Quanto è corretta la "Sicurezza per correttezza"?, continua
TH: La maggior parte delle persone obietterebbe che comunque la si metta la base di tutto sta nella sicurezza "per design". Bisogna verificare attentamente il codice, che deve essere scritto con cura sin dal primo momento. Solo in questo modo di ottiene la migliore probabilità di successo, rispetto ad un approccio di correzioni (patch) successive, dovute al fatto che si riutilizza codice che è stato scritto in un periodo nel quale la sicurezza non era una questione importante. Tutti gli altri elementi, come l'isolamento, aggiungono ulteriori layer di sicurezza. È corretto?
Joanna: Io sono piuttosto scettica verso l'idea di "Sicurezza dalla correttezza". Non mi aspetto che le applicazioni, i driver, e il software in generale possano diventare privi di bug in tempi ragionevoli, e probabilmente non potranno mai. Sarebbe meglio concentrarsi sulla creazione di componenti leggeri, che potrebbero davvero essere privi di bug, come gli hypervisor di tipo I, e poi inserirli in un ambiente ben isolato rispetto agli altri componenti, per limitari i possibili danni (per esempio un browser danneggiato, usato per le ricerche quotidiane, non influenzerà il browser sicuro usato per l'home banking). L'industria della sicurezza sembra invece credere all'approccio "Sicuro perché corretto", e che gli sviluppatori, un giorno, smetteranno di fare errori e di inserire bug nel proprio lavoro. O almeno è quello che vogliono farci credere.
Quando leggo notizie su un nuovo bug in IE, o Adobe Reader o Flash Player non posso fare a meno di scrollare le spalle e dire "e allora, che cosa cambia?"
TH: Oggi niente, ma dovremmo comunque tentare di rendere il codice più sicuro, specialmente quando creiamo cose nuove. Prendiamo il tuo esempio del browser compromesso sulla macchina rossa, a confronto con un browser più sicuro su una macchina separato, usato per accedere alla banca. Dov'è il vantaggio nel proteggere un browser che ha uno o più bug, che mi permette di vedere le informazioni di altri?
Joanna: Qui parliamo però di sicurezza dal lato server, mentre fino ad ora ci siamo concentrati sui computer personali. Si tratta di una cosa molto diversa, così come le soluzioni necessarie. Permettimi di chiarire un punto: rispetto molto l'abilità di quelli che cercano e sfruttano i bug nei browser, è un'attività davvero notevole. Ma è irrilevante per chi cerca di sviluppare macchine più sicure, perché non riusciremo mai a chiudere tutti i buchi presenti in IE o Firefox, che sono applicazioni in continuo sviluppo ed espansione. Quando IE7 sarà stato completamente rivisto, bisognerà ricominciare con IE8, e così via. Naturalmente per i produttori di software come Microsoft è più facile rispondere ai problemi, quando compaiono, con una patch. È certamente molto più semplice che prendere un sistema operativo e riprogettarlo da zero, e poi far riscrivere tutti i driver ai produttori di hardware.
Mi sembra curioso come tanti esperti di sicurezza si concentrino su temi di alto profilo tecnico, come l'heap-based overflow, e allo stesso tempo non siano coscienti delle novità introdotte dalle tecnologie recenti e del loro potenziale per aumentare la sicurezza. Certo, è divertente scrivere exploit per le applicazioni, ma entrare in questo rincorrersi senza fine non è certo il modo migliore di rendere i computer più sicuri. Non si migliora la sicurezza cercando bug e scrivendo exploit.