0day? Le vecchie vulnerabilità sono ancora utilizzate oggi.

Le vulnerabilità di ieri sono ancora utilizzate oggi.

Quando una vulnerabilità viene scoperta, gli sviluppatori e i sistemisti di mettono subito in moto per risolvere il problema. Per questo motivo, il valore per un hacker di una falla di sicurezza cala di molto nel momento in cui questa viene risolta.

Ma che cosa accade se l’utente non applica la correzione nel momento in cui questa viene rilasciata?

Il ritorno che ha un hacker su una vulnerabilità rimane nel tempo, perché fino a quando ci saranno vittime disponibili non coperte dalle patch di sicurezza, i loro attacchi informatici potranno continuare ad essere portati avanti con successo. Fino a quando lo sforzo di trovare nuove vittime non diventi troppo oneroso, le vecchie vulnerabilità non messe in sicurezza continueranno ad essere sfruttate.

Non sorprende infatti che i report sulle vulnerabilità riportino che gli exploit più utilizzati nel primo trimestre del 2019 fossero proprio problemi ben noti, con soluzioni rilasciate almeno 10 anni fa.

Un terzo delle vulnerabilità, sempre nel primo trimestre del 2019, sono invece state sanate già dal 2017.

Perché le aziende non si mettono in sicurezza?

La maggior parte delle aziende si accontenta di avere un sistema che funziona.

Già: basta che funzioni, e siamo tutti contenti.

Non ha senso spendere denaro per proteggere i propri sistemi e mantenere sempre tutto allo stato dell’arte: tanto si lavora lo stesso.

Ma poi, inesorabilmente, prima o poi qualcosa accade: un attacco ransomware, un trojan horse, e tutto parte spesso da una semplice e-mail.

Non basta essere dotati di un antivirus aggiornato per essere al sicuro: infatti il 75% delle aziende che hanno subito perdite di dati dovute a ransomware erano coperte da antivirus aggiornati.

Il problema sta proprio nel progetto di impresa: la stessa importanza che ha un dirigente, la ha il sistemista informatico e questo deve essere costantemente formato e messo sempre sotto stress per continuare a migliorare la configurazione dei sistemi. Questo in genere dovrebbe bastare per stare al sicuro, sempre se non si è troppo sfortunati. Ma per la sfortuna c’è sempre una polizza assicurativa.

Giacomo Arru

Sono un DPO certificato o RDP - Responsabile della Protezione dei Dati, e in qualità di consulente esterno in materia di protezione dei dati lavoro per enti pubblici e società private che processano i dati sensibili su larga scala.

>