A Ovest Di Paperino

Welcome to the dark side.

In mia assenza

Siamo appena tornati a casa, dopo il lungo viaggio durato 25 ore, misurate dal momento di chiusura della porta di casa di partenza a quello di apertura della porta di casa dell'arrivo. È andato quasi tutto alla perfezione e New York si è dimostrata ancora una dogana molto meno "antipatica" da affrontare. Nel frattempo nel mondo dei bit e dei byte sono successe un bel po' di cose interessanti e a tratti divertenti:

  • Apple segnala che è disponibile un aggiornamento (di sicurezza?) per iTunes; in realtà l'aggiornamento è Safari 3.1, il browser disegnato with security in mind.
  • Quelli di Mozilla si inca**ano e senza misure etichettano Safari come malware e forse in fondo hanno ragione: Russinovich una volta disse, definendo il sistema di protezione di Sony come rootkit, che se sembra una papera, fa il verso di una papera e si comporta come una papera, molto probabilmente lo è. Come dargli torto?
  • Nel frattempo vengono scoperte due vulnerabilità critiche nella versione di Safari appena rilasciata: e per fortuna si trattava di un update (di sicurezza?) di iTunes
  • L'update infine, per ironia della sorte, viola la EULA di Safari che permetterebbe "the installation of Safari for Windows on Apple labeled hardware, thereby excluding most Windows PCs". La EULA viene prontamente corretta, i bachi non si sa: niente di anormale, visto che Apple è molto peggio di Microsoft
  • nel rilasciare patch tempestive.
  • Qualcuno prova a prendere le difese di Apple dicendo che anche Microsoft con alcuni prodotti lo fa. Per fortuna il solito Ed Bott spiega la sostanziale differenza di approccio dei due vendor e perché Apple debba prendere lezioni sulla questione da BigM
  • La vicenda sfiora il ridicolo (ed il patetico) quando si scopre che, ancora grazie a Safari, OSX è il primo sistema a cadere nelle mani degli hacker al PWN 2 OWN hacking contest; segue Vista grazie ad una vulnerabilità di Adobe Flash che a detta degli autori, con modifiche che richiedano in tutto un paio di ore, può essere adattata anche ad OSX e Linux: Ubuntu dal contest ne esce intanto indenne. Il mio commento sarcastico è che probabilmente gli hacker non sono neanche riusciti ad installare Flash su Ubuntu, visto che non si tratta certamente di una passeggiata
  • A questo punto anche i mac fan più accaniti cominciano a convergere sul fatto che la superiorità di MacOS non è mai esistita e che la mancanza di virus ed exploit per tale piattaforma è dovuta soprattutto a quote di mercato desktop, laddove appunto aprire un allegato può risultare pericoloso, finora marginali rispetto a Windows. Salvo poi concludere che *nix è "comunque superiore"

Cambierà qualcosa? Dubito, la percezione dal punto di vista del mercato e del marketing, è da sempre molto più forte della realtà. Ad esempio qualche sedicente esperto di sicurezza va ancora affermando che "SQL Server è il Database per il quale lo scorso anno sono state trovate il maggior numero di vulnerabilità":

He cited SQL Server as an example. "It had the most vulnerabilities last year of any commercial database, so scrutiny will do nothing but good for its security."(fonte).

nonostante Jeff Jones dimostri, secunia alla mano, che il numero di vulnerabilità trovate da sempre per SQL 2005 sia stato 0 (e nonostante sia stato rilasciato 2.5 anni fa) e che l'ultima vera vulnerabilità di SQL server sia datata 2004. Dov'è la differenza tra l'approccio MS e quello della concorrenza? Sia Jeff che Feliciano concordano: merito dell'SDL, di cui ho abbondantemente disquisito in passato. E sull'SDL a questo punto vale la pena citare questa storia di Michael Howard:

A few years ago I spoke to some senior technical people from a large financial organization about software security. After visiting Microsoft they were off to visit another operating system vendor. I won't name names. The financial company was very interested in our early results, and they were encouraged by what they saw because of the SDL. I asked the most senior guy in the room to ask the other company one very simple question, "What are they doing to improve the security of their product? And by that I mean, what are they doing to reduce the chance security vulnerabilities will creep into the product in the first place? And they cannot use the word ‘Microsoft' in the reply." Two weeks later, the guy phoned me and said his company would buy Microsoft products and nothing from the other company. I asked him why. He said because all they could do was make up excuses (see the list at the start for examples!) rather than admit to having numerous critical security vulnerabilities and no process to reduce their ingress.

Morale della favola: se non sono bastati 4 anni di ottima condotta per convincere gli "esperti", sicuramente non basterà l'eternità per convincere i detrattori più accaniti.

-quack

Technorati tags: , , ,