#OpenSicurezza

Il ruolo dell’Open Source nel campo della sicurezza informatica

cyber security

Chiunque abbia avuto a che fare anche di sfuggita con il mondo della sicurezza informatica, per diletto o per lavoro, si è sicuramente trovato ad utilizzare alcuni dei tool più famosi del settore come nmap, wireshark ed altri ancora. La caratteristica interessante è che si tratta di software  rilasciati con licenze libere.

L’utilizzo di questi strumenti è ormai una prassi consolidata presso aziende e professionisti e dimostra la qualità ed il grado di affidabilità raggiunto. A ben vedere in effetti, la maggior parte dei software censiti nei “top 125 software per la sicurezza informatica” pubblicata  da sectools.org, siano scanner, proxy, sniffer, cracker o altro, è basata su .

Non che non esistano alternative proprietarie, anzi. Ne esistono e di valide e per la verità alcune di queste nate da una radice Open Source da cui è poi “sbocciato” un progetto closed, come ad esempio, lo scanner di vulnerabilità Nessus, considerato per anni uno dei migliori strumenti nel suo genere.

open-sourceLa storia di Nessus ricorda come sia possibile non solo la nascita di un prodotto proprietario da uno libero ma anche la creazione di un fork che continui a sviluppare lo stesso progetto con un nuovo nome (in questo caso OpenVAS è il fork che ha dato risultati migliori), lasciandolo a disposizione degli utenti sotto licenza libera.

Fin qui quanto esposto potrebbe valere per qualsiasi tipologia di software. Cosa differenzia il software per la sicurezza da altre tipologie di software Open Source? Credo che per trovare una risposta dobbiamo fare alcune considerazioni pratiche e rifarci in qualche modo alla filosofia del movimento Hacker dei primi tempi.

Se riflettiamo un momento (ma neanche tanto!) sulla superficie d’impatto tra sicurezza e sistemi informatici ci accorgiamo immediatamente che questa è immensa. Non esiste tipologia di software o di applicazione che non abbia a che fare in qualche modo con problemi di sicurezza. La sicurezza è trasversale rispetto allo scopo del sistema informatico in esame.

Guardiamo da più vicino la questione e vedremo che  gli “stakeholders” (passatemi il termine) di  una certa applicazione proprietaria sono coloro che sviluppano ed  usano in prima persona il prodotto. Gli sviluppatori in particolare sono un  gruppo ristretto e le politiche aziendali in genere vietano la divulgazione di notizie interne, in special modo quelle relative ad algoritmi, strutture dei dati, problematiche di sicurezza individuate. Nella realtà dei fatti, se usiamo un prodotto per la sicurezza proprietario non abbiamo altra scelta: dobbiamo fidarci.

E a volte, come il caso Hacking Team sembra insegnare, la fiducia è mal riposta, se fosse vero che nell’applicazione venduta è presente una backdoor.

securityIn contrapposizione ad un modello chiuso (ricordate la Cattedrale?) l’utilizzo di software del quale si ha disposizione il sorgente e la cui qualità può essere verificata da chiunque ne abbia le capacità comporta indiscutibilmente un vantaggio in termini di affidabilità dei risultati e di fiducia che non vi siano parti di codice malevoli.

Un esempio recente in questo senso è l’audit del codice di Truecrypt effettuato da Matthew Green. Lo studio effettuato ha dimostrato come a parte alcune “sbavature” del codice non vi sono in Truecrypt le paventate backdoor inserite o fatte inserire da agenzie di intelligence.

Utilizzare software Open Source per analisi di sicurezza significa non solo avere a disposizione strumenti di qualità ma, seguendo la filosofia hacker originale, avere a disposizione un sapere ed una esperienza che nasce dalla comunità e quindi infinitamente più ampio di quanto possa essere il sapere del singolo individuo. Del resto Open Source non va inteso  solo come software ma anche, più in generale, condivisione di conoscenze ed esperienze.

Un esempio nel campo della sicurezza è OSSTMM, Open Source Security Testing Methodology Manual: non software, non linee di codice, ma una metodologia per il test di sicurezza di sistemi informatici messo in forma di manuale da prendere, leggere, capire ed applicare. Non un software da scaricare e lanciare ma una grande quantità di informazioni condivise liberamente e liberamente utilizzabili.

La forza dell’Open Source è tanto grande quanto più ampia sarà la comunità che lo supporta e che soprattutto condivide le basi etiche e filosofiche del movimento.

Che la forza sia con voi, dunque. Usate e condividete, ne guadagneremo tutti.

Paolo Giardini

Paolo Giardini

Paolo “aspy” Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica, organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l’incarico di Privacy Officer) si occupa da oltre venti anni di Sicurezza Informatica, Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all’estero.
Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d’Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell’hacker game che ha creato, “CAT – Cracca Al Tesoro”.

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This