Durante l’ultima conferenza RSA, Mitja Kolsek, CEO di Acros ha fatto notare che per entrare in una rete oggi basta eseguire gli stessi quattro passaggi di quindici anni fa, ovvero: trovare un exploit pubblico, personalizzarlo in modo che funzioni con il proprio Trojan ad accesso remoto, modificarlo in modo che i software antivirus o antimalware non lo riconoscano e poi colpire il bersaglio.
Secondo Kolsek, la questione fondamentale è che le vulnerabilità non sono efficientemente contrastate perché i fornitori di software, gli utenti finali, gli amministratori e gli esperti della sicurezza non sanno allinearsi.
A detta del manager, ci sono tre aspetti diversi da cui si generano le crtiticità. Il primo è che i fornitori di software non amano l’applicazione delle patch, perché vogliono produrre qualcosa che porti a nuove entrate. Il secondo è che i ricercatori, dal canto loro, vivono un intrinseco conflitto con i venditori e sono considerati una parte del problema (essendo coloro i quali scoprono i difetti). Il terzo sono gli utenti finali e gli amministratori, che odiano i tempi di inattività e sono divisi tra il rischio di rompere un sistema con l’applicazione di patch o incappare in un exploit per non aver fatto l’aggiornamento.
I vantaggi delle micropatch
Dati alla mano, Kolsek ha riferito che, anche quando le aziende rilasciano i sistemi di aggiornamento, ci vuole una media di 176 giorni di tempo per applicare le nuove patch mentre gli sviluppatori di exploit sono in grado di decodificare quelle patch e creare un exploit in molto meno tempo.
Secondo l’esperto ci sono due modi per migliorare questa situazione: per prima cosa potrebbe essere utile passare all’impiego di micropatch che avrebbero bisogno di poche righe di istruzioni per correggere le eventuali vulnerabilità (invece che centinaia di megabyte di codice). Date le dimensioni ristrette di queste micropatch gli sviluppatori di tutto il mondo, inoltre, potrebbero creare una rete in crowdsourcing per l’applicazione delle patch di terze parti e questo potrebbe ridurre il tempo necessario per sviluppare e applicare una patch.
Nella peggiore delle ipotesi, secondo Kolesk, potrebbe essere un ripiego da utilizzare fino all’applicazione della patch ufficiale; nella migliore delle ipotesi, darebbe agli sviluppatori la libertà di lavorare su prodotti in grado di generare entrate, migliorando al contempo la sicurezza generale. Non solo: l’esperto sostiene che la piccola dimensione dell micropatch renderebbe quasi impossibile nascondervi un codice maligno e renderebbe molto più semplice la peer review delle patch.
Un sistema di crowdpatching
L’alternativa a tutto questo? Ipotizzare un processo in cui i ricercatori della sicurezza di tutto il mondo, che sanno come creare exploit e analizzare le vulnerabilità, possano creare micropatch e distribuirle in modo sicuro alle organizzazioni. L’affidabilità di un sistema di crowdpatching di questo tipo dovrebbe poter competere con le patch ufficiali e questo non è di certo un aspetto facile da gestire. Le imprese dovrebbero avere la certezza del funzionamento di tali micropatch: inizialmente potrebbero essere raccolti feedback della comunità, per poi ottenere la convalida da un venditore ufficiale. In questo modo le imprese potrebbero evitare gli aggiornamenti out-of-band e rimuovere le patch fastidiose senza disturbi. Non solo: l’intero processo potrebbe essere più veloce e conveniente per tutti.