Se le app sono più sicure, si auto-alimenta il mercato nero delle falle 0-day

Se le app sono più sicure, si auto-alimenta il mercato nero delle falle 0-day

La ricerca di falle informatiche e bug più o meno gravi nei siti web e nelle app più utilizzate è non solo un’esigenza del mercato, degli utenti e (piaccia o meno) delle aziende: si tratta di un aspetto importante quanto controverso, e anche inevitabile, che tende a creare un vero e proprio “mercato nero”. Le falle di tipo 0-day, in particolare, sono le vulnerabilità gravi che non vengono rivelate in pubblico, contrariamente alla consuetudine – standard nel mondo delle applicazioni open source – per cui ogni problema viene discusso pubblicamente in modo che più sviluppatori possano trovare rapidamente una soluzione, e soprattutto che gli utenti e gli addetti ai lavori siano sempre allineati sul reale stato di sicurezza dell’app.

La sensibilità sull’argomento è molto cresciuta negli ultimi anni: dovremmo quindi avere, almeno sulla carta, app e siti molto più sicuri di 5 o 10 anni fa. Il vero problema, in questo ambito, è che le falle 0day sono spesso oggetto di un vero e proprio mercato, a cui disivoltamente partecipano molte aziende e singoli interessate, in modo più o meno ufficiale, a specularci. Per quanto possa sembrare strano, infatti, conoscere in anticipo una falla informatica di cui non si sappia nulla è un vantaggio enorme per chi realizza virus o malware, perchè può accedere a quell’informazione senza che gli antivirus e gli utenti ne sappiano nulla, e creare software malevoli ad arte, molto difficili da rilevare e che possono operare indisturbati per anni.

Pubblicità:

Succede spesso che molte aziende (tra cui la Apple e la Microsoft, ad esempio) siano tanto riluttanti a pubblicare i dettagli delle proprie falle se non per vaghi riferimenti dopo averle risolte: questo scetticismo deriva da fattori sia puramente commerciali (non rovinarsi l’immagine o temere di farlo, svelandole al pubblico) che di presunta sicurezza (un concetto perlopiù fallace quale la security through obscurity: ovvero sicurezza mediante segretezza, ci si sente insomma più sicuri a non dire che una serratura è difettosa di fabbrica, piuttosto che dirlo chiaramente a chi l’ha comprata). È a quel punto, pero’, che il mercato inevitabilmente si satura: e questo, alla lunga, può generare veri e propri “mostri”.

Pubblicità:

(fonte)


Informazioni sull'autore

Salvatore Capolupo

Ingegnere informatico, consulente SEO, copywriter ed ideatore di trovalost.it. Di solito, passo inosservato: e non ne approfitto neanche un po'.
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.