R: security bugs e stato dell'arte

Il problema è che con internet e la grande diffusione che uno puo dare ad un
software le aziende hanno deciso di tagliare i costi di testing per uscire
subito sul mercato che tanto ci sono gli utilizzatori del software che
adempiranno in poko tempo e kon dovizia di particolari a testare il software
inconsapevolmete

finke ci sarà questa mentalita non cè da shockarsi delle continue pacth e
versioni che escono con scadenza quasi mensile

-----Messaggio originale-----
Da: Simo Sorce [mailto:simo.sorce@xsec.it]
Inviato: venerdì 25 aprile 2003 8.58
A: ml@sikurezza.org
Oggetto: Re: security bugs e stato dell'arte


On Wed, 2003-04-23 at 14:38, naty wrote:
> Ciao a tutti,
> sto studiando i problemi della sicurezza informatica, e vorrei tentare
> di dare una interpretazione giuridica realistica.
>
> L´impossibilità tecnica di individuare in sede di progettazione le
> carenze di un software, esclude la configurabilità di un difetto?

Si deve distinguere tra difetti di implementazione e difetti di
progettazione, non sono la stessa cosa.

Ovviamente in fase di progettazione si può pensare solo, eventualmente,
a mitigare i possibili difetti di implementazione, non li si può
conoscere.
I difetti di progettazione invece se ci sono, sono conosciuti e
tollerati, imho.

> Nel senso:
> - diamo per certa la difficoltà/ improbabilità/ impossibilità tecnica
> di mettere in commercio un  prodotto vicino alla perfezione o comunque
> totalmente privo di bugs relativi alla sicurezza.

Beh tutto dipende dalla complessità del programma.

> - prendiamo il caso dei prodotti (sistemi operativi, o altro genere di
> software) rilasciati periodicamente (e non mi riferisco necessariamente
> solo a Microsoft).
>
> Questi prodotti sono effettivamente allo stato dell´arte (adeguati alle
> conoscenze tecniche che si possiedono in quel momento)  o sono presenti
> "difetti" grossolani, cioè difetti che con una approfondita conoscenza
> tecnica si potevano evitare (in termini giuridici si parla di DILIGENZA)?

In alcuni ci sono difetti grossolani che potrebbe cogliere anche chi ha
una media conoscenza tecnica. Ci sono molti produttori di software
proprietario che tendono a tagliare molto sui costi e sui tempi a
scapito della sicurezza, per arrivare presto e con poca spesa sul
mercato. Peccato che senza sorgente è difficile dimostrarlo...

> quando invece usa un software nella sua versione "definitiva", può
> legittimamente rimanere nella convinzione che - in quel momento -
> tecnicamente non si può raggiungere un livello di sicurezza maggiore?

Assolutamente no!

La sicurezza è solo uno dei tanti fattori, e per molti nenache uno dei
principali ..

Simo.

--
Simo Sorce - simo.sorce@xsec.it
Xsec s.r.l. - http://www.xsec.it
via Durando 10 Ed. G - 20158 - Milano
mobile: +39 329 328 7702
tel. +39 02 2399 7130 - fax: +39 02 700 442 399


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List