Cassandra Crossing/ La frenesia dell'aggiornamento sfida il principio “Se funziona, non lo toccare”.
[ZEUS News - www.zeusnews.it - 23-07-2024]
Ai tempi dell'università, quando Cassandra gestiva in grande economia una decrepita 850 Sprint, il suo compianto meccanico di fiducia, a cui prima di un viaggio fu chiesto di "dare un'occhiata" all'auto, si rifiutò di aprire il cofano della macchina, perché non c'era nulla che non andasse.
All'epoca sembrò una fissazione del simpatico vecchietto; questo perché allora (oggi un po' meno) Cassandra era un'ingenua e un po' saputella giovinetta, convinta che buone intenzioni e buone azioni si traducessero sempre nei risultati attesi, ovviamente positivi. Beata gioventù, molto ti si può scusare, però...
Agli addetti ai lavori, invece, nulla si può scusare; sono pagati per fare le scelte giuste; e se non le fanno, o ne fanno di sbagliate, è giusto che ricevano (almeno) le meritate critiche.
Chiunque abbia dedicato un minimo di attenzione, anche solo di sfuggita, all'affaire Microsoft/Crowdstrike, avrà capito perfettamente che si è trattato di un problema derivante da una fiducia cieca e assoluta nei prodotti software di un'azienda di ottima reputazione, e soprattutto dei relativi aggiornamenti.
Questa fiducia, affiancata a lodevoli e pressanti richieste delle normative di mantenere sempre aggiornato il software, ha fatto sì che l'aggiornamento automatico fosse lasciato acriticamente abilitato. Si tratta spesso di un'ottima idea, tant'è che tutte le applicazioni e i sistemi operativi lo fanno ormai come default, e gli utenti si guardano bene dal disabilitarlo.
Ma è pur vero che l'applicazione di una soluzione software a un intero sistema informativo, senza una buona dose di pensiero competente, è ciò di cui è lastricata la strada molto, molto in discesa, che conduce al cyber-inferno.
Non è qui rilevante che il software di Crowdstrike sia in grado di fare bene il suo lavoro, e che sia una componente utile per mantenere la sicurezza di un sistema informativo. L'applicazione a tappeto di un aggiornamento su sistemi critici è una cosa azzardata, soprattutto perché l'attività di testing sugli aggiornamenti prima di rilasciarli è in conflitto con la comprensibile urgenza di diffonderli.
Crowdstrike non era nemmeno nuova a questo tipologia di problemi; si veda per esempio questo thread di Reddit.
È invece l'aggiornamento contemporaneo e forzato di un software fornito a scatola chiusa, pur considerato come elemento di sicurezza di un sistema informativo, a essere una pessima idea, un rischio evidente da considerare con attenzione. Nessuno se lo può permettere, se il sistema deve fare "qualcosa di importante".
Si fanno invece test esaustivi, poi aggiornamenti su un piccolo gruppo di utenti selezionati; solo se tutto va bene si procede all'aggiornamento globale (che in questo caso vuol dire "planetario"), magari a scaglioni.
Altrimenti, quando applicata in sistemi informativi molto complessi e carenti di gestione e manutenzione, anche un'idea virtuosa diventa alla fine un incredibile autogol. Mai come nell'informatica vale infatti il detto "Il Diavolo sta nei dettagli".
Lo dimostra, per lo stesso motivo ma con modalità completamente diverse, la vicenda Solarwinds; anche in quel caso proprio l'applicazione acritica e automatica degli aggiornamenti è stata la porta della più grande violazione di sicurezza informatica che la storia (fino a oggi) ricordi.
Ti invitiamo a leggere la pagina successiva di questo articolo:
Meglio un software vecchio ma affidabile, o uno nuovo ma non testato?
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
Scrivere a Cassandra - Twitter - Mastodon
Videorubrica "Quattro chiacchiere con Cassandra"
Lo Slog (Static Blog) di Cassandra
L'archivio di Cassandra: scuola, formazione e pensiero
|
||
|
Gladiator