Re: security bugs e stato dell'arte

Ciao,
ti rispondo brevemente, come programmatore e non come giurista. Fino a
pochi anni fa la sicurezza non era presa in considerazione, e se per
caso dovessi vedere software vecchio potrei dirti che è la normalita'
trovare problematiche di sicurezza. Ma allora i programmatori non
sapevano neanche cosa volesse dire la sicurezza, l'importante era che il
software funzionasse... Ora il panorama è cambiato, si trovano parecchie
guide su come programmare in modo sicuro, e nascono alcuni software
(vedi qmail) che rasentano la sicurezza totale... Programmare in modo
sicuro vuol dire metterci sicuramente più tempo, cosa che alle aziende
non fa assolutamente piacere... Certamente ora come ora è possibile
ritenere l'80% dei bug grossolani, e sicuramente con un minimo di buon
senso si sarebbero evitati. Esiste sicuramente sempre un grado di
sicurezza maggiore che si può raggiungere migliorando il software stesso
di volta in volta, ma il fatto è che spesso (spesso nei sistemi
operativi) i bug si trovano proprio nel codice "nuovo". Con nuovo
intendo quella parte di codice inserita nell'ultima versione... Un
esempio è il WebDav (uno degli ultimi grossi bachi trovati su IIS),
oppure il kmod di linux... Purtroppo le licenze fanno si che i
produttori non si prendano alcuna responsabilità... un esempio è il bug
si Microsoft SQL... non è il worm che cito, ma il baco in se... La patch
della microsoft ci ha messo un mese ad uscire, ma provate a chidervi se
quel worm fosse stato propagato in quel mese e non 9 mesi dopo... Un
altro esempio può essere la patch al bug del kernel di SunOS, che ci ha
messo 4 mesi a fare un check sul ../../../.
L'unica è sperare che i programmatori inizino ad imparare a fare
attezione e cercare di fare un software oltre che funzionale anche sicuro.

R.

naty wrote:
> Ciao a tutti, 
> sto studiando i problemi della sicurezza informatica, e vorrei tentare di dare una interpretazione giuridica realistica.
>  
> L´impossibilità tecnica di individuare in sede di progettazione le carenze di un software, esclude la configurabilità di un difetto?
> 
> Nel senso: 
> - diamo per certa la difficoltà/ improbabilità/ impossibilità tecnica di mettere in commercio un  prodotto vicino alla perfezione o comunque totalmente privo di bugs relativi alla sicurezza. 
> - prendiamo il caso dei prodotti (sistemi operativi, o altro genere di software) rilasciati periodicamente (e non mi riferisco necessariamente solo a Microsoft).
> 
> Questi prodotti sono effettivamente allo stato dell´arte (adeguati alle conoscenze tecniche che si possiedono in quel momento)  o sono presenti "difetti" grossolani, cioè difetti che con una approfondita conoscenza tecnica si potevano evitare (in termini giuridici si parla di DILIGENZA)?
> 
> nel senso: quando si rilasciano le Beta, chi usa quella versione del software è cosciente che il prodotto è perfettibile, e prende le precauzioni del caso.
> quando invece usa un software nella sua versione "definitiva", può legittimamente rimanere nella convinzione che - in quel momento - tecnicamente non si può raggiungere un livello di sicurezza maggiore?
> 
> naty 
> 
> 
> 



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List