Flashback. A novembre 2001 scrissi per Apogeonline un articolo che riferiva delle durissime parole contro Microsoft contenute in un rapporto del Gartner Group. Il rapporto consigliava vivamente alle aziende che usano Internet Information Server (il software per server Web di Microsoft) di “prendere in esame immediatamente le alternative a IIS, come iPlanet e Apache“. Abbandonare il prodotto Microsoft, insomma, perché troppo vulnerabile e troppo costoso come manutenzione.
Indubbiamente una bella bordata, soprattutto in considerazione del calibro di chi l’ha sparata: il Gartner Group è una delle più stimate società di consulenza e analisi aziendale, e l’autore del rapporto, John Pescatore, non è certo uno scribacchino qualunque che blatera senza documentarsi.
Così mi ritrovo con Microsoft all’altro capo del telefono: nel caso specifico, con Marco Agnoli, responsabile delle attività di sicurezza di Microsoft Italia. Ma è subito chiaro che si tratta di una semplice ma circospetta presa di contatto, per esporre il punto di vista di Microsoft sul rapporto Gartner e sul mio articolo. Complice il blackout che ha colpito Apogeonline, posso riferirvi la faccenda soltanto adesso, ma meglio tardi che mai.
Gartner ridimensiona, dice Microsoft
Prima di tutto, ha affermato Agnoli, Gartner ha ridimensionato la portata del proprio rapporto durante un simposio a Nizza, rivedendone e smussandone i toni. Benissimo, ho risposto, Apogeonline è pronta a pubblicare un aggiornamento, possiamo avere il testo della dichiarazione di riappacificazione di Gartner? Ahimè no, risponde Agnoli, perché non ce ne sono tracce documentali, e gli atti del simposio, da cui forse trasparirebbe la nuova linea di Gartner, sono protetti da copyright e non possono quindi essere distribuiti. Ironia della sorte, le leggi sul copyright negano la difesa proprio a Microsoft, da sempre in prima linea nella tutela della proprietà intellettuale e dei sistemi anticopia.
Non ho fatto mistero del mio imbarazzo: ho obiettato che con tutto il dovuto rispetto, Apogeonline non può pubblicare una smentita soltanto sulla base di una dichiarazione di parte, anche se la parte in questione è Microsoft. In sostanza, prima di accettare l’idea piuttosto stravagante che Gartner bastoni Microsoft in pubblico ma la vezzeggi in privato, mi servono conferme.
Così ho contattato Gartner, che non mi ha affatto confermato questa riappacificazione, ma anzi ha rincarato la dose. Mi ha infatti risposto con un comunicato in cui nota che “IIS ha più problemi di sicurezza dei prodotti concorrenti” e che “di certo non è vero che IIS è il server Web più usato su Internet. Le statistiche di Netcraft mostrano che a luglio 2001, Apache costituiva il 58% dei 28 milioni di server rilevati, contro il 26% di IIS, eppure le statistiche raccolte da Attrition.org indicano regolarmente che i siti IIS sono soggetti a defacement due volte più di quelli Apache“. Unica concessione, la precisazione che la raccomandazione di Gartner non è di migrare da Windows a Unix, ma soltanto di valutare l’opportunità di lasciare IIS, tenendo presente che esistono versioni di iPlanet e Apache che girano sotto Windows. Comunque sia, direi che non è quel che si dice un “volemose bene”.
I cattivi artigiani incolpano gli attrezzi?
Agnoli, tuttavia, non si è limitato a questa difesa obiettivamente piuttosto tenue: ha anche fatto delle considerazioni più sostanziose, sulle quali vale la pena di riflettere. Ad esempio, considera Agnoli, siamo davvero sicuri che passare da IIS ad Apache o Iplanet sia la soluzione ottimale? Dopotutto, dietro ogni server Web c’è un amministratore: se quell’amministratore è incompetente, lo sarà sia con IIS, sia con i prodotti della concorrenza. Forse è il caso di dare il benservito all’amministratore, più che al software.
