Il SANS Institute, famosa organizzazione statunitense – fondata nel 1989 – che si occupa di formazione nel campo della sicurezza informatica e di certificazioni professionali, ha appena aggiornato la sua apprezzatissima Top 20 Internet Security Risks. Si tratta di una sorta di classifica all’interno della quale vengono enumerate le principali minacce di sicurezza dalle quali è bene stare alla larga: si va da quelle più consolidate alle “emergenti”.
Il consueto rapporto annuale di SANS non contiene particolari sorprese. Piuttosto, SANS ha preferito, quest’anno, mettere da parte la suddivisione per sistema operativo e piattaforme software che aveva contraddistinto i report precedenti puntando invece su una classificazione “funzionale” delle vulnerabilità di sicurezza.
La “classifica” appena pubblicata, quindi, organizza le varie minacce in 6 categorie piuttosto ampie: vulnerabilità lato client, lato server, nelle policy di sicurezza, legate all’abuso nell’utilizzo delle applicazioni, a periferiche di rete, attacchi “zero-day”.
Effettuando un sunto delle conclusioni di SANS, è immediato osservare come le minacce “lato client” siano in netta crescita mentre “lato server” la situazione sarebbe oggi molto più rosea rispetto al passato.
Le innumerevoli falle di sicurezza in software client di utilizzo quotidiano (word processor, fogli elettronici, gestori di file PDF, media player, browser web, cient di posta elettronica,…) non possono non indurre gli amministratori a spostare la loro attenzione anche sulle macchine client.
Rohit Dhamankar, capo del progetto SANS Top 20, ha affermato: “le persone che utilizzano sistemi desktop stanno divenendo la minaccia principale, soprattutto se utilizzano un accesso alla Rete non filtrato in alcun modo”. Dito puntato anche verso le “web application”, inclusi non solo i servizi “à la web 2.0” ma anche sistemi per la gestione di contenuti (CMS), forum, blog, portali, wiki, che sono oggetto delle scoperta di centinaia di nuove vulnerabilità. A conferma di ciò, Dhamankar cita alcuni dati: il 50% delle 4.396 falle di sicurezza riportate da SANS nei mesi di Ottobre e Novembre 2007 riguardavano proprio applicazioni web.
La “Top 20” stilata dal SANS Institute è consultabile facendo riferimento a questa pagina.