IL PUZZLE DEI SISTEMI INFORMATIVI
Recenti attacchi di phishing (vedi qui) mi fanno riflettere su quanto siano vulnerabili le aziende che utilizzano una serie di micro-servizi in appoggio alla tecnologie principali. Quasi sempre, senza accorgersene, apriamo le porte digitali dei nostri sistemi senza avere una mappa precisa di dove queste siano e di chi abbia le chiavi.
Il caso specifico dell’attacco basato su mailchimp, principalmente localizzato in Italia, mostra come sia possibile sfruttare le vulnerabilità di semplici programmi, nati per estendere le funzionalità dei ben più articolati (e protetti) software con i quali sono costruiti siti o che servono per navigare su di essi… fino ai sistemi operativi che stanno alla base del funzionamento degli smartphone che tutti usiamo.
Si tratta di add-on, estensioni, plugin, applicazioni reperite sui marketplace che tutti conosciamo e che consideriamo attendibili e verificati e che, al contrario, si rivelano essere potenzialmente dannosi.
Non sempre le verifiche riescono ad escludere gli add-on dannosi in tempi rapidi e questo, unito a meccanismi sempre più rapidi e automatici di installazione, permette di diffondere malware facendo leva su quelli che, a tutti gli effetti, sono degli errori di gestione dei sistemi informativi aziendali o personali.
Pensando a come proteggersi da questi rischi, è necessario fare i conti con il fattore umano che, per me come per tutti, è fortemente condizionato dalla pigrizia: quanto è difficile gestire una miriade di piccoli fornitori di piccoli pezzettini di software? Quanto è difficile gestire chi produce o distribuisce add-on ed estensioni trovate sui marketplace ufficiali? Quanto è difficile mappare e analizzare individualmente tutti i trattamenti che questi add-on generano, specialmente quando è così semplice ed allettante considerarli inclusi in un più ampio software al quale, in realtà, si affiancano?
Penso che anche il più rigoroso amministratore di sistema faccia fatica a monitorare o gestire la proliferazione di questi software sui propri computer, tanto più se consideriamo che molti di essi hanno un funzionamento indipendente dalla singola macchina e vanno ad integrarsi con sistemi web-based, interfacce web di applicativi complessi o applicazioni completamente cloud.
Per comprendere la difficoltà di assicurare una protezione elevata, basta pensare ai componenti aggiuntivi di Gmail o alle funzioni Labs che possono essere facilmente attivate in modo invisibile rispetto alle configurazioni e alle protezioni dei computer utilizzati.
Il caso da cui sono partito non è nemmeno particolarmente sofisticato e si basa su normali Plugin di WordPress che vengono installati in abbondanza su ogni sito basato su questa tecnologia.
Come spesso accade, il progresso si nutre di errori costati lacrime e sangue e l’attenzione alla protezione che ieri poteva essere considerata una paranoia, oggi è una necessità.