Lo stato (perdurante) di traballamento dei miei servizi su Lycos mi fa riflettere sulle “meraviglie” del Web 2.0. Di fatto, siamo ancora più dipendenti da una buona connettività e dallo stato dei server che ci offrono servizio. Sinceramente non credo che la connettività (non mi riferisco a Lycos, ovviamente, quello è un “server”) sia ancora abbastanza affidabile da basarci le proprie attività finora gestite internamente; mi riferisco alla connettività che si può permettere la tipica PMI. L’idea di non essere nemmeno in grado di scrivere decentemente un documento quando la connettività non c’è mi sembra inconcepibile.
Ma veniamo al SANS, che anche quest’anno ha pubblicato la sua Top 20 delle “vulnerabilità”. Ormai è un documentone articolato e decisamente generico. Un punto sono tutti i problemi dei browser, una sono tutti quelli di Microsoft Office, e così via, con molti punti che non si riferiscono neppure a specifiche vulnerabilità ma a problemi di gestione nel loro complesso. Di fatto, con 20 punti arrivano a coprire buona parte di tutti i componenti di un sistema informatico (un punto sono tutti i problemi del VoIP). Se confronto questa lista con le prime, direi che come Top 20 ha un po’ perso di significato. Invece di puntare l’attenzione su 20 vulnerabilità particolarmente critiche, sembra che chi l’ha compilata abbia la preoccupazione di essersi dimenticato qualcosa di rischioso. Le prime liste erano molto più mirate su singoli servizi e singole vulnerabilità, ad esempio, la “W1 – Unicode Vulnerability (Web Server Folder Traversal”), anche se è interessante notare che una delle vulnerabilità generali era già “G7 – Vulnerable CGI Programs”, l’equivalente dell’attuale “S1 – Web Applications”. Le prime liste servivano quindi realmente a mettere in evidenza dei problemi specifici da risolvere urgentemente. In realtà non è più tempo di parlare di “20 vulnerabilità più pericolose”. Di fatto, le singole vulnerabilità dicono sempre meno dal punto di vista della sicurezza dei sistemi, sono sempre più necessarie una progettazione e una gestione che permettano al sistema di sopravvivere alle singole vulnerabilità, limitandone l’impatto. Infatti la lista adesso parla di “Top-20 2007 Security Risks”. Sarebbe meglio riferirsi alla lista con il suo nome vero, in modo da assimilare il cambio di prospettiva: non ci sono più singole vulnerabilità la cui correzione aumenta sensibilmente la sicurezza del sistema, la gestione corretta della sicurezza nel suo complesso è ormai una necessità.
