E’ abbastanza evidente che aggiungere delle misure di sicurezza, dopo che un prodotto è stato distribuito al pubblico, è dispendioso, può richiedere diverso tempo, può introdurre errori, e, cosa da non poco, nel frattempo alcuni clienti possono essere stati colpiti.
D’altra parte, la gara a chi immette per primo sul mercato un nuovo prodotto od una innovazione significativa, ha fatto sì che i test siano ridotti e gli errori e i punti deboli esistenti siano stati successivamente sfruttati dai criminali. Non possiamo non ricordare quanto famosi fornitori di software avevano affermato in tutte le sedi, e cioè che è impossibile rilasciare un package senza che vi siano decine di errori: eliminarli tutti richiederebbe anni di test; invece, milioni di utenti li possono individuare in breve tempo.
A seguito di ciò, le Istituzioni da diverso tempo hanno raccomandato che la sicurezza sia progettata insieme al prodotto: “security by design”. Non solo tale prassi è prescritta dalla normativa vigente, ma questa indicazione fa parte di qualunque documento che tratti della trasformazione digitale.
Quindi, cosa dobbiamo aspettarci dai prodotti correnti, se non che la sicurezza abbia la giusta attenzione sin dalla nascita del nuovo prodotto? Dopo anni di frodi a livello mondiale, tutti i fornitori di software e hardware hanno oramai un catalogo ampio di “classici” bug e possono verificare i loro prodotti prima di immetterli nel mercato.
Possiamo ora stare tranquilli? Se leggiamo la stampa specializzata, di certo no.
Vediamo qualche recente caso.
Nel corso dell’annuale competizione Pwn20wn i partecipanti hanno scoperto 18 vulnerabilità nei sistemi Apple, Samsung e Xiaomi. Tra l’altro, hanno verificato l’esistenza di vulnerabilità “zero-day”. Un Galaxy, ad esempio, è stato violato tramite una vulnerabilità “memory overflow”. Cioè, i giovani hacker hanno messo alla prova i prodotti usando trucchi noti.
I produttori non potevano fare questi test prima della messa in produzione?
Un altro caso riguarda gli attacchi SDA (Side Channel Attacks) che sfruttano alcune caratteristiche delle CPU e che si generano per aumentare le prestazioni. Come risolvere il problema? Aumentando i controlli e quindi riducendo le prestazioni della CPU. Ma il produttore non lo accetterebbe.
Un ultimo caso. Leggo: “Nuove vulnerabilità dei chip Bluetooth a bassi consumi mettono a rischio milioni di dispositivi (i dispositivi Bluetooth BLE)”.
Di nuovo si sacrifica la sicurezza in nome delle maggiori prestazioni. Sono passati gli anni. Sono aumentati i crimini, ma l’approccio dei fornitori non sembra cambiato.