L'impercettibile robustezza del software non aggiornato

Cassandra Crossing/ La frenesia dell'aggiornamento sfida il principio “Se funziona, non lo toccare”.



[ZEUS News - www.zeusnews.it - 23-07-2024]

cassandra robustezza 01
Darklanlan — licenza CC0

Ai tempi dell'università, quando Cassandra gestiva in grande economia una decrepita 850 Sprint, il suo compianto meccanico di fiducia, a cui prima di un viaggio fu chiesto di "dare un'occhiata" all'auto, si rifiutò di aprire il cofano della macchina, perché non c'era nulla che non andasse.

All'epoca sembrò una fissazione del simpatico vecchietto; questo perché allora (oggi un po' meno) Cassandra era un'ingenua e un po' saputella giovinetta, convinta che buone intenzioni e buone azioni si traducessero sempre nei risultati attesi, ovviamente positivi. Beata gioventù, molto ti si può scusare, però...

Agli addetti ai lavori, invece, nulla si può scusare; sono pagati per fare le scelte giuste; e se non le fanno, o ne fanno di sbagliate, è giusto che ricevano (almeno) le meritate critiche.

Chiunque abbia dedicato un minimo di attenzione, anche solo di sfuggita, all'affaire Microsoft/Crowdstrike, avrà capito perfettamente che si è trattato di un problema derivante da una fiducia cieca e assoluta nei prodotti software di un'azienda di ottima reputazione, e soprattutto dei relativi aggiornamenti.

Questa fiducia, affiancata a lodevoli e pressanti richieste delle normative di mantenere sempre aggiornato il software, ha fatto sì che l'aggiornamento automatico fosse lasciato acriticamente abilitato. Si tratta spesso di un'ottima idea, tant'è che tutte le applicazioni e i sistemi operativi lo fanno ormai come default, e gli utenti si guardano bene dal disabilitarlo.

Ma è pur vero che l'applicazione di una soluzione software a un intero sistema informativo, senza una buona dose di pensiero competente, è ciò di cui è lastricata la strada molto, molto in discesa, che conduce al cyber-inferno.

Non è qui rilevante che il software di Crowdstrike sia in grado di fare bene il suo lavoro, e che sia una componente utile per mantenere la sicurezza di un sistema informativo. L'applicazione a tappeto di un aggiornamento su sistemi critici è una cosa azzardata, soprattutto perché l'attività di testing sugli aggiornamenti prima di rilasciarli è in conflitto con la comprensibile urgenza di diffonderli.

Crowdstrike non era nemmeno nuova a questo tipologia di problemi; si veda per esempio questo thread di Reddit.

È invece l'aggiornamento contemporaneo e forzato di un software fornito a scatola chiusa, pur considerato come elemento di sicurezza di un sistema informativo, a essere una pessima idea, un rischio evidente da considerare con attenzione. Nessuno se lo può permettere, se il sistema deve fare "qualcosa di importante".

Si fanno invece test esaustivi, poi aggiornamenti su un piccolo gruppo di utenti selezionati; solo se tutto va bene si procede all'aggiornamento globale (che in questo caso vuol dire "planetario"), magari a scaglioni.

Altrimenti, quando applicata in sistemi informativi molto complessi e carenti di gestione e manutenzione, anche un'idea virtuosa diventa alla fine un incredibile autogol. Mai come nell'informatica vale infatti il detto "Il Diavolo sta nei dettagli".

Lo dimostra, per lo stesso motivo ma con modalità completamente diverse, la vicenda Solarwinds; anche in quel caso proprio l'applicazione acritica e automatica degli aggiornamenti è stata la porta della più grande violazione di sicurezza informatica che la storia (fino a oggi) ricordi.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Meglio un software vecchio ma affidabile, o uno nuovo ma non testato?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Blue Screen Of Death, lo inventò Steve Ballmer
Username Worldcup, password Brasil2014
Da Windows 1.0 a Windows 8, la storia in un filmato
FreeDOS, vent'anni e non sentirli
Trent'anni fa il primo virus per computer
35 anni di Apple II
SOPA: tutti contrari, non solo gli hacker
Bill Gates: WordPerfect era inferiore a Word
Da Windows 1.0 a Windows 7
Il DOS torna sull'iPad
25 anni di virus per computer
Password memorizzate nel browser? Un pericolo per la sicurezza
L'automobile opensource debutta ad Amsterdam

Commenti all'articolo (ultimi 5 di 9)

Sai com'è, siamo un po' tutti vecchi bavosi debosciati... :lol:
13-8-2024 14:46

Ma tutti a voler toccare qui? Palpeggioni! :inc:
6-8-2024 16:38

Beh SverX, in quel caso, se non funziona, lo devi per forza toccare...
2-8-2024 10:08

c'è da dire però che un aggiornamento di un software può essere necessario proprio perché 'non funziona' (ha un errore, un problema di sicurezza, etc) e quindi cade il principio "Se funziona, non lo toccare"... :roll:
31-7-2024 12:16

:lol: :lol: :lol:
30-7-2024 18:16

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quando partecipi a una discussione, che cosa ti infastidisce al punto da spingerti ad abbandonarla?
L'accorgermi che l'argomento che mi interessa viene trattato con troppa superficialità.
Scoprire che un mio interlocutore cerca di convincermi della sua idea anziché confrontarsi sul tema.
Trovare, fra le persone con cui discuto, qualcuno arrogante e supponente.
Vedere che alcuni si esprimono in un pessimo italiano.
Notare che l'interlocutore si basa su fatti palesemente fasulli per motivare le sue affermazioni.

Mostra i risultati (3119 voti)
Settembre 2024
L'obbligo dei 14 anni per gli smartphone
''Ascoltiamo gli utenti dagli smartphone''. Partner di Facebook lo ammette.
Super God Mode rivela tutte, ma proprio tutte, le funzionalità di Windows
Agosto 2024
Niente pace per TIM
Arrestato il fondatore di Telegram
Prelievi di DNA a tappeto: il Garante può rassicurarci?
Deepfake in tempo reale con Deep-Live-Cam
AMD, bug quasi irrisolvibile in milioni di processori
Google condannata per monopolio. A rimetterci sarà Mozilla?
Cade Azure. Microsoft 365, Teams e Outlook diventano irraggiungibili
Luglio 2024
Chrome, il gestore password si perde le credenziali di 15 milioni di utenti
Crowdstrike si scusa per il disastro. Con un buono da 10 dollari
Intel rinuncia alla fabbrica italiana
Non è tutta colpa di Microsoft o di Crowdstrike
La Marina tedesca cerca una soluzione per sostituire i floppy da 8 pollici
Tutti gli Arretrati
Accadde oggi - 12 settembre


web metrics