sabato 27 marzo 2010

Gli advisory di sicurezza sono inutili?

Perché gli utenti non seguono quasi mai le regole che gli esperti di sicurezza porgono loro sotto forma di consigli o avvisi? L'utente medio è proprio così terribilmente irrazionale e insensibile da mettere a repentaglio la sua sicurezza e i suoi soldi? Oppure alla base di questi comportamenti ci sono delle ragioni che non sono ancora state completamente comprese?
Roger Halbheer, Chief Security Advisor Microsoft EMEA, suggerisce di far riferimento ad un interessante articolo pubblicato su Microsoft Research per tentare di darsi delle risposte.

Abbiamo raccolto il suo invito e le risposte sono arrivate. O per lo meno sono arrivate delle ipotesi plausibili, sgradevoli in parte, ma plausibili.

La tesi, un po' provocatoria, suggerita da Cormac Herley nel suo articolo è che il rifiuto degli utenti a seguire gli avvisi di sicurezza sia del tutto razionale da un punto di vista 'economico'. Gli avvisi di sicurezza li proteggono dai costi diretti degli attacchi, ma li obera di costi indiretti sotto forma di attività da svolgