Le vulnerabilità ci porteranno ad essere migliori o spegneranno definitivamente gli investimenti nella trasformazione digitale?
Nei giorni scorsi è uscita una vulnerabilità Microsoft CVE-2020-1472 – Vulnerabilità critica di tipo Privilege Escalation su servizio Netlogon, questa minaccia è stata valutata con un livello di criticità pari a 10 su 10 nella scala CVSS e consente ad un cybercriminale di impersonare l’identità di qualsiasi computer. Uscendo dalle tecnicality si tratta della possibilità per un attaccante di eseguire un accesso su un “controllore di dominio” con uno username di amministratore potendo resettare la password esistente . Spero di averlo scritto bene : potendo resettare la password esistente con altra password conosciuta. Il controllore di dominio (domain controller) è il componente software che contiene utenti, pc e policy di una rete locale aziendale, per cui questo tipo di accesso consente all’attaccante di disporre a proprio piacimento di tutta la rete. Naturalmente io non so come l’attaccante può fare questo, mi basta sapere che lo può fare per non dormire più la notte. A questo punto veniamo alle patch, ai rimedi, relativi a questa vulnerabilità: in realtà oggi non c’è una patch risolutiva prodotta da Microsoft, o meglio lo stato di fatto dell’installato non consente di applicare una patch definitiva, mentre il codice con cui condurre l’attacco è diventato pubblico. Microsoft ha già detto che la vulnerabilità sarà completamente gestita con una patch (aggiornamento obbligatorio) che uscirà nel febbraio 2021. C’è un però : potranno collegarsi al domain controller solo PC “sicuri”, l’interpretazione generale è che si tratti solo di pc con OS ancora supportato cioè windows 10. Ora ci sono nelle reti aziendali mediamente nel mondo ancora il 23% di windows 7 a spanne 300 milioni di PC . Dovendo passare a windows 10 (mai visto un upgrade senza problemi ) si tratta di un lavoro ciclopico. Diversamente si tratta di sostituire 300ML di pc quindi pari a circa 150 miliardi di euro, 4 manovre finanziarie in condizioni normali l’intero fatturato annuo di Microsoft. Purtroppo la cosa non è finita perché se ti abboni al programma di estensione del supporto (costo pari al 75% della licenza, pare ) puoi continuare a ricevere le patch di sicurezza. Oppure se passi le macchine al cloud di AZURE addirittura il supporto è gratis. Ora a tutti quelli che fanno il mio mestiere risulta chiaro che: i sistemi sono per loro natura vulnerabili, una volta ce ne interessavamo poco ora molto, per mantenere la sicurezza occorre seguire pedissequamente le roadmap pubblicate dei sistemi, il cloud è più garantista di questo percorso perché lo deve seguire per forza (PENSATE AI DISASTRI DI UNA VULNERABILITA’ IN CLOUD), i nostri budget sono stati scritti e negoziati in situazioni diverse, non sempre le applicazioni possono passare facilmente da una versione ad un’altra di sistema operativo, il costruttore del sistema scarica i costi delle imperfezioni (vulnerabilità) sui clienti, molto difficilmente i clienti possono passare da un sistema operativo ad un altro. Come il covid 19 ha messo in risalto le debolezze del sistema sanitario, analogamente i virus informatici mettono in discussione le debolezze dell’ecosistema digitale. Sarà questa una molla per scrivere meglio le applicazioni e a far diventare il mercato del software più competitivo, oppure sarà un modo per ritardare o affossare la trasformazione digitale ? Ultima considerazione: per mettere sul mercato un’automobile occorre che siano passati tutti i test di sicurezza, chi produce alimenti deve garantire la sicurezza alimentare, fra quanto un organismo terzo potrà eseguire analoghi test per permettere di mettere sul mercato software sicuri ? Il regolatore pubblico c’entra qualcosa in tutto questo?