L’Open Source Survey, promossa da Black Duck Software e North Bridge, afferma che il 78% delle aziende utilizza software open source a discapito delle soluzioni proprietarie.

Il dato più importante da sottolineare è la percentuale quasi raddoppiata nell’arco degli ultimi 5 anni: se infatti nel 2010 i software open erano utilizzati dal 42% del campione, nel 2015 si è raggiunto un valore ormai prossimo all’80%. La tendenza sembra ormai consolidarsi: un 93% delle aziende ha affermato di non aver variato o addirittura di avere aumentato negli ultimi anni l’utilizzo di software open source. Il 64% partecipa inoltre a progetti open source (+14% alle rilevazioni dello scorso anno) e prevede per i prossimi anni un incremento delle risorse destinate al finanziamento dei progetti (88% del campione).

Perché questa tendenza?

·      una maggior sicurezza rispetto alle soluzioni proprietarie (55% del campione). Nell’arco dei prossimi 2-3 anni il valore è destinato a raggiungere almeno il 61%. Il bug OpenSSL Heartbleed sembra quindi non aver intaccato più di tanto la reputazione dell’open source: nel 53% dei casi, per questioni interne riguardanti l’implementazione di nuove tecnologie di sicurezza, è la prima opzione presa in considerazione delle aziende.

·      Una migliore scalabilità (58%) e facilità di deployment (43%) rispetto alle soluzioni proprietarie. L’indagine evidenzia infine l’inadeguatezza o l’assenza di policy aziendali rigurdanti l’open source: ad esempio la catalogazione dei componenti open  si attesta al 42% e solo 17% circa del campione si dichiara intenzionato ad eseguire controlli di sicurezza sul codice.

Queste motivazioni, specialmente quella sulla sicurezza, possono sembrare strane.

E non solo per i recenti attacchi avvenuti ad alcune piattaforme, per esempio WordPress, ma già per quanto accaduto mesi fa: Heartbleed (potete leggere l’articolo che avevamo scritto qui) non è il primo attacco all’open source, un anno prima era stata scoperta una vulnerabilità, anche se meno grave, che interessava Apache Struts.

Non c’è alcun modo di tornare indietro per evitare situazioni come Heartbleed, ma le aziende open source sono consapevoli che è necessario un netto cambiamento nell’immediato futuro per difendere la sicurezza dei propri prodotti.

Secondo Joshua Corman, CTO di Sonotype, la maggior parte degli utenti da per scontato che i sistemi open source siano sicuri, ma in effetti non è così.

Un’analisi condotta da Sonotype suggerisce che le vulnerabilità riscontrate nei sistemi open source sono state in media risolte solo nel 41% dei casi. Inoltre il tempo medio di lavorazione per ognuna è davvero molto alto, si parla di circa 390 giorni.

Quindi cosa fare?

E’ necessario un cambiamento di mentalità: sia per i sistemi proprietari che open source è fondamentale ragionare sempre in termini di sicurezza.

Una delle problematiche principali che riguarda la sicurezza dei progetti open source è che sono sottofinanziati e ciò porta allo scoraggiamento da parte degli sviluppatori che, di fronte a enormi volumi di codice, spesso si trovano a sottovalutare i problemi legati alla sicurezza: l’esempio eclatante è proprio quello del guru della sicurezza dei sistemi open source, Werner Koch, lo sviluppatore tedesco che ha creato Gnu Privacy Guard (GnuPG), il software per la sicurezza pilastro dell’ecosistema open source.

WordPress sotto attacco da due mesi: cosa sta accadendo? Gli utenti possono stare tranquilli? E i proprietari dei siti fatti in WordPress?

La nota piattaforma di content management system, secondo stime della stessa società, è tra le più utilizzate: il 23,8% dei siti attualmente online è realizzato proprio con questo sistema.

Dopo i problemi legati all’estensione Super Cache è stata scoperta una falla inerente ai commenti. Per l’esattezza, la piattaforma sarebbe vulnerabile ad attacchi di cross-site scripting in caso un hacker inserisse righe di codice JavaScript maligno nel campo commenti. Queste vulnerabilità, molto comuni su siti Web dinamici, permettono l’esecuzione di comandi arbitrari da remoto e possono mettere a serio rischio sia la stabilità del sistema che la privacy degli utenti.

La falla è stata scoperta da Jouko Pynnönen di Klikki Oy, una società di sicurezza finlandese. La buona notizia è che WordPress ha già rilasciato un aggiornamento del suo Cms, invitando tutti i possessori di account a effettuare l’upgrade alla versione 4.2.1.

Il bug scoperto da Pynnönen permette agli hacker, come detto, di inserire codice maligno nei commenti: questo è in grado di attivarsi in automatico non appena l’amministratore del sito visualizza il form, sfruttando gli editor di temi e plugin. Il codice JavaScript conferisce all’attaccante anche il potere di cambiare la password di accesso, creare nuovi account di amministrazione e manipolare il contenuto dei siti. Per fortuna, però, la vulnerabilità almeno non sembra riguardare i normali lettori.

Una curiosità.

I criminali informatici non si riposano nel weekend.

Secondo i dati raccogli dal gruppo Ntt (Global Threat Intelligence Report) nel corso del 2014, gli attacchi malware rivolti alle aziende nel fine settimana non si interrompono, vengono rilevati meno frequentemente e possono per questo fare più danni. Sempre più spesso i criminali sfruttano vulnerabilità insite nei dispositivi personali degli utenti e non ai server. Infatti nel weekend utenti e i loro dispositivi si trovano al di fuori dei controlli di sicurezza della rete aziendale.

Non è un caso, dunque se sette su dieci fra le dieci principali vulnerabilità scoperte dalle aziende nel 2014 risiedevano nei dispositivi degli utenti e non nei server dell’organizzazione.

E la colpa? Spesso proprio delle aziende.

Il 76% delle vulnerabilità identificate nei sistemi aziendali nel 2014 erano note da più di due anni; addirittura, il 9% di esse risalivano ad addirittura dieci anni prima.

Pigrizia nell’aggiornare i software?

Il Global Threat Intelligence Report ha anche confermato un dato già emerso da altri studi: il settore finanziario continua a essere quello maggiormente colpito, attraendo il 18% degli attacchi rilevati. In tutto il mondo, inoltre, ben il 56% degli attacchi diretti contro la base clienti globale di Ntt proviene da indirizzi IP collocati negli Stati Uniti, anche se questo non significa necessariamente che i malintenzionati risiedano negli Usa.

IL CONSIGLIO E’ DI AGGIORNARE I SOFTWARE, FACENDO FARE UNA VALUTAZIONE SPECIFICA DALLA VOSTRA AGENZIA DI FIDUCIA: aggiornamento del CMS, aggiornamento del tema e dei plugin. Le variabili sono diverse e possono manifestarsi complicazioni a livello tecnico e grafico, sul front end e nel back end.

Macro Web Media, web agency e software house dal 1999 al vostro fianco.