Open Windows
-------------------------
di Low Res
[da low resolution]
Oggi (n.d.r. 13/2/2004) Microsoft ha pubblicamente ammesso una notizia che circolava da qualche tempo nella comunità hacker: parte del codice sorgente di Windows è stato rubato ("leaked") e reso disponibile su internet attraverso alcuni network p2p.
La "bomba" è scoppiata questa notte, quando questo file zippato "windows_2000_source_code.zip" è comparso nei network P2P. Secondo Zone-H sembra che si tratti effettivamente di parti di codice originale di Windows 2000/NT, e in particolare di parti di IE e alcune API.
Da dove arrivi questo file non è ancora chiaro. Alcune fonti come eWeek.com parlano di un "leak" partito da una fonte vicina alla Microsoft, altri di materiale che arriva dalla Cina o dalla Russia.
Sicuramente la vicenda riempirà le cronache per i prossimi giorni. Cosa ne deriverà realmente non è ancora chiaro. Intanto nelle varie community online non si parla d'altro. Molti utenti ironizzano sul fatto che finalmente qualcuno sistemerà davvero i bug del sistema operativo, altri chiedono nei forum patch di ogni genere per moddare IE. Qualcun'altro ipotizza addirittura la prossima nascita di una versione opersource di windows (o almeno di alcune componenti) che si potrebbero mettere in concorrenza con i prodotti proprietari di MS.
I media più "tradizionali" invece si sono lanciati sui problemi di sicurezza che potrebbero arrivare dal prodotto. Si delineano scenari da medioevo prossimo venturo: orde di pirati potrebbero sviluppare virus e software che sfruttano le falle di programmazione del sistema operativo più usato nel mondo. Ovviamente queste cose fanno molta più audience (e probabilmente business), che parlare seriamente dei problemi nativi del sofwtare.
Vada come vada, questa vicenda riporta di attualità alcune considerazioni fondamentali.
La prima riguarda la responsabilità. Un software messo in commercio dovrebbe essere teoricamente intrinsecamente sicuro, ben fatto e la divulgazione, anche se solo parziale, del codice sorgente non dovrebbe (sempre teoricamente) rappresentare un pericolo concreto. Se così non fosse, sarebbe come scoprire che una casa automobilistica ha prodotto e messo sul mercato un'auto progettata male e insicura il cui uso rappresenta un pericolo per i suoi utenti. Di chi sarebbe la responsabilità in questo caso?
La seconda è riguarda il controllo e la sicurezza dei sistemi informatici. Lasciare tutta la conoscenza e il controllo di un prodotto così delicato come un sistema operativo per computer in mano a pochi, per quanto organizzati e determinati a difendere il segreto, crea un pericolo enorme. Come nel caso di un prodotto chimico o batteriologico, quando questa protezione cade e il prodotto sfugge di mano, tutti sono minacciati, magari senza saperlo, e nessuno è più in grado di difendersi. Proprio perché pochi conoscono il codice sorgente sono in grado di capire i pericoli e possono porvi riparo, se ci riescono. La segretezza che prima lo proteggeva, ora diventa la principale causa del pericolo.
Teoricamente, adesso la Microsoft dovrebbe divulgare davvero i codici sorgente, magari solo a specifiche organizzazioni selezionate a livello governativo, proprio per permettere di analizzare adeguatamente il software, individuare i pericoli e provi rimedio al più presto.
Considerato che i sistemi informatici di intere aziende, banche e governi sono basati sui sistemi Microsoft, non c'è da stare tranquilli. Un eventuale rischio sicurezza dovuto al leak del codice sorgente, potenzialmente potrebbe avere una portata simile al temuto bug del 2000.
L'ultima considerazione riguarda più in generale il tema della biodiversità informatica e la dipendenza da un solo sistema e fornitore mondiale. Quanto successo ci ricorda che, come nell'ecosistema naturale, anche nell'infomondo, se la varietà "biologica" si riduce al punto che la maggior parte dei computer si basa su un unico sistema operativo, i suoi problemi e debolezze rischiano di mettere in pericolo l'intero ecosistema. In mancanza di alternative ogni pericolo si moltiplica, e può affondare l'intero sistema, la sua esistenza.
Se qualcuno divulgasse i codici sorgente di un software proprietario poco diffuso, l'azienda che lo produce farebbe una brutta figura, perderebbe qualche cliente, ma il sistema nel suo insieme non sarebbe messo in pericolo grazie all'esistenza di alternative.
Nel nostro caso le alternative (in ambiente PC/Win32) non ci sono. Per il momento. Magari nasceranno grazie a qualche pirata informatico.
Posta|
Beh, in questo modo (visto che ci hanno già provato) potranno attaccare altri sistemi operativi accusandoli di aver copiato parti di codice. Di per sé il fatto che i file sorgenti siano nascosti non garantisce la sicurezza (come qualsiasi utilizzatore Windows sa, visto ceh si è costretti a usare altri programmi per ripararsi da eventuali intrusioni).
Linux è Open Source (significa, fra le altre cose, che mostra in chiaro il codice sorgente): questo consente, a chi è in grado chiaramente, di individuare le pecche di programmazione. Questo vale anche per altri programmi O.S., che spesso sono anche gratuiti e hanno la stessa dignità dei costosissimi programmi Windows. Un esempio per tutti è Open Office: gratuito e che ha le stesse caratteristiche di Word.
La questione della sicurezza, sorgenti file visibili o no, proprio non si pone: Windows è da sempre nell'occhio del ciclone. Ho acquistato un PC nuovo con XP Home (io usavo 2000, che era relativamente stabile). Pagato, licenza regolare e tutto quanto. Hacker o non hacker si impallava sempre. Richiede (come tutte le altre versioni del resto) continui aggiornamenti che, spesso, arrivano dopo mesi che è stata scoperta la falla. E, ripeto, è stato pagato e salato per giunta.
Inutile dire che mi sono girate grandemente le scatole e, pur con un notevole dispendio di neuroni, sono passata a Linux. Ma se devo bestemmiare, preferisco farlo su un prodotto che è più sicuro e stabile.
Un altro discorso va su una delle "I" della ministra Moratti: informatica nelle scuole dalla classe prima. Le licenze costano un occhio della testa, i corsi di aggiornamento per insegnanti (che sono costati una cifra improponibile e che, a sentire le colleghe che vengono da me a farsi spiegare, non insegnano praticamente nulla) sono tutti basati su Windows. Sicché è fatale che le scuole acquistino PC con sistemi Windows e i relativi programmi. Un sacco di soldi senza peraltro avere la garanzia che funzionino a dovere.
15.02.04