[Tech] Nuova falla in Windows, gli esperti: responsabilita' legale per Microsoft

Dopo l'annuncio fatto mercoledì, ieri Microsoft ha rilanciato l'allarme su di una serie di nuove falle nella sicurezza di diverse versioni di Windows che potrebbero aprire la strada a una replica di quanto accaduto in agosto col worm virus Blaster (conosciuto anche come MS Blast, Lovesan, Lovsan):

"We have to assume the worst," said Jeff Jones, senior director of trustworthy computing security at the world's largest software maker.



Jones urged computer users to activate firewall features and automatic update services in the latest versions of Windows, and also to keep any anti-virus software up to date.

Alcuni esperti in sicurezza hanno colto l'occasione per esprimere un giudizio pesantemente negativo sulla Trustworthy Computing Initiative lanciata ormai quasi due anni fa da Microsoft, e per suggerire l'idea di "costringere" Microsoft e gli altri produttori di software a prendere finalmente sul serio il problema della sicurezza rendendoli legalmente responsabili dei danni causati dai loro prodotti.

The recent spate of Blaster variants and e-mail worms like Sobig, which take advantage of holes in Microsoft software, indicates that Microsoft's much vaunted 21-month-old Trustworthy Computing initiative is not working, said Fred Cohen, principal security strategies analyst at the Burton Group consultancy.



"They're not building more secure code, and people will continue to exploit it until they do," said Cohen, who coined the term computer "virus" 20 years ago.



Part of the problem is Microsoft researchers are accustomed to testing software to make sure features work, not to try to break it or find holes, said Chris Wysopal, research direct of consultancy AtStake.



"There is a cultural shift that has to happen with software testers," he said. "I don't think that shift has really happened anywhere yet."



The only way to force Microsoft, and other software makers, to write software with fewer holes is to hold them legally liable for problems that result from faulty applications, the experts agreed.



"You have to give the incentives to fix the problem," said Schneier. "These attacks are all due to programming errors that are exploited by an attacker."

Pur riconoscendo che il problema esiste, personalmente non ritengo che questa strada sia percorribile: tutti i software di una qualche complessità in commercio, dai sistemi operativi come Windows e Linux all'ultimo dei programmi verticali del tipo "gestione-qualche-cosa" (dentisti, officine, condomini, e chi più ne ha più ne metta) sono afflitti da decine, centinaia, a volte migliaia di bug che in molti casi potrebbero essere sfruttati dai cracker o dagli script-kiddies di turno per scopi malevoli.



Il punto è che il software totalmente privo di bug non esiste e non esisterà mai, è una chimera: nessun prodotto complesso come un sistema operativo, un videogame, un gestionale di fascia alta o un OPT come MS Office e i suoi concorrenti potrà mai essere totalmente indenne da ogni e qualsiasi difetto di programmazione, quindi non potrà mai essere abbastanza "sicuro" da mettere il suo produttore al riparo da una eventuale azione legale.



Inoltre, ogni singolo software interagisce con altri programmi, in modi e con risultati a volte imprevedibili, e può essere installato o configurato male da utenti o amministratori di sistema non sufficientemente esperti e consapevoli di quello che stanno facendo: di chi è la responsabilità, in questi casi?



Il discorso non vale solo per il software proprietario, ma anche per il software open-source o "libero": per dire, secondo un recente studio di una security company inglese il sistema operativo maggiormente attaccato (con successo) durante il mese di Agosto è stato Linux, e non Windows.



Un dato sconcertante, per certi aspetti, visto che Linux viene spesso definito (correttamente, secondo me) come un sistema operativo "intrinsecamente" molto più sicuro di Windows.



Una spiegazione viene fornita da un portavoce della stessa azienda che ha condotto la ricerca:

The proliferation of Linux within the on-line server community coupled with inadequate knowledge of how to keep that environment secure when running vulnerable third-party applications is contributing to a consistently higher proportion of compromised Linux servers.

Insomma, la "colpa" in realtà non va attribuita a Linux, ma ai troppi dilettanti allo sbaraglio che si improvvisano amministratori di sistema senza sapere niente o quasi in tema di configurazione avanzata dei server e di sicurezza informatica.



Stesso discorso per la percentuale, comunque piuttosto alta, di server Windows attaccati con successo: molti in agosto hanno "capitolato" a causa di una inadeguata protezione contro virus come Blaster o Sobig da parte di persone che non si sono premurate di scaricare le patch di sicurezza messe a disposizione da Microsoft e non hanno configurato correttamente i propri sistemi - anche qui, le (innegabili) debolezze intrinseche di Windows sono state amplificate a dismisura da "tecnici" o da "utenti avanzati" non all'altezza della situazione: dove inizia, in casi come questi, la responsabilità delle software house e dove quella dei loro clienti?