Cookie free: nessun "biscotto" per spiare i lettori

Insicurezza dei sistemi informatici, la saga continua

Privacy e sicurezza - Andrea Gelpi* - 8 gennaio 2018

La notizia dei giorni scorsi della vulnerabilità di molti dei processori costruiti negli ultimi vent'anni è solo l'ultima di una catena infinita di notizie di vulnerabilità dei sistemi informatici che usiamo tutti i giorni.

Ed è proprio la grande quantità di dispositivi interessati dal problema che pone seri rischi di sicurezza per chiunque. La portata del rischio probabilmente non è ancora completamente chiara.
Ovunque si legge che i costruttori e i fornitori di software stanno facendo le corse per rilasciare i correttivi che dovrebbero sanare queste vulnerabilità.
Ma il problema non è tanto se il correttivo arriverà in tempo, prima di qualche malware .Il vero problema è altrove.

Quando i correttivi saranno resi disponibili, ciascuno dovrà provvedere ad installarlo sul proprio dispositivo. Ma quanti saranno i dispositivi che verranno aggiornati? Se guardiamo ai dati forniti da vari rapporti sulla sicurezza, si nota che quasi la metà degli attacchi riusciti negli ultimi due anni erano dovuti alla non installazione di correttivi già rilasciati da tempo.

Per alcuni sistemi l'installazione di correttivi va testata su ambienti appositi, poi pianificata e normalmente causa un'interruzione del servizio. E' un'attività lunga e spesso con qualche incognita sulla buona riuscita. Su grandi infrastrutture il lavoro è lungo e richiede numerose risorse.

Poi esistono tutti quei dispositivi che per meri motivi commerciali, pur funzionando benissimo, non sono più supportati dai fornitori. Molti dispositivi hanno una vita commerciale di meno di 2 anni, poi vengono sostituiti da nuovi modelli. Ma funzionano ancora benissimo e spesso non vi è motivo per sostituirli. Questi dispositivi pertanto rimangono collegati alla rete, ma non sono più aggiornabili. Ciò significa che quando si scopre una nuova vulnerabilità, come quella di cui stiamo parlando, dopo la "morte" commerciale del dispositivo, questo non potrà più essere aggiornato e rimarrà vulnerabile. Il fornitore non rilascerà il correttivo per i dispositivi che lui considera obsoleti.

Possiamo affermare tranquillamente che dei tantissimi dispositivi vulnerabili a quest'ultimo caso, molti di quelli costruiti più di due anni fa ed ancora in servizio, rischiano di restare senza aggiornamento e non potranno essere resi sicuri.
Che cosa si può fare per difendersi da questo ennesimo problema? Veramente non c'è modo di avere prodotti informatici più sicuri, con meno vulnerabilità? C'è chi afferma che i sistemi sono ormai talmente complessi che è impossibile sanare le potenziali vulnerabilità a priori. Credo sia vero, tuttavia qualche cosa forse si può fare.

Qualche mese fa ho testato uno dei tanti software disponibili per verificare le vulnerabilità presenti nei programmi. Ho analizzato i sorgenti di una piccola applicazione per Android e il risultato è che più o meno il numero di linee di codice corrispondeva al numero delle vulnerabilità presenti. Certo, molte erano ripetute più volte. Poi ho fatto una seconda analisi solo sulle librerie fornite dal sistema Android. Con sorpresa il numero delle vulnerabilità era ancora più o meno uguale al numero delle linee di codice esaminate. In altre parole le librerie fornite con il sistema contengo potenzialmente molte vulnerabilità. Se un programmatore scrivesse un'applicazione senza vulnerabilità, la stessa sarebbe comunque potenzialmente vulnerabile per via delle necessarie librerie.

I governi vorrebbero legiferare su vari aspetti della rete, spesso con proposte semplicemente inutili, o facilmente aggirabili, proprio per via della struttura della rete. Credo ci siano due aspetti che si potrebbero considerare.

Il nuovo regolamento europeo della privacy contiene il principio della cosiddetta "privacy by default and by design". E' una cosa estremamente importante, ma non aspettiamoci miracoli, probabilmente ci vorranno molti anni prima che realmente cambi qualche cosa. Però l'Europa potrebbe pretendere dai grandi produttori che i loro software siano esenti da potenziali vulnerabilità. Il controllo potrebbe essere facile e veloce. Security by default imposta ai fornitori.

Un secondo punto su cui puntare è imporre ai produttori di fornire i correttivi per la sicurezza per almeno 5 anni dalla data di fine produzione. Ciò permetterebbe di ridurre il numero di sistemi vulnerabili, ma non più protetti, senza costringere gli utenti a continue e costose sostituzioni per garantire la sicurezza dei dati gestiti.

* Ingegnere