Chiunque abbia avuto a che fare anche di sfuggita con il mondo della sicurezza informatica, per diletto o per lavoro, si è sicuramente trovato ad utilizzare alcuni dei tool più famosi del settore come nmap, wireshark ed altri ancora. La caratteristica interessante è che si tratta di software rilasciati con licenze libere.
L’utilizzo di questi strumenti è ormai una prassi consolidata presso aziende e professionisti e dimostra la qualità ed il grado di affidabilità raggiunto. A ben vedere in effetti, la maggior parte dei software censiti nei “top 125 software per la sicurezza informatica” pubblicata da sectools.org, siano scanner, proxy, sniffer, cracker o altro, è basata su Open Source.
Non che non esistano alternative proprietarie, anzi. Ne esistono e di valide e per la verità alcune di queste nate da una radice Open Source da cui è poi “sbocciato” un progetto closed, come ad esempio, lo scanner di vulnerabilità Nessus, considerato per anni uno dei migliori strumenti nel suo genere.
La storia di Nessus ricorda come sia possibile non solo la nascita di un prodotto proprietario da uno libero ma anche la creazione di un fork che continui a sviluppare lo stesso progetto con un nuovo nome (in questo caso OpenVAS è il fork che ha dato risultati migliori), lasciandolo a disposizione degli utenti sotto licenza libera.
Fin qui quanto esposto potrebbe valere per qualsiasi tipologia di software. Cosa differenzia il software per la sicurezza da altre tipologie di software Open Source? Credo che per trovare una risposta dobbiamo fare alcune considerazioni pratiche e rifarci in qualche modo alla filosofia del movimento Hacker dei primi tempi.
Se riflettiamo un momento (ma neanche tanto!) sulla superficie d’impatto tra sicurezza e sistemi informatici ci accorgiamo immediatamente che questa è immensa. Non esiste tipologia di software o di applicazione che non abbia a che fare in qualche modo con problemi di sicurezza. La sicurezza è trasversale rispetto allo scopo del sistema informatico in esame.
Guardiamo da più vicino la questione e vedremo che gli “stakeholders” (passatemi il termine) di una certa applicazione proprietaria sono coloro che sviluppano ed usano in prima persona il prodotto. Gli sviluppatori in particolare sono un gruppo ristretto e le politiche aziendali in genere vietano la divulgazione di notizie interne, in special modo quelle relative ad algoritmi, strutture dei dati, problematiche di sicurezza individuate. Nella realtà dei fatti, se usiamo un prodotto per la sicurezza proprietario non abbiamo altra scelta: dobbiamo fidarci.
E a volte, come il caso Hacking Team sembra insegnare, la fiducia è mal riposta, se fosse vero che nell’applicazione venduta è presente una backdoor.
In contrapposizione ad un modello chiuso (ricordate la Cattedrale?) l’utilizzo di software del quale si ha disposizione il sorgente e la cui qualità può essere verificata da chiunque ne abbia le capacità comporta indiscutibilmente un vantaggio in termini di affidabilità dei risultati e di fiducia che non vi siano parti di codice malevoli.
Un esempio recente in questo senso è l’audit del codice di Truecrypt effettuato da Matthew Green. Lo studio effettuato ha dimostrato come a parte alcune “sbavature” del codice non vi sono in Truecrypt le paventate backdoor inserite o fatte inserire da agenzie di intelligence.
Utilizzare software Open Source per analisi di sicurezza significa non solo avere a disposizione strumenti di qualità ma, seguendo la filosofia hacker originale, avere a disposizione un sapere ed una esperienza che nasce dalla comunità e quindi infinitamente più ampio di quanto possa essere il sapere del singolo individuo. Del resto Open Source non va inteso solo come software ma anche, più in generale, condivisione di conoscenze ed esperienze.
Un esempio nel campo della sicurezza è OSSTMM, Open Source Security Testing Methodology Manual: non software, non linee di codice, ma una metodologia per il test di sicurezza di sistemi informatici messo in forma di manuale da prendere, leggere, capire ed applicare. Non un software da scaricare e lanciare ma una grande quantità di informazioni condivise liberamente e liberamente utilizzabili.
La forza dell’Open Source è tanto grande quanto più ampia sarà la comunità che lo supporta e che soprattutto condivide le basi etiche e filosofiche del movimento.
Che la forza sia con voi, dunque. Usate e condividete, ne guadagneremo tutti.
Facebook Comments