Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

Pubblica amministrazione e open source

In difesa di Microsoft
Messaggi ricevuti - 06.02.03

L'articolo della scorsa settimana Windows nuoce gravemente alla salute ha suscitato reazioni di segno diverso. Per stimolare la discussione riportiamo qui alcuni messaggi di lettori che non sono d'accordo con quanto abbiamo scritto e suggeriamo di leggere l'articolo di Andrea Gelpi Sicurezza: la soluzione è nei sistemi aperti.

Come sempre la Vostra Newsletter e il vostro servizio sono impeccabili.
Vorrei pero' sottolineare che Bill Gates rimane l'imprenditore N.1 nel
mondo e che comunque è un onore andare a cena con lui.
E ve lo dice una persona che usa Linux, che odia il buon Bill, che non è
Berlusconidipendente ma che pero' capisce cos'e' il business :)
Probabilmente se io fossi a cena col buon vecchio Bill passerei il tempo a
raccontargli quali buchi ho trovato su SQL7 o su WinNT, a quanto bene mi ha
fatto il suo sistema operativo e a quanto male ha fatto ai miei concorrenti.
Ma se mi invitasse a cena ci andrei di corsa.
A prescindere dalle mie idee politiche o dalle mie idee informatiche.
Se non altro per chiedergli che effetto fa avere il codice di Leonardo
appeso in soggiorno ;)
Cordiali saluti Stefania Calcagno

Ho letto l'articolo
Windows nuoce gravemente alla salute di Manlio Cammarata
e sinceramente sono sbalordito dalla irrealta' ed ingenuita' di cio'
che scrive.
Lei paragona l'uso di software Microsoft all'uso di sigarette e sembra
pensare che basti un avviso per convincere l'utente a non usarlo, forse
dimentica che nel caso delle sigarette (certo problema che tocca tutti
molto da vicino: la salute) sono anni che la scritta appare, ma che la
gente continua a fumare, ed anzi ora il numero di donne che fumano e'
aumentato.
Poi chiede una pagina scritta ...., ma Lei stesso dice che l'utente non
legge e non vuole leggere i manuali: vuole scartare il computer ed
usarlo.
Secondo il mio modesto parere il problema e' proprio questo che ora
tutti noi non vogliamo piu' assumerci alcune responsabilita' o
"seccatura", ma demandiamo tutto ad altri.
E' un problema di cultura, bisognerebbe secondo me adoperarsi affinche'
tuttti noi si usasse di piu' il cervello, si fosse piu' critici in ogni
nostra azione.
Non dovremmo dimenticarci che ogni nostra azione o scelta implica una
serie di conseguenze e non dovremmo far credere ad altri che esista la
panacea ad ogni male, nel nostro caso Lei sembra ignorare che anche
Linux o Unix che sia non e' esente da problemi, vedi i recenti problemi
con SSH.
Distinti saluti Eugenio Gozzoli

Leggendo il suo articolo, non ho potuto fare a meno di scriverle alcune
brevi considerazioni sull'argomento trattato, a mio avviso, in modo
superficiale e anche un po' partigiano :-)
tra le cose scritte mi riferisco principalmente a questi due paragrafi:
> In tutto questo il punto più preoccupante resta quello del "baco" che ha
messo a terra, rallentando le operazioni
> fino a fermarle, un grande numero di server dell'internet. In Italia si è
rivelato particolarmente grave il danno subito
> dai sistemi delle Poste, praticamente bloccati per quasi una giornata.
> Curiose reazioni si sono registrate da parte di molti esperti, o sedicenti
tali, che hanno attribuito la colpa del disastro
> più alla trascuratezza degli amministratori dei sistemi, che non avevano
installato la "pezza" disponibile da mesi, che
> alla vulnerabilità "genetica" del programma Microsoft.
Quello che mi pare strano, e' la cosiderazione del bug, come qualcosa che
dipende solo da parte di chi produce Windows e MS SQL Server, ovvero
Microsoft. Gia' in questo primo paragrafo si lascia passare come *non*
esperti chi dice che il problema reale non e' da parte di MS, ma da parte di
chi e' responsabile della sicurezza dei sistemi. Questo e' gia'
completamente falso.
> Ora è vero che la "distrazione" degli amministratori di sistema è
gravissima, in particolare quando si tratta di
> strutture di rilevante interesse pubblico. Ma è anche vero che su queste
strutture non dovrebbero essere usati
> software di cui è ben nota la vulnerabilità. In sintesi, la "catena delle
responsabilità" parte da Redmond, passa per le
> scelte politico-economiche dei grandi enti e solo alla fine si scarica
sulle spalle di chi governa le macchine. Se certi
> software non fossero intrinsecamente insicuri, il problema non si porrebbe
nemmeno (vedi anche il comunicato di
> ALCEI del 25 scorso).
In piu' nel secondo paragrafo, si fa riferimetno esplicito alla MS come
unica responsabile del problema, questo non e' vero, e non puo' essere vero,
per alcuni motivi fondamentali che riguardano lo sviluppo software in
generale.
Chiunque, e sottolineo chiunque, produce software di qualsiasi tipo dalle
applicazioni ai sistemi operativi, e' soggetto ad avere all'inerno del suo
codice delle vulnerabilita'. Dalla piccola software house alla piu' grande.
I bug sono qualcosa di inevitabile, e piu' un software e' complesso piu' si
moltiplica la possibilita' che contenga dei bug.
Ora nel caso specifico, e' veramente pura demagogia, associare il problema
alla Microsoft, perche' quel tipo di vulnerabilita' del prodotto specifico
e' noto da circa un anno, e addirittura da luglio 2002 e' disponibile
all'interno della SP3 relativa al prodotto... quindi questo significa che
chi amministra i server non solo non guarda i bolelttini relativi alla
sicurezza dei prodotti di cui e' responsabile, ma neanche si accorge che
esistono delle SP, le quali cumulano le ultime fix del prodotto... oltre ad
aggiornamenti e migliorie allo stesso. La cosa grave e da sottolineare era
proprio questa, la scarsa qualita' degli amministratori di sistema che
operano in ambiente windows.
Uno degli errori di Microsoft e' stato sicuramente il rendere i sistemi
server, apparentemente troppo semplici, e gestibili anche da chi non ha
tutti gli skill necessari, cosa ben diversa per altri sistemi come Unix,
Linux, AS/400, Solaris etc.. dove i sistemisti non hanno a disposizioni
strumenti cosi' semplici, e devono per forza di cose conoscere a fondo il
sistema per poterlo gestire.
Ora una cosa importante e' che la Microsoft ha capito questo errore di
strategia, almeno nei prodotti server, e gia' dall'uscita dei prossimi
prodotti, risentono della nuova politica di sicurezza, che non consente
installazioni semplici e gia' configurate con tutti i servizi disponibili,
che mette a rischio chi non e' capace di amministrare la sicurezza dei
sistemi. Infatti i prossimi prodotti installano il minimo necessario e con i
servizi ridotti al minimo, deve essere espressamente il sistemista a
configurare servizi aggiuntivi... piu' o meno quello che succede per sistemi
tipo unix/linux.
E un'altra cosa che non capisco e' l'atteggiamento critico sulle nuove
funzionalita' per il recupero automatico di eventuali patch o fix dei
prodotti, e' vero che chi si collega a tempo ne subisce dei costi, ma
oggettivamente non vedo una soluzione alternativa. Lo stesso succede per
*tutti* gli altri prodotti, che producono nuove versioni e fix allo stesso
ritmo di Microsoft, e per installarle bisogna fare dei download con
conseguente consumo di risorse economiche per chi si collega a tempo...
anche se i costi ci sono anche per chi ha dei collegamenti permanenti.
Un altro spunto di riflessione e' il motivo che spinge chi produce virus e
worm, a realizzarli quasi esclusivamente contro prodotti MS. Infatti i virus
che hanno attaccato server unix/linux, sono nettamente inferiori, non
perche' non contengano vulnerabilita', alcune sono anche molto note, ma
perche' e' ovvio che il bersaglio preferito e' MS. Nessuno, o quasi, si
sogna di abbattere la credibilita' del software libero... ma ovviamente di
quello a pagamento, del cattivo, di quello che si arricchisce e non mette a
disposizione i suoi sorgenti.
In conclusione, tutti gli attacchi piu' grossi effettuati ai danni di
sistemi MS, sono stati effettuati sfruttando vulnerabilita' note da tempo,
bastava leggersi i bollettini sul sito MS, e dovute alla poca attenzione dei
*sedicenti* amministratori di sistema che non si sono preoccupati di fare il
loro lavoro, rendere sicuro il sistema con le fix rilasciate dal produttore.
Queste sono le mie considerazioni, spero che possano essere utili
nell'affronatre questo problema...
grazie per l'attenzione Lino Mari