Un recente studio ha evidenziato che alcuni tipi di software aziendali sono più vulnerabili e meno sicuri se al loro interno hanno in bundle codici o software di terze parti. A questo punto le aziende si pongono (o dovrebbero porsi delle domande).
Innanzitutto chiedersi se il software in bundle può diventare una problema di sicurezza per un’azienda. E, di conseguenza, se Il bundle sia un parametro da considerare nell’acquisto di software e hardware per tenere al sicuro i propri dati aziendali.
Secondo il Vulnerability Update Report redatto dallo specialista della sicurezza Secunia, le vulnerabilità scoperte tra agosto e settembre 2014, avevano evidenziato che su un totale di 1.841 software con vulnerabilità, i primi 20 erano prodotti da IBM. In realtà non era il brand oggetto di contestazione quanto, piuttosto, il fatto che alcuni dei suoi prodotti includono software di terze parti che utilizzano libreria Java e OpenSSL.
Non c’è Java che tenga
È risaputo come Java sia stato colpito da problemi di sicurezza derivanti dalla vulnerabilità zero-day, mentre OpenSSL, l’anno passato, ha dovuto fare i conti con il bug di sicurezza Heartbleed. Purtroppo, ogni volta che viene scoperta una vulnerabilità in questi e altri software che includono questo tipo di librerie comprese nei prodotti IBM (brand che gode di estrema fiducia da parte dei suoi clienti) l’immagine aziendale comunque ne risente.
Dal punto di vista pratico, quando viene scoperta una vulnerabilità in Java e, di conseguenza, viene rilasciata una patch, IBM ha bisogno di rilasciare a sua volta una patch di aggiornamento proprietaria per tutti i prodotti a catalogo che incorporano Java, mettendola disposizione dei clienti più velocemente possibile. Questo problema non riguarda solo IBM, ma anche di tutti quei produttori di software che utilizzano codici e componenti di terze parti che possono mettere a rischio i prodotti in distribuzione.
Insomma, l’utilizzo in bundle di software di terze parti è diventato un problema davvero importante, tanto che appare nella Top 10 dell’elenco delle vulnerabilità più pericolose stilato da OWASP (Open Web Application Security Project).
Quali sono i pericoli nascosti
Più un programma è complesso e utilizza componenti di terze parti, più e potenzialmente pericoloso ed esposto agli attacchi da parte dei malintenzionati. Tutto questo deve essere tenuto in alta considerazione nel valutare l’adeguatezza dei prodotti da acquistare per la propria azienda. Ecco i consigli degli esperti:
- Verificate che nel contratto di licenza siano elencarti quali software di terze parti vengono installati e utilizzati (il che molto spesso non avviene e così un’azienda si può trovare una falla nel proprio sistema di sicurezza senza saperne l’origine).
- Cercate di capire quanto velocemente il produttore rilascia patch per risolvere eventuali problemi di vulnerabilità e quale metodo utilizza per distribuirlo ai propri clienti.
Il modo in cui i fornitori di software offrono aggiornamenti o patch per i propri prodotti è cambiato negli ultimi anni. Ad esempio Google e Mozilla rilasciano aggiornamenti incrementali per i propri browser ogni due/tre mesi e questo è sicuramente il metodo migliore per risolvere i problemi di vulnerabilità in modo tempestivo. Al contrario, l’utilizzo di software che comprendo codici e componenti di terze parti aumentano notevolmente il numero di programmi di produttori diversi che vengono installi sui computer all’interno della rete aziendale. Questo significa che gli amministratori di rete si devono impegnare in una vasta operazione di aggiornamento per una grande quantità di software, con il rischio che qualcuno dei sistemi non venga interamente aggiornato esponendolo così a una involontaria probabilità di poter essere violato per una vulnerabilità non risolta.
Da sottolineare, infine, che secondo il Center for Strategic and International Studies, software quali Java, Adobe Acrobat e Reader, Adobe Flash e QuikTime sono state le applicazioni più frequentemente utilizzate dagli hacker come vettore d’attacco contro gli utenti che utilizzano il sistema operativo Windows.
I software che utilizzano questo componenti a rischio potrebbero quindi essere depennati dalla lista di quelli da impiegare in azienda, procedura utile per tenere al sicuro tutta l’infrastruttura di rete.
