Sicurezza, ICT e altro

Riguardando i miei ultimi post, vedo che quelli su Vista sono un po’ tutti sul tono: “è pieno di bachi, ma cosa ci dovevamo aspettare?”. Così mi devo chiedere se mi sto lasciando andare ad un facile Micorosft bashing. Occupandomi di sicurezza, cercare difetti è una parte importante del mio lavoro. Tuttavia, la ricerca dei difetti deve essere accompagnata dalla ricerca delle soluzioni, e bisogna anche saper pesare pregi e difetti: mettere solo in evidenza problemi e difetti ha una sua utilità, ma limitata. Vedo lo stesso problema con le tante norme, ben lontane dall’essere perfette, che interessano di volta in volta la sicurezza e l’ICT: cori di critiche si levano ogni volta, ma devo dire che non è altrettando diffusa la critica costruttiva o la proposta di soluzioni. Sia chiaro che non mi riferisco al decreto di ieri sulla pedopornografia, dato che ho sentito più che altro richieste di poterlo leggere… Ma torniamo a Vista. Cosa non mi piace? Magari dovrei dire “non lo so”, dato che non ho ancora avuto occasione di provarlo. In realtà so benissimo cosa non mi piace: il fatto che venga pubblicizzato come sistema operativo “più sicuro”. Naturalmente sono convinto che sia “più sicuro” di XP. Il problema è che penso che sia marginalmente più sicuro di XP. La sicurezza non è un prodotto, e per il “processo sicurezza” che può interessare alla maggior parte degli utenti, quello che offre Vista rispetto a XP probabilmente non cambierà molto. In particolare, le funzionalità di supporto al DRM saranno magari lodevoli, ma non sono certo utili all’utente. Quindi, finita la parte di bashing, qual’è la parte costruttiva? Bene, innanzitutto la sicurezza del sistema operativo dovrebbe garantire prima di tutto quello che gli utenti vogliono. A questo proposito, invito a rileggere l’intervista a Tanenbaum. Poi, se vogliamo parlare di come si sviluppa un sistema operativo “in sicurezza”, ma in modo ragionevolmente gestibile (niente complicazioni da EAL7, per intenderci), si può vedere OpenBSD: vedi ad esempio questo commento. Infine, se vogliamo vedere le funzionalità che servono agli utenti, che moltissimi prodotti non Microsoft già integrano (ancora a partire da Mozilla), e a proposito di Microsoft Bashing, suggerisco questo post del 2003 😉 Se queste funzionalità fossero integrate da qualche anno anche nei prodotti più usati, probabilmente tanti problemi al riguardo adesso non li avremmo.

Nel frattempo, i bug di Vista stanno andando a regime come numero e frequenza 😉 È curioso che si continuino a indicare come “non critical” quelli di privilege escalation. È chiaro che l’ottica e la mentalità è ancora quella dell’utente di casa che naviga su Internet, alla faccia degli usi professionali.

La notizia è più che altro curiosa. Wikipedia ha bloccato per dodici ore gi accessi da un indirizzo IP dal quale erano stati fatti dei vandalismi… solo che l’intero Qatar (360.000 persone) accede a Internet da quell’unico IP! Ho come il sospetto che l’accesso a Internet dei cittadini del Qatar sia un tantinello controllato 😉 Dubito infatti che una soluzione di questo genere possa avere ragioni tecniche, anzi, una centralizzazione di questo tipo, oltre ad essere terribile dal punto di vista della robustezza, tecnicamente deve comportare uno sforzo considerevole.

Dal Ministero delle Comunicazioni, riportato da più parti. Mi piacerebbe vedere il decreto (non lo trovo), Sicuramente c’è di notevole una cosa che potrebbe sembrare banale: “Internet è una straordinaria fonte di informazione ed un motore dell’innovazione – ha concluso il Ministro Gentiloni – Per difendere la libertà contro ogni tentazione di censura preventiva e generalizzata, peraltro impraticabile, occorre colpire in modo certo ed efficace chi ne fa un uso criminoso contro i bambini”. Quindi, anche parlando di pedopornografia, si sottolinea l’importanza di Internet come fonte di informazioni. È forse la prima volta che norme di questo tipo non sono accompagnate da toni da caccia alle streghe, e bisogna darne atto al Ministro. Molto meglio del “me ne frego” di qualcun’altro 😉 Tuttaviia, aspetto con ansia di riuscire a leggere il testo del decreto, dato che non mi sono chiari da qui i dettagli tecnici. Ad esempio, se il sito è in hosting presso un provider, magari straniero, ci si aspetta che i nostri ISP blocchino il traffico verso quell’IP, e quindi verso tutti i siti in hosting sullo stesso IP? Oppure si vuole che si accollino un filtraggio applicativo? Come possono fare un filtraggio a livello di nome di dominio, se il dominio è gestito all’estero? Sono curioso, e magari nel decreto verranno fuori dei difetti, ma se l’atteggiamento rimane quello di non demonizzare Internet, almeno si può finalmente sperare che si cerchino delle soluzioni ragionevoli e costruttive.