Estate 2003: tre mesi neri per Microsoft. Tra giugno e agosto il settore sicurezza dell’azienda americana ha dovuto far fronte a quasi 20 problemi di sicurezza che affliggevano sistemi operativi, software di produttività personale, sistemi server. Quasi tutti i software di punta di casa Microsoft, compreso l’ultimo arrivato Windows Server 2003, sono dovuti ricorrere a nuove correzioni.
Regola di buon senso vuole che nessun software potrà dirsi privo di errori di programmazione. Ma se l’azienda si chiama Microsoft e il suo sistema operativo raccoglie più del 90% dell’intero mercato il discorso si fa più delicato. E se poi i problemi non sono uno, ma decine, e se in un caso, quello del protocollo RPC, gli errori di programmazione si trovano anche nella patch che dovrebbero correggerli, tutti siamo autorizzati a domandarci se ci sia qualcosa che non va.
La stessa cosa si sono probabilmente chiesta gli esperti di sicurezza della Computer & Communications Industry Association (CCIA), un’associazione di cui fanno parte nomi come AOL, Kodak, Casio, Sun Microsystems, Oracle, Yahoo! e che da tempo è impegnata ad ammonire il pubblico sui pesanti pericoli rappresentati dal monopolio di Redmond sui software di tutto il mondo.
Ventiquattro pagine intitolate “CyberInsecurity: the cost of monopoly” che hanno per sottotitolo «Come il predominio dei prodotti Microsoft crea i rischi alla sicurezza». Ventiquattro cartelle di accuse ragionate e precise, fondate su due presupposti fondamentali.
Il primo recita che il monopolio di un solo software è un danno per la sicurezza: ogni vulnerabilità di un singolo prodotto che controlla la stragrande maggioranza dei computer degli utenti si rivervebera sulla maggioranza degli utenti. Il secondo presupposto chiama in causa direttamente Microsoft: la complessità dei suoi software, legati a doppio filo al sistema operativo, impedisce di prevenire con facilità i possibili rischi di sicurezza.
Secondo la CCIA, Microsoft avrebbe aggiunto negli anni decine di nuove funzionalità ai propri prodotti e avrebbe «creato inaccettabili livelli di complessità nei suoi software, in diretta contraddizione con i basilari principi di sicurezza informatica». E ancora: «Microsoft ha reso più complessi i propri software non perché la complessità sia necessaria, ma perché garantisce che i produttori di computer, gli utenti e i consumatori usino prodotti Microsoft piuttosto che quelli dei concorrenti».
Una critica netta, a tutto campo, che chiama in causa anche il Governo americano, accusato dalla CCIA di aver siglato un accordo commerciale di 90 milioni di dollari con l’azienda americana e di aver messo così a rischio la «sicurezza nazionale».
A Microsoft si chiede di rendere meno complessi i propri software e di separare le applicazioni più critiche dal sistema operativo, così come fanno, ed è uno dei pochi punti in cui vengono citate le alternative, Linux e Macintosh.
Il principale autore del rapporto, Daniel Geer, dopo la pubblicazione del documento è stato licenziato dalla @Stake, la compagnia per cui lavorava, in seguito alle opinioni espresse nel documento.