Tale of Two Rooms

In un suo commento al mio articolo “La sicurezza dell’Open Source”, Darth Vader sostiene:

“Ma veramente esiste ancora qualcuno che basa la valutazione della sicurezza di un sistema operativo su eventi di 7 anni fa (CodeRed e Nimda)? Che attaccavano sistemi non patchati di usciti nel 2000? Stiamo parlando 3 sistemi operativi fa (considerando la SP2 di XP molto più di una semplice Service Pack) mentre sul lato server siamo a 4 versioni fa del sistema operativo.

E poi si parla di sicurezza di IE riferendosi a valutazioni su IE 5.5 e 6.

Come al solito tutti questi luoghi comuni e superficialità servono solo a nascondere un atteggiamento religioso per cui Open/GNU/Linux è bello e Closed/Microsoft/Windows è merda.”

Credo che Darth Vader abbia toccato un punto importante e che meriti una risposta adeguata. Per farlo, vi racconto una favola.

La favola delle due stanze

Tra i clienti che seguiamo (anche per alcuni aspetti legati alla sicurezza) c’è una piccola (media?) azienda metalmeccanica. Il loro “impianto industriale” è un capannone della via Emilia suddiviso in tre aree: un grande laboratorio di produzione/assemblaggio (che in questo contesto non ci interessa), uno studio tecnico dove vengono progettati i vari componenti, e dove si gestisce la produzione, ed un’area adibita ad uffici per la contabilità, le vendite, il servizio clienti, la direzione ed il marketing. In questo articolo ci occuperemo solo dello studio tecnico e dell’area adibita ad uffici.

Stanza Uno

Nello studio tecnico lavorano cinque o sei persone, tutti ingegneri o periti. Per ragioni storiche (l’azienda è attiva dagli anni ’50), questo ufficio utilizza solo macchine Unix. Ha iniziato ad usare dei sistemi CAD su workstation Unix agli inizi degli anni ’80 (Con delle Apollo, delle Sun, delle IBM 6151 e delle Silicon Graphics), subito dopo aver abbandonato il tavolo da disegno ed i RapidoGraph, e continua ad usare ancora adesso Unix (workstation Sun e IBM e PC Linux). Su queste macchine girano programmi per la progettazione (CAD/CAE) e applicativi di vario tipo, dal sistema di calcolo FEA (Finite Elements Analysis), ai fogli elettronici, ai word processor (il solito OpenOffice), al software per Internet (Firefox, Konqueror, Thunderbird e qualche applicativo proprietario).

Trattandosi di Unix, questi ingegneri hanno sempre avuto una LAN (TCP/IP), un router, uno switch e diverse altre network appliance. Hanno sempre avuto un file server, un mail server e, da quando esiste il web, un web server (usato come knowledge base dell’ufficio).

Gestire questa rete è sempre stato un lavoro delicato e complesso, anche a causa delle sottili differenze tra una macchina e l’altra. Questo vale, naturalmente, anche per la sicurezza. Alcuni servizi Unix vanno protetti da un firewall per evitare attacchi dall’esterno (exploit, worm e roba simile). Sulla rete va mantenuto attivo un sistema IDS (Intrusione Detection System) per rilevare l’attività di eventuali estranei, il software va aggiornato (e per anni ha dovuto essere aggiornato a mano, in molti casi compilando i sorgenti sulle macchine). Infine, bisogna tener presente il rischio che qualcuno (anche dall’interno) installi delle backdoor e dei rootkit (è già successo…).

Tuttavia, questa è sempre stata una LAN Unix. Ogni utente ha sempre avuto la sua utenza e la sua password. Nessun utente ha mai potuto pasticciare con il sistema operativo o con la roba degli altri utenti, l’installazione del software ed il suo aggiornamento è sempre stata eseguita da una utenza “root” ben distinta dalle altre e via dicendo. In particolare, Unix (tutti gli Unix) è sempre stato insensibile ai virus ed a molti altri tipi di malware.

