Sarà una mia impressione, ma ultimamente mi sembra di vedere sempre più avvisi di vulnerabilità in prodotti di sicurezza. Un paio qui e qui. Ci si può chiedere: ma se anche i prodotti di sicurezza non funzionano, come proteggo i miei sistemi? La soluzione corretta è naturalmente: ridondanza e difesa in profondità. Dato che non si deve partire dall’ipotesi che un prodotto di sicurezza sia infallibile, è necessario avere più meccanismi, in un’architettura e configurazione che faccia sì che se uno fallisce, ce ne sia comunque un’altro funzionante a proteggere o a contenere eventuali attacchi. Nel caso di un pc di casa ad esempio, configurare il personal firewall (al momento sui sistemi Windows di casa uso Comodo), avere un antivirus aggiornato (ad esempio Avira Antivir) e un prodotto anti-walware come SpyBot Search & Destroy (tutti questi sono prodotti gratuiti per uso domestico), unito all’aggiornamento del sistema ed al fatto di utilizzare un utente non amministratore per le normali attività, costituisce un esempio di ridondanza e difesa in profondità.
Supponiamo ad esempio che qualcuno ci mandi un messaggio di posta con un attachment Word che sfrutti una vulnerabilità attualmente non patchata. La nostra prima linea di difesa (non avere vulnerabilità note) cede, e non ci possiamo fare niente, dato che non dipende da noi. Non si tratta di un virus, o magari si tratta di un virus nuovo e il nostro antivirus ancora non lo riconosce, e quindi cede anche la seconda linea (l’antivirus). Il malware riesce quindi ad essere eseguito, ma trova altri due ostacoli: l’utente non ha i diritti per fare modifiche eccessive al sistema, ed eventuali tentativi di modificare i registry vengono intercettate dal Teatimer di Spybot. Il malware quindi riesce ad andare in esecuzione, ma i danni che può fare vengono limitati (contenimento). In particolare, non riuscirà ad andare in esecuzione al prossimo riavvio del sistema. Anche i suoi tentativi di accedere a Internet trovano un ulteriore ostacolo, il personal firewall, che ci avvisa che uno strano processo, mai visto prima, vuole accedere alla rete. Se l’utente non autorizza l’accesso, anche su questo fronte i danni vengono contenuti: magari viene limitata la propagazione del virus, con un ulteriore vantaggio complessivo. Ridondanza e difesa in profondità: forse non risolve, ma aiuta 😉