Londra – Un errore nella programmazione di un software, rilevante nel settore della sicurezza, dovrebbe tradursi in una responsabilità diretta per lo sviluppatore che quel software ha realizzato. Si potrebbe sintetizzare così il pensiero espresso da Howard Schmidt, guru della sicurezza informatica, dal pulpito dell’ultima SecureLondon 2005 Conference .
Schmidt non sembra pensare all’ideale utopico di un “software senza bug” quanto invece ad un processo di responsabilizzazione di chi produce software. Secondo l’ex advisor per la Sicurezza informatica della Casa Bianca, il problema sarebbe legato alla formazione e in qualche modo anche alla mancanza di talento. “Nello sviluppo software abbiamo bisogno di garanzie personali da parte degli sviluppatori sui codici che implementano”, ha sottolineato Schmidt. In pratica un cambio dei codici di responsabilità stimolerebbe le imprese ad intervenire sul problema. “Recentemente ho incontrato dei professionisti che hanno creato un’applicazione Web legata ad un back-end database tramite SSL . Ebbene, non mancava l’autenticazione, le password e un sistema di criptazione. Quando hanno spedito i dati all’ufficio acquisti l’hanno fatto con un normale file di testo. Questa certamente non era una soluzione end-to-end. Abbiamo bisogno di responsabilità”, ha dichiarato Schmidt.
L’ultima indagine effettuata da Microsoft sull’argomento ha evidenziato che il 64% dei tecnici intervistati ammette tranquillamente di non sentirsi in grado di sviluppare applicazioni sicure. Per Schmidt la soluzione è solo esclusivamente nella formazione, fondamentale per valutare un’assunzione.
“La maggior parte dei corsi universitari riguardano l’usabilità, la scalabilità, la gestione e non la sicurezza. Adesso molte si stanno concentrando sull’assicurazione e la sicurezza delle informazioni ma, tradizionalmente, lo sviluppo delle applicazioni Web è stato misurato in click di mouse – come fare cliccare gli utenti”, ha concluso Schmidt.
Con sorpresa di qualcuno, The British Computer Society si è detta dello stesso avviso di Schmidt, sebbene i suoi esponenti abbiano tenuto a sottolineare come la responsabilità, più che cadere direttamente sugli sviluppatori, debba riguardare le loro aziende.
“Howard ha sicuramente estremizzato la questione dichiarando che gli sviluppatori dovrebbero essere responsabili direttamente, ma la direzione è giusta. Conosco un buon numero di sviluppatori che si sentirebbero a disagio. E’ una responsabilità dell’azienda comunque che le caratteristiche di sicurezza dei loro software siano testate con rigore. Il codice non è statico. Una volta comprato può essere modificato”, ha affermato un rappresentante della British Computer Society.
Allo stesso tempo tutti concordano sul fatto che gli stessi manager e acquirenti dovrebbero accettare un minimo di responsabilità, sufficiente per preoccuparsi di eventuali aggiornamenti o patch da applicare ai software acquistati.
Dario d’Elia
Ti potrebbe interessare
14 ott 2005