Sicurezza

Heartbleed, l’etica open source ci avrebbe salvati

Come sanno i nostri lettori, Tom's Hardware sta seguendo passo dopo passo l'evoluzione dell'"affaire Heartbleed", cioè la "gravissima falla di programmazione in OpenSSL". Buona parte del problema, ha scritto pochi giorni fa Valerio Porcu, sta nel fatto che lo sviluppo di OpenSSL ha sempre sofferto di una drammatica carenza di fondi, il che è paradossale se si pensa che su di esso si fonda la sicurezza di centinaia di migliaia di siti web in tutto il mondo. C'è chi sostiene che OpenSSL sia troppo danneggiato e non si possa riparare, e per questo è stato avviato il progetto LibreSSL.

Anche i colossi del web, che finora hanno lucrato su OpenSSL senza investire, stanno cercando una pezza, con un investimento di 3,6 milioni di dollari nel progetto Core Infrastructure Initiative coordinato dalla Linux Foundation. Guardate questa immagine, ci sono proprio tutti (o quasi): Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace, VMware.

Le tredici grandi aziende hanno deciso di contribuire ognuna con centomila dollari l'anno per i prossimi tre anni. C'è chi parla di un progetto di prevenzione senza precedenti. Perché lo scopo principale di questa iniziativa comune è proprio imparare dagli errori del passato e non ripeterli. Già, tutti speriamo che la stalla sia stata chiusa in tempo, prima che i buoi siano fuggiti, perché il bug potrebbe aver colpito fino a due terzi dei server di tutto il mondo e ormai il termine Heartbleed sta togliendo il sonno ai security manager di tutto il mondo.

Perché allora non ci hanno pensato prima, i colossi digitali, a scucire i soldi? Una risposta, inquietante, la fornisce il professor John Naughton, docente di tecnologia della Open University e editorialista di The Observer.

"Le implicazioni di questo caso – scrive Naughton – sono tanto affascinanti quanto preoccupanti. Quasi tutto il software libero (come OpenSSL) è prodotto grazie al lavoro volontario e gratuito degli appassionati. Un uso responsabile del software open source da parte delle aziende dovrebbe quindi prevedere una certa reciprocità: una grande impresa che trae grandi vantaggi da questi software dovrebbe dare qualcosa in cambio, fornendo un sostegno economico a un particolare progetto open source o, meglio ancora, incoraggiando i suoi programmatori a contribuire al progetto. Se i colossi di internet avessero usato questo approccio con OpenSSL avrebbero potuto scoprire prima la falla prodotta da Heartbleed e oggi non ci troveremmo nei guai".

La conclusione del ragionamento del professor John Naughton è più che condivisibile:

"A volte la scelta etica è anche quella più lungimirante".

Cioè, i big del mondo digitale sono costretti a sborsare oggi 3,6 milioni di dollari per cercare una soluzione che ieri sarebbe costata molto meno e non avrebbe rischiato di mettere in scacco la sicurezza informatica globale.