Il tema della sicurezza in azienda è assai complesso, dal momento che abbraccia un universo fatto di reti e apparati, device e terminali, software e sistema operativi. La garanzia di inviolabilità dovrebbe essere uno standard prioritario, e tuttavia sembra quasi una chimera potervi contare.
Negli ultimi tempi, la polemica ha investito anche i prodotti Microsoft e, guarda caso, in modo particolare il tanto dibattuto Windows Vista.
Ma vediamo in dettaglio cosa è accaduto: dopo OS X anche l’ultimo arrivato dei sistemi operativi client di casa Microsoft è stato pubblicamente sfidato e vinto. Autore dell’impresa un certo Shane Macaulay che, davanti al pubblico presente all’ultima edizione di CanSecWest, hacking contest che si tiene a Vancouver in Canada, è riuscito a violare Vista in meno di quattro ore.
Per “bucare” Vista, Macaulay ha sfruttato una vulnerabilità in Adobe Flash.
Per prepararsi alla gara del vero l’hacker si è “sgranchito le dita” con una versione del sistema operativo di Microsoft sprovvista del recente SP1; poi come da regolamento ha accettato di provare a sfruttare le vulnerabilità su una macchina aggiornata.
Il Service Pack 1 è riuscito a mettere inizialmente in difficoltà Macaulay e a frenare i tentativi di violazione, tuttavia alla fine ha avuto ragione del sistema. Come ci è riuscito? Sebbene le regole della gara imponessero la non-disclosure dei dettagli dei bug sfruttati, almeno fino alla loro risoluzione, Macaulay ha dichiarato di aver utilizzato un baco che sfrutta Java per eludere le misura di sicurezza e rendere inefficace la protezione.
Interessante notare che nonostante l’entità del premio (20000 dollari) per coloro i quali fossero riusciti a violare gli altri sistemi in gara già dal primo giorno, nessuno ci sia riuscito; stesso discorso per la seconda giornata e montepremi dimezzato; nulla però ha potuto impedire che l’impresa riuscisse il terzo giorno, sebbene il vincitore si sia dovuto accontentare di 5000 dollari più il portatile su cui girava il sistema violato.
Macaulay ha affermato che, con più di tempo a disposizione, la stessa vulnerabilità avrebbe potuto essere sfruttata anche su OS X e Ubuntu.
Come dire: un software carente sul piano della sicurezza può provocare danni su qualsiasi sistema operativo. Anche se su questo punto qualcuno storcerà il naso, ciò dimostra che non è sempre possibile imputare a Microsoft tutte le responsabilità per le magagne dei sistemi che realizza.
La seconda lezione appresa da questo particolare esperimento è che, per quanto tempestiva possa essere la release di una patch, ciò non impedirà ai malintenzionati di aggirarla.
Nessuno può farci nulla è la scontata conclusione cui è approdato Macaulay,
perché prima o poi installerai sempre qualcosa che finirà per mettere in pericolo la sicurezza del sistema. Questa volta è stato per colpa di Java, la prossima sarà grazie di qualcos'altro.
Niente di nuovo intendiamoci, ma ripeterlo non fa mai male…
