Leggevo con colpevole ritardo il report degli NSS labs sull’andamento delle vulnerabilità (qui il PDF).

Molto interessante è questa tabella (cliccate per ingrandire) che riporta i vendor maggiormente colpiti da CVE, facilmente exploitabili nello scorso anno.

La prima cosa che salta subito agli occhi è che, come riportato dal titolo, il software Microsoft è solo decima in classifica. E per giunta è colpita solo dall’1% di tutti i CVE emessi nel 2012.

Sfatiamo subito un mito quindi, un luogo comune un po’ datato ma ancora in voga. Purtroppo anche tra i professionisti e gli addetti ai lavori.

La seconda cosa che risulta guardando l’analisi di NSS è che i sistemi operativi non sono i più colpiti. I primi posti della classifica sono infatti coperti da software ordinario, middleware o plug-in di altri programmi.

Queste due cose messe insieme (il mito di Windows colabrodo e il fatto che siano più facilmente vulnerabili browser e plug-in) provocano un effetto devastante nella gestione ordinaria della sicurezza delle nostre postazioni di lavoro. Sia a casa che, soprattutto, in azienda.

Addirittura devastante come effetto? Eh sì.

Sì perché le informazioni e i dati sono un innesco fondamentale per definire le policy e le azioni legate alla sicurezza informatica, sia essa aziendale o personale.

Partire quindi da pregiudizi, o ancora peggio da informazioni totalmente sbagliate causa delle politiche di sicurezza altrettanto sbagliate, e questo a sua volta apre dei buchi nella nostra (già fin troppo fragile) linea di difesa.

Abbattere il pregiudizio guardando quella tabella non solo è essenziale per rimettere le cose in carreggiata, ma soprattutto per focalizzare la nostra attenzione sui posti dove veramente abbiamo un problema.

Fin troppo spesso infatti le politiche di aggiornamento dei vari asset aziendali spingono su patch di Windows, agent antimalware, agent personal firewall e chissà quale altra amenità.

Poi però abbiamo postazioni di lavoro e, peggio, server su cui gira Firefox 3.6.
Oppure utilizziamo ancora applicazioni che richiedono obbligatoriamente di usare una bella Java versione 5.0.

O, peggio ancora visto che sono i primi della lista, non abbiamo nessuna procedura che controlli l’aggiornamento costante di Flash o di Acrobat Reader. E il secondo è il posto dove passano tutti i PDF che arrivano, e i PDF sono un veicolo fondamentale per diffondere malware e altra robaccia.

L’analisi di questo tipo di rapporti, il leggere attentamente i numeri e i confronti, è e deve essere attività essenziale per chiunque si appresti a definire le proprie politiche di sicurezza. Siano quelle di una realtà con quattro PC o quelle di un’azienda con decine di migliaia di postazioni.

Purtroppo anche i professionisti più navigati cadono spesso in errori di questo tipo. Anzi, spezzo una lancia, in fondo se lo meritano, ci cadono proprio perché applicano ancora modelli non aggiornati alla realtà attuale, che prevede ulteriori fattori (come la facilità di esecuzione di un attacco) e contesti diversi (ad esempio l’uso o l’esposizione di rete di un certo asset o servizio).

I prodotti Microsoft, e Windows in particolare, hanno sì’ comunque un elevato grado di vulnerabilità e sono pesantemente attaccati. Guardiamo la tabella (cliccate per ingrandire) di confronto sulle vulnerabilità comprate dai programmi ZDI e VCP negli ultimi 10 anni.

Microsoft fa sicuramente la parte del leone in questo caso, ma questo dato mostra due cose principalmente:

• la “facilità” di attacco dei suoi prodotti
• l’elevato interesse che ricercatori e hacker hanno nei suoi riguardi (infatti la seconda è Apple).

Ma come usare questo dato allora? Non significa però necessariamente che tutte quelle vulnerabilità siano di elevata criticità, né che siano, come detto nella prima tabella, facilmente utilizzabili per bucare qualcosa.

Quindi è vero che i grandi numeri restano “onori” di alcuni vendor in particolare, ma guardare solo i numeri non serve.

Va sempre considerato il contesto, altrimenti richiamo di focalizzarci solo su un prodotto che ha sì un gran numero di vulnerabilità, ma magari di basso livello o molto difficili da sfruttare. Oppure ci sforziamo molto per proteggere sistemi già protetti da altre cose (come ad esempio i sistemi di protezione perimetrale, o il prodotto antimalware), mentre poi lasciamo utilizzare agli utenti degli altri software di uso quotidiano, mai aggiornati e con plug-in obsoleti e pericolosi.

E in più, in questo scenario già di per se inquietante, quegli stessi software sono estremamente facili da bucare. Basta andare su qualche forum e trovare dei programmi già pronti.

Ecco, la chiave di lettura di utilissimi report come quello di NSS deve essere appunto quella di prendere i numeri con grande spirito critico, mettere in dubbio costantemente le proprie certezze, e cercare di capire dove sta realmente il problema.

E potrebbe non essere il primo della lista, visto che, come diceva Indiana Jones

“X” never, ever marks the spot. 🙂

Bye!

P.S. Molto interessante è il fatto, notato anche dagli analisti degli NSS Labs che nella prima tabella compare anche Advantech, un produttore di sistemi industriali SCADA.

L’attenzione su questi sistemi è in crescita costante secondo NSS Labs infatti

ICS/SCADA vulnerability disclosures increased more than 600% since 2010 and almost doubled from 72 in 2011 to 124 in 2012.

Questo anche perché, come dicono loro stessi, sono emerse nel 2012 nuove tecniche e strumenti per permettere ai ricercatori di sicurezza (sia buoni che cattivi) di scovare meglio falle nei sistemi industriali.

Resta comunque un fronte aperto e pericolosamente in crescita, non solo per lo Stuxnet di cui ha tanto parlato la stampa generalista.