Cybersecurity & Privacy

Vulnerabilita software: accessi invisibili alla rete

Scritto da Cristiano Pastorello | Feb 8, 2017 11:00:00 PM

 

Hai mai sentito parlare delle cosiddette vulnerabilità ? Sai precisamente di cosa si tratta?

Pensa che alcuni hacker in questo modo sono riusciti a rubare l’album di Madonna “Rebel Heart”, ancora prima che fosse pubblicato.

I nostri PC, server, smartphone e tablet, sono degli oggetti nati per ospitare ed eseguire dei software, ne fanno parte il sistema operativo, Windows, OS, Linux, Android, iOS, le applicazioni, come il pacchetto Microsoft Office, Acrobat Reader, Flash, Java, i browser come Chrome, Internet Explorer o Mozilla e tutte le app che possiamo scaricare da Google Play o Apple Store.

Che ci piaccia oppure o no, ognuno di questi elementi software all’interno del codice di programmazione purtroppo ha dei difetti, alcuni di questi, per loro natura e nostra sfortuna, possono costituire un accesso alla macchina tramite il quale è possibile eseguire delle azioni da remoto senza il consenso e consapevolezza del proprietario.

Quindi sfruttare una vulnerabilita software significa attaccare un’applicazione specifica ma su larga scala, ovvero predisporre una campagna di attacco che ha come obiettivo tutte le macchine sulle quali è presente una determinata versione di una determinata applicazione.

Questo succede perché è impossibile rilasciare un software perfetto e perché le metodologie di attacco sono in costante evoluzione.

Dal punto di vista del Cybercrime la scelta del software da analizzare e poi colpire si basa su due aspetti fondamentali:

  • Diffusione, più è popolare e più sarà preso di mira, perché tramite quel software sarà possibile raggiungere un maggior numero di vittime rispetto un altro meno diffuso e per questo raggiungere più facilmente il risultato voluto.
  • Open Source, un software gratuito oltre che essere sicuramente molto diffuso, non viene seguito e manutenuto in modo stringente sugli aspetti di security, perché in genere le risorse disponibili vengono impiegate per lo sviluppo e l’innovazione del prodotto più che nel patching specifico di sicurezza.

Ora dobbiamo riflettere sul fatto che lo sviluppo di ogni nuova patch sulla sicurezza non può avvenire prima della scoperta della relativa vulnerabilità, quindi il punto è:

come scoprire una vulnerabilità?

In altre parole, cosa deve succedere perché una vulnerabilità sia nota agli sviluppatori e per questo sviluppino la patch?

Io suggerisco questi 3 casi:

  • Un’azienda deve subire un attacco e tramite un’indagine successiva risale alla falla utilizzata.
  • Gli sviluppatori del software la identificano prima del Cybercrime, se il team si adopera perché questo succeda.
  • Un Hacker la scopre e rende nota agli sviluppatori a titolo di sfida.

 Quel che è certo è che il processo di creazione delle patch non è proattivo e proprio come succede per le firme antivirus è necessario ma non più sufficiente, perché si sta osservando una pressione sempre maggiore degli attacchi sul fronte dello Zero-Day.  

Ma allora cosa dobbiamo fare?

Applicare attentamente il patching é importante perché permette di chiudere tempestivamente tutte le vulnerabilità note e questo consente di poter concentrare le risorse umane, computazionali ed economiche nella gestione dello Zero-Day, ed avere così una protezione sulle vulnerabilità e minacce ancora sconosciute.

Anch’io come voi avrei una lista di cose più piacevoli a cui pensare ma per un attimo consideriamo quali potrebbero essere i danni provocati da un attacco, perché mettere sul piatto questi costi per confrontarli con quelli dei prodotti atti ad evitarli, non lascia adito a dubbi su quale sia la cosa giusta da fare.

Io credo che siano queste le considerazioni sulle quali riflettere, dato che alla fine lo scoglio è sempre quello del budget che ci viene assegnato, è necessario far capire adeguatamente a chi prende le decisioni i rischi che si corrono.

Io dico: ben venga proteggerci senza che succeda mai niente, piuttosto che accorgerci di aver commesso una leggerezza.

Ma se proprio vuoi la prova di quali sono le falle di sicurezza della tua rete quello che devi fare è un “Security Check-Up”, scarica questo fac-simile del report generato grazie a questa attività e scopri tu stesso quali sono le informazioni che puoi raccogliere sulle criticità della tua rete.