La decima edizione del rapporto SIR di Microsoft identifica un nuovo trend nelle minacce per gli utenti PC: se davvero, come sembrano dire i numeri, il malware “tradizionale” (i virus, per intendersi) sono stati parzialmente arginati dalle novità tecniche introdotte con i sistemi operativi recenti , la stessa natura delle interazioni che i navigatori hanno iniziato a intrattenere con la Rete ha spinto la cyber-mala a spostare la propria attenzione su altri settori.
In particolare sono i cosiddetti “adware” a farla da padrone nell’ultimo semestre (il SIR viene aggiornato due volte l’anno), ovvero quegli elementi software che si installano sul computer e ripropongono all’infinito messaggi pubblicitari indesiderati . Da non confondere con il lecito software che sfrutta legittimamente un principio di sponsorizzazione tramite banner, questa categoria di infestazioni tipicamente propone inserzioni pornografiche o di sedicenti antivirus: sebbene non si tratti in assoluto di una minaccia seria, in alcuni casi sotto il cofano si annidano anche keylogger e altri tipi di spyware, capaci di causare più di qualche grattacapo spendendo all’insaputa delle vittime le loro informazioni ai malintenzionati.
“Le categorie che hanno preso la ribalta sono le categorie che dal punto di vista tecnico sono le meno pericolose – spiega a Punto Informatico Feliciano Intini , responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia – Di fatto l’adware era anni che non si vedeva così tanto in giro, ma questi dati sono un indicatore interessante di come si stia evolvendo la minaccia su Internet”. Secondo Intini, infatti, il problema sarebbe per così dire culturale : “Ci sono sempre più persone che possiamo definire poco tecniche che si avvicinano al Web, approfittando magari della popolarità dei social network, ma che non sempre hanno a loro disposizione un computer aggiornato, irrobustito con software moderni e recenti, e si ritrovano così a sperimentare minacce di basso profilo che mietono comunque però molte vittime”.
Non che virus, worm e forme più abituali e minacciose di malware siano spariti dalla circolazione: è solo, come si deduce da quest’ultimo rapporto SIR, che non è necessario mettere a punto armi particolarmente sofisticate per mettere le mani su dati personali e beni dei malcapitati. “I virus vecchio stampo – prosegue Intini – quelli che si annidano nei documenti, quelli sicuramente li si sta vedendo poco nel report. Abbiamo invece registrato un incremento di 10 volte dei tentativi di pishing tramite social network, evidentemente chi attacca ha capito che trova quasi tutti passando da lì. Le informazioni che abbiamo sono relative ai tentativi bloccati dai filtri di Internet Explorer, ma sono indicatori chiari di quanto la gente rischi di cascarci”.
Tanto vale guardare il bicchiere mezzo pieno: il fatto che questi rischi aumentino e che aumenti la fetta di popolazione potenzialmente interessata da queste minacce può anche condurre a una maggiore sensibilità sull’argomento . “Il problema è emerso, è alla luce del Sole: ci auguriamo che possa far aumentare la percezione anche a livello governativo sull’importanza di investire in educazione alla sicurezza informatica – chiosa Intini – con formazione di base nelle scuole ma senza trascurare gli adulti”. Da sempre, infatti, le fette della popolazione più esposte restano quelle dei giovanissimi e dei più anziani, entrambe categorie inconsapevoli della portata delle possibili minacce.
D’altra parte, alla luce della proliferazione dei social network, non è pensabile arginare a monte il problema : si può suggerire agli utenti di non scambiarsi floppy e chiavette USB, si può consigliare di evitare di aprire allegati se il mittente non è affidabile, ma come negare la natura di condivisione dei social network intimando di non cliccare sui link proposti dai contatti? “Questi meccanismi – spiega Intini a Punto Informatico – creano una modalità d’uso del PC che non è ancora stata irrobustita per essere a prova delle minacce. Chi gestisce la piattaforma è investito di una responsabilità nuova e maggiore, questo tipo di responsabilità necessita di essere tradotta in uno sviluppo del software consapevole con modelli di sicurezza adeguati”.
A cascata, la questione investe una larga fetta del business in ascesa: i marketplace e le app vendute tramite di essi sono una realtà promettente, ma la questione sicurezza ruota attorno a come viene definita la struttura entro cui possono muoversi, come si scrivono le policy di sicurezza a cui le app che si integrano nelle piattaforme (che siano un social network o un sistema operativo) debbono attenersi, senza trascurare l’aumento significativo di dispositivi mobile che accedono e condividono informazioni. “La sicurezza diventa fondamentale – ribadisce Intini – chi ha la responsabilità di gestire piattaforme a cui hanno accesso migliaia o milioni di persone deve porsi il problema”.
Le problematiche in ballo sono note, conosciute da chi si occupa di sicurezza da tempo. Il punto è che per essere risolte hanno bisogno di risorse , in numero che spesso non è sempre alla portata di una startup o di un’azienda cresciuta in modo molto rapido. Intini ribadisce la necessità di coordinare gli sforzi, di un’attenta revisione delle regole e della situazione da parte del regolatore, di avviare le sinergie tra gli stakeholder necessarie a “irrobustire” (un termine che ricorre spesso nella discussione) la catena che deve garantire sicurezza.
“Dal punto di vista tecnico, per rendere sicuro l’ambiente il paradigma tecnologico deve prevedere una catena di affidabilità, quella che chiamiamo end to end trust – spiega Intini – Se questo principio si riesce ad applicare ad hardware e software, la catena può ridurre il livello di insicurezza. Non stiamo parlando di un sistema che esclude o include applicazioni a seconda del parere del vendor, ma di un approccio che possa essere esteso su scala internazionale e con più interlocutori coinvolti”.
Sullo sfondo ci sono le esperienze dei marketplace mobile, quello di Windows Phone 7 per Microsoft ma anche quelli di Android e iOS: esperienze che possono dire qualcosa, e che qualcosa senz’altro insegneranno in vista di Windows 8 (anche se, viene chiarito, non verrà messa in discussione la flessibilità dell’ambiente). Di sicuro, chiarisce Intini “Il modello libero in cui le app terze accedono alle informazioni utente senza vincoli non è del tutto sicuro”: non si tratta di tornare ai modelli di firma digitale delle applicazioni (alla parola Palladium ci scappa anche la risata), ma è certo che “il modello di integrazione tra OS e app va rivisto”.
Come esempio Intini cita Windows 7, che ha introdotto l’approccio dei livelli di integrità per i processi per impedire a chi è dotato di scarsi privilegi di attingere alle informazioni di chi invece gode di autorizzazioni maggiori. È un principio che raramente si è visto è applicato a un OS commerciale diffuso su larga scala, e mostra la consapevolezza di Microsoft che l’architettura dei sistemi operativi e il modo in cui gestiscono le credenziali sia il fianco debole esposto all’imperversare del malware. Non si tratta dell’unico problema, ma occorre tenerne conto, tutti: il programma Microsoft Vulnerability Research (MSVR), da poco rilanciato , vuole essere appunto un tentativo per ridare centralità a chi la sicurezza la studia, e costringere vendor più o meno blasonati a non sottovalutare le proprie carenze .
Alla luce di queste considerazioni, cambia inevitabilmente il mantra delle raccomandazioni agli utenti : resta inteso che si debba tenere a bordo un antivirus, aggiornato, e che si debba avere cura di selezionare i contenuti che si lanciano sulla propria macchina. Ma, conclude lo stesso Intini, “Alcune sono raccomandazioni obsolete: ci sono novità nei social network che negano certe raccomandazioni. Per questo è importante porre l’accento sulla innovazione del software in uso: tanto più gli utenti cliccano sui link, tanto più OS e browser devono essere robusti. È fondamentale aggiornare tutte le applicazioni che interagiscono col Web, approfittando degli automatismi quando possibile”.
a cura di Luca Annunziata