Google fa sul serio. Il suo Project Zero team, creato a luglio dell’anno scorso sull’onda dei temibili attacchi zero day (che sfruttano bug non ancora noti e per i quali non esistono patch) per portare allo scoperto le vulnerabilità software di qualunque azienda tecnologica, si rivela inflessibile nel suo ultimatum alle imprese monitorate: le falle nella sicurezza vanno riparate in 90 giorni o Google le renderà pubblicamente note. Big G dice di rendere un favore alla sicurezza It, ma il suo ruolo di controllore, arbitrariamente assunto, viene contestato. Le prime a farne le spese? Microsoft e Apple.
UN TEAM CONTROVERSO
Il Project Zero team è un gruppo selezionato di hacker e programmatori di Google che analizza costantemente il software di Big G e dei suoi concorrenti andando a caccia di vulnerabilità. Appena viene scoperta una falla, le aziende interessate vengono informate, affinché provvedano con delle patch, ma hanno una finestra di tempo limitata per approntare le fix. Google sostiene che in questo modo sollecita i produttori di software a muoversi rapidamente nel mettere in sicurezza i loro prodotti perché i cyber-criminali sono più veloci della luce nell’individuare eventuali bachi: indugiare è un lusso che nessuno si può più concedere.
La questione però è controversa. “L’aiuto” offerto da Big G non è gradito e molti si chiedono chi abbia deciso che Google ha l’autorità per controllare la sicurezza di tutte le altre tech companies. A occuparsene dovrebbero essere se mai enti del governo o super partes (e il ruolo dei settori pubblico e privato nel difendere dagli attacchi informatici è al centro del cybersecurity summit del 13 febbraio a Palo Alto, California, voluto dal presidente Barack Obama).
Google replica che il suo intento è aiutare tutte le aziende ad essere più sicure e al tempo stesso proteggere i suoi prodotti che girano su device e software di terzi.
“Non capisco chi abbia fatto di Google l’arbitro del mercato della notifica delle vulnerabilità”, dichiara John Dickson della società di software security Denim Group. Spingere le aziende a rimediare alle falle del software è un obiettivo condivisibile, ma Dickson dubita delle “nobili intenzioni di Google” visto che finora “ha fondamentalmente messo a nudo le vulnerabilità dei suoi due maggiori rivali”.
Google però si fa forte proprio dei recenti appelli di Obama alla cooperazione sulla cyber-sicurezza: le aziende tecnologiche devono scambiare informazioni, supportando iniziative congiunte che mettono da parte le rivalità. “Se le aziende tecnologiche non riescono a collaborare sulla sicurezza, è un danno per tutto l’ecosistema”, concorda Jake Kouns, chief information security officer della Risk Based Security.
BRACCIO DI FERRO CON APPLE E MICROSOFT
Google viene criticata anche perché rendere pubbliche le falle vuol dire facilitare il “lavoro” agli hacker. Tuttavia Google non transige e applica in modo inflessibile la regola in base alla quale, a 90 giorni dall’avviso su un baco rilevato, la falla non riparata viene resa pubblica. Si è così già scontrata proprio con le due rivali maggiori: Apple e Microsoft.
A gennaio, Apple ha chiesto a Google di darle una settimana di tempo in più prima di rilasciare le informazioni su tre bachi del sistema operativo Mac Os X, per permetterle di mettere a punto le fix; Google sapeva che le patch erano quasi pronte e anzi aveva già in mano la versione aggiornata del software, ma non ha concesso ad Apple la settimana in più richiesta e ha pubblicato i dati sulle vulnerabilità, secondo il resoconto di una fonte confidenziale.
Lo stesso è accaduto a Microsoft, che ha chiesto due giorni in più per riparare una falla di Windows; anche qui Google ha respinto la richiesta e reso noti i dettagli del baco. “Quello che va bene per Google non è sempre quello che va bene per i clienti”, ha commentato Chris Betz, senior director del Security Response Center di Microsoft. Microsoft chiede ai team di ricerca come quello di Google di rivelare in via privata le falle portate alla luce e di lavorare poi insieme per arrivare a una fix. Google avrebbe violato questa pratica diffusa, ha detto Betz, danneggiando tutti, ricercatori, produttori di software e utenti.
NEL MIRINO DI PROJECT ZERO
Secondo un’analisi di Risk Based Security, Project Zero ha finora identificato 39 vulnerabilità in prodotti Apple e 20 in prodotti Microsoft, ma anche 37 falle nel software di Adobe Systems e 22 negli strumenti di sviluppo software di FreeType. Project Zero ha reso pubblici i dettagli delle vulnerabilità prima che la fix fosse disponibile 16 volte nel caso di Apple, 3 nel caso di Microsoft e una per Adobe, rivela Kouns di Risk Based Security.
L’atteggiamento severo di Google “è un bene per tutto il settore”, commenta Tom Gorup, manager di Rook Security. La deadline di 90 giorni potrebbe andar stretta a grosse aziende che devono passare al vaglio migliaia di linee di codice, ma evita la negligenza, sottolinea Craig Young, senior security researcher di Tripwire. Young racconta di aver riportato ad Apple a ottobre 2012 un bug che gli hacker avrebbero potuto sfruttare per attaccare un file server in Os X. Non si trattava di una falla critica, ma Apple ha sistemato il problema solo il 27 gennaio scorso. Finora le falle rese pubbliche da Project Zero e prive di fix non erano gravi, ma Young ammette che se da un lato Google fa bene a pressare le aziende hitech perché riparino velocemente i bachi, dall’altro rischierebbe di creare problemi anche più gravi per la sicurezza se svelasse vulnerabilità critiche senza patch.