Quanto è affidabile un ecosistema eterogeneo?
TH: Forse l'approccio giusto è l'isolamento delle applicazioni e lo sviluppo di servizi sicuri "by design" I server usati per i servizi cloud dovrebbero avere molte applicazioni isolate, ma in questo caso dovremmo ancora fare affidamento sulla "sicrezza per design", giusto?
Joanna: Certo. Come dicevo la sicurezza dal lato server è una questione completamente diversa rispetto a quella dei desktop.
TH: Sembra che noi, come comunità , dovremmo evitare la standardizzazione e la diffusione di massa di hardware e software. Un ospedale, per esempio, può comprare centinaia di computer in colpo solo, tutti dello stesso modello. Se emerge che la scheda madre, o la CPU, hanno un difetto, allora tutta l'istituzione è a rischio. Dovremmo, in casi simili, considerare ecosistemi più eterogenei? Magari dei sistemi Intel e alcuni AMD? Magari mischiando Windows, Mac OS e Linux?
Joanna: Una cosa del genere potrebbe chiamarsi "sicurezza tramite l'oscuramento". Se ci preoccupano gli attachi DoS sarebbe certamente d'aiuto. Se, invece, ci preoccupa il furto d'informazione, che implica un attacco più mirato, allora avremmo solo un falso senso di sicurezza, dando per scontato che l'ospedale usi sistemi operativi comuni, non versioni personalizzate e ricompilate di Linux.
TH: Probabilmente dipende da quanto è sofisticato l'ospedale. Ci sono i server, che hanno un sistema operativo dedicato, e poi i terminali, che in generale sono Windows o Mac.
Joanna: Potrebbero essere anche distribuzioni Linux generiche. Per l'attaccante non farebbe nessuna differenza.