SICUREZZA INFORMATICA

Sicurezza software e vulnerabilità informatiche, che c’è da sapere

Se il software installato sui nostri PC soffre di qualche vulnerabilità informatica, allora è insicuro e mette a repentaglio dati e informazioni archiviate nell’hard disk. Ecco come accorgersene e porvi rimedio

05 Apr 2022
C
Massimo Carnevali

Consulente Senior IT - Innovation Manager Certificato

Quando gli errori del software mettono a rischio la sicurezza dei nostri dati allora si parla di vulnerabilità informatica del software e bisogna fare molta attenzione (posto che non esiste il software perfetto, senza errori – bug e che non si blocca mai).

In particolare, si parla di “vulnerabilità di sicurezza” quando ci si trova di fronte ad un problema del software di cui è stato scoperto un metodo (exploit) per sfruttarlo a vantaggio dell’attaccante; in assenza di strumenti di attacco e di valore per l’hacker attaccante siamo in presenza di un “normale” bug.

Le vulnerabilità di sicurezza hanno un loro ciclo di vita che è giusto conoscere per capire quali possono essere le migliori strategie di difesa.

Il grafico ci aiuta a percorrere i livelli di criticità attraversati da una vulnerabilità (Fonte: OWASP)

Vulnerabilità informatica: una definizione

Il pericolo comincia nel momento in cui una vulnerabilità viene scoperta (A). Supponiamo che qualcuno si accorga che, ad esempio, cliccando una sequenza di icone sui siti web realizzati con il software “SitiWebMeravigliosi” (nome di fantasia, ovviamente) si possa avere accesso a dati riservati degli altri utenti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Se il primo ad accorgersene è una brava persona, in buona fede, magari comincia a parlare della cosa in rete, per capire se è solo un suo problema o se invece capita anche ad altri. Succede così che la vulnerabilità viene resa pubblica (B) e magari dopo un po’ la impara anche la “MioCuginoInformatica” che ha scritto il software “SitiWebMeravigliosi” (C).

Potrebbe anche andare diversamente ma questo lo vedremo in seguito.

Software vulnerabile: l’importanza degli aggiornamenti

La “MioCuginoInformatica” mette subito in guardia gli utilizzatori del proprio software (D) e si mette alacremente all’opera per scrivere e testare la correzione che risolve il problema e mette una “pezza” (la cosiddetta patch) alla vulnerabilità informatica individuata. Il livello di pericolosità è ancora alto, come si vede dalla figura, perché il buco c’è e i cattivi (hacker e virus) se ne possono tranquillamente approfittare.

I produttori di sistemi di sicurezza potrebbero provare a limitare i danni cercando di filtrare la sequenza di tasti dannosa sui siti difettosi ma è una toppa che non rimedia al buco che rimane pericoloso (E). La “MioCuginoInformatica” trova la soluzione al problema e prepara la correzione del software (F) ma la vulnerabilità rimane critica perché prima bisogna che tutti gli utenti imparino che esiste questa soluzione (G).

Ovviamente non è sufficiente che la correzione sia disponibile sul sito del produttore, deve essere effettivamente installata da tutti (H) affinché il problema possa essere considerato risolto e la vulnerabilità informatica definitivamente risolta.

Purtroppo, l’esperienza ci insegna che gli utenti non sono sempre reattivi quando si tratta di installare le correzioni del software (“no, un altro aggiornamento, mi bloccherà il computer per chissà quanto tempo, ci penserò domani”).

Soltanto quando tutti gli utenti del mondo avranno installato la correzione potremo dire che il pericolo di questa vulnerabilità informatica sarà finito… e potremo cominciare a preoccuparci della successiva.

Full disclosure: la soluzione alle vulnerabilità informatiche

Ma se la “MioCuginoInformatica” fa finta di niente e non reagisce alla mia segnalazione? Purtroppo, succede e qui si apre il dibattito sul tema della “Full disclosure” come filosofia. Supponiamo che io sia un bravo ragazzo che ha trovato una vulnerabilità informatica in un software, lo comunico al produttore poi aspetto che lui reagisca, e passa il tempo, e più il tempo passa più aumenta il rischio che un ragazzo cattivo trovi lo stesso problema e decida di fare dei danni in giro per Internet. Allora meglio forzare la mano e rendere tutto pubblico subito in modo che il produttore sia costretto a reagire in tempi più brevi per non veder danneggiata la sua immagine (e le sue vendite), ma così anche i cattivi lo imparano tutti subito.

Non è un problema banale.

Molte aziende hanno programmi di “bug bounting” per premiare chi segnala in modo riservato i problemi di sicurezza dei loro prodotti impegnandosi a risolvere il bug il più rapidamente possibile. Normalmente in questi casi sono previsti incentivi economici: tanti più soldi quanto più il problema è serio e relativo ad un software di grande diffusione.

Altre aziende invece vedono la correzione dei bug come un costo esterno, senza nessun valore, e cercano di nascondere il problema fra le pieghe della rete (è il concetto dell’inquinamento, se non ho responsabilità sociale mettere i filtri al mio impianto è solo un costo accessorio che non aggiunge valore al mio prodotto, i buchi di sicurezza sono l’inquinamento del software).

Differenza tra vulnerabilità e minaccia

Spesso si confonde il concetto di vulnerabilità con quello di minaccia; se il primo caso è stato ben espresso in precedenza, la minaccia è colui che sfrutta la vulnerabilità per creare un danno al sistema. Di conseguenza è la minaccia che, sfruttando la vulnerabilità, genera una conseguenza nefasta per il sistema.

Vulnerabilità “Zero day”: cos’è e come si risolve

Poi ci sono le vulnerabilità informatiche cosiddette “zero day”, quelle trovate dai cattivi e tenute nascoste per poter poi esser rivendute al miglior offerente nel Dark Web. Conoscere una vulnerabilità “Zero day” di un prodotto diffuso fornisce un potentissimo strumento di attacco contro tutti gli utilizzatori di quel software. Un’arma che rimane valida e potente finché qualcuno non la scopre (magari da giocarsi bene per evitare di bruciarla). Vulnerabilità “Zero day” di Acrobat Reader, ad esempio, sono state sfruttate per diffondere ransomware tramite file PDF allegati alle e-mail.

Esiste un mercato fiorente di queste vulnerabilità informatiche, anche le agenzie governative le hanno sfruttate per le loro operazioni come segnalato da WikiLeaks.

Ma il software che sto usando ha vulnerabilità note?

Man mano che le vulnerabilità vengono rese note c’è qualcuno che si impegna a raccogliere tutte le informazioni utili (versioni del software impattate, problemi potenziali, soluzioni temporanee ecc.) e le inserisce in un database assegnando ad ognuna un identificatore univoco per evitare di duplicare le informazioni.

Il database principale è quello del Mitre. I dati del Mitre vengono utilizzati come punto di partenza per le analisi più dettagliate dell’U.S. National Vulnerability Database i cui record contengono ulteriori elementi come, ad esempio, il livello di rischio e di impatto di ogni vulnerabilità.

A livello aziendale esistono strumenti semiautomatici per fare il Vulnerability assessment, cioè la verifica di non avere delle vulnerabilità informatiche nelle applicazioni sfruttabili da hacker cattivi e virus. La parte automatica di questi strumenti genera spesso falsi positivi e, ancora più grave, falsi negativi a causa della complessità dei sistemi sotto analisi. Nessun “Vulnerability assessment” aziendale potrà dirsi completo senza una verifica del fatto che una vulnerabilità informatica sia effettivamente sfruttabile dall’attaccante (exploitation) e senza una verifica di cosa si trovi davanti l’attaccante dopo aver sfruttato la vulnerabilità (difficilmente riscontrabile con strumenti standard che non tengono conto delle diverse implementazioni aziendali).

Strumenti di difesa: riconoscere e isolare il software vulnerabile

Come ci si può difendere dalle vulnerabilità di sicurezza?

Ragionando a livello di utente finale la prima arma di difesa è ovviamente l’applicazione di tutte le correzioni di sicurezza appena escono.

A livello aziendale è un tema più complesso visto che il processo di applicazione delle correzioni (patching) si inserisce in un discorso più ampio di gestione del software che richiede una trattazione a sé stante.

Negli ambiti personali, o nelle strutture molto semplici, aggiornare sempre tutti i software applicando le correzioni di sicurezza è la difesa base, ma purtroppo viene applicata raramente. Anche in questi casi bisogna ovviamente avere a disposizione salvataggi recenti e funzionanti nel caso le correzioni creassero problemi.

E se la correzione non c’è come ci si deve comportare?

Se siamo certi che la vulnerabilità di sicurezza non verrà mai corretta perché magari il produttore del software non esiste più oppure ha dichiarato che non correggerà il problema (ad esempio Microsoft che ha sospeso la produzione delle correzioni di sicurezza per Windows XP) allora bisogna mettere una mano sul cuore e una sul portafoglio e abbandonare il software vulnerabile passando ad uno più recente o meno insicuro.

E dagli “Zero day” come ci si può difendere?

Tecnicamente non c’è difesa, perché il buco di sicurezza è lì che attende solo di essere attaccato e non c’è antivirus che possa prevenirlo visto che non è noto nemmeno ai produttori. Si può cercare di ridurre i danni adottando una condotta prudente e di buon senso nell’uso dei computer e della rete: disinstallare tutti i software e le applicazioni non strettamente necessari (quello che non c’è non è attaccabile), evitare di scaricare allegati/programmi che possano avviare software sul proprio PC, insospettirsi a fronte di comportamenti anomali del proprio PC o dello smartphone (picchi di carico, dischi che girano senza motivo, processi strani che appaiono nel sistema ecc.). Tutte buone pratiche atte però solamente a mitigare il rischio.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5