ICT-Security n.ro 10 del 10-02-03
Il worm che si è diffuso poco tempo fa sfruttando a un bug di Microsoft SQL2000 ha provocato disagi tutto sommato contenuti. Grazie anche alla (relativamente) scarsa diffusione dei prodotti della casa di Redmond sul mercato server1. Ma offre lo spunto per qualche riflessione che vada al di la’ della banale affermazione costantemente ripetuta secondo cui questa volta Microsoft non c’entra perché ha rilasciato la patch, è colpa degli amministratori negligenti che non la hanno installata, o una delle sue declinazioni2.
Nel limitato e circoscritto orizzonte del singolo evento, in effetti, la cosa potrebbe avere senso. Ma in una prospettiva più ampia, quella della catena del valore nella produzione del software3 e della filosofia della gestione della sicurezza4 non è detto che le cose stiano allo stesso modo.
Partiamo da un dato di fatto: lo sviluppo del software e l’offerta dei servizi ICT (sicurezza inclusa) sono a un livello di rarefazione tale da garantire una sostanziale impunità per azioni che, in altri settori produttivi, avrebbero portato quantomeno all’estromissione dal mercato di riferimento. Al contrario l’attuale “catena del valore” che caratterizza un prodotto informatico (HW, SW e servizi correlati) è praticamente sganciata da qualsiasi controllo e responsabilità. E credo che il numero di bug, service pack ecc. sia una prova sufficientemente consistente da non richiedere ulteriori dimostrazioni di questa affermazione. Il che si traduce, dal punto di vista legale, in una polverizzazione delle responsabilità e dunque nella pratica impossibilità di attribuire in modo certo le “colpe” di un danno informatico. C’è dunque da chiedersi, come pure qualcuno ha fatto5, come mai mentre in altri casi chi realizza prodotti difettosi è sanzionato dalla legge per la propria negligenza, e spesso costretto a risarcire i danneggiati, il settore dell’informatica deva essere considerato “immune” da ogni responsabilità.
Tutto questo si riflette, oltre che sui prodotti, anche su chi li usa, che non prende troppo sul serio i computer, considerandoli un fastidio del quale non si può fare a meno e sul quale si dovrebbe spendere il meno possibile. E su chi offre “consulenza informatica” che, a fronte di un prodotto evanescente ha la possibilità di operare dotandosi di una professionalità altrettanto superficiale. Tanto, quando arriva la “rogna” fa sempre in tempo a “scaricare il barile” sul sistema operativo che funziona male, sull’incompatibilità strutturale e tutte le altre “fantasiose” argomentazioni che caratterizzano l’arsenale di scuse per mascherare una sostanziale incompetenza6.
Si tratta di uno degli sgradevoli “effetti collaterali” di un modello di gestione già ampiamente diffuso negli altri settori IT e che nell’ambito della sicurezza viene “rinominato” trustworthy computing . Riassume bene i termini della questione la posizione pubblica di ALCEI7, secondo la quale:la nuova proposta della Microsoft è afflitta da un vizio culturale ancora prima che tecnico. Quello di trasformare anche la gestione della sicurezza in un processo che priva l’utilizzatore (e, cosa più grave, l’amministratore di rete) del controllo sulla macchina e sulle applicazioni. Ciò che la Microsoft cerca di ottenere è una situazione in cui gli amministratori e gli utilizzatori perdono ogni ruolo o responsabilità e sono ridotti a semplici applicatori di patch – ed è la casa fornitrice l’unica a decidere quali “rattoppi” si debbano usare, propinandoli automaticamente in una continua serie di insidiosi service pack in cui può contrabbandare ogni sorta di complicazioni dettate dai suoi privati interessi.
Considerazioni analoghe – ma da altra prospettiva – svolge l’ing. Andrea Gelpi sulle pagine di Interlex8, ricordando come: un bravo sistemista sa per esperienza che sui sistemi in “produzione” i correttivi non vanno applicati subito appena resi disponibili, ma è consigliabile o provarli di persona prima su ambienti di sviluppo o verificarne la bontà negli appositi forum di discussione, sparsi per tutto Internet. … Questo ragionamento nasce dal fatto che sia le nuove versioni che i correttivi potrebbero avere dei problemi e quindi è meglio andare con i piedi di piombo. Inoltre un’altra buona regola dice che se tutto funziona non è proprio il caso di fare modifiche….Questi due ragionamenti funzionano perfettamente in tutti i casi, meno uno, quello della sicurezza. Quando un correttivo non serve per eliminare un errore del programma, ma per chiudere una falla di sicurezza, non si può aspettare… Gli amministratori dei sistemi si trovano quindi nella necessità di dover discriminare fra un aggiornamento che va installato al più presto e uno che invece può aspettare. Vista la frequenza con cui escono i correttivi, se in un centro i sistemi sono molti o c’è chi si dedica solo alla loro installazione, o come capita nella maggior parte dei casi i correttivi non vengono applicati, perché l’amministratore di sistema ha altro da fare.
In un contesto dove chi vende non sa cosa vende e chi compra non sa cosa compra, quindi, perché un consulente dovrebbe buttare tempo e soldi nella propria formazione? Perché un’azienda dovrebbe scegliere un competente amministratore di rete quando le stesse cose possono essere fatte da profili meno professionali?
In sintesi: un sistema come quello attuale favorisce l’aumento generalizzato dell’incompetenza e dunque il decremento della security. Visto che invece di passare il tempo a progettare applicazioni, sistemi e reti, si preferisce una sicurezza “di carta” fatta di documenti strategici, corporate security policy, progetti di governo della sicurezza aziendale.
Nel frattempo, SQHell e Soci sentitamente ringraziano.
1 Il che, per inciso, dovrebbe far riflettere su certi “effetti collaterali” del monopolio nel settore del software.
2 Vedi, per tutti, Il virus colpisce le Poste in tilt 14 mila sportelli in La Repubblica.it del 28 gennaio 2003 – http://www.repubblica.it/online/scienza_e_tecnologia/viruspalm/bloccati/bloccati.html
3 Vedi A.Cooper The inmates are running the asylum ed. It Ildisagio tecnologico Apogeo, 2000.
4 Vedi B. Schneier Secrets and Lies : Digital Security in a Networked World John Wiley & Sons, 2000.
5 ALCEI Un danno diffuso ai sistemi di rete. Di chi è la responsabilità? http://www.alcei.it/documenti/cs030122.htm Comunicato del 22 gennaio 2003
6 Richiamo in questo senso, le considerazioni di Danilo Bruschi in uno dei recenti editoriali di ICT Security sulla necessità di fare chiarezza sul “cosa” sia la sicurezza informatica e sul “come” valutare chi si propone come consulente in questo delicato ambito.
7 ALCEI La sicurezza non deve diventare un pretesto per l’invasività http://www.alcei.it/documenti/cs030125.htm – Comunicato del 3 gennaio 2003
8 A.Gelpi Sicurezza: la soluzione è nei sorgenti aperti – in Interlex n. 242 del 6 febbraio 2003 http://www.interlex.it/pa/gelpi5.htm
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Chi vince e chi perde nella vicenda di Julian Assange