23 mar 2011

Per combattere l'insorgenza di ruggine nel cervello

Nel campo della sicurezza informatica, ma un po' in generale dappertutto, uno dei pericoli principali e' l'avere certezze apparentemente incrollabili, o peggio ancora affidarsi ai luoghi comuni propugnati dai mass media. "Il tal sistema e' sicuro", oppure "ho messo il firewall e sono a posto" e simili assunzioni sono la garanzia non solo di essere a rischio, ma soprattutto di non accorgersi nemmeno degli attacchi ricevuti, alimentando cosi' il circolo vizioso.
Per combattere l'insorgenza di ruggine nel cervello sarebbe necessario esercitarsi giornalmente nel ricercare e comprendere autonomamente le soluzioni ai nostri problemi: valutare e controllare le fonti delle informazioni, analizzare i rischi e verificare le vulnerabilita'. Purtroppo cio' spesso non e' possibile. In subordine, e' comunque buona norma aprire periodicamente le finestre del cervello per far entrare un po' di luce e d'aria fresca.
Un semplice metodo per fare cio' e' esercitarsi a trovare dei
controesempi ai luoghi comuni che vanno per la maggiore. Il controesempio e' una facile tecnica che serve semplicemente a ricordarci di non dare nulla per scontato. Tutto qui.
Ultimamente ho raccolto alcuni esempi.

Esempio 1
Luogo comune: "Il motto di Google e' "
don't be evil", Google agisce sempre per il bene della Rete e la sua correttezza, eticita' ed onesta' non sono in discussione". Nel 99% dei casi in cui citano Google, i mass media lo fanno per magnificare questo o quel servizio gratuito offerti dalla societa' americana o per sottolineare l'uso a scopi "benefici" delle sue immense risorse tecnologiche; i lettori, bombardati da soli esempi positivi, sono portati a santificare Google e a catalogarla dalla parte dei buoni in caso di ogni eventuale controversia.
Controesempio: "
Google's Android mobile operating system's usage of the Linux kernel may violate open source licensing with a misappropriation of Linux code" in cui si solleva il dubbio che Google abbia modificato e reso una parte proprietaria di Android una libreria di Linux che invece andrebbe distribuita sotto licenza GPL. Questo ci dice che quelli di Google sono una manica di ladri e furfanti? No. Pero' freniamo un po' sul "santi subito".

Esempio 2
Luogo comune: "Apple produce software stupendi, apparati fantastici, servizi innovativi e per di piu' favorisce un enorme ecosistema di business basati sulle sue piattaforme." Analogamente a Google, i mass media presentano costantemente Apple in chiave positiva; il lettore, ogni volta che viene menzionata Apple, e' portato ad assumere che Apple = buoni e bravi, gli altri = cattivi e incompetenti.
Controesempio: "
Apple rallenta deliberatamente le web application?" "Sta prendendo piede l'ipotesi che Apple stia deliberatamente rallentando il funzionamento delle applicazioni web salvate e lanciate dalla schermata principale per farle apparire meno performanti e incentivare la distribuzione delle applicazioni native attraverso App Store." Questo ci dice che alla Apple sono tutti dei filibustieri senza scrupoli? No. Pero' non sono al di sopra di ogni sospetto.

Esempio 3
Luogo comune: "Skype e' un fantastico servizio gratuito che permette a tutti di parlare gratis, quindi quelli di Skype sono i buoni e chi ne parla male o li ostacola e' chiaramente in malafede".
Controesempio: "
Privacy International's accusations against Skype". "PI took issue with the fact that accounts are displayed with any name a user wishes to use, the lack of an HTTPS download option for the client and Skype's use of a variable bit-rate codec that could enable a snooper to determine key words and phrases being spoken even though the content is encrypted." Questo ci dice che a quelli di Skype non importa un tubo della privacy dei loro utenti e non fanno nulla a riguardo? No. Pero' ci sono sicuramente margini di miglioramento, e non e' detto che Skype agisca sempre per il meglio.

Esempio 4
Luogo comune: "Linux e' un sistema intrisecamente sicuro e i sistemi open source sono al riparo da problemi di sicurezza". Anche in questo caso, il fatto che i sistemi open source vengano costantemente menzionati solo in contrapposizione ai costosi e malvagi software proprietari delle grandi corporation, fa si' che una grande parte di utilizzatori di tali sistemi continui a cullarsi in una sensazione di falsa sicurezza, e il lettore non esperto tenda a catalogare acriticamente e costantemente Linux tra i buoni e bravi impegnati nella lotta contro le forze del male.
Controesempio: "
PHP developer wiki hacked". "Access details for a number of accounts were stolen during a hack of the PHP developer wiki server wiki.php.net." Non e' la prima volta che repository di software open source vengono compromessi, e in passato e' capitato piu' volte che package software "adulterati" venissero distribuiti attraverso canali ufficiali all'insaputa degli amministratori e degli utenti. Oh, ma... cosa leggo: "unknown perpetrators were then able to escalate their privileges by use of a Linux root exploit." Questo ci dice che i sistemi open source sono inaffidabili e gestiti da una congrega di incapaci? No. Pero' non siamo nemmeno in una botte di ferro.

Credo di aver insistito a sufficienza.

"Le pareti del cervello non hanno piu' finestre":

1 commento:

GG ha detto...

...Gioanola "Security Evangelist" subito! ;)