La convinzione di Scott Charney, vice direttore della divisione Microsoft preposta alla sicurezza: «Siamo sempre più rispettati e citati come modello da seguire»
Londra – Sorride Scott Charney, vice direttore della divisione Trustworthy Computing di Microsoft (www.microsoft.com) e fresco consigliere voluto da Obama della Commissione Nazionale di Sicurezza sulle Telecomunicazioni (National Security Telecommunications Advisory Committee – Nstac), il comitato consultivo che supporta la Casa Bianca nella definizione delle strategie innovative; incontriamo Charney qui a Londra in occasione della seconda edizione del “CyberSecurity Summit” (www.cybersummit2011.com/), promosso da East-West Institute. Dall’aria mite, asciutto, l’impeccabile camicia azzurra stirata di fresco, l’executive di Microsoft ci racconta con il suo spiccato accento newyorkese dei notevoli passi avanti compiuti dal gigante di Redmond nel campo della sicurezza.
Data Manager: La Trustworthy Computing Initiative è in pista da quasi dieci anni. Qual è stato il risultato più importante che avete ottenuto?
Scott Charney: Per quanto riguarda la sicurezza direi che il maggior contributo sia rappresentato dall’introduzione del Security Development Lifecycle. Con l’SDL abbiamo cambiato sia il modo in cui oggi sviluppiamo software sia il modo di approcciare la sicurezza. Pubblichiamo libri sull’argomento e abbiamo reso disponibili i tool necessari per farlo, di modo che anche altri possano utilizzare con profitto la nostra metodologia.
Essa ci consente di costruire modelli di difesa che sfruttano l’esperienza che ci deriva dallo studio e l’analisi delle minacce documentate. Questi modelli ci permettono di attenuare le minacce già durante le fasi di scrittura e disegno del codice. Alla fine del processo siamo nella condizione ideale per valutare se e in che misura i nostri prodotti sono pronti – dal punto di vista della sicurezza – per essere commercializzati. Il numero di vulnerabilità, anno dopo anno, è diminuito sensibilmente e, di conseguenza, sono migliorati i nostri prodotti. Questo io credo rappresenti il risultato più importante.
Seven è il secondo sistema operativo a passare attraverso le forche caudine rappresentate dal processo SDL. È soddisfatto dall’impatto che questo processo ha avuto sulla sicurezza di Seven?
Sì. Seven è sicuramente il più sicuro dei s/o di Microsoft. Naturalmente anche gli attacchi sono evoluti e assistiamo a un continuo innalzamento del loro livello di sofisticazione. I nostri sforzi proprio per fronteggiare la versatilità dei criminali informatici sono sempre più intensi.
D’altra parte, poiché parliamo pur sempre di codice estremamente complesso compilato comunque da esseri umani, sappiamo che le vulnerabilità non potranno mai essere pari a zero. Piuttosto, avremo sempre bisogno di tool più evoluti di quelli di cui disponiamo per automatizzare la ricerca di bug ed errori di compilazione, uno dei problemi principali dei produttori di software; si tratta di un problema molto sentito da tutti i vendor del settore. Detto questo mi sento di affermare che in linea generale tutti i vendor e in particolare noi di Microsoft abbiamo fatto e stiamo facendo del nostro meglio.
Non la disturba il fatto che Microsoft sia ancora vista da qualcuno negligente dal punto di vista della sicurezza, nonostante gli sforzi che l’azienda negli anni ha compiuto in questa direzione?
Abbiamo introdotto concetti quali defense in depht e multiple protection, la protezione multipla di modo che, qualora un livello di protezione dovesse fallire, un livello successivo supplirebbe. Neppure gli altri vendor sono rimasti fermi. Ma a essere sinceri credo che nessuno abbia fatto tutto quello che abbiamo fatto noi. Concetti come threat mitigation e incident response process sono universalmente riconosciuti per la loro efficacia.
Oltre 60 aziende hanno deciso di aderire al Microsoft Active Protections Program – Mapp (vedi box, ndr) accettando di condividere le informazioni relative alle vulnerabilità dei loro software con noi e con tutti gli altri membri del programma di protezione; d’altra parte crediamo fermamente che i protagonisti del settore ITC debbano affrontare le problematiche di sicurezza insieme, lanciando iniziative comuni e mettendo in campo strategie atte a contrastare il cybercrime.
Abbiamo messo a punto un modello di patching che, grazie al costante aggiornamento fornito dai nostri bollettini di sicurezza, assicura ottimi risultati ad aziende e istituzioni. Abbiamo compresso sempre più i tempi di esposizione a virus e malware in generale. Tutti questi sono risultati veri che possiamo vantare. Molte persone lo hanno riconosciuto. Siamo stati gli zimbelli della sicurezza, ma oggi un numero sempre crescente di esperti e analisti dice apertamente che si dovrebbero seguire le orme di Microsoft.
Perciò no, non mi disturba. Il problema semmai è quello di non coltivare aspettative non realistiche. Ci sono ancora vulnerabilità nel nostro codice che non potranno mai essere completamente eliminate. Così quando una di queste viene alla luce c’è sempre qualcuno che mi dice: l’SDL è stato un fallimento, non ha funzionato. Non è così. Il nostro obiettivo ideale rimane quello di ridurre a zero le vulnerabilità e con l’SDL riusciamo a correggere ogni singolo bug. Cerchiamo però di essere concreti. Ci viene detto: “Avete speso tutti questi soldi nel programma SDL, ma siete ancora lontani dalla perfezione”. Ecco io credo che in questi termini si tratti di una critica tutt’altro che costruttiva. Qualche volta la gente associa a Microsoft legittime, ma irrealistiche aspettative.
Le recenti sottrazioni di dati avvenute ai danni di nomi importanti hanno riportato d’attualità la richiesta di intervenire con leggi più restrittive. A suo parere quale ruolo dovrebbero ricoprire gli Stati in questa materia?
Credo che legiferare in materia sia utile. Il problema è quello di farlo in maniera realistica. Prendiamo la proposta che periodicamente viene rilanciata di legiferare in materia di sicurezza del software. Una legge realistica potrebbe richiedere la creazione di software che non contenga alcun bug? Oppure che nel processo di scrittura del codice debbano essere utilizzati standard condivisi e metodologie universalmente riconosciute come efficaci? Le cito ancora il nostro SDL. Ebbene io credo che noi questo lo stiamo già facendo. Perciò mi chiedo: che cosa realisticamente si può ancora chiedere che già non facciamo? Vede, io credo che una delle peculiarità positive del settore IT è la mancanza di barriere che limitano pesantemente l’ingresso di nuovi attori. Ebbene interventi legislativi troppo restrittivi potrebbero innalzare queste barriere con importanti conseguenze negative.
Microsoft Active Protections Program
Lanciato nel 2008 il Microsoft Active Protections Program (Mapp), nasce con l’obiettivo di migliorare il livello di protezione dei prodotti che Microsoft offre ai propri clienti. Il programma basato sull’adesione volontaria di aziende produttrici di software e partner, ha nella condivisione delle informazioni e nella tempestività degli aggiornamenti i suoi punti di forza. Gli aderenti al progetto accettano di condividere le informazioni relative alle vulnerabilità dei loro software e Microsoft, da parte sua, fornisce loro – in anticipo rispetto alla pubblicazione mensile dell’aggiornamento per la protezione – i dati relativi alle proprie. Direttamente dal sito (www.microsoft.com/security/msrc/collaboration/mapp.aspx) è possibile verificare la disponibilità di aggiornamenti da parte dei partner e accedere ai loro siti Web. Aderiscono al programma aziende del settore sicurezza del calibro di CA Technologies, Cisco, CheckPoint, F-Secure, Fortinet, IBM, Juniper, Kaspersky, McAfee, Symantec, SonicWall, Trend Micro, Sophos, Websense.
