WWW: croce o delizia?

Ormai Internet ed i servizi che vi si appoggiano sono diventati parte della nostra realtà quotidiana. Le Pubbliche Amministrazioni utilizzano il Web per gestire il rapporto con il cittadino e semplificare, velocizzando le procedure, gran parte della burocrazia, le aziende propongono i prodotti online aumentandone la visibilità, il socialnetworking ha cambiato il nostro modo di comunicare sia nel privato sia nel mondo business/enterprise (basti pensare ai soli blog aziendali).

Ma le maggiori opportunità comportano anche un maggior numero di rischi: i nostri dati viaggiano in forma di bit attraversando i canali telematici dell’intero globo terrestre, spesso a nostra insaputa e senza che si possa ricostruire né l’intero percorso né le macchine in cui vi sia stata conservata la traccia.

rapportoIBM_S1-2008

IBM ha pubblicato poco tempo fa’ una ricerca svolta dal proprio team di Ricerca e Sviluppo X-Force; questi, oltre che occuparsi dei prodotti Internet Security Systems, ha il compito di analizzare anche lo stato della Rete e delle applicazioni, come fanno la maggiorparte delle grandi aziende coinvolte nel settore della sicurezza informatica (TrendMicro, Kaspersky,F-Secure, Symantec ecc.).

I dati, aggiornati con cadenza semestrale, sono a dir poco preoccupanti.
Circa il 94% degli attacchi viene utilizzato a distanza di 24 ore dalla pubblicazione della vulnerabilità (quel che viene chiamato “zero-day-exploit“), prima ancora che venga quindi rilasciata una patch che tappi la falla; un fenomeno reso possibile sia una mancanza di protocolli per la comunicazione e diffusione delle vulnerabilità stesse (di solito comune dove non vi siano politiche aziendali particolarmente rigide e consolidate in merito alle security-policy) sia all’automazione dei processi di bug-tracking utilizzati da cracker e criminali, ormai organizzati in vere e proprie reti, che si scambiano informazioni e fanno affari a nostro discapito (non a caso i dati della provenienza di malware e spam citano in particolar modo Stati quali Russia, Cina e gli stati dell’Est Europa in cima alla classifica, stati in cui la normativa su privacy e digital rights non sono esattamente all'”avanguardia”, per usare un eufemismo).

I tre maggiori vendor, nella classifica sono Microsoft, HP ed Apple e sono responsabili di più del 50% del resto della top10.

A conferma poi dello spostamento delle attività verso il mondo “online”, in particolare con le tecnologie RIA, il browser occupa ormai il 60% delle vulnerabilità sul totale disponibile per quanto riguarda il lato client. Come si può valutare nel grafico postato, l’attenzione dei malintenzionati si è concentrata soprattutto sui plugin dei browser, che offrendo architetture estendibili (come i prodotti di casa Mozilla), si presta a questi pericoli. Ovviamente ci sono pro e contro: feature quali la possibilità di editing HTML/CSS fa felice molti sviluppatori web, ma rende difficile il controllo di tutte le estensioni disponibili a differenza di altri prodotti quali IE o Opera, dove non solo il core ma l’intera applicazione viene controllata e rilasciata solo dalla casa madre.
Il tipo di attacco maggiormente utilizzato pare essere quello denominato SQLinjection; una conseguenza dell’aumento dei dati e dell’utilizzo di database, non sempre configurati ad hoc e con poca attenzione soprattutto riguardo l’aspetto di validazione.

“Da un grande potere derivano grandi responsabilità” diceva Ben Parker e questo invito dev’essere preso in considerazione sia da noi utenti finali, con una maggiore attenzione sia nella configurazione dei propri strumenti per la navigazione e il fruire in generale di risorse online, sia da parte da parte delle software house che non possono mettere in secondo piano, di questi tempi, l’aspetto della sicurezza, perché magari si ha fretta di rilasciare il proprio prodotto.

Press ESC to close