Le principali vulnerabilità della rete le troviamo riassunte nella settima edizione del rapporto annuale Top 20, stilato dal Sans Institute e diretto quest'anno da Rohit Dhamankar, senior manager Security Research di TippingPoint. I principali punti deboli della rete, stimabili in più di un centinaio, sono stati raggruppati dal Sans Institute in 20 categorie, relative a 7 diverse tipologie di applicazioni e programmi suscettibili di attacchi, che possono fornire agli esperti di sicurezza alcune linee guida utili per combattere le minacce riconducibili ad ogni gruppo.
A differenza delle edizioni precedenti, in cui erano elencate vulnerabilità tecniche molto specifiche che richiedevano patch altrettanto complessi, la Top 20 del 2007 si focalizza invece più generalmente sulle aree potenzialmente attaccabili.
Ecco lo schema proposto. I primi due rischi della rete difficili da difendere riguardano, in primo luogo, vulnerabilità critiche nelle applicazioni web che sono in grado di infettare il website, operare il furto dei dati e compromettere l'uso degli altri computer connessi al sito; in secondo luogo, utenti poco attenti o inesperti, compresi i dirigenti, lo staff It e altri utenti con accesso privilegiato, facilmente soggetti alle minacce dello spear phishing. Le conseguenze possono essere l'azzeramento di conti bancari, la manomissione dei principali sistemi militari del mondo, il danneggiamento di enti governativi e lo spionaggio industriale, solo per citare alcuni esempi.
Passando poi alle altre tipologie contenute nel rapporto, che includono le vulnerabilità maggiormente diffuse, per le quali esistono già valide tecniche di difesa sono invece, si ha, come terza tipologia, le vulnerabilità client-side che intaccano i software dei personal computer aziendali (web browser, software office, email client, media player); al quarto posto, ci sono invece le vulnerabilità server-side nei software e nei sistemi che forniscono l'ambiente operativo e i servizi principali agli utenti dei computer (applicazioni web, servizi Windows, servizi Unix e Mac Os, software di backup, software antivirus, server di gestione, software di database, server e telefoni Voip). Alla quinta categoria sono riconducibili i problemi relativi alle policy sulla sicurezza, che consentono ai malware di causare ulteriori danni e che possono portare alla perdita di grandi quantità di dati (eccessivi diritti dell'utente e uso di dispositivi non autorizzati, phishing e spear phishing, uso di laptop non protetti e supporti rimovibili). Alla sesta corrisponde un abuso di strumenti da parte degli utenti che portano al danneggiamento dei client e dei server, alla perdita di informazioni sensibili e all'uso di sistemi aziendali per attività illecite (programmi di instant messaging e di condivisione file peer-to-peer), mentre alla settima categoria, infine, gli attacchi ZeroDay.
“Sebbene la metà delle vulnerabilità riportate nel 2007 si riscontrino in applicazioni web, queste rappresentano solo la punta dell'iceberg", ha commentato Rohit Dhamankar. "Questi dati escludono le vulnerabilità presenti negli applicativi web custom developed. I siti web compromessi aprono la strada a vulnerabilità client-side di massa attraverso browser di rete, documenti di Office ed exploit di media player. Questo circolo vizioso diventa ogni giorno più difficile da bloccare”.
Basti pensare che dal 2006 al 2007 le vulnerabilità presenti nei prodotti di Microsoft Office, in particolare di Excel, sono aumentate del 300%, mentre gli spyware annidati nei siti web hanno registrato una crescita del 183% rispetto all'anno precedente.