Re: security bugs e stato dell'arte

> L´impossibilitā tecnica di individuare in sede di progettazione
> le carenze di un software, esclude la configurabilitā di un difetto?

Piano.

Non confondiamo l'impossibilita' _teorica_ di rilevare in modo automatico e
completo i difetti di un software (che e' un bel risultato di Rice e
discende dal teorema della fermata), con l'impossibilita' tout court di
rilevare errori.

Come dimostra, tra gli altri, il progetto OpenBSD, una accurata
progettazione e un ancora piu' accurato auditing POSSONO ridurre a una rate
accettabile i problemi di security del software.

Che non sia possibile, tecnicamente, produrre software che non sia
l'equivalente del formaggio svizzero per il numero di buchi, e' una bella
scusa che  tanti produttori di software hanno portato avanti per troppo
tempo.

> potevano evitare (in termini giuridici si parla di DILIGENZA)?

Ti diro': se parliamo in termini giuridici e di legislazione italiana, c'e'
poco da considerare la diligenza. Tu stai considerando gli aspetti civili e
di "danno" causato, ma ti ricorderei un trascurato articolo della legge
547/93.

615/quinquies: "Chiunque diffonde, comunica o consegna un programma
informatico da lui stesso o da altri redatto, avente per scopo o per effetto
il danneggiamento di un sistema informatico o telematico, dei dati o dei
programmi un esso contenuti o a esso pertinenti, ovvero l'interruzione,
totale o parziale, o l'alterazione del suo funzionamento, č punito con la
reclusione sino a due anni e con la multa sino a lire 20 milioni"

Per scopo _O PER EFFETTO_. Volontario o INVOLONTARIO (la differenza,
immagino, e' tra doloso e colposo, ma sempre reato rimane). Questa
interpretazione tra l'altro mi e' stata recentemente confermata dall'esimio
avv. Sarzana di Sant'Ippolito, che della 547 e' stato uno degli autori
"tecnici".

Cordialmente,
Stefano Zanero

ComputerWorld Italia (www.cwi.it)


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List