Polemiche roventi sulla sicurezza Microsoft

Il testo pubblicato da Culp solleva un vespaio. Punto Informatico ha intervistato il Business IT Consultant Stefano Tagliaferri per approfondire le questioni più calde sollevate dal manager della security della softwarehouse americana

Polemiche roventi sulla sicurezza MicrosoftRoma - La pubblicazione nei giorni scorsi di un documento sulla sicurezza e la gestione delle informazioni del manager della security in Microsoft, Scott Culp, ha sollevato un gran polverone, in Italia e all'estero.
Per questo abbiamo approfondito l'argomento con un noto Business IT Consultant romano, Stefano Tagliaferri, in una breve chiacchierata telefonica.

Punto Informatico: Stefano, nella sua analisi Culp prende spunto dalle invasioni di worm come Nimda o Code Red che hanno fatto miliardi di danni e colpito migliaia di computer e dalla condanna come criminale degli autori di quei worm.
Stefano Tagliaferri: Ma quali computer e piattaforme sono state colpite da questi worm? E quali dati avrebbero distrutto? Non se n'è mai parlato. Né mi risulta che sia stato identificato l'autore di quei codici e che ci sia stato un processo.

PI: Beh, Culp afferma che i worm hanno sfruttato vulnerabilità di sistema senza le quali non sarebbero esistiti...
ST: Ah, quindi tutti questi worm sfruttavano delle security flaws. Di chi è la responsabilità di queste security flaws? Di chi acquista il software o di chi lo scrive?
Il normalissimo e tanto disprezzato "buon senso" direbbe che è una responsabilità di chi scrive questi programmi e li pubblica in qualsiasi forma, remunerata o no. Quindi è una responsabilità del produttore, non dell'acquirente.
Nasce un problema: l'acquirente conosce i problemi che questi "security flaws" possono generare o ne è tenuto all'oscuro, perché non si vuole fare brutta figura, e quindi non vendere un prodotto, magari spacciato per "sicuro"?
PI: Culp ammette che l'industria può e deve sviluppare prodotti più sicuri anche se non è realistico che si arrivi alla perfezione.
ST: Il che vuol dire che finora questi aspetti non sono stati considerati per la loro reale importanza.
C'è differenza tra "perfezione" e il cercare di arrivarci. Si è almeno provato ad arrivarci? A giudicare dal numero elevato di security flaws di alcuni sistemi, sorge un dubbio molto serio.

PI: Ma Culp sostiene che tutti i software moderni contengono inevitabilmente dei bug, perché sono - afferma Culp - tra quanto di più complesso mai sviluppato dal genere umano.
ST: Ogni software può avere dei problemi, ma si può cercare di risolverli, con un'accurata fase di betatesting e facendo buon uso del feedback dei tester.
Problema n.1: entrambe queste due cose costano care, perché coinvolgono molto personale (coordinatore dei betatester, sorting del feedback e invio dello stesso ai responsabili di competenza ecc?), impongono un tempo maggiore per la commercializzazione di un programma e non aggiungono un valore tangibile al prodotto finale.
In questi tempi di serializzazione massificata, i produttori di software sono ancora disposti ad avere e gestire un feedback appropriato dei loro prodotti prima che vengano immessi sul mercato? Eppure questo aumenterebbe la sicurezza.

PI: Culp sostiene anche che la pubblicazione dei bug e delle vulnerabilità in certi casi può essere definita "anarchia informativa". E che la pubblicazione delle istruzioni passo-passo per sfruttare certe vulnerabilità è irresponsabile.
ST: Che si vuole dire? Un amministratore di sistema, quindi in teoria una persona informaticamente evoluta, non ha il diritto di conoscere che cosa succede al suo sistema in certi casi?
Non ha il diritto di controllare se il suo sistema presenta queste anomalie?

PI: Culp afferma che queste informazioni si traducono nella fornitura di armi che permettono di colpire sistemi.
ST: Armi? Stiamo conducendo una guerra?
Il modo per non fornire queste cosiddette "armi" a questi cosiddetti "terroristi" non potrebbe essere quello di eliminare queste falle dai sistemi prima che vengano distribuiti?
TAG: microsoft
92 Commenti alla Notizia Polemiche roventi sulla sicurezza Microsoft
Ordina
  • Software per applicazioni critiche *deve* essere OPEN SOURCE. Questo non vuol dire che per forza debba essere freeware, ma che il codice sorgente sia consultabile da chiunque, e quindi esposta alla pratica del "peer review".

    Non si può mettere la sicurezza della rete in mano ad'un unica azienda, che poi non è che abbia uno stato di servizio proprio "excellente".
    non+autenticato
  • Sai,
    probabilmente era la cosa piu' complessa mai fatta dal genere umano e cosi' sono riusciti a trovare una falla.


    - Scritto da: giaser
    > Leggete a
    > http://www.theregister.co.uk/content/4/22354.
    non+autenticato
  • Se linux avesse una base di installato pari a quella di microsoft sono sicuro che avrebbe la stessa quantità di buchi (anche perchè ci sarebbe più gente interessata a trovarli...)

    NON ESISTE IL SOFTWARE (O SISTEMA OPERATIVO) PERFETTO !!

    P.S.: Non sono un troll, non sono di parte, il mio primo sistema operativo è stato quello di un PDP11 della Digital... vedete un po voi...

    ObiOneKenobi
    non+autenticato


  • - Scritto da: ObiOneKenobi
    > Se linux avesse una base di installato pari
    > a quella di microsoft sono sicuro che
    > avrebbe la stessa quantità di buchi

    peccato che stiamo parlando di sistemi server... in cui le statistiche sono approssimativamente simili (credo 40%-20% il resto altri OS)

    > NON ESISTE IL SOFTWARE (O SISTEMA OPERATIVO)
    > PERFETTO !!

    e allora perche' pagarlo?

    > P.S.: Non sono un troll, non sono di parte,
    > il mio primo sistema operativo è stato
    > quello di un PDP11 della Digital... vedete
    > un po voi...

    vedo che sei vecchio... mio padre lavorava e programmava in ambiente Xenix, e costruiva dbms quando ancora database era una parola ben di la' da venire... ora non sa nemmeno mettere i numeri nella rubrica del cellulare (non sto scherzando). Cio' nonostante e' beta tester microsoft (non sto scherzando).
    non+autenticato


  • - Scritto da: munehiro
    >
    >
    > - Scritto da: ObiOneKenobi
    > > Se linux avesse una base di installato
    > pari
    > > a quella di microsoft sono sicuro che
    > > avrebbe la stessa quantità di buchi
    >
    > peccato che stiamo parlando di sistemi
    > server... in cui le statistiche sono
    > approssimativamente simili (credo 40%-20% il
    > resto altri OS)

    Probabilmente mi sto sbagliando... mi potresti fornire una fonte ufficiale nella quale viene riportata questa percentuale ?

    >    
    > > NON ESISTE IL SOFTWARE (O SISTEMA
    > OPERATIVO)
    > > PERFETTO !!
    >
    > e allora perche' pagarlo?

    Allora non usare l'auto, non usare il telefono cellulare, non usare il lettore di DVD, vivi su di un'isola deserta come Robinson Crusoe...

    Quindi se il mio sistema Linux mi molla di colpo devo alzare le braccia e dire 'tanto non l'ho pagato, non mi devo aspettare niente di più...' !?

    >
    > > P.S.: Non sono un troll, non sono di
    > parte,
    > > il mio primo sistema operativo è stato
    > > quello di un PDP11 della Digital... vedete
    > > un po voi...
    >
    > vedo che sei vecchio... mio padre lavorava e
    > programmava in ambiente Xenix, e costruiva
    > dbms quando ancora database era una parola
    > ben di la' da venire... ora non sa nemmeno
    > mettere i numeri nella rubrica del cellulare
    > (non sto scherzando). Cio' nonostante e'
    > beta tester microsoft (non sto scherzando).

    E con questo cosa vorresti dimostrare ?
    Personalmente penso che se tuo padre è beta tester microsoft è perchè, evidentemente, è una persona molto intelligente che è riuscita, nonostante l'età, a seguire i progressi tecnologici.
    Non capisco dove vuoi andare a parare...