Stanza Due

Superata una porta a vetri, si entra in un altro mondo: un vasto ambiente, parzialmente adibito a open office e attorniato da una serie di uffici di varie dimensioni. Nell’open office lavorano una quindicina di persone, addette alla contabilità ed al marketing. Negli uffici lavorano i dirigenti ed i venditori. In questo spazio c’è veramente di tutto.

La contabilità gira su AS/400 e le ragazze accedono al server AS/400 da dei PC dotati di Windows NT e 2000 dotati di emulatore. I ragazzi del marketing (che fanno anche le bozze grafiche dei cataloghi e roba simile) usano una serie di macchine Windows XP e Vista e qualche MacIntosh. I dirigenti ed i venditori usano macchine Windows XP e Vista e, in paio di casi, MacIntosh.

Anche se può sembrare strano, in questo grande ufficio ci sono ancora tre o quattro PC con Windows 95 e Windows 98 e persino due macchine con Windows 3.11, tutte perfettamente funzionanti e collegate alla rete. Sono lì per una ragione precisa: alcuni programmi (realizzati su richiesta da piccole aziende ora scomparse) NON girano sulle versioni di Windows derivate da NT (2000, XP e Vista) e, in alcuni casi, girano SOLO sulle versioni a 16 bit (Windows 3.0, 3.1 e 3.11). Questo, peraltro, è un problema che hanno in molti. Persino mia moglie (che è una ricercatrice e lavora in una grande industria chimica della zona) è costretta a tenersi sulla scrivania il suo bel “cadavere” Windows 3.11 per far girare uno dei programmi di analisi che è stato realizzato per loro da un consulente esterno negli anni ’90 e mai più aggiornato.

Gestire questa rete eterogenea è un dramma. Gestirne la sicurezza è semplicemente impossibile. Le macchine dotate di Windows 3.11, Windows 95, 98 (ed ME, che però qui non è presente) non hanno un vero concetto di multiutenza. Chiunque può fare qualunque cosa e, di conseguenza, ogni giorno qualcuno combina qualche casino. Le macchine Windows NT e 2000 hanno una gestione corretta della multiutenza ma… abbiamo dovuto attivarla noi ed abbiamo dovuto insegnare al personale ad usarla (tra le bestemmie degli interessati, non abituati a questa ulteriore complicazione). In ogni caso, molte di queste macchine hanno più un antivirus realmente funzionante per la semplice ragione che ormai è cessato da anni il supporto a queste piattaforme. Come se non bastasse, su alcune macchine Windows NT, 2000, XP e Vista, alcuni programmi utente (persino roba di grafica!) devono obbligatoriamente girare con l’utenza administrator o si piantano.

Queste macchine sono molto esposte ad attacchi di ogni tipo. C’è un intenso scambio di documenti per posta elettronica e c’è un altrettanto intenso scambio di file da chiavi USB e da CD-ROM. Ovviamente, ogni tanto qualcuno si becca un virus che si credeva ormai estinto da anni. Basta tirar fuori un backup od un vecchio programma lasciato su un floppy o su un CD-ROM anni fa ed il gioco è fatto.

Gran parte del software che potrebbe essere utile a ridurre i rischi (come OpenOffice invece di MS Office e Thunderbird invece di MS Outlook) non può essere installato, vuoi per una incompatibilità di fondo con la piattaforma (provate ad installare TB 2.X su Windows 3.11…) o per mancanza di risorse (RAM e spazio disco). Almeno, non possono essere installate le versioni più recenti che, spesso, sono le sole effettivamente dotate delle funzionalità necessarie.

[No, in genere non si possono mettere questi O.S. e queste applicazioni su degli emulatori. In alcuni casi non c’è l’hardware per supportarlo, in altri non c’è un emulatore che funzioni in modo adeguato. Là dove si poteva fare, l’abbiamo già fatto.]

Lo Zoo Microsoft

Windows Vista è una figata! Ha tutte le caratteristiche di un sistema operativo moderno, sicuro, robusto, facile da usare ed elegante.

Vero. Verissimo.

Peccato che sulle oltre 50 macchine di questa azienda Windows Vista sia presente solo su quattro o cinque di esse. Peccato che il resto del parco macchine sia degno di un museo e non ci sia nessun modo di liberarsene (se non scrivere nuovamente il software che ci gira sopra). Peccato che le vecchie versioni di Windows abbiano ignorato, deliberatamente e per molti anni, ogni criterio di sicurezza, anche i più elementari (come la gestione obbligatoria di utenze separate). Peccato che ormai non ci sia più nessuno che scrive e mantiene aggiornato del software antivirus per gran parte di queste macchine.

Peccato anche che il “parùn” si sia stancato di cambiare hardware ogni due anni, senza vedere nessun vero vantaggio, e non ne voglia sapere di passare a Windows Vista una parte delle macchine. “Tanto” – ci ha detto – “tra sei mesi mi direte ancora che devo cambiare tutto un’altra volta solo per non risultate sprotetto.”

D’altra parte, è difficile dargli torto: il punto vulnerabile non sono le macchine che possono essere sostituite con altre basate su Windows Vista ma bensì quelle che NON possono essere sostituite e che non possono più essere protette in modo adeguato.

L’ancora di salvezza Linux

Per fortuna, siamo riusciti a convincerlo a passare a Linux le macchine che possono essere passate a Linux, cioè quelle per cui è disponibile un hardware adeguato e per cui esistono le applicazioni utente necessarie. Almeno, su queste macchine, dopo la transizione, non ci sarà più da preoccuparsi dei virus e del malware.

Colpa di Microsoft?

No. Microsoft ha semplicemente fatto le sue scelte tecnico/commerciali, sulla base della comprensione del suo mercato che aveva a quel momento.

La colpa è stata soprattutto della clientela (non solo di questa azienda) e di molti consulenti degli anni ’80 e ’90 (comprese la system house per cui lavoravo a quel tempo).

Era già chiaro ai tempi di MS/DOS 2.X che il mercato avrebbe dovuto evolvere verso Unix (o Vax) per garantire la sicurezza dei sistemi e delle reti. Un sistema monoutente, privo di qualunque accorgimento di sicurezza, come MS/DOS e Windows (1.0 -> ME) era semplicemente una mina vagante scaricata nel mare magnum dei nostri uffici e lasciata galleggiare in attesa di esplodere.

I tentativi di immettere sul mercato uno Unix competitivo con MS/DOS e Windows sono però naufragati uno dopo l’altro: Coherent Unix di Mark Williams Company, lo Unix degli Acorn R140, quello di Apple (A/UX), lo Unix grafico di Next. Persino lo Xenix della stessa Microsoft. Nessuno di loro è riuscito a rimpiazzare l’economicissimo MS/DOS ed il “facilissimo” Windows.

Si, ma c’è…

Ve la ricordate la pubblicità della Panda? “Ah, se non ci fosse la Panda…” “Si, ma c’è…”

Ecco, appunto! “Ah, se non ci fosse Linux….” “Si, ma c’è…”

Per quale motivo dovremmo ancora affondare nel mare di versioni e di guai assortiti che ha prodotto Microsoft nel corso degli ultimi vent’anni?

Ora c’è la soluzione ad un problema che ci perseguita dalla metà degli anni ’80. Anzi, ce ne sono almeno due: Linux e BSD. Che senso ha perseverare ancora nell’antico errore?

Alessandro Bottoni

alessandro.bottoni@infinito.it

PS: Il “parùn” usa anche un vecchio portatile con MS/DOS 3.31 per scrivere i suoi testi in inglese perché è l’unico su cui gira “The Writer’s Toolkit” (per MS/DOS), che è uno dei pochi programmi dotato di un grammar checker veramente utile.

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: