Sempre un compromesso

Meglio sicuro che facile

di

thumbnail

25

mag

2015

Non toccare ciò che funziona: massima che mostra la corda al momento di affrontare il tema della protezione dal malware.

Le ultime persone che sono venite da me e sono state vittima di un programma tipo ransomware (una brutta cosa che crittografa tutti i vostri file e vi chiede dei soldi per riaverli indietro in chiaro) erano utenti che avevano lasciato aperto su Internet il servizio RDP dei loro Windows Server 2003.

È stato aperto uno specifico CVE per un bug ad altissima criticità che permette di eseguire codice con un alto livello di permessi e di guadagnare il controllo di un sistema.

Il mio amico Antonio ha recentemente acquistato un nuovo PC e ha dovuto acquistarne uno con Windows 7 e questo non perché lui abbia una antipatia personale per le versioni successive della casa di Redmond, ma perché il fornitore del programma che usa per gestire il negozio non gli certificava alcuna altra versione di Windows successiva alla 7 (e gli ha pure detto che se installava XP era meglio).

Per saltare su un altro mondo (quello mobile), Google ha un problema enorme con la frammentazione di Android. Spesso le case costruttrici sono così impegnate a sfornare nuovi modelli che lasciano smartphone usciti pochi mesi prima senza più aggiornamenti anche in caso di vulnerabiltà critiche manifestatesi dopo la presentazione del terminale.

Una botta di fortuna

Moltissimi sistemi che gestiscono infrastrutture vitali per la nostra società (parlo di centrali elettriche, sistemi semaforici, sistemi industriali ed estrattivi di vario genere) sono ancora basati su sistemi operativi obsoleti o, nel migliore dei casi dei casi, non patchati in alcun modo. La gestione dell’aggiornamento di tali computer è spesso così problematica (e ha ripercussioni a catena su altri sistemi critici) che si preferisce evitare del tutto il problema evitando tassativamente di modificarli. Non toccare ciò che funziona è la massima che guida la gestione.

Questo potrebbe anche essere tollerabile per sistemi isolati dal mondo, ma purtroppo non è così. In questi anni di crisi mandare in giro un omino in macchina a controllare lo stato di queste infrastrutture è diventato un costo insostenibile per molte società, che quindi hanno preferito collegare tali sistemi a Internet per poterli controllare da remoto riducendo quindi il costo di manutenzione ad una frazione. Un disastro annunciato. Non abbiamo mezzo mondo in blackout solo per una botta di fortuna.

Patching e aggiornamenti sono un problema sempre più grave e di cui ci si disinteressa senza eccessive preoccupazioni. Microsoft ha dichiarato che Windows 10 sarà l’ultima versione di Windows. Non perché non abbiano intenzione di chiudere la divisione che ha sviluppato il sistema operativo più diffuso al mondo (almeno come prodotto commerciale), ma perché le esperienze passate hanno imposto un cambio di filosofia.

I commenti recenti su Windows 10 durante l’ultima presentazione agli sviluppatori riflettono la futura modalità di erogazione di Windows come servizio, che porta innovazioni e aggiornamenti in maniera continuativa.

Bella idea sulla carta, ma che può far ben poco in certe situazioni. Se una politica di questo genere, sui grandi numeri, aiuterà ad avere sistemi sempre più sicuri (in generale), in alcuni casi specifici non servirà a nulla in quanto non sarà possibile agire in questo modo.

Considerando che si è nelle mani di soggetti terzi, l’unica cosa che si può fare è privilegiare i comportamenti virtuosi e scoraggiare quelli potenzialmente pericolosi. La società che fa quello smartphone fantastico è nota per non aggiornare mai i suoi telefoni? Ci si rivolge, seppur a malincuore, ad altri. La nostra console preferita è collegata ad una rete che viene bucata un giorno si e l’altro pure? Si rinuncia a GT7 e si compra qualcos’altro. Il sistema proposto alla nostra azienda è fantastico ma non è certificato per l’ultima versione del sistema operativo che richiede? Si fanno le dovute rimostranze e si cerca una alternativa.

La sicurezza è sempre un compromesso tra facilità d’uso, comodità e robustezza dei sistemi. Non si può avere tutto. Ma bisogna ricordarsi che se privilegiamo sempre la facilità e il nostro interesse, potremo finire per trovarci in situazioni pericolose o poco simpatiche. E poi sistemare le cose potrebbe non solo essere molto costoso, ma talvolta anche impossibile. Chiedetelo a chi ha pagato per via di un ransomware e non ha comunque più rivisto i suoi dati.




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 3.510 volte | Tag: , , , , , ,

Lascia il tuo commento