    ObiOneKenobi
    non+autenticato


  • - Scritto da: ObiOneKenobi

    > - Scritto da: munehiro
    > ..........
    > > > NON ESISTE IL SOFTWARE (O SISTEMA
    > > OPERATIVO)
    > > > PERFETTO !!
    > > e allora perche' pagarlo?
    > Allora non usare l'auto, non usare il
    > telefono cellulare, non usare il lettore di
    > DVD, vivi su di un'isola deserta come
    > Robinson Crusoe...
    >
    > Quindi se il mio sistema Linux mi molla di
    > colpo devo alzare le braccia e dire 'tanto
    > non l'ho pagato, non mi devo aspettare
    > niente di più...' !?

    Dipende da cosa intendi con "mi molla colpo...".
    Se si rompe l'hw vai al negozio e lo compri.
    (e su questo non si discute, a prescindere dal SO)

    Se si rompe il software lo ripari (se non hai la capacita' paghi qualcuno che lo faccia per te)

    Nel caso windows se si rompe il software provi a ripararlo, se non ci riesci provi a pagare qualcuno che lo faccia, se anche lui non ci riesce ti rechi tutti i giorni in chiesa e accendi un cero, dopo ti colleghi al sito M$ e guardi se per bonta' divina e' uscita una patch per il tuo problema.

    Io non ho mai pagato nessuno per risolvere i miei problemi sw....
    non+autenticato
  • > > peccato che stiamo parlando di sistemi
    > > server... in cui le statistiche sono
    > > approssimativamente simili (credo 40%-20%
    > il
    > > resto altri OS)
    >
    > Probabilmente mi sto sbagliando... mi
    > potresti fornire una fonte ufficiale nella
    > quale viene riportata questa percentuale ?

    www.netcraft.com

    > > > NON ESISTE IL SOFTWARE (O SISTEMA
    > > OPERATIVO)
    > > > PERFETTO !!
    > >
    > > e allora perche' pagarlo?
    >
    > Allora non usare l'auto, non usare il
    > telefono cellulare, non usare il lettore di
    > DVD, vivi su di un'isola deserta come
    > Robinson Crusoe...

    non ci siamo capiti... Se io compro un lettore DVD e dopo un mese si guasta io lo riporto indietro e me lo aggiustano/cambiano gratis. Si chiama garanzia. Se si inizia a rompere ogni settimana inizio a pensare che abbia un qualche problema ben piu' grave... non pensi? Inoltre, se il dvd ha lo chassis non a terra e ti becchi la 220, la ditta che ha prodotto il dvd ti rifonde. Quali parallelismi trovi con un software ?

    > Quindi se il mio sistema Linux mi molla di
    > colpo devo alzare le braccia e dire 'tanto
    > non l'ho pagato, non mi devo aspettare
    > niente di più...' !?

    non proprio... in linux il discorso si sposta su un altro profilo: tu paghi l'assistenza, non il prodotto in se'. Se hai un problema puoi sempre trovare qualcuno disposto a correggertelo, personalizzarti il sistema, adattarlo alle tue esigenze. Chi lo fa puo' uscire da scuole differenti (non solo dalla divina scuola di Microsoft) ed e' veramente competente: non vorrai mica dirmi che un MSCP o un qualsiasi tecnico microsoft sa _veramente_ come e' fatto windows e cosa fare in caso di problemi, vero ? Chi esce da un corso redhat ad esempio riesce con un dischetto di boot a ricostruirti ground-up un sistema funzionante partendo da un sistema completamente scassato. Non vorrai mica paragonare queste conoscenze con il "piglia il cd e reinstalla" adottato da molti altri ?

    > E con questo cosa vorresti dimostrare ?
    > Personalmente penso che se tuo padre è beta
    > tester microsoft è perchè, evidentemente, è
    > una persona molto intelligente che è
    > riuscita, nonostante l'età, a seguire i
    > progressi tecnologici.

    se non riesce a programmare la rubrica del cellulare non credo...

    > Non capisco dove vuoi andare a parare...

    che se sono questi i beta tester microsoft, mi spiego molte cose...
    non+autenticato

  • - Scritto da: ObiOneKenobi
    > Se linux avesse una base di installato pari
    > a quella di microsoft sono sicuro che
    > avrebbe la stessa quantità di buchi (anche
    > perchè ci sarebbe più gente interessata a
    > trovarli...)
    >
    Scusa, ma di Linux hai anche il sorgente ...
    Ti rendi conto di quante migliaia di bug-hunter in meno ci vogliono per trovare la stessa quantità di bachi ?
    Ti rendi conto che per trovare bugs su WinNT/2000 ti servono buoni tools ed una buona conoscenza di assembler x86 (quanti ce ne sono in giro?), mentre su Linux può bastare conoscere il C ?
    Ti rendi conto che su Internet i server su Linux sono di più di quelli WinNT/2000 e trovare una falla permetterebbe di entrare su più server ? Perchè i cracker non dovrebbero essere parimenti interessati ?

    Però bachi su Linux non se ne trovano così tanti e così gravi ... cosa vorrà dire ?

    > NON ESISTE IL SOFTWARE (O SISTEMA OPERATIVO)
    > PERFETTO !!
    >
    E' vero, però ci sono sw che contengono minori bugs e software che ne contengono di più ... e la differenza si fa più ampia quando si inizia a parlare di sicurezza.

    Parlando degli OS, del resto, Win nasce come OS con tante lucine e disegnini per desktop stand-alone o connesso su piccole reti ... è ovvio che i bugs per la sicurezza sono stati tralasciati (avevano da pensare alle funzioni da appioppare alla UI).
    I sistemi *nix sono invece nati come OS per server dove la sicurezza è stata ampiamente tenuta in considerazione ... magari a discapito di altri aspetti (come ad esempio la UI).
    Linux poi ha il codice sorgente disponibile ... cosa vuoi di più ?

    Comunque, il sistema operativo migliore è quello che si confà più alle tue esigenze:
    Vuoi la compatibilità con le applicazioni per client perchè non le trovi per sistemi *nix ? Usa Windows.
    Vuoi un sistema affidabile e sicuro per server ? Usa sistemi *nix (o altri OS che ti permettono un livello analogo o superiore di sicurezza).

    > il mio primo sistema operativo è stato
    > quello di un PDP11 della Digital... vedete
    > un po voi...
    Vabbè sono un po' più giovane: il mio primo sistema operativo è stato il VMS di un V8700 ...
    Ma proprio per questo voglio aggiungere una piccola nota: in Windows NT/2000, ad esclusione delle ACL riviste e corrette (ovviamente in peggio: guarda come funzionano ora), *non* è rimasto più molto nè di VMS come OS, nè del resto del suo supporto per la sicurezza (nel caso ti possa aiutare a sopprimere un po' di "romanticismo"/"nostalgia" residui).
    Diciamo che in questo momento (VMS+1) != (WNT) più che mai.

    Gano
    non+autenticato
  • Propongo come sempre delle semplici osservazioni relativamente all'argomento:

    1) Quanti Service Packs, HotFix e patch sono usciti negli ultimi ... 4 mesi?

    2) Chi ha avuto tanti problemi con prodotti di altre software house diverse da Microsoft? Questi elencati sono tutti prodotti VALIDI che, guarda un pò che strano, al momento dell'installazione non danno tutti i casini rispetto ai prodotti Microsoft: Adobe Photoshop, Adobe Acrobat Reader, Borland Delphi, Macromedia Dreamweaver, Macromedia Flash.

    Osservazioni:
    1) Non credo che tutto ciò sia dovuto al caso... diciamo piuttosto che Microsoft commercia i software, li fa provare agli utenti... sulla loro pelle... e poi fa applicare il service pack.
    2) Non concordo affatto con Tagliaferri perchè ci sono altre software house che fanno il lavoro egregiamente, meglio di Microsoft (de facto Macromedia sta diventando lo standard per lavorare in InterNET)
    non+autenticato
  • - Scritto da: Francesco Tinti
    > Propongo come sempre delle semplici
    > osservazioni relativamente all'argomento:
    >
    > 1) Quanti Service Packs, HotFix e patch sono
    > usciti negli ultimi ... 4 mesi?

    tanti.

    > 2) Chi ha avuto tanti problemi con prodotti
    > di altre software house diverse da
    > Microsoft? Questi elencati sono tutti
    > prodotti VALIDI che, guarda un pò che
    > strano, al momento dell'installazione non
    > danno tutti i casini rispetto ai prodotti
    > Microsoft: Adobe Photoshop, Adobe Acrobat
    > Reader, Borland Delphi, Macromedia
    > Dreamweaver, Macromedia Flash.

    si ma non facciamo confusione... quelli sono prodotti che non compromettono la sicurezza del sistema. Certo.. probabilmente (ed e' gia' successo) il player flash potrebbe avere un baco tale da andare in buffer overflow sull'esecuzione di un certo .swf maligno, e grazie a questo baco puo' lanciare processi sul pc dell'utente, ma non puoi paragonare una debolezza di adobe photoshop con una di IIS. Quella di adobe al massimo ti fa crashare il programma (e perdi il lavoro). Quella di IIS ti compromette il sistema.

    > Osservazioni:
    > 1) Non credo che tutto ciò sia dovuto al
    > caso... diciamo piuttosto che Microsoft
    > commercia i software, li fa provare agli
    > utenti... sulla loro pelle... e poi fa
    > applicare il service pack.

    questo e' vero.. ma in una logica di marketing e' perfettamente normale... in piu' dato che per l'utente comune esiste solo microsoft non si pone nemmeno il problema se quello che acquista e' garantito o meno. Microsoft non si assume responsabilita' se per caso succede un macello per colpa di un loro software bacato. Quanti di voi comprerebbero un frullatore se poi sapete che se si spacca e vi frulla un dito la ditta che l'ha prodotto non vi rifonde?

    Siamo d'accordissimo che il software e' complesso... ma anche uno shuttle e' complesso, anche un ponte e' complesso, anche un robot che fa le operazioni al cuore con il chirurgo oltre oceano e' complesso... ma funziona.

    > 2) Non concordo affatto con Tagliaferri
    > perchè ci sono altre software house che
    > fanno il lavoro egregiamente, meglio di
    > Microsoft

    il problema e' che microsoft ha dalla sua parte la massa dell'utenza. Quello che microsoft vuole far diventare standard, lo diventa, e rende qualsiasi altro concorrente non interoperabile.

    > (de facto Macromedia sta
    > diventando lo standard per lavorare in
    > InterNET)

    finche' microsoft glielo consente (e sinceramente non mi stupirei se billy avesse una parte delle azioni macromedia) esattamente come continua a consentire a mac (di cui guarda caso un 10% e' di microsoft) di vivere fornendogli office e IE.

    ad ogni modo, macromedia sara' uno standard se vuoi internet un grande spot pubblicitario. Per chi usa internet seriamente, flash e' solo una gran stronzata: e' pesante, e' inutile, i motori di ricerca non indicizzano i contenuti, e' tecnologia proprietaria. bastano come motivi?


    non+autenticato
  • l'unica cosa che potrebbe dannegiare macromedia potrebbe essere la decisione M$ di creare un... nuovo... utilissimo... indispensabile ... $$$$flash...

    in merito al resto la tua e' un'analisi superficiale.

    io opero nella cartografia online (che non e' proprio un affaruccio da poco...)e il futuro delle mappe modulari e' flash per tutta una serie di ragioni fra cui, tu non ci crederai, il peso...

    e se provi a pensarci magari capisci anche il perche'... forse
    >;-D

    > ad ogni modo, macromedia sara' uno standard
    > se vuoi internet un grande spot
    > pubblicitario. Per chi usa internet
    > seriamente, flash e' solo una gran
    > stronzata: e' pesante, e' inutile, i motori
    > di ricerca non indicizzano i contenuti, e'
    > tecnologia proprietaria. bastano come
    > motivi?
    >
    >
    non+autenticato
  • > in merito al resto la tua e' un'analisi
    > superficiale.
    >
    > io opero nella cartografia online (che non
    > e' proprio un affaruccio da poco...)e il
    > futuro delle mappe modulari e' flash per
    > tutta una serie di ragioni fra cui, tu non
    > ci crederai, il peso...
    >
    > e se provi a pensarci magari capisci anche
    > il perche'... forse

    siamo perfettamente d'accordo. Per quel tipo di applicazioni un formato vettoriale e' il top, ma dato che (purtroppo) strumenti utili spesso sono usati per scopi tutt'altro che utili, converrai con me che caricare un flash da un mega per vedere una cazzata e' solo uno spreco.
    non+autenticato
  • quello di chi non legge la policy e se lamenta che gli spostano i messaggi !!Occhiolino

    ancoraaaaaaaaaa?!?!?

    chissa' se un giorno ci saranno dei sistemi per tappare certe falle di questo tipo !!! altro che microsoft, win2000, iis....

    mmh ma ora come faccio a non farmi spostare sto OT? dico che Tagliaferri e' un mito ?Occhiolino) che e' un pessimista ? tutteddue ok!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)