Esempio recente: il Bitfi, portafoglio elettronico per criptomonete, la cui pubblicità vantava come "impossibile da hackerare" perché non conserva la password al suo interno, ma si limita a verificarla in pochi millisecondi solo nel momento in cui viene scritta. Addirittura promettevano 250.000 dollari di premio a chiunque fosse riuscito a recuperare la password che l'aggeggio non contiene...
"Impossibile da hackerare! Checcevò? Mettémo, levàmo, eccheccevò?"
È stato infatti hackerato poche ore dopo il lancio sul mercato:
Per la cronaca, l'aggeggio consisteva di una piccola motherboard con sistema operativo Android, di quelle usate normalmente nei telefonini da trentacinque dollari l'uno. Non aveva nessuna precauzione anti-tampering, e si può entrare nel sistema operativo da root, alterare il firmware in modo che mandi la password su internet appena viene digitata sul touchscreen, e consegnare l'apparato taroccato all'ignaro destinatario.
Figuraccia epica di McAfee che aveva vantato l'aggeggio come "unhackable"!
Ok, allora, cari manager, avete imparato la lezione? Sicuramente no. Perciò ve la ripeto:
- la sicurezza di un prodotto/servizio equivale all'anello più debole della catena
- il modo migliore per azzeccare figuracce è vantare caratteristiche tecniche strepitose senza averle prima verificate con pignoleria una per una
- schiaffare un Android su una motherboard da 35 dollari non è "crittografia", ma è stupidità da dilettante cretino
- per azzeccare figuracce mondiali bisogna inseguire maniacalmente le buzzword del momento (blocche-ciàine! stampanza treddì! lòpen zòrze! inaccheràbbbile! bìtte còine! antelliggenzartificiale! fàmo un feisbuch di blocche-ciàine che s'enterfaccia cor la stampànza treddì crìppetata! checcevò? eccheccevò?)
- se l'idea l'ha avuta un manager o un commerciale, abbandonare immediatamente il progetto - non puoi far progettare una barca a chi non ne ha mai costruita una, e soprattutto non puoi farla progettare a chi non ci è mai salito su
- prima occorre avere tutte le idee chiare su cosa si vuole ottenere, e poi si comincia a studiare se il gioco vale la candela (e se il progetto era di una bici, non puoi aspettarti di aggiungere a lavori già iniziati un volante, un motore e altre due ruote per farlo diventare un furgone)
- prima si studiano tutti gli aspetti del progetto (anche quelli secondari), e poi - solo quando tutte le idee sono chiare - si procede a una stima di tempi e costi e fattibilità (e verifica che l'idea non sia nel frattempo divenuta obsoleta o inutile)
- fatta la stima, si investe rigorosamente più del doppio di quello che si era preventivato come tempi e costi, perché l'ottimismo è nemico della realtà
- prima di iniziare i lavori, assicurarsi di avere un piano B e un piano C (D, E, F...) qualora qualcuna delle componenti principali del progetto vadano a farsi friggere
- occorre anche un piano B e un piano C (D, E, F...) per la "imprevedibile" circostanza che sicuramente si presenterà: aggiunte (da parte dei soliti boss, manager, capi e capetti) di nuovi obiettivi in corso d'opera
- se tiri in ballo un'apps per il telefonino ti sei già infognato con le norme di Google e quelle di Apple, più i pastrocchi dei sistemi operativi iOS e Android
- se tiri in ballo la blòcche-ciàine stai già presumendo che decine di migliaia di persone terranno il computer acceso per te 24/365 per garantirti il tuo ecosistema
- se tiri in ballo un servizio su internet stai già ipotecando dei server ad alta affidabilità, in ridondanza, assistiti 24/365 in caso di impallamenti o di "hackerzzz"
- se tiri in ballo la sicurezzzzzzza stai già ipotecando tutto un enorme, fastidioso, pedante, precisissimo e costosissimo protocollo riguardante accessi, password, garanzie, aggiornamenti, eccetera (e alla fine della fiera anche la crittografia ma non quella "fatta in casa")
- la tua "grande ideona"? qualsiasi sia, l'hanno già brevettata diversi anni fa, solo che ha un nome più tecnico.
Nessun commento:
Posta un commento