• IL NOSTRO NETWORK:
  • Indigo Communication
  • Technopolis
  • ictBusiness.it
  • TAB Magazine
logo
logo
  • News
    • Hardware
    • Software
    • Servizi
    • Mercati
  • Focus
    • Applicazioni
    • Big Data
    • Business Intelligence
    • Cloud e Virtualizzazione
    • Data Center
    • Gestione Documentale
    • Mobility
    • Networking
    • Privacy
    • Resource Management
    • Sicurezza
    • Sistemi Operativi
    • Storage
  • Scenari
  • Storie di successo
  • Spunti di vista
  • Canale
  • Lavoro
    • Professioni
    • Carriere
    • Corsi
  • Eventi
  • Ti trovi in:
  • Home Page
  • Focus
  • Sicurezza

Quanto è corretta la 'Sicurezza per correttezza'?, continua

Pubblicato il 01 febbraio 2010 da Redazione Pagine: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17

Quanto è corretta la "Sicurezza per correttezza"?, continua

TH: La maggior parte delle persone obietterebbe che comunque la si metta la base di tutto sta nella sicurezza "per design".  Bisogna verificare attentamente il codice, che deve essere scritto con cura sin dal primo momento. Solo in questo modo di ottiene la migliore probabilità di successo, rispetto ad un approccio di correzioni (patch) successive, dovute al fatto che si riutilizza codice che è stato scritto in un periodo nel quale la sicurezza non era una questione importante. Tutti gli altri elementi, come l'isolamento, aggiungono ulteriori layer di sicurezza. È corretto?

Joanna: Io sono piuttosto scettica verso l'idea di "Sicurezza dalla correttezza". Non mi aspetto che le applicazioni, i driver, e il software in generale possano diventare privi di bug in tempi ragionevoli, e probabilmente non potranno mai. Sarebbe meglio concentrarsi sulla creazione di componenti leggeri, che potrebbero davvero essere privi di bug, come gli hypervisor di tipo I, e poi inserirli in un ambiente ben isolato rispetto agli altri componenti, per limitari i possibili danni (per esempio un browser danneggiato, usato per le ricerche quotidiane, non influenzerà il browser sicuro usato per l'home banking). L'industria della sicurezza sembra invece credere all'approccio "Sicuro perché corretto", e che gli sviluppatori, un giorno, smetteranno di fare errori e di inserire bug nel proprio lavoro. O almeno è quello che vogliono farci credere.

Quando leggo notizie su un nuovo bug in IE, o Adobe Reader o Flash Player non posso fare a meno di scrollare le spalle e dire "e allora, che cosa cambia?"

TH: Oggi niente, ma dovremmo comunque tentare di rendere il codice più sicuro, specialmente quando creiamo cose nuove. Prendiamo il tuo esempio del browser compromesso sulla macchina rossa, a confronto con un browser più sicuro su una macchina separato, usato per accedere alla banca. Dov'è il vantaggio nel proteggere un browser che ha uno o più bug, che mi permette di vedere le informazioni di altri?

Joanna: Qui parliamo però di sicurezza dal lato server, mentre fino ad ora ci siamo concentrati sui computer personali. Si tratta di una cosa molto diversa, così come le soluzioni necessarie. Permettimi di chiarire un punto: rispetto molto l'abilità di quelli che cercano e sfruttano i bug nei browser, è un'attività davvero notevole. Ma è irrilevante per chi cerca di sviluppare macchine più sicure, perché non riusciremo mai a chiudere tutti i buchi presenti in IE o Firefox, che sono applicazioni in continuo sviluppo ed espansione. Quando IE7 sarà stato completamente rivisto, bisognerà ricominciare con IE8, e così via. Naturalmente per i produttori di software come Microsoft è più facile rispondere ai problemi, quando compaiono, con una patch. È certamente molto più semplice che prendere un sistema operativo e riprogettarlo da zero, e poi far riscrivere tutti i driver ai produttori di hardware.

Mi sembra curioso come tanti esperti di sicurezza si concentrino su temi di alto profilo tecnico, come l'heap-based overflow, e allo stesso tempo non siano coscienti delle novità introdotte dalle tecnologie recenti e del loro potenziale per aumentare la sicurezza. Certo, è divertente scrivere exploit per le applicazioni, ma entrare in questo rincorrersi senza fine non è certo il modo migliore di rendere i computer più sicuri. Non si migliora la sicurezza cercando bug e scrivendo exploit.

Indietro    Avanti

Continua nella lettura:

  • Pagina 1. Contro i veri hacker non c'è firewall che tenga
  • Pagina 2. Introduzione, continua
  • Pagina 3. Storia sintetica del malware
  • Pagina 4. Storia sintetica del malware, continua
  • Pagina 5. BluePill, la pillola blu
  • Pagina 6. BluePill, la pillola blu, continua
  • Pagina 7. BluePill, la pillola blu, continua
  • Pagina 8. Superare le protezioni hardware
  • Pagina 9. Superare le protezioni hardware, continua
  • Pagina 10. Il malware può flashare il BIOS?
  • Pagina 11. Strategie di difesa
  • Pagina 12. Strategie di difesa, continua
  • Pagina 13. Quanto è corretta la 'Sicurezza per correttezza'?
  • Pagina 14. Quanto è corretta la 'Sicurezza per correttezza'?, continua
  • Pagina 15. Quanto è affidabile un ecosistema eterogeneo?
  • Pagina 16. Quanto è affidabile un ecosistema eterogeneo?
  • Pagina 17. Qualche raccomandazione

 

SICUREZZA

  • 5G e oltre: il 2021 visto con la lente di Palo Alto Networks
  • Un’efficace sicurezza passa anche per i privilegi d’accesso
  • Presente e futuro del phishing, tra covid-19 e click farm
  • Le aree oscure e poco considerate per la sicurezza aziendale
  • Cloud, IoT e 5G, i fronti aperti per la cybersecurity post-Covid
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Eventi
Scopri Technopolis
L’IT agile si mette al servizio del business
Nuove regole per governare la crisi nelle Pmi, il digitale aiuta
La trasformazione digitale riparte dall’Erp con Agevole di SB Italia
Top news
  • Più lette
  • Ultime pubblicate
Per avvicinare le generazioni nasce il Servizio civile digitale
Controllare gli ambienti IT complessi è un’impresa possibile
Robot, analytics, computer vision: le carte vincenti del 2021
Spunti e stimoli per i Cio dal magma in movimento di Aws
L’App Store ha fruttato 200 miliardi di dollari ai suoi sviluppatori
La futura Apple Car self-driving potrebbe essere una Hunday
Elon Musk è l’uomo più ricco al mondo, sorpassato Jeff Bezos
Microsoft Teams migliora le riunioni di lavoro con la “vista dinamica”
Fintech e banche, che cosa ci aspetta nell’anno nuovo?
Infinidat entra in una nuova fase con la nomina di Phil Bullinger
Leggero, trasformabile e potente: ecco Surface Pro 7+ for Business
Smartwatch “soccorritori” e app per "superuomini" fra le novità del Ces
Exynos, ecco il chip di Samsung per gli smartphone Galaxy S21
La Tv si trasforma con il cloud di Amagi e la rete di Gtt
Mazzette ai dipendenti di Leonardo, indagata anche Google
Gli hard disk saranno importanti nel 2021, ecco perché
F5 si rafforza nella gestione dell’edge con l’acquisto di Volterra
Whatsapp, Facebook e la privacy: quali sono davvero i rischi?
Cinquanta chip per 500 computer: le novità Intel del 2021
Uno storage veloce per il calcolo scientifico dell’Università di Pisa
Azienda agile: tutti la vogliono, in pochi riescono ad averla
Mototrbo Ion è la radio smart che può affrontare situazioni estreme
Windows e il cloud di Azure mandano in orbita Microsoft
Europa vs Silicon Valley: Von der Leyen severa con i social network
Da Trend Micro la protezione del file storage nata per il cloud
Numeri telefonici di 553 milioni di utenti Facebook venduti online
Fake news su Twitter, un approccio “comunitario” per sconfiggerle
Huawei zittisce i rumors: agli smartphone Mate ed S non rinuncia
Google, Microsoft, Amazon & Co., paladini della lotta al covid
Nuova strategia di canale per Fujitsu, si punta sulle alleanze
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Scenari
Spunti di vista
Focus
Lavoro
Eventi
Storie di Successo
Partners
Indigo Communication
Technopolis
TAB Magazine
ictbusiness logo
© 2021 Indigo Communication - P.iva 04275830968