105 Strumenti di Open Source Security

Scritto da Enrico Bertini | 13 Aprile 2007

La diatriba tra i sostenitori della Open Source Security e quelli della Closed Source Security è da sempre molto accesa: dura ormai da anni, e non si è mai placata. Essa rappresenta una delle più roventi polemiche che hanno caratterizzato il mondo dell’information technology negli ultimi tempi. E si tratta di una discussione inevitabile: la security è il più grosso problema che l’informatica si trova ad affrontare. Le vulnerabilità concernenti la sicurezza dei sistemi informatici rappresentano una spina nel fianco per qualsiasi organizzazione. Le falle riscontrabili in un software costituiscono, per chiunque, una serissima minaccia da fronteggiare quotidianamente. Non c’è spazio per generalizzazioni di sorta.

è davvero importante comprendere le differenze tra Open Source Security e Closed Source Security: ne va della propria capacità di operare al riparo dai potenziali pericoli digitali. Ma le correnti di pensiero che sostengono i due modelli sono comunque d’accordo su alcuni punti: a) i problemi di sicurezza sono una prerogativa dei sistemi complessi; b) il numero di bugs esistenti in un software è correlato al numero di persone che ne manutengono il codice; c) il know how trasversale di chi si occupa di queste problematiche deve essere assolutamente di prim’ordine. Le sostanziali differenze di vedute riguardano soprattutto le filosofie e le metodologie da utilizzare nello sviluppo del software.
Esistono diverse argomentazioni pro e contro la Open Source Security, e tutte contengono una loro verità parziale.
I produttori di software commerciale (Closed Source) elencano una serie di motivi per i quali le loro applicazioni sono in realtà più sicure: alta ingegnerizzazione; maggiore security assessment; migliore auditing del software; minori bugs. In pratica, il cliente commerciale paga e pretende standard molto alti. Ma l’argomento principale a sostegno della loro tesi rimane la cosiddetta “security through obscurity”, quel principio secondo il quale la sicurezza è maggiore laddove nessuno può vedere il codice di un software (quindi neanche scovare le sue debolezze).
La Open Source Community ribatte che, rispetto al Closed Source, il numero di persone che possono vedere il codice di un software per scoprirne gli errori e le vulnerabilità è sproporzionatamente alto, di fatto potenzialmente illimitato: questo conduce verso una quintessenza metodologica delle attività di bug reporting che è più che mai efficace nelle applicazioni di larghissima diffusione. Il principio è quello della “security through visibility”, per il quale moltissimi “occhi” affidabili porteranno rapidissimamente alla luce qualsiasi vulnerabilità “nascosta” in un software: dato il numero e l’interesse degli attori in gioco, le cose dovrebbero avvenire come “automagicamente” (dal gergo “automagically”). Inoltre, il mondo Open Source applica il principio del Peer Review, che impedisce a qualsiasi malintenzionato di inserire codice malware all’interno di una applicazione.
La Open Source Community sostiene anche che l’oscurità del Closed Source (la non visibilità del modello proprietario) può anche essere un sinonimo della volontà di mantenere le vulnerabilità di un software fuori dagli occhi del pubblico: d’altronde, i produttori di software commerciale devono creare una immagine pubblica di sicurezza per proteggere le loro quote di mercato.
In conclusione, anche se l’automagia non sempre si verifica (Linux, Apache e Firefox hanno sofferto di problemi di security), le applicazioni più popolari con grosse basi di installato hanno solo di che beneficiare dalla trasparenza dell’approccio Open Source. Un dato significativo è che la Mozilla Foundation produce, testa e rilascia patches per Mozilla Firefox in meno di una settimana: la frequenza di rilascio delle patches per il Linux Kernel può addirittura essere misurata in ore (piuttosto che in giorni). Esistono anche autorevoli studi che dimostrano che il Closed Source può contenere centinaia di volte i bugs dell’Open Source.

In moltissimi si è ormai consolidata la consapevolezza che l’Open Source è più sicuro. E non si tratta più soltanto di elitarismo culturale delle Open Software Communities. Qualcuno aveva paragonato questo ad un mito. Molti rimangono ancora scettici. La vigilanza resta comunque un obbligo: c’è chi ha trovato buchi anche nelle migliori dighe.

Network Security Journal paragona la Open Source Security ad un generale in battaglia che mostra i propri piani sia ai suoi alleati che ai suoi nemici. Da un lato, i suoi nemici possono utilizzare tali piani per cercare eventuali debolezze. Dall’altro lato, invece, i suoi alleati renderanno più forti questi piani grazie al loro feedback ed al loro apporto strategico. Ecco 105 Strumenti di Open Source Security che Network Security Journal vi illustra.

Supporta Stalkk.ed

Questo è un blog di Open Consulting.
Hai trovato interessante questo articolo?
Considera di linkarlo: 105 Strumenti di Open Source Security.
Considera anche di sottoscrivere il feed RSS di Stalkk.ed, oppure di utilizzare il motore di ricerca Stalkk.ed BNS per le tue ricerche sulla tecnologia.

Articoli Correlati

• Social Bookmarking: Reddit diventa open source
• UE: l’Open Source è una scelta intelligente
• OECD: The Future of the Internet e il Malware
• Open Source: tutta la potenza di Blender
• Trends: da Linux all’Open Source al mercato
• Trends: Internet, l’Open Source e le piattaforme innovative
• Internet: la sfida dell’abbondanza
• Startups: quanto potrebbe costare avviare un’azienda tecnologica “from scratch” basata sull’open source e sul cloud computing?
• Privacy e Security: moltissimi potenziali utenti Internet ancora non si fidano della Rete
• Open Source: la crescita è esponenziale
• Trends: l’età dell’open software
• Online Security: incrementi a tre cifre percentuali delle attività dolose in Rete
• Open Source: fase GandhiCon 4 e 1000+ risorse
• OpenDNS: arriva la security comunitaria
• Security: Google informa gli utenti Internet sullo stato del malware

Commenti

• News & Buzz

  • The New York Times and LinkedIn Form Strategic Relationship
  • AGPL: quando l'open source si fa 2.0
  • Dell metterà Ubuntu su nuovi Pc
  • Schmidt: YouTube + ads = 'holy grail'
  • Blogbabel riparte
  • Licenze Dei Contenuti: Perché Gli Editori Web Devono Abbandonare Il Copyright
  • iPhone 3G è già crackato
  • Is This The Future Of Search?
  • LSDI : Giornalismo semantico: una serie di esperimenti
  • Google in camice bianco
  • Twitter going commercial?
  • Twitter Acquires Summize
  • Soldoni sonanti per chi sviluppa iPhone
  • Un milione di iPhone nel week end
  • Defrag: The Implicit Web and More
  • Y Combinator’s Slinkset Launches Hosted Reddits For The Masses
  • Garr: l'Italia è pronta per l'IPv6
  • La formula per guadagnare con AdSense
  • WordPress 2.6 in italiano
  • Monitorare le malattie con i dati di Google News