Un danno diffuso
ai sistemi di rete.
Di chi è la
responsabilità?
Un comunicato di ALCEI del 25 gennaio 2003
seguito da un breve commento
Si è diffusa la notizia che un worm progettato per infettare i server di rete che usano software Microsoft (nel caso specifico il più diffuso dei suoi sistemi database, SQL Server 2000) sta saturando le connessioni internet di molti paesi (Italia compresa), provocando notevoli disagi, con tanta maggiore intensità quanta più grande è l’ampiezza della banda a disposizione.
Tutto questo poteva essere evitato con una intelligente gestione da parte degli amministratori delle reti oggetto dell’attacco. Che non hanno aggiornato i propri server con la “pezza” pur disponibile da tempo. Ma – a monte – il problema è rappresentato dalla intrinseca insicurezza di sistemi software che, evidentemente, non sono stati progettati con la dovuta attenzione alla sicurezza.
Quanto à accaduto è la ulteriore dimostrazione dell’opportunità di utilizzare software a codice aperto (come Linux) che si sono dimostrati immuni da contagi di questo tipo. Per fortuna, mentre i prodotti Microsoft hanno il monopolio sul desktop, non è così nel settore dei server (dove è predominante il software open source e Unix). E per questo i disagi sono stati relativamente meno diffusi.
C’è infine da chiedersi come mai, mentre in altri casi chi realizza prodotti difettosi h sanzionato dalla legge per la propria negligenza, e spesso costretto a risarcire i danneggiati, il settore dell’informatica deva essere considerato “immune” da ogni responsabilità.
Questo comunicato si riferisce a un “virus replicante” che attacca i server di rete (non i personal computer) con il preciso scopo di moltiplicare la quantità di dati trasmessi e così “intasare” la rete. Benché non abbia avuto effetti “catastrofici”, è un ennesimo segnale di ricorrenti debolezze di sistemi mal concepiti.
Non è il primo caso del genere e perciò la sua diffusione dimostra quanto sia inadeguata la “cultura della sicurezza” (vedi a La sicurezza è un modo di pensare). Non solo è mancata l’installazione di una (pur tardiva) patch che avrebbe potuto evitare questo particolare incidente, ma sono mancati interventi tecnici (un po’ complessi ma possibili) che avrebbero potuto prevenire ogni sorta di “invasioni” di questa specie.
Inoltre è ancora una volta evidente, come questo comunicato fa osservare, quanto sia nociva e pericolosa l’indiscriminata diffusione di software, come quelli della Microsoft, carichi di eccessive complessità, afflitti da pericolose “permeabilità” e progettati per favorire i poteri di controllo e di invasività del produttore a scapito della sicurezza di tutti.
È una interessante “coincidenza” che questo segnale di allarme si sia manifestato pochi giorni dopo che la stessa associazione aveva messo in evidenza i problemi nel suo comunicato del 22 gennaio 2003. La sicurezza non deve diventare un pretesto per l’invasività. È estenuante, e preoccupante, constatare che dopo alcuni anni di continue rilevazioni di un’infinità di problemi derivanti dalle errate impostazioni di base di software troppo diffusi (in parte per errori tecnici, in parte per intenzionali impostazioni che giovano a chi li produce a danno di tutti gli altri) non si sia ancora sufficientemente diffusa la comprensione di quanto sia pericoloso e dannoso continuare su quella strada.
Ancora una volta, mi sembra necessario sottolineare che è banale e sbagliato definire la situazione come “concorrenza” fra due sistemi (Microsoft e Linux) e che non si tratta solo della scelta fra software “libero” o “proprietario”, ma di una fondamentale concezione culturale e di metodo perché i software e i sistemi di rete siano un servizio per tutti e non uno strumento del predominio di pochi.
Giancarlo Livraghi gian@gandalf.it