. Ad alcune disclosure pubbliche effettuate allo scadere dei 90 giorni, riconosce Google senza citare i nomi delle dirette interessate Apple e Microsoft, è stato posto rimedio in tempi abbastanza brevi a seguito della pubblicazione dei bug.

Per questo motivo, probabilmente incoraggiata dall’ ampio dibattito seguito all’ intervento di Microsoft e al suo invito ad una discolusre più responsabile che sappia rispettare i tempi delle aziende vittime delle falle, Google ha scelto di transigere: oltre ad assegnare un codice CVE, così da assicurare un’identità standard alla vulnerabilità, d’ora in poi Mountain View ammetterà delle eccezioni alle tempistiche della pubblicazione dei bug. Si terrà dunque conto dei fine settimana e delle festività: la disclosure avverrà nel giorno feriale successivo alla scadenza. Si concederà inoltre all’azienda colpita dal bug la possibilità di posticipare di 14 giorni la pubblicazione dei dettagli della falla nel caso in cui una patch sia in fase di sviluppo: se è prevista una sistemazione per il codice afflitto dal problema ed è stata fissata nel giro di pochi giorni una data del rilascio della patch, Google ammetterà una proroga, dando così la possibilità di distribuire la patch senza scombinare i ritmi degli update a cui gli utenti sono abituati. Non sono previsti favoritismi , e Google si riserva il diritto di modificare le scadenze degli ultimatum “sulla base di circostanze estreme”.

“Se è positivo osservare alcune modifiche alle pratiche di disclosure – ha commentato Chris Betz, a capo del Security Response Center di Microsoft, che aveva ammonito Google invitandola ad una policy più responsabile – siamo in disaccordo con l’arbitrarietà delle scadenze, perché ogni problema di sicurezza fa storia a sé e i tempi per lo sviluppo e il test di un aggiornamento variano”. La disclosure pubblica, secondo Redmond, resta un atto che mette a rischio in primo luogo gli utenti.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Luppolo scrive:
    Il video è privato
    Almeno a me dice così, a voi no ?
  • umby scrive:
    iceberg
    Le punte degli iceberg sono cominciate ad affiorare anni fa, ora stanno spuntando le parti piú estese.Per troppo tempo chi "di dovere" si é cullato su sistemi approssimativi, ora ne paghiamo le conseguenze."Qualcuno" ha fatto patti col demonio, pur di poter affermare che il computer, internet sono cose per tutti i giuggioloni, ora ne paghiamo le conseguenze.Se per andare in auto, in motorino, debbo fare una scuola, non vedo perché non si debba farla anche per "navigare" in internet, anzi a maggior ragione, ma non una sQuola (con la Q) italiana, ove ti insegnano ad aprire un documento word e stamparlo o che excel serve per fare le "caselline"...
  • citazionist a scrive:
    italia immune?
    <s
    tutto fatto talmente coi piedi che il sistema crasha prima ancora che l'hacker raggiunga l'exploit </s
    siamo i migliori :D
  • bubba scrive:
    va letto assieme a questo -

    http://krebsonsecurity.com/2015/02/the-great-bank-heist-or-death-by-1000-cuts/se no sembra sia sempre nuova gente.....
Chiudi i commenti