Core Infrastructure Initiative, un'alleanza per prevenire il "prossimo Heartbleed"

Core Infrastructure Initiative, un'alleanza per prevenire il "prossimo Heartbleed"

Con la supervisione della Linux Foundation, un gruppo di 12 compagnie si è alleata per supportare e finanziare risorse chiave per il mondo del web, a partire da OpenSSL

di Andrea Bai pubblicata il , alle 17:01 nel canale Sicurezza
 

L'improvviso terremoto causato dal bug Heartbleed ha dato uno scossone a tutte le realtà del web che si sono affidate ad OpenSSL e ha portato a galla quanto poco sforzo sia stato fatto per mantenerlo. L'epilogo della vicenda ha spinto alcuni delle principali realtà del mondo tecnologico e della rete ad unire le forze per evitare l'insorgenza di altri problemi simili, con l'istituzione della Core Infrastructure Initiative.

Coordinata dalla Linux Foundation, l'iniziativa ha lo scopo di stanziare ed investire risorse sulle infrastrutture software critiche per il mondo della rete. Jim Zemlin, direttore esecutivo della Linux Foundation e responabile della nuova iniziativa, ha dichiarato: "Dopo aver aggiornato i nostri software e cambiato i nostri certificati che cosa possiamo imparare? Che cosa può essere fatto in modo diverso? In retrospettiva avrei voluto fare tutto ciò molto tempo fa".

Tra le compagnie che hanno già aderito all'iniziativa vi sono Google, Microsoft, Facebook, Intel, Fujitsu, Rackspace e Amazon Web Services. Le realtà che aderiscono alla Core Infrastructure Initiative si impegnano a donare 100 mila dollari all'anno per i prossimi tre anni. Con 12 compagnie già a bordo, l'iniziativa può quindi contare su 3,6 milioni di dollari di finanziamento che saranno distribuiti man mano che il progetto avanza nei prossimi mesi. La Linux Foundation non avrà potere decisionale sull'uso delle risorse, sarà invece il comitato esecutivo della Core Infrastructure Initiative che deciderà in quali progetti investire.

Ovviamente, proprio a causa del bug Heartbleed, in cima alla lista degli "interventi" vi è OpenSSL, ma non sarà l'unica area dove si concentrerà il supporto della Core Infrastructure Initiative. ModSSL, PGP e OpenCryptolab sono già stati identificati come altri potenziali progetti dei quali si potrà occupare la nuova iniziativa.

I fondatori sperano che il progetto possa far luce su nuove priorità una volta che tutte le parti in causa prenderanno ad incontrarsi con regolarità. "La speranza è che fra cinque anni quando ci guarderemo alle spalle diremo che una delle cose che abbiamo imparato è quanto sia importante prendere queste decisioni in maniera proattiva" ha commentato Zemlin.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
benderchetioffender24 Aprile 2014, 18:48 #1
tutto molto bello e ottima l'iniziativa di LF

...anche se era doveroso che aziende del calibro di google &co donassero un pochino di piu per lo sviluppo di tecnologie cui fanno abbondante uso ben prima di trovarsi col culo scoperto davanti la tempesta
WarDuck24 Aprile 2014, 19:12 #2
Segnalo il fork di OpenSSL ad opera degli sviluppatori OpenBSD:

http://www.libressl.org/
Zenida25 Aprile 2014, 03:24 #3
Il problema principale è che non esiste e non esisterà mai la sicurezza al 100%
Se c'è una serratura c'è sempre un modo per forzarla

Jim Zemlin dice "In retrospettiva avrei voluto fare tutto ciò molto tempo fa"

ma che le fai prima (grazie adesso a questa nuova alleanza) o le fai dopo, resta il fatto che cmq c'è stata una falla sfruttabile nel frattempo.

Quindi il problema non è scoprire le falle (Perchè tanto prima o poi vengono a galla cmq) e neanche scoprirle prima del tempo, ma scoprirle prima che sia nota a chiunque e questa cosa la vedo davvero difficile, perchè gruppi di hacker e organizzazioni come l'NSA giocano sempre il ruolo degli scassinatori pronti a trovare la prima vulnerabilità non nota da sfruttare finchè dura.

Dobbiamo solo sperare che l'alleanza svolga un ruolo da garante senza che nel frattempo non vengano trafugate informazioni sulle vulnerabilità anche dal garante stesso mentre è al lavoro, perchè sarebbe la cosa più facile vedere cosa gli altri cercano di tappare senza troppi sforzi di ricerca.

Nella sicurezza si giocherà sempre a guardie e ladri purtroppo
jj.69kt26 Aprile 2014, 17:45 #4

Libre SSL

WarDuck, lascia perdere, sarà solo una versione per OpenBSD. Gli sviluppatori di oBSD non sono famosi per rilsciare software portable.....
Cfranco28 Aprile 2014, 09:36 #5
Originariamente inviato da: Zenida
Il problema principale è che non esiste e non esisterà mai la sicurezza al 100%
Se c'è una serratura c'è sempre un modo per forzarla

Jim Zemlin dice "In retrospettiva avrei voluto fare tutto ciò molto tempo fa"

ma che le fai prima (grazie adesso a questa nuova alleanza) o le fai dopo, resta il fatto che cmq c'è stata una falla sfruttabile nel frattempo.

Non esisterà mai la sicurezza al 100%, ma questo non giustifica lo stare con le pezze al #ulo come è successo con OpenSSL
OpenSSL è un progetto che è strausato ed è critico per aziende piene di soldi ma è stato finanziato con qualche manciata di noccioline da qualche privato con paypal, i big hanno affidato la loro sicurezza a un progetto sul quale non hanno sganciato 2 dollari.
Adesso che è successo il casino si son resi conto di quanto gli è costato non avere speso 4 soldi prima, si spera abbiano imparato la lezione.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^