Il partito della lista bianca

Cercare vulnerabilità nel software è un lavoro. Molti lo svolgono per passione e hanno comunicato in modo responsabile il risultato delle loro ricerche, così da minimizzare il rischio per gli utenti nel tempo che intercorre tra la scoperta della vulnerabilità e la sua correzione. Come previsto in uno studio condotto sul mercato delle vulnerabilità da iDefense nel 2006, i vendor del software hanno dovuto iniziare a pagare per ottenere queste informazioni.

As government, open and underground markets continue to grow, vendors will be forced to reassess the policy of not paying researchers for vulnerability research.

Come era prevedibile, preso atto del valore delle vulnerabilità (ed esiste un bel documento in proposito presentato al convegno del Chaos Computer Club del 2006), molti hanno iniziato a tentare di massimizzarlo. Qui il limite è la fantasia, dote di cui molti di questi ricercatori – come Vupen, di cui abbiamo recentemente trattato – sono abbondantemente dotati. Esistono quindi fiorenti mercati per queste informazioni e chi vi partecipa non pensa di fare alcunché di male: faccio software, funziona e lo vendo come tutti. Lo scopo per il quale sarà usato mica è un problema loro, no?

La realtà è che il mercato delle vulnerabilità è in sviluppo sin dal 2000 e si stanno affacciando sulla scena soggetti privi di quell’aura di romantica criminalità o giovanile sfacciataggine cui si pensava indulgenti in passato. Sono professionisti e guadagnano molto bene. Sono il frutto di un settore in cui si è pensato che i programmi fedeltà ben retribuiti fossero sufficienti per drenare il mercato nero, si è pensato che scrivere le “firme digitali” basandosi sui vettori dell’attacco invece che sulle vulnerabilità fosse più efficace.

Il software è vulnerabile. Tecniche di whitelisting possono aiutare a limitare i danni, così come accorgimenti di comune buon senso. Ad esempio:

1. Avete in ascolto applicazioni che non vi servono? Spegnetele.
2. Avete davvero bisogno di fare tutte quelle cose sullo stesso PC usato, ad esempio, per l’homebanking?
3. Il computer vi parla. Diari di bordo (log), allarmi e segnali possono mettervi per tempo sul chi vive
4. Controllate il computer: andate a caccia di errori di configurazione e programmi inutili, fate pulizia!
5. Quando comprate un nuovo accessorio, provate a informarvi su come hanno gestito problemi di sicurezza in passato. Non è una garanzia che si ripetano in futuro, ma è sempre preferibile sapere con chi si ha a che fare. Per esempio potreste iniziare compulsando questo ottimo archivio.