Google Project Zero ha deciso di applicare alcune piccole ma importanti modifiche alle proprie regole relative alla diffusione pubblica delle vulnerabilità: la posticiperà di ulteriori 30 giorni in caso di patch sviluppata e in distribuzione dopo il periodo standard di 90 giorni dalla notifica al produttore.
È bene contestualizzare un po' di cose per chi non segue troppo da vicino le vicende della sicurezza informatica. Project Zero è un team fondato da Google qualche anno fa che si occupa di ricercare falle e vulnerabilità nei software di ogni dispositivo, prodotto, applicazione o servizio web. Project Zero non guarda in faccia al marchio: negli anni ha scoperto vulnerabilità nel software di Google, di Apple, di Microsoft e di tanti altri. Quando ciò accade, la procedura è sempre la stessa:
- la vulnerabilità viene notificata al responsabile dello sviluppo del software
- dopo 90 giorni da questa data, la vulnerabilità viene divulgata pubblicamente. Lo sviluppatore può richiedere, in casi eccezionali, 14 giorni di posticipo per completare la patch.
Google Project Zero, scoperta falla ad alto rischio nelle GPU Qualcomm Adreno
23
Android
15 Dic
iOS, Google Project Zero trova sei vulnerabilit? critiche
105
Apple
30 Lug
Android: vulnerabilit? 0-day consente di controllare completamente gli smartphone
77
Google
04 Ott
Google Project Zero trova una vulnerabilit? a medio rischio in Windows 10 S
67
Windows
20 Apr
La questione dei 90 giorni è molto dibattuta nel settore: svelare al pubblico i dettagli di una vulnerabilità, specialmente se critica e molto pericolosa, può sembrare controproducente ai fini della sicurezza dell'utente finale. Questo tipo di conoscenza può infatti essere sfruttato per lo sviluppo di exploit e attacchi informatici.
Il ragionamento, però, è che si tratta di un "male necessario" per incoraggiare gli sviluppatori ad assegnare la corretta priorità alla chiusura della falla, ed evitare che finiscano vittima del ragionamento "tanto nessuno sa che questa falla esiste, possiamo prendercela comoda". In soldoni, la pratica garantisce uno sviluppo e una distribuzione molto più rapida delle patch, migliorando quindi la sicurezza globale dei dispositivi.
È tuttavia vero che il processo di certificazione e validazione e diffusione di una patch è molto sfaccettato, e in alcuni contesti può protrarsi anche per settimane. Le tempistiche variano molto in base alla classe di dispositivo o al produttore stesso, ed è proprio da qui che si origina la decisione di Project Zero di modificare il proprio regolamento. Se la distribuzione di una patch è già iniziata, è corretto dare a tutti una chance di riceverla. Vale la pena precisare che l'eventuale proroga richiesta da un produttore non è cumulativa: i dettagli della vulnerabilità saranno diffusi 120 giorni dopo la segnalazione.
NOVIT? ANCHE PER GLI SCENARI PI? URGENTI
Ci sono novità anche per quanto riguarda le vulnerabilità attivamente sfruttate. In questo caso l'urgenza è molto più alta, quindi la scadenza da 90 giorni passa ad appena 7 giorni. Anche in questo caso, i dettagli tecnici saranno divulgati dopo 30 giorni. Da quest'anno, anche in questo caso il produttore può richiedere una proroga, della durata massima di tre giorni.
Il meglio di OnePlus? OnePlus 9 Pro, compralo al miglior prezzo da Amazon a 919 euro.