Security WatchPassword e carte di credito, Parte 3

Jesper M. Johansson

Indice

Sovraccarico delle tecnologie di aggiornamento
Messaggi sulla sicurezza incoerenti
È una questione di caselle di controllo
Chiamata alle armi

Negli ultimi due numeri di TechNet Magazine, ho illustrato come i professionisti della sicurezza e l'industria dell'IT in generale confondono i consumatori e di fatto ostacolano l'efficacia delle attività volte a garantirne la sicurezza. Nei primi due articoli di questa serie mi sono concentrato su problemi come quelli relativi a soluzioni che forniscono ai consumatori informazioni fuorvianti, sovraccaricano il

flusso di lavoro d'accesso e insegnano cattivi comportamenti. Fino ad ora, ho illustrato molti esempi diversi di come l'industria dell'IT, con i suoi zelanti sforzi per apparire interessata alla sicurezza del consumatore, ha di fatto peggiorato la situazione molto più di quanto fosse necessario. In questo terzo e ultimo articolo dimostrerò che alcune delle più importanti tecnologie a disposizione dei consumatori non sono all'altezza delle aspettative che quei consumatori ripongono in esse. Tutto questo determina la mia chiamata alle armi.

Sovraccarico delle tecnologie di aggiornamento

Uno dei principi primari, un requisito veramente indiscutibile, per garantire la sicurezza elettronica, è tenere aggiornato il proprio software. Quasi tutti i maggiori fornitore di software possiedono ormai qualche meccanismo semiautomatico per tenere aggiornata almeno una parte del proprio software. Tuttavia, la situazione non è così semplice.

Per prima cosa, più software si ha, più software va aggiornato. E maggiore è il numero di fornitori da cui si acquistano software, più sono i meccanismi di aggiornamento con cui si deve lavorare. Questo fattore genera confusione.

Ad esempio, se si lasciano attive le impostazioni predefinite, Internet Explorer® si aggiorna da sé. Ma Internet Explorer è in realtà solo un contenitore per altre tecnologie. Il potenziale impatto di questa condizione è stato dimostrato in occasione della conferenza CanSecWest del 2008, quando Shane Macaulay ha utilizzato una combinazione di vulnerabilità in Java e Adobe Flash per attaccare un Mac. (Al momento della stesura di questo articolo i dettagli erano un po' scarsi poiché il difetto non era ancora stato scoperto). Quello che intendo dire, però, è che sebbene nessuna di tali tecnologie rappresenti un componente incorporato, sono comunque entrambe disponibili nella maggior parte dei computer in quanto largamente utilizzate in Internet. Per entrambe l'aggiornamento è un po' problematico, ciascuna presenta un meccanismo di aggiornamento automatico che però non si attiva molto spesso.

Inoltre, la maggior parte degli utenti finali semplicemente non si rende conto della presenza di tali tecnologie e della necessità di eseguirne l'aggiornamento. In molti casi, queste tecnologie erano state fornite nell'immagine OEM del computer che, per il cliente, è indistinguibile dal sistema operativo. Per quanto riguarda l'utente finale, se non viene segnalato alcun aggiornamento tramite Windows® Update significa che non vi sono aggiornamenti disponibili.

Il secondo problema è che i meccanismi di aggiornamento sono spesso più complicati del necessario. Qualsiasi meccanismo di aggiornamento che non dispone di una modalità completamente automatica è improbabile che venga utilizzato spesso, poiché gli utenti in genere non sanno di dovere eseguire lo strumento di aggiornamento. Inoltre, nella maggior parte dei casi, l'utente deve essere un amministratore per installare gli aggiornamenti. Nel peggiore dei casi, l'utente deve essere un amministratore anche solo perché gli sia notificata la disponibilità un aggiornamento.

Infine, sta diventando sempre più comune per i fornitori utilizzare tecnologie di aggiornamento del software per distribuire software completamente non correlato che l'utente non ha installato, barre degli strumenti e così via. Le tecnologie di aggiornamento del software, da mezzo destinato specificamente alla distribuzione di aggiornamenti per il software sono diventate un mezzo per distribuire software aggiuntivo.

Due casi molto evidenti sono il servizio Windows Update di Microsoft® (illustrato nella Figura 1) e Apple Software Update (illustrato nella Figura 2). Sia Apple che Microsoft hanno scelto di utilizzare i loro meccanismi di aggiornamento non solo per aggiornare il software ma anche per distribuire software nuovo che l'utente originariamente non aveva installato.

Figura 1 Utilizzo di Windows Update per distribuire Silverlight (fare clic sull'immagine per ingrandirla)

Figura 2 Utilizzo di Apple Software Update per distribuire Safari (fare clic sull'immagine per ingrandirla)

Nel caso di Apple, viene offerto sia iTunes che Safari, anche se è stato installato solo QuickTime. È interessante notare che tali i programmi sono selezionati per impostazione predefinita.

Nel caso di Windows Update, il nuovo software distribuito più recentemente tramite il servizio di aggiornamento è Silverlight™. In passato, Microsoft ha utilizzato questa tecnica per distribuire software nuovo. Almeno possiamo dare credito a Microsoft di non avere spuntato la casella per installare il nuovo software per impostazione predefinita.

Questo approccio, ovvero distribuire software nuovo attraverso un meccanismo di aggiornamento, causa due problemi agli utenti. Innanzitutto, molti finiranno per avere sul proprio computer più software di quelli inizialmente installati. Come sapete, tutti i software, di qualsiasi natura siano, presentano dei bug e alcuni potrebbero rivelarsi delle potenziali vulnerabilità di protezione. E alcune di quelle vulnerabilità potrebbero essere utilizzate per alcune forma di attacco. Di conseguenza, un certo numero di utenti riceverà un attacco attraverso il software di cui non ha bisogno o che neanche utilizza, distribuito sul computer attraverso un meccanismo di aggiornamento del software.

Un altro effetto è che gli utenti potrebbero farsi un'idea sbagliata del valore dei meccanismi di aggiornamento del software. Se gli utenti vedono che i meccanismi di aggiornamento del software sono utilizzati per distribuire software nuovo, invece di nuovi aggiornamenti, potrebbero considerare tali meccanismi un inganno e smettere di utilizzarli. Si provi anche solo ad immaginare come si può sentire un utente dopo aver ricevuto un attacco a causa di una vulnerabilità proveniente da un programma che non usa mai, ma che ha ricevuto attraverso un meccanismo di aggiornamento del software.

Per la salute e la protezione dell'ecosistema tecnologico esistono poche cose più pericolose degli utenti che perdono la fiducia nelle tecnologie che dovrebbero proteggerli. Una volta che gli utenti perdono fiducia, quelle tecnologie inizieranno a essere respinte e alla fine cadranno in disuso. Se tecnologie essenziali per la sicurezza, come le tecnologie di aggiornamento,non vengono più utilizzate, l'intero ecosistema tecnologico sarà a rischio. La difesa di questo ecosistema è la ragione per cui Microsoft distribuisce aggiornamenti sulla protezione anche ai computer sui quali sa che viene eseguito software pirata.

Per questa ragione, apprezzo profondamente l'interfaccia di aggiornamento chiara e appositamente progettata di Mozilla Firefox, mostrata nella Figura 3. Spero veramente che Mozilla continui a evitare la tentazione di distribuire software aggiuntivo attraverso il proprio strumento di aggiornamento del software.

Figura 3 L'interfaccia di aggiornamento software per Firefox è una delle più chiare del settore (fare clic sull'immagine per ingrandirla)

Messaggi sulla sicurezza incoerenti

Sarebbe bello se il settore concordasse un messaggio comune da visualizzare ai consumatori. Mentre nell'industria IT la competizione è essenziale, i consumatori dovrebbero imparare il significato di sicurezza. Sfortunatamente, ciò non è facile se l'industria continua a inviare messaggi contraddittori. Francamente, mi accontenterei che ogni azienda fosse coerente nei propri messaggi.

Mentre l'industria probabilmente non concorderà mai un tale messaggio comune, almeno ci dovrebbe essere coerenza e onestà nei messaggi delle singole aziende. Data l'estrema importanza di garantire che i consumatori continuino a fidarsi delle tecnologie di protezione, l'industria nel suo insieme deve fare di meglio.

Allo stesso modo, anche gli utenti si devono chiedere cosa ha veramente valore oggi. Ad esempio, io credo che i software antivirus siano ben lontani dall'essere tanto efficaci ed essenziali quanto l'industria ci spinge a pensare. Considerate il computer che mio figlio di sette anni usa e il computer che si trova nella mia cucina. Entrambi hanno un software antivirus e nei tre anni successivi all'installazione nessuno dei due ha mai lanciato un allarme per qualsivoglia motivo. Ora, non dico che dovremmo abbandonare i software antivirus, ormai rappresentano dei componenti di base dell'ecosistema tecnologico. Ovviamente, se all'improvviso eliminassimo tutti i software antivirus, gli utenti malintenzionati sfrutterebbero rapidamente la situazione e si inizierebbe ad individuare un maggior numero di infezioni.

Qui il punto è che l'industria deve considerare quali sono le funzionalità di cui gli utenti hanno realmente bisogno nei propri prodotti per la sicurezza, quanto efficaci sono queste funzionalità e come le aziende possono comunicare questi bisogni e valori ai clienti. Per come stanno le cose, oggi gli utenti ricevono sulla sicurezza troppi messaggi contraddittori, esagerati e spesso falsi.

È una questione di caselle di controllo

Per fare un esempio, osserviamo che l'industria dei software di protezione è tutta incentrata sulle suite. Oggigiorno, il software di protezione è quasi esclusivamente distribuito come bundle di funzionalità apparentemente non correlate. E praticamente non esistono indicazioni riguardo a quale di quelle funzionalità gli utenti hanno davvero bisogno.

Questo sembra portare a una gara per selezionare sempre più caselle di controllo. Se da una parte gli elenchi di controllo offrono un buon modo per confrontare i prodotti, possono anche dare origine a funzionalità non necessarie o non desiderabili o nemmeno sensate. Dalla figura 4 alla 7 sono illustrati quattro diversi elenchi di segni di spunta di quattro diversi fornitori di software di protezione. È giusto supporre che il prodotto con 17 segni di spunta sia superiore a quello con soltanto 10 segni di spunta?

Io trovo queste figure davvero molto divertenti. Nella Figura 4, il prodotto ha ricevuto un segno di spunta perché è una versione nuova. Il prodotto nella Figura 5 ottiene un segno di spunta perché, sostiene l'azienda, "Ferma gli attacchi provenienti da siti Web nefandi". Il prodotto nella Figura 6 ottiene dei punti extra perché "protegge i bambini online". Ovviamente nessuno vuole un prodotto che non sia in grado di proteggere i bambini. Il vincitore, tuttavia, ottiene un premio per la creatività per avere incluso in una suite di protezione funzionalità quali la pulitura dei registri e la deframmentazione del disco rigido. La prima funzionalità è raramente o completamente non necessaria e l'altra è già presente nel sistema operativo. Infatti, il sistema operativo Windows contiene già le soluzioni per 15 dei 17 segni di spunta illustrati nella Figura 7.

Figura 4 Questo prodotto di eccellenza ha soltanto 10 segni di spunta (fare clic sull'immagine per ingrandirla)

Figura 5 Questo prodotto con 11 segni di spunta deve essere migliore (fare clic sull'immagine per ingrandirla)

Figura 6 Un momento, questo ha 12 segni di spunta (fare clic sull'immagine per ingrandirla)

Figura 7 Questo prodotto che presenta 17 segni di spunta deve essere la soluzione migliore, giusto? (fare clic sull'immagine per ingrandirla)

Qui vediamo alcune tendenze fastidiose. Questi prodotti non solo duplicano funzionalità già contenute nel sistema operativo (fatto non menzionato nel materiale per il marketing), ma fanno anche affermazioni assolutamente false. Ad esempio, nessun software di protezione al mondo può davvero fermare gli attacchi provenienti da qualsiasi fonte, è possibile solo aiutare a impedirli. Né può un qualsiasi prodotto nascondere realmente la nostra presenza agli utenti malintenzionati.

Il problema è che il mercato della protezione dei software è nato in gran parte per proteggere gli utenti dalle vulnerabilità insite nei prodotti creati da altri fornitori. Quei fornitori però stanno facendo costanti progressi nella protezione dei propri clienti e, di conseguenza, l'industria dei software di protezione vede minacciato il proprio modello di business. Comunque, a causa del continuo emergere di nuovi rischi l'industria dei software di protezione ha certamente molto da offrire, ma i fornitori devono aiutare i clienti a gestire il rischio, non semplicemente a proteggersi da quelle che non sono più reali minacce.

Chiamata alle armi

Se c'è una cosa di questa serie in tre parti che vorrei rimanesse impressa nei lettori, è la considerazione che noi, come industria, dobbiamo parlare agli utenti e ai clienti in modo franco. Dobbiamo spiegare quali sono i rischi e come gli utenti possono fronteggiarli. E, infine, dobbiamo iniziare a fornire loro i mezzi per proteggersi.

Ciò che maggiormente mi preoccupa riguardo a queste "soluzioni" è che esiste la reale possibilità che a lungo termine finiscano per danneggiare la sicurezza. Se gli utenti e anche i manager dell'industria IT, credono veramente che questi prodotti risolvano rischi reali per la protezione e soprattutto tutti quei rischi che ingannevolmente affermano di poter risolvere, potremmo perdere l'opportunità per insegnare agli utenti come proteggersi davvero.

Prendiamo ad esempio i sistemi di autenticazione basati su password. Se gli utenti credono di essere davvero protetti dai deboli componenti aggiuntivi ai sistemi di autenticazione basati su password, di cui ho discusso nella prima parte di questa serie, potrebbero assumere atteggiamenti ancor più rilassati e utilizzare password ancor meno sicure. Nei casi peggiori evidenziati in questa serie, la tecnologia di fatto forza l'utente a utilizzare una protezione più debole di quella che sarebbe stata utilizzata se la nuova tecnologia non fosse stata implementata. Questo significa che, nel momento in cui gli utenti malintenzionati scopriranno come sconfiggere questi sistemi, spesso non è così difficile, la situazione sarà peggio di quella attuale. Ciò potrebbe dare origine a un significativo problema di sfiducia e causare l'abbandono di soluzioni realmente valide da parte degli utenti.

È necessario intraprendere sin da ora le azioni necessarie per proteggere l'ecosistema tecnologico che sostiene le nostre aziende. L'innovazione naturalmente va incoraggiata, ma è necessario anche stare molto attenti a evitare che l'innovazione fine a se stessa ostacoli l'analisi dei rischi reali. Altrimenti le misure di protezione saranno solo apparenti e alla fine cederanno.

Lo stesso vale per gli altri esempi trattati. Consideriamo ad esempio l'inutile e ingannevole simbolo di protezione. Non porta assolutamente alcun vantaggio agli utenti, li fa adagiare su un senso di sicurezza malriposto e consente ai fornitori di servizi in linea di rifilare ottimizzazioni che in realtà danneggiano indirettamente gli utenti. Oltretutto, il costo per fornire agli utenti informazioni adeguate in merito è solo di poche migliaia o, nel peggiore dei casi, di qualche decina di migliaia di dollari. È veramente troppo chiedere ai fornitori di spendere questi soldi per cercare di proteggere i propri clienti e le loro attività?

Questa considerazione comporta molte implicazioni. Per prima cosa dobbiamo affrontare la nostra percezione che gli utenti siano incapaci di prendere decisioni e quindi si debba impedire loro di farlo. Gli utenti non sono incapaci di imparare a prendere decisioni. Dopotutto, questi utenti ne hanno prese molte, come decidere di comprare un computer, utilizzare il nostro sito o comprare uno dei nostri prodotti o servizi. Proprio come si deve imparare a guidare un'automobile in modo sicuro, allo stesso modo bisogna imparare a utilizzare un computer in modo sicuro. Oggi gli attacchi sono diretti personalmente agli utenti e non si può fare affidamento sulla tecnologia per prendere decisioni. Piuttosto, le tecnologie di protezione devono essere dei sistemi di supporto alle decisioni e fornire le giuste informazioni al momento giusto per mettere in grado l'utente di fare una scelta intelligente.

Alcune delle peggiori interfacce utente del mondo provengono da soluzioni di protezione, perché le applicazioni sono state pensate o per nascondere all'utente qualsiasi tipo di processo decisionale o per scaricare (in modo per nulla user-friendly) tutti i dati disponibili sull'utente. Nessuno dei due approcci funziona. Il primo mette in pericolo l'utente perché non ci si può affidare alla tecnologia per fare la scelta giusta. E, se si percepisce che la tecnologia ostacola gli obiettivi aziendali dell'utente, non passerà molto tempo prima che venga disattivata. L'altro approccio invece fallisce perché la gente non vuole essere infastidita da indirizzi IP, ID di processo e altri dati apparentemente privi di senso. Vogliono solo sapere cosa fa il computer con le password e le carte di credito. Questo, dopotutto, è il compito delle soluzioni di protezione.

Jesper M. Johansson, Software Architect, si occupa dei problemi di protezione software e collabora con TechNet Magazine in qualità di redattore. Ha conseguito un dottorato in gestione dei sistemi informatici, vanta un'esperienza più che ventennale sul tema della sicurezza ed è MVP per la protezione delle aziende. Il suo ultimo libro è Windows Server 2008 Security Resource Kit.