Microsoft: un anno di Trustworthy Computing

È passato ormai un anno da quando, il 15 gennaio 2002, Bill Gates inviò una lettera a tutti i dipendenti della sua compagnia lanciando una nuova parola d’ordine: il Trustworthy Computing. «D’ora in avanti», aveva scritto Gates, «tra aggiungere nuove funzioni o risolvere questioni di sicurezza, dobbiamo scegliere la sicurezza».

La crociata del Trustworthy Computing (letteralmente “calcolo affidabile”) era stata pensata dal Chief Technology Officer Craig Mundie, l’uomo considerato da molti la vera testa della compagnia di Redmond. Mundie si era reso conto che i continui problemi di sicurezza dei software Microsoft stavano minando il più prezioso dei mercati nel quale la compagnia esercita la sua leadership: quello degli enti e degli uffici pubblici. Bisognava fornire ai governi e alle pubbliche amministrazioni software sicuri e flessibili, per i quali non ci fosse la necessità di scaricare un patch ogni due settimane e che fossero aperti alle esigenze dei singoli clienti istituzionali.

Gli investimenti messi in campo da Microsoft per raggiungere questo scopo sono stati imponenti: 200 milioni di dollari, 11 mila tra dirigenti e sviluppatori mandati ad aggiornarsi in tema di sicurezza, l’uscita di prodotti di punta della compagnia, come Windows 2003 Visual Studio di .NET, rimandata per renderli compatibili con le nuove direttive di affidabilità; la settimana scorsa Microsoft ha formato un consiglio composto da accademici provenienti da 14 università europee e statunitensi con il doppio scopo di trovare nuove soluzioni (estranee alle strette logiche aziendali) per il problema della sicurezza e di introdurre il concetto di sicurezza nell’educazione universitaria dei futuri sviluppatori di software.

Tanti sforzi non sembrano però aver dato risultati tangibili. Il frutto più concreto della nuova politica di Microsoft è l’apertura di parti dei suoi codici sorgente ai governi di tutto il mondo. Per il resto, nell’ultimo anno Microsoft si è vista costretta a pubblicare 72 bollettini di sicurezza in risposta a centinaia di vulnerabilità scoperte nei suoi software. E se è vero che ad ogni nuova vulnerabilità scoperta Microsoft non manca di far avere in tempi relativamente brevi una patch, d’altro canto la reputazione della compagnia non esce bene dal diluvio di bug scovati ogni mese nei suoi software.

In realtà, se l’obiettivo del Trustworthy Computing è rendere i software sicuri e affidabili come il telefono («se stacchi il telefono dalla presa e lo porti in un’altra stanza», ha spiegato Mundie, «sei sicuro al 99,9999 per cento che funzionerà») la sua realizzazione non sembra a portata di mano. Lo ha chiarito lo stesso capo della sicurezza di Microsoft per la Gran Bretagna, Stuart Okin, in una recente intervista: «Il Trustworthy Computing è una visione del futuro», ha dichiarato: «parliamo di 10 o 15 anni».

Niente calcoli affidabili in Windows 2003, per intenderci: il ritardo nel lancio del nuovo sistema operativo server di Microsoft, è soltanto un palliativo. «I due mesi di ritardo», ha scritto Scott Bekker su ENT Magazine, «capitano dopo due anni di sviluppo. I programmatori stanno rivedendo un codice che è stato scritto prima che la sicurezza diventasse una priorità della compagnia». Che l’obiettivo sicurezza assoluta non sarà raggiunto in tempi brevi lo si capisce considerando, ad esempio, la confusione che regna in casa Microsoft per quanto riguarda l’installazione delle patch: la politica decentralizzata della compagnia ha portato allo sviluppo di otto differenti installer per le patch, così che non tutte le applicazioni riescono a verificare con la stessa attendibilità il successo nell’installazione di una patch. «Stiamo cercando di ottenere due soli installer entro due anni e uno in seguito», ha dichiarato a questo proposito Okin.

Ogni anno Microsoft spende 5 miliardi di dollari in ricerca e sviluppo. I 200 milioni dedicati al Trustworthy Computing sono soltanto il 4 per cento di questa somma. Da questi 12 mesi di sperimentazione un dato emerge con certezza: Microsoft dovrà aumentare e non di poco gli investimenti se vorrà raggiungere i suoi obiettivi.