Il disastro è cominciato poco meno di un anno fa, con il dilagare dei virus diffusi a mezzo elettronica e pagine web: Nimda e CodeRed ne sono stati i principali artefici. Se, fino ad allora, il malumore dei clienti Microsoft si concentrava sul famigerato "blue screen of death" di Windows e appariva come lo sfogo di chi è costretto a sopportare un male necessario, il sentirsi minacciati nella propria sicurezza e confidenza con il sistema informativo quotidianamente utilizzato ha esaperato gli stati d'animo. Poco importa che molti virus abbiano bisogno della collaborazione attiva dell'utente per risultare efficaci; poco importa che, nella maggior parte dei casi, fossero già state rilasciate le patch per le vulnerabilità oggetto di attacco: Internet Explorer, Outlook e IIS si sono rapidamente guadagnati la fama, non del tutto immeritata, di programmi pericolosamente esposti agli attacchi dei malintenzionati. E, al coro degli utilizzatori, si è aggiunta la voce di Gartner Group, uno dei maggiori opinion leader del settore IT: IIS deve essere pesantemente rivisto, ci vorranno probabilmente tre anni, fino ad allora meglio utilizzare Apache.

Così, il buon Bill ha stabilito di passare al contrattacco. Recentemente, Microsoft ha inviato ai suoi migliori clienti (in particolare le aziende) una cartellina contenente numerosi documenti che evidenziano quanto la sicurezza sia uno degli obiettivi primari della casa di Redmond, quanto essa intenda impegnarsi in futuro su tale fronte e quanto, a suo dire, lo abbia fatto anche in passato.

"...la sicurezza informatica è un problema da prendere sul serio. Microsoft lo ha sempre fatto..." si legge in uno di quei documenti. Ma chi abbia subito, ad esempio, l'attacco di CodeRed e Nimda, vorrebbe forse aggiungere che in qualche caso Microsoft ha, piuttosto, privilegiato la facilità d'uso dei suoi prodotti e ha esagerato un po' nel grado della loro integrazione con Windows, inseguendo un obiettivo che non era esattamente blindare i programmi. D'altra parte, è facile osservare che affermazioni come "I rimedi esistono: occorre adottare pratiche efficaci, acquisire le tecnologie, diffondere la sensibilità per il problema della sicurezza informatica." sono così generiche e scontate da risultare prive di reale significato per chiunque abbia un minimo di esperienza nella gestione di sistemi informativi. Quali sarebbero le pratiche efficaci? Si ha l'impressione che la responsabilità di tutto sia da attribuire esclusivamente agli utilizzatori. Inoltre, le tecnologie possono essere da questi acquisite solo se implementate da chi vende loro i prodotti. Infine, la sensibilità per il problema della sicurezza andrebbe diffusa in primo luogo tra i produttori del software, da sempre orientati, per ovvii motivi di tornaconto immediato, a privilegiare gli aspetti di marketing.

La cartellina comprende anche un fascicolo dedicato alla sicurezza in ambiente XP, nel quale spicca il supporto per IPsec e Kerberos: introdotto forse di recente in Windows, ma da molti anni presente nei sistemi Unix grazie a implementazioni open source. Ma quello che lascia maggiormente perplessi è la gestione delle chiavi private dei certificati digitali, per le quali è prevista la memorizzazione su server qualora i titolari necessitino di utilizzarle da più postazioni di lavoro. Ora, basta possedere qualche nozione sull'argomento per sapere che una chiave digitale privata è assolutamente personale e non deve, per nessun motivo, finire nelle mani di estranei, per quanto fidati, perché ciò rischia di comprometterne la fondamentale funzione certificatrice dell'identità del titolare. Il fatto che sul server la chiave sia crittografata non cambia più di tanto lo scenario: è una questione di approccio al problema e certo non si può dire che in tal modo si diffonda reale sensibilità verso la sicurezza.

Non manca poi un "papiro" nel quale Microsoft espone il proprio punto di vista riguardo la citata affermazione di Gartner Group su IIS, sostenendo, ovviamente, che il proprio web server sia tutt'altro che da buttare: purtroppo, le ragioni a supporto della difesa non sono quanto di più concreto ci si aspetterebbe. Chi teme per la sicurezza del proprio sistema informativo può essere piuttosto indifferente sia all'importanza di IIS nel "quadro più generale di .NET", sia al fatto che "Microsoft si sta impegnando a fornire una piattaforma sicura e protetta per questi servizi": come si dice, chiudere la stalla dopo che i buoi sono fuggiti... Certo, ora sono disponibili IIS Lockdown Tool e URLScan, due formidabili strumenti capaci di blindare IIS con un semplice doppio click, "anche se non sono state applicate le relative patch". Dobbiamo gridare al miracolo?

Ma l'arma segreta contro i detrattori di IIS sta nel "rivelare" che anche le altre piattaforme non sono esenti da problemi di sicurezza. L'articolo anti-Gartner, infatti, si chiude con un elenco di dodici (ben dodici!) vulnerabilità, suddivise tra Apache, l'interprete PHP e PHPMyAdmin (interfaccia web per l'amministrazione del database open source MySQL). C'è da ritenere, per motivi piuttosto lapalissiani, che si tratti di un elenco esaustivo, o quasi. Vogliamo fare un confronto con le ultime (per ora) dieci vulnerabilità recentemente evidenziate in IIS, che vanno ad aggiungersi a tutte quelle all'origine della polemica da cui siamo partiti? Non dimentichiamo che, dall'inizio del 2001, Microsoft ha rilasciato centinaia di patch per correggere problemi di sicurezza individuati, spesso dagli utilizzatori, nei suoi prodotti.

Infine, non poteva mancare la ciliegina sulla torta: la traduzione integrale del famoso articolo di Scott Culp, responsabile del Microsoft Security Response Center, contro la divulgazione delle informazioni sulle vulnerabilità. Sarebbe sicuramente comodo per tutti i produttori di software che lo scopritore di una falla fosse obbligato al silenzio, salvo il comunicarne le caratteristiche al produttore stesso: questo avrebbe modo di rimediare con comodo e, soprattutto, senza pubblicità scomoda. Riecehggia qui l'arroganza del monopolista, che scredita i possibili competitori (sappiamo che, secondo Bill Gates, la licenza GPL letteralmente divora il business) e si aspetta che tutti si conformino alle sue pretese: definire "anarchia informativa" la libertà di divulgare informazioni sulle vulnerabilità e affermare che ciò equivalga ad "armare il nemico" fa comprendere come, ancora una volta, la strategia preferita sia cercare di condizionare il mercato con promesse, frasi d'effetto e altisonanti proclami.

Bisogna ammettere che, in passato, i risultati hanno dato ragione ai venditori di illusioni. Dipende anche da noi, dalle nostre scelte e dalla nostra consapevolezza, evitare che ciò si ripeta.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: