Microsoft vuole una nuova era della sicurezza

L'azienda attacca certi esperti della security che "creano rischi" e propone un nuovo patto a tutti, utenti, bug hunter e aziende comprese. E avverte: nei prossimi mesi creeremo un nuovo schieramento di imprese per la sicurezza

Microsoft vuole una nuova era della sicurezzaWeb - Con un articolo di Scott Culp, manager della sicurezza in Microsoft, l'azienda ha fatto sapere nelle scorse ore cosa pensa di quegli analisti indipendenti, quei consulenti sulla security che pubblicano online codici software di esempio che potrebbero essere utilizzati per colpire siti, server e computer.

Chi ha realizzato worm come Ramen o Nimda, scrive Culp, va condannato come criminale. "Ma - continua Culp - ha avuto bisogno di una mano per devastare le nostre reti. E noi, nella comunità degli esperti di sicurezza, gliela abbiamo data".

Culp parla di tutte le piattaforme utilizzate online e se la prende con quegli esperti che discutono di sicurezza e di vulnerabilità senza essere "intelligenti, prudenti e responsabili" nel farlo. Perché se è vero che l'industria "può e dovrebbe sviluppare prodotti più sicuri, non è realistico pensare che si raggiungerà mai la perfezione".
"Le vulnerabilità - spiega Culp - sono sotto gli occhi di tutti", ma molti esperti non le trattano con responsabilità ed anzi agiscono in un modo "che si può descrivere al meglio come anarchia dell'informazione. Questo accade quando si pubblicano deliberatamente istruzioni esplicite, passo per passo, su come sfruttare le vulnerabilità di sicurezza, senza preoccuparsi di come quelle informazioni possono venire utilizzate".

Culp vede una relazione diretta tra le diffusione degli ultimi aggressivi worm e la pubblicazione di istruzioni che sono state, scrive, "ampiamente pubblicizzate". La relazione è molto stretta, sostiene Culp, "non solo perché i worm sfruttano proprio quelle vulnerabilità, ma anche perché lo fanno utilizzando esattamente le stesse tecniche che sono state pubblicate. In alcuni casi utilizzando addirittura gli stessi nomi di file e l'identico codice di attacco". Secondo Culp non si può parlare di una coincidenza ma si deve parlare di una fornitura di "armi" a malintenzionati.

Secondo Culp, l'anarchia informativa sulla sicurezza è animata da buone intenzioni, quella di dare agli amministratori di sistema la sensazione dell'urgenza dell'aggiornamento delle proprie reti, ma nella pratica l'intenzione fallisce completamente. "Fornire una ricetta per sfruttare un buco - scrive Culp - non aiuta a proteggere le reti. Nella maggioranza dei casi, proteggersi da un buco è applicare un fix che modifica il sistema, in altri casi i sistemi possono essere protetti con nuove procedure di gestione. Ma sia in un caso che nell'altro, l'amministratore non ha bisogno di sapere come funziona una vulnerabilità per capire come proteggersi contro di questa, non più di quanto un individuo debba sapere qual è la causa del malditesta per poter prendere un'aspirina.

Ma "l'anarchia informativa" secondo Culp è un errore anche se pensata per spingere gli utenti a difendere i propri sistemi: la diffusione dei worm dimostra che questo non accade. "Molto prima che i worm venissero realizzati - accusa Culp - i produttori avevano già distribuito patch di sicurezza capaci di eliminare le vulnerabilità. In alcuni casi, le patch erano disponibili in varie forme - singole, cumulative, in service pack e via dicendo - fino ad un anno prima del worm. Ciò nonostante questi worm si sono diffusi dappertutto tra gli utenti, ed è chiaro che solo in pochi avevano utilizzato queste patch".

Ma uno degli effetti più negativi di questo atteggiamento di una parte della "security community" è il fatto che le imprese e i produttori tendono sempre meno ad affrontare pubblicamente le problematiche di sicurezza che li riguardano. "La principale responsabilità di un produttore - sostiene Culp - è quella verso i propri clienti e non verso una comunità di esperti auto-definita. Se gestire in modo trasparente le vulnerabilità porta inevitabilmente ad attacchi sferrati sfruttando quei buchi, i produttori non hanno altra scelta che cercare altri modi per proteggere i propri clienti".
TAG: microsoft
141 Commenti alla Notizia Microsoft vuole una nuova era della sicurezza
Ordina
  • Certo, infatti hotmail usa FreeBSDOcchiolino

    non+autenticato
  • Sembrano i tempi in cui le case discografiche strillavano contro napster e più strillavano, più i server napster spuntavano fuori come i funghi.
    L'unica cosa che Culp può fare è un richiamo al buon senso ... chi lo vorrà ascoltare lo ascolterà.
    Non può fare nient'altro: lasciamolo strillare.
    non+autenticato
  • ...vien la predica!
    Dopo aver passato gli anni dal 1995 in poi
    ad automatizzare tutto in modo che gli utenti
    non possano dire a un programma o a uno script:
    "No! Fermo! Stai fermo! Che ca££o fai?"
    ...ora parlano di problemi di sicurezza.

    Non so se ridere o piangere.
    Più probabilmente ci sarà da piangere...
    non+autenticato
  • Solo un pazzo come Michele Coppo
    (o chi si firma per lui)
    puo`stare tranquillo in una situazione
    di monopolio senza concorrenza; e`la
    gentaglia come lui che predica la libera
    concorrenza che poi vede normale che si usi
    un unico webserver come quella ciofeca di IIS,
    SOLO Outlook, SOLO Internet Explorer,
    e poi una azienda che da una parte
    si prene tutti i dati degli utenti
    con il PASSPORT e dall'altra fa delle
    licenze software secondo cui qualunque
    porcheria faccia il software loro non
    c'entrano niente...

    Bill Gates si permette anche il lusso
    di paragonare questa informatica fatta di
    dozzinalita`e di marketing sporco
    all'ingegneria vera, dove si testa tutto,
    dove se un automobile ha un difetto di
    fabbrica esistono responsabili che pagano
    con la loro testa...

    Che capa di m%%%% sto zio bill

    Pino Silvestre
    non+autenticato
  • Oè, uomo dal nome di sciampo, ma ti rendo conto delle panzane che scrivi?
    Mi auguro che lo fai per alzare il tono della polemica, 'che se veramente pensassi quanto scrivi, si che dovresti preoccupare...

    Michele Coppo
    non+autenticato
  • direi che sei tu l'unico che si deve preocupare...se sei riuscito a soppravivere fino ad ora non e di certo alle tue qualita nascoste...ma alla fortuna...che prima o poi finisce...

    - Scritto da: Michele Coppo
    > Oè, uomo dal nome di sciampo, ma ti rendo
    > conto delle panzane che scrivi?
    > Mi auguro che lo fai per alzare il tono
    > della polemica, 'che se veramente pensassi
    > quanto scrivi, si che dovresti
    > preoccupare...
    >
    > Michele Coppo
    non+autenticato
  • e questa la cosa peggiore...

    > Bill Gates si permette anche il lusso
    > di paragonare questa informatica fatta di
    > dozzinalita`e di marketing sporco
    > all'ingegneria vera, dove si testa tutto,
    > dove se un automobile ha un difetto di
    > fabbrica esistono responsabili che pagano
    > con la loro testa...
    non+autenticato
  • vedi carissimo, se sei ignorante come un asino e ti permetti di dare della gentaglia a chi non la pensa come te non devi rompere l'anima al resto del mondo.

    Se di informatica non capisci nulla e per te esistono solo Explorer IIS o outlook forse è meglio che prima di parlare ci pensi 6 volte o anche 12!!!!! e forse è ancora meglio se prima di parlare di sicurezza ti apri qualche manuale e studi qualche cosa.

    Il problema è, a mio modesto parere, non dei sistemi Microsoft ma dei sistemisti che sono ignoranti come capre! le patch che proteggevano dal nimda erano in corcolazione da una vita, prova ne è che non tutti i sistemi ne sono caduti vittima; comunque voi parlate tanto di sicurezza e buttate fango su microsoft ma guardate che un server linux configurato male non è più sicuro di un server microsoft non patchato!!!

    adesso smetto tanto so benissimo che è tutto fiato sprecato, caro il mio genialoide dell'informatica...

    lo vuoi un consiglio? prima di mettere le mani sulla tastiera controlla di aver acceso il cervello

    Maurizio Riva
    non+autenticato


  • - Scritto da: Pino Silvestre

    > SOLO Outlook, SOLO Internet Explorer,
    > e poi una azienda che da una parte
    > si prende tutti i dati degli utenti
    > con il PASSPORT e dall'altra fa delle
    > licenze software secondo cui qualunque
    > porcheria faccia il software loro non
    > c'entrano niente...

    esatto: questa è la condizione di MONOPOLIO di FATTO in cui ci troviamo:

    il MONOPOLISTA può permettersi di sputare in faccia alla clientela (salvo poi dire: "non sono stato io a sputarvi, ma gli amministratori di sistema e gli sviluppatori!")

    E' ora di proporre un BOICOTTAGGIO di TUTTO quanto sia di proprietà della M$.

    E' ora che il "popolo della Internet LIBERA" si alzi e proponga atti di lotta LEGALE contro il MONOPOLISTA ILLEGALE.


    non+autenticato
  • cito da ZIO BUDDA, che rimanda a una serie di articoli su IL NUOVO:

    << Ancora prima di arrivare ufficialmente sul mercato e' gia' stata violata la protezione anticopia di windows Xp. Alla faccia di una nuova "era della sicurezza" di Microsoft. >>

    http://www.ilnuovo.it/nuovo/foglia/0,1007,82076,00...

    Conclusione: l'azienda MONOPOLISTA microsoft pretende che si applichino criteri di sicurezza maggiori al software delle sue piattaforme, ma non sa proporre condizioni di sicurezza per le sue stesse piattaforme.

    Chi continua a fidarsi dei proclami di Zio Bill ?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Successiva
(pagina 1/10 - 50 discussioni)