Sette anni or sono, il SANS Institute e il National Infrastructure Protection Center (NIPC) presso l' FBI rilasciarono un documento che riassumeva le Dieci vulnerabilità più critiche per la sicurezza in Internet. Migliaia di organizzazioni hanno riposto la loro fiducia in quella lista e sulle liste allargate alle Top 20 che sono seguite negli anni successivi, concentrando quindi i loro sforzi nel correggere in via prioritaria i problemi più pericolosi.

Il panorama delle minacce è molto dinamico e richiede ad ogni cambiamento l'adozione delle misure di sicurezza più aggiornate. Anche prendendo in considerazione solo l'anno appena trascorso, si nota come le tipologie di vulnerabilità sfruttate per attaccare i sistemi siano molto diverse da quelle utilizzate in passato. Ecco alcune osservazioni::

• I sistemi operativi presentano un numero minore di vulnerabilità che possano portare a una diffusione estesa di worm Internet. Per fare un confronto, nel periodo 2002-2005 worm di Microsoft Windows come Blaster, Nachi, Sasser e Zotob infettarono un numero enorme di sistemi affacciati a Internet. Dal 2005 non si sono verificate infezioni di worm mirati ai servizi Windows di scala così ampia. Oggi però possono portare a dei worm vulnerabilità presenti i software antivirus, in applicazioni per il backup o per altri servizi molto diffusi. Il worm più rilevante dello scorso anno è stato quello che sfrutta una vulnerabilità di buffer overflow dell'antivirus Symantec.
• Abbiamo rilevato una crescita significativa del numero di vulnerabilità lato client, tra cui le vulnerabilità nei browser, nei software di office automation, nei lettori multimediali e in altre applicazioni desktop. Queste vulnerabilità sono state scoperte su diversi sistemi operativi e vengono sfruttate intensamente e in modo selvaggio, costituendo spesso terreno fertile per i botnet.
• Gli utenti a cui i datori di lavoro consentono di navigare in Internet sono diventati una fonte importante di rischio per la sicurezza delle loro organizzazioni. Fino a pochi anni fa il compito primario per garantire la sicurezza aziendale era rendere sicuri i server e i servizi di rete. Oggi è altrettanto importante, forse ancora più importante, prevenire la compromissione dei computer degli utenti da parte di pagine web con codici maligni o di altri attacchi diretti ai client.
• Le vulnerabilità in applicazioni web, siano queste derivate da codice personalizzato o open source, rappresentano quasi la metà del numero totale di vulnerabilità scoperte nell'anno appena trascorso. Queste vulnerabilità sono state ampiamente sfruttate per trasformare siti web affidabili in server portatori di maligni exploit per i client e di truffe di phishing
• Le configurazioni di default di molti sistemi operativi e servizi continuano ad essere deboli e continuano a prevedere password di default che non vengono modificate o password troppo semplici da indovinare. Di conseguenza ancora nel 2007 molti sistemi sono stati compromessi attraverso attacchi brute force o da dizionario alle password!
• Gli aggressori stanno escogitando sistemi più creativi per ottenere dati critici dalle varie organizzazioni. Pertanto è ora ancor più fondamentale verificare la natura dei dati presenti ai confini del sistema di difesa aziendale.

La SANS Top-20 2006 è una lista largamente condivisa delle vulnerabilità che richiedono una riparazione immediata. Si tratta del risultato di un processo che coinvolge dozzine dei più importanti esperti di sicurezza mondiali che provengono dalla agenzie governative più impegnate nella sicurezza di Gran Bretagna, Stati Uniti e Singapore, dalle principali case produttrici di software e le più importanti società di consulenza, dai maggiori programmi universitari di ricerca nel campo della sicurezza, dall'Internet Storm Center e da molte altre organizzazioni di utenti. Potete trovare una lista dei partecipanti alla fine del documento.

La lista SANS Top-20 2007 non è "cumulativa." Abbiamo inserito solo vulnerabilità critiche che risalgono all'ultimo anno circa. Se quindi non avete corretto e aggiornato i vostri sistemi da molto tempo è altamente raccomandabile che sistemiate anche le vulnerabilità indicate nella Top-20 2005, oltre che quelle presenti nella lista 2006. Alla fine di questo documento troverete una breve serie di SANS Top-20 FAQ (domande frequenti) che rispondono ai dubbi che potreste avere riguardo il progetto in questione e il sistema con cui la lista viene creata..

La lista di quest'anno si differenzia dalla liste degli anni scorsi che puntavano l'attenzione su vulnerabilità tecniche molto specifiche, risolvibili migliorando una configurazione o applicando una patch. Gli aggressori oggi si muovono molto rapidamente e soluzioni di quel genere sarebbero oggi quasi immediatamente superate. Per tali ragioni la lista di quest'anno si concentra nell'analisi delle aree che gli attacchi prendono maggiormente di mira e per le quali aziende, enti ed organizzazioni hanno bisogno di migliorare le proprie procedure di sicurezza per garantire l'efficace applicazione delle necessarie correzioni tecniche.

La lista SANS Top-20 è un documento in continuo aggiornamento. Contiene istruzioni dettagliate e riferimenti a informazioni supplementari utili per risolvere i problemi di sicurezza. Quando vengono scoperte nuove minacce critiche o sono identificati metodi di protezione più aggiornati o più efficaci, vengono aggiornati la lista delle vulnerabilità e le istruzioni per correggerle; in questo processo il vostro contributo è sempre gradito. Questo documento si basa sul consenso di una intera comunità: la vostra esperienza nel combattere gli attacchi e nell'eliminare le vulnerabilità può aiutare quelli che verranno dopo di voi. Inviate i vostri suggerimenti via e-mail all'indirizzo Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo