Nel momento in cui scriviamo queste righe si avvertono ancora gli echi del micidiale uno-due apportato da Meltdown e Spectre, due vulnerabilità nell’architettura dei processori che hanno costretto tutti i sistemi operativi a correre frettolosamente ai ripari, rilasciando aggiornamenti e patch che causano un decadimento misurabile nelle prestazioni. Ma il 2017 è stato un vero e proprio annus horribilis per la sicurezza informatica, con problemi gravi, epidemie di malware e incredibili leggerezze che hanno coinvolto molti sistemi e molti produttori.
A partire da Apple, che ha trascurato una grave falla capace di consentire l’accesso di root ai sistemi macOS High Sierra, per poi rilasciare un aggiornamento di sicurezza che non era sempre risolutivo. Anche Microsoft ha la sua fetta di responsabilità per le epidemie di ransomware WannaCry e Petya, che hanno colpito centinaia di migliaia di computer in tutto il mondo. Entrambi i malware hanno sfruttato una vulnerabilità nella prima versione del protocollo Smb, soppiantata dalla versione 2.0 (e poi da quelle successive) nell’ormai lontanissimo 2006, ai tempi di Windows Vista. Gran parte delle colpe è quindi da ascrivere agli amministratori dei sistemi colpiti, ma Microsoft avrebbe potuto disattivare questo protocollo ormai obsoleto, lasciandolo disponibile come opzione per i contesti legacy in cui continuava a essere indispensabile. Questa semplice decisione è arrivata soltanto con il Fall Creators Update, quando ormai i buoi avevano da tempo lasciato la stalla.
Ancor più incredibili sono le leggerezze commesse da grandi produttori di computer come Hp e dagli sviluppatori dei driver per alcuni dispositivi hardware: il driver della sezione audio di molti portatili Hp integrava un keylogger che salvava tutti i tasti premuti all’interno di un file di log accessibile senza problemi da chiunque. L’errore è troppo maldestro per celare un verosimile tentativo di violazione della privacy, ma fa scattare comunque un campanello d’allarme sulla scarsa attenzione con cui anche le aziende più importanti realizzano e rifiniscono i loro prodotti. Un altro keylogger, per fortuna disabilitato per default, era integrato in alcune versioni dei driver per i diffusi touchpad Synaptic. Nonostante non rappresentasse un pericolo immediato, era comunque una vulnerabilità sfruttabile da un hacker attento. Queste falle, insieme a molte altre (basti pensare all’attacco Krack al protocollo Wpa) sottolineano come, nonostante i gravi episodi degli ultimi anni, la sicurezza rimanga in gran parte un processo separato rispetto allo sviluppo dell’hardware e del software. È più che mai necessario ripensare i flussi di lavoro per garantire una maggiore sicurezza fin dai primi passaggi di ogni progetto, anche a costo di sacrificare una parte dei profitti e di allungare i tempi di sviluppo. Altrimenti i disastri del 2017 non resteranno isolati.