Non esistono
sistemi perfetti né assolutamente sicuri. Ma chi vende ed utilizza sistemi che
si mostrano lesivi persino nei propri confronti come può definirsi?
A cura di Luigi
Morelli
Ci risiamo.
Lo scorso gennaio decine di migliaia di server sono rimasti bloccati dall’ennesimo verme informatico; stavolta a consentire l’infezione è stato un buco nella sicurezza del prodotto Microsoft SQL Server, un buco la cui patch era stata rilasciata sin dallo scorso giugno, secondo fonti Microsoft. “Peggio per coloro che non hanno installato la patch a tempo debito” è stata la risposta dei PR del gigante di Redmond. Ricordiamo infatti che Microsoft aveva fatto della sicurezza dei propri sistemi un punto d’onore, dichiarazione suffragata dallo stesso Bill Gates rilasciando un e-mail circolare diretta a ciascun membro della propria azienda informatica.
Tuttavia ciò non è apparso sufficiente a Russ Cooper, della TruSecure Corp. che riguardo alle affermazioni Microsoft ha dichiarato recisamente: “Se l’affidabilità dei servizi informatici meritava lo scorso anno un D-, quest’anno sono precipitati ad F (insufficienza piena)”. Tanto per iniziare, prendiamo in esame l’assistenza Microsoft relativa alle patch da installare sui propri server: il messaggio più descrittivo e lungo risulta essere “mantenete il vostro sistema aggiornato con le patch" secondo il Chief Security Officer Microsoft Scott Charney. Ma la filosofia del “tappabuchi” contiene delle inefficienze di fondo, e tende comunque a mantenere vulnerabile l’azienda che la utilizza, continua Cooper. Ad esempio, la stessa Microsoft non ha seguito le proprie istruzioni, dal momento che alcuni quadri esecutivi hanno confermato di essere rimasti colpiti dal verme nella propria rete interna.
"Microsoft è risultata del tutto inerme (verso Slammer). Sono occorsi loro ben due giorni per eliminarne ogni traccia dalla rete interna" ha spiegato Bruce Schneier, chief technology officer della Counterpane Internet Security, un service provider che si occupa di network monitoring, ed esperto di crittografia.
Mike Nash, corporate vice president dell’unità d’affari sicurezza di Microsoft, ha ammesso che "Avremmo dovuto fare un lavoro migliore" nel proteggere la rete interna dell’azienda. In questo modo pare che siano venute alla luce le mille piccole e stressanti inefficienze alle quali vanno incontro i clienti di Redmond; chissà che questo mettersi nei panni dell’utente permetta a tutti noi di usufruire di migliori servizi nel futuro.
Certo, si potrà dire: “Prevenire è sempre meglio che curare”. E invece no.
Russ Cooper, nell’ambito dell’analisi svolta, si è reso conto di un altro passo falso compiuto da Microsoft nello spinoso ambito delle patch. Ad ottobre infatti Microsoft aveva rilasciato un correttivo per un diverso problema relativo a SQL Server che, qualora installato secondo le istruzioni fornite, avrebbe praticamente reso nuovamente vulnerabili i sistemi che avevano installato a suo tempo la fix di giugno contro il buco poi utilizzato da SQL Slammer. Come dire: “Se segui le istruzioni ti proteggi dal buco di ottobre ma riapri quello di giugno”.
Fantascienza? Sarebbe bello credervi, ma la storia è stata raccontata con dovizia di particolari (e di relativi nomi) dalla stessa CNN. Certo, se detieni la maggioranza assoluta del mercato dei Personal Computer nel mondo sei sotto i riflettori ed ogni tuo più piccolo passo falso viene amplificato dalla fama che riveste il tuo nome, tuttavia…
Tuttavia continuo a ripetere che secondo me è stato un errore proporre una campagna commerciale basata sul computer facile da utilizzare: oggi tutti si sentono (falsamente) capaci di padroneggiarne le configurazioni grazie ad icone, cartoni animati, suoni e grafica assolutamente inutile grazie all’interfaccia grafica “semplice ed intuitiva”. Ma la sicurezza è un valore ben più importante per un’azienda, e non è più possibile affidarla a chi ha cercato di rendere il computer semplicemente un buffo giocattolo facile da utilizzare.
----------
----------
Tramite questa pagina è possibile stabilire un contatto diretto con l'autore. Se avete domande da porre, informazioni da chiedere, commenti da offrire, potete utilizzare questo modulo.
Naturalmente il sistema potrà essere consultato da chiunque, pertanto non è necessaria alcuna registrazione preventiva. Le risposte verranno poste online non appena ricevute.