Facciamo un po’ di luce sul concetto di vulnerabilità

Error

Le vulnerabilità sono un fattore intrinseco di qualsiasi software perché sono la conseguenza di quelli che possiamo definire – usando un termine comprensibile a tutti – gli “errori umani” degli sviluppatori. Naturalmente, ci sono fattori peggiorativi, come il formato proprietario dei documenti, che rendono un software più esposto di un altro alle vulnerabilità.

Peraltro, siccome le vulnerabilità hanno un impatto diretto sugli utenti, perché i malintenzionati che sfruttano le vulnerabilità prendono possesso delle loro macchine per iniettare il malware (per intenderci: trojan, virus, keylogger, fino all’attualissimo cryptolocker) creando problemi, esiste un accordo non scritto secondo il quale le vulnerabilità non vengono utilizzate per il marketing competitivo (ovvero, non vengono citate nei documenti e nelle presentazioni, e non vengono portate all’attenzione dei giornalisti).

Questo per evitare che gli utenti – che della parola “vulnerabilità” comprendono solo la valenza destabilizzante – maturino una percezione errata del software, che li porterebbe a diffidare di qualsiasi soluzione, per motivi che solo in pochi casi sono reali. Il software è sicuro, e il software open source è più sicuro di quello proprietario.

Purtroppo, però, c’è un’azienda che rispetta questo accordo non scritto fino a quando il proprio software detiene una quota di mercato al di sopra di qualsiasi rischio (ovvero, ha il monopolio del mercato stesso), ma soffre di strane e pericolose amnesie non appena un software esce dal gruppo e comincia a infastidire la sua posizione di privilegio.

Succede quindi che nel 2008 l’improvvido fanboy di Microsoft Office, all’epoca un “giovinotto” pagato per provocare la comunità di OpenOffice per mezzo di scempiaggini distribuite sui social media senza capo e senza coda, si getta a capofitto sull’annuncio di due CVE – che per quelli competenti è l’acronimo che contraddistingue le vulnerabilità – già risolti al momento dell’annuncio stesso, e pubblicati in modo trasparente come ogni volta dalla comunità del software open source.

Forse, l’improvvido fanboy sperava che la segnalazione potesse convincere tutti quelli che all’epoca erano migrati o stavano migrando a OpenOffice – che erano tanti, e stavano aumentando a vista d’occhio – a ritornare al software proprietario.

Succede anche che nel 2016 l’improvvido fanboy di Microsoft Office, che questa volta è un ottuagenario scatenato su Twitter, si getti a capofitto sul CVE che ha colpito LibreOffice, e che è stato già risolto, come se una singola vulnerabilità fosse sufficiente a far cambiare idea a quelli che sono migrati da Microsoft Office alla suite libera d’ufficio.

Questo, lo stesso giorno che Microsoft è costretta a rinominare, per la seconda volta in un anno, Office365, scalando da Office364 a Office363 a causa di un blackout negli Stati Uniti che blocca gli utenti per diverse ore. In questo caso, il pudore avrebbe dovuto consigliare un approccio un po’ più prudente. Ma il pudore, evidentemente, non è di casa a Redmond e dintorni.

Eppure, il fanboy sfoggia un profilo LinkedIn in cui si sottolineano ampie competenze di information technology, per cui dovrebbe conoscere tutti i problemi legati alla qualità di quel software proprietario di cui è strenuo e disinteressato sostenitore.

Per questo motivo, così come avevo già fatto nel 2008, mi permetto di ricordare i dati messi a disposizione dai servizi creati o gestiti dal governo degli Stati Uniti – che non può essere certo annoverato tra i sostenitori del software open source – proprio per verificare la qualità e la sicurezza del software:

  1. secondo Coverity Scan, la qualità del codice sorgente di LibreOffice è superiore rispetto alla media del software proprietario, e il fatto che non ci sia un solo software proprietario a dichiarare in modo trasparente i propri dati non sta certo a dimostrare il contrario (perché se il dato fosse migliore…).
  2. Secondo il database dei CVE gestito dal National Institute of Standards and Technologies, negli ultimi tre anni quelli a carico di LibreOffice sono stati 10 mentre quelli a carico di Microsoft Office sono stati 151, ovvero una media di 0,83 CVE a trimestre per LibreOffice e di 0,97 CVE alla settimana per Microsoft Office. E mi fermo qui.

Prima di concludere, due precisazioni fondamentali:

  1. le vulnerabilità vengono rilevate da laboratori di ricerca specializzati, per cui non sono proporzionali alla diffusione del software, anche perché l’obiettivo di tutti è evitare che vengano sfruttate dai malintenzionati (e questo è un altro dei motivi per cui la sicurezza non può essere argomento di marketing, almeno fino a quando non arriva l’incompetente di turno a voler dimostrare il contrario della realtà).
  2. Purtroppo, il 70% delle vulnerabilità di Microsoft Office è legato al formato proprietario dei documenti, che può nascondere il malware in misura superiore ai formati standard e aperti (questo lo dice una ricerca Symantec del 2011, commissionata dal governo della Germania). Purtroppo perché le vulnerabilità legate al formato dei documenti sono quelle più pericolose per gli utenti.

Caro fanboy, la prossima volta, prima di scrivere che “la vulnerabilità di LibreOffice è un bel problema per la sicurezza”, consulta il dizionario alla voce “pudore”. Se riuscirai a capire quello che c’è scritto, eviterai la prossima topica.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here