Spettabile redazione,
Ritengo che sia veramente uno scandalo che ancora ci si debba preoccupare dell'intrinseca insicurezza di Outlook nella diffusione dei virus "worm" (W32.Badtrans.B@mm, da ultimo). Sono anche abbastanza stufo che tutti coloro (anche gente che scrive di diritto di informatica su riviste del settore e che si spaccia come "esperto") quando parlo dell'assurdità di utilizzare tale sistema di posta elettronica, almeno senza essere coscienti del fatto che forse solo aggiornandolo con le opportune "pezze" e con un potente antivirus lo si può utilizzare con una minima fiducia, mi guardino come se sia un pazzo o quantomeno un prevenuto. E ciò capita dal 1997, quando espressi questa opinione nel corso di un convegno su Internet e la Legge in quel di Treviso, con ampia e pubblica derisione.

Ora, grazie all'ultimo articolo apparso sulla Vostra rivista (e alle decine di messaggi ricevuti da Venerdì 23, tutti contenenti lo stesso virus, tranne un simpatico Sircam riemerso dai libri di storia), forse sarermo presi un po' più sul serio (compreso il collega Minotti con i suoi due ottimi ultimi articoli sulla sicurezza informatica, quando si dice il tempismo!).

Mi si permetta, comunque, una precisazione: la paranoia deve essere un tratto caratteristico di chiunque si occupi di sicurezza informatica, perché la realtà tende comunque a prevalere su di essa. Contro W32.Badtrans.B@mm non valgono i firewall più potenti (non possono certo considerare che il programma di posta elettronica ufficalmente registrato sia un virus, anche se forse forse...), valgono poco gli antivirus, pur aggiornati (ripeto, venerdì 23 arriva il primo messaggio, l'aggiornamento di Norton Antivirus arriva il giorno successivo!), perché è come pensare di poter alzare gli steccati quando il lupo è già nel recinto. Per la vera sicurezza occorre che, dal lato informatico

a) il produttore del software sia sensibile al problema, e non sacrifichi troppo la sicurezza in favore della facilità,
b) che vi sia una pronta informazione sui possibili bachi (insomma, che non li conoscano solo gli autori dei virus),
c) che sia possibile a chiunque analizzare la sicurezza del software utilizzato, consultando il codice sorgente.

Chi sa di cosa parlo ha subito in mente il modello opernsource (www.opensource.org), che guarda caso è, almeno sino ad ora, immune da certi tipi di attacchi, potenti, furbi, ma tutto sommato banali, e guarda caso rispetta i tre punti di cui sopra. Ma Bugtraq (www.securityfocus.com, il più famoso sito dedicato alla sicurezza, con una imponente sezione su Outlook) sa qualcosa dell'atteggiamento dei (del?) produttori nei confronti di chi informa sulle vulnerabilità, paragonato alle spie degli anni cinquanta e per cui qualcuno auspica lo stesso trattamento. Il risultato è sotto gli occhi di tutti.

Cordiali saluti

Avv. Carlo Piana Studio Legale Tamos Piana & Partners

Entro subito in argomento.

a) che uno sia costretto ad usare di "malavoglia" il calcolatore non lo esime dall'imparare ad usarlo. Mantenere sicuro un computer non è certo diventare degli informatici ma prendere l'abitudine di chiudere la porta di casa. Cliccare su un icona tutte la mattine non è certo un compito superiore alle possibilità di uno che ha preso una laurea (mi riferisco nel caso agli avvocati, ma si può estendere a tutti). Altrimenti si faccia fare da uno del mestiere un piccolo programmino che agisce per l'utente all'accensione ad aggiornare l'antivirus. E' sempre possibile fare un contratto di manutenzione. Se non c'è nulla da fare allora una bella macchina da scrivere meccanica ed uno schedario di schede di cartone. E' pur vero che la sicurezza non è soltanto una questione di hardware e software ma di persone ma questo è un discorso che mal si presta ad una email contenuta.

b) Più seria è invece la richiesta che le case produttrici di software facciano software meglio progettato ed esente, per quanto è possibile da bug. I "service pack" sembrano diventati la norma e non l'eccezione come dovrebbe essere (NT 4.0 6 SP, W2000 SP 2 per esempio) oppure interminabili file di avvisi pezze ecc. dove i prodotti Microsoft la fanno da padroni. Si potrebbe usare Linux ma su questo SO non c'è l'equivalente di Office malgrado quello che dicono - irrazionalmente - i fan.

c) Eviterei di richiedere - continuamente - l'intervento del legislatore. Non perché creda magicamente nell'autoregolazione (ma la regola che il professionista cretino alla lunga venga espulso da mercato è molto probabile) ma perché finora il legislatore in questo campo ne ha fatte di cotte e di crude. Mi sembra quell'utente che usa di malavoglia il calcolatore anzi che abbia in odio la IT e la relativa IS. Meno leggi ci sono - non sono un avvocato ma un sociologo - è meglio si sta. Perché non proviamo ad applicare quelle che ci sono invece di chiederne delle nuove oppure nel farle, oltre che conoscere l'argomento di cui si parla, ad attenerci, il più possibile, ai cinque criteri che fanno sì che un ragionamento sia un algoritmo?

Cordiali saluti, Piero Borelli