Google ha annunciato di aver rilasciato una patch di sicurezza a Chrome che conteneva una importante vulnerabilità. Google Chrome è il browser più popolare al mondo e per questo gli hacker cercano e sfruttano ogni vulnerabilità disponibile.

La falla di sicurezza

Google ha confermato non solo l'esistenza di una falla di sicurezza ma anche che gli hacker hanno sfruttato attivamente il bug, in tandem con quello trovato in Windows. Subito dopo è arrivata un'ondata di rapporti che imploravano la gente di aggiornare Chrome subito. Ma grazie all'adozione di Google dell'aggiornamento automatico del suo software, per la maggior parte delle persone era già stato risolto.

Gli aggiornamenti fastidiosi

C'è poco da girarci attorno, gli aggiornamenti sono sempre un dolore, siano essi di MacOS, di Windows 10 che ti chiede di riavviare quando stai lavorando o iOS che ti trasforma il telefono in un mattone. Così viene voglia di ignorarli e li i nostri dati diventano disponibili ai mal intenzionati. E se pensi che dei tuoi dati non freghi niente a nessuno, ecco, allora esci di casa lasciando la porta di casa spalancata perchè hai meno probabilità di un furto in casa che di un hackeraggio online.

Gli aggiornamenti automatici sono la soluzione?

Mantenere aggiornato il software è il modo più semplice per proteggersi dagli hacker, e qui entrano in gioco gli aggiornamenti automatici, il modo migliore per assicurarsi che tutto sia aggiornato senza rogne da gestire. "Come professionista della sicurezza, sono un forte sostenitore degli aggiornamenti automatici, specialmente quando si tratta di consumatori", afferma Jérôme Segura, responsabile delle informazioni sulle minacce presso la società di sicurezza Malwarebytes.

Prendi il caso della recente vulnerabilità di Zero-day di Chrome. Piuttosto che forzare un pop-up su molti milioni di browser aperti, chiedendo a tutti quegli utenti di installare una patch, che molti di loro avrebbero probabilmente rimandato o ignorato, il team di sicurezza di Google ha applicato la correzione. Fatto. Bene, quasi fatto: in questo caso, poiché l'attacco ha come target il codice Chrome attuale, devi comunque riavviare il browser per effettuare la modifica. Si tratta di una richiesta più facile e quindi meno ignorata che manterrà sostanzialmente più persone al sicuro rispetto a un aggiornamento facoltativo.

"La mia impressione è che molte persone non vogliano pensare alla sicurezza. È più di un fardello che altro", afferma Josiah Dykstra, direttore tecnico della National Security Agency. "Anche se dicono di voler essere sicuri, non hanno né l'esperienza né il desiderio di fare molto lavoro." 

In Italia il settore sanitario è il più a rischio

Pensando alle aziende italiane invece vale la pena stendere un velo pietoso. Si stima che quelle più a rischio siano le associazioni che, avendo a che fare con i dati delle persone, ma avendo pochi soldi, investono tra poco e niente sulla sicurezza digitale. Eppure trattano proprio i dati più ambiti.

Il settore medico, ospedaliero, sanitario, molto spesso utilizza software vecchi che girano solamente su macchine obsolete. Talvolta queste macchine sono talmente vecchie che viene ritenuto opportuno non collegarle nemmeno alla rete locale. I software che fanno funzionare, talvolta di analisi e diagnostica, talvolta di controllo dei macchinari, in molti casi sono stati programmati anni fa e mai più riscritti secondo le più moderne tecniche di programmazione.

Così capita che, se si aggiorna il sistema operativo o si ammoderna troppo il computer/server su cui girano, smettono di funzionare. Una dinamica che porta a non eseguire gli aggiornamenti e bloccare quelli automatici. Il risultato è una enorme falla di sicurezza che in Italia caratterizza molte strutture sanitarie per buona pace dei responsabili ICT che, pur volendo, devono fare i conti con software che vengono aggiornati a velocità molto diversa dai sistemi operativi.

Software obsoleti per aziende obsolete

Lo ha già detto Microsoft lo scorso mese parlando di quanto IE sia un browser ormai obsoleto che va bene solo più per far funzionare i vecchi applicativi, e vale la pena ribadirlo: i produttori dovrebbero investire di più per consentire agli utilizzatori di impiegare macchine moderne e quindi più sicure, non costringere gli utilizzatori ad utilizzare macchine vecchie altrimenti il software non è compatibile. E non è tanto diverso il settore della videosorveglianza stesso, dove troviamo moltissimi DVR che non sono compatibili con i browser di oggi, non prevedono autenticazione a due fattori ma intanto fanno streaming di casa nostra sul web.

"Se le persone vedono il valore degli aggiornamenti automatici, generalmente tendono a vedere il valore nella stabilità del prodotto per le funzionalità più della sicurezza", afferma Dykstra. "Il vantaggio per la sicurezza è una cosa molto difficile da vedere per i consumatori."

Un motivo in più per rendere l'intero processo il più possibile invisibile e indolore. Lunga vita agli aggiornamenti automatici.

Articolo di Marco Galassi fonte Wired