jump to navigation

È nata prima la policy di sicurezza o il workaround? lunedì 2 aprile 2012

Posted by andy in Information Security.
Tags: , ,
add a comment

Oggi mi stava venendo da ridere; molto probabilmente non vi racconterò nulla di nuovo, ma è interessante per scattare l’ennesima fotografia dei problemi che un responsabile della sicurezza delle informazioni si trova a dover affrontare quotidianamente.

Non faccio il nome della società di cui vi parlo, sia perché si dice il peccato e non il peccatore, sia perché sarebbe irrilevante ai fini del discorso; vi basti sapere che è una società di rilevanza mondiale, e direi una delle due top nel proprio settore.

Stiamo parlando di una società con policy di sicurezza così ben fatte e così ben applicate che risulta praticamente impossibile lavorare (almeno per una mentalità  snella e libera come può essere quella italiana).

Tra le policy, ovviamente, l’impossibilità di utilizzare dispositivi USB, il divieto (e l’impossibilità) di collegare alla rete aziendale qualsiasi dispositivo non aziendale e non autorizzato.

Situazione: riunione tra partners per la redazione e finalizzazione di un’offerta (ovviamente, molto corposa).

La riunione si tiene praticamente nell’equivalente di un bunker, completamente schermato dalle radiofrequenze, e quindi senza la disponibilità della telefonia mobile.

È uno di quei momenti topici in cui tutti devono scambiarsi documenti, aggiornamenti, revisioni, correzioni …

Come fare? Impossibile passarsi i documenti via USB, né via rete locale (gli ospiti non possono collegarsi alla rete).

Gli ospiti non possono neppure trasferire i propri file veicolandoli attraverso la rete mobile, per mancanza di copertura.

Etc. etc. etc.

Le soluzioni adottate sono state sostanzialmente due:

  1. utilizzo di un hard disk volante (forse non avete ben inteso: non un hard disk USB, bensì uno smontato da un PC del cliente, inserito in un PC dell’ospite, caricato di documenti, e ritrasferito nel suo computer originale);
  2. invio dei documenti (ovviamente altamente riservati) utilizzando caselle di posta personali (GMail) dei vari interlocutori;

Per fortuna il responsabile della security non ne sa nulla, altrimenti rischierebbe di perdere il sonno (e forse non solo quello!) …

La sicurezza nello sviluppo SW: come incentivarla giovedì 31 marzo 2011

Posted by andy in Information Security, Miglioramento.
Tags: , , , ,
add a comment

Sempre più spesso leggo notizie in cui emergono incidenti (informatici, naturalmente!) derivanti da software sviluppato con pochi, o nulli, criteri di sicurezza.

Le lamentele vanno sempre in varie direzioni: i programmatori che pensano a tutto tranne che alla sicurezza, i project manager incapaci, le aziende che tagliano selvaggiamente su tutto, in primis sulla sicurezza …

Insomma, comanda il Time To Market ed il ribasso selvaggio …

Giusto o sbagliato che sia, il mercato attuale è così: il cliente non sa nulla di sicurezza, non è capace di valutare e confrontare le offerte, e peggio ancora non è capace di valutare i possibili danni derivanti da ‘incidenti informatici’.

E visto che ‘occhio non vede, cuore non duole’, si risparmia su tutto ciò che non si vede o non si conosce.

Ma il problema non è dei programmatori, o dei project manager.

Il problema è quello ribadito mille volte in mille articoli e blog diversi: pay peanuts, get monkeys.

Quello che manca è un ‘rating’ delle società che sviluppano software e, perché no? anche dei programmatori free lance.

Occorre introdurre nel mercato un meccanismo che dia visibilità ai clienti del fatto che lo sviluppo SW tenga conto o meno della sicurezza, e quanto.

Senza imbarcarsi in certificazioni di terza parte, che sono costose, ed in qualche misura si possono aggirare.

Varrebbe la pena predisporre una check-list dei principali aspetti della gestione della sicurezza nello sviluppo SW, di cui i clienti potrebbero richiedere la compilazione ai fornitori, che sarebbero così tenuti ad ufficializzare quali ‘controlli’ (nell’accezione inglese) implementano nel proprio processo di produzione SW.
I clienti potrebbero così confrontare i fornitori, e potrebbero paragonare i prezzi offerti in relazione alla sicurezza offerta.

Inoltre, in caso di incidente, il cliente potrebbe richiedere o meno la correzione dell’errore in relazione al fatto che il fornitore abbia o meno dichiarato i relativi controlli.

E a guardare più lontano, si potrebbe anche pensare di coinvolgere le assicurazioni, per la riduzione dei premi (ove applicabile).

Insomma, perché non puntare sullo scarico delle responsabilità? Se paghi per la sicurezza, hai diritto alla risoluzione dei problemi di sicurezza, altrimenti no.

sostituiamo il buon senso … martedì 12 maggio 2009

Posted by andy in Internet e società, tecnologia.
Tags: , , , ,
add a comment

l’azienda dei trasporti di Londra (TfL) ha finanziato con 400mila sterline la realizzazione di un dispositivo, l’Intelligent Speed Adaption (IPA), equipaggiato con antenna GPS, il quale è in grado di localizzare la posizione dell’automobile e, accedendo in tempo reale ad un database dei limiti di velocità, di determinare la velocità consentita dalla legge. Una volta confrontata questa con quella tenuta dall’automobilista, è in grado di controllare la potenza erogata dal motore affinché il mezzo non ecceda il limite.

Insomma, invece che educare la gente, si tende a sostituire il suo cervello con un apparecchietto elettronico stupido, in grado soltanto di limitare la velocità.

A furia di regolamentare si sta perdendo il buon senso e la capacità di ragionare.

Autostrada del sole … deserta … non c’è nessuno … faccio i 140 … autovelox … multa.
Città, passaggio pedonale di fronte ad una scuola, faccio i 50 … nessuna multa.

Mi raccontava una persona che ha vissuto per un po’ di tempo a Los Angeles che gli è capitato di veder multare auto perché rispettavano il limite delle 65 mph quando tutto il traffico andava a 70. Perché? ma è semplice! Perché intralciava la circolazione.

Non per niente la sperimentazione la faranno fare con veicoli che non supereranno mai i limiti di velocità perché costantemente immersi nel traffico: autobus a due piani, taxi, …

Vogliamo fare un altro esempio nostrano? Incredibilmente, qualcuno ha scoperto che il maggior rischio di morte sulle strade ce l’hanno i ciclisti, ancor più che i motociclisti.

Eppure, se in auto o in moto non ti funzionano le luci, ti danno la multa (in teoria, in pratica non fanno nulla, ma il codice della strada lo prevede).
Al contrario è possibile andare in bicicletta nella nebbia con il cappotto scuro, senza fanalini né catadiottri, e se un automobilista ti investe è colpa sua.

Torno a ribadire: qui non è un fatto di tecnologia; occorre soltanto tornare a ragionare (i politici per primi, ed i cittadini ancor di più, perché non votino simili incapaci).

In ogni caso, ben venga la tecnologia, così un bel giorno potremo smettere di stare al volante, e potremo impiegare il nostro tempo in modo più costruttivo, interessante ed ameno.

Effetti della politica commerciale di Microsoft per IE mercoledì 8 aprile 2009

Posted by andy in Internet e società, tecnologia.
Tags: , , , , , , , , ,
add a comment

Mi sono imbattuto in un post di un netizen che, in assoluta onestà, dice di utilizzare IE7 e di trovarsi soddisfatto.

Ad avallare questa sua scelta porta anche ragioni quali gli aggiornamenti continui di Microsoft, e la dimensione stessa dell’azienda, che garantisce stabilità e continuità nel tempo, ed una maggiore forza commerciale rispetto ad Opera, Mozilla Foundation, etc.

D’altra parte chiede come mai in tanti affermino la (presunta?) superiorità degli altri browser.

Le ragioni che portano a questo vivace confronto sono molte, ma spesso molto sottili e nascoste.

Fermo restando che la preferenza personale non va messa in discussione (ma per essere una reale preferenza, dovrebbe almeno essere supportata dall’aver provato ad utilizzare e confrontare i vari strumenti), esistono anche motivi commerciali, tecnici ed economici per cui la scelta può propendere per un browser piuttosto che un altro.

Per quanto riguarda i browser della MS, questi soffrono di scelte tecniche condizionate dalle politiche commerciali; Microsoft ha sempre cercato di consolidare il proprio mercato implementando modifiche agli standard, in modo da costringere gli utenti ad utilizzare i propri prodotti perché gli altri non implementano le specificità proprietarie dei prodotti MS  (vedi guerra dei browser tra IE e Netscape).

Quando una scelta tecnica è condizionata dalle scelte commerciali ti trovi per forza di cose ad implementare qualcosa che non è l’optimum tecnico, e questo è un fatto ben noto a tutti gli sviluppatori che si trovano a dover realizzare prodotti venduti a tavolino da commerciali senza essere stati preventivamente interpellati.

Altro aspetto che ha impatto sulla qualità intrinseca di IE è il fatto che, proprio per scelte commerciali, alcuni componenti del browser non stanno nel browser, ma nel sistema operativo; questa scelta è stata fatta da Microsoft per impedire agli utenti degli altri browser di poter usufruire appieno di caratteristiche e funzionalità che MS stessa mette all’interno dei suoi prodotti server (Exchange, SharePoint, etc.); se utilizzi IE, questo è in grado di utilizzare componenti di Windows che servono per il corretto funzionamento dell’applicazione; altrimenti sei costretto ad utilizzare interfacce scarne che sono implementazioni surrogate e limitate di quelle native di Windows.

Peggio ancora è il fatto che, proprio per il fatto che alcuni componenti del browser risiedono all’interno del sistema operativo, qualsiasi vulnerabilità del browser mette a rischio l’intero sistema; una seccatura collaterale è che alcuni aggiornamenti del browser, così come la sua installazione e (teorica) disinstallazione, richiedono il reboot del sistema, cosa che non avviene credo per nessun altro browser, che è di fatto un programma come tutti gli altri, che sta SOPRA e non DENTRO il sistema operativo.

Altra considerazione in merito al confronto tra browser proprietari e a codice aperto è che se Microsoft decide di abbandonare IE6, l’utente (e il produttore di applicazioni) non puoi farci nulla: se è costretto ad utilizzarlo perché IE7 non è per qualche motivo completamente equivalente o compatibile, ha due possibilità: o rinuncia alla propria applicazione, o rinuncia agli aggiornamenti al browser.
Con un browser open, per quanto obsoleto, è possibile decidere di farsi da soli gli aggiornamenti (o comunque di commissionarli a consulenti) in modo da portare avanti il proprio business.

Altro aspetto non irrilevante al giorno d’oggi è che i browser open sono disponibili su piattaforme anche diverse da Windows, e si comportano in modo uniforme su tutte; IE può essere utilizzato soltanto su sistemi Windows.
Se per qualche motivo si è costretti ad utilizzare per forza IE (che è gratuito), si è implicitamente costretti a pagare la licenza di Windows, anche se del sistema operativo non interessa neanche un componente.

Altro aspetto che avvantaggia i browser open è la loro modificabilità ed estendibilità, basata soprattutto sul fatto che il progetto non è condizionato da scelte commerciali ma da esigenze pratiche, e che la disponibilità di sorgenti e documentazione consente di creare personalizzazioni, plugin, estensioni etc. secondo le proprie esigenze.
Dalla parte MS ci si possono aspettare (in generale) soltanto estensioni realizzate dalla MS o da società che lo fanno per soldi, e soprattutto soltanto se in linea con le politiche commerciali dell’azienda.

Per chi realizza applicazioni, dei browser open è possibile prendere anche soltanto alcune parti del browser da integrare in applicazioni custom: con IE puoi soltanto prenderlo tutto in blocco, incluse tutte le parti che non ti servono.

La politica commerciale di Microsoft fa sì che un sito realizzato utilizzando soltanto tecniche e linguaggi standard funzioni alla perfezione con FF, Opera e Chrome: sfortunatamente altrettanto non vale per IE6 e IE7 e IE8, rilasciato nel 2009!!!!

E questo cosa significa? Significa che Microsoft sta utilizzando da anni la propria posizione dominante per costringere gli sviluppatori ad utilizzare le specificità inserite nei propri prodotti perché la principale base di installato è di IE (varie versioni), e lo sviluppatore non ha voglia di mettersi a riscrivere le medesime cose in varie forme per supportare anche gli altri browser.

Un evento a parer mio epocale è l’annuncio di Google di non voler più supportare IE6 in GMail, proprio perché costano troppo di sviluppo senza aggiungere nulla alle reali funzionalità fornite dai server.

Altro esempio? Come mai Microsoft ci ha messo tanti anni a decidersi a supportare il formato PNG delle immagini?
È un formato aperto, e nonostante tutto ancora oggi con IE6 non viene visualizzato correttamente; in tutti questi anni una piccola patch correttiva avrebbero potuto rilasciarla, visto che le capacità per gestire i GIF (che sono sostanzialmente equivalenti) e tanti altri formati delle immagini ci sono.

Se per curiosità punge vaghezza di guardare il sorgente di una pagina di Gmail, si provi a notare quante specificità ci sono per ogni browser.

Ogni ‘if’ costa tempo e denaro per lo sviluppo ed il test dei risultati prodotti.
Tutto denaro sprecato, perché basterebbe scrivere le cose una volta sola, conformandosi agli standard.

Se gli standard non sono adeguati, si estendono e si migliorano.
Per curiosità, è possibile andare a vedere i risultati dei test ACID3 di conformità agli standard dei browser.