|
img http://geeksquare.libero.it/ Stamattina ho incrociato sulla mia strada una di quelle affermazioni che mi fanno inc*****e nero! L'argomento della questione è Android, la piattaforma by Google per i Cellulari (forse sarebbe meglio dire Smartphone, oppure la parola per indicare la vera fusione fra Notebook e cellulari devono ancora inventarla... ). Ora non voglio disquisire sulla bontà del progetto, dell'idea, sul potere di Google e così via, però osservo con estrema attenzione la situazione in perenne evoluzione. È di oggi la notizia, da me letta qui, che Mr. F-Secure ha dichiarato che: «Se Android diventasse una piattaforma completamente aperta, utilizzata da molte persone, i rischi di sicurezza sarebbero sicuramente maggiori di quelli legati a Symbian.» La solita vecchia questione insomma, per i produttori di sicurezza a pagamento: se il codice è chiuso la sicurezza te la posso offrire solo io, a pagamento, se il codice è aperto chiunque con un minimo di competenza, di voglia di hackare, con un po' di culo (sì, il caso ha spesso dato una mano ai migliori hacker... ) può identificare una possibile falla. Certo non dimentico la suite F-Secure per il mio cellulare Symbian che hanno provato a farmi acquistare decine di volte... come se io non sapessi gestire da me la disattivazione del Bluetooth®! Ma davvero ci vogliono loro per far questo? (sempre più caustico, lo so...). Capite il primo punto di questo problema? O guadagno io continuando a sostenere a gran voce che il codice deve essere chiuso perché altrimenti tutti possono leggere e trovare, nonché sfruttare, le falle presenti (non aggiungo "possibili" perché non esiste codice perfetto!) - un po' come opporre il segreto di stato nei processi di interesse capitale, un classico in Italia - oppure non guadagna nessuno e tutti lavoriamo assieme per rendere del codice più funzionale e sicuro. Non voglio neanche parlare dell'altro capitale problema del notice delle falle che ha spesso diviso anche la comunità open! Quando viene identificata una falla, è bene notificarla rapidamente a chiunque oppure solo agli sviluppatori affinché correggano il problema con celerità e tirino fuori una patch? (ovviamente notificare a chiunque non esclude il dovere di porvi rimedio!). Io mi chiedo se esiste qualcuno che crede davvero a questo approccio, dato che è stata praticamente smontata in ogni sua parte! - Non notificare una falla assicura che nessun altro ne sia a conoscenza?
- Identificare una falla assicura che esista sempre e comunque un modo per sfruttarla?
- Il codice chiuso è sempre la migliore soluzione o serve solo per inserire backdoor per tutelare la sicurezza nazionale? (perdonate lo sfogo, ma non ho mai sopportato la politica USA di porre un limite alla cifratura o dover mettere fuori legge algoritmi di cifratura non sotto il loro controllo, adducendo la scusa della sicurezza nazionale!)
Insomma: Mr. F-Secure sapeva quel che diceva o doveva solo difendere il suo piccolo orticello?
|
