I difetti zero-day in Tails non sono in vendita, afferma il broker di vulnerabilità

Una società specializzata nella vendita di informazioni sulle vulnerabilità del software ha riacceso un dibattito sulla gestione di tali informazioni, soprattutto quando si tratta di strumenti incentrati sulla privacy.

Exodus Intelligence, con sede ad Austin, in Texas, ha twittato lunedì che ha riscontrato diverse vulnerabilità in Tails, un sistema operativo e una suite di applicazioni progettate per rendere più difficile il monitoraggio dell'attività di un utente online.

Exodus ricerca e vende informazioni sulle vulnerabilità del software, un'attività legale ma che attira critiche per la sua natura opaca e le preoccupazioni su come i governi o altre entità potrebbero utilizzare le informazioni.

La società da allora ha annunciato che fornirà un rapporto con le informazioni sulla vulnerabilità agli sviluppatori di Tails entro la fine di questa settimana. Exodus non condividerà tali informazioni al di fuori dell'azienda prima di allora, ha scritto Aaron Portnoy, vicepresidente, in uno scambio di e-mail martedì con IDG News Service.

Alla domanda se Exodus stesse facendo un'eccezione speciale per Tails, Portnoy ha scritto: "Valutiamo ogni vulnerabilità che trattiamo caso per caso, quindi la vulnerabilità di Tails non è un'eccezione poiché non abbiamo uno standard di base".

Tails è un sistema operativo basato su Linux che utilizza diversi strumenti di miglioramento della privacy come Tor per rendere l'utilizzo di Internet più anonimo. È progettato per essere utilizzato in viaggio, ad esempio nei punti di accesso a Internet pubblici, ed è considerato uno dei modi migliori ma non infallibili per ridurre il lasciare un'impronta digitale su un computer.

Il tweet di Exodus ha provocato una reazione di Tails, che ha scritto sul suo blog che non era stato contattato prima del tweet. Ma Tails è stato contento che avrà la possibilità di vedere le informazioni.

"Ci viene detto che non sveleranno pubblicamente queste vulnerabilità prima di averle corrette e che gli utenti di Tails hanno avuto la possibilità di eseguire l'aggiornamento", si legge nel post del blog. "Pensiamo che questo sia il processo giusto per rivelare in modo responsabile le vulnerabilità e non vediamo davvero l'ora di leggere questo rapporto."

Portnoy ha affermato che Exodus non esclude alcuni tipi di software dalla sua analisi e che "ci concentriamo su cose ampiamente diffuse".

Non era chiaro se la pressione del pubblico avesse influenzato la decisione di Exodus di divulgare le informazioni privatamente a Tails. Il modo in cui il problema è stato gestito ha generato una reazione in gran parte negativa contro Exodus su Twitter, con alcuni accusando la società di mettere potenzialmente a rischio gli utenti.

Portnoy ha notato alcuni tweet di Christopher Soghoian, che è il principale tecnologo del Progetto Discorso, Privacy e Tecnologia presso l'American Civil Liberties Union. Soghoian è da tempo critico nei confronti del broker di vulnerabilità.

Soghoian ha dato uno sguardo a Portnoy, scrivendo “Sono abbastanza sicuro che @aaronportnoy non sia interessato a proteggere nessuno. È interessato a vendere fantastici 0 giorni per denaro contante. ”

Portnoy ha dichiarato in una e-mail che ha capito perché gli sviluppatori di Tails "potrebbero essere stati irritati a causa delle reazioni iperboliche di alcuni degli individui più vocali alla periferia di questo settore che avevano l'impressione che stessimo vendendo le informazioni ad altri".

Riferendosi a Soghoian, Portnoy scrisse: "Quando le persone hanno oltre 35.000 follower, le false idee possono facilmente diffondersi senza alcun tentativo di convalida".

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.