Le informazione sulla sicurezza sono dannose?

CyberwarSicurezza

Quando una compagnia specializzata in sicurezza divulga dettagli su un buco di un browser web che permetterebbe agli hacker di controllare i computer infettati, ci si chiede se divulgare nei dettagli questo tipo di informazioni sia una buona cosa

Divulgare o non divulgare – una questione dibattuta in questi anni sulla sicurezza dei computer. Richard Clarke, direttore della cybersicurezza statunitense e potenzialmente tutte le compagnie produttrici di software dovrebbero avere la possibilit di risolvere i problemi prima che gli analisti della sicurezza li rendano pubblici. Gli analisti controbattono che in mancanza di una divulgazione esaustiva, le compagnie spesso non sono in grado di porre rimedio ai buchi di sicurezza in tempi rapidi. Una divulgazione esaustiva delle analisi sui problemi di sicurezza, in teoria, allerterebbe gli utenti sui problemi gi noti agli hacker, che di solito sfruttano i buchi di sicurezza prima che siano disponibili le patch. Ma un intervento recente apparso sulla mailing list BugTraq (news sulla sicurezza informatica) ha fatto imbestialire alcuni che erano normalmente favorevoli alla divulgazione delle informazioni. Lintervento svelava in dettaglio che una piccola porzione di codice di programmazione contenuto in una pagina web pu formattare lhard disk del computer del visitatore, cancellando tutti i file archiviati nel drive infettato. Il problema pu riguardare gli utenti di Internet Explorer versione 5.5 o 6.0. Anche se si daccordo con una divulgazione completa, questo genere di interventi supera di gran lunga i parametri accettabili per un forum pubblico ha dichiarato Richard Smith, esperto in sicurezza informatica. Non capisco come la pubblicazione di questo genere di informazioni possa accrescere la sicurezza. Symantec, il cui sito ospita il SecurityFocus e la mailing list BugTraq, sta semplicemente favorendo gli attacchi. BugTraq una lista controllata, dunque esiste la possibilit di scegliere se pubblicare o meno un messaggio h aggiunto Smith. Perch questo messaggio non stato bloccato? La portavoce di Symantec Genevieve Haldeman ha risposto che era stata approvata la pubblicazione delle informazioni sulla vulnerabilit del browser. Questo buco gi conosciuto nel mondo di chi si occupa di sicurezza e linformazione inviata su Bugtraq era stata copiata o trovata su altri forum pubblici. Questo particolare buco ha la potenzialit di causare danni ingenti ai sistemi, e gli esperti di sicurezza devono essere consci del fatto che questa vulnerabilit gi stata sfruttata ampiamente ha aggiunto Haldeman. Mostrare come si pu automaticamente formattare gli hard disk da una pagina web non esattamente dare informazioni complete – risponde Smith – come creare malicious code. Vista dallesterno lazione di symantec d limpressione di un incoraggiamento alla creazione e diffusione di malicious code. Dato che Symantec vende software per la sicurezza e antivirus, penso che si tratti di un tremendo conflitto di interessi.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore