Mentre parte del crimine informatico si concentra sugli ultimi ritrovati della tecnologia per condurre attacchi su larga scala c’è chi, con molto meno, riesce ad essere ugualmente efficace. È il caso del gruppo di pirati informatici, individuato già nel 2018 da alcuni ricercatori di Google, che aveva puntato gli occhi su nientepopodimeno che Internet Explorer. Nonostante fosse stato già abbandonato da due anni da Microsoft -e da molto più tempo da una significativa fetta di utenti in fuga dalla sua atavica lentezza- Explorer rappresentava una grande e inattesa opportunità per gli hacker. Nel 2018 infatti era ancora così diffuso da consentire, una volta trovata una falla, di avere una porta spalancata su centinaia di milioni di computer in ogni parte del mondo. La vulnerabilità zero-day scoperta all’epoca fu risolta da una patch del settembre 2019.
Col passare del tempo l’interesse per Explorer sembra non essere per nulla affievolito, come dimostrano le vulnerabilità scoperte nel novembre 2019, gennaio 2020, aprile 2020. Maddie Stone, ricercatrice nel comparto sicurezza di Google (Project Zero), riconosce nelle problematiche riscontrate da Explorer qualcosa va ben oltre il vecchio browser di Microsoft. Spesso le vulnerabilità individuate vengono risolte in maniera sommaria e richiedono ai malintenzionati solo l’aggiunta di un paio di righe di codice per essere nuovamente sfruttate. Altre volte invece, soluzioni pur apprezzabili per un problema individuato in un punto particolare del codice, non vengono implementate in altri punti che presentano la stessa vulnerabilità a causa dei limiti imposti in termini di tempo e risorse.
Anche Project Zero risente di questa tendenza. Nei suoi sei anni di vita ha individuato 150 grandi zero-day bugs, 24 dei quali stavano per essere sfruttati a danno del gigante di Mountain View. Ben un quarto di questi ultimi era incredibilmente simile ad altri già precedentemente individuati ma non adeguatamente risolti. L’implementazione di soluzioni negligenti in risposta ai problemi di security va tutta a vantaggio degli hacker che, una volta individuato un bug, possono farne emergere tanti altri apportando piccole modifiche.
Le vulnerabilità di un sistema software purtroppo non coinvolgono solo l’azienda che ne è proprietaria, bensì per primi i suoi clienti. Nel 2019 Project Zero ha scoperto un bug in Apple iMessage che consentiva ai malintenzionati di appropriarsi dell’intero smartphone di una vittima senza che quest’ultima dovesse compiere alcuna maldestra operazione come il click su un link sospetto.
Invece di risolvere la specifica vulnerabilità segnalata, Apple è andata in fondo nel cercare di comprendere i problemi strutturali che avevano consentito simili intrusioni. L’app è ora isolata dal resto del telefono da un protocollo di sicurezza chiamato Blast Door che ne rende molto più complicato l’accesso a malintenzionati. La contestuale modifica dell’architettura di iOS ha inoltre reso più difficile l’accesso alla cache condivisa del telefono e ha limitato i tentativi di attacco in rapida successione. I tentativi che prima richiedevano pochi minuti per essere portati a compimento ora richiedono ore o giorni, rendendo più difficile il compito ai malintenzionati.
Combattere i tentativi di intrusione e proteggere i dati sensibili degli utenti dunque si può, ma a nulla serve procedere con indolenti provvedimenti tampone che rendono troppo facile la vita degli hacker. Anche noi utenti però dobbiamo fare la nostra parte, assicurandoci di avere in utilizzo un software ancora manutenuto dalla casa produttrice e adeguatamente aderente ai più recenti aggiornamenti.
