Uno dei temi più dibattuti nel campo della sicurezza è l’opportunità, dopo un ragionevole periodo di tempo non negoziabile da chi è oggetto del problema, di pubblicare le vulnerabilità dei software.
Come in altre situazioni, ci sono argomenti e singole casistiche pro e contro, ma nella lunga distanza la ragionevolezza suggerisce che sia opportuno pubblicare le vulnerabilità per evitare che chi le debba correggere decida di risparmiare sui costi di correzione, a danno dell’utilizzatore finale.
Se queste argomentazioni non sono sufficienti, ne espongo di seguito un’altra.
Ricordate FinFisher?
Secondo il Telegraph, la Gamma International avrebbe sfruttato una vulnerabilità di iTunes per inviare degli aggiornamenti fasulli alle vittime. Gli aggiornamenti altri non erano che FinFisher in uno dei suoi migliori travestimenti.
Il sistema di verifica dell’autenticità dell’aggiornamento di iTunes può essere tratto in inganno da un ambiente opportunamente preparato, come una rete WiFi senza password a cui ci si attacca in maniera occasionale. Una volta connessi a questa rete, iTunes rileva degli aggiornamenti (fasulli), se si permette al programma di aggiornare e non si ha un buon antivirus, la frittata è fatta.
iTunes ha un installato stimato di 250.000.000 (duecentocinquantamilioni) di esemplari. Le versioni di Windows sono tutte vulnerabili a questo attacco dal 2008 all’inizio del novembre 2011, posto che abbiano aggiornato il software, possibilmente non con una versione con FinFisher. La nota tecnica di Apple dice che il problema interessa anche OSX, ma Francisco Amato, il ricercatore che ha scoperto il problema sotto Windows, non è stato in grado di riprodurlo sulla piattaforma Mac.
Apple era a conoscenza della vulnerabilità, ma ha atteso oltre 1.200 giorni prima di correggerla.
Prima che i complottisti diano fiato ai loro polmoni, val la pena di ricordare che la reattività di Apple non è esattamente quella di un leopardo o di un leone a caccia.
Alla luce di questi fatti, credo sia assolutamente indispensabile che le vulnerabilità dei software diventino pubbliche dopo un tempo ragionevole dell’ordine di due o tre settimane. In questo modo le aziende che tengono alla sicurezza dei loro utenti sono invogliate a correggere il problema e quelle che tengono più agli aspetti di design e di PR altrettanto.
Vale sempre comunque la pena di aggiornare il software, magari da una connessione affidabile e non dai WiFi pubblici. (via Stefano Quintarelli)