La responsabile della sicurezza Mozilla su CNet

di Percy Cabello

CNet ha pubblicato recentemente un'intervista a Window Snyder, nominata da poco responsabile della sicurezza Mozilla. Snyder parla del proprio passato, della sua esperienza in Microsoft e delle strategie per migliorare la sicurezza in Mozilla.

D: Come ti sei interessata alla sicurezza?
Snyder: Ho studiato matematica e informatica, che mi hanno portato alla crittografia. Da qui, ho sicuramente sviluppato un interesse nel creare applicazioni sicure e, allo stesso tempo, eludere i sistemi di sicurezza. Una volta diventata programmatrice, ho iniziato a lavorare su applicazioni di sicurezza. Se il codice non aggiunge alcun beneficio per i clienti, forse aggiunge solo dei rischi. Se la gente non lo usa veramente, quel codice dovrebbe andare.

D: Qual è stato il tuo primo impegno professionale?
Snyder: Già agli inizi della mia carriera sviluppavo applicazioni nelle quali la sicurezza era fondamentale. Sono stata anche coinvolta in gruppi di ricerca sulla sicurezza negli anni '90. Alla fine degli anni '90 l'industria della sicurezza è cambiata davvero, è stato l'inizio di Internet Security Systems e di altre aziende. Ci fu finalmente un luogo per poter mettere sul mercato queste capacità e io mi sono spostata dallo sviluppo alla consulenza. Nel 2000 ho lavorato per @Stake. Prima di allora, non esisteva alcuna azienda di consulenza sulla sicurezza pure-play.

D: Qual è la tua filosofia di vita in termini di sicurezza?
Snyder: Che nulla è sicuro. Questa è una cosa importante da ricordare, sia sul lato dello sviluppo software che anche sul lato dei test di sicurezza. Bisogna continuare a pensare a modi di proteggere il sistema, perché ci sarà sempre qualcuno che tenterà di entrare, qualcuno che tenterà di approfittare delle debolezze di un sistema e danneggiare i clienti.

D: Hai passato tre anni in Microsoft. Che cosa facevi là?
Snyder: All'inizio ho lavorato per la Secure Windows Initiative, sviluppando metodologie e lavorando con i diversi product team per rendere ancor più sicuri i prodotti Microsoft. Ho creato un ruolo per chiunque dovesse gestire in toto le parti di sicurezza per il sistema operativo. Microsoft ha qualcuno nel team di Windows che si occupa di localizzazione, qualcun altro che si concentra sulle prestazioni, qualcun altro ancora che si concentra sull'integrazione con i partner. Ci sono tutti questi ruoli ma non c'era nessuno per la sicurezza.

Dopo l'uscita della Service Pack 2 di Windows XP, sono stata una delle prime del nuovo team di community. Ho formalizzato alcune delle cose che prima facevo informalmente, e cioè arrivare alla community di ricerca sulla sicurezza e portarli verso Microsoft. Siamo riusciti ad entrare nella community, raccogliere informazioni e renderle disponibili ai vari team di prodotto. Un esempio del lavoro è Blue Hat, un evento che ho realizzato per far conoscere a Microsoft il genere di speaker che di solito si vedono al Black Hat o CanSecWest.

D: Ora sei qui in Mozilla. Lo vedi come un compito difficile oppure puoi appoggiare i piedi sulla scrivania?
Snyder: Qui ci sono opportunità, Mozilla è davvero una situazione unica per merito della propria community. Possiamo prendere ciò che abbiamo imparato nello sviluppo e nell'ambiente di ingegnerizzazione e renderlo disponibile al resto del mondo. In questo modo altri possono imparare delle lezioni che abbiamo noi stessi imparato durante lo sviluppo di questi prodotti.

D: Che cosa vuoi dire?
Snyder: E' stato fatto un ottimo lavoro. Penso ci sia una grande possibilità per continuare quel lavoro e rendere disponibile all'esterno l'intero processo. Questa è la cosa che più mi entusiasma e cioè che, per la natura stessa dei progetti open source, altre persone possano imparare da tutte le cose che stiamo imparando qui.

In un ambiente commerciale di solito hai software proprietario, che è closed source. La gente vede il risultato ma non può vederne il processo. In Mozilla, beh diciamo in Firefox, è possibile vedere sia il risultato che tutti i passi che abbiamo affrontato.

D: Cosa vorresti dire sulla sicurezza dei prodotti Mozilla?
Snyder: E' stato fatto un grande lavoro.

D: Dunque nulla è sicuro?
Snyder: Nulla è sicuro, perciò esistono davvero possibilità per migliorare.