Il gigante alle corde

Microsoft è da tempo al centro di accese polemiche riguardanti le falle di sicurezza presenti nei suoi prodotti: concreto, ormai, il rischio di un danno all'immagine. Così, l'azienda di Redmond ha deciso di diffondere il proprio verbo. Capillarmente, e a modo suo.



[ZEUS News - www.zeusnews.it - 23-04-2002]

Il disastro è cominciato poco meno di un anno fa, con il dilagare dei virus diffusi a mezzo elettronica e pagine web: Nimda e CodeRed ne sono stati i principali artefici. Se, fino ad allora, il malumore dei clienti Microsoft si concentrava sul famigerato "blue screen of death" di Windows e appariva come lo sfogo di chi è costretto a sopportare un male necessario, il sentirsi minacciati nella propria sicurezza e confidenza con il sistema informativo quotidianamente utilizzato ha esaperato gli stati d'animo. Poco importa che molti virus abbiano bisogno della collaborazione attiva dell'utente per risultare efficaci; poco importa che, nella maggior parte dei casi, fossero già state rilasciate le patch per le vulnerabilità oggetto di attacco: Internet Explorer, Outlook e IIS si sono rapidamente guadagnati la fama, non del tutto immeritata, di programmi pericolosamente esposti agli attacchi dei malintenzionati. E, al coro degli utilizzatori, si è aggiunta la voce di Gartner Group, uno dei maggiori opinion leader del settore IT: IIS deve essere pesantemente rivisto, ci vorranno probabilmente tre anni, fino ad allora meglio utilizzare Apache.

Così, il buon Bill ha stabilito di passare al contrattacco. Recentemente, Microsoft ha inviato ai suoi migliori clienti (in particolare le aziende) una cartellina contenente numerosi documenti che evidenziano quanto la sicurezza sia uno degli obiettivi primari della casa di Redmond, quanto essa intenda impegnarsi in futuro su tale fronte e quanto, a suo dire, lo abbia fatto anche in passato.

"...la sicurezza informatica è un problema da prendere sul serio. Microsoft lo ha sempre fatto..." si legge in uno di quei documenti. Ma chi abbia subito, ad esempio, l'attacco di CodeRed e Nimda, vorrebbe forse aggiungere che in qualche caso Microsoft ha, piuttosto, privilegiato la facilità d'uso dei suoi prodotti e ha esagerato un po' nel grado della loro integrazione con Windows, inseguendo un obiettivo che non era esattamente blindare i programmi. D'altra parte, è facile osservare che affermazioni come "I rimedi esistono: occorre adottare pratiche efficaci, acquisire le tecnologie, diffondere la sensibilità per il problema della sicurezza informatica." sono così generiche e scontate da risultare prive di reale significato per chiunque abbia un minimo di esperienza nella gestione di sistemi informativi. Quali sarebbero le pratiche efficaci? Si ha l'impressione che la responsabilità di tutto sia da attribuire esclusivamente agli utilizzatori. Inoltre, le tecnologie possono essere da questi acquisite solo se implementate da chi vende loro i prodotti. Infine, la sensibilità per il problema della sicurezza andrebbe diffusa in primo luogo tra i produttori del software, da sempre orientati, per ovvii motivi di tornaconto immediato, a privilegiare gli aspetti di marketing.

La cartellina comprende anche un fascicolo dedicato alla sicurezza in ambiente XP, nel quale spicca il supporto per IPsec e Kerberos: introdotto forse di recente in Windows, ma da molti anni presente nei sistemi Unix grazie a implementazioni open source. Ma quello che lascia maggiormente perplessi è la gestione delle chiavi private dei certificati digitali, per le quali è prevista la memorizzazione su server qualora i titolari necessitino di utilizzarle da più postazioni di lavoro. Ora, basta possedere qualche nozione sull'argomento per sapere che una chiave digitale privata è assolutamente personale e non deve, per nessun motivo, finire nelle mani di estranei, per quanto fidati, perché ciò rischia di comprometterne la fondamentale funzione certificatrice dell'identità del titolare. Il fatto che sul server la chiave sia crittografata non cambia più di tanto lo scenario: è una questione di approccio al problema e certo non si può dire che in tal modo si diffonda reale sensibilità verso la sicurezza.

Non manca poi un "papiro" nel quale Microsoft espone il proprio punto di vista riguardo la citata affermazione di Gartner Group su IIS, sostenendo, ovviamente, che il proprio web server sia tutt'altro che da buttare: purtroppo, le ragioni a supporto della difesa non sono quanto di più concreto ci si aspetterebbe. Chi teme per la sicurezza del proprio sistema informativo può essere piuttosto indifferente sia all'importanza di IIS nel "quadro più generale di .NET", sia al fatto che "Microsoft si sta impegnando a fornire una piattaforma sicura e protetta per questi servizi": come si dice, chiudere la stalla dopo che i buoi sono fuggiti... Certo, ora sono disponibili IIS Lockdown Tool e URLScan, due formidabili strumenti capaci di blindare IIS con un semplice doppio click, "anche se non sono state applicate le relative patch". Dobbiamo gridare al miracolo?

Ma l'arma segreta contro i detrattori di IIS sta nel "rivelare" che anche le altre piattaforme non sono esenti da problemi di sicurezza. L'articolo anti-Gartner, infatti, si chiude con un elenco di dodici (ben dodici!) vulnerabilità, suddivise tra Apache, l'interprete PHP e PHPMyAdmin (interfaccia web per l'amministrazione del database open source MySQL). C'è da ritenere, per motivi piuttosto lapalissiani, che si tratti di un elenco esaustivo, o quasi. Vogliamo fare un confronto con le ultime (per ora) dieci vulnerabilità recentemente evidenziate in IIS, che vanno ad aggiungersi a tutte quelle all'origine della polemica da cui siamo partiti? Non dimentichiamo che, dall'inizio del 2001, Microsoft ha rilasciato centinaia di patch per correggere problemi di sicurezza individuati, spesso dagli utilizzatori, nei suoi prodotti.

Infine, non poteva mancare la ciliegina sulla torta: la traduzione integrale del famoso articolo di Scott Culp, responsabile del Microsoft Security Response Center, contro la divulgazione delle informazioni sulle vulnerabilità. Sarebbe sicuramente comodo per tutti i produttori di software che lo scopritore di una falla fosse obbligato al silenzio, salvo il comunicarne le caratteristiche al produttore stesso: questo avrebbe modo di rimediare con comodo e, soprattutto, senza pubblicità scomoda. Riecehggia qui l'arroganza del monopolista, che scredita i possibili competitori (sappiamo che, secondo Bill Gates, la licenza GPL letteralmente divora il business) e si aspetta che tutti si conformino alle sue pretese: definire "anarchia informativa" la libertà di divulgare informazioni sulle vulnerabilità e affermare che ciò equivalga ad "armare il nemico" fa comprendere come, ancora una volta, la strategia preferita sia cercare di condizionare il mercato con promesse, frasi d'effetto e altisonanti proclami.

Bisogna ammettere che, in passato, i risultati hanno dato ragione ai venditori di illusioni. Dipende anche da noi, dalle nostre scelte e dalla nostra consapevolezza, evitare che ciò si ripeta.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Hai un'idea nel cassetto e ti piacerebbe aprire una startup per realizzarla. Che cosa ti frena?
Non ho i soldi per farla partire
Il momento economico non è favorevole
Non ho ancora trovato le persone giuste con cui farlo
E' troppo rischioso per me
Non sono sicuro di riuscire a portarlo a termine
Sarebbe troppo complicato, indipendentemente dai soldi
Non mi sento portato a fare l'imprenditore
E' solo un sogno e in realtà non credo che lo farei
Per un altro motivo e cioè...

Mostra i risultati (1313 voti)
Maggio 2021
TIM, parte da Trento l'addio al rame in favore della fibra
Bye bye, Emotet
Bambini e smartphone, 1.500 euro di multa ai genitori che non li sorvegliano
Aprile 2021
Office manda in pensione Calibri: quale nuovo font preferite?
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
Microsoft pronta a lanciare Cloud PC, il desktop in streaming
Aggiornamento Windows 10, problemi di tutti i tipi
Se l'FBI, zitta zitta, si mette a patchare i server altrui
Colpevoli di ransomware
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Tutti gli Arretrati
Accadde oggi - 6 maggio


web metrics