Wired è un magazine di riferimento in ambito tecnologico per milioni di lettori da un quarto di secolo a questa parte, tanto da essere definito da alcuni – compresa Wikipedia – “La Bibbia di Internet”.

E proprio per la sua fama, è strano imbattersi in articoli che producono una reazione di sconforto. Ci era già capitato la scorsa estate con questo, che nel titolo voleva essere un analisi della migrazione a LibreOffice in atto presso il Ministero della Difesa, ma nei fatti si rivelava una inutile e improduttiva iniezione di luoghi comuni (Linux è più difficile di Windows e Mac OS), di disinformazione (“le garanzie dei software commerciali offrono una certa protezione dell’utente e del suo investimento”), e di FUD (“con hardware molto specifico l’utilizzo di software open source potrebbe dare qualche grattacapo”), con rimandi privi di senso ad altri software liberi che nulla c’entrano con LibreOffice e addirittura a presunti problemi legati all’hardware che non risultano a nessuno al di fuori di quell’articolo.

È capitato di nuovo con con questo, anch’esso a firma di Riccardo Meggiato.

Nel sommario si propone di commentare la “classifica dei software con più vulnerabilità del 2016”, preannunciando sorprese peraltro parzialmente svelate già nel titolo. Di fatto si tratta di un tentativo di analisi dei dati relativi alle vulnerabilità dei software, forniti da CVE e riportati su CVE Details.

Il primo momento di sconforto ci viene dall’idea che si possa seriamente pensare di ridurre la questione a una classifica, come se i software fossero dei cantanti al Festival di Sanremo, col vezzo della suspense creata dal dare i risultati in ordine inverso, dal quinto al primo posto, come un Carlo Conti qualsiasi ma senza il televoto.

Il secondo momento di sconforto ci viene dall’osservare che la classifica mette insieme, in un’unica categoria, singoli programmi come Adobe Flash Player, sistemi operativi come Microsoft Windows e intere distribuzioni come Ubuntu, Debian e OpenSuse Leap, per non parlare di Android e della sua frammentazione in un universo di versioni che girano su un universo di dispositivi diversi; per confronto, iOS esiste in una sola versione che gira su un esiguo numero di dispositivi diversi. Non è la stessa cosa. Nel pugilato i pesi piuma e i pesi massimi non gareggiano tra loro, per ovvi motivi.

Qualcosa nell’articolo impedisce di spiegare, per esempio, che “Debian” (ma vale anche per Ubuntu, che da Debian deriva, e per Leap) significa un archivio di oltre 50mila pacchetti installabili, tra cui il kernel (Linux), decine di browser e migliaia di altri programmi, molti dei quali compaiono anche da soli nella classifica, ciascuno con i suoi possibili difetti, che quindi sono sommati in quel conto. Per fare un esempio a caso, la vulnerabilità CVE 216-7117, che riguardava proprio il kernel Linux (versione 4.5.1), è messa in conto a Linux Kernel, ma anche a Debian Linux e a Ubuntu Linux.

Per dire, anche le 95 vulnerabilità di un programma come Wireshark sono ascritte a Debian (provare per credere), nonostante esso non sia installato di default in Debian ma deve essere volontariamente installato dall’utente. Però Wireshark, che è software libero multipiattaforma, può essere ugualmente installato su Windows, eppure non compare affatto nel conto delle sue vulnerabilità. Potremmo allora osservare che sommando a Windows 10 le vulnerabilità di un browser internet – Chrome, Firefox, Edge, scegliete voi: ne abbiamo sempre almeno uno sul nostro pc, no? – superiamo facilmente le 300, che fanno balzare l’ultimo nato tra i sistemi operativi di Redmond direttamente sul podio di questa bizzarra competizione. Per non parlare del fatto che solo Windows è diviso nelle sue varie versioni (anche gli altri ne hanno, sapete?). Il calcolo del risultato della somma delle sue vulnerabilità (che è un numero a quattro cifre) è lasciato al lettore.

Nessun accenno, invece, nell’articolo citato, al concetto di numero di vulnerabilità per numero di righe di codice, che è universalmente considerato il dato più interessante per valutare la qualità del software in rapporto alla sua complessità. Incidentalmente osserviamo anche che il numero di linee di codice è un dato praticamente impossibile da conoscere direttamente per qualsiasi software proprietario, mentre è facilmente reperibile per qualsiasi software libero, tanto che spesso è fornito già pronto da chi non ha niente da nascondere, nemmeno i propri errori.

Il terzo momento di sconforto nasce da una domanda: i problemi di sicurezza sono tutti uguali? Per dirla con parole di moda: “uno vale uno” oppure è possibile distinguerli per gravità? Se sì, vince chi ha 100 vulnerabilità di poco conto o chi ne ha 10 gravi?

La risposta, stavolta, non è dentro di te, ma è già scritta sul sito di CVE Details. Bastava guardare, ma forse l’ignoranza o forse la malafede hanno tenuto fuori questo aspetto dall’articolo. Infatti aprendo una qualsiasi pagina relativa a una qualsiasi vulnerabilità, chiunque avrà notato che ad ognuna viene attribuito un punteggio (CVSS Score) da 1 a 10, con l’aggiunta di uno sfondo colorato dal verde al rosso che lo evidenzia a colpo d’occhio. Il tutto è riassunto in questa interessante – almeno quanto la precedente – classifica, di cui riportiamo qui sotto le prime quindici posizioni, ordinate per voto medio.

Metà dei posti disponibili, tra cui i primi sei, è occupata da prodotti Adobe, con una preoccupante media superiore al nove. Ci sono anche due versioni di Windows. Android, primo nella precedente competizione, scende in questo caso all’undicesimo posto, cioè cinque posizioni dietro Microsoft Office, cinquantesimo nella classifica precedente, settimo con una media di 9.30 su 10. Poche vulnerabilità ma buone. Anzi, ottime.

E gli altri del podio precedente? Debian totalizza un “misero” 42° posto con 6.40, davanti a OpenSuse, Ubuntu e il kernel Linux, che non arriva alla “sufficienza”. L’analisi della “classifica costruttori”, per dirla con l’autore, la lasciamo per esercizio. Si può trovare qui.

Se proprio c’è bisogno di commentare, diciamo che, ad esempio, la rigorosa politica di rilascio seguita da Debian dimostra di produrre i suoi buoni risultati; mutatis mutandis lo stesso può dirsi per le altre distribuzioni basate su Linux, e per Linux stesso. In generale, salvo eccezioni, il software libero occupa la parte bassa della classifica. Pur non essendo perfetto per definizione (in realtà lo dicono solo i suoi detrattori, nessun software lo è), per sua natura tende a risolvere i suoi problemi di sicurezza mediamente più in fretta e meglio di altri, semplicemente perché è così che vanno le cose quando il codice sorgente è pubblico e condiviso: se quattro occhi vedono meglio di due, figuriamoci i milioni di occhi sparsi per il pianeta. Se il codice è lì, ci sarà sempre qualcuno che ha voglia di cimentarsi a risolvere un problema. Se invece è chiuso nelle stanze della “cattedrale”, dovrà attendere la disponibilità dei suoi “sacerdoti”.

Ultimo ma non ultimo: analisi di questo tipo non sono banali da fare, soprattutto quando si parla a un vasto pubblico e si ha l’onore di scrivere sui “testi sacri”. Ma di “vangeli apocrifi”, soprattutto in epoche come la nostra, non abbiamo bisogno.

Marco Alici

Fonte: http://www.techeconomy.it/2017/02/20/la-bibbia-internet-vangeli-apocrifi/