OpenSSL e software open

Piazza PetrarcaSono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”.

Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti.

Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.

Il problema non è la differenza tra software open e no, ma tra programmi scritti bene e programmi scritti male, senza coerenza e con un sacco di scorciatoie pericolose. Entrambe queste categorie sono ben rappresentate sia nel software open sia nel software commerciale, le due tifoserie contrapposte ritengono che il peggio sia nella controparte.

I bachi corretti sono abbastanza seri, ma sono stati, appunto, corretti. Molti software open e altrettanti software commerciali che dichiarano onestamente di usare parti open stanno già distribuendo gli aggiornamenti; restano purtroppo fuori i progetti open abbandonati e i programmi commerciali che usano OpenSSL senza ammetterlo, compiendo un furto.

È vero che, aumentando la complessità di un progetto (e OpenSSL è stato più volte criticato per la complessità sia degli algoritmi sia dell’implementazione), diminuisce in maniera quasi geometrica la possibilità di compiere un auditing anche da parte di un programmatore quadratico medio. Ma è altrettanto vero che, una volta acceso un faro su un problema di un software open largamente utilizzato, si possono muovere attori importanti per risolverlo. Un software commerciale non avrebbe le medesime chance di raccogliere un volume di fuoco così elevato da parte di attori così diversi tra loro.

Questo è l’aspetto positivo del software open distribuito con licenze tipo GNU GPL che obbligano chi fa modifiche (si presume in meglio) a renderle pubbliche. È anche per questo che Ballmer ha definito Linux un cancro, punto di vista non condivisibile, ma giustificabile da parte di chi basa il proprio business sul software non open.

Solamente il tempo dirà se il modello del software GPL sarà stato vincente, per ora possiamo solo constatare che è stato un componente essenziale del motore della diffusione di Internet e dei servizi correlati.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento