Che non corresse buon sangue tra Redmond e Mountain View si sapeva, ma negli ultimi giorni i rapporti diplomatici tra i due colossi dell’Hi tech sono arrivati al limite della rottura. A irritare oltre limite Microsoft sono state le ultime uscite del team di sicurezza Zero Project, una squadra di ricercatori allestita da Google per esaminare i programmi altrui a caccia di vulnerabilità. Gli esperti al soldo di Mountain View, solo dal mese di novembre, hanno reso pubbliche quindici vulnerabilità di Windows 8.

Non si tratta di una grossa novità: sono decine, infatti, le società di sicurezza che si dedicano a questo tipo di attività e la loro collaborazione con gli sviluppatori porta a migliorare notevolmente il livello di sicurezza a livello globale. Il problema, però, è che di solito le vulnerabilità vengono rese pubbliche solo dopo che il produttore ha messo a punto un aggiornamento (patch) che permetta di sistemare le cose. Questo per un motivo abbastanza ovvio: comunicare urbi et orbi l’esistenza di una falla di sicurezza prima della realizzazione di una patch consente ai pirati informatici di sfruttarla per creare malware o portare attacchi alle infrastrutture che utilizzano il software in questione.

Certo, esistono dei casi in cui la pubblicazione può avvenire anche in assenza di un aggiornamento. Di solito succede quando il produttore del software dimostra una certa “inerzia” nel realizzare l’aggiornamento. Secondo Microsoft, però, i ricercatori di Google hanno reso pubbliche le informazioni 2 due giorni prima del rilascio dell’aggiornamento di gennaio che avrebbe “tappato” la falla. Uno sgarro che, dalle parti di Redmond, non hanno preso particolarmente bene. Al punto che Chris Betz, uno dei responsabili sicurezza della società fondata da Bill Gates, ha espresso pubblicamente  la sua irritazione sul Web, accusando Google di essere più preoccupata di screditare la concorrenza piuttosto che lavorare per la sicurezza degli utenti.

Da parte sua, Google ha risposto pubblicando una serie di email che mostrerebbero come Microsoft avesse rimandato a febbraio il rilascio della patch a causa di alcune incompatibilità e ribadendo la sua policy che prevede un termine perentorio di 90 giorni dalla comunicazione, dopo il quale la falla verrebbe resa pubblica in ogni caso. Una filosofia condivisa anche da Linus Torvald, il “papà” di Linux, che recentemente ha ribadito la sua opinione secondo cui rendere pubbliche tempestivamente le vulnerabilità dei sistemi è la strategia migliore per garantire la sicurezza. La questione divide anche gli esperti di sicurezza, che in questa vicenda si trovano schierati equamente tra le due parti. Resta il fatto che, mentre le due aziende continuano a litigare come bambini dell’asilo, migliaia di utenti si ritrovano nella situazione paradossale di avere un sistema operativo con falle comunicate ufficialmente e per le quali non è disponibile un aggiornamento.

→  Sostieni l’informazione libera: Abbonati rinnova il tuo abbonamento al Fatto Quotidiano