martedì 30 settembre 2014

Shellshock e il casino che vi è nato intorno

(Post più o meno tecnico, da leggere se così vi pare)
Non sto ad addentrarmi sui dettagli tecnici del baco battezzato Shellshock, che affligge il famoso bash dei sistemi basati su Unix. Il mio dito va a stuzzicare un'altra piaga, che è il modo in cui questa faccenda è stata gestita.
Ci sarebbero due soluzioni a tal proposito:
a) soluzione di buon senso: qualcuno, per una botta di Qlo, individua una falla potenzialmente in grado di permettere a soggetti esterni di entrare da un portone spalancato e combinare ogni sorta di disastri, e non nota benché presente da lunga data. Quel qualcuno comunica la cosa agli sviluppatori del pacchetto in questione, in sordina, zitto che te lo dico in un orecchio, e costoro mettono in piedi la toppa per tappare la falla, senza tanto clamore; chi utilizza questi sistemi operativi si vede arrivare un aggiornamento di sicurezza, la raccomandazione di applicarlo a tutti i sistemi interessati, e ciao, fine della storia. Se anche qualche malintenzionato, poi, venisse a sapere di una falla della quale fino a quel momento non era mai venuto a conoscenza, troverebbe ben poche porte aperte per piantare casino (e in questo caso, chi è causa del suo mal pianga sé stesso).
b) soluzione che è stata effettivamente adottata: lo scopritore della falla l'ha gridata ad alta voce al mondo intero in toni alquanto allarmistici. Così, gli sviluppatori hanno dovuto correre come dei disperati per rattoppare il buco, e poi per produrre toppe delle toppe e toppe delle toppe delle toppe; intanto, tutti i malintenzionati che prima ignoravano l'esistenza della falla adesso ci si sono tuffati a pesce, ben sapendo di aver poche ore a disposizione per distruggere il mondo (almeno quello dei sistemi derivati da Unix); in più, la gente è stata colta da tutta una serie di ansie, anche del tutto immotivate - giuro: un mio conoscente mi ha chiesto come poteva fare ad aggiornare il suo orologio (meccanico, a lancette!) per porsi al riparo! "Ci gira Linux, lì sopra?" gli ho chiesto. "Be'... no." mi ha risposto. "E allora che cazzo ti preoccupi a fare? Pensa piuttosto ad aggiornarti i computer, se possono essere affetti da quella falla." (Per chi segue anche l'altro blog, quello dove pubblico ogni tanto qualche esempio di utOntaggine, questo tizio è quello battezzato GP.) Gira che ti rigira, stanno creando un casino ancora più mostruoso di quello che è avvenuto con Heartbleed, questione anche in quel caso gestita alla maniera mediatica e non secondo logica.
Cioè, in soldoni: scopri che la serratura della porta di casa tua ha una falla che quella linea di serrature ha dagli albori ma che nessuno ha mai utilizzato per entrare a svaligiarti la casa; cosa fai? Lo gridi al mondo? Inviti tutti i ladri ad approfittarsene finché non viene il fabbro a cambiarti la serratura? Io, per quel che mi riguarda, vado dal fabbro, gli chiedo di cambiarmela (senza nemmeno stare a dilungarmi sui perché e i percome) e ciao ciao ladri. Evidentemente, però, in quest'epoca moderna la gente ritiene che sia meglio allarmare l'intero mondo per una serratura che un ladro potrebbe aprire a piacimento se solo fosse al corrente della possibilità di farlo. Mi sa che mi tocca tornarmene alla mia casetta su Marte...

Nessun commento: