Connessioni / Next / Search / Sicurezza / Social
Apple, dietrofront alla Black Hat Conference
Apple ritira un gruppo di ricercatori che avrebbe dovuto parlare a Las Vegas di come è gestita la sicurezza nel Response Team di Cupertino. E firma una non-disclosure agreement con un ricercatore sui bug di FileVault
La Black Hat Conference, uno degli eventi-clou in tema di sicurezza per ricchezza di contenuti e qualità dei relatori, parte con una defezione di peso: Apple ha infatti rifiutato il nullaosta a un gruppo che avrebbe dovuto parlare della sicurezza made in Cupertino. Che tutto sommato avrebbe potuto giovare all’immagine dell’azienda, storicamente votata al concetto di Security through obscurity, e per questo pluricriticata dalla comunità dei ricercatori, incline alla full disclosure.
E’ Jeff Moss, fondatore di Black Hat e responsabile della conferenza, a spiegare l’accaduto: “Volevamo presentare l’approccio in tema di sicurezza da parte di Apple […]. Sarebbe stata una buona cosa per l’immagine dell’azienda, ma il gruppo non ha avuto l’approvazione da parte del marketing“. Una questione di immagine e di opportunità, quindi, avrebbe giustificato il veto. Lo speech era stato approvato dagli organizzatori della conferenza all’inizio di luglio, ed è stato cancellato a pochi giorni dalla chiusura dalla call for papers. Moss non ha voluto menzionare i relatori, spiegando che “fare il loro nome potrebbe metterne a rischio il lavoro”.
E’ la seconda tegola - o incidente diplomatico - che tocca Apple nell’ambito della conferenza: negli scorsi giorni è saltato anche il discorso di Charles Edge, un consulente indipendente, su FileVault, il sistema di cifratura dei dati di Mac OS X. Bocche cucite sul perché sia da parte di Edge che di Apple, ma poi il consulente ha spiegato il motivo al Washington Post: ha firmato un accordo di non disclosure con Apple che gli impedisce di parlare della scoperta. Silenzio comprato, in altri termini: ma non è né uno scandalo, né una pratica della sola Apple. Si tratta di uno dei metodi a disposizione di chi vuole trattare e risolvere in privato i bug del proprio software.
Non è la prima volta che un vendor chiede a un ricercatore - indipendente o dipendente dell’azienda - di non parlare alla Black Hat Conference: nel 2005, a Michael Lynn - allora in forza a Iss, ora di proprietà di Ibm - venne chiesto da Cisco di non rivelare alcuni bug scoperti nei propri router. Lynn dapprima si dimise dal proprio lavoro, tenne impassibile il proprio discorso e firmò a stretto giro di posta un accordo di non-disclosure con Cisco.
“Dovesse cambiare idea, Apple sarebbe ancora la benvenuta” ha concluso seraficamente Moss. Qui si possono trovare ulteriori informazioni sulla Black Hats Conference, equamente divise tra corsi on-site e conferenze vere e proprie.
[Aggiornamento: gli organizzatori della Black Hat Conference hanno detto che lo speech di Charles Edge “non è mai esistito”. Edge, tuttavia, continua a sostenere l’esatto contrario. Qui un’ulteriore copertura della vicenda]
Ancora nessun commento.