Settimana 20: patchday – maggiore sicurezza digitale grazie a regolari update

21.05.2024 - L’azienda Microsoft, produttrice del diffusissimo sistema operativo Windows e del ben noto ambiente Office, pubblica una volta al mese degli aggiornamenti ai propri prodotti. Gli altri produttori di software seguono ritmi diversi, ma in ogni caso tali aggiornamenti vanno presi sul serio. Le cosiddette patch (in inglese «pezze», «toppe»), volte a migliorare la funzionalità e le prestazioni dei software, servono soprattutto a incrementare la sicurezza dei prodotti e a proteggere gli utenti da potenziali attacchi.

Nell’ambito digitale, la quotidianità funziona grazie a una vasta gamma di complessi software e sistemi operativi. Già durante il processo di sviluppo possono insinuarsi errori all’origine di involontarie lacune di sicurezza. Inoltre, quando un software è ormai sul mercato possono essere individuate nuove minacce e possono essere riscontrati nuovi punti deboli. Le lacune di sicurezza offrono un varco ai criminali informatici. Per colmare le lacune, incrementare la sicurezza dei software e proteggere gli utenti da eventuali minacce, i produttori offrono piccoli aggiornamenti chiamati patch.

Zero Day

Il 14 maggio 2024, Microsoft ha tra l’altro pubblicato, per una componente del sistema operativo, una patch tesa a colmare un punto di vulnerabilità «zero day». Con l’espressione «zero day» gli specialisti designano i punti di vulnerabilità noti al pubblico già prima della pubblicazione e forse già sfruttati da criminali informatici.

Nel caso concreto, il punto di vulnerabilità è stato segnalato a Microsoft da ricercatori attivi nel campo della sicurezza per altre aziende. Quest’ultimi avevano scoperto che il malware noto con il nome di «Qakbot» stava sfruttando esattamente quella lacuna di sicurezza per infiltrare i sistemi presi di mira (https://securelist.com/cve-2024-30051/112618/).

Il malware «Qakbot» (chiamato anche «Qbot» o «Quakbot») è diffuso anche in Svizzera ed è spesso utilizzato come prima fase di un attacco con ransomware suscettibile di provocare danni enormi. Riguardo a «Qakbot» l’UFCS ha già emanato ripetuti avvertimenti:

Il punto di vulnerabilità è presente sia nelle attuali versioni desktop di Windows 10 e Windows 11 (le versioni precedenti non sono più oggetto di supporto e non dovrebbero più in nessun caso essere utilizzate), sia nelle versioni server di Windows.

Aggiornamento dei sistemi

I prodotti desktop di Microsoft destinati agli utenti privati sono configurati per default in modo da ricevere e installare automaticamente gli aggiornamenti. È il procedimento raccomandato anche dall’UFCS. Di solito gli aggiornamenti (patch) sono approntati da Microsoft per il secondo martedì di ogni mese, che per questo motivo in inglese è chiamato anche patch tuesday.

Sui sistemi desktop delle aziende e sui server, l’aggiornamento automatico è spesso disattivato perché il processo è gestito a livello centrale secondo test preliminari interni. Ciononostante anche in questo caso i patch andrebbero integrati nelle finestre di manutenzione il più presto possibile.

Ovviamente la raccomandazione di svolgere regolari update non concerne soltanto i prodotti Microsoft. Anche gli altri produttori offrono aggiornamenti, in parte a ritmi regolari, in parte unicamente a seconda delle necessità.

Lo stesso vale per gli altri sistemi operativi. Il parere secondo cui Linux e MacOS di Apple, per esempio, siano decisamente più sicuri è ancora molto diffuso, ma da tempo ciò non è più il caso. Anche per questi prodotti gli aggiornamenti messi a disposizione dovrebbero essere integrati il più presto possibile, se i sistemi non sono aggiornati automaticamente.

Sviluppo mirato di malware

I produttori di malware non si servono soltanto dei punti di vulnerabilità «zero day» descritti sopra. Al contrario, ciò avviene di regola in casi eccezionali. I criminali informatici puntano al miglior risultato ottenibile con il minor dispendio possibile. Preferiscono servirsi del punto di vulnerabilità rappresentato dal «fattore umano»: partono dal presupposto che alcuni destinatari apriranno l’allegato in cui è presente il malware, provocando l’installazione del programma dannoso.

Talvolta pure i criminali informatici scaricano i patch immediatamente dopo la loro pubblicazione, per rilevare le differenze rispetto alla versione precedente. In questo modo possono determinare se i punti di vulnerabilità non ancora individuati sono stati rimossi. I dati raccolti confluiscono nello sviluppo dei malware, anche in considerazione del fatto che non tutti gli utenti aggiornano i loro software in tempi sufficientemente rapidi. Questo procedimento consente ai criminali informatici di ridurre il dispendio necessario per lo sviluppo dei malware.

Raccomandazioni

  • Si raccomanda di utilizzare per principio soltanto sistemi operativi e software applicativi ancora compresi nelle misure di supporto e manutenzione dei produttori. È ben noto che su alcuni computer privati sono ancora presenti Windows 7 o versioni precedenti. Si sconsiglia in maniera assoluta di continuare a utilizzare simili prodotti: molti di questi apparecchi sono stati probabilmente infettati con malware.
  • Gli aggiornamenti (patch) messi a disposizione dal produttore del sistema operativo o del software applicativo vanno integrati il più presto possibile.
  • Idealmente l’aggiornamento avviene automaticamente non appena il patch è disponibile.
  • Impostate sul vostro sistema degli account utenti privi dei diritti di amministratore. Non impostate l’attività di amministratore come modalità standard di lavoro.
  • Impiegate software antivirus aggiornati, senza dimenticare però che quest’ultimi non possono riconoscere tutti i pericoli.
  • Siate prudenti nell’aprire documenti ricevuti da fonti sconosciute e non partite dal presupposto che i software antivirus riconoscono tutti i pericoli.
  • In seno alle aziende vale la pena di utilizzare Applocker per impedire l’esecuzione di programmi indesiderati. Spesso, per bloccare l’infiltrazione di malware, l’utilizzo di Applocker risulta più efficiente di una scansione anti-malware.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 21.05.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2024/wochenrueckblick_20.html