[Prec. per data] [Succ. per data] [Prec. per argomento] [Succ. per argomento] [Indice per data] [Indice per argomento]
Open source, virus e terrorismo
- Subject: Open source, virus e terrorismo
- From: zeus at zeusnews.com (by way of Alessandro Marescotti <a.marescotti at peacelink.it>)
- Date: Thu, 13 Jun 2002 12:26:48 +0200
-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- [ZEUS News] - Notizie dall'Olimpo informatico -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- Anno IV - numero 319 - 12 giugno 2002 Web: www.zeusnews.it Forum: www.olimpoinformatico.com Contatti: staff at zeusnews.com ----> Prima Pagina ** OPEN SOURCE, VIRUS E TERRORISMO ** Il mondo occidentale e' preso dalla psicosi del terrorismo: riservatezza e anonimato rappresentano un pericolo e persino l'open source e' additato come potenziale alleato di tutte le forze del male. Intanto, i virus impazzano e nuovi problemi di sicurezza vengono individuati ogni giorno... nel software proprietario. [Pubblicato su zeusnews.it il 7-6-2002] >> di Stefano Barni http://zeusnews.it/news.php3?cod=1253 -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ----> Selezione dall'archivio Tutti gli arretrati sono disponibili presso la pagina: http://zeusnews.it/index.php3?ar=arretrati ** IL GIGANTE ALLE CORDE ** Microsoft e' da tempo al centro di accese polemiche riguardanti le falle di sicurezza presenti nei suoi prodotti: concreto, ormai, il rischio di un danno all'immagine. Cosi', l'azienda di Redmond ha deciso di diffondere il proprio verbo. Capillarmente, e a modo suo. [Pubblicato su zeusnews.it il 23-4-2002] >> di Stefano Barni http://zeusnews.it/news.php3?cod=1185 Il disastro e' cominciato poco meno di un anno fa, con il dilagare dei virus diffusi a mezzo elettronica e pagine web: Nimda [ http://zeusnews.it/news.php3?cod=810 ] e CodeRed [ http://zeusnews.it/news.php3?cod=713 ] ne sono stati i principali artefici. Se, fino ad allora, il malumore dei clienti Microsoft si concentrava sul famigerato "blue screen of death" di Windows e appariva come lo sfogo di chi e' costretto a sopportare un male necessario, il sentirsi minacciati nella propria sicurezza e confidenza con il sistema informativo quotidianamente utilizzato ha esaperato gli stati d'animo. Poco importa che molti virus abbiano bisogno della collaborazione attiva dell'utente per risultare efficaci; poco importa che, nella maggior parte dei casi, fossero gia' state rilasciate le patch per le vulnerabilita' oggetto di attacco: Internet Explorer, Outlook e IIS si sono rapidamente guadagnati la fama, non del tutto immeritata, di programmi pericolosamente esposti agli attacchi dei malintenzionati. E, al coro degli utilizzatori, si e' aggiunta la voce di Gartner Group, uno dei maggiori opinion leader del settore IT: IIS deve essere pesantemente rivisto, ci vorranno probabilmente tre anni, fino ad allora meglio utilizzare Apache. Cosi', il buon Bill ha stabilito di passare al contrattacco. Recentemente, Microsoft ha inviato ai suoi migliori clienti (in particolare le aziende) una cartellina contenente numerosi documenti che evidenziano quanto la sicurezza sia uno degli obiettivi primari della casa di Redmond, quanto essa intenda impegnarsi in futuro su tale fronte e quanto, a suo dire, lo abbia fatto anche in passato. "...la sicurezza informatica e' un problema da prendere sul serio. Microsoft lo ha sempre fatto..." si legge in uno di quei documenti. Ma chi abbia subito, ad esempio, l'attacco di CodeRed e Nimda, vorrebbe forse aggiungere che in qualche caso Microsoft ha, piuttosto, privilegiato la facilita' d'uso dei suoi prodotti e ha esagerato un po' nel grado della loro integrazione con Windows, inseguendo un obiettivo che non era esattamente blindare i programmi. D'altra parte, e' facile osservare che affermazioni come "I rimedi esistono: occorre adottare pratiche efficaci, acquisire le tecnologie, diffondere la sensibilita' per il problema della sicurezza informatica." sono cosi' generiche e scontate da risultare prive di reale significato per chiunque abbia un minimo di esperienza nella gestione di sistemi informativi. Quali sarebbero le pratiche efficaci? Si ha l'impressione che la responsabilita' di tutto sia da attribuire esclusivamente agli utilizzatori. Inoltre, le tecnologie possono essere da questi acquisite solo se implementate da chi vende loro i prodotti. Infine, la sensibilita' per il problema della sicurezza andrebbe diffusa in primo luogo tra i produttori del software, da sempre orientati, per ovvii motivi di tornaconto immediato, a privilegiare gli aspetti di marketing. La cartellina comprende anche un fascicolo dedicato alla sicurezza in ambiente XP, nel quale spicca il supporto per IPsec e Kerberos: introdotto forse di recente in Windows, ma da molti anni presente nei sistemi Unix grazie a implementazioni open source. Ma quello che lascia maggiormente perplessi e' la gestione delle chiavi private dei certificati digitali, per le quali e' prevista la memorizzazione su server qualora i titolari necessitino di utilizzarle da piu' postazioni di lavoro. Ora, basta possedere qualche nozione sull'argomento per sapere che una chiave digitale privata e' assolutamente personale e non deve, per nessun motivo, finire nelle mani di estranei, per quanto fidati, perche' cio' rischia di comprometterne la fondamentale funzione certificatrice dell'identita' del titolare. Il fatto che sul server la chiave sia crittografata non cambia piu' di tanto lo scenario: e' una questione di approccio al problema e certo non si puo' dire che in tal modo si diffonda reale sensibilita' verso la sicurezza. Non manca poi un "papiro" nel quale Microsoft espone il proprio punto di vista riguardo la citata affermazione di Gartner Group su IIS, sostenendo, ovviamente, che il proprio web server sia tutt'altro che da buttare: purtroppo, le ragioni a supporto della difesa non sono quanto di piu' concreto ci si aspetterebbe. Chi teme per la sicurezza del proprio sistema informativo puo' essere piuttosto indifferente sia all'importanza di IIS nel "quadro piu' generale di .NET", sia al fatto che "Microsoft si sta impegnando a fornire una piattaforma sicura e protetta per questi servizi": come si dice, chiudere la stalla dopo che i buoi sono fuggiti... Certo, ora sono disponibili IIS Lockdown Tool e URLScan, due formidabili strumenti capaci di blindare IIS con un semplice doppio click, "anche se non sono state applicate le relative patch". Dobbiamo gridare al miracolo? Ma l'arma segreta contro i detrattori di IIS sta nel "rivelare" che anche le altre piattaforme non sono esenti da problemi di sicurezza. L'articolo anti-Gartner, infatti, si chiude con un elenco di dodici (ben dodici!) vulnerabilita', suddivise tra Apache, l'interprete PHP e PHPMyAdmin (interfaccia web per l'amministrazione del database open source MySQL) [ http://zeusnews.it/news.php3?cod=1185 ]. C'e' da ritenere, per motivi piuttosto lapalissiani, che si tratti di un elenco esaustivo, o quasi. Vogliamo fare un confronto con le ultime (per ora) dieci vulnerabilita' [ http://zeusnews.it/news.php3?cod=1179 ] recentemente evidenziate in IIS, che vanno ad aggiungersi a tutte quelle all'origine della polemica da cui siamo partiti? Non dimentichiamo che, dall'inizio del 2001, Microsoft ha rilasciato centinaia di patch per correggere problemi di sicurezza individuati, spesso dagli utilizzatori, nei suoi prodotti. Infine, non poteva mancare la ciliegina sulla torta: la traduzione integrale del famoso articolo di Scott Culp, responsabile del Microsoft Security Response Center, contro la divulgazione delle informazioni sulle vulnerabilita'. Sarebbe sicuramente comodo per tutti i produttori di software che lo scopritore di una falla fosse obbligato al silenzio, salvo il comunicarne le caratteristiche al produttore stesso: questo avrebbe modo di rimediare con comodo e, soprattutto, senza pubblicita' scomoda. Riecehggia qui l'arroganza del monopolista, che scredita i possibili competitori (sappiamo che, secondo Bill Gates, la licenza GPL letteralmente divora il business) e si aspetta che tutti si conformino alle sue pretese: definire "anarchia informativa" la liberta' di divulgare informazioni sulle vulnerabilita' e affermare che cio' equivalga ad "armare il nemico" fa comprendere come, ancora una volta, la strategia preferita sia cercare di condizionare il mercato con promesse, frasi d'effetto e altisonanti proclami. Bisogna ammettere che, in passato, i risultati hanno dato ragione ai venditori di illusioni. Dipende anche da noi, dalle nostre scelte e dalla nostra consapevolezza, evitare che cio' si ripeta.
- Prev by Date: Società Senza Informazione: dibattito
- Next by Date: Dal Centro Studi Difesa Civile
- Previous by thread: Società Senza Informazione: dibattito
- Next by thread: Dal Centro Studi Difesa Civile
- Indice: