I software sono più suscettibili agli attacchi

Introduzione

Questa settimana è stata pubblicata una nuova relazione sulle minacce alle sicurezza.La relazione, dal titolo "The Top Cyber Security Risks", è frutto della collaborazione di tre organizzazioni che si occupano di sicurezza: TippingPoint, Qualys e SANS. Nell'articolo sulla sicurezza di questa settimana verrà affrontato un particolare aspetto della relazione: le patch per i software.I risultati di questo studio sembrano indicare che sia le organizzazioni sia i singoli utenti devono aggiornare o modificare il sistema di gestione delle patch per rafforzare la sicurezza.

Vulnerabilità del software - un grande rischio per la sicurezza

Nel corso degli anni sono stati pubblicati vari articoli sulla sicurezza relativamente agli autori dei malware che approfittano delle vulnerabilità dei sistemi operativi e delle applicazioni per diffondere i malware e/o accedere a informazioni riservate.La relazione sopracitata evidenzia alcune interessanti statistiche a questo proposito:

• l'attenzione riservata alle vulnerabilità delle applicazioni è minore rispetto a quella dedicata alla vulnerabilità dei sistemi operativi e il processo di installazione delle patch è più lento
• il numero delle vulnerabilità individuate nelle applicazioni è più alto rispetto al numero delle vulnerabilità rilevate nei sistemi operativi

Una vulnerabilità coinvolge almeno tre diverse parti:

1. Il produttore del software che ha progettato il software con la vulnerabilità e, una volta scoperta la vulnerabilità, potrebbe fornire una patch.
2. La persona e/o l'organizzazione che ha scoperto la vulnerabilità e può segnalarla o meno al produttore del software.Questo soggetto potrebbe anche approfittare della vulnerabilità, mediante malware o altri mezzi.
3. La persona e/o l'organizzazione che utilizza il software con la vulnerabilità.Può installare una patch, se il fornitore la rilascia.

Tra le considerazioni al punto 2, c'è anche la possibilità di divulgare pubblicamente la vulnerabilità. Questo argomento viene trattato ad esempio in questo articolo.
In questo articolo verranno tuttavia approfonditi gli altri due argomenti riportati nell'elenco.

L'attenzione riservata alle vulnerabilità delle applicazioni è minore rispetto a quella dedicata alla vulnerabilità dei sistemi operativi e il processo di installazione delle patch è più lento

La relazione giunge a una conclusione abbastanza ovvia.È probabile che tale osservazione sia vera, dato che:

• con la corretta configurazione, gli aggiornamenti dei sistemi operativi vengono scaricati e installati di frequente
• le vulnerabilità dei sistemi operativi solitamente ricevono più attenzione dai media rispetto alle vulnerabilità delle applicazioni, e la necessità di aggiornamenti è pertanto più evidente
• giustamente, i responsabili della sicurezza IT nelle organizzazioni prestano più attenzione alle vulnerabilità diffuse che a quelle presenti soltanto su alcuni computer (tutti i computer hanno un sistema operativo, ma in genere non tutti utilizzano una specifica applicazione). 

Basandosi su questi presupposti, però, è probabile che gli autori medi e razionali dei programmi malware cambieranno obiettivi.Anziché faticare per sfruttare le vulnerabilità dei sistemi operativi, con un enorme potenziale in una piccola finestra temporale, conviene dedicarsi alle vulnerabilità delle applicazioni diffuse.Sebbene il numero di installazioni sia inferiore, la finestra temporale per sfruttare le vulnerabilità potrebbe essere molto più estesa.

A ciò si aggiunge anche un'altra considerazione:gli aggiornamenti delle applicazioni spesso sono poco pratici.Alcune applicazioni non hanno nessun meccanismo di aggiornamento automatico e richiedono l'installazione di una nuova versione; in alcuni casi, prima di installare la nuova versione è addirittura necessario rimuovere completamente la versione vulnerabile.In altre applicazioni è necessario configurare manualmente la ricerca di versioni più aggiornate.Altre applicazioni ancora dispongono di meccanismi di aggiornamento che ricercano molto raramente le versioni aggiornate.Infine, alcune applicazioni non hanno un sistema per informare l'utente circa la versione nuova (e più sicura) disponibile.

Nel complesso, il risultato è che i software malware che colpiscono le applicazioni (più popolari) in genere prosperano per mesi o addirittura per anni dopo il rilascio di una versione più sicura e/o di una patch per correggere la vulnerabilità.

Il numero delle vulnerabilità individuate nelle applicazioni è più alto rispetto al numero delle vulnerabilità rilevate nei sistemi operativi

Una delle cause ovviamente potrebbe essere che i sistemi operativi sono più sicuri rispetto alle applicazioni.Questo potrebbe essere vero.

Tuttavia, a nostro avviso il motivo principale è da ascriversi al fatto che "i cattivi" sanno che la frequenza di installazione delle patch per le applicazioni è inferiore, come spiegato sopra.La scoperta di una vulnerabilità in un'applicazione usata di frequente ripagherà quindi di più, perché il malware avrà durata maggiore.

Finché la situazione rimarrà invariata, le vulnerabilità delle applicazioni saranno probabilmente le più colpite, almeno nel caso delle applicazioni più diffuse.

Troppe tecnologie per gli aggiornamenti

Come citato sopra, non esistono standard per l'aggiornamento delle applicazioni.

È vero che i produttori dei sistemi operativi (ad esempio Microsoft) utilizzano meccanismi di aggiornamento simili per le applicazioni e per i sistemi operativi.Ed è vero anche che, in alcuni casi, le applicazioni dello stesso produttore dispongono di meccanismi di aggiornamento simili, se non identici.Tuttavia, i meccanismi di aggiornamento variano in funzione del fornitore o dell'applicazione.

Sistemi per la gestione delle patch

In questo contesto sono state create linee di prodotti per cercare di ovviare a questa esigenza: sistemi per la gestione delle patch e degli aggiornamenti.Esistono parecchi sistemi, e le organizzazioni che si prendono la briga di acquistarli, installarli e aggiornarli (ebbene sì!) sono più aggiornate e dispongono di applicazioni più sicure rispetto a quelle che non utilizzano nessun sistema di gestione delle patch/aggiornamenti.

Le aziende più piccole e, in particolare, gli utenti domestici, spesso non possono accedere a questi sistemi perché costano troppo.

Controlli tra le applicazioni

Un caso interessante è il progetto Mozilla, responsabile tra l'altro del popolare browser Firefox, che questo mese ha annunciato che le nuove versioni di Firefox disporranno di un sistema per avvisare gli utenti quando la loro versione dei plug-in di Adobe Flash Player per Firefox non è aggiornata.Questo è un esempio di un produttore di un'applicazione che si assume la responsabilità di proteggere gli utenti dalle vulnerabilità nei prodotti di altri fornitori.

Iniziative dei produttori dei sistemi operativi

Alcuni sostengono che i produttori dei sistemi operativi dovrebbero sviluppare un sistema comune per l'aggiornamento delle applicazioni, tramite patch, aggiornamenti generici dei programmi o entrambi.

Tale sistema potrebbe essere un'API (Application Programming Interface) utilizzabile dai programmatori di terze parti per consentire ai sistemi operativi di accedere ai meccanismi di aggiornamento dei prodotti.Gli utenti e gli amministratori IT potrebbero quindi configurare gli schemi di aggiornamento da un'unica interfaccia, con modalità simile all'esecuzione delle altre impostazioni globali.

Riferimenti

• The Top Cyber Security Risks (relazione del settembre 2009 con dati e analisi di TippingPoint, Qualys e SANS)