L’attacco hacker e i rattoppi

L'attacco ha avuto successo a causa di numerosi server non aggiornati

Le prime analisi dell’attacco hacker dell’ultimo fine settimana dicono che sia stato fatto utilizzando una vulnerabilità nota da tempo, per la quale era già stato distribuito il patch (rattoppo in Italiano). Il successo dell’attacco è dipeso dal fatto che numerosi server non avevano proceduto all’aggiornamento.

Un giornale commentava: coloro i quali non hanno aggiornato il software si sono comportati come quelli che, quando una casa automobilistica richiama le vetture per un problema di sicurezza, non la portano dal concessionario e continuano a circolare come se nulla fosse.

Il paragone è corretto, ma trascura il fatto che, se una casa richiamasse le automobili anche solo una volta all’anno, perderebbe tutti i clienti.

Nel software invece, per evitare rischi, ci si è adattati a scaricare gli aggiornamenti, che spesso sono rattoppi di sicurezza, parecchie volte al mese.
In realtà non si tratta di evitarli, ma solo di minimizzarli, poiché spesso i bug di sicurezza vengono scoperti allorché un hacker li utilizza.

Qual’è la differenza tra i due settori?
Soprattutto un termine che nell’informatica è venuto di moda troppo tardi:
“Security by design”, cioè “sicurezza nativa”, pensata fin dal momento della progettazione.

Nel campo dei computer la sicurezza non era considerata una priorità, anche perché, prima della diffusione globale di internet e quindi delle interconnessioni a larga scala, il controllo dell’accesso fisico al computer ed agli archivi magnetici era già considerata una discreta difesa.

Ricordo che nel 1992, alla presentazione in Italia di Windows NT, gli addetti consideravano come grande novità la necessità fare il login con una password. D’altra parte per i personal computer, che fino a quel momento avevano fatto la fortuna di Microsoft, non se ne sentiva la necessità.

Inoltre la pressione del “time to market”, maggiore nell’informatica rispetto all’industria automobilistica spesso portava a trascurare la sicurezza, sia perché allunga i tempi di implementazione che perché il suo ROI non è visibile finché non succede un disastro.

Anche riguardo il collaudo ormai per le auto è passato il tempo in cui l’esperienza la faceva il cliente.

Per il software accade il contrario, 50 anni fa il software veniva testato in fabbrica, oggi il collaudo è fatto dagli utenti, con le versioni alfa, beta, beta finale, e come abbiamo visto, anche con le release messe sul mercato.

Infine, mentre nel campo dell’automobile un ventennio è sufficiente per rinnovare quasi tutto il parco macchine ed avere in strada mezzi progettati ex novo con sicurezza nativa, nell’informatica abbiamo continuamente nuove release che quasi sempre si basano sui sistemi precedenti.

Per esempio una delle supposizioni più diffuse del motivo per cui Microsoft ha deciso di saltare “Windows 9” e passare direttamente a “Windows 10” è che non si sia voluto correre il rischio di trovare “windows9” come riferimento a Windows 95 e 98 nel codice di programmi ancora in uso.

Si tratta solo di una supposizione, ma il solo fatto che sia plausibile ci da un indice di quanto sia difficile penetrare nei vari strati di software.
Quello che è certo è che molto del software attualmente usato non ha sicurezza nativa e che, se non ci sarà un cambio di mentalità, dovremo continuare con i rattoppi.