La fuga dei sorgenti MS fra bufale e minacce per l’open source

di Andrea Monti – PC Professionale n. 157

Una porzione del codice sorgente di Windows finisce in rete e in molti si preoccupano delle eventuali vulnerabilità che si potrebbero scoprire.

Lo scorso 12 febbraio 2004 si è diffusa la notizia della disponibilità in rete di una parte (peraltro non enorme) dei codici sorgenti di NT e Explorer, notizia confermata da una dichiarazione ufficiale pubblicata su Microsoft.com. Nell’immediatezza del fatto, si è scatenata la ridda delle ipotesi sul come fosse stato possibile un fatto di questo genere, e qualcuno ha subito parlato di un accesso abusivo a qualche server aziendale (ipotesi quasi subito scartata).

A quanto pare, la responsabilità dell’azione sarebbe da attribuire a un dipendente di un system integrator che aveva stipulato con Microsoft degli accordi di licenza per l’accesso al codice. Sia come sia, dopo (pare) i sorgenti di office (www.ictlaw.net/internal.php?sez=art&IdT=4&IdTA=20&IdA =116), ora anche quelli di Explorer e NT sono di pubblica disponibilità sui network peer-to-peer. Prevedibilmente, la risposta di Microsoft non si è fatta attendere e si è concretizzata in una massiccia campagna volta ad arginare il fiume di “bit illegali” che in questi giorni sta tracimando per la rete. Fra le varie iniziative annunciate (www.microsoft.com/presspass/press/2004/Feb04/02-12windowssource.asp) Microsoft ha deciso di “inviare lettere che spiegano alle persone che hanno già scaricato il codice sorgente che queste azioni sono illegali”.

Oltre a distribuire “avvisi su diversi client peer-to-peer dove si è verificata la diffusione illecita dei codici sorgenti. Questi avvisi sono progettati per informare ogni utente che è illegale effettuare specifiche ricerche su questi network finalizzate a individuare e scaricare il codice sorgente”. Ed è proprio a questo proposito che ci si è trovati di fronte a un piccolo “mistero”. Almeno fra il 14 e il 16 febbraio sono circolate delle e-mail (www.derickrethans.nl/20040214.php) indirizzate a ISP e istituzioni (per l’Italia www.ictlex.net/internal.php?sez=doc&IdT=6&id_doc=73&lang=4) nelle quali un tal JK Weston, che scrive dal dominio microsoft. com e si firma digitalmente con PGP 8.0, formula una cortese, ma molto esplicita, diffida nei confronti degli assegnatari di IP che, a suo dire, sarebbero coinvolti nella diffusione non autorizzata dei codici incriminati.

Sebbene questa mail sia coerente con le linee guida di Microsoft sul “come” diffidare chi viola i suoi diritti di proprietà intellettuale, la firma PGP non sembra verificabile e l’ufficio stampa di Microsoft Italia, specificamente interpellato, risponde soltanto facendo riferimento ai comunicati ufficiali ma non conferma l’attendibilità del messaggio in questione. Pertanto sarà opportuno, se chi dovesse ricevere un messaggio del genere volesse rispondere, chiedere prima direttamente all’azienda in questione se riconosce la paternità della comunicazione.

Certo, è quantomeno curioso il silenzio di Microsoft su questo fatto, perché se la lettera è sua non dovrebbe avere problemi a riconoscerla per tale; se non lo è avrebbe il diritto/dovere di avvertire la collettività che si tratta di una bufala; specie perché i contenuti sono profondamente discutibili dal punto di vista giuridico e incivili da quello culturale.

In un panorama dai contorni così vaghi, però, un elemento si staglia nitido: la possibilità che il riutilizzo di questi codici sorgenti in applicazioni open source consenta a Microsoft l’avvio di battaglie legali e di comunicazione in grado di raggiungere quei risultati – l’eliminazione o il forte ridimensionamento dei concorrenti “liberi” – che fino ad ora non è stato possibile ottenere.

È quindi necessario, da parte della comunità open source, esercitare un forte senso di responsabilità resistendo alla tentazione di entrare in possesso e riutilizzare questi codici sorgenti. D’altra parte, come dimostrano gli exploit basati sui codici in questione e già disponibili in rete, nonostante patch e service pack ci sono ancora vulnerabilità dei sistemi Microsoft che possono essere sfruttate per danneggiare persone, aziende e istituzioni. Se da un lato è chiaramente illegale detenere e modificare i sorgenti oggetto di proprietà intellettuale riservata, perché – specie dopo il lancio del “trustworthy computing” – non possiamo dire lo stesso del diffondere software così vulnerabili?

Possibly Related Posts: