L'impercettibile robustezza del software non aggiornato

Cassandra Crossing/ La frenesia dell'aggiornamento sfida il principio “Se funziona, non lo toccare”.



[ZEUS News - www.zeusnews.it - 23-07-2024]

cassandra robustezza 01
Darklanlan — licenza CC0

Ai tempi dell'università, quando Cassandra gestiva in grande economia una decrepita 850 Sprint, il suo compianto meccanico di fiducia, a cui prima di un viaggio fu chiesto di "dare un'occhiata" all'auto, si rifiutò di aprire il cofano della macchina, perché non c'era nulla che non andasse.

All'epoca sembrò una fissazione del simpatico vecchietto; questo perché allora (oggi un po' meno) Cassandra era un'ingenua e un po' saputella giovinetta, convinta che buone intenzioni e buone azioni si traducessero sempre nei risultati attesi, ovviamente positivi. Beata gioventù, molto ti si può scusare, però...

Agli addetti ai lavori, invece, nulla si può scusare; sono pagati per fare le scelte giuste; e se non le fanno, o ne fanno di sbagliate, è giusto che ricevano (almeno) le meritate critiche.

Chiunque abbia dedicato un minimo di attenzione, anche solo di sfuggita, all'affaire Microsoft/Crowdstrike, avrà capito perfettamente che si è trattato di un problema derivante da una fiducia cieca e assoluta nei prodotti software di un'azienda di ottima reputazione, e soprattutto dei relativi aggiornamenti.

Questa fiducia, affiancata a lodevoli e pressanti richieste delle normative di mantenere sempre aggiornato il software, ha fatto sì che l'aggiornamento automatico fosse lasciato acriticamente abilitato. Si tratta spesso di un'ottima idea, tant'è che tutte le applicazioni e i sistemi operativi lo fanno ormai come default, e gli utenti si guardano bene dal disabilitarlo.

Ma è pur vero che l'applicazione di una soluzione software a un intero sistema informativo, senza una buona dose di pensiero competente, è ciò di cui è lastricata la strada molto, molto in discesa, che conduce al cyber-inferno.

Non è qui rilevante che il software di Crowdstrike sia in grado di fare bene il suo lavoro, e che sia una componente utile per mantenere la sicurezza di un sistema informativo. L'applicazione a tappeto di un aggiornamento su sistemi critici è una cosa azzardata, soprattutto perché l'attività di testing sugli aggiornamenti prima di rilasciarli è in conflitto con la comprensibile urgenza di diffonderli.

Crowdstrike non era nemmeno nuova a questo tipologia di problemi; si veda per esempio questo thread di Reddit.

È invece l'aggiornamento contemporaneo e forzato di un software fornito a scatola chiusa, pur considerato come elemento di sicurezza di un sistema informativo, a essere una pessima idea, un rischio evidente da considerare con attenzione. Nessuno se lo può permettere, se il sistema deve fare "qualcosa di importante".

Si fanno invece test esaustivi, poi aggiornamenti su un piccolo gruppo di utenti selezionati; solo se tutto va bene si procede all'aggiornamento globale (che in questo caso vuol dire "planetario"), magari a scaglioni.

Altrimenti, quando applicata in sistemi informativi molto complessi e carenti di gestione e manutenzione, anche un'idea virtuosa diventa alla fine un incredibile autogol. Mai come nell'informatica vale infatti il detto "Il Diavolo sta nei dettagli".

Lo dimostra, per lo stesso motivo ma con modalità completamente diverse, la vicenda Solarwinds; anche in quel caso proprio l'applicazione acritica e automatica degli aggiornamenti è stata la porta della più grande violazione di sicurezza informatica che la storia (fino a oggi) ricordi.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Meglio un software vecchio ma affidabile, o uno nuovo ma non testato?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Blue Screen Of Death, lo inventò Steve Ballmer
Username Worldcup, password Brasil2014
Da Windows 1.0 a Windows 8, la storia in un filmato
FreeDOS, vent'anni e non sentirli
Trent'anni fa il primo virus per computer
35 anni di Apple II
SOPA: tutti contrari, non solo gli hacker
Bill Gates: WordPerfect era inferiore a Word
Da Windows 1.0 a Windows 7
Il DOS torna sull'iPad
25 anni di virus per computer
Password memorizzate nel browser? Un pericolo per la sicurezza
L'automobile opensource debutta ad Amsterdam

Commenti all'articolo (ultimi 5 di 18)

Il TPM: se lo conosci lo eviti... :twisted:
24-10-2024 09:22

nel campo militare, si usano sistemi che devono essere collaudati e questo vuol dire, che se il sistema non è usato da almeno dieci anni con sicurezza, esso non è collaudato. Quindi Windows 10 è in via di adozione da parte dei militari mentre Windows 8 non venne ne verrà mai adottato. :x Stesso fatto accadde con Windows 7 che venne... Leggi tutto
23-10-2024 16:31

{Xavio}
Bel dilemma. Non tutte le aziende possono permettersi di avere reti separate e isolate senza accesso in internet. Il problema più grande, in questo caso non è stato windows o un suo aggiornamento o il gestionale che usano. Ma la soluzione sicurezza (antivirus? firewall?). Non tutte le aziende posso permettersi n pc (reali o... Leggi tutto
18-10-2024 10:15

{Sergio}
Meglio un software vecchio e affidabile piuttosto che uno nuovo che non da garanzie.Comunque dipende molto anche dall'uso e dall'impiego che se ne fa.
17-10-2024 14:54

{Beppe}
Anch'io uso un software (ms money 99) ormai da 26 anni, girava su win98. Successivamente sono riuscito a installarlo su winXP e ora su win10 tramite virtual machine con winXP.
16-10-2024 11:16

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come preferiresti controllare la Tv?
Con lo smartphone
Con il tablet
Con i gesti del corpo
Con la voce
Con il pensiero
Con il telecomando

Mostra i risultati (2236 voti)
Gennaio 2025
Windows 10, il nuovo Outlook si installa a forza
WEF: in cinque anni la IA si prenderà il vostro lavoro
L'Unione Europea multa sé stessa
L'accordo Meloni-Musk
Insieme a Vodafone, Fastweb sorpassa Tim
Dicembre 2024
L'utilità che rivela i drive USB farlocchi
Le modalità di utilizzo dei dati personali
Il Governo vuole regolare per legge le recensioni online dei ristoranti
ChatGPT Search ora è disponibile per tutti
No, Microsoft non ha dato il via libera a Windows 11 sui PC non supportati
Wubuntu cerca di unire il meglio di Windows e di Linux
Diffamazione, il mondo virtuale non equivale a quello reale
Il router completamente open source
Windows 11 perde utenti nonostante gli sforzi di Microsoft
Novembre 2024
Huawei, l'addio ad Android è completo
Tutti gli Arretrati
Accadde oggi - 18 gennaio


web metrics