Microsoft vuole una nuova era della sicurezza

L'azienda attacca certi esperti della security che "creano rischi" e propone un nuovo patto a tutti, utenti, bug hunter e aziende comprese. E avverte: nei prossimi mesi creeremo un nuovo schieramento di imprese per la sicurezza


Web – Con un articolo di Scott Culp, manager della sicurezza in Microsoft, l’azienda ha fatto sapere nelle scorse ore cosa pensa di quegli analisti indipendenti, quei consulenti sulla security che pubblicano online codici software di esempio che potrebbero essere utilizzati per colpire siti, server e computer.

Chi ha realizzato worm come Ramen o Nimda, scrive Culp , va condannato come criminale. “Ma – continua Culp – ha avuto bisogno di una mano per devastare le nostre reti. E noi, nella comunità degli esperti di sicurezza, gliela abbiamo data”.

Culp parla di tutte le piattaforme utilizzate online e se la prende con quegli esperti che discutono di sicurezza e di vulnerabilità senza essere “intelligenti, prudenti e responsabili” nel farlo. Perché se è vero che l’industria “può e dovrebbe sviluppare prodotti più sicuri, non è realistico pensare che si raggiungerà mai la perfezione”.

“Le vulnerabilità – spiega Culp – sono sotto gli occhi di tutti”, ma molti esperti non le trattano con responsabilità ed anzi agiscono in un modo “che si può descrivere al meglio come anarchia dell’informazione. Questo accade quando si pubblicano deliberatamente istruzioni esplicite, passo per passo, su come sfruttare le vulnerabilità di sicurezza, senza preoccuparsi di come quelle informazioni possono venire utilizzate”.

Culp vede una relazione diretta tra le diffusione degli ultimi aggressivi worm e la pubblicazione di istruzioni che sono state, scrive, “ampiamente pubblicizzate”. La relazione è molto stretta, sostiene Culp, “non solo perché i worm sfruttano proprio quelle vulnerabilità, ma anche perché lo fanno utilizzando esattamente le stesse tecniche che sono state pubblicate. In alcuni casi utilizzando addirittura gli stessi nomi di file e l’identico codice di attacco”. Secondo Culp non si può parlare di una coincidenza ma si deve parlare di una fornitura di “armi” a malintenzionati.

Secondo Culp, l’anarchia informativa sulla sicurezza è animata da buone intenzioni, quella di dare agli amministratori di sistema la sensazione dell’urgenza dell’aggiornamento delle proprie reti, ma nella pratica l’intenzione fallisce completamente. “Fornire una ricetta per sfruttare un buco – scrive Culp – non aiuta a proteggere le reti. Nella maggioranza dei casi, proteggersi da un buco è applicare un fix che modifica il sistema, in altri casi i sistemi possono essere protetti con nuove procedure di gestione. Ma sia in un caso che nell’altro, l’amministratore non ha bisogno di sapere come funziona una vulnerabilità per capire come proteggersi contro di questa, non più di quanto un individuo debba sapere qual è la causa del malditesta per poter prendere un’aspirina.

Ma “l’anarchia informativa” secondo Culp è un errore anche se pensata per spingere gli utenti a difendere i propri sistemi: la diffusione dei worm dimostra che questo non accade. “Molto prima che i worm venissero realizzati – accusa Culp – i produttori avevano già distribuito patch di sicurezza capaci di eliminare le vulnerabilità. In alcuni casi, le patch erano disponibili in varie forme – singole, cumulative, in service pack e via dicendo – fino ad un anno prima del worm. Ciò nonostante questi worm si sono diffusi dappertutto tra gli utenti, ed è chiaro che solo in pochi avevano utilizzato queste patch”.

Ma uno degli effetti più negativi di questo atteggiamento di una parte della “security community” è il fatto che le imprese e i produttori tendono sempre meno ad affrontare pubblicamente le problematiche di sicurezza che li riguardano. “La principale responsabilità di un produttore – sostiene Culp – è quella verso i propri clienti e non verso una comunità di esperti auto-definita. Se gestire in modo trasparente le vulnerabilità porta inevitabilmente ad attacchi sferrati sfruttando quei buchi, i produttori non hanno altra scelta che cercare altri modi per proteggere i propri clienti”.


Culp vuole anche mettere in chiaro che questo suo intervento non vuole porre alcun freno alle discussioni sulle vulnerabilità. “Si tratta invece – scrive – di una richiesta ai professionisti della sicurezza di individuare un punto oltre il quale si capisca che quello che si ottiene è semplicemente mettere qualcuno a rischio. Allo stesso modo, questa non è una richiesta di mettere da parte la libertà di parola quanto invece di cessare di gridare al fuoco in mezzo ad una affollata platea di spettatori al cinema”.

Secondo Culp da una parte c’è la maggioranza degli esperti che, trovata una vulnerabilità, informa il produttore e lavora con esso per sviluppare le patch e quando queste sono sviluppate ne parla pubblicamente con altri esperti, garantendo così l’utente. Dall’altra ci sono coloro che vanno più in là, sviluppando tool o dando specifiche su come sfruttare vulnerabilità che “un interesse qualsiasi verso gli utenti dovrebbe consigliare di non realizzare o non rilasciare”.

“Porre la parola fine a questa anarchia informativa – continua Culp – non porterà all’annullamento della minaccia rappresentata dai worm. Etica ed intelligenza non sempre vanno a braccetto e alcuni dei cattivi che scrivono worm sono molto abili. Anche in nuove e migliori condizioni, per qualcuno sarebbe comunque possibile scrivere worm. Ma lo stato delle cose, purtroppo, consente oggi anche a pressoché inesperti neofiti di costruire tool distruttivi”.

“La comunità della security – sottolinea Culp – non può continuare a giustificare l’aiuto che dà ai cybercriminali”.

Secondo Pulp tutti devono agire in modo più responsabile e Microsoft da parte sua “lavorerà con altri leader del settore nei prossimi mesi per ottenere un consenso ampio su questo tema. Forniremo maggiori informazioni mano a mano che questo processo andrà avanti e chiederemo il supporto dei nostri clienti in questa direzione”.

“È ora che la comunità della security – conclude Culp – si schieri dalla parte giusta del problema”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti