[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Open source, virus e terrorismo
-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-
[ZEUS News] - Notizie dall'Olimpo informatico
-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-
Anno IV - numero 319 - 12 giugno 2002
Web: www.zeusnews.it
Forum: www.olimpoinformatico.com
Contatti: staff@zeusnews.com
----> Prima Pagina
** OPEN SOURCE, VIRUS E TERRORISMO **
Il mondo occidentale e' preso dalla psicosi del terrorismo:
riservatezza e anonimato rappresentano un pericolo e persino
l'open source e' additato come potenziale alleato di tutte le
forze del male. Intanto, i virus impazzano e nuovi problemi di
sicurezza vengono individuati ogni giorno... nel software
proprietario.
[Pubblicato su zeusnews.it il 7-6-2002]
>> di Stefano Barni
http://zeusnews.it/news.php3?cod=1253
-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-
----> Selezione dall'archivio
Tutti gli arretrati sono disponibili presso la pagina:
http://zeusnews.it/index.php3?ar=arretrati
** IL GIGANTE ALLE CORDE **
Microsoft e' da tempo al centro di accese polemiche riguardanti
le falle di sicurezza presenti nei suoi prodotti: concreto,
ormai, il rischio di un danno all'immagine. Cosi', l'azienda di
Redmond ha deciso di diffondere il proprio verbo. Capillarmente,
e a modo suo.
[Pubblicato su zeusnews.it il 23-4-2002]
>> di Stefano Barni
http://zeusnews.it/news.php3?cod=1185
Il disastro e' cominciato poco meno di un anno fa, con il
dilagare dei virus diffusi a mezzo elettronica e pagine web:
Nimda [ http://zeusnews.it/news.php3?cod=810 ] e CodeRed
[ http://zeusnews.it/news.php3?cod=713 ] ne sono stati i
principali artefici. Se, fino ad allora, il malumore dei clienti
Microsoft si concentrava sul famigerato "blue screen of death" di
Windows e appariva come lo sfogo di chi e' costretto a sopportare
un male necessario, il sentirsi minacciati nella propria
sicurezza e confidenza con il sistema informativo quotidianamente
utilizzato ha esaperato gli stati d'animo. Poco importa che molti
virus abbiano bisogno della collaborazione attiva dell'utente per
risultare efficaci; poco importa che, nella maggior parte dei
casi, fossero gia' state rilasciate le patch per le
vulnerabilita' oggetto di attacco: Internet Explorer, Outlook e
IIS si sono rapidamente guadagnati la fama, non del tutto
immeritata, di programmi pericolosamente esposti agli attacchi
dei malintenzionati. E, al coro degli utilizzatori, si e'
aggiunta la voce di Gartner Group, uno dei maggiori opinion
leader del settore IT: IIS deve essere pesantemente rivisto, ci
vorranno probabilmente tre anni, fino ad allora meglio utilizzare
Apache.
Cosi', il buon Bill ha stabilito di passare al contrattacco.
Recentemente, Microsoft ha inviato ai suoi migliori clienti (in
particolare le aziende) una cartellina contenente numerosi
documenti che evidenziano quanto la sicurezza sia uno degli
obiettivi primari della casa di Redmond, quanto essa intenda
impegnarsi in futuro su tale fronte e quanto, a suo dire, lo
abbia fatto anche in passato.
"...la sicurezza informatica e' un problema da prendere sul
serio. Microsoft lo ha sempre fatto..." si legge in uno di quei
documenti. Ma chi abbia subito, ad esempio, l'attacco di CodeRed
e Nimda, vorrebbe forse aggiungere che in qualche caso Microsoft
ha, piuttosto, privilegiato la facilita' d'uso dei suoi prodotti
e ha esagerato un po' nel grado della loro integrazione con
Windows, inseguendo un obiettivo che non era esattamente blindare
i programmi. D'altra parte, e' facile osservare che affermazioni
come "I rimedi esistono: occorre adottare pratiche efficaci,
acquisire le tecnologie, diffondere la sensibilita' per il
problema della sicurezza informatica." sono cosi' generiche e
scontate da risultare prive di reale significato per chiunque
abbia un minimo di esperienza nella gestione di sistemi
informativi. Quali sarebbero le pratiche efficaci? Si ha
l'impressione che la responsabilita' di tutto sia da attribuire
esclusivamente agli utilizzatori. Inoltre, le tecnologie possono
essere da questi acquisite solo se implementate da chi vende loro
i prodotti. Infine, la sensibilita' per il problema della
sicurezza andrebbe diffusa in primo luogo tra i produttori del
software, da sempre orientati, per ovvii motivi di tornaconto
immediato, a privilegiare gli aspetti di marketing.
La cartellina comprende anche un fascicolo dedicato alla
sicurezza in ambiente XP, nel quale spicca il supporto per IPsec
e Kerberos: introdotto forse di recente in Windows, ma da molti
anni presente nei sistemi Unix grazie a implementazioni open
source. Ma quello che lascia maggiormente perplessi e' la
gestione delle chiavi private dei certificati digitali, per le
quali e' prevista la memorizzazione su server qualora i titolari
necessitino di utilizzarle da piu' postazioni di lavoro. Ora,
basta possedere qualche nozione sull'argomento per sapere che una
chiave digitale privata e' assolutamente personale e non deve,
per nessun motivo, finire nelle mani di estranei, per quanto
fidati, perche' cio' rischia di comprometterne la fondamentale
funzione certificatrice dell'identita' del titolare. Il fatto che
sul server la chiave sia crittografata non cambia piu' di tanto
lo scenario: e' una questione di approccio al problema e certo
non si puo' dire che in tal modo si diffonda reale sensibilita'
verso la sicurezza.
Non manca poi un "papiro" nel quale Microsoft espone il proprio
punto di vista riguardo la citata affermazione di Gartner Group
su IIS, sostenendo, ovviamente, che il proprio web server sia
tutt'altro che da buttare: purtroppo, le ragioni a supporto della
difesa non sono quanto di piu' concreto ci si aspetterebbe. Chi
teme per la sicurezza del proprio sistema informativo puo' essere
piuttosto indifferente sia all'importanza di IIS nel "quadro piu'
generale di .NET", sia al fatto che "Microsoft si sta impegnando
a fornire una piattaforma sicura e protetta per questi servizi":
come si dice, chiudere la stalla dopo che i buoi sono fuggiti...
Certo, ora sono disponibili IIS Lockdown Tool e URLScan, due
formidabili strumenti capaci di blindare IIS con un semplice
doppio click, "anche se non sono state applicate le relative
patch". Dobbiamo gridare al miracolo?
Ma l'arma segreta contro i detrattori di IIS sta nel "rivelare"
che anche le altre piattaforme non sono esenti da problemi di
sicurezza. L'articolo anti-Gartner, infatti, si chiude con un
elenco di dodici (ben dodici!) vulnerabilita', suddivise tra
Apache, l'interprete PHP e PHPMyAdmin (interfaccia web per
l'amministrazione del database open source MySQL)
[ http://zeusnews.it/news.php3?cod=1185 ]. C'e' da ritenere, per
motivi piuttosto lapalissiani, che si tratti di un elenco
esaustivo, o quasi. Vogliamo fare un confronto con le ultime (per
ora) dieci vulnerabilita' [ http://zeusnews.it/news.php3?cod=1179
] recentemente evidenziate in IIS, che vanno ad aggiungersi a
tutte quelle all'origine della polemica da cui siamo partiti? Non
dimentichiamo che, dall'inizio del 2001, Microsoft ha rilasciato
centinaia di patch per correggere problemi di sicurezza
individuati, spesso dagli utilizzatori, nei suoi prodotti.
Infine, non poteva mancare la ciliegina sulla torta: la
traduzione integrale del famoso articolo di Scott Culp,
responsabile del Microsoft Security Response Center, contro la
divulgazione delle informazioni sulle vulnerabilita'. Sarebbe
sicuramente comodo per tutti i produttori di software che lo
scopritore di una falla fosse obbligato al silenzio, salvo il
comunicarne le caratteristiche al produttore stesso: questo
avrebbe modo di rimediare con comodo e, soprattutto, senza
pubblicita' scomoda. Riecehggia qui l'arroganza del monopolista,
che scredita i possibili competitori (sappiamo che, secondo Bill
Gates, la licenza GPL letteralmente divora il business) e si
aspetta che tutti si conformino alle sue pretese: definire
"anarchia informativa" la liberta' di divulgare informazioni
sulle vulnerabilita' e affermare che cio' equivalga ad "armare il
nemico" fa comprendere come, ancora una volta, la strategia
preferita sia cercare di condizionare il mercato con promesse,
frasi d'effetto e altisonanti proclami.
Bisogna ammettere che, in passato, i risultati hanno dato ragione
ai venditori di illusioni. Dipende anche da noi, dalle nostre
scelte e dalla nostra consapevolezza, evitare che cio' si ripeta.