Saturday’s Talks: una lista delle 6 peggiori idee in ambito sicurezza informatica scritta nel 2005 può essere considerata valida oggi?

0
44
CyberSecurity

Tra le prerogative essenziali della scienza informatica vi è sicuramente l’evoluzione. Anche solo osservando gli ultimi 10 anni della storia informatica si nota come i concetti stessi di workload siano stati totalmente stravolti. Si è vissuta una transizione evidente da datacenter di proprietà pieni di server che virtualizzavano macchine ad ambienti cloud che erogano applicativi in modalità scalabile mediante container.

E questo è solamente uno dei tanti esempi che si potrebbero fare, e si potrebbe andare ancora più indietro, quanti hanno iniziato ad usare Linux installandolo mediante Floppy Disc, che dovevano essere montati a mano?

Insomma, per quanto quindi sia complicato (anche se certamente non impossibile) fare previsioni sul futuro è possibile comunque osservare il passato, ad esempio per capire cosa vale la pena mantenere e cosa scartare. Specialmente quando si parla di sicurezza.

È per questo che, dopo essermi imbattuto in questo articolo del 2005 scritto dall’utente mjr, al secolo Marcus Ranum, dal titolo The Six Dumbest Ideas in Computer Security (traducibile con “le 6 idee più idiote in ambito di computer security”) mi sono chiesto se, nonostante siano passati quasi 20 anni dalla stesura di quell’articolo, le idee in esso riportate sono ancora attuali.

Per rispondere partiamo anzitutto dalla lista:

Default permit: nella sua più pratica esemplificazione, aprire il firewall a tutto e poi chiudere solo quello che interessa.

Enumerating Badness: riassumibile con proteggersi da specifiche vulnerabilità, senza in realtà adottare un approccio di sicurezza globalizzato e generale.

Penetrate and Patch: in cui sostanzialmente si da il proprio sistema in mano a un espertone (a volte con proprio le chiavi di accesso, perché quelle servono) e poi, in base ai rilevamenti, si attuano le contromisure.

Hacking is Cool: ed è l’alimentazione dell’idea che individuare i problemi (e magari mettere in difficoltà intere organizzazioni) sia figo.

Educating Users: citando il worm “Anna Kournikova”, famosissimo virus che nel 2001 in cambio di un click su di un .exe prometteva foto senza veli della famosa (al tempo) tennista, ecco la riflessione secondo cui educare gli utenti significa dover “patchare” gli utenti ogni settimana, processo stupido, oltre che impossibile.

Action is better than inaction: che cita Sun Tsu secondo cui “Spesso è più facile non fare qualcosa di stupido che fare qualcosa di intelligente”.

Il panorama informatico in cui questo articolo è stato scritto è palesemente molto diverso dall’attuale certo, ma non così tanto a pensarci bene. Non penso che nessuno abbia da ridire sui punti dal primo al terzo, validi allora come oggi, così come anche tolta tutta la vena di romanticismo che il punto quattro porta con se, in realtà ci si rende conto che effettivamente l’hacking is cool menzionato qui è proprio una brutta idea da passare.

Sul punto 5 è interessante notare questa previsione riportata nell’articolo:

My prediction is that in 10 years users that need education will be out of the high-tech workforce entirely, or will be self-training at home in order to stay competitive in the job market. My guess is that this will extend to knowing not to open weird attachments from strangers.

La mia previsione è che tra 10 anni gli utenti che hanno bisogno di istruzione saranno completamente fuori dalla forza lavoro high-tech, o si auto-istruiranno a casa per restare competitivi nel mercato del lavoro. Immagino che questo si estenderà al sapere di non aprire strani allegati da sconosciuti.

Interessante perché non si è verificata, ed anzi, è ben lungi dal farlo, in un contesto dove chiunque con uno smartphone si sente autorizzato a definirsi esperto di informatica ed ancora oggi gli allegati conosciuti sono tra le prime cause di infezioni da malware e virus.

Infine il punto 6 è forse l’unico su cui è davvero il caso di notare una netta discrepanza rispetto a quanto è considerato buona norma oggi: fermo restando l’utilizzo del raziocinio, è stato dimostrato come l’approccio proattivo dello shift-left è nella sostanza indispensabile per rendere le pipeline di produzione dei software realmente vicine al concetto di sicurezza.

Ed a proposito di questo, e di come in realtà lo shift-left sia ben lungi dall’essere una pratica universalmente adottata, una cosa certamente non è cambiata dal 2005 ad oggi, e sono le schermate blu di Windows.

CrowdStrike docet.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.E, sì, mia mamma usa Linux dal 2009.

Fonte: https://www.miamammausalinux.org/2024/07/saturdays-talks-una-lista-delle-sei-peggiori-idee-in-ambito-sicurezza-informatica-scritta-nel-2005-puo-essere-considerata-valida-oggi/
Visited 1 times, 1 visit(s) today

LEAVE A REPLY

Please enter your comment!
Please enter your name here