Video: Ridiamo vita (e libertà) al nostro smartphone con le custom ROM Android - Linux Day Cosenza 2018 (Settembre 2024)
I prodotti di terze parti colpiscono
Nessuno sarà sorpreso di apprendere che il numero totale di vulnerabilità conosciute cresce di anno in anno o che la maggior parte si affida a un attacco di rete remoto per penetrare nelle reti vulnerabili. Tuttavia, difetti significativi nei sistemi operativi e nei programmi Microsoft stanno diventando una porzione sempre più piccola del totale. Secunia riferisce che l'86% delle vulnerabilità attive nel 2012 ha interessato prodotti di terze parti come Java, Flash e Adobe Reader. Nel 2007, le vulnerabilità di terze parti rappresentavano meno del 60 percento del totale.
Tra i lati positivi, la pericolosa finestra tra la scoperta di una vulnerabilità e la creazione di una patch si sta riducendo. Secunia riporta la disponibilità di patch nello stesso giorno per l'80% di queste minacce nel 2012, rispetto a un po 'più del 60% nel 2007. Ciò lascia il 20% che non ha una patch nello stesso giorno, o anche entro 30 giorni, ma mantenendo tutto il software aggiornato ti garantirà di ottenere tutte quelle patch dello stesso giorno.
Insicurezza SCADA
La revisione del 2013 riporta le vulnerabilità nei sistemi SCADA (Supervisory Control And Acquisition). Questi sistemi controllano fabbriche, centrali elettriche, reattori nucleari e altre installazioni industriali altamente significative. Il famigerato worm Stuxnet ha distrutto le centrifughe di arricchimento dell'uranio in Iran rilevando i loro controller SCADA.
Secondo Secunia, "il software SCADA oggi è nella fase in cui il software tradizionale era 10 anni fa… Molte vulnerabilità rimangono senza patch per più di un mese nel software SCADA". Un grafico time-to-patch delle vulnerabilità rappresentative di SCADA rivela che diversi nella categoria ad alto rischio sono rimasti senza patch per oltre 90 giorni.
In teoria, i sistemi SCADA dovrebbero essere meno vulnerabili perché non sono connessi a Internet. In pratica, non è sempre così, e anche una connessione di rete locale potrebbe essere compromessa dagli aggressori. Un "gap d'aria" totale, senza alcuna connessione di rete, non ha protetto le centrifughe Stuxnet. Sono caduti vittima di unità USB infette inconsapevolmente inserite da tecnici. Chiaramente i venditori di software SCADA hanno del lavoro da fare per quanto riguarda il mantenimento della sicurezza e la distribuzione delle patch.
Gli hacker scelgono l'oro
Una vulnerabilità zero-day è una vulnerabilità appena scoperta, una vulnerabilità per la quale non esiste alcuna patch. Il rapporto di Secunia include un diagramma informativo che riporta il numero di zero-day trovati ogni anno tra i primi 25 programmi più popolari e tra i primi 50, 100, 200 e 400. I numeri complessivi differiscono di anno in anno, raggiungendo un picco nel 2011 con 15 giorni zero.
La cosa più interessante è che entro un determinato anno, i numeri non cambiano quasi man mano che cresce il pool di programmi potenzialmente compromessi. Quasi tutti i giorni zero interessano i programmi più popolari. Questo in realtà ha molto senso. Scoprire un difetto del programma che nessun altro ha mai trovato richiede molta ricerca e duro lavoro. Ha senso solo per gli hacker di concentrarsi sui programmi più ampiamente distribuiti. Un exploit che prende il controllo totale sul sistema della vittima non vale molto se solo un sistema su un milione ha installato il programma vulnerabile.
Altro da imparare
Ho toccato i vertici, ma c'è molto altro da imparare dal rapporto sulla vulnerabilità di Secunia. È possibile scaricare l'intero rapporto dal sito Web di Secunia. Se il rapporto completo sembra un po 'travolgente, non preoccuparti. I ricercatori di Secunia hanno anche preparato un'infografica che colpisce tutti i punti più alti.
