Archivi tag: eventi

Non è andata come solito…

Del Pwn2Own avevo parlato giusto un anno fa, ma si è appena conclusa l’edizione 2012. Ci sono delle novità, anche se nel segno del discorso che avevo affrontato lo scorso anno.

Con una grossa sorpresa però. Ma andiamo con ordine.

Stavolta il primo a cadere è stato Chrome (ad opera dei soliti Vupen).
Ma quella che potrebbe apparire come una notizia disarmante (e infatti c’è stata parecchia ironia da parte della stampa non specialistica), in realtà rientra in una specifica strategia che Google ha adottato di recente. E lo ha fatto anche con lanci abbastanza clamorosi, come promettere un milione di dollari (in totale) come ricompensa per trovare delle falle di, appunto, Chrome. La ricompensa era inserita nella cosiddetta “Pwnium challenge“, un evento collaterale al Pwn2Own vero e proprio, dovuto principalmente ad un cambio di regole della competizione “ufficiale” che ha creato qualche rosicata polemica con qualche partecipante storico, che infatti non si è presentato.

In ogni caso, analogamente a quanto detto per Microsoft lo scorso anno, Google ha riproposto la stessa attenzione verso la scena hacker, considerando i ricercatori di sicurezza una risorsa, non una minaccia.

Per la cronaca Vupen ha bucato anche IE9, e Firefox è caduto per uno zero-day a cui ha lavorato anche un ricercatore italiano Vincenzo Iozzo, e mi sembra giusto segnalarlo.

Ma ho parlato di una sorpresa prima, già.
La sorpresa è che nessuno ha provato a bucare Safari.

Già, proprio così. Sarà stato il cambio delle regole, sarà stata la taglia messa in campo da Google, chissà. Fatto è che nessuno aveva pronto un attacco per il browser della mela.

Dopo quanto detto questo cosa vuol dire? Diverse cose.
Che nessuno aveva tempo per trovare uno 0day per Safari. Trovare queste vulnerabilità non è facile, richiede tempo e fatica. Oppure che la versione attuale è davvero sicura? Ovvio che no, niente è abbastanza sicuro da resistere a lungo, e prima o poi i buchi escono fuori.

Il mio parere è che la strategia di Apple, in merito a come gestire la sicurezza dei suoi software (per quanto fatti bene), era e resta errata. Ma staremo a vedere…

Bye!

Piccoli hacker crescono…

Le ultime settimane sono state abbastanza turbolente nel mondo dell’InfoSec.

Oltre ai clamorosi attacchi dei mesi scorsi abbiamo assistito ad un proliferare di piccoli eventi che, stavolta in particolare, si sono svolti contro enti e aziende italiane di rilevanza nazionale.

Non voglio però parlare di questo, si è già detto molto, quanto focalizzarmi su due eventi minori che sono passati un po’ sotto traccia sui media mainstream.

Il primo è l’arresto in Gran Bretagna di Topiary. Topiary è il (presunto) portavoce del movimento Lulz Security, il “braccio armato spiritoso” di Anonymous e di tutto il movimento AntiSec. Per una panoramica più dettagliata su cosa vogliono dire questi movimenti vi rimando, oltre all’ottima Wikipedia, ad un articolo molto ben scritto da Matteo ‘lastknight‘ Flora.

Ora Topiary, al secolo Jack Davis, ha 18 anni.

La seconda notizia è che al DefCon si è svolto quest’anno, per la prima volta, l’evento DefCon Kids. Questo evento è già il segno di un grande apertura mentale ed attenzione nei confronti dell’avvicinamento dei nativi digitali alla scena hacker. Questa è una naturale conseguenza del fatto che le persone che sono nate quanto Internet già esisteva stanno crescendo e stanno comprendendo in pieno tutto ciò che il cyberspazio permette loro di fare, stanno iniziando ad imparare e, soprattutto, stanno agendo.

Durante il DefCon Kids una ragazzina, CyFi, ha mostrato una “vulnerabilità” di alcuni giochi per iOS e Android. In pratica spostando l’orologio è possibile far crescere le risorse dei farming games più velocemente, e quindi velocizzare lo svolgimento del gioco. CyFi ha in pratica cambiato e pensato fuori dallo schema. Poca cosa magari, ma c’è un piccolo particolare.

CyFi, che è anche co-fondatrice del DefCon Kids, ha 10 anni.

Questi due eventi apparentemente non collegati tra loro in realtà sono le facce di una stessa medaglia, che impareremo a conoscere nel prossimo futuro. Sono collegati perché più passerà il tempo più i nativi digitali cresceranno e cominceranno a capire cosa non gli piace del mondo. E cercheranno di cambiarlo, in meglio in peggio non importa. Perché a 18 anni è essenziale avere un ideale per cui combattere, in cui credere.

E, permettete una nota personale, in un mondo lobotomizzato dalla tv e dal consumismo estremo, vedere ragazzi che credono in qualcosa fa tornare indietro di 30/40 anni, quando l’unica cosa che importava era cercare di cambiare il mondo. A tutti i costi. E questa per me è una cosa molto positiva.

Si faranno errori e si subiranno le giuste punizioni, ma andranno avanti. Fa un po’ sorridere a tal proposito vedere la lettera degli hacker “storici” (2600, CCC, e compagnia) in cui si chiede al movimento di smettere e si condannano le loro azioni. Peccato che questi gruppi hanno sì fatto la storia del movimeto hacker, ma ora sono il passato. Un passato che, agli occhi dei giovani, sembra solo un gruppo di dinosauri che sta lì ad occupare posti di prestigio senza pensare di andare in pensione.

Del resto, seppur da prendere in estrema considerazione la loro lettera e le loro raccomandazioni, loro agivano per tutt’altro scopo. Agivano per la conoscenza, per permettere a tutti di accedere alle risorse dell’informazione. Gesti nobili, che hanno anche gettato le basi dell’internet odierna. Ma non agivano per cambiare il mondo, e infatti non hanno cambiato granché.

I nativi digitali come Topiary, tutte le crew di AntiSec e persone come CyFi invece seguono questa idea. E non serve chiedere “ma capiscono quello che fanno?”, perché la risposta è si! Lo sanno benissimo, basta guardare un bambino di tre-quattro anni come maneggia un iPad, basta vedere come impara velocemente cosa fare e come funziona, basta vedere come impara lui a voi qualche trucco o scorciatoia.

Del resto non vi ricordate, se siete della mia generazione, di quando voi a 12/13 anni programmavate il videoregistratore per i vostri genitori?

Solo che ora non si tratta di registrare 90° minuto, si tratta di defacciare siti, sputtanare l’inettitudine di chi dovrebbe essere “esperto”, far capire al mondo che si lotta per un ideale. Che si lotta anche per cercare di cambiarlo, questo mondo.

E ideali forti e grandissima abilità sono una miscela devastante. Perché un’abilità superiore a quella di quasi tutti quelli che stanno dall’altra parte della barricata è un’arma vincente, ma se si unisce ad un ideale (l’ultimo tweet di @topiary dice “You cannot arrest an idea“, e sono parole da incorniciare), allora si crea una valanga che non si fermerà facilmente. Forse non si fermerà mai…

We are Anonymous. We are . . We do not forgive. We do not forget. Expect us.

Il meglio del Security Summit 2011

Logo Security SummitFinalmente (con un po’ di ritardo devo dire…) sono stati pubblicati gli atti del Security Summit 2011 a Milano.

È possibile quindi procedere con un’analisi degli interventi a cui ho assistito e che ritengo comunque più significativi.

Ricordo che dei keynote avevo già parlato.

Parto subito dalla fine, ovvero dall’evento satellite che ha chiuso le prime due giornate del Summit, l’Hacker Film Festival. Devo dire che è stato senza dubbio lo spazio più piacevole del convegno, sia per l’atmosfera informale che per l’apertura della discussione tra chi presentava i corti e i (pochi, per fortuna) spettatori rimasti. Lo spazio era veramente amichevole e ha permesso di dialogare sulla cultura hacker, sulle problematiche che da anni affrontiamo nel campo delle libertà civili. Il tutto dimenticando per un attimo l’ambito lavorativo e tornando alla passione che, in fondo, ci spinge a fare quello che facciamo. Poter discutere di queste cose con gente come Perri, Ziccardi e i soliti Chiesa/Pennasilico poi, vale sicuramente la fatica di chiudere 12 ore di incontri. E poi offrivano anche l’aperitivo! 🙂

Ma veniamo agli interventi regolari.

Attacchi alle infrastrutture virtuali: l’intervento di Pennasilico/Nencini ha ripreso i concetti di sicurezza dei sistemi virtualizzati di cui si parla praticamente da quando esistono. Rimane tuttavia attuale poiché noto che molto spesso chi si occupa di queste piattaforme, soprattutto dal lato sistemistico, non conosce il rischio derivato dalla possibilità di effettuare un escape from VM (e il link è del 2007). Questo sia per una estrema difficoltà nell’eseguire l’attacco, sia nel fatto che forse (…) i vendor di tecnologie di virtualizzazione tendono a non evidenziare troppo i problemi di sicurezza. Tra virtualizzazione e cloud poi ho apprezzato molto il discutere di come il perimetro attuale che conosciamo (isolato da firewall, ips e quant’altro), abbia ancora senso. La chiave ancora una volta è analizzare e progettare bene le proprie infrastrutture e i propri sistemi. Senza farsi prendere dalla moda del momento (che sia cloud o virtualizzazione o, in molti casi, entrambi) e senza ragionare con schemi ormai antiquati (ad esempio pensare solo a difendere il perimetro o trattare gli host virtuali come se fossero fisici).

Mobile Security: Rischi, Tecnologie, Mercato e Rischi ed opportunità nell’utilizzo degli Smartphones: Raoul Chiesa (in entrambi gli interventi) e Philippe Langlois (solo nel primo) hanno presentato prima una tavola rotonda (molto animata, come sempre quando c’è Raoul) sulla sicurezza dei dispositivi mobili e poi un intervento più mirato al malware. La chiave è stata senza dubbio la comprensione che i principali scopo degli attacchi ai telefonini è il billing. Sia malware che truffe classiche hanno come obiettivo far chiamare la vittima dei PNR (Premium Rate Numbers) da cui trarre grossi profitti. Devo dire che una soluzione possibile, a livello aziendale, per proteggersi è senza dubbio quella di stipulare contratti con gli operatori mobili che non permettano di eseguire queste chiamate. Magari resterà da proteggere i dati e le reti, ma almeno si risparmieranno un po’ di soldi. Il discorso è poi spaziato agli attacchi diretti all’infrastruttura del carrier ma lì, tra Femtocell e SS7 mi sono un po’ perso. Ammetto la mia ignoranza in materia e mi sto già aggiornando…

Application security dal modello tradizionale al Cloud: la presentazione di Riccetti/Gai ha posto enfasi su un argomento che mi interessa particolarmente, ovvero i processi di sviluppo di applicazioni sicure, in ambito cloud computing. In particolare il concetto di secure engineering, quando parliamo di software sicuro, è ancora più attuale se si sta progettando un’applicazione in-the-cloud. Anche se possiamo sparare un insieme di buzzwords (IaaS, PaaS, Private Cloud, ecc.), il punto da tenere a mente è che sono fondamentali ancora una volta un’ottima analisi dei requisiti e una seria progettazione architetturale. Perché possiamo continuare a parlare di parole in aria (o nella nuvola) quanto vogliamo, ma se non vengono recepiti correttamente i requisiti che l’applicazione deve soddisfare, e se non viene progettata in modo sicuro by-design e ragionato, allora i rischi sono tanti: lock-in, loss of governance, data leakage, dos applicativi, ecc. Insomma non bastano i tool e i prodotti, bisogna metterci la testa e non fidarsi mai dei vendor!

Cloud, Security, SaaS, ed altre meraviglie: come uscirne illesi! ancora Alessio Pennasilico e Antonio Ieranò parlano di sicurezza del cloud e degli altri servizi (il tema era molto presente, come prevedibile, durante tutto il Summit). Ancora una volta analisi dei pro e dei contro ma, appunto, ancora una volta viene ripetuto che bisogna fare analisi prima di imbarcarsi in un’impresa che potrebbe solo creare problemi. E non va fatto perché “è di moda“, “quegli altri ce l’hanno” o cose del genere (e si sentono…).

Seminario a cura del Capitolo Italiano di OWASP: oltre al riepilogo delle attività del progetto e del capitolo italiano fatte da Matteo Meucci, c’è stato un’illuminante talk di Giorgio Fedon sui Falsi miti nell’uso dei tool automatici, per l’analisi delle applicazioni web. Illuminante non tanto per chi, come me, è abbastanza conscio delle problematiche dell’analisi delle applicazioni, quanto per una platea generale ed molto vendor-oriented come può essere quella del Summit. E in fatti molti nasi si sono storti, mentre Giorgio parlava… Il succo in sostanza è che un’azienda che ha le risorse per acquistare questo tipo di tool (che costano molto) non può poi limitarsi semplicemente a farli girare ed aspettare i risultati, come se fossero un’enorme lavatrice di vulnerabilità. Deve invece analizzare molto criticamente i risultati che tirano fuori, scremarli con personale addestrato e, comunque, non scordare mai che un code review manuale e un pentest effettuato da specialisti non può essere sostituito da questi strumenti. Le argomentazioni sono senza dubbio interessanti, la mia opinione è che comunque questo tipo di strumenti in una realtà grande non può mancare. Vuoi perché un team di penetration tester non è proprio disponibile sempre, vuoi perché, se implementati con criterio, possono comunque aiutare parecchio. Importante anche il talk di Paolo @thesp0nge Perego, che ha purtroppo annunciato la prossima deadline del progetto Owasp Orizon, e sta quindi ricercando collaboratori. Se potete e volete aiutare, fatelo.

Infrastrutture Critiche vs Cyberthreats: Chiesa e Fabio Guasconi hanno riportato le ultime novità sulle minacce del cyber-warfare, riprendendo un po’ quanto detto da Schneier, e ricollegando il tutto al lavoro svolto dagli enti internazionali per emettere degli standard (ISO 27001 e seguenti) capaci di recepire e normare le procedure da effettuare in ambito sicurezza informatica. Molto interessanti gli argomenti di Raoul, soprattutto sapere che c’è una nazione, l’India, che prevede esplicitamente in una legge di usare tecniche di hacking per difendere le strutture critiche nazionali in caso di cyber attacco. Molto interessante anche la classificazione fatta da Chiesa dei rischi provenienti da determinate nazioni: la Russia è il paradiso dei cyber criminali, mentre dall’Ucraina vengono molte botnet, ecc. E che tutte le principali nazioni “a rischio” hanno comunque precise politiche di cyberwarfare già in essere da più di dieci anni. Considerato questo e considerato che gli hacker più pericolosi individuati dall’Hacker Profiling Project sono proprio quelli militari/governativi non è proprio una situazione in cui stare tranquilli. Soprattutto non stiamo proprio parlando di fantascienza… anche perché il paragone fatto da Chiesa tra armi tradizionali e cyber-armi è stato parecchio inquietante, considerati soprattutto i danni già fatti da queste ultime.

Spero di aver fatto un discreto riassunto delle sessioni più rilevanti, almeno per me.

