Sicurezza al primo posto

Aprile 2, 2021

sicurezza al primo posto

La settimana scorsa Filippo, mio figlio che frequenta l'ITIS, mi ha rivelato il suo desiderio di imparare a programmare.

Per lasciare campo aperto all’apprendimento di qualsiasi linguaggio con cui muovere i primi passi abbiamo cominciato insieme ad analizzarli, facendo una carrellata sulle principali caratteristiche di ciascuno.

Quelli che gestiscono la memoria direttamente, quelli interpretati, quelli compilati, poi ci sono anche quelli che vengono definiti sicuri.

Una delle caratteristiche che oggi va di moda, ma è sicuramente interessante sono i cosiddetti linguaggi sicuri. Ma cosa vuol dire sicuri?

Che prevengono errori di sicurezza già nella fase di scrittura del codice.

“Sicurezza, non errori di concetto”.

Oggi la sicurezza è al primo posto è qualcosa di trasversale e onnipresente, tutti noi la usiamo e ne facciamo parte in modo attivo e passivo.

Addirittura contribuiamo a rendere le cose più o meno sicure senza saperlo o meglio ignorando la sicurezza stessa.

Attualità

A parte il giro di parole vorrei elencare alcuni casi di recente attualità che dimostrano come i problemi di sicurezza dovrebbero essere al primo posto:

  • Nelle scorse settimane il server di posta per eccellenza: Exchange di Microsoft  (usato anche da Facebook ed altri colossi), è stato attaccato da un gruppo di hacker. Parliamo di falle ZeroDay cioè scoperte al momento. Microsoft è corsa ai ripari ed in poche ore la patch (correzione che sistema il problema) era pronta. Exchange Online è stato subito “tamponato”, il problema ora sono le installazioni on premise presso i clienti sparsi in tutto il mondo. Avvertiti del problema ed istruiti su cosa fare ad oggi moltissimi non hanno fatto nulla. Parliamo di 125.000 installazioni di cui 80.000 senza patch. Fonte qui.
  • Nel marzo del 2019 ho lavorato per un progetto in Francia presso una multinazionale Norsk Hydro. In tutto il mondo, all’improvviso, i suoi 170 stabilimenti sono stati bloccati, le linee produttive fermate. Si è scoperto che tutto era cominciato ben 3 mesi prima, quando un dipendente aveva aperto una mail infetta proveniente (in teoria) da un cliente noto. In questo modo gli attaccanti hanno avuto tutto il tempo di infettare. Pc obsoleti e sistemi vecchi sono stati smantellati. Ma 2 miliardi sono stati stimati per il ripristino e il danno avuto.
  • In settimana un gruppo di hacker ha violato il deposito del codice sorgente git del PHP introducendo una back door (porta segreta di accesso) per la versione 8.1. Una volta scoperta la falla è stata chiusa. Ma il danno poteva essere globale, dato che l' 80% dei siti web mondiali utilizza PHP. Fonte qui.
  • La domotica è a rischio per falle di sicurezza e necessita di continui aggiornamenti.
  • Si sente periodicamente parlare di richiami di autovetture per aggiornamento firmware di sicurezza.
  • Nell’industria 4.0 gli attacchi si fanno a livello produttivo accedendo ai PLC.

Tutto questo non vuole essere terrorismo, ma un monito per sottolineare come la sicurezza dovrebbe essere al primo posto.

Evitare di preoccuparsene mettendo la testa sotto la sabbia, vuol dire dare potere su di noi a qualcun altro.

Video Ted sulla sicurezza del 2016 ma molto attuale

https://www.youtube.com/watch?v=IrauF74kGv0

Cosa evitare

Oggi andrebbero evitati i seguenti comportamenti:

  • “Non aggiorno il mio sistema perché così è perfetto”. È un bel problema, come facciamo a sapere cosa è sicuro e cosa no?
  • “Sul mio PC industriale Windows 7/8 che controlla un centro di lavoro io non faccio nessun aggiornamento perché così è perfetto”. Se fossimo in un mondo isolato e per isolato intendo: no rete, no usb, nessuno scambio se non attraverso la tastiera ed il mouse allora si potrebbe tenere il sistema com’ è. Ma appena si usa una periferica di scambio ci si apre all’esterno e quindi si diventa vittime di eventuali falle di sicurezza, quindi il sistema deve essere aggiornato.

Sicurezza al primo posto

Concetti di sicurezza informatica oggi vanno applicati a tutto ciò che si gestisce: dal software all’hardware.

Aggiornare il firmware degli switch, aggiornare il pacchetto Office, aggiornare il sistema operativo: Windows/Linux/Mac, aggiornare quello che i fornitori ci consigliano di aggiornare.

Molti pensano che non toccherà a loro o non sarà mai il loro caso.

Ricordo che si può essere anche vettori di vulnerabilità.

Si, proprio come per il tristemente noto virus covid19.

Se io ho una falla nel mio sistema, potrei mettere a rischio gli altri, facendo magari da ponte.

Usare sistemi obsoleti e non più supportati espone a grossi rischi, fino ad arrivare a risvolti penali per la mancata gestione della sicurezza.

Insomma non proteggersi potrebbe portare a situazioni come quella in cui si guidi un’auto con tutta la famigli a bordo ed un hacker da remoto potesse frenare ed accelerare quando vuole. Ti piacerebbe?

Insomma la sicurezza al primo posto e con continuità.

Inoltre è un ragionamento frequente ma errato il seguente:

“Ok, mi sistemo ora e una volta fatto è tutto a posto”.

Mantenersi in sicurezza è un processo continuo, che molte volte è meglio delegare a consulenti esterni.

In Enterprise OSS ci sono figure che si occupano di aiutare clienti e colleghi a mettere in sicurezza i propri sistemi informativi.

Comunque Filippo quando deve aggiornare lo smartphone o le app storce il naso, ma io lo raddrizzo subito.

Daniele Corsini - Sviluppatore - Ceo Corsinvest ed EOSS Founder

© 2022 All rights reserved