Sicurezza

Apple chiude la falla in OS X, con colpevole ritardo

Sicuramente molti tra quelli che stanno leggendo questa notizia hanno saputo del bug scovato venerdì scorso in iOS che rendeva possibile un attacco Man in the Middle nei confronti dei dispositivi iOS.

Sulle Rete si sono sprecati i commenti di utenti (e semplici detrattori) arrabbiati perché "un telefono che costa 800 euro deve essere perfetto", ma il punto non è quello. Uno smartphone potrà costare anche di più e avere lo stesso dei bug di sicurezza, rassegniamoci, perché le possibilità per aggirare le contromisure sono oggettivamente così tante che è impossibile pensare di avere sistemi "perfettamente sicuri".

Eccomi qui! Un bel bug da sfruttare senza problemi!

Quello che non va, però, è il modo in cui Apple ha gestito la cosa, compiendo un errore così banale da suscitare, stavolta a ragione, commenti tipo "con tutti i soldi che guadagnate, potreste assoldare qualche esperto 'serio' in sicurezza, eh…".

Il vero problema del baco SSL corretto venerdì, infatti, è che Apple non aveva previsto di rilasciare immediatamente l'aggiornamento anche per OS X. E allora? E allora, anche il meno scafato degli smanettoni sa benissimo che quando viene rilasciata una patch di sicurezza, la prima cosa che tutti (operatori del settore e cybercriminali) è andare a vedere cosa fa. In altre parole, appena rilasci una patch, tutti sanno dov'è il problema e come sfruttarlo sui sistemi non aggiornati.

Quindi, se rilasci una patch critica come quella, informando tutti i cybercriminali del pianeta su come fare per attaccare i sistemi non patchati, non sarebbe il caso di rilasciarla per TUTTI i sistemi di tua competenza?

A Cupertino non l'hanno pensata così e quello che è successo è che Apple ha indicato a tutti la porta di ingresso alle comunicazioni criptate che avvenivano su Mac OS X e poi è andata a casa per il weekend (per usare una colorita espressione rilasciata sul web da un ex ingegnere Apple), lasciando 4 giorni di tempo a chiunque per intercettare quello che voleva.

Come abbiamo detto in precedenza, va bene che un bug di sicurezza (anche grosso) ci scappi, ma che si facciano errori di questo genere è, francamente, inconcepibile.