«Non riesco a vedere la foresta, perché ci sono tutti quegli alberi nel mezzo». Con questa famosa citazione, Cassandra può riassumere la reazione tipica di chi ascolta, magari con interesse e attenzione, le notizie che parlano di sicurezza del software, e degli sfracelli che stanno avvenendo, particolarmente riguardo agli attacchi alle catene di produzione del software.

In effetti questa sintesi coglie contemporaneamente i due aspetti importanti del problema: il primo è l'affidabilità intrinseca del software, sia commerciale che libero, e il secondo sono gli interessi di chi c'è dietro.

Cassandra non sta parlando né di Facebook né delle bande che diffondono ransomware; quelli lo fanno con il consenso esplicito degli utonti, oppure grazie all'ingegneria sociale, e ambedue non sono problemi del software. Parliamo di conflitto, di guerra. Di fronte a un modello di minaccia alto, il software in generale, incluso quello libero, non può dare nessuna garanzia di sicurezza o di affidabilità. Cassandra ve ne ha già dato la dimostrazione.

Questo è dovuto alle modalità con cui il software viene prodotto e distribuito o commercializzato. Nessuna di esse è pensata in termini di affidabilità o di sicurezza, ma solo di convenienza, virtuosa o viziosa che sia.

Spunti di approfondimento:

Il BASIC compie 60 anni

La fine del mondo, di silicio

MS-DOS 4.00 diventa open source

Cassandra e la miniera

Nel caso del software commerciale, come sanno tutti quelli che ci hanno lavorato, esso viene venduto appena funzionante, e si recepiscono poi in parte le segnalazioni dei clienti/beta tester, secondo la comodità e la convenienza del produttore, il quale nel frattempo si difende dai rischi economici con polizze assicurative e stuoli di lobbisti e help desk.

Nel caso del software libero, nemmeno uno scrutinio completo dei sorgenti può dare garanzie assolute, impresa titanica se estesa a tutto l'ambiente di esecuzione del software stesso, considerato il livello di sofisticazione dimostrato da chi di mestiere produce software malevoli, o compie azioni ostili con tecnologie informatiche.

Consigliamo la lettura di:

Xz, Solarwinds e l'Armageddon prossimo venturo

Germania, 30.000 computer passano a Linux e all'open source

Gli USA vogliono strappare TikTok alla Cina

La fine del mondo, virtuale

Il software libero - e anche quello open source - invece vivono nel perenne bazar, già teorizzato nello scorso millennio, e non si potranno mai schiodare da lì. Sarà software mediamente scritto bene e con attenzione, ma non potrà mai essere affidabile contro attaccanti di alto profilo.

Riassumendo di nuovo in maniera più "tecnica":
- Il software attualmente in uso e i relativi modelli di sviluppo, sia commerciale che aperto, non sono né affidabili, né emendabili per poterlo diventare.
- Quindi, per impieghi ad alto rischio, oppure per impieghi in ambito di conflitto asimmetrico, non esisterà mai nessun "software affidabile", nessuna difesa "a priori". Le guerre asimmetriche saranno guerre di trincea, dove vince chi fa più morti.
- La convivenza con grandi rischi dovuti al software è inevitabile e ineliminabile, come quella con la Bomba o con i cosiddetti "disastri industriali".
- Una mitigazione, e non una soluzione, potrà venire solo da diplomazia, trattati e alleanze.

Certamente, la tecnologia non potrà mai offrirci una soluzione. Viviamo già oggi con software inaffidabile, e utilizzabile da "altri" come arma, e ci dovremo convivere anche nel futuro prevedibile. Ve lo garantisce la vostra profetessa preferita. Non ci resta che il duro lavoro di farcene tutti una ragione.

Leggi anche:

Open Source, una proposta di legge mette a rischio lo sviluppo in Europa

Una libreria open source per aggiungere la IA ai siti web

L'app open source per vedere YouTube senza seccature

L'antivirus open source ClamAV raggiunge la versione 1.0