(in)sicurezza/ Che paura, è arrivato l'exploit

di Matteo Flora - Attenzione a certe ricostruzioni fantasiose che a volte emergono sui giornali generalisti: la Sicurezza è una cosa seria, per farlo capire è necessario studiare e documentarsi. Exploit non è un nuovo temibile virus
di Matteo Flora - Attenzione a certe ricostruzioni fantasiose che a volte emergono sui giornali generalisti: la Sicurezza è una cosa seria, per farlo capire è necessario studiare e documentarsi. Exploit non è un nuovo temibile virus

Milano – Il Corriere della Sera mi deve una birra, una schiumosa Guinness. E, a voler vedere, anche la ricevuta della tintoria per i pantaloni dove questa si è irrimediabilmente rovesciata in un terremoto di risate durante la lettura dell’articolo più comico, da un punto di vista prettamente informatico, che abbia letto negli ultimi anni. Si trattava, va detto, non già di studiato sarcasmo o premeditata ironia, ma probabilmente di un inconsapevole grammelot di fraintendimenti e imprecisioni che ottengono come risultato finale un articolo dal potenziale comico (per gli addetti al settore) assolutamente irresistibile.
Ma procediamo con ordine ed entriamo in una serata come tante in un bar della Milano del centro assieme ai soliti informatici. Un ritrovo conviviale per un aperitivo e quattro chiacchiere. Se non che sul più bello si presenta un allegro esponente del mondo degli informatici con un ritaglio sotto mano ed un sorriso furbesco sotto ai baffi. Si tratta del pregevole contributo alla Teoria dell’Informatica di Marco Letizia che dalle pagine del Corriere ci svela il più pericoloso di tutti i pericolosi cattivi della sicurezza informatica: quel gran farabutto di Exploit, il Lupin dei Virus Informatici . Già, perché, come leggiamo nell’articolo:

Perché da un po’ di tempo non assistiamo a un attacco di un virus informatico su vasta scala? La risposta è semplice. L’attacco è già in corso anche se noi non ce ne rendiamo conto. La minaccia si chiama “exploit” un termine usato in informatica per identificare un metodo che, sfruttando un bug o una vulnerabilità, porta all’acquisizione di privilegi o al denial of service di un computer. Il fenomeno “exploit” ha già infettato oltre 70 milioni di pc nel mondo, centinaia di migliaia solo in Italia (…), ma fino ad ora l’allarme si è diffuso solo su siti e riviste specializzate.

Ora posso capire che qualcuno dei lettori, i meno addentro alla Sicurezza Informatica teorica, non trovi immediatamente degne della migliore comicità informatica queste affermazioni. Taluni “tecnicismi”, infatti, non sono così diffusi, ma sebbene una ignoranza in “senso etimologico” di questi argomenti sia perfettamente accettabile nella vita di tutti i giorni, non lo è in un giornalista che come in questo caso sembra prodigarsi a creare una complessa e macchinosa – quanto fantasiosa – ricostruzione di una teoria, quella dell'”Exploit come potentissimo Virus”, a tutti gli effetti comunicando una impressione ed un concetto falso e fuorviante.

Ma per meglio illustrare la “battuta” facciamo un esempio pratico: supponiamo per un momento che nel paese “K” non si conosca il gioco del calcio. Generazioni e generazioni di cittadini sono sopravvissute bellamente senza conoscere nulla dell’argomento, ma ad un certo punto della esistenza della pacifica nazione si “scopre” una passione per questo gioco del tutto inaspettata. Un giornalista locale, quindi, si improvvisa Divulgatore Calcisticio di Lunga Fama e prendendo fischi per fiaschi legge per sommi capi i contenuti di un giornale specializzato che ritiene più interessanti. Guarda caso quella Domenica riserva come unica azione di rilevanza un calcio d’angolo, un “corner” della promessa del calcio brasiliano. Il giornalista improvvisa qualche ricerca sul web, sfoglia la wikipedia e la mattina dopo osserviamo questo articolo:

Corner: il nuovo calciatore che minaccia il Mondo come il nuovo Pelè
Perché da un po’ di tempo non assistiamo a un attacco calcistico di grande impatto? La risposta è semplice. L’attacco è già in corso anche se noi non ce ne rendiamo conto. Il calciatore in questione si chiama Corner ed il fenomeno Corner ha segnato quest’anno oltre 70 gol nel mondo, quasi una decina solo in Italia, ma fino ad ora la notizia si è diffusa solo su siti e riviste specializzate.

È tutto più chiaro, ora?

Già, perché “Exploit” non è un virus, ma una tecnica (come non esiste un fenomenale signor Corner nel gioco del calcio, semmai un particolare tiro o una posizione) che taluni virus hanno adottato in passato (ed adottano tutt’oggi) per sfruttare vulnerabilità in software o sistemi operativi, vulnerabilità che consentono al “programma virus” di eseguire comandi sui computer remoto senza che l’utente ne sia a conoscenza (in questo caso tecnicamente parliamo di Arbitrary Code Execution ) e, talvolta, di acquisire i privilegi di Amministratore (in questo caso trattasi di Privilege Escalation ), potendo in questo modo eseguire qualunque tipo di comando sulla macchina “ospite” del Virus.

Un esempio famoso è stato quello che ha investito le routine di gestione delle immagini WMF nei sistemi operativi Windows per due volte nel 2005 e nel 2006: un errore nella programmazione delle funzioni di visualizzazione delle immagini WMF, infatti, permetteva ad utenti malintenzionati di creare particolari immagini che una volta visualizzate erano in grado di eseguire comandi (ad esempio scaricare dalla rete ed eseguire un virus) in modo arbitrario e senza che l’utente potesse accorgersi di nulla, in un tipico esempio da manuale di “Exploit” di tipo Arbitrary Code Execution.
Utilizzare un “Exploit” è quindi una delle tante possibilità di un virus, nemmeno obbligatoria per altro, una “tecnica”, un “tiro” come tanti altri, anche se molto, molto efficace.

Sia chiaro che questa mia “requisitoria” non vuole essere un attacco diretto verso un giornalista o una testata, ma è l’ennesima constatazione di uno “status quo” del modo in cui le problematiche relative alla Sicurezza Informatica vengono trattate dagli organi di comunicazione: si tratta un argomento solo ed esclusivamente quando è possibile mostrarne una veste potenzialmente catastrofica, normalmente in modo incredibilmente superficiale, in articoli farciti di inesattezze o plateali errori.

In Italia c’è un disperato bisogno di trattare argomenti legati alla Sicurezza Informatica ed alla difesa e protezione delle Informazioni: su di essa si basano non solamente il concetto stesso di Privacy, non solo la Firma Elettronica ed il Codice delle Amministrazioni Digitali, ma anche il mondo della nostra fiducia nei sistemi bancari, in quelli di comunicazione ed in quelli di servizio.
Solo la trattazione corretta e sistematica di tutti gli aspetti, dal più banale come il Phishing ai più complessi come Exploit, Buffer Overflow, Application Security et similia può arrivare a fare “evolvere” la comprensione del concetto di “Sicurezza come bene da tutelare” da parte del grande pubblico, da parte di tutti quegli utilizzatori comuni che i piani di governo contro il Digital Divide mirano a creare.

La Sicurezza Informatica in Italia, paese che si sta evolvendo sempre di più nella direzione della progressiva informatizzazione di documenti e processi, è una priorità assoluta e non possiamo più permetterci all’alba del 2008 articoli che possano impaurire e rendere insicuri gli utenti (gli americani hanno coniato il termine FUD col significato di Fear Uncertainty Doubt per descrivere questo genere di dis-informazione ), ma ci aspettiamo e pretendiamo una informazione corretta e puntuale. La Sicurezza Informatica è alla nostra portata anche qui in Italia: abbiamo solo bisogno di umiltà, studio e metodo. Insistiamo, il resto verrà da sé, con il tempo e la “buona volontà”.

Matteo G.P. Flora (*)

P.S.: Ho sperato per qualche giorno in questa settimana di fare lo “scoop” ed essere il primo a parlare dell’argomento, ma la Blogosfera non perdona ritardi e soprattutto non conosce tempi redazionali. Segnalo quindi con estremo piacere chi si è prodigato a segnalare la cosa e che ho avuto modo di leggere. Tra i tanti: LoneRunners , 8Log , Solleviamoci . Non so se siano stati i primi o meno, sono solamente quelli che ho trovato io nelle mie ricerche sul Grande Fratello del Web.

Nota (*)
Matteo G.P. Flora si occupa di Sicurezza Informatica come consulente e ricercatore indipendente.
Attivo nella divulgazione gestisce il blog LastKnight.com e tiene conferenze sul tema. Perito Forense per gli organi di Polizia Giudiziaria ha pubblicato volumi sull’argomento ed è membro del Comitato Esecutivo di AIP oltre a dirigere Opsi .
Per il resto twittera , pubblica videoblog e cerca di sopravvivere in bicicletta nella caotica Milano.

Link copiato negli appunti

Ti potrebbe interessare

10 02 2008
Link copiato negli appunti