Tutti gli altri atti sono sul sito e, se ci riesco, sarò anche a giugno al Security Summit Roma Sperando soprattutto che ci siano cose nuove.

Bye!

Security Summit 2011 – I keynote

Logo Security SummitTerminato il Security Summit di cui avevo già parlato, si possono trarre le conseguenze e riflettere su quanto discusso nei tre, intensi, giorni del convegno.

Premetto che questa terza edizione ha confermato la qualità di questo evento. Grande partecipazione di pubblico, e un’agenda davvero ricca di percorsi adatti alla professionalità di molti.

Detto questo vorrei discutere dei tre keynote del Summit, con ospiti internazionali portati come al solito da nobody.

Aggiornamento: il Security Summit ha pubblicato i propri atti, ho aggiunto le slide dei keynote, cliccate sui nomi degli speakers.

Jon Orbeton

Uno degli esperti del team anticrimine di PayPal ha aperto il Summit con quello che ritengo essere il keynote più interessante. Orbeton ha presentato i metodi e gli strumenti con cui eBay/PayPal proteggono i propri interessi e i propri clienti. Quella che potrebbe essere una cosa inventata, alla Penelope Garcia per intendersi, è in realtà un’attività quotidiana e molto, molto interessante. Orbeton ha illustrato le principali tecniche di OSINT, mostrando il loro utilizzo in casi reali, che molto spesso hanno portato ad arresti da parte delle forze dell’ordine.

Questo è stato uno dei punti chiave del suo intervento: la collaborazione con le forze dell’ordine. Negli Stati Uniti tale tipo di collaborazione è molto diffusa, sia perché strutture come FBI sono molto ricettive in tal senso, sia perché le società hanno una forte spinta a sopperire alle scarse risorse delle polizie, e raggiungere più velocemente l’obiettivo di fermare il truffatore/spammer/cyber-criminale che sia.

Questo tipo di interventi avviene molto più spesso di quanto non possiamo pensare noi, nemmeno a farlo apposta proprio in questi giorni è uscita la notizia che l’anticrimine di Microsoft, in collaborazione ovviamente con le forze dell’ordine USA, ha pesantemente colpito la botnet Rustock. Quindi non stiamo parlando di fantascienza, ma di mondo reale.

Le tecniche presentate, che vanno dal reverse engineering all’analisi di dati presenti e soprattutto passati su forum, domini, informazioni su società e molto altro, non sono in sé complesse da padroneggiare, ma prevedono soprattutto una forma mentis molto avanzata.

Questa è infatti la nota dolente, sia che le società IT italiane (europee?) non hanno un team che si occupa di questo ( per lo meno non lo fanno in modo palese, e la collaborazione in questo senso, come detto da Orbeton, è essenziale), e comunque le polizie nazionali non sono così reattive. Come fatto emergere da Chiesa stesso, quando ha chiesto se c’erano esponenti delle forze dell’ordine in sala. Nessuno ovviamente.

Bruce Schneier

L’intervento della Security Rockstar era sicuramente quello più atteso del Summit, e quello con più affluenza (erano state unite più sale). E, amaramente, è stato quello che mi ha deluso di più.

L’intervento di Schneier è stato poco più di un’intervista o, peggio, una conversazione. Focalizzato sullo stato del Cyber Warfare o guerra cibernetica, Bruce non ha illuminato così tanto la platea come ci si sarebbe atteso da una personalità di tale livello. Certo non chi segue quotidianamente il suo blog. Ma forse il punto è proprio questo, l’intervento era destinato ad ascoltatori di un livello un po’ troppo alto.

Allo stesso tempo non hanno aiutato la mancanza di interazione (ha parlato da solo) e soprattutto la mancanza di slide, che avrebbero aiutato a fissare meglio certi concetti. Anche lo spazio dato alle domande non è stato molto ampio, tanto che l’intervento è terminato con qualche minuto di anticipo (!!).

