La vulnerabilità del momento sembra essere quella dell’Animated Cursor di Windows (da Windows 2000 a Vista). Prima di affrontare la questione, vorrei chiarire il contesto in cui vedo il problema: il contesto è quello in cui l’utente/cittadino/dipendente, senza una competenza informatica specifica, utilizzerà sempre più il proprio PC per attività critiche come l’home banking, il commercio elettronico, l’interazione con le pubbliche amministrazioni. In questo contesto, la sicurezza del PC domestico, o della segretaria, o del commercialista, diventa molto più importante rispetto ai fronzoli che possono abbellire il desktop o una pagina web. Naturalmente si può dire che il cursore animato in fondo è piccola cosa, e che è “un caso” che la vulnerabilità sia capitata proprio lì, ma è proprio questa l’essenza del creeping featurism (che possiamo tradurre come “aggiunta strisciante di funzionalità”): tante piccole aggiunte, per la maggior parte inutili, che però fra tutte finiscono per introdurre una miriade di piccoli problemi, non solo di sicurezza ma anche di stabilità. Quanto spesso l’introduzione di queste funzionalità è fatta pensando ai desideri e bisogni dell’utente? Direi molto raramente. Mi sembra che prevalgano motivazioni come: poter vendere una nuova versione con funzionalità in più (in una nuova versione ci devono essere funzionalità coreografiche in più, altrimenti chi la compra?); dare agli sviluppatori qualcosa con cui rendere più accattivante il proprio sito (gli sviluppatori di siti sono i veri “clienti” di queto tipo di funzionalità, gli utenti le subiscono e ne subiscono le conseguenze per la sicurezza); eventualmente, presentarsi con qualcosa che la concorrenza non ha. Ripeto, non è la singola funzionalità il problema, ma la continua aggiunta di miriadi di piccole cose, con le quali poi il sistema deve rimanere compatibile e che quindi introducono altri problemi, soprattutto di stabilità, quando si cerca di cambiare qualcosa, magari per migliorare la sicurezza.
Tanto per cambiare ho preso un problema di Windows come esempio, ma sia chiaro che Linux e gli altri non sono certo da meno, nè lo sono tante applicazioni che ci girano sopra. Un esempio sono le intefacce grafiche, a partire dal desktop del Mac arrivando a KDE, con le sue nuove funzionalità 3D, del tutto inutili ma adattissime a consumare CPU. Lo so, chi si occupa di sicurezza tende a fare resistenza all’introduzione delle novità ed a guardarle con sospetto, e quindi sembra sempre opporsi all’innovazione. Dubito però che un cursore animato e il desktop 3D possano essere considerati innovazione: sono (purtroppo) solo abbellimenti di un’interfaccia de nella sostanza di innovazione non ne vede da vent’anni.
Sempre a proposito delle vulnerabilità di Vista: un interessante articolo di Intini. Molte delle cose che dice sono condivisibili, anche se dubito che i numeri su cui si basano lo siano: il numero di vulnerabilità di Ubuntu, che non sono dettagiate nel report citato (report di che, quindi?) mi sembra credibile solo mettendoci anche le vulnerabilità degli applicativi. Comunque sui numeri si sarà già detto tanto e non mi interessa dire di più; mi sembra invece assolutamente vero che Vista non sta presentando una gran massa di vulnerabilità, e in effetti sembra averne un po’ meno di XP (non XP al momento del suo rilascio ma XP adesso, che è quello con cui si deve confrontare se vuole vendere 😉 ). Posto quindi che la gestione delle vulnerabilità da parte di Microsoft non sia peggiore di quella di tanti altri, distribuzioni Linux comprese (e credo che non lo sia), la domanda più interessante è: in questi tre mesi, chi aveva un sistema Vista è stato al sicuro? La risposta è naturalmente no. Niente Microsoft bashing, sia chiaro; è che vorrei sottolineare che quello delle vulnerabilità è un problema sul quale, come ho già avuto occasione di dire, ci si focalizza troppo. Primo, perché un sistema mal disegnato è debole anche in assenza di “vulnerabilità” intese come guasti software (e di nuovo non mi riferisco specificamente a Vista). Secondo, e più importante, perché la gestione delle vulnerabilità è solo una parte del problema sicurezza.
