Saturday’s Talks: una lista delle sei peggiori idee in ambito sicurezza informatica scritta nel 2005 può essere considerata valida oggi?

Tra le prerogative essenziali della scienza informatica vi è sicuramente l’evoluzione. Anche solo osservando gli ultimi dieci anni della storia informatica si nota come i concetti stessi di workload siano stati totalmente stravolti. Si è vissuta una transizione evidente da datacenter di proprietà pieni di server che virtualizzavano macchine ad ambienti cloud che erogano applicativi in modalità scalabile mediante container.

E questo è solamente uno dei tanti esempi che si potrebbero fare, e si potrebbe andare ancora più indietro, quanti hanno iniziato ad usare Linux installandolo mediante Floppy Disc, che dovevano essere montati a mano?

Insomma, per quanto quindi sia complicato (anche se certamente non impossibile) fare previsioni sul futuro è possibile comunque osservare il passato, ad esempio per capire cosa vale la pena mantenere e cosa scartare. Specialmente quando si parla di sicurezza.

È per questo che, dopo essermi imbattuto in questo articolo del 2005 scritto dall’utente mjr, al secolo Marcus Ranum, dal titolo The Six Dumbest Ideas in Computer Security (traducibile con “le sei idee più idiote in ambito di computer security”) mi sono chiesto se, nonostante siano passati quasi vent’anni dalla stesura di quell’articolo, le idee in esso riportate sono ancora attuali.

Per rispondere partiamo anzitutto dalla lista:

  1. Default permit: nella sua più pratica esemplificazione, aprire il firewall a tutto e poi chiudere solo quello che interessa.
  2. Enumerating Badness: riassumibile con proteggersi da specifiche vulnerabilità, senza in realtà adottare un approccio di sicurezza globalizzato e generale.
  3. Penetrate and Patch: in cui sostanzialmente si da il proprio sistema in mano a un espertone (a volte con proprio le chiavi di accesso, perché quelle servono) e poi, in base ai rilevamenti, si attuano le contromisure.
  4. Hacking is Cool: ed è l’alimentazione dell’idea che individuare i problemi (e magari mettere in difficoltà intere organizzazioni) sia figo.
  5. Educating Users: citando il worm “Anna Kournikova”, famosissimo virus che nel 2001 in cambio di un click su di un .exe prometteva foto senza veli della famosa (al tempo) tennista, ecco la riflessione secondo cui educare gli utenti significa dover “patchare” gli utenti ogni settimana, processo stupido, oltre che impossibile.
  6. Action is better than inaction: che cita Sun Tsu secondo cui “Spesso è più facile non fare qualcosa di stupido che fare qualcosa di intelligente.”.

Il panorama informatico in cui questo articolo è stato scritto è palesemente molto diverso dall’attuale certo, ma non così tanto a pensarci bene. Non penso che nessuno abbia da ridire sui punti dal primo al terzo, validi allora come oggi, così come anche tolta tutta la vena di romanticismo che il punto quattro porta con se, in realtà ci si rende conto che effettivamente l’hacking is cool menzionato qui è proprio una brutta idea da passare.

Sul punto cinque è interessante notare questa previsione riportata nell’articolo:

My prediction is that in 10 years users that need education will be out of the high-tech workforce entirely, or will be self-training at home in order to stay competitive in the job market. My guess is that this will extend to knowing not to open weird attachments from strangers.

La mia previsione è che tra 10 anni gli utenti che hanno bisogno di istruzione saranno completamente fuori dalla forza lavoro high-tech, o si auto-istruiranno a casa per restare competitivi nel mercato del lavoro. Immagino che questo si estenderà al sapere di non aprire strani allegati da sconosciuti.

Interessante perché non si è verificata, ed anzi, è ben lungi da farlo, in un contesto dove chiunque con uno smartphone si sente autorizzato a definirsi esperto di informatica ed ancora oggi gli allegati conosciuti sono tra le prime cause di infezioni da malware e virus.

Infine il punto sei è forse l’unico su cui è davvero il caso di notare una netta discrepanza rispetto a quanto è considerato buona norma oggi: fermo restando l’utilizzo del raziocinio, è stato dimostrato come l’approccio proattivo dello shift-left è nella sostanza indispensabile per rendere le pipeline di produzione dei software realmente vicine al concetto di sicurezza.

Ed a proposito di questo, e di come in realtà lo shift-left sia ben lungi dall’essere una pratica universalmente adottata, una cosa certamente non è cambiata dal 2005 ad oggi, e sono le schermate blu di Windows.

CrowdStrike docet.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

5 risposte a “Saturday’s Talks: una lista delle sei peggiori idee in ambito sicurezza informatica scritta nel 2005 può essere considerata valida oggi?”

  1. Avatar Giacomo Perin
    Giacomo Perin

    Io in quel periodo facevo il cugino smanettone che metteva su i siti internet aggratis. Ho smesso quando ho testato con mano (sbattuto la testa) sui punti elencati sopra… Ho scoperto che certe cose se non le affronti seriamente, stai facendo una cazzata

  2. Avatar Raoul Scarazzini

    Beh la cosa ti fa onore, anche perché se una cosa chiara emerge, è che gira e rigira i problemi sono quelli da sempre, oggi sono forse solo più amplificati dal fatto che chiunque, ovunque, ha un accesso internet.

  3. Avatar JustATiredMan
    JustATiredMan

    Ma al punto uno, veramente scrivevano:: "aprire il firewall a tutto e poi chiudere solo quello che interessa." ?
    non è un errore di traduzione ?

  4. Avatar JustATiredMan
    JustATiredMan

    beh… almeno hai avuto l'onestà intellettuale di averlo capito, e magari ti sei evoluto o migliorato.
    Il grave dei "cuggini", è sempre stato quello, non tanto perchè non avessero le competenze (per carità nessuno nasce "imparato"), ma proprio per l'arroganza di essere quelli che "sapevano tutto". Personalmente credo siano concausa nell'aver rovinato il settore dell' IT in italia, e dell'arretratezza del settore nel nostro paese.
    Poi ovviamente sono un ingranaggio che si innesta in un contesto più ampio, dove in italia l' IT, sopratutto nelle piccole/medie aziende, è sempre stato considerato più un costo inevitabile, e quindi da tenere al minimo, piuttosto che un occasione di avanzamento… ma vabbè… il discorso diventerebbe troppo lungo, e forse, fuori luogo

  5. Avatar Raoul Scarazzini

    Direi proprio di sì, citando: "Back in the very early days of computer security, network managers would set up an internet connection and decide to secure it by turning off incoming telnet, incoming rlogin, and incoming http://FTP." quindi sì, è quello che intende, e chiaramente la giudica un'idea idiota.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *