[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Una ferale notizia?

Il 27 agosto 2014 17:19, Gian Uberto Lauri <saint@eng.it> ha scritto:
> Marco Bertorello writes:
>  > Il 27 agosto 2014 16:53, Gian Uberto Lauri <saint@eng.it> ha scritto:
>  > > Si se ti riferisci al badge con cui si accede alla sala con la console
>  > > di lancio, ovvero se ritieni 'uguali' software che bloccano l'accesso
>  > > a risorse di pari importanza.
>  >
>  > no no, intendo proprio a livello di codice, non per cosa viene usato :)
>  >
>  > Pensa l'esempio del software di lancio dei missili: a livello di
>  > codice, posso utilizzarlo anche per gestire il rilascio delle
>  > crocchette nella ciotola del gatto.
>
> Devi reimplementare la logica nel caso delle crocchette che si
> dirigono fuori dalla ciotola...

:)

>  > Poi sta all'implementazione "di produzione" essere adeguatamente
>  > protetta (o magari proprio irraggiungibile).
>  >
>  > Come ricorda Bruce Schneier, la sicurezza è un processo, non un
>  > prodotto;
>
> Ma il software è parte del processo. E il processo non deve arrecare
> un danno economico maggiore della perdita di ciò che deve proteggere
> (ecco perché io dicevo che i programmi possono non essere uguali).

Stiamo sempre parlando di PA? nel qual caso, per me, è irrilevante il
costo di un cambiamento che comporta un bene cruciale per la società
nel suo insieme.

Poi chiaro che un'azienda privata faccia un po' quello che vuole, se
crede che infilando la testa nella sabbia si risolva qualcosa, che
faccia pure.

Che poi, siamo così sicuri che sia il software la parte del processo
che causa un costo?
Non è che magari è una gestione un po' dozzinale delle risorse umane
ad essere il vero costo? Da molti discorsi pare emergere che siano
i/le segretari/e (o chi per ess*) a decidere se si può passare da MS
Office a LibreOffice, mentre dovrebbe essere una decisione strategica
presa dai ruoli dirgenziali (dal business, direi se stessimo parlando
di aziende, dico dalla politica visto che stiamo parlando di PA) o,
tutt'al più, dai tecnici.

Sinceramente preferirei dalla politica, visto che è facile che i
tecnici vogliano avere il culo parato in caso di problemi e poter dare
la colpa a Microsoft è un bel paraculo, visto che nessuno più di tanto
darà la colpa della scelta a te (è vista quasi come una scelta
obbligata) o penserà di potersi togliere da Microsoft.

Troppo spesso i "responsabili" sono dei veri e propri
"irresponsabili", con questi comportamenti.

Però non sono sicuro che intendessi questo...

>  > quindi che sia software chiuso per non far vedere come
>  > funziona, non vale granchè come sicurezza se poi c'è come password
>  > 'pippo' e non viene cambiata dal 1948... e questo è valido sia se non
>  > vuoi che i tuoi missili vengano lanciati,
>
> Su questo sono pienamente d'accordo.
>
> E ora capisco dove dici che sono  "uguali": per tutti e due cercare di
> nascondere cosa  fanno con la chiusura  del programma non serve  a una
> cippa.

esatto! cercare di nascondere cosa fa un software è solo un vantaggio
per chi può sfruttare le falle che scopre e di cui il produttore non è
a conoscenza.
Le falle esistono in tutti i software, ma se la conosce solo la
persona sbagliata e tutti gli altri si crogiolano nel senso di
sicurezza, trovo che il rischio sia molto, moooolto, MOLTO, più alto,
che non che sia a conoscenza di tutto il mondo, compresi gli
sviluppatori / amministratori, che possono reagire tempestivamente e
tappare la falla (poi magari non lo fanno perchè son pigri o
sovraccarichi di altri lavori, ma questo è un altro problema ed esula
dalla libertà del software).

bye,

-- 
Marco Bertorello
System Administrator
http://bertorello.ns0.it
Reply to: