Nelle patch ci fidiamo: perché gli aggiornamenti software devono migliorare

Per quanto tempo rimandi il riavvio del computer, telefono o tablet per un aggiornamento di sicurezza o una patch software? Troppo spesso è troppo lungo.

L'aggiornamento dei dispositivi è un processo noioso, dispendioso in termini di tempo e che uccide la produttività. Ma nella stragrande maggioranza dei casi questi aggiornamenti risolvono bug nei sistemi operativi, nei browser, nelle suite di produttività, e anche sui nostri telefoni e tablet, che possono mitigare alcune delle peggiori vulnerabilità scoperte di recente volte.

Le patch ti fanno bene. Secondo L'unità di emergenza informatica della Homeland Security, US-CERT

, fino all’85% di tutti gli attacchi mirati possono essere prevenuti applicando una patch di sicurezza.

Il problema è che troppi hanno vissuto casi in cui una patch è andata disastrosamente storta. Questo non è solo un problema a breve termine per il proprietario del dispositivo, ma è un problema di fiducia duraturo con i giganti del software e i produttori di dispositivi.

Negli ultimi due anni si sono verificati almeno una mezza dozzina di gravi errori software ha lasciato gli utenti a cercare risposte e, in alcuni casi, i loro dispositivi hanno smesso di funzionare del tutto. Questo è un problema, ma non ultimo perché qualsiasi esperto di sicurezza dovrebbe dirtelo software antivirus e password complesse sono utili, ma nulla impedisce attacchi hacker e attacchi meglio di un software aggiornato.

Prendi Apple, Google e Microsoft. Nell'ultimo anno circa, tutti e tre hanno rilasciato un aggiornamento "pasticcioso", che non è riuscito a risolvere il problema o ne ha causati di nuovi.

L'aggiornamento iOS 8.0.1 di Apple aveva lo scopo di risolvere i problemi iniziali con il nuovo sistema operativo mobile di ottava generazione di Apple, ma servizio di cellule uccise sui telefoni interessati, lasciando milioni di persone bloccate fino a quando non è stata rilasciata una soluzione il giorno dopo. Google ha dovuto correggere il cosiddetto difetto Stagefright, che colpiva tutti i dispositivi Android, per la seconda volta dopo la prima correzione non è riuscito a svolgere il lavoro. Nel frattempo, Microsoft ha vistoDi piùtopparicorda negli ultimi due anni rispetto all’ultimo decennio.

E ci sono stati numerosi altri aggiornamenti pasticciati, che hanno interessato milioni di utenti.

La fiducia che riponiamo nelle aziende tecnologiche affinché forniscano patch prive di difetti o problemi è stata intaccata. E dimentichiamo che molte aziende hanno "backdoor" di aggiornamento illimitato nei loro prodotti per fornire patch e soluzioni per le masse. Se sbagli, quella fiducia può essere ridotta a zero.

L'altro lato della medaglia non è meno stressante per le aziende che offrono i cerotti.

Per le società di software, correggere le vulnerabilità potrebbe non significare semplicemente correggere una riga di codice. Più grande è il software, più diventa complicato. E quando qualcosa va storto, non è mai una sola persona a lamentarsi.

"Gli sviluppatori devono verificare se le modifiche apportate hanno avuto qualche impatto sul loro ecosistema", ha affermato Dustin Childs, sviluppatore senior di contenuti di sicurezza presso Hewlett Packard Enterprise. "Qualsiasi modifica al codice potrebbe potenzialmente avere un impatto negativo sul codice circostante. È necessario eseguire dei test per garantire che le patch non causino problemi al codice esistente sviluppato dal fornitore o al software di terze parti che si basa su quel codice."

Childs, un veterano nel settore della sicurezza, prima di lavorare presso Hewlett Packard Enterprise, è stato un evangelista tecnico senior e responsabile del programma di sicurezza presso Microsoft. Sa fin troppo bene quanto siano importanti le patch di sicurezza per il resto del mondo, poiché un errore può portare a una massiccia operazione di pulizia di centinaia di milioni di PC.

"Lo sviluppo e i test devono essere effettuati con la consapevolezza che il tempo stringe", ha affermato Childs. "I fornitori non possono impiegare troppo tempo in nessuna fase del processo. Una volta individuata una vulnerabilità, la probabilità che qualcun altro la trovi e la sfrutti aumenta sempre."

È per questo che le aziende, il più delle volte, lavorano rispettando tempistiche di divulgazione privata. Le aziende hanno spesso tre mesi dal momento della divulgazione privata per correggere e testare una patch di sicurezza. La divulgazione privata impedisce agli hacker di rappresentare un rischio immediato per i clienti.

Ma non è così che la vede la popolazione generale. Un brutto momento può lasciare l’amaro in bocca. Ciò può portare gli utenti a non aggiornarsi tempestivamente, creando una frammentazione del software e della sicurezza. In poche parole, gli utenti non applicano le patch così spesso come dovrebbero, il che aumenta il rischio di attacchi non solo per loro, ma anche per altri.

Nella maggior parte dei casi si tratta di un equilibrio tra rischio accettabile e fiducia nel produttore del software.

Mark Nunnikohoven, vicepresidente della ricerca sul cloud presso la società di sicurezza Trend Micro, ha affermato che Microsoft, Google e Apple hanno un "fantastico track record" di rilascio di patch con successo. Ma la natura stessa della bestia è che quando hai a che fare con quasi un miliardo di utenti combinati, qualsiasi errore è destinato a fallire essere ampiamente notato, il che può "distorcere la percezione dell'utente di quell'azienda e la sua capacità di fornire un successo toppa."

Microsoft, ad esempio, ha rilasciato 135 bollettini di sicurezza solo quest'anno con migliaia di vulnerabilità separate risolte. Bastano una o due patch per fallire o rompere qualcosa (che è successo) per tenere conto di un tasso di fallimento dell'1%.

"Quando lo inserisci nel contesto più ampio dei dati, questi sistemi proteggono i volumi elevati degli attacchi che vediamo online ogni giorno, la maggior parte delle persone lo considererebbe un rischio accettabile," ha affermato Nannikohoven.

Ma per l’utente interessato, che può essere un normale utente di PC domestico o un amministratore aziendale che supervisiona centinaia o migliaia di macchine, tale rischio non è accettabile.

La grande domanda è: questa patch proteggerà il mio computer, la mia rete, i miei dati, la mia sicurezza e privacy, ma romperà qualcosa di funzionale nel processo? Nei rari casi in cui le cose vanno storte, è proprio quella pillola agrodolce da ingoiare.

"Per l'utente, stai valutando il valore della soluzione rispetto all'impatto sul servizio fornito. Questo risolverà il mio problema? Causerà altri problemi? Nel caso delle patch di sicurezza, la cosa diventa un po' più complicata perché ora c'è un nuovo rischio in gioco: potenziali aggressori," ha detto Nunnikhoven.

Al centro di ogni aggiornamento software c’è un rapporto di fiducia tra l’utente e l’azienda. Quando le cose vanno male, possono colpire migliaia o milioni di utenti. Il semplice fatto di ignorare il problema e rimuovere le patch può minare la fiducia dell'utente, danneggiando il futuro processo di patch.

La chiave, secondo Childs, è la trasparenza e la chiarezza, piuttosto che l’offuscamento dovuto alla progettazione. E quando le cose vanno male, le aziende dovrebbero parlare apertamente e offrire soluzioni alternative.

"I clienti non si aspettano sempre che i fornitori siano perfetti al 100% il 100% delle volte, o almeno non dovrebbero", ha affermato Childs. "Tuttavia, se i fornitori sono schietti e onesti riguardo alla situazione e forniscono indicazioni attuabili, è molto utile ristabilire la fiducia che è andata perduta nel corso degli anni."