IE8 è sicuro, no, forse

Antefatto: sembra che il caso Google in Cina sia iniziato con un attacco informatico a dissidenti cinesi. Attacco sferrato utilizzando le debolezze di IE, il browser della Microsoft, e che avrebbe coinvolto indirettamente anche i server di Google.

Un riassunto su PI:

Google bucata via Internet Explorer
Microsoft ha fatto sapere che i recenti attacchi di provenienza cinese rivolti contro Google e altre aziende avrebbero sfruttato una falla zero-day di IE. BigM ha anche dichiarato che intende restare sul mercato cinese
Di Alessandor Del Rosso

Ieri, su Repubblica.it:

No a Explorer, c’è la Francia
Microsoft: “IE8 è sicuro”
Dopo la Germania, anche un’agenzia governativa transalpina invita a non usare il browser più diffuso nel pianeta. L’azienda di Redmond rassicura ma invita ad essere prudenti
di ANDREA TARQUINI

E ora il mio comizio!

1) Mai, e dico MAI, seguire le indicazioni che vengono dai giornali generalisti (corriere, repubblica, unità, eccetera) sui temi informatici e della Rete. Nel migliore dei casi avrete un mix di paure infondate e notizie vere e false messe assieme.

2) Nello specifico: per la nostra vita di tutti i giorni è assolutamente ininfluente come gli hacker (usiamo questo termine) abbiano fatto per fare quello che volevano fare. Avevano un obiettivo preciso (i dissidenti cinesi) e hanno usato la tecnica più adatta. Se IE fosse stato il browser più sicuro del pianeta, avrebbero usato altre tecniche. Nessun utente casalingo può difendersi da un attacco informatico mirato. Avete dei dubbi in proposito?

3) Su IE. Le discussioni sulla sicurezza (e sulla convenienza) dei browser e dei sistemi operativi, in ambiente informatico, genera discussioni senza fine che assomigliano a discussioni religiose. Il profano, più che seguire delle indicazioni, si trova a seguire delle religioni. Io dichiaro subito la mia: IE e outlook (e tutti i loro derivati, messenger, live mail, eccetera) sono il MALE. Sui sistemi operativi sono più tollerante, ma non userei mai Windows per cose serie. Diciamo per gusto personale e non per religione. :-)

Detto questo ci sono dei fatti, che nulla hanno a che fare con la religione informatica che uno segue. I fatti sono questi:

a) IE è legato in modo indissolubile con il sistema operativo Windows. Quindi un baco su IE è potenzialmente più pericoloso di altri.
b) IE è a sorgente chiuso. Microsoft corregge i propri errori quando e come ritiene più opportuno. Ci sono bachi (anche non pericolosi, ok) in IE che sono presenti da anni e non sono mai stati corretti.
c) IE è il browser più utilizzato del pianeta e ovviamente è il più studiato dai cattivi. I cattivi sanno tutto di IE e sanno che attaccando IE arriveranno certamente prima dove vogliono arrivare. E’ un fatto statistico, non tecnico e nemmeno religioso.

Tutto ciò con gli altri browser non succede, tranne il punto c) con Firefox, visto che è diffuso quanto IE e molto studiato dai cattivi. Solo che Firefox non aspetta anni a correggere le falle. Di solito bastano pochi giorni e le falle sono note a tutti con relativi metodi per evitare guai, quando possibile, in attesa delle correzioni.

Ora ci arrivate anche voi: se volete stare più sereni durante la navigazione, non dovete usare IE e dovete tenere aggiornato il vostro browser e il vostro sistema operativo. Ma non troppo sereni: l’informatica è piena di buche e i cattivi sono ovunque. Scetticismo, cautela e cervello acceso sono le vostre migliori armi di difesa.

Per tutto il resto c’è Attivissimo. :-)

Per chi ha voglia di studiare:
Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines
The Top Cyber Security Risks

Tag: , ,


%d blogger hanno fatto clic su Mi Piace per questo: