Che la sicurezza sia per molti un problema attuale, anzi attualissimo non è una novità. Però la sicurezza è una strategia, non un problema. Se la sicurezza non è ben integrata nel modo in cui l'intero sistema informatico è costruito, ogni sforzo è vano. In sostanza è un mosaico dove è necessario che tutti i tasselli siano al posto giusto e dove non basta che singole parti siano robuste. Questi tasselli vanno dal kernel dell'OS all'applicazione che userà l'utente, passando per le configurazioni, l'infrastruttura di rete e, tra le altre cose, la sicurezza fisica.
Vedo una fioritura quotidiana di distro Linux e dopo aver curiosato su come nascono mi chiedo dove possano stare le garanzie minime di sicurezza.
Il mio intento non è quello di cercare polemiche su quale sia il sistema operativo migliore o peggiore però non posso non chiedermi quale sia il criterio per cui io mi possa fidare nell'installare una nuova distribuzione senza avere brutte sorprese.
Tutte le distribuzioni Linux partono da un core comune. Questo stesso spesso viene più o meno pesantemente modificato su esigenza delle distribuzioni. Poi la storia non finisce qui. Le distribuzioni non sono fatte di solo kernel. Il sistema operativo ha il compito di fornire il supporto per una lunga serie di funzionalità.
E quindi qual'è la strategia comune delle distro Linux per scongiurare security flaws? Non rispondetemi Open Source perchè quel modello non ha prodotto risultati in questo senso per il solito motivo: fare i test è una rottura di scatole e non ho mai sentito nessuno contento di dedicare il proprio tempo a testare il codice di altri.
La valutazione di un sistema costituito da uno o più elementi software si può lasciare solo ai fatti. Apache ha dimostrato di essere inferiore per sicurezza a IIS e i dati, reperibili da più fonti, sono mostrati in alcuni grafici pubblicati da Michael Howard. Si, è un Microsoft guy, o meglio è un security guru, conosciuto anche per il libro Writing Secure Code, ma i dati rimangono oggettivi.
Ma se i dati sono a sfavore di Apache che è un software tra i più usati e 'standardizzati' nelle distro Linux, quale può essere la garanzia dei moduli minori, sottolineando minori di importanza applicativa ma non certo minori per vulnerabilità?
Certamente la statistica va a favore della mitigazione dei problemi. Finch'è un software è usato poco, i bug che vengnono a galla sono pochi, ma questo non implica che non ci siano vulnerabilità importanti e latenti.
Io spero in Linux. La competizione è quanto di meglio esista per miglirare le cose. Spero però in una competizione basata sui fatti e non sui talebani dell'una o dell'altra parte. Vorrei vedere un Linux più consistente e distribuzioni meno 'disordinate', meno anarchiche che obblighi Microsoft ad accelerare i tempi e a realizzare un nuovo core di Windows completamente rifatto come inizialmente si era detto alla PDC 2003 e che invece è slittato a tempi futuri.