Un'alleanza mette il bavaglio sulla sicurezza

Non disclosure. E' questo il motto di una coalizione di aziende, nata su iniziativa di Microsoft, che vorrebbe porre un freno alla divulgazione di informazioni sui buchi di sicurezza. Qualcuno protesta: è una superlobby

Mountain View (USA) – Non è certo un bel periodo, questo, per coloro che sostengono la piena libertà di rivelare e diffondere in Rete le vulnerabilità di sicurezza (un concetto sintetizzato nel termine “full disclosure”).

Dopo l’ aspro intervento di Scott Culp, in cui il manager per la sicurezza di Microsoft addossava al full disclosure tutta una serie di colpe, e dopo la decisione del braccio destro di Linux, Alan Cox, di non includere più i dettagli delle vulnerabilità nei changelog del kernel di Linux, arriva ora l’annuncio, da parte di Microsoft, della creazione di un cartello di aziende determinate a far prevalere l’etica del “non disclosure”.

Bindview, Foundstone, Guardent, @Stake, Internet Security Systems e Microsoft hanno infatti stretto un’intesa che prevede, nell’immediato, la creazione di una linea di condotta comune tesa a limitare la pubblica rivelazione delle informazioni riguardanti le vulnerabilità di sicurezza. In base a questi accordi, i membri di questa coalizione – dichiaratasi aperta a tutte le aziende che ne vogliano far parte – hanno stabilito che durante i primi 30 giorni dal primo annuncio di una falla ometteranno nei propri bollettini di sicurezza ogni dettaglio sul problema ed ogni riferimento esplicito sul come sfruttarlo. Trascorso questo periodo di tempo, le aziende potranno divulgare qualche dettaglio in più, ma rimangono banditi codici d’esempio (exploit) e tool che possano facilitare la vita ai cracker.

L’organizzazione, a cui non è ancora stato assegnato un nome, proporrà presto anche la bozza di uno standard internazionale riguardante le modalità di pubblicazione e divulgazione di bug e altre vulnerabilità di sicurezza, modalità che seguiranno le regole promosse dall’alleanza e che avranno come obiettivo quello di scoraggiare il full disclosure.

Secondo i rappresentanti di questa coalizione capitanata da Microsoft, la pubblicazione di dettagli o exploit riguardanti i problemi di sicurezza nei software – una pratica che Culp ha definito “anarchia dell’informazione” – non farebbe altro che favorire gli “hacker maliziosi” e la proliferazione dei virus worm.

L’organizzazione conta di rilasciare anche tutta una serie di RFC (Requests for Comments) che descrivano ogni aspetto circa le modalità ritenute più corrette nel riportare buchi di sicurezza, incluso il formato dei report e degli avvisi. Questi RFC verranno sottoposti alla Internet Engineering Task Force dove potranno essere commentati pubblicamente e sottoposti al processo per la trasformazione in standard ufficiali.

Come era logico attendersi, questa nuova iniziativa promossa da Microsoft ha scatenato le proteste da parte non soltanto della comunità hacker, – quegli hacker che sostengono di non sentirsi affatto “maliziosi” – ma anche da parte di una larga maggioranza della comunità di sviluppatori open source e di diversi esperti di sicurezza indipendenti. A favore del full disclosure era già arrivato in questi giorni l’ appello di Jon Lasser, noto esponente della comunità open source che, fra le altre cose, invitava Alan Cox a rivedere le sue recenti clamorose scelte favorevoli alla limitazione della divulgazione delle vulnerabilità del kernel di Linux.

Dopo l’annuncio della nuova alleanza, altre voci sono emerse dal coro della protesta.

“Quello che si sta creando qui è un cartello sull’informazione” ha dichiarato Elias Levy, moderatore della nota mailing list sulla sicurezza Bugtraq e CTO di SecurityFocus. “Per i produttori di software di sicurezza è un bene non dover offrire informazioni dettagliate sulle vulnerabilità, perché ciò li fa apparire migliori agli occhi dei propri clienti”.

Le aziende che partecipano all’iniziativa a cui ha dato vita Microsoft sono propense a rilasciare ogni informazione dettagliata circa le vulnerabilità alle forze dell’ordine ed a quelle organizzazioni che possano garantire la non divulgazione. Questo significa, secondo Levy, che le informazioni sulla sicurezza non saranno più accessibili al pubblico ma, per contro, queste potranno essere condivise fra i membri di una sorta di lobby industriale che avrà nelle sue mani il controllo su informazioni di grande valore.

Marc Maiffret, co-fondatore di eEye Digital Security, ribadisce quanto detto da Levy sottolineando come, a suo parere, la coalizione sia stata creata pensando al vantaggio commerciale dei suoi membri piuttosto che al bene di Internet.

“Quanto più diverrà arduo rilasciare informazioni sulle vulnerabilità – ha commentato Maiffret – quanto più Microsoft potrà risparmiarsi diversi imbarazzi”.

Nonostante eEye, l’azienda capitanata da Maiffret, si sia già impegnata in passato a non divulgare le vulnerabilità prima del rilascio, in tempi ragionevoli, di una patch da parte dei relativi produttori di software, Maiffret sostiene di essere totalmente contrario alla restrizione che alcuni vorrebbero imporre sulla divulgazione dei dettagli tecnici, e avverte: “la nuova coalizione potrebbe mettere in disparte i ricercatori di sicurezza indipendenti”.

Christopher Klaus, fondatore e CTO di Internet Security Systems, una delle società che ha aderito alla coalizione sul non disclosure, ha però controbattuto: “Qui non si tenta di dar vita ad una società segreta degli exploit. Stiamo solo cercando di creare uno standard che suggerisca norme di comportamento fra aziende di sicurezza e produttori di software”. Ma, come qualcuno ha fatto notare, per taluni “suggerire” equivale troppo spesso ad “imporre”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Corsi e ControCorsi
    I corsi di Informatica di base li deve fare la scuola, al pari delle altre materie, a costi accessibili a tutti.Se invece continuano ad organizzarli le società commerciali, non si può pensare che quest'ultime facciano beneficienza.Nei colloqui di lavoro danno già per scontato che si sappiano le basi di Informatica e di Inglese, quindi a nessuno frega se tu hai fatto il corso Y o la patente X, li devi sapere e basta.Scarlight
  • Anonimo scrive:
    Vince al Lotto,,,, una patente ECDL
    Brum Brum ecco che in 4 marcia affronta l'inserimento del floppy per poi scalare su risorse del computer (sigh anche questi corsi servono alla M$ per rafforzare il suo monopolio)ed infine fermarsi causa una bella schermata blu di errore di sistema.ECDL altro modo di spennarvi ....ECDL introiti per pseudoinsegnanti dopolavorsti.ECDL utilita' nessuna se non quella di creare un albo professionale.L'utilizzo del Pc dovrebbero insegnarlo nelle scuole e dovrebbe far parte del bagaglio culturale di ogni cittadino. Senza lucro di quella parte di professionisti che cercano in tutti i modi di creare monopoli commerciali e/o ordini professionali.Comunque lo stato italiano aiuta il cittadino....a spendere....
    • Anonimo scrive:
      Re: Vince al Lotto,,,, una patente ECDL
      Pienamente d'accordo,la scuola DEVE insegnare Informatica al pari di Geografia o Italiano.Ma si sa che ormai il "cercar lavoro" e' diventato un business...a me arrivano ancora i telegrammi cretini, che mi invitano a partecipare urgentemente al più moderno "corso di computer" da 4 milioni presso l'albergo (in bip ai lupi) con tutti i comfort (piscina e campi da tennis).Scarlight
  • Anonimo scrive:
    ECDL non è truffa
    non sono d'accordo sulle critiche all'ECDL; è vero invece che in genere i corsi per preparla sono troppo cari. Mi sembra che però la proposta di Opera Multimedia e Sisal sia interessante: 99000 lire per 7 moduli ECDL più tre corsi di lingua inglese è un prezzo più che ragionevole.
    • Anonimo scrive:
      Re: ECDL non è truffa
      - Scritto da: paolo
      non sono d'accordo sulle critiche all'ECDL;
      è vero invece che in genere i corsi per
      preparla sono troppo cari. Mi sembra che
      però la proposta di Opera Multimedia e Sisal
      sia interessante: 99000 lire per 7 moduli
      ECDL più tre corsi di lingua inglese è un
      prezzo più che ragionevole.siii nu corso di inglese su internet... se hai sai imparare l'ingleseandando su internet vuol dire che qualcherudimento di inglese lo devi avere per forza,e se sai navigare sul sito di EurolearningNON HAI ALCUN BISOGNO DI FARE I CORSI PER L'ECDL!!!!!!!!!!!!la prox volta spremi i neuroniPino Silvestre
  • Anonimo scrive:
    Re: E' un' altro sistema per DRAGARVI le saccocce.
    mariajana o tanta grana?BAUAUAUAUAUAUAUA
    • Anonimo scrive:
      Re: E' un' altro sistema per DRAGARVI le saccocce.
      ALIEN ma tu quando vai a fare la spesa al supermercato cosa dai alla cassiera ? UN CD CON LINUX o denaro contante ? Se riesci con il CD fammelo sapere che allora appoggio il tuo pensiero .
      • Anonimo scrive:
        Re: E' un' altro sistema per DRAGARVI le saccocce.
        - Scritto da: Now
        ALIEN ma tu quando vai a fare la spesa al
        supermercato cosa dai alla cassiera ?
        UN CD CON LINUX o denaro contante ?

        Se riesci con il CD fammelo sapere che
        allora appoggio il tuo pensiero .Ti averi risposto prima se non avessi subito un black-out elettrico nella mia sala comando.......dipende dalla .....cassiera!Ciao.
        • Anonimo scrive:
          Re: E' un' altro sistema per DRAGARVI le saccocce.
          Capito no? Se è bona le da...Linux se fa vomitare le da i soldi.Oppure se al tentativo con Linux la cassiera lo prende a schiaffi, allora le da i soldi.In effetti, dipende dalla cassiera...
          • Anonimo scrive:
            Re: E' un' altro sistema per DRAGARVI le saccocce.
            - Scritto da: Predator
            Capito no? Se è bona le da...Linux se fa
            vomitare le da i soldi.

            Oppure se al tentativo con Linux la cassiera
            lo prende a schiaffi, allora le da i soldi.

            In effetti, dipende dalla cassiera...Corretto!!Ciao
  • Anonimo scrive:
    Re: E' un' altro sistema per DRAGARVI le saccocce.
    ....poveretto....
  • Anonimo scrive:
    L' ECDL è una truffa astronomica...
    Mi è capitato svariate volte di dare occhiate ai curriculum e relativi materiali dei vari corsi - sono di un livello che fa assolutamente piangere. La cosa peggiore è il costo di questi corsi, che stanno a livelli di rapina - dal milione in sù.Se la patente (quello automobilistico) si potesse prendere in modo analogo, mi chuiderei dentro casa...La conoscenza al livello informatico di chi ha conseguito l'ECDL, si limita + o - a saper puntare il mouse su una icona in Word.Va comunque detto che sono a conoscenza d'alcuni datori di lavoro che infatti richiedono l'EDCL.Forse perché si sono messi d'accordo con gli istituti che organizzano i corsi (a suon di milioni).
    • Anonimo scrive:
      Re: L' ECDL è una truffa astronomica...
      - Scritto da: FD
      La conoscenza al livello informatico di chi
      ha conseguito l'ECDL, si limita + o - a
      saper puntare il mouse su una icona in Word.
      Va comunque detto che sono a conoscenza
      d'alcuni datori di lavoro che infatti
      richiedono l'EDCL.
      Forse perché si sono messi d'accordo con gli
      istituti che organizzano i corsi (a suon di
      milioni).ci sono datori di lavoro che preferisconodiplomati con 1 anno di esperienza rispettoa laureati senza esperienza, ci sono datoridi lavoro che basano la loro azienda suragazzi assunti con soli contratti agevolatidi prima assunzione, che non vengono mai assuntidefinitivamente ma riciclati, ci sono anche quelli che se ne sbattono della certificazioneMicro$$oft certified anche se basano ilcore business solo su Micro$oft...a meno che non quantifichiamo con percentualireali e concrete "i datori di lavoro cherichiedono l'ECDL" rimangono una ballabuona per i commerciali dell'AICAPino Silvestre
  • Anonimo scrive:
    ECDL non ha alcun valore legale
    Spero sia chiaro una volta per tutte;le scuole che vivacchiano fornendocorsi ed abilitazione per l'ECDLvendono un pezzo di carta totalmente inutile:- nel settore pubblico non serve a fare punteggio da nessuna parte- una azienda se ne sbatte della laurea figuriamoci dell'ECDL; o sei una persona oppure va a' da via el Qoltretutto in una scuola che abilitaall'ECDL non verra` MAI e poi MAI insegnatoLinux perche`reclutano "insegnanti" chesanno al massimo creare una tabellina in Access e gia` se gli parli di foreign-keyspensano sia un gruppo musicale...scuole di incompetenzaPino Silvestre
    • Anonimo scrive:
      Re: ECDL non ha alcun valore legale
      L' ECDL attribuisce la qualifica di "videoterminalista", che è riconosciuta.Penso che l'ECDL venga riconosciuto a livello pubblico anche in altro modo, o che presto lo sarà. Ma come non sapevi questo, probabilmente non sai tutto.Inoltre, inserito nel curriculum, attesta una conoscenza (di base, siamo d'accordo) che non tutti hanno.Perchè i sette esami sono tutto sommato facili (il problema più importante è il poco tempo concesso), ma chi li supera sa comunque fare qualcosa che chi non li supera non sa fare.Sulle scuole che vivacchiano con i corsi ti do invece ragione.Bye
      • Anonimo scrive:
        Re: ECDL non ha alcun valore legale
        - Scritto da: Ascess
        L' ECDL attribuisce la qualifica di
        "videoterminalista", che è riconosciuta.o dici DOVE e COME o questa affermazionelascia il tempo che trova
        Penso che l'ECDL venga riconosciuto a^^^^^^^ah pensi, non ne sei sicuro...
        livello pubblico anche in altro modo, o che
        presto lo sarà. Ma come non sapevi questo,
        probabilmente non sai tutto.questo cosa, che PENSI che venga riconosciuto?"presto lo sara'"? le previsioni nel mondoagitato ed imprevedibile dell'informatica sono un campo minatoche raccoglie un sacco di vittimei dati sono un'altra cosa...
        Inoltre, inserito nel curriculum, attesta
        una conoscenza (di base, siamo d'accordo)
        che non tutti hanno.Se ci sono laureati in informatica chesgranano gli occhi quando si nominala parola SELECT dimmi tu perche`una azienda dovrebbe preferire qualcuno per questo pezzo di carta rispetto ad un altro che ha un mese di esperienzacon Word ed Excel...
        Perchè i sette esami sono tutto sommato
        facili (il problema più importante è il poco
        tempo concesso), ma chi li supera sa
        comunque fare qualcosa che chi non li supera
        non sa fare.e chi e`sta testa di capra che non li supera? io vengo da te, ti pago1.500.000 un corso che mi insegna a- scrivere con word- scrivere email / usare google.com- fare UNA tabella di Access + form + report- fare una somma con Excel(in rete si trova il Syllabus, cioe`il "programma" dei corsi...per farsi un idea, basta cercare su Google:"Syllabus European Computer Driving Licence edizione italiana")per chiedere sta cifra per insegnare queste cose bisogna avere la faccia di bronzooltretutto e`solo Micro$oft based, non e`possibile insegnare l'ECDL con OpenOfficeo Staroffice...
        Sulle scuole che vivacchiano con i corsi ti
        do invece ragione.
        Byesi, certo, come no...Pino Silvestre
        • Anonimo scrive:
          Re: ECDL non ha alcun valore legale
          Caro Pino Silvestre,Forse non hai afferrato bene il senso dell'ECDL.E' l'equivalente della licenza elementare scolastica. A che serve la licenza elementare? A niente, ma è una base per cominciare a combattere l'analfabetismo.Se non cominci dalle elementari non arriverai mai all'università.L'ECDL serve a combattere analfabetizzazione informatica. Punto. Non sarai mai un genio dell'office automation, ma nessuno si aspetta che tu lo diventi solo per aver seguito l'ECDL.Sai quanta gente ancora non sa nemmeno come si accende un pc? Sai quanti non sanno muovere il mouse?Dopo l'ECDL tutte queste persone sapranno almeno fare le due cose e, credimi, non è poco.Deadbrain
          • Anonimo scrive:
            Re: ECDL non ha alcun valore legale

