www.MegaLab.it

Ryan Naraine è un nome piuttosto noto a chi segue il mondo della sicurezza. Il Technology Evangelist newyorkese è infatti attivo nel settore da oltre 10 anni, ed il suo Zero Day Blog su ZDNet è un punto di riferimento continuo in merito alle vulnerabilità rintracciate nei vari software.

Con Ryan abbiamo parlato di browser web, piattaforme alternative, Twitter, Facebook ed altri argomenti "caldi" in generale.

Google Chrome è il più sicuro?

Google Chrome, sopratutto grazie all'implementazione della celebre "sandbox", è stato l'unico browser in grado di attraversare indenne lo scorso Pwn2Own. Ryan ritiene però che "ciò non sia sufficiente a classificarlo come il browser web più sicuro in circolazione".

Molto più probabilmente invece, si è trattato solamente di una scelta di bersagli differenti: "Credo che, semplicemente, non vi siano stati un numero sufficiente di esperti che vi abbiano lavorato su".

A sostegno di tale affermazione, il Technology Evangelist ricorda che nemmeno il blindatissimo iPhone ha resistito alle aggressioni.

Questo non significa comunque che Google non stia lavorando piuttosto bene, sia sul piano tecnico che su quello commerciale: vi sono numerosi meccanismi in grado di mitigare l'impatto delle vulnerabilità ed il fatto che il gruppo offra una sorta di "taglia" da alcune centinaia di dollari a chi segnala i problemi è certamente un incentivo per i cacciatori di bug ad intensificare i propri sforzi.

Ma l'elemento in grado di fare la differenza, sostiene Naraine, è il meccanismo di aggiornamento completamente automatico e trasparente: questo fa sì che anche l'utente più distratto e meno interessato alla manutenzione del calcolatore impieghi sempre la versione più recente del software, con tutte le ultime correzioni ai vari problemi che emergono.

Ryan riconosce che questo possa essere un aspetto inviso a coloro che preferiscono tenere sotto controllo il proprio sistema personalmente, ma si tratta comunque di una quota nettamente minoritaria.

L'alternativa è costituita dalle lunghe attese alle quali sono costretti coloro che utilizzano Internet Explorer: si arriva fino ad un mese fra la segnalazione di un problema e la sua soluzione poiché, a meno di casi eccezionali, Microsoft pubblica le patch solamente una volta al mese.

Una buona via di mezzo, ricorda ancora il giornalista, è l'approccio adottato da Firefox. Il navigatore di Mozilla segnala infatti le nuove versioni senza però installarle senza uno specifico "ok" da parte dell'utilizzatore. Va però da sé che questo rischia di lasciare vulnerabili coloro che premono "Annulla" senza aver realmente compreso le implicazioni della loro scelta.

Mac e Windows: chi è più sicuro?

Ryan risponde alla difficile domanda con una sfumatura non semplicissima da cogliere per chi non si occupi di sicurezza abitualmente. L'esperto ritiene che Windows sia "più sicuro" ("more secure") dal punto di vista tecnico, ma che l'ecosistema in generale e la realtà nella quale ci troviamo faccia sì che i sistemi di Apple siano nettamente meno esposti ai problemi di sicurezza ("safer").

Un grosso difetto della piattaforma Mac, precisa ancora l'intervistato, è costituito dal falso senso di sicurezza che sembra farla da padrone fra i seguaci di Steve Jobs. La credenza che utilizzando un prodotto Apple non si possa divenire vittime dei cybercriminali porta ad approcciare Internet in maniera troppo disinvolta, seguendo link insicuri senza riflettere sulle conseguenze: "le azioni di phishing sono efficaci tanto su Mac quanto su Windows, allo stesso modo in cui si avvertono gli effetti di un server DNS compromesso per risolvere gli indirizzi in un IP malevolo. E scaricare software piratato può veicolare malware allo stesso modo", ricorda Naraine.

"Eseguire codice malevolo su Mac è tecnicamente molto più facile che non su Windows 7", prosegue. "È più difficile per un cracker riuscire ad eseguire codice da remoto sull'ultimo sistema operativo Microsoft rispetto a quanto non lo sia su Mac OS. Per tutti questi motivi, non mi sento di raccomandare Mac".

Quali tecnologie scegliere?

L'esperto ci ha rivelato di aver diversificato moltissimo le proprie configurazioni: "A casa ho riservato uno specifico sistema per le sole attività di e-banking ed e-commerce. Quel sistema impiega Google Chrome, e non monta né Flash Player né altre applicazioni potenzialmente interessate da bug di sicurezza". Allo stesso tempo però, Ryan possiede anche PC con Windows, alcuni Mac ed altri calcolatori governati da Linux.

"I prezzi sono estremamente contenuti, e rendono un approccio così cauto piuttosto economico da implementare".

Alla domanda "raccomanderesti quindi Google Chrome agli utenti meno esperti?", Ryan risponde con un chiaro "sì, assolutamente".

Privarsi di Flash Player è una strada percorribile?

Flash Player è spesso sotto i riflettori per problemi di sicurezza, tanto che numerosi esperti raccomandano di non installarlo sui propri sistemi. Abbiamo chiesto a Ryan la sua opinione in merito.

"Non è una strada percorribile", risponde pragmaticamente il Technology Evangelist. "Privarsi di Flash significa non essere in grado di accedere ad un'importante fetta di contenuti presenti sul web. Se anche ti raccomandassi di rimuovere Flash Player e tu lo facessi, domani l'avrai già reinstallato perché è un componente che ti serve".

Al momento, purtroppo, non esiste una soluzione concreta al problema. Sebbene Adobe continui a rilasciare patch, ciò non è sufficiente a mitigare il problema alla radice. Quello che sarebbe auspicabile, sostiene il divulgatore, è che Adobe iniziasse a dotare il programma del supporto alle tecnologie come ASLR e DEP esposte dal sistema operativo.

Lo stesso dicasi di Adobe Reader, anche se in questo caso il mercato offre software alternativi che risultano generalmente meno bersagliati.

Twitter e Facebook

Interrogato circa le frequenti vulnerabilità che interessano Twitter, Ryan rivela alcuni interessanti retroscena.

Il problema sarebbe fondamentalmente strutturale: al momento del "boom" del sito infatti, il management ha investito pesantemente sull'infrastruttura necessaria a reggere il volume di traffico, ponendo la sicurezza in secondo piano.

Il gruppo ha attualmente assunto alcuni specialisti per la revisione del codice, ma permangono comunque numerosi bachi che, probabilmente, non saranno corretti nell'immediato.

Naraine lamenta poi un approccio improntato troppo sulla "reazione" e ben poco sulla "prevenzione": "I problemi di sicurezza vengono corretti dopo che finiscono sotto i riflettori, ma ben poco viene fatto in anticipo".

Lo stesso dicasi di Facebook: "Il gruppo ha introdotto un sistema di filtraggio solo dopo molti mesi che il worm Koobface stava utilizzando i loro servizi per propagarsi", sostiene Naraine, rimarcando nuovamente l'approccio "reazionario" e non "preventivo".

Allo stesso tempo però, Ryan ha confermato di utilizzare sia Twitter, sia Facebook: il primo come strumento di lavoro per rimanere in contatto con le proprie fonti, l'altro per scopi personali.

Sovraccarico infomativo: come sopravvivi?

Fra e-mail, RSS, siti di informazione e social network, i power-user sono sempre più sopraffatti da un carico di informazioni che risulta molto difficile "digerire" in maniera opportuna. Ryan Naraine come gestisce il tutto?

"Al mio rientro prevedo di ritrovarmi con qualche migliaio di nuovi articoli e news da leggere: senza indugi premerò "segna tutti come letti" e andrò oltre. Per quanto riguarda l'e-mail invece, ho predisposto una serie di filtri che smistano ed evidenziano solo le comunicazioni davvero importanti. Ho poi imparato a chiudere definitivamente di tanto in tanto le decine di schede che tengo aperte contemporaneamente in Firefox. Su Twitter invece, mi limito a scorrere la mia pagina in una decina di secondi al massimo.".