La responsabile della sicurezza Mozilla parla della gestione del processo di patching

di Percy Cabello

SearchSecurity.com ha realizzato un'interessante intervista a Window Snyder, responsabile della sicurezza Mozilla. Come ex componente del team di sicurezza Microsoft, Snyder dà il proprio parere su come si differenziano i metodi organizzativi delle due aziende nella gestione delle vulnerabilità di sicurezza, dalla loro scoperta alla creazione della patch.


Lei ha lavorato per Microsoft prima di trasferirsi a Mozilla. Ci parli del perché ha lasciato il gigante del software.
Snyder: per la verità, dopo Microsoft sono andata in una start-up che avevano fondato alcuni amici [la società di consulenza sulla sicurezza Matasano Security LLC con sede a New York] e da lì sono approdata a Mozilla. Ho scelto Mozilla perché mi sembrava ci fosse la vera possibilità di rendersi conto di come gli utenti affrontano l'esperienza di Internet e cercare di renderla la più sicura possibile.

Ovviamente, la sua fedeltà ora è verso Mozilla. Ma lei pensa che Microsoft sia migliorata nel produrre patch che siano rapide e accurate?
Snyder: non sono mai stata scettica sul lavoro che stava facendo Microsoft. Quando ero là sono sempre stata orgogliosa dei cambiamenti che via via venivano apportati. Hanno un compito difficile, testano le loro modifiche verso un insieme enorme di applicazioni che si affidano ad Internet Explorer, ad esempio, e devono testarle verso molti controlli utilizzati in applicazioni interne che l'utente domestico non vede neppure. Dal canto nostro, abbiamo questa community pazzesca che è in grado di testare tutte queste diverse configurazioni in un breve periodo di tempo. Sotto questo aspetto, è quasi sorprendente pensare che forse Mozilla ha più risorse, sul lato del testing, di Microsoft con tutte le sue risorse finanziarie. Questo è uno dei motivi per cui noi riusciamo a pubblicare patch così velocemente, perché riusciamo ad effettuare un testing ad ampio raggio in un breve lasso di tempo.

Mentre Microsoft ha il proprio team interno di ricercatori che lavorano su questi problemi, Mozilla ha a disposizione l'intera community open source.
Snyder: esatto, Mozilla ha il vantaggio di un'enorme comunità che ci aiuta a testare le nostre nightly build. Ogni notte ci sono qualcosa come diecimila persone che scaricano e provano il software. E' un numero elevatissimo di persone che lavorano sulle patch di sicurezza e sulle nuove versioni del browser, testandole in diverse combinazioni su diverse piattaforme. Ecco la vera differenza tra il nostro processo e quello di Microsoft.

Diamo ora uno sguardo alle sfide di sicurezza che attendono Mozilla. In autunno è stato pubblicato Firefox 2.0 e prima della fine di dicembre è stato pubblicato un importante aggiornamento per correggere un buon numero di vulnerabilità. In passato abbiamo visto casi analoghi, ad esempio dopo la pubblicazione sia di Firefox 1.5 che di Firefox 1.0, dove grossi aggiornamenti di sicurezza si sono resi necessari abbastanza rapidamente. In questo contesto, ci può spiegare come le applicazioni come Firefox siano una scommessa vincente rispetto ad Internet Explorer?
Snyder: Mozilla cerca di pubblicare una patch di sicurezza ogni sei-otto settimane. Questo comprende patch per vulnerabilità scoperte sia esternamente che internamente. Così, dire che una patch è uscita appena dopo la pubblicazione della 2.0, avrei potuto dirtelo mesi prima della sua pubblicazione. Di certo pubblicheremo patch di sicurezza perché continueremo a ricercare vulnerabilità, e renderemo disponibile un aggiornamento di sicurezza agli utenti non appena potremo. Microsoft ha un processo leggermente diverso perché loro cercano vulnerabilità presenti nei prodotti e li aggiornano con le service pack che escono -- nel caso dei sistemi Windows -- circa una volta all'anno. E quando le vulnerabilità sono scoperte all'esterno, vengono affrontate con aggiornamenti di sicurezza mensili. La differenza è che noi siamo di continuo alla ricerca di vulnerabilità e di continuo le risolviamo. Gli utenti non devono attendere la prossima versione del prodotto per apprezzare i benefici del lavoro sulla sicurezza che stiamo compiendo. Ne apprezzano i benefici a regolare scadenza.

Ci parli della facilità di distribuzione di queste patch. Alcuni affermano che il processo è diventato più semplice per i clienti Microsoft grazie a programmi come Windows Server Update Services (WSUS). E ci sono i sostenitori Mozilla che affermano che con Firefox basta una finestra di aggiornamento e il gioco è fatto.
Snyder: il modello con cui lavoriamo è progettato per rispondere alle esigenze del cliente mentre Microsoft ha molte infrastrutture integrate per l'azienda. Noi pensiamo di avere un modello più semplice per gli utenti perché quando vedono la finestra di aggiornamento, cliccano e sono a posto. Impegniamo molto tempo per creare funzionalità per proteggere i clienti e gli utenti finali.

In origine Microsoft aveva pianificato otto aggiornamenti di sicurezza per gennaio ma alla fine ha deciso di ritirarne la metà. Dalla sua esperienza, ci parli dei motivi per cui talvolta è necessario fare marcia indietro e se è qualcosa che anche Mozilla ha dovuto fare in passato.
Snyder: è stato davvero un problema per noi. Eravamo pronti per pubblicare una patch per qualcosa e poi abbiamo deciso che c'era un modo più compatto per risolvere il problema che avrebbe impedito anche altri problemi in futuro. Oppure una determinata patch non aveva avuto un testing adeguato, e così via. Questo era davvero un problema quando ero in Microsoft, in qualunque team io avessi lavorato. A volte vai a correggere qualcosa e scopri che non è l'unico problema, che ce ne sono altri, vuoi risolvere l'intera categoria di problemi invece del singolo problema. A volte lo scopri alla fine del processo. Sono cose possono accadere per varie ragioni. Queste sono tutte persone in gamba che lavorano duramente sui problemi e lo stiamo facendo unicamente per l'utente. Sono sicura che Microsoft non si sia tirata indietro per capriccio, sono certa che abbiano concluso che l'utente sarà protetto meglio in futuro, passando più tempo a lavorare su una patch.

Ci parli del valore dell'analisi del codice sorgente e binario e dell'approccio di Mozilla al riguardo rispetto a quello di Microsoft.
Snyder: Microsoft ha svolto molto lavoro internamente per istruire i propri sviluppatori sulle migliori procedure di sicurezza e ha coinvolto i vendor a lavorare sul proprio codice. In Mozilla stiamo provando ad allargarci verso la community di ricerca per spingerli a contribuire al progetto Mozilla, spostando anche le loro ricerche in questa direzione. I problemi affliggono qualunque browser. E' più semplice capire i problemi più comuni se si ha a disposizione il codice sorgente e questo può rappresentare un progetto interessante per alcune di queste persone. Apprezziamo davvero il loro contributo e li incoraggiamo ad aiutarci per trovare vulnerabilità di sicurezza e modi migliori per rendere più sicuro il browser.