Veniamo comunque ai contenuti. Uno dei punti chiave presentati è stato senza dubbio il fatto che, a differenza delle guerre tradizionali, la cyber war può (ed è) essere portata avanti non solo da nazioni. Questo perché necessita di relativamente pochi mezzi, ma di molte conoscenze e molta determinazione. Non necessita invece di centinaia di migliaia di soldati, aerei, carri e munizioni.

L’effetto però non è tanto diverso, per lo meno in un’ottica di prevenzione di altre attività, ovvero se si vuole bloccare una nazione, o impresa, da fare una determinata azione.

Prendiamo ad esempio quello che è successo in Estonia qualche anno fa. Un’azione di questo tipo, fatta ad esempio da un gruppo di hacktivist, può realmente cambiare la rotta politica di una nazione. E questo può essere molto più efficace di una guerra “tradizionale”.

La cosa grave, ovviamente, è che azioni di questo tipo possono essere effettuate sia da nazioni, ovviamente, ma anche da grosse corporation. Magari per influenzare un governo a fare certi contratti… La situazione è abbastanza grave.

Il paragone infatti è proprio con le classiche azioni di guerriglia, ovvero piccole azioni tattiche che però possono creare da un lieve fastidio ad un danno enorme come bloccare un paese.

Schneier ha poi ricordato come questo tipo di attacchi, come lo Stuxnet che tanto ha girato sui giornali nei mesi passati, non è assolutamente nuovo. Un attacco di questo tipo è stato sferrato contro la Russia già nel 1982, ad opera del governo americano. E se ora questa cosa la potessero fare semplici gruppi di interesse?

Gli attacchi contro le infrastrutture SCADA ormai sono all’ordine del giorno, anche fortunatamente sui media generalisti, e temo che ne sentiremo sempre più parlare in futuro…

Philippe Langlois

Il keynote conclusivo è stato affidato al fondatore di P1 Security, ed esperto imprenditore e speaker su temi di sicurezza. Langlois a dire il vero era presente già dal primo giorno, come guest star di diversi talk di Chiesa e altri, avendo competenze trasversali su diversi argomenti.

La parte che ho trovato più interessante della sua analisi è stata l’attenzione posta sul livello di ricerca che ha raggiunto la criminalità informatica. Le dinamiche dell’underground criminale hanno portato infatti ad una vera criminalizzazione della ricerca.

Fin troppo spesso infatti un bravo ricercatore di sicurezza, magari se sottostimato o poco considerato, può rivolgersi a gruppi criminali. Anche qui non stiamo parlando di ipotesi, ma di fatti. Gli elementi portati, sia in questo intervento che in altri del Summit, hanno mostrato come le tecnologie che ora si diffondono dappertutto sono utilizzate da anni nel cyber crime. A partire dal cloud ad esempio, che sia per preparare e diffondere un malware o noleggiare una botnet (50$ al giorno!).

Servizi come VirusTotal, ad esempio, vengono usati per quotare un determinato malware. Ovviamente meno viene identificato, più aumenta il suo valore…

Anche qui insomma le prospettive non sono buone, e se non vengono condivise queste analisi, si potrebbe rimanere troppo indietro nel tentare di difendere le proprie infrastrutture.

Questa era quindi l’analisi dei keynote del Security Summit, presto anche un commento sugli altri interventi a cui ho assistito.

Bye!

E alla fine caddero entrambi…

… ma Safari per primo.

Avevo parlato qualche giorno fa del pwn2own e della strategia di Microsoft, ora a evento concluso si possono analizzare i risultati, con un occhio di riguardo ad Apple.

Sì perché anche stavolta il primo a cadere è stato il browser della mela, non sotto i colpi della coppia Miller/Dai Zovi, ma da parte del team di Vupen Security. Nonostante i disperati tentativi di Apple di inviare un gran numero di patch, Vupen scriveva sul suo Twitter:

Apple has just released Safari 5.0.4 and iOS 4.3 a few minutes before the pwn2own contest. This breaks some exploits but not all !!

Chiarisco una cosa. I browser vengono “freezati” qualche giorno prima della gara, questo per permettere ai partecipanti di avere una piattaforma certa su cui fare i test. Ora i rilasci massivi di patch non servono ovviamente ad impedire il pwn, ma piuttosto a far dire al produttore “ah, vedi, quello 0day l’ho già risolto ieri!“. Questa è ovviamente un’utopia, poiché un ricercatore ha diverse vulnerabilità nel caricatore, quindi alla fine riuscirà lo stesso a bucare il sistema. Magari ci metterà solo più tempo (o magari no, se usa subito quella buona). Quindi anche qui la corsa al fix è totalmente inutile, se non dannosa per l’immagine.

Per quanto riguarda la sicurezza infatti, Apple non è mai stata molto attenta aperta. Questo nasce principalmente dal fatto che fino a OS X, MacOS è stato un sistema molto chiuso e particolarmente sicuro. Anche perché non c’era molto hype attorno all’azienda di Cupertino.

Poi torna Jobs, c’è l’esplosione nel mercato consumer e tutti iniziano a sfoggiare il logo della mela argentata. E tutti iniziano ad interessarsi ai sistemi Apple, che nel frattempo sono diventati Unix-like, quindi più aperti, più a rischio…

Proprio i due ricercatori citati sopra, Charlie Miller e Dino Dai Zovi, vincitori dei tre precedenti pwn2own contro i sistemi Apple, hanno recentemente rilasciato una lunga e dettagliatissima intervista al sito The H Security, in cui partono subito dicendo:

From a targeted attack, however, it has been my experience that finding and exploiting vulnerabilities in Mac OS X is significantly easier than doing so in modern Windows systems (Vista and 7).

E questo è il primo problema. Perché magari è più “sicuro” Mac OS relativamente allo share di mercato inferiore a Windows, ma Microsoft ha fatto sicuramente più passi avanti nella sicurezza dei suoi software.

Parliamoci chiaro Apple dettaglia bene le falle di sicurezza coperte da un aggiornamento, però nel contempo, puntando come sempre a lanci di marketing, non riesce a trasmettere un immagine trasparente agli utenti. Non ci sono bollettini, non ci sono blog e comunità.
Questo porta spesso a pensare di essere più sicuri di quanto in realtà non sia, se poi aggiungiamo qualche passo falso dovuto a mancanza di strategia, appunto, la situazione non è delle migliori.

Il vivere di rendita spesso può provocare molti più danni di quanto non sembri, sia perché se si espongono troppe superfici di attacco prima o poi si viene bucati, sia perché cullarsi sugli allori spesso fa scordare che bisogna lavorare sempre duro.

La chiusura totale può tuttavia anche portare dei vantaggi. Penso all’AppStore ad esempio. Per accedere alla vetrina delle applicazioni per iOS bisogna sottoporre l’applicazione al vaglio di Apple, che ne certifica la bontà. Questa, parliamoci chiaro, è una feature di sicurezza, vedi quello che è successo all’Android Market. Certo, come al solito la chiusura di Apple ha portato numerosi problemi in passato (e molti malumori tra gli sviluppatori anche oggi), però come dicono gli stessi Miller/Dai Zovi:

Having a central location for applications that is monitored in some way by Apple makes it harder for malware authors to get their code out if users start only using the Mac App Store for downloads.

Certo, se poi andiamo di jailbreak e programmi craccati, allora fatti vostri… perché alla fine l’utente è sempre la minaccia più grave.

Quello che mi auguro di vedere da Apple è una maggiore apertura sui temi di sicurezza, perché l’obscurity, ha i suoi vantaggi, ma secondo me continua a dimostrare un timore di fondo nell’affrontare la materia. E questo è indice di scarsa maturità.

Bye!