Un codice di sicurezza per i sistemi operativi?

Il Center for Internet Security (Cis), organo che rappresenta una coalizione di diversi gruppi di utenti Internet, ha rilasciato una prima bozza di standard minimo di sicurezza per sistemi operativi. Partendo dalle specifiche riguardanti Solaris, il Cis intende introdurre analoghe liste di requisiti per piattaforme come Windows, Linux e altri dialetti Unix. Secondo il consorzio, la definizione di un insieme di regole di sicurezza rappresenta il tentativo di incoraggiare gli sviluppatori a perfezionare le barriere protettive che dovrebbero circondare i loro sistemi operativi. Solaris è stato scelto come punto di partenza proprio perché viene spesso utilizzato come componente critica nelle infrastrutture dei sistemi finanziari, militari e di e-commerce.
Nell’ambito di questa iniziativa, il Cis ha anche distribuito un programma software per ambiente Solaris con il quale è possibile verificare la configurazione di un sistema e stilare una pagella di conformità a una “soglia prudenziale di dovuta attenzione”. Il Cis riconosce, al contempo, che nessuna organizzazione può dirsi immune da attacchi di tipo denial of service o da altre metodologie di attacco, almeno finché i suoi sistemi sono collegati alla Rete. Un problema reso ancora più complesso dall’abitudine di consegnare computer e programmi con già attivate parecchie funzionalità e servizi di dubbia utilità. Proprio per questo motivo, conclude il Cis, è ragionevole pensare di introdurre e cercare di rispettare uno standard minimo di sicurezza. Il software utilizzato per il benchmarking viene tenuto costantemente aggiornato grazie ai rapporti di buon vicinato che intercorrono tra il Cis e altri gruppi per la sicurezza, come l’Internet Storm Center e il Computer Emergency Response Team. All’organizzazione appartengono oltre 170 membri tra cui Visa e Lucent.