IBM

IBM e le vulnerabilità di sicurezza non riconosciute

Un tool IBM promette sicurezza e analisi del rischi, ma Big Blue è la prima a non accettare i report quando essi identificano la presenza di vulnerabilità all’interno dei suoi prodotti.

Data Risk Manager (DRM) è un prodotto che IBM propone per “svelare, analizzare e visualizzare” i rischi aziendali connessi all’uso dei dati, ma DRM è anche un tool fallato contenente almeno quattro vulnerabilità di sicurezza potenzialmente molto gravi. Falle che Big Blue si era fin qui rifiutata persino di riconoscere come un problema.

A individuare le vulnerabilità è stato Pedro Ribeiro, ricercatore di sicurezza che ha scavato nel codice della suite DRM (basata su Linux) scoprendo problemi con l’autenticazione, l’injection di comandi, l’uso di password di default insicure e il download arbitrario di file. Prese tutte assieme, le quattro vulnerabilità possono essere sfruttate per eseguire codice malevolo da remoto con privilegi di root.

Breccia di Sicurezza

La gravità del problema avrebbe dovuto spingere IBM a ringraziare il ricercatore e poi mettere mano al codice di DRM, ma stando a quanto sostiene Ribeiro la corporation si è comportata in maniera diametralmente opposta. Secondo IBM il rapporto di Ribeiro non rientrava nel programma aziendale di disclosure delle falle di sicurezza a causa del supporto a pagamento.

Il ricercatore ha dunque deciso di pubblicare le informazioni sulle vulnerabilità tramite GitHub, e solo a quel punto IBM ha cambiato opinione sulla faccenda: ora la risposta iniziale al lavoro di Ribeiro viene indicata come “impropria” e causata da un errore non voluto, mentre l’azienda sta implementando misure di “mitigazione” (quindi non necessariamente patch correttive) che verranno discusse in un bollettino di sicurezza futuro.

PCProfessionale © riproduzione riservata.
Ha avuto il suo incontro fatale con la tecnologia negli anni '80, prima con i giochi arcade e poi con l'Intellivision di Mattel, e da allora la passione è andata solo aumentando. Quando non passa il proprio tempo a consumare notizie sull'attualità informatica ama leggere (su carta), scrivere, fotografare e collezionare vecchi libri sui sistemi operativi obsoleti.