            Caro Pino Silvestre,
            Forse non hai afferrato bene il senso dell'ECDL.
            E' l'equivalente della licenza elementare
            scolastica. A che serve la licenza elementare?
            A niente, ma è una base per cominciare a
            combattere l'analfabetismo.Permettimi di dissentire. La scuola elementare ha un programma ben definito per consentire l'alfabetizzazione. E'un diritto e ti deve permettere di scrivere quello che vorrai in futuro. Far pagare dei corsi monotematici (intesi non tanto come ad argomento unico quanto corsi relativi a prodotti COMMERCIALI targati Micro$oft) è un po'come insegnare ai bambini delle elementari a scrivere solamente W IL DUCE.Non mi sembra molto freedom-oriented, quanto una squallida politica di marketing... Questa ovviamente è una mia opinione personale e discutibile.Poi, io lavoro nel settore da più di dieci anni. Mi spieghi come mi dovrei comportare un domani quando "diventerà un requisito" e durante un colloquio, sfoggerò un curriculum senza la sigletta magica ECDL? Devo spiegare all'altro che non avrò "punti extra" nella graduatoria dei candidati (parlo dei punti che dovrebbero a tuo avviso ottenere i possessori di patente) ma che probabilmente sono in grado di mangiarmi gli altro candidati a colazione o faccio prima a sparargli un colpo di pistola in fronte?Oppure dovrei tirar fuori dalle tasche gli Euri (si lo so che si scrive sempre Euro anche al plurale, grazie) e dare due esami da cerebrolesi per poter sfoggiare un pezzo di carta igienica perchè i miei dieci anni di esperienza informatica non mi danno i punti magici?Bah.Stiamo a mio avviso avvallando un'operazione di marketing, giustificandola come "per il bene dell'umanità".A me starebbe bene un corso di alfabetizzazione, ma non orientato ad un prodotto commerciale, o almeno non solo ad uno...
            Se non cominci dalle elementari non arriverai
            mai all'università.Questo perchè un pezzo di carta trasforma un ignorante in sapientone, a danno degli intelligenti autodidatti sprovvisti di carta...
            L'ECDL serve a combattere analfabetizzazione
            informatica. Punto. Non sarai mai un genio
            dell'office automation, ma nessuno si aspetta
            che tu lo diventi solo per aver seguito l'ECDL.Ok. E io che non ho l'ECDL, che faccio?Se vuoi combattere la fame nel mondo non puoi vendere i panini ai terzomondiali, li devi regalare. Pensaci quando terrai le prossime lezioni... :)
            Sai quanta gente ancora non sa nemmeno come si
            accende un pc? Sai quanti non sanno muovere il
            mouse?E chi siamo noi per rubare braccia all'agricoltura?
            Dopo l'ECDL tutte queste persone sapranno almeno
            fare le due cose e, credimi, non è poco.Sapranno che PC=Window$, videoscrittura=Word; foglio elettronico=Exce1 e che il mouse con la rotellina lo fanno a Redmond...Ne sapranno di cose!
            Deadbrain"Deadbrain"? Interessante.
        • Anonimo scrive:
          Re: ECDL non ha alcun valore legale
          Posso confermare che nella Pubblica Amministrazione l'ECDL fa punteggio, almeno al Ministero della P.I. vale 6 punti.A mio avviso, le situazioni sono due: chi gia' sa usare il computer puo' fare solo gli esami - come ho fatto io - con un costo minimo, ed acquisisce il pezzo di carta, che in Italia non fa mai male.Chi invece e' "analfabeta", puo' anche rimediare un PC e prepararsi sui libri.Insomma, si' all'ECDL, abbasso la squola !
          • Anonimo scrive:
            Re: ECDL non ha alcun valore legale
            Ma perchè devo pagarlo, questo "prezzo minimo"?Io so usare un computer, non ho mai conseguito la patente europea, ma continuo a non capire perchè devo pagare.Non lo so. Quasi quasi brevetto l'atto di accendere il PC e poi invento una "patente di accensione computers" con minicorso ad un milione e solo esame a cinquecentomilalire.Ma perchè devo pagare ogni volta che qualche imbecille si inventa un attestato?!?
        • Anonimo scrive:
          Re: ECDL non ha alcun valore legale
          Pino silvestre, se hai qualche problema è affar tuo.La qualifica di videoterminalista è riconosciuta a chi ottiene l'ECDL, chiedi in Provincia come ho fatto io.Io non sono l'ufficio informazioni, del resto il tuo intervento era vago quanto il mio.A parità di altro, fra uno che ha l'ECDL e uno che non ce l'ha chi sta meglio? Poi è chiaro che uno che non ce l'ha può saper usare il pc molto meglio di un testone che ce l'ha, ma questo vale sempre: chi si laurea in Economia non sa fare la dichiarazione dei redditi, a meno che non l'abbia imparato per altre vie.Io non discuto sul fatto che le scuole vivacchino o imbroglino, è sempre stato così. La mia risposta verteva sull'ECDL in quanto tale.Se poi uno è testone, peggio per lui. L'esame comunque è facile, tempo concesso a parte.Sulle scuole, basta evitarle e studiare per conto proprio. Purtroppo i testi costicchiano, ma qui entriamo in un discorso diverso.Bye.
    • Anonimo scrive:
      Re: ECDL non ha alcun valore legale
      Potresti cominciare a pensare di mon essere l'unico genio sulla terra;L'ECDL è un progetto che deve portare la popolazione europea (in campo informatico) da meno 100 a 0;In Europa il livello di conoscenza è veramente basso e progetti come quelli dell'AICA fanno bene alla comunità.Impara a ragionare come Deadbrain invece di essere così presuntuoso!!! per chiudere pensa solo ad una cosa...quanti Impiegati statali hanno bisogno di imparare qualcosa su Word?Se non tutti il 99%.
      • Anonimo scrive:
        Venditori di fumo!! Re: ECDL non ha valore legale
        - Scritto da: Rocco
        Potresti cominciare a pensare di mon essere
        l'unico genio sulla terra;affermazione da troll
        L'ECDL è un progetto che deve portare la
        popolazione europea (in campo informatico)
        da meno 100 a 0;...supportando esclusivamente Micro$ofted insegnando che la videoscrittura sipuo' fare solo con Word...ma tu conosci anche Abiword o stai quisolo per rompere le OO?
        In Europa il livello di conoscenza è
        veramente basso e progetti come quelli
        dell'AICA fanno bene alla comunità.tu, tu, razza di sfruttatore, ma che fai nella vita,vendi Windows preinstallato?mai sentito parlare di opensource?speri che le aziende con questo pezzodi carta evitino di prendere le personein prova prima dell'assunzione?
        Impara a ragionare come Deadbrain invece di
        essere così presuntuoso!!! razza di troll malefico che non sei altro
        per chiudere pensa solo ad una cosa...quanti
        Impiegati statali hanno bisogno di imparare
        qualcosa su Word?
        e non tutti il 99%.e meno male che sono io il presuntuoso;LO SAI NELLA PUBBLICA AMMINISTRAZIONEQUANTI SOLDI RISPARMIEREMMO ADOTTANDOLINUX E STAROFFICE INVECE DI WINDOWSE OFFICE2000?Razza di sciacallo, e` la gente come te(che insegni str%%%%%% per 1.500.000)che specula sull'ignoranza della gente,obbligandoli a vedere solo WindowsQuesto e` molto disonesto da parte tua.Pino Silvestre
    • Anonimo scrive:
      Re: ECDL non ha alcun valore legale
      va bene ma dove troviamo qualche non ladro che ci insegni a lavorare sul serio con i varo macromedia? ciao alby
  • Anonimo scrive:
    Ma si tagliano i clienti da soli?
    Per quanto shifosi siano i corsi che permettono di conseguire la ECDL, chiunque la consegue ne sa almeno abbastanza da non aver bisogno del Wsito in scatola" che la Sisal propina.Mah....(a meno che abbia sopravvalutato la ECDL)
Chiudi i commenti