Gli esperti di sicurezza che avevano svelato il bug Wifi alla BlackHat Conference di agosto annunciano in occasione della ToorCon Conference di San Diego una dimostrazione che questa volta, al contrario di quanto accaduto due mesi fa, avrebbe coinvolto i driver Mac OS; Apple una settimana prima della dimostrazione rilascia un aggiornamento per il software Wifi; il giorno prima della dimostrazione Apple e Secureworks, ditta da cui dipende uno dei due esperti di sicurezza, annunciano una non meglio precisata collaborazione; infine lo stesso dipendente di Secureworks fa sapere che non parteciperà alla dimostrazione che prevedeva l’hack dei driver Wifi di Apple.
Questa la sequenza di eventi che nel corso del week end ha riportato in primo piano il problema della sicurezza del wireless nei computer Mac suscitando interrogativi da parte della stampa e qualche polemica da parte dei protagonisti.
A lanciare il sospetto che tutta la vicenda, fin dal giorno dell’hack Wifi per il quale era stato usato un Mac ma non i driver Mac, passando per la stizzita reazione di Apple che si era sentita usata nella vicenda solo per l’immagine di sistema sicuro che ha Mac OS X, vada riletta sotto una nuova luce è proprio uno dei due protagonisti, Jon ‘Johnny Cache’ Ellch che con David Mayor avrebbe dovuto tenere la dimostrazione incriminata.
Ellch, che non è, al contrario di Mayor, un dipendente di Secureworks, si è presentato alla ToorCon e dichiarandosi impossibilitato a tenere la dimostrazione in assenza del suo collega, ha letto una dichiarazione nella quale, di fatto, accusa Secureworks ed Apple di avere obbligato Maynor a non presentarsi. Come se questo non bastasse Ellch ha anche lasciato intendere che i patch rilasciati ad inizio settimana sono stati realizzati sulla base di alcuni suggerimenti inoltrati ad Apple da egli stesso e dal suo collega e questo anche se Cupertino non ha mai ammesso che esistessero quei bug. Secondo Ellch a dimostrare che le cose non stanno così e che Apple ha di fatto impedito un dibattito che sarebbe potuto essere utile anche ad altri ci sono i fatti: ‘Abbiamo dimostrato un bug dei driver, Apple si è arrabbiata e noi abbiamo detto che avremmo dimostrato dal vivo il bug e che quindi sarebbe stata una buona idea ripararlo prima della nostra dimostrazione. Apple ha prima detto che non esisteva alcun bug poi ha rilasciato un aggiornamento che migliora la sicurezza del Wifi ma dicendo che noi non abbiamo niente a che fare con esso. Poi hanno annunciato un accordo con Secureworks facendo sapere anche di avere dato il via ad un esame con il CERT su ogni problema di sicurezza’.
Se non c’era alcun problema che avesse a che fare con quanto scoperto nel contesto del lavoro svolto in Secureworks, si chiede Ellch, per quale motivo hanno stilato un accordo con loro? ‘E perché ‘ continua Ellch ‘ si devono ora coordinare con il CERT?’. La risposta che l’esperto di sicurezza fornisce a se stesso e al resto del mondo dell’It è dura: ‘si tratta di mancanza di professionalità . Secureworks ed Apple hanno avuto due mesi per affrontare questo problema. Perché aspettare il giorno prima? Come si può qualificare tutto questo dal punto di vista della professionalità ?’
