La scorsa settimana Google, Apple, Microsoft e Adobe hanno raccolto i carboni perché i loro ultimi prodotti sono stati tutti hackerati al Pwnfest 2016 di Seoul. Windows 10, Android 7.1 e MacOS Sierra sono tutti caduti in pochi istanti da exploit basati su browser, offrendo ai membri del team Qihoo 360 della Cina pieno accesso a tutte le funzioni di amministrazione e una generosa ricompensa per essere le persone che sono entrate. E Flash, beh, era solo Flash e veniva hackerato più velocemente di quanto potesse caricarsi su una pagina web.
Beh, certo che lo erano. Lo sono quasi sempre. E quasi sempre continueranno ad esserlo.
Stavo chattando con un amico su questo. Non è una secchiona ed è stata sorpresa del fatto che ciò potesse accadere. È stata più sorpresa quando ha scoperto che questi prodotti venivano violati ogni anno. Dopotutto, queste aziende stanno sul palco da qualche parte e ti dicono quanti soldi e tempo spendono per questo prodotto per essere la versione più sicura di sempre, quindi pensare che siano invulnerabili ha senso. Ma nessun software è invulnerabile perché non è possibile.
Quanto velocemente viene riparato - e non quanto velocemente viene hackerato - è ciò che conta davvero.
Questi exploit sono stati tutti riportati eticamente. Ciò significa che il team ha detto a Google (e a tutti gli altri con un prodotto che si è rotto) come hanno fatto e non hanno detto a nessun altro. Ma vedendo come sono stati avviati sembra che sia stato sfruttato qualcosa come Javascript (o un'altra piattaforma web comune). Questo exploit non esisteva quando sono stati sviluppati Android 7.1 o Windows 10 o MacOS Sierra (e già mi manca OS X), quindi è certo che il codice non è stato messo in atto per gestire ciò che sarebbe successo. Semplicemente non puoi scrivere in fallback sicuri per tutto ciò che potrebbe accadere e se potessi il software varrebbe la pena di milioni di dollari. Gli hacker lo sanno e le persone che scrivono il codice che viene attaccato lo sanno. Le uniche persone che dovrebbero saperlo ma non sembrano essere i media che lo segnalano come qualcosa di inaudito e sensazionale quando è davvero banale e atteso.
Il tuo telefono con Android 7.1 (o il tuo computer con Windows 10 o MacOS Sierra) è probabilmente la versione più sicura del sistema operativo mai realizzata. Ma è sicuro solo contro le cose che la gente che costruiva conosceva e contro se stesso. Le persone stanno già lavorando per trovare un bug o sfruttare qualcosa di diverso e vedere come possono usarlo per bloccare tutto e bruciarlo a terra. Alcune di queste persone lo fanno per le giuste ragioni: un quarto di milione in contanti per trovarlo e dire alle aziende coinvolte è la ragione migliore e più giusta di tutti i tempi. Altri lo stanno facendo nella speranza che possano ottenere il numero della tua carta di credito. Entrambi i tipi di persone avranno successo e tutto ciò che usi verrà violato perché è pieno di bug e buchi.
Perfino il mio BlackBerry Priv, che alcune persone considerano irremovibile, è probabilmente già stato violato da qualcuno, da qualche parte, che sa che "sprecare" un exploit contro un telefono che quasi nessuno usa non è il modo per ottenere un sacco di numeri di carte. Meglio sedersi su di esso e spero che tu possa trovare un obiettivo migliore perché una volta scoperto sarà risolto. La prima cosa che fai quando trovi un exploit Linux è vedere come puoi usarlo su un computer Windows, perché l'obiettivo è farlo su più macchine che puoi.
Il telefono esegue software che verrà violato. Le persone che lo scrivono si sono preparate per questo.
Guarda il telefono tra le mani. Ha un software che verrà hackerato. Conosci questo. Ma sappi anche che ci sono probabilmente altri fattori in atto che mitigano qualsiasi danno potenziale e che la società che ha scritto quel software ha un metodo in cui può ripararlo e cercare di ottenerlo il più velocemente possibile. Questa è la cosa da togliere a tutte queste notizie di hacking. Ciò che conta è la velocità con cui i bug vengono corretti, poiché i bug sono presenti in ogni software mai scritto. Ecco come il software migliora ogni volta che viene aggiornato.
È sempre stato così e l'unica cosa che è cambiata è quanta attenzione riceve.
