Microsoft critica Google per la disclosure avventata

Microsoft critica Google per la disclosure avventata

Redmond si schiera contro la pubblicazione dei dettagli delle falle di Windows 8.1 ad opera di Mountain View: la trasparenza è utile, ma solo dopo le patch
Redmond si schiera contro la pubblicazione dei dettagli delle falle di Windows 8.1 ad opera di Mountain View: la trasparenza è utile, ma solo dopo le patch

Microsoft richiama alla responsabilità le aziende di settore: è necessario lavorare compatti, senza seguire strategie solipsistiche, per garantire la sicurezza degli utenti. Google, il principale destinatario dell’ammonizione di Redmond, si è comportato diversamente, rivelando al mondo delle pericolose falle che affliggono Windows 8.1, prima della pubblicazione della relativa soluzione: Microsoft non risparmia le critiche.

Una prima pubblicazione dei dettagli relativi al bug del sistema operativo di Microsoft è avvenuta alla fine di dicembre, seguita da un’ altra pubblicazione relativa a un secondo bug. Le scelte di Mountain View sono state determinate dalle date scandite da Project Zero , progetto con cui la Grande G si impegna a monitorare i software altrui alla ricerca di falle, a rivelarle agli sviluppatori e a sollecitarli con la promessa di una disclosure pubblica, una volta trascorsi tre mesi dalla prima segnalazione. Se Google ha organizzato questo sistema allertare gli utenti e per stimolare i tecnici a una rapida risoluzione dei problemi, Microsoft ritiene che si tratti di una scelta irresponsabile.

Chris Betz, a capo del Microsoft Security Response Center (MSRC), spiega che Google ha ignorato la richiesta di Redmond di temporeggiare nella pubblicazione delle informazioni relative alle vulnerabilità: nonostante la patch per la seconda vulnerabilità fosse pronta per essere rilasciata entro pochi giorni dopo la disclosure, rispettando le tempistiche del Patch Tuesday , Mountain View avrebbe scelto di proseguire sulla propria strada, consegnando ai media e ai malintenzionati un succulento argomento di conversazione.

Il tutto, denuncia Microsoft, ai danni dell’ utente finale : non tutti si sanno difendere autonomamente, senza una soluzione fornita dallo sviluppatore del software fallato, spiega Betz, e anche coloro che si muovono per mettersi ai ripari sono sottoposti a “un rischio significativamente aumentato dalla pubblicazione di informazioni che un cybercriminale potrebbe usare per orchestrare un attacco”.

L’approccio adeguato, secondo Microsoft, è quello della Coordinated Vulnerability Disclosure ( CVD ), sulla base del quale ricercatori di sicurezza e aziende lavorano fianco a fianco per la trasparenza, ma non prima di aver risolto i problemi del codice, operazione che può richiedere tempi differenti a seconda del contesto: Betz spiega che pressoché nessuna delle vulnerabilità gestita privatamente prima del rilascio di un fix è stata sfruttata da malintenzionati, a differenza delle vulnerabilità rese pubbliche anzitempo. “Le policy e gli approcci che limitano o ignorano la collaborazione fra aziende – questa la convinzione di Redmond – non fanno bene né ai ricercatori di sicurezza, né alle aziende che vendono software, né ai consumatori. È un gioco a somma zero in cui tutte le parti finiscono per essere danneggiate”.

L’Update Tuesday in programma per domani conterrà la patch utile a sistemare il secondo bug segnalato da Google: per la prima volta, dopo 10 anni, la giornata dedicata agli aggiornamenti non è stata preceduta da alcun tipo di notifica a favore degli utenti consumer.

Gaia Bottà

Link copiato negli appunti

Ti potrebbe interessare

12 01 2015
Link copiato negli appunti