Chi di voi mi segue assiduamente (grazie!) può testimoniare che questo blog ha da sempre evitato fermamente di scivolare in facili guerre di religione sulla superiorità di questo o quel sistema operativo rispetto alle problematiche di sicurezza. Avrei potuto tante volte riportarvi i report di vulnerabilità del CERT sulle piattaforme concorrenti di Microsoft per tentare di equilibrare l'evidente squilibrio di enfasi che la stampa pone sulle vulnerabilità Microsoft rispetto al disinteresse verso quelle non-Microsoft, ma ho sempre tralasciato questo atteggiamento di "marketing" negativo, preferendo sempre di gran lunga raccontarvi tutti i grandi progressi che Microsoft sta realizzando sul tema sicurezza, passo dopo passo, da quando (negli anni 2000-2003) ha dovuto reagire a quell'importante danno di immagine e di credibilità provocato dalla diffusione dei temibili worm (CodeRed, Nimda, Slammer, Sasser...). Questo lungo preambolo mi serve per ribadire ulteriormente che il fine con cui vi segnalo queste due notizie sulle problematiche di sicurezza che sta affrontando la piattaforma Apple non è quello di chi, come direbbe Confucio, "seduto sulla riva del fiume vede finalmente passare il cadavere di uno dei suoi nemici...".

Prima notizia: quasi sicuramente avete tutti letto del fulmineo successo nell'attacco all'Apple MacBook Air durante la gara PWN2OWN tenuta durante la conferenza CanSecWest. Per valutare in modo più equilibrato come emerge il confronto tra i diversi sistemi è bene che leggiate come si siano evolute le regole della gara: notate come l'articolo cerchi di far notizia con il fatto che Windows Vista sia stato il secondo a cadere, per poi leggere che ciò sia stato possibile grazie ad una vulnerabilità di Adobe Flash (!!). Avrei voluto capire se Linux fosse stato analogamente equipaggiato con gli stessi plug-in Adobe e, nel caso, quali aspetti del sistema operativo abbiano permesso di rimanere immune all'attacco che invece ha funzionato su Vista: peccato che questi dettagli tecnici nessuno riesca mai a darli... :-(... Anche l'articolo di Luca Annunziata su Punto Informatico fa emergere interessanti interrogativi su quali dinamiche partigiane possano nascondersi dietro queste gare...

Prima considerazione: come Roberto Scaccia, mi trovo a ribadire da un lato la sorte comune di TUTTO il software nel doversi evolvere per ridurre le vulnerabilità di sicurezza, dall'altro a segnalare l'importanza fondamentale dei processi di sviluppo di codice sicuro, quello che per Microsoft è l'SDL (ve lo ripeterò fino alla noia...). Nel caso in oggetto: Vista poteva essere super blindato, ma se Adobe Flash non lo era siamo punto e a capo...

Seconda notizia: il paper "0-Day Patch - Exposing Vendors (In)security Performance" di due ricercatori svizzeri esposto al BlackHat Europe 2008 ha evidenziato un confronto Microsoft-Apple che risulta impietoso per la credibilità degli aspetti di sicurezza di Apple (soprattutto alla luce dei proclami con cui Apple ha vantato tale superiorità...). Lascio il commento alle parole di Ollmann dell' ISS X-Force Team di IBM che scrive:

"In essence, with their “0-day Patch” metrics, they managed to show just how far Apple is trailing Microsoft in security patch responsiveness – in fact, after inspecting their graphs, Apple appears to be trending entirely in the wrong direction; more vulnerabilities, longer patching times, more 0-days, etc. – not the sort of thing we expect from a well known software vendor.".

Seconda considerazione: sempre Ollmann ipotizza il motivo di tale "wrong direction":

"Apple’s  biggest problem appears to be that they treat every new vulnerability as a potential PR disaster rather than an opportunity to visibly reinforce their work in securing their customers."

Si può provare a muovere qualche critica alla gestione delle vulnerabilità da parte di Microsoft ma di sicuro non si può dire che lo sforzo sia mirato alla difesa dell'apparenza rispetto alla sostanza della difesa dei clienti e dell'affidabilità del business che essi realizzano con la nostra piattaforma.

E' per questo che non godo a leggere queste notizie: lo spirito è quello di chi vede che nessuno (Apple in questo caso) sia stato in grado di imparare la lezione dalla esperienza di Microsoft dei primi anni 2000 e sfruttare strategicamente questo vantaggio. Qual'è il triste risultato? Gli utenti sono costretti a vivere nuovamente il disagio di soluzioni (anche recenti!) che non sembrano aver contemplato la sicurezza in modo nativo, e che potrebbero essere oggetto di nuove minacce visto l'evidente aumento della diffusione di dispositivi Apple: è come se la strada verso la realizzazione del Trustworthy Computing si stesse riallungando... :-(

Share this post :