Non manca giorno che non si legga di un’intrusione, di servizi che vanno giù, di dati rubati, di attacchi hacker e malware e ramsonware. Ma c’è una sottile differenza tra attacco hacker o mancata patch. Per gli addetti a i lavori è facile farsi un’idea di cosa non abbia funzionato, perché spesso ci sono passati. Questo articolo invece spera di dare una mano, con termini più comprensibili possibili, cosa si cela dietro la scelta di non installare una patch.
Per iniziare, cosa si intende per patch?
La patch è una pezza, un aggiornamento di un software che contiene delle correzioni. Le patch hanno diversi livelli, per le criticità che vanno a correggere. Ci sono patch che rimediano a mal funzionamenti, altre che impediscono l’accesso non autorizzato al sistema.
Perché una patch non viene installata?
Diversamente da quello che si può pensare, una patch ha diversi motivi per cui non venga installata. Questo non è una assoluzione, non installare una patch di sicurezza è un atto molto grave di cui un’azienda deve rendere conto in relazione al contratto stipulato con il cliente. Un servizio gratuito non ha le stesse responsabilità di un servizio militare, ma le cose accadono in entrambi i casi, purtroppo.
- Non professionalità
Ci togliamo subito il dente. Questa è la prima causa. - Credersi un non bersaglio
Chi mai dovrebbe venire a rompere a noi? Per quale motivo? - Credersi al sicuro
Non lo sa nessuno, non è raggiungibile, non è una applicazione critica… continuate pure voi. - Scelta ponderata
Come ogni cosa anche i software hanno una data di scadenza. Non sempre una patch viene rilasciata per una versione obsoleta. Alle volte non è semplicemente possibile installarla, ma… - Questione di costi 1
si dovrebbe comprare la versione aggiornata del software con tutte le spese di aggiornamento del personale e… - Questione di costi 2
Per installare una nuova versione non sempre basta acquistarla. Occorre aggiornare il parco macchine e il sistema operativo e … - Questione di costi 3
Il codice scritto per specifiche versioni del sistema operativo, del software applicativo, dell’hardware, delle integrazioni con software di terze parti, deve essere aggiornato (o riscritto con una nuova versione del linguaggio). - Eterno rimando
C’è sempre qualcos’altro che richiede tempo, risorse, urgenze, per pensare a qualcosa che funziona.
Quindi è sempre obbligatorio installare le patch di sicurezza?
La domanda a cui ogni consulente risponderebbe con un “dipende“. La domanda che un professionista dovrebbe porsi è a monte della scelta del software da usare. L’analisi non si deve soltanto basare su prezzo e funzionalità. Per farla breve deve anche essere messo a budget, per gli anni a venire, il costo di manutenzione dell’architettura software nella sua totalità, il periodo di effettivo utilizzo, il costo di un upgrade della versione (basandosi sul passato dell’azienda), il costo dell’hardware (in previsione), e tantissime altre cose.
Questo è quello che ho vissuto nella mia esperienza professionale. Tanti software lasciati indietro, non messi in sicurezza, emulati su macchine virtuali con hardware e software ormai fuori mercato e senza supporto, che sono collegati alla rete aziendale o, peggio, che possono essere raggiunti dall’esterno o direttamente esposti su Internet.
Con l’avvicendarsi del personale negli anni accade anche che questi sistemi vengano dimenticati, che non vi sia più nessuno a conoscenza della scelta (sic). Poi un giorno, il disastro.
Cosa c’entrano gli hacker?
Gli attacchi dall’esterno sono sempre più frequenti, nulla da dire a riguardo. Alcuni sono ben congegnati e preparati per mesi. La maggior parte però è un evento sparato nel mucchio per colpire chi ha delle vulnerabilità non corrette.
Ora, mettiamoci nei panni di chi vuole fare un atto criminale basandosi su una vulnerabilità nota. Cosa fareste per capire qual è il buco? Esatto, studiando cosa va a tappare una patch, il bollettino che identifica il problema e tutto quello che è stato detto e scritto sullo stesso.
Il momento critico dovrebbe trovarsi, soltanto, subito dopo il rilascio di una patch. Il lasso di tempo in cui un attaccante sta studiando il buco, dalla pezza, e un’azienda sta programmando i test, per installare la patch. Ogni patch, come ogni modifica a un sistema, può causare altri problemi e incompatibilità, che è doveroso testare al meglio prima di avere altri casini (vi ricorda nulla?).
Attacco hacker o mancata patch
Nella speranza che ognuno di noi faccia del proprio meglio nello scegliere un fornitore in cui riporre fiducia e che questi faccia di tutto per proteggere i nostri dati e il nostro business, penso sia doveroso almeno avere una comunicazione chiara che ci permetta di capire cosa sia successo, in caso di incidente.
Se lasciamo la casa incustodita, con porta e finestre aperte, senza guardiano, senza allarmi, senza telecamere, con tutti i nostri gioielli dentro, per due anni… ci stupiremmo se tornati a casa la trovassimo svaligiata?