Credevo di non riuscire a vedere con i miei occhi un evento simile, temevo di andare in pensione (ancora ben lontana...;-) o di non occuparmi più degli aspetti di sicurezza (sacrilegio!) senza aver visto la luce di un evento che riuscisse ad accomunare un numero significativo di IT vendor a livello internazionale in uno sforzo congiunto di cooperazione per indirizzare finalmente i problemi di sicurezza di Internet.

E' dallo scorso aprile che, in tutte le occasioni possibili, pubbliche e private, racconto con fervore la nuova direzione dell'impegno strategico Microsoft in area sicurezza, la vision "End to End Trust", lo sforzo di contribuire a rendere Internet una rete mondiale più sicura di quanto tristemente lo sia adesso, chiamando a raccolta tutti gli attori interessati (sia tutti i fornitori di tecnologia, sia tutti coloro in grado di declinare la problematica dal punto di vista socio/politico/economico) per affrontare e dialogare sulle possibili azioni migliorative di questa infrastruttura non propriamente nata per gestire in modo nativo gli aspetti di Sicurezza e Privacy, oggi ineludibili. La parte che apprezzo di più di questa iniziativa è proprio il riconoscere da parte di Microsoft di non aver in tasca (in modo arrogante) la soluzione da imporre al mercato e di non poter pretendere (in modo presuntuoso) di risolvere un problema tanto complesso da soli: serve il contributo di tutti, sia nel pensare che nel fare. E proprio su questo aspetto cruciale della collaborazione che personalmente ho stentato ad immaginare una fattibilità facile e immediata: come si farà a conciliare gli interessi forti e spesso divergenti, che infiammano ormai tutti i giorni l'arena IT, verso un obiettivo comune quale la sicurezza di Internet, terreno sul quale si gioca anche sempre più spesso la differenziazione competitiva?

Quello che è avvenuto lo scorso martedì notte, 8 luglio 2008, apre uno spiraglio sulla possibilità che si intraprenda questo cammino virtuoso, tanto auspicato: tutte le maggiori piattaforme IT sono riuscite a correggere contemporaneamente alcune vulnerabilità che interessavano seriamente il servizio di Domain Name System (DNS), il servizio di mappatura tra i nomi dei domini web e gli indirizzi IP che rappresenta l'ossatura di Internet, dopo circa 6 mesi di collaborazione segreta (per concordare le modalità di risoluzione, trattandosi di un problema strutturale), in seguito alla segnalazione del ricercatore Dan Kaminsky (vi invito a leggere anche solo la parte iniziale del suo appassionato post "An Astonishing Collaboration").

Ecco la chiave di volta, il nostro innato istinto di sopravvivenza: di fronte alla minaccia di problemi di sicurezza davvero seri, che ci avrebbero esposto ad un tale proliferare diffuso e incontrollato di attacchi di phishing da poter rendere l'uso di Internet quasi del tutto inaffidabile, siamo riusciti ad abbandonare le divergenze e a far fronte comune.

Questo evento ha creato un importante precedente, ed è quindi possibile sperare che possa segnare l'inizio di un impegno congiunto più costante per porre finalmente mano all'innovazione strutturale di Internet.

Microsoft è impegnata in prima linea per favorire l'avvio di queste collaborazioni, e quest'occasione lo ha dimostrato in modo evidente: è presso la sua sede che il gruppo di lavoro ha avuto modo di operare per confrontarsi sulle migliori modalità di risoluzione di questi difetti del protocollo DNS, e il giorno di emissione simultanea delle correzioni è stato allineato al consueto appuntamento mensile di pubblicazione dei bollettini di sicurezza Microsoft.

Fatte queste considerazioni che danno speranza per il futuro (speriamo non troppo remoto), rimane un serio darsi da fare per indirizzare i problemi odierni: queste vulnerabilità DNS ora sono pubbliche, assieme ad una serie cospicua di correzioni da parte delle maggiori piattaforme, e bisogna correre per mettere la patch ovunque sia necessaria. La piattaforma Microsoft ha dalla sua il vantaggio di aver creato un servizio di distribuzione degli aggiornamenti (Microsoft Update) che automatizza questo processo: gli utenti Windows (tranne quelli di Windows Vista che non hanno bisogno di questa patch, in quanto versione non vulnerabile) sono già al sicuro, se non hanno optato volontariamente per la disabilitazione di questo automatismo.

E gli altri? Urge il passaparola...!

Altre considerazioni, più tecniche, sul mio security blog: "Le vulnerabilità DNS come l'asteroide di Armageddon"

Altri post/risorse correlate: