La sicurezza parte dalla mentalità. Lo spiega Microsoft

[Redazione di Hardware Upg]

Link all'Articolo: https://edge9.hwupgrade.it/articoli/...oft_index.html

Abbiamo parlato con Cyril Voisin, consigliere capo della sicurezza in Microsoft, riguardo come l'approccio di Microsoft sia cambiato nel corso degli anni e di come l'azienda guardi al futuro, tra IA e lavoro da remoto, in un contesto in continuo cambiamento e che richiede investimenti massicci nella sicurezza, nonché un cambio di mentalità

Click sul link per visualizzare l'articolo.

[nx-99]

Sì, la sicurezza che con il closed source non poi sapere cosa esegue il tuo device.

[jepessen]

Quote:

Originariamente inviato da nx-99

Sì, la sicurezza che con il closed source non poi sapere cosa esegue il tuo device.

Neanche con l'open source se e' per questo. Voglio vedere quanti utilizzatori di software open source vanno ad analizzare il codice per capire quello che fanno. Il bachi infatti sono presenti anche li, con in piu' il fatto che essendo open source stanno li fin quando qualcuno non si prende la briga di risolverli, invece di avere un supporto tecnico a cui puoi segnalare i problemi.

Ho segnalato diversi problemi su netbeans ed eclipse e sono ancora li. Ho segnalato dei problemi con visual studio e li risolvono quasi sempre nelle release incrementali.

[WarDuck]

Quote:

Originariamente inviato da nx-99

Sì, la sicurezza che con il closed source non poi sapere cosa esegue il tuo device.

Edit: correggo il tiro.

Questo è vero _solo parzialmente_, puoi sempre disassemblare il binario, anzi paradossalmente è l'unico modo per capire cosa sta eseguendo realmente il tuo device.

In ogni caso è solo un tassello della questione. Heartbleed ti dice niente?

In generale poi seguendo un approccio globale no-trust, dovresti farti l'hardware in casa.

[najmarte]

con zero password si intende usare il biometrico o analisi comportamento? O combinazioni di queste e altre strategie?

[pachainti]

Quote:

Originariamente inviato da nx-99

Sì, la sicurezza che con il closed source non poi sapere cosa esegue il tuo device.

Essere open source è una condizione necessaria, ma non sufficiente, per avere trasparenza, certezza e sicurezza del funzionamento.
Inoltre, occorrono reproducible builds e possibilmente audit del codice sorgente.

[Riccardo82]

@jepessen cazzo non dirglielo che poi la gente come lui non dorme la notte.. ;-)

uno dei luoghi comuni che avrò sentito 1213123 volte.

Ed il brutto che in università spesso ste idee trovano terreno fertile poi si va a lavorare e cucù ....

good night..

[Slater91]

Quote:

Originariamente inviato da najmarte

con zero password si intende usare il biometrico o analisi comportamento? O combinazioni di queste e altre strategie?

Tendenzialmente accesso tramite dati biometrici, ma non solo. La verità è che nessuno ha bene idea di come cambiare le cose, ci sono un po' di proposte ma nulla di più concreto (sia chiaro: le tecnologie ci sono, semplicemente non c'è accordo su cosa usare).

[WarDuck]

Quote:

Originariamente inviato da pachainti

Essere open source è una condizione necessaria, ma non sufficiente, per avere trasparenza, certezza e sicurezza del funzionamento.
Inoltre, occorrono reproducible builds e possibilmente audit del codice sorgente.

Essere open source rende le cose accessibili a tutti ed in generale facilita nel fare quello che dici.

In ambito mission critical non ti basterebbe, così come non ti basterebbero anche i soli audit del codice sorgente. Ad esempio i compilatori potrebbero (come spesso fanno per altro) alterare il tuo codice per tentare di renderlo più veloce e violare alcune assunzioni di fondo del codice che hai scritto. Quindi hai bisogno anche di controllare i compilatori e il codice generato.

In generale il codice che un programmatore scrive NON è il codice che viene eseguito. Senza contare che poi entra in gioco anche DOVE questo viene eseguito. Lo stesso identico processore che esegue lo stesso identico binario, potrebbe non girare nella stessa maniera, ad esempio se il microcodice alla base della CPU è diverso (certo, si può questionare filosoficamente se sia lo stesso identico processore ).

Comunque, gli audit del codice possono essere fatti anche per codice "closed" al pubblico. Che è un po' quello che avviene in ambienti mission critical.

In generale il solo fatto che un codice sia "closed" non è indice di nulla in termini di security, né in bene né in male. Puoi solo affermare che sia closed, e cioè non accessibile al pubblico.

[cdimauro]

Esatto. Peraltro il codice closed è almeno "sicuro" quanto quello open.

Quella del software open "più sicuro" di quello closed è soltanto una favola che circola da tempo, ed è dimostrato essere sbagliata.

[zbear]

"Voisin lo spiega così: "alla fine cos'è il software sicuro? È software che fa quello che dovrebbe fare e non fa nient'altro" DOPO aver fatto quella mostruosità che è Windows 10, infarcito di tutto quello che non serve (tranne che a M$)? Ipocriti .....