Come si segnala una possibile vulnerabilità di sicurezza a Microsoft

Nei giorni scorsi tramite il blog  sono stato contattato da due lettori che mi segnalavano quelle che per loro erano problematiche di sicurezza o vulnerabilità legate alla tecnologia Microsoft. Intanto chiedo loro scusa del ritardo con cui rispondo, non è mia abitudine: nei prossimi due post prendo spunto dalle loro segnalazioni per fare qualche considerazione più generale di sicurezza. 

Le due e-mail però mi hanno fatto riflettere anche sul fatto che forse non è per tutti ovvio cosa si debba fare per segnalare a Microsoft una possibile vulnerabilità di sicurezza. Nonostante io sia comunque sempre disponibile ad indirizzare le segnalazioni che vorrete farmi in futuro, non vorrei rappresentare il collo di bottiglia rispetto alla procedura normale che anch'io utilizzerei per inoltrare le richieste a chi di dovere, e visto che in questi casi la velocità è tutto, è bene che sappiate il modo più corretto per farlo.

 Il gruppo che in Microsoft è deputato a questa attività di indagine e risoluzione delle segnalazioni su possibili vulnerabilità è appunto il già più volte citato Microsoft Security Response Center (MSRC), che da poco più di 2 anni ha anche affiancato un blog alle sue comunicazioni ufficiali classiche (i security bulletin e i security advisory) per fornire una modalità quasi real-time di fornire indicazioni sulle evoluzioni delle vulnerabilità (se volete essere avvisati in modo sollecito di un nuovo post, potete sottoscrivervi al relativo Windows Live Alert): nella scorsa settimana a Redmond ho saputo da loro che nel tempo verrà ulteriormente migliorata la trasparenza delle informazioni interne (e questo trend si nota già nei post dei due ultimi advisory...). A proposito di bulletin e advisory... forse la differenza tra i due non è chiara a tutti:

• Security Bulletin: documentano la presenza di una o più vulnerabilità di sicurezza in un prodotto Microsoft e ne indicano la risoluzione (che può consistere in una security patch correttiva, o in una operazione di riconfigurazione).
• Security Advisory: segnalano problematiche di sicurezza che non necessariamente sono classificate come vulnerabilità di prodotto (e quindi non necessariamente produrranno il rilascio di un security bulletin).

Proprio sul blog del MSRC trovate il link alla pagina web che riassume come segnalare una possibile vulnerabilità.  Vorrei farvi notare le due condizioni segnalate come requisiti per procedere a questa segnalazione:

1. l'anomalia soddisfa la definizione di vulnerabilità di sicurezza fatta dal MSRC
2. la vulnerabilità non viene spiegata dalle 10 leggi immutabili della sicurezza

Soddisfatti questi requisiti, di fatto il mezzo per operare questa segnalazione è semplice e facile da ricordare: basta mandare una e-mail (in inglese) quanto più dettagliata possibile all'indirizzo: secure@microsoft.com

Questo è il metodo che anche noi dipendenti usiamo per fare tali segnalazioni, e vi assicuro che la risposta del primo contatto di approfondimento arriva davvero entro le 24 ore.

Certo il tema della segnalazione delle vulnerabilità apre la strada al dibattito sempre caldo su quale sia il  tipo di "disclosure" più opportuna, full o responsible, ma di questo forse è il caso di parlarne in un post ad-hoc ...

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS