» continua
Quando i browser Web hanno iniziato a imporsi come front-end per le applicazioni Internet si era in un periodo in cui gli attacchi a livello di strato delle applicazioni erano davvero pochi. Oggi, il browser è diventato una della parti più critiche e più usate tra tutti i software installati nel computer. Di conseguenza, è diventati uno degli elementi più attaccati.
Nonostante tutti gli sforzi profusi dalle società che realizzano prodotti di sicurezza, il numero delle falle continua a crescere: ne sono già state trovate di nuove in Internet Explorer 7 e Firefox è oggetto di un accurato esame sia da parte degli esperti dell'industria sia degli attacker.
I fornitori di browser si trovano di fronte all'impossibile operazione di scrivere il codice senza difetti mentre gli attacker hanno il ben più semplice compito di individuare un'unica falla per trovare un efficace vettore di attacco. L'emergere del business “exploit-as-a-service” dove il malware è venduto al crimine organizzato, ha contribuito ad aumentare le richieste di browser Web migliori e con un più elevato livello di sicurezza.
I miglioramenti auspicabili
Ma in che modo il browser ideale dovrebbe essere differente da
quello che abbiamo oggi? Microsoft ha reso certamente più semplice il
processo di aggiornamento del software attraverso gli update installati
automaticamente e l'introduzione di un software “sandbox” che aiuterà a
limitare i danni anche se un programma maligno può sconvolgere il
funzionamento delle operazioni di IE 7. Ma cosa è ancora necessario?
La sicurezza del browser Web è un problema ricorrente perché un browser non può distinguere fra contenuti maligni o meno. La domanda critica quindi è: quando il browser dovrebbe rinviare la decisione all'utente di permettere la visualizzazione di un particolare contenuto, oppure di bloccarlo senza alcun riguardo? Con i browser attuali, le regolazioni standard prendono automaticamente a nome dell'utente molte decisioni in tema di sicurezza. Tuttavia, tutti sappiamo quando ci infastidisce Outlook, per esempio, quando decide per noi quali attachment può aprire o non aprire. All'estremo opposto, è molto sconcertante quando un firewall desktop chiede a voi di decidere come si deve comportare nei confronti di ogni richiesta o di ogni tentativo di ottenere informazione. Questo comporta troppi inutili click e frequenti crolli nella produttività.
Il ruolo degli utenti
Riteniamo che i browser non potranno mai prendere con successo per noi
tutte le decisioni di sicurezza. Una certa forma di analisi del
comportamento può rendere la gestione delle decisioni e gli allarmi meno rigidi,
ma anche il più attento processo di sviluppo non potrà mai portare a un prodotto
perfetto dal punto di vista della sicurezza; ci saranno sempre alcuni difetti
nella codifica che non saranno individuati. Parte della battaglia contro gli
attacchi deve essere combattuta dagli utenti migliorando la loro comprensione e
la loro capacità di controllare i rischi che si possono incontrare on line. I
nuovi e futuri browser avranno caratteristiche avanzate anti-phishing, ma
non potranno mai proteggere da ogni attacco basato sulla social engineering.
Forse dobbiamo cambiare la nostra percezione di Internet e accettare che si possono incontrare elementi di rischio quando navighiamo, poiché è improbabile che i browser possano prendere tutte le nostre decisioni di sicurezza per proteggerci da ogni pericolo, conosciuto o meno.
