Stiamo scrivendo questo articolo dopo aver preso visione dell’upgrade di maggio della SANS Top 20 Most Critical Internet Security Vulnerabilities

http://www.sans.org/top20/Q1-2005update/

Questo documento ha lo scopo di aiutare gli amministratori di sistema a individuare e rimediare alle vulnerabilità (fra le migliaia che ci sono) che al momento della pubblicazione sono considerate più facilmente exploitabili.

Tenere traccia di tutte le vulnerabilità è molto difficile, basti pensare che nei primi 3 mesi di quest’anno sono state oltre 600, questo accresce il merito delSANS Institute che gestisce questa autorevole fonte di informazione nel campo della sicurezza informatica fin dal luglio del 2000 quando emise il primo documento pubblico che parlava delle 10 Vulnerabilità più critiche.

Attualmente SANS Top 20 organizza le singole minacce più all’interno di classi di problemi. 10 classi per Unix, 10 classi per Windows. Il documento è in continua evoluzione ed è stato annunciato che sono allo studio anche nuove sezioni, una dedicata alle 10 vulnerabilità più gravi su piattaforma Cisco ed un’altra destinata ai problemi indipendenti dalla piattaforma.

SANS Top 20 trova un’utilità immediata nell’indicare con precisione le cause dei possibili problemi e le relative contromisure, ma giunto alle soglie della sua quinta edizione (non contiamo gli aggiornamenti minori) si presta anche ad una lettura storica dello sviluppo storico della sicurezza informatica degli eventi significativi per il SANS; eventi che devono soddisfare a caratteristiche come: coinvolgere un grande numero di utenti, essere frequentemente ancora presenti sui sistemi, permettere l’accesso da remoto ad un intruso, essere note al pubblico con un livello di dettaglio tale da consentirne l’utilizzo agli attaccanti.

Da un confronto tra tutte le versioni pubblicare (dall’ultima

http://www.sans.org/top20/ e http://www.sans.org/top20/Q1-2005update/

alla prima http://www.sans.org/top20/top10.php )

evidenziamo come sostanzialmente le principali fonti di pericolo continuino ad essere presenti nel documento ad esempio SNMP o i Web Server. Questo perché sono tecnologie “vive” anzi utilizzate più adesso che in passato. Ci sono anche altre differenze interessanti come la famiglia delle vulnerabilità dei Browser (nel 2000 non citata) che porta le note conseguenze in termini di Spyware, Troiani, ecc. Nella prima release non sono presenti neppure i problemi dei sistemi P2P e di quelli di Instant Messaging che non avevano ancora la diffusione attuale.

Dalla lettura incrociata possiamo anche avere dati rispetto alla tendenza nella ricerca delle vulnerabilità: il 2003 è stato l’anno di NetBios, il 2004 ha visto un esplosione dei problemi di CVS.

Alla fine della nostra lettura dei documenti di SANS abbiamo l’impressione di aver visto una successione di fotografie dei lavori svolti sui nostri sistemi informatici fatte ad un anno di distanza l’una dall’altra.