Questioni di responsabilità

Sembra che il temibile Conficker non sia sconfitto ma anzi goda di ottima salute presso le macchine equipaggiate con Windows.

Proprio durante il periodo si Pasqua, nel quale dovremmo essere tutti più buoni…o forse quello è il Natale…poco importa, è ripresa l’attività del temibile worm che da bravo studente si è rimesso al lavoro aggiornandosi con codice fresco.

Oltre alle ovvie responsabilità individuali attribuibili al creatore del codice maligno moltissimi utenti, e non solo, si sono lanciati in un ferocissimo attacco contro Microsoft imputando al colosso dei sistemi operativi parte della responsabilità dei danni provocati da questo worm.

Più precisamente l’accusa è quella di non aver saputo gestire l’emergenza in termini di patch per i sistemi operativi prodotti fino ad ora, certamente una gravissima lacuna che possiamo definire tipica a Redmond.

Con questo non voglio affermare che le correzioni Microsoft ai propri prodotti manchino di efficacia ma sicuramente l’azienda ha una sua politica del tutto particolare per stabilire quando sia il momento giusto per rilasciare una patch, a rigor di logica la riparazione di una vulnerabilità andrebbe eseguita nel minor tempo possibile mentre solitamente i tempi di attesa per lo zio Bill sono molto più lunghi lasciando in questo modo interi parchi macchina aziendali e non in balia dei rischi del momento.

In un certo senso quindi l’accusa degli utenti non è del tutto infondata, se il problema si fosse risolto in tempo questa seconda ondata di Conficker forse si sarebbe potuta evitare, da queste semplici considerazioni nasce una questione di responsabilità parziale di Redmond.

Ma lasciamo da parte la Microsoft per un momento e pensiamo invece al nostro pinguino; in una situazione del genere, ammesso che si possa verificare, è possibile avere una ricaduta di responsabilità come nel caso di Conficker??

Se GNU/Linux rivelasse una grande problematica a livello di sicurezza sarebbe difficile affrontare lo stesso discorso riportato sopra, la natura stessa del sistema operativa fa si che moltissime persone diverse possano mettere mano al codice sorgente delle varie distro sarebbe quindi quasi impossibile stabilire una responsabilità univoca verso un solo soggetto.

Ma vediamo un esempio pratico, ammettiamo che il pacchetto xorg, utilizzato da tutte le distro, presenti una grande vulnerabilità in grado, se ben sfruttata, di spalancare le porte per far accedere un probabile aggressore nel nostro sistema con i privilegi di utente root.

In questo ipotetico caso chi potrebbe essere ritenuto responsabile dell’accaduto?

Verrebbe da dire chi ha scritto il codice xorg ma in una certa misura anche chi lo ha implementato all’interno delle distro potrebbe essere accusato di non aver testato a sufficienza il prodotto.

Ammettendo che questa ultima versione di responsabilità sia trascurabile è possibile attribuire la colpa al team di programmatori che ha scritto il codice di xorg lasciandolo poi aperto e visibile, controllabile e correggibile a tutta la comunità?

La questione, se pur ipotetica, getta a mio avviso le basi per aprire una discussione seria circa il metodo di lavoro che porta all’ottenimento di codice aperto; se da un lato questo sistema incrementa lo sviluppo di software di qualità dall’altro potrebbe creare difficoltà nel momento durante il quale sia indispensabile collocare alcune responsabilità verso singoli soggetti o entità giuridiche.

Che ne pensate?

Aspetto le vostre opinioni.

Ciao a tutti.