Il sistema di scoperta delle vulnerabilità e di correzione delle stesse è finora vissuto su di un equilibrio fragile che rischia di spezzarsi. Un privato (o una azienda) scoprono il bug, lo comunicano alla casa produttrice per ottemperare ai dettami dell’etica, i ricercatori studiano il miglior sistema per sistemare il codice, quindi si rilascia una patch e le informazioni relative sulla base di una specifica policy di intervento. Se però la segnalazione iniziale non avviene più secondo le modalità tradizionali, tutto ciò va a monte. Ed è quel che sta succedendo nei rapporti tra Vupen e Microsoft.
Vupen (ex-FrSIRT) avrebbe infatti scoperto alcune vulnerabilità tanto in Office 2010 (due bug già ufficializzati, altri previsti per le prossime settimane con il proseguire della ricerca) quanto in Internet Explorer 6/7/8, ma i dettagli relativi a tali problematiche saranno disponibili soltanto per i clienti dell’agenzia. Tra questi si annoverano governi e aziende, i quali avranno così a disposizione i consigli necessari per rimanere in piena sicurezza e al di fuori dei pericoli potenziali correlati. Vupen, però, non porterà tali informazioni a Microsoft e questo perchè, spiega il gruppo, il lavoro non può più essere portato avanti “pro-bono”.
Vupen si inserisce così nel solco dei ricercatori di sicurezza che, già nel recente passato, hanno rifiutato di offrire ai grandi gruppi informazioni relative alle vulnerabilità scoperte poichè tale reportistica non è remunerata. Chi compie tali ricerche per professione, insomma, pretende ora adeguato compenso o limita la distribuzione delle proprie informazioni ai clienti. L’interesse si scontra quindi con l’etica trovando un nuovo compromesso: le vulnerabilità rimangono segrete, tranne che per quei clienti che per motivi di sicurezza interna necessitano di conoscere le minacce esistenti in un dato momento ed in un dato software.
Chaouki Bekrar, CEO Vupen, spiega che nel solo 2010 il suo team ha segnalato gratuitamente a Microsoft ben 130 vulnerabilità di varia natura: «perchè dovremmo dar via informazioni gratuite utili a produrre software a pagamento più sicuro?». La domanda è lecita e la risposta è nuova: tale pratica rischia di spezzarsi e così d’ora in poi i grandi produttori software potrebbero avere qualche problema e qualche onere aggiuntivo per ogni vulnerabilità scoperta.