Obiezione accolta. Tuttavia mi pare doveroso aggiungere che se diamo pessimi attrezzi al migliore degli artigiani, non possiamo pretendere che lavori bene. Quindi un buon amministratore potrebbe obiettare di non poter fare miracoli, se il software che deve usare è un colabrodo. Questo ragionamento si applica al software Microsoft? L’accusa di Gartner sulla eccessiva vulnerabilità del software Microsoft, dice Agnoli, è un “problema di percezione”, perché anche la concorrenza ha le sue brave falle, e non poche, come indicato da articoli come quello di John McCormick su Techrepublic e dal notissimo servizio Bugtraq di securityfocus.com. Lascio a voi fare i conti, con la raccomandazione di tenere presente che quando si tratta di vulnerabilità software, non basta fare il conto della serva, perché non tutte le falle sono uguali: una grave (che consente ad esempio di prendere il controllo del sistema) conta molto più di una piccola (che paralizza il sistema ma non consente l’intrusione).
Un’altra considerazione di Agnoli che condivido pienamente è che ogni utente, ogni azienda, deve dotarsi di una cultura della sicurezza indipendentemente dalla tecnologia che utilizza. Sacrosanta verità: tanti amministratori competenti e diligenti si trovano a fare gli straordinari per colpa di qualche dipendente che ha pensato bene di installare uno screensaver infetto sul proprio PC aziendale. Pensare di rimediare all’incultura informatica usando un software diverso è una fuga in avanti.
Tempo (ir)reale
Trovo invece difficile condividere altre considerazioni di Agnoli. Quando afferma che con il software Microsoft “si può essere aggiornati in tempo reale sulle vulnerabilità man mano che compaiono”, mentre con le altre soluzioni no, mi presenta una strana concezione di “tempo reale”. Giusto per fare un esempio, la celeberrima falla nel servizio Universal Plug and Play di Windows XP è stata divulgata ufficialmente cinque settimane dopo essere stata scoperta da una società esterna (la eEye Digital Services), come riferito dalla bbc.
C’è poi la questione che gli utenti Microsoft non vengono avvisati direttamente dell’esistenza delle falle nei prodotti che hanno acquistato, per cui anche quando Microsoft rilascia la patch che risolve una vulnerabilità, non tutti sanno di doverla installare. “Il fatto che le informazioni sugli advisory non arrivino a tutti è in effetti un problema”, ammette Agnoli, ma Microsoft ci sta lavorando.
Non posso trattenermi dal pensare che acquistare una pagina di giornale per avvisare tutti gli utenti di una falla non richiederebbe un grande lavoro di studio. Forse, ma solo forse, non lo si fa perché sarebbe corretto ma ahimè un tantino controproducente in termini di immagine? Agnoli ha rilasciato queste dichiarazioni prima della direttiva strategica di Bill Gates, che mette finalmente al primo posto la sicurezza, anziché l’aggiunta di funzioni, nei prodotti Microsoft, per cui forse è a questa iniziativa che Agnoli si riferiva. Microsoft ha un’ottima occasione per riconquistare la fiducia dei consumatori, incrinata da una lunga serie di virus e falle altamente pubblicizzate. Speriamo che la sappia sfruttare, per il bene di tutti.
Sei infetto? Ti aiuta Microsoft
Buone notizie, invece, sul versante della sicurezza antivirus: Agnoli conferma che l’assistenza antivirus di Microsoft è d’ora in poi estesa anche alle licenze OEM, ossia alle versioni di Windows preinstallate, che di solito non godono dell’assistenza tecnica diretta da parte di Microsoft ma soltanto di quella offerta dal rivenditore. In altre parole, se usate Windows e un virus vi infetta, potete chiedere aiuto a Microsoft, al numero telefonico italiano 02/70398398 (opzione 1 del menu).
Questo è un netto passo avanti verso una maggiore assunzione di responsabilità da parte di Microsoft per le vulnerabilità dei propri prodotti. Tuttavia potrebbe rivelarsi un boccone costoso e difficile da digerire: che cosa succederà alla prossima epidemia di virus, quando tutti telefoneranno a Microsoft per chiedere il soccorso promesso? Spero non ci sia sovraccarico delle linee, altrimenti gli utenti Windows si troveranno sconsolati senza l’assistenza che è inclusa – almeno in teoria – nel prezzo del prodotto Microsoft. Staremo a vedere.
Canale aperto, restiamo in ascolto
Non mi è stato facile mediare fra il diritto di replica e l’esigenza di non ridurre questo articolo ad una velina aziendale. Spero di esserci riuscito: a voi giudicare. Cosa più importante, spero che si sia aperto un nuovo canale di comunicazione che possa beneficiare i lettori di Apogeonline, dandoci l’opportunità di fornire informazioni ancora più complete.
Forza, Microsoft. Ora avete il mio numero di telefono. Chiamatemi quando volete.