Heartbleed e la fine del supporto a Windows Xp, un’occasione per riflettere

SicurezzaSistemi OperativiWorkspace
HeartBleed

Heartbleed e il cessato supporto per Windows Xp, due problemi senza apparenti analogie, ma che offrono preziosi suggerimenti su come indirizzare le problematiche di sicurezza del comparto IT

La fine del supporto per Windows Xp con il clamore relativo suscitato dall’argomento ci era parso subito un fastidioso rumore di fondo, tanto da farci preferire altri temi. Fino ad oggi. Sì perché nel frattempo è scoppiata la bomba vera (heartbleed), praticamente in contemporanea. La Rete si è messa a sanguinare, mostrando la propria vulnerabilità, tra l’altro su uno dei dogmi e dei capisaldi che conoscevano anche i più sprovveduti cibernauti alfabetizzati e cioè che quando si vedeva un lucchetto e la sigla “https://” si poteva stare al sicuro.

Tutto da rifare. Stamattina si è scomodato persino Vittorio Zucconi, su Repubblica, per sottolineare la gravità del bug Heartbleed che tocca il cuore di OpenSSL  e cioè la funzionalità Heart-Beat, circa il 66 percento dei siti mondiali, e il 40 percento tra i primi mille più frequentati in Italia. Ne soffrono le versioni 1.0.1 e 1.0.2 beta di Open SSL, nel primo caso con opportuni distinguo ulteriori, che poco aggiungono alla nostra argomentazione.
Si badi però, HeartBleed non mette alla berlina l’architettura in sé di Open SSL, ma alcune delle sue implementazioni, uno di quei pasticci di quando si aggiornano release, si pulisce il codice, magari di fretta si perdono dei pezzi che sembrava non servissero a niente, ma qualcuno precedentemente aveva inserito a buona ragione. Tanto è che tante delle versioni precedenti non soffrono per nulla di questo baco. E per una volta chi non aveva ancora aggiornato si è salvato.

HeartBleed
HeartBleed, questo il logo sul sito di riferimento heartbleed.com

Poi è difficile accorgersene fino a quando non suonano i primi campanelli di allarme.
In questi casi rivelare al mondo il problema con estrema trasparenza può esporre ulteriormente i server a rischi, non farlo può rallentare lo sviluppo delle patch, ma anche contribuire alla crescita esponenziale dei danni. Non siamo per nulla convinti che le aziende siano piene di santi che, quando scovano rischi potenziali, non si fanno scrupoli e si preoccupano immediatamente di far conoscere il problema per risolverlo. Propendiamo più per la seconda ipotesi: “Se non è successo ancora nulla proviamo a risolverlo, e se non ci riusciamo poi chiederemo aiuto”. E’ persino ragionevole.

Ora ci sarà la corsa al cambio password, le banche molto probabilmente giocheranno allo scaricabile e aggiorneranno i contratti: tra le postille escluderanno casi come questo dalle loro responsabilità, se succederà qualcosa ai vostri soldi. Sì perché alla fine anche il problema della privacy, si risolve in un problema di quattrini. Chi li perde (o perde la privacy) – per dire – non è quasi mai chi deve realmente rimetterceli (o rimetterci la faccia, se parliamo di privacy).

Heartbleed svela un re nudo e per nulla vergine. Internet sarà un posto meno sicuro, ma come lo è sempre stato, il problema non è tanto la sicurezza in sé ma la capacità di gestirla. E’ dalla notte dei tempi che l’uomo vuole sentirsi al sicuro, senza mai riuscirci. Ci spieghiamo: questa lezione porterà, speriamo, a modificare alcune procedure di rilascio o di implementazione di Open SSL, di certo velocizzerà l’evoluzione dei sistemi di sicurezza, per arrivare presto oltre lo scambio di certificati pubblici e privati, e oltre la semplice procedura crittografia di certificati, e, su tutto, è sicuro che sarà sempre più Internet – ma già si sapeva – il luogo più idoneo per mandare in tilt i sistemi Paese. Heartbleed inoltre avrà contribuito ad aprire gli occhi alle persone, perchè guardino un pochino oltre il proprio naso e almeno si rendano conto di cosa succede quando in fondo ad http c’è anche una “S”, perché è cosa buona cambiare realmente le password, unico rimedio per limitare i danni a casa propria anche in un caso come questo.

Soprattutto vorremo però che Heartbleed, che pure con il problema di Windows Xp c’entra poco o nulla, zittisse per sempre chi in questi ultimi due anni , sapendo perfettamente che Xp invecchiava e presto non sarebbe più stato supportato, ha preferito chiudere gli occhi. Salvo poi alzare la voce al novantesimo minuto, perché non ci sarebbero stati i supplementari. Un sistema operativo a 32bit, con oltre 14 anni di vita, nato certamente non per applicazioni mission critical, ma utilizzato in tanti casi a sproposito, anche al posto di Unix e Linux – anche laddove ci sarebbe dovuto essere ben altro tipo di Os – è stato messo alla base di applicazioni chiave per la vita delle aziende, senza pensare poi che, come tutte le cose, anche i sistemi operativi, tanto più quelli consumer, diventano antiquati, anche se sembrano i meglio utilizzabili.  Il peccato più grave è proprio stato non riconoscere che nemmeno Win Xp sarebbe stato eterno, senza pensare al il tipico “piano B” di migrazione intelligente.

Per le auto d’epoca ci si rivolge all’artigiano, se serve un pezzo di ricambio introvabile, oppure lo si prende da un’auto gemella, in alcuni casi lo si trova ancora dal fabbricante. Per i sistemi operativi non valgono le stesse regole, non si può pretendere che un’azienda mantenga il supporto a tempo indeterminato su un OS di questo tipo, così da giustificare l’obsolescenza di tutto il comparto, e non c’è nessun equipe di buoni artigiani, in Microsoft, che da soli possano sopperire alla raccolta delle informazioni, da un’intera comunità, per garantire sicurezza, anche perché Windows Xp non è stato certo rilasciato sotto licenza open source.

Heartbleed in un certo senso contribuisce ad alzare il livello del dibattito, a reindirizzarci su problematiche di sicurezza che meritano di più la nostra attenzione, e la maturazione pubblica, con una presa di coscienza corretta della gravità dei problemi. Senza però per questo favorire gli oscurantisti che da bravi Savonarola probabilmente inizieranno a dire: “Ricordatevi che di Internet si può morire”. HeartBleed è il cuore sanguinante della Rete, ne servirà uno più robusto per il futuro, ma indietro non si torna.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore