SolarWinds: il disastro e perché è successo

Insomma, che problemi di sicurezza del software siano quasi all’ordine del giorno non è una novità. Certo è che quando un’azienda scopre che insieme al software che fornisce ai clienti sta facendo girare anche un trojan, questo è un problema. Se poi uno dei clienti è un’azienda di Redmond di nome Microsoft e che grazie a questo risultano vittime i dipartimenti dell’energia americano, la National Nuclear Security Administration ed un buon numero di Stati governativi, allora il tutto diventa un grosso problema.

È il caso discusso sulle pagine di The New Stack a seguito di quanto successo in questi giorni dell’azienda SolarWinds e del suo software Orion Platform, un sistema di monitoraggio di rete sviluppato dall’azienda stessa e distribuito come closed-source. Ma per quale motivo ne stiamo parlando su queste pagine?

Beh, semplicemente per la posizione della stessa SolarWinds rispetto al nostro amato open-source: l’azienda infatti è sempre stata una forte antagonista di questo metodo di distribuzione, affermando che “il rischio [di sicurezza, ndr.] è molto minore quando si parla di software proprietario” e che usare software open-source è come “mangiare da una forchetta sporca”. Per la società proprio la sua natura aperta, fa si che questo paradigma può portare chiunque ad inserire codice malevolo, rendendo di fatto il codice aperto molto meno sicuro di quello proprietario. Certo…

La “storia” però ci racconta una cosa molto diversa, ovvero che usare qualcosa facilmente controllabile da chiunque è sempre meglio che utilizzare una “scatola nera” di cui non si sa nulla, anche solo per il fatto che più gente guarda il codice, più sarà facile che gli errori vengano scoperti.

Given enough eyeballs, all bugs are shallow

Dato un numero sufficientemente di occhi, tutti i bug sono superficiali

Questo corollario lo si può trovare nel famoso testo “La Cattedrale ed il Bazar” di Eric S. Raymond, uno dei fondatori dell’open-source stesso, e negli anni sempre più aziende si sono accorte di quanto questo sia vero. Sia da quelle che meglio conosciamo, finanche a quelle che meno ci si aspettava riconoscessero questa cosa (come nel caso della stessa Microsoft con Azure e la sua svolta open-source di questi ultimi anni).

Certo, non è che il codice open-source sia la soluzione ultima a tutti i problemi di sicurezza, anche lui ne ha parecchi (come qualsiasi software). Ma proprio grazie alla sua apertura è possibile su di esso utilizzare sistemi di monitoraggio che ci permettono di identificare, rendere pubblici o per lo meno essere consci dei bug in maniera molto più rapida. Dal Release Monitoring di Red Hat a Replogy, passando per soluzioni di terze parti come Black Duck o Nexus Lifecycle, possiamo in diversi modi tenere sott’occhio l’andamento dei nostri software preferiti.

Inoltre la stessa Linux Foundation sta lavorando a metodologie che permettono di migliorare la sicurezza dei software open-source grazie all’OpenSSF (Open Source Security Foundation), un gruppo che mette insieme i personaggi (e le aziende) chiave nel mondo dell’open-source costruendo una community che si occupi univocamente di questo (con elementi che spaziano da Red Hat a Google, fino ad IBM, Microsoft e GitLab, per citarne alcuni).

Gli scopi di questa fondazione sono quattro:

  • Aiutare gli sviluppatori ad identificare i problemi di sicurezza
  • Fornire i migliori tool di sicurezza per gli sviluppatori open-source
  • Fornire a questi i migliori consigli su come sviluppare software sicuro
  • Creare un ecosistema di software open-source in cui il tempo necessario per sviluppare un fix e distribuirlo sia misurato in minuti, non in mesi

Alla fine, quindi, la storica battaglia open contro closed può segnare ad oggi un ulteriore punto a favore del primo, dimostrando ancora una volta che l’apertura e lo scambio di informazioni può solo portare benefici a tutti. Microsoft sembra averlo capito, SolarWinds non ancora: cosa succederà adesso?

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: