I bug che hanno permesso alla CIA di violare le diverse piattaforme verranno resi noti dal sito, anche in assenza di patch
Solo qualche settimana fa WikiLeaks pubblicava il primo archivio di Vault 7, il vasto database che svela le modalità di intrusione della CIA all’interno delle piattaforme hi-tech più usate al mondo. La promessa del portale era non solo quella di far conoscere in che modo i federali spiano i dispositivi connessi ma anche permettere alle aziende produttrici di chiudere le falle, per allontanare il rischio di ulteriori violazioni in futuro. “Abbiamo deciso di lavorare con loro, offrendo un esclusivo accesso ad alcuni dettagli tecnici, così da poterli chiudere e tapparli” – aveva detto Julian Assange in occasione del rilascio dei file iniziali che, con il tempo, dovrebbero comporre un quadro composto da almeno 750.000 documenti, in quella che si pone come la diffusione più ampia di informazioni classificate nella storia moderna.
Fretta di pubblicare
Il fatto è che il tempo stringe e per evitare pressioni o altre problematiche di sorta (come ad esempio l’interruzione dei server di WikiLeaks), Assange ha avvertito le compagnie coinvolte, tra cui Apple, Microsoft e Google, che hanno poco meno di 90 giorni per compiere il lavoro di finalizzazione e chiusura dei bug, prima che le debolezze vengano pubblicate interamente e fatte conoscere a tutti, hacker e criminali informatici compresi. Se entro tre mesi i software non saranno patchati, l’organizzazione procederà comunque con la condivisione, mettendo a serio rischio l’incolumità degli utenti. In realtà, 90 giorni sono un termine più che accettabile per lavorare a un fix; non a caso si tratta della stessa tempistica fornita dal team Project Zero di Google quando trova buchi nei software di terze parti. Anche in quel caso, se lo sviluppatore non interviene nel periodo previsto, il gruppo svela i dettagli della falla, senza farsi troppi scrupoli. Il motivo? Incentivare una risoluzione pratica e veloce dei difetti scoperti, così da migliorare l’approccio delle aziende ai temi della sicurezza.