Aggiornato il: 28-02-2019 11:03
La ricerca di falle informatiche e bug più o meno gravi nei siti web e nelle app più utilizzate è non solo un’esigenza del mercato, degli utenti e (piaccia o meno) delle aziende: si tratta di un aspetto importante quanto controverso, e anche inevitabile, che tende a creare un vero e proprio “mercato nero”. Le falle di tipo 0-day, in particolare, sono le vulnerabilità gravi che non vengono rivelate in pubblico, contrariamente alla consuetudine – standard nel mondo delle applicazioni open source – per cui ogni problema viene discusso pubblicamente in modo che più sviluppatori possano trovare rapidamente una soluzione, e soprattutto che gli utenti e gli addetti ai lavori siano sempre allineati sul reale stato di sicurezza dell’app.
La sensibilità sull’argomento è molto cresciuta negli ultimi anni: dovremmo quindi avere, almeno sulla carta, app e siti molto più sicuri di 5 o 10 anni fa. Il vero problema, in questo ambito, è che le falle 0day sono spesso oggetto di un vero e proprio mercato, a cui disivoltamente partecipano molte aziende e singoli interessate, in modo più o meno ufficiale, a specularci. Per quanto possa sembrare strano, infatti, conoscere in anticipo una falla informatica di cui non si sappia nulla è un vantaggio enorme per chi realizza virus o malware, perchè può accedere a quell’informazione senza che gli antivirus e gli utenti ne sappiano nulla, e creare software malevoli ad arte, molto difficili da rilevare e che possono operare indisturbati per anni.
Succede spesso che molte aziende (tra cui la Apple e la Microsoft, ad esempio) siano tanto riluttanti a pubblicare i dettagli delle proprie falle se non per vaghi riferimenti dopo averle risolte: questo scetticismo deriva da fattori sia puramente commerciali (non rovinarsi l’immagine o temere di farlo, svelandole al pubblico) che di presunta sicurezza (un concetto perlopiù fallace quale la security through obscurity: ovvero sicurezza mediante segretezza, ci si sente insomma più sicuri a non dire che una serratura è difettosa di fabbrica, piuttosto che dirlo chiaramente a chi l’ha comprata). àˆ a quel punto, pero’, che il mercato inevitabilmente si satura: e questo, alla lunga, può generare veri e propri “mostri”.
(fonte)
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
