perchè sono importanti GLI Aggiornamenti software?

L'aggiornamento del software ti rende più "costoso" da hackerare

Nessun software è perfetto. I programmatori commettono errori, anche seguendo le migliori e più aggiornate linee guida disponibili. Quest'ultime vengono aggiornate periodicamente in base all'evoluzione della tecnica e della tecnologia, rendendo obsolete le versioni precedenti ed i problemi di sicurezza vengono scoperti nel tempo.

Quando un ricercatore di sicurezza scopre bug di sicurezza e non lo segnala allo sviluppatore, il bug è chiamato "zero day" o "0-day". Inutile dirlo ma ogni bug è in pratica un problema, ossia determina uno scostamento delle funzionalità attese del software. Nel caso di un software matematico un bug funzionale determina il calcolo errato di una equazione differenziale. Nel caso di un bug di sicurezza, un utente potrebbe avere accesso ad informazioni che altrimenti gli sarebbero negate. Entrambi sono dei bugs, soltanto classificati in modo diverso. 

La ragione del nome "zero-day", risiede nel fatto che la società che è potenzialmente in grado di risolvere il problema, normalmente non è consapevole di tale problema, ovvero non sa di averlo e pertanto ha avuto "zero giorni" per poterlo affrontare. Questi tipi di bug possono essere molto difficili da trovare. Lo sfruttamento di un bug "0-day" è chiamato exploit e spesso è composto da un pezzo di codice o procedura che ne permette lo sfruttamento. La conoscenza di uno 0-day e/o di un exploit sono particolarmente ricercati nel mercato nero, in quanto permettono di godere di vantaggi che altrimenti non si avrebbero. A seconda di tali vantaggi il loro prezzo di acquisto varia sino a raggiungere cifre davvero importanti. 

Quest'ultimi vengono talvolta utilizzati da determinati malware per un attacco phishing su un target di alto valore e normalmente la maggior parte delle persone non deve preoccuparsi di questo tipo di bug. L'aggiornamento del software ti permette di non essere considerato come un "bersaglio di opportunità" per attacchi a basso costo che cercano appunto di catturare le persone con software obsoleto.

Molto spesso, sono ricercatori, professionisti della sicurezza, accademici o dipendenti dell'azienda stessa che scoprono tali problemi e li riportano agli sviluppatori per essere risolti. In questo caso, la società può rilasciare gli aggiornamenti (noti anche come "patch") per correggere il problema. L'operazione di aggiornamento può avvenire automaticamente, manualmente oppure mediante una combinazione delle due modalità. 

Quando è configurata la modalità semi-automatica,  periodicamente potrebbe essere visualizzata la fastidiosa notifica "Aggiorna", nella quale  puoi dare il via al processo di aggiornamento immediatamente, ad un dato orario successivo oppure annullare l'operazione attendendo una ulteriore notifica successivamente. Terminato tale processo, sarai aggiornato con le migliori protezioni disponibili.

Ma cosa succede se non aggiorni il tuo software immediatamente? Una volta che una società rilascia un aggiornamento per la sicurezza per correggere un bug, il bug è in qualche modo "pubblicizzato". Potrebbe essere anche molto popolare nelle varie comunità di ricerca sulla sicurezza. Nel tempo, eventuali persone malintenzionate saranno in grado di decodificare dall'aggiornamento della sicurezza i dettagli del bug. A differenza di un "zero-day", questi bug sono facili da capire e i relativi exploit hanno un costo irrisorio, al limite gratuito. Sono spesso utilizzati in ampi schemi di phishing e malware per trovare le persone che hanno dispositivi con software scaduto.

Quando aggiorni il tuo software, non sei più un "bersaglio di opportunità" per attacchi a basso costo che cercano di catturare le persone con software obsoleto.

l'aggiornamento potrebbe compromettere il tuo lavoro

E' vero, l'aggiornamento potrebbe compromettere il funzionamento del mio software o includere nuove funzionalità che non mi piacciono e mi rendono la vita più difficile!

Questa è una preoccupazione molto comune e da tenere in considerazione la maggior parte delle volte. Sebbene sia una buona pratica separare gli aggiornamenti di sicurezza dagli aggiornamenti che includono nuove funzionalità e altre modifiche, non tutti i fornitori e le aziende lo fanno in modo coerente e sistematico.

Tuttavia, è opportuno tenere in considerazione che se il tuo software ha bisogno di un aggiornamento per la sicurezza, vuol dire che è già inadeguato. Vuol dire che è stato trovato un problema e l'aggiornamento è stato fatto proprio per affrontarlo e tendenzialmente per eliminarlo. L'aggiornamento porta da un software compromesso ad un software che tendenzialmente ha una minore probabilità di errore.

l'importanza e l'impatto del senso urgenza per indurti all'azione: click! 

"Mi hai appena detto di non cliccare su messaggi che fanno leva sull'importanza ed urgenza dell'azione per evitare gli attacchi di phishing!"

Infatti. Questo è esattamente il punto in cui il consiglio di aggiornare il proprio software è contro-intuitivo. Alle persone viene chiesto di controllare i link o i pop-up non richiesti ed evitare di cliccarvi se possibile, e allo stesso tempo viene richiesto sempre di cliccare su un particolare tipo di aggiornamento, per altro comunque non richiesto!

Qui è importante considerare il contesto e bilanciare la scelta con ben precisi criteri di giudizio facendo di fatti un compromesso. Innanzitutto, il contesto: un aggiornamento non verrà visualizzato nelle e-mail, nei messaggi o in altri messaggi. Generalmente si tratta di una notifica di sistema, che apparirà come una notifica sul telefono o una finestra a comparsa stilizzata sul dispositivo o all'interno di un'app. A questo punto, se qualcosa non ti sembra giusto, puoi esaminare il sistema operativo o l'app per scoprire quale versione stai utilizzando e confrontarla con la versione più recente elencata sul sito web del fornitore del software in questione.

E ora il compromesso: non possiamo escludere la possibilità di un bug malevolo che finge di essere un normale aggiornamento del software. Tuttavia, questo tipo di attacco è piuttosto raro rispetto ad altri tipi di cose che un utente normale potrebbe incontrare. Questa sottile possibilità non dovrebbe impedirti di aggiornare il tuo software. Per ogni attacco che potrebbe sembrare un aggiornamento per la sicurezza, ci sono almeno cento attacchi che si avvantaggeranno del fatto che non si aggiorna il software.

Per concludere, questo articolo, mantenendo il tuo software sempre aggiornato, sei sempre un passo avanti rispetto a tutte le minacce più avanzate.