Proprio oggi leggevo di un attacco al protocollo SSL…
Inevitabilmente mi tornano in mente molti (troppi) miei colleghi improvvisati e altrettante nostre pseudo aziende di informatica…
Perché?
Per un motivo molto semplice.
Ammettiamo di dover scrivere un’applicazione web. Ammettiamo altresì che trattasi di un’applicazione importante che necessita di “protezione” SSL. Ammettiamo di usare java e Tomcat…
Tutti sappiamo che basta decommentare alcune righe di codice di un file di configurazione di Tomcat e inserire un certificato in un’apposita cartella. In questo modo, tramite “https”, noi usiamo una connessione SSL e quindi sicura.
Bene.
La mia domanda è (ed è sempre stata) la solita: e chi ce lo dice che è sicuro?
Siamo in grado di dimostrarlo? Siamo in grado di eseguire almeno 5 tipi di attacchi diversi al sistema per verificarne la sicurezza?
Abbiamo un’idea di come si realizza un certificato e perché?
La risposta, condita da mille “balle” utili a cercare di non rispondere, è sempre stata la stessa: no!
Male.
Questo “modo di fare” ci rende “ignoranti” e in balia di quei pochi che sanno di cosa stiamo parlando.
Fino a quando non comprenderemo che non possiamo vendere per sicuro ciò di cui non capiamo un caz.. e quindi non smetteremo di campare per “sentito dire”, l’informatica italiana farà ridere (e non è infatti un caso che non esportiamo una riga di codice!) e sarà anche un pericolo!
Gli “improvvisati” dovrebbero essere banditi dal “giro” e relegati a far cose per bimbi e non applicazioni serie…
Ma non è mica colpa nostra!
La colpa è delle nostre “aziende” di informatica e servizi IT. Esse sanno bene che i loro clienti non hanno le competenze per poter capire se l’applicazione è sicura o meno; al massimo si limitano a verificare che “premendo quel bottone succede ciò che vogliono succeda”. Partendo da questo dato di fatto le “aziende” ne approfittano affidando a dei neo-laureati o dei cretini patentati la realizzazione di applicazioni molto delicate. Perché? Ma come perché? Perché possono pagare i collaboratori la metà di quanto dovrebbero! Tanto l’applicazione (vista dal cliente) alla fine gira!
Vomitevole…
santa verità
l’ignoranza che regna nell IT italiano è drammatica
vige ancora l idea che IT = fai funzionare la stampante