Mountain View (USA) – Non è certo un bel periodo, questo, per coloro che sostengono la piena libertà di rivelare e diffondere in Rete le vulnerabilità di sicurezza (un concetto sintetizzato nel termine “full disclosure”).
Dopo l’ aspro intervento di Scott Culp, in cui il manager per la sicurezza di Microsoft addossava al full disclosure tutta una serie di colpe, e dopo la decisione del braccio destro di Linux, Alan Cox, di non includere più i dettagli delle vulnerabilità nei changelog del kernel di Linux, arriva ora l’annuncio, da parte di Microsoft, della creazione di un cartello di aziende determinate a far prevalere l’etica del “non disclosure”.
Bindview, Foundstone, Guardent, @Stake, Internet Security Systems e Microsoft hanno infatti stretto un’intesa che prevede, nell’immediato, la creazione di una linea di condotta comune tesa a limitare la pubblica rivelazione delle informazioni riguardanti le vulnerabilità di sicurezza. In base a questi accordi, i membri di questa coalizione – dichiaratasi aperta a tutte le aziende che ne vogliano far parte – hanno stabilito che durante i primi 30 giorni dal primo annuncio di una falla ometteranno nei propri bollettini di sicurezza ogni dettaglio sul problema ed ogni riferimento esplicito sul come sfruttarlo. Trascorso questo periodo di tempo, le aziende potranno divulgare qualche dettaglio in più, ma rimangono banditi codici d’esempio (exploit) e tool che possano facilitare la vita ai cracker.
L’organizzazione, a cui non è ancora stato assegnato un nome, proporrà presto anche la bozza di uno standard internazionale riguardante le modalità di pubblicazione e divulgazione di bug e altre vulnerabilità di sicurezza, modalità che seguiranno le regole promosse dall’alleanza e che avranno come obiettivo quello di scoraggiare il full disclosure.
Secondo i rappresentanti di questa coalizione capitanata da Microsoft, la pubblicazione di dettagli o exploit riguardanti i problemi di sicurezza nei software – una pratica che Culp ha definito “anarchia dell’informazione” – non farebbe altro che favorire gli “hacker maliziosi” e la proliferazione dei virus worm.
L’organizzazione conta di rilasciare anche tutta una serie di RFC (Requests for Comments) che descrivano ogni aspetto circa le modalità ritenute più corrette nel riportare buchi di sicurezza, incluso il formato dei report e degli avvisi. Questi RFC verranno sottoposti alla Internet Engineering Task Force dove potranno essere commentati pubblicamente e sottoposti al processo per la trasformazione in standard ufficiali.
Come era logico attendersi, questa nuova iniziativa promossa da Microsoft ha scatenato le proteste da parte non soltanto della comunità hacker, – quegli hacker che sostengono di non sentirsi affatto “maliziosi” – ma anche da parte di una larga maggioranza della comunità di sviluppatori open source e di diversi esperti di sicurezza indipendenti. A favore del full disclosure era già arrivato in questi giorni l’ appello di Jon Lasser, noto esponente della comunità open source che, fra le altre cose, invitava Alan Cox a rivedere le sue recenti clamorose scelte favorevoli alla limitazione della divulgazione delle vulnerabilità del kernel di Linux.
Dopo l’annuncio della nuova alleanza, altre voci sono emerse dal coro della protesta.
“Quello che si sta creando qui è un cartello sull’informazione” ha dichiarato Elias Levy, moderatore della nota mailing list sulla sicurezza Bugtraq e CTO di SecurityFocus. “Per i produttori di software di sicurezza è un bene non dover offrire informazioni dettagliate sulle vulnerabilità, perché ciò li fa apparire migliori agli occhi dei propri clienti”.
Le aziende che partecipano all’iniziativa a cui ha dato vita Microsoft sono propense a rilasciare ogni informazione dettagliata circa le vulnerabilità alle forze dell’ordine ed a quelle organizzazioni che possano garantire la non divulgazione. Questo significa, secondo Levy, che le informazioni sulla sicurezza non saranno più accessibili al pubblico ma, per contro, queste potranno essere condivise fra i membri di una sorta di lobby industriale che avrà nelle sue mani il controllo su informazioni di grande valore.
Marc Maiffret, co-fondatore di eEye Digital Security, ribadisce quanto detto da Levy sottolineando come, a suo parere, la coalizione sia stata creata pensando al vantaggio commerciale dei suoi membri piuttosto che al bene di Internet.
“Quanto più diverrà arduo rilasciare informazioni sulle vulnerabilità – ha commentato Maiffret – quanto più Microsoft potrà risparmiarsi diversi imbarazzi”.
Nonostante eEye, l’azienda capitanata da Maiffret, si sia già impegnata in passato a non divulgare le vulnerabilità prima del rilascio, in tempi ragionevoli, di una patch da parte dei relativi produttori di software, Maiffret sostiene di essere totalmente contrario alla restrizione che alcuni vorrebbero imporre sulla divulgazione dei dettagli tecnici, e avverte: “la nuova coalizione potrebbe mettere in disparte i ricercatori di sicurezza indipendenti”.
Christopher Klaus, fondatore e CTO di Internet Security Systems, una delle società che ha aderito alla coalizione sul non disclosure, ha però controbattuto: “Qui non si tenta di dar vita ad una società segreta degli exploit. Stiamo solo cercando di creare uno standard che suggerisca norme di comportamento fra aziende di sicurezza e produttori di software”. Ma, come qualcuno ha fatto notare, per taluni “suggerire” equivale troppo spesso ad “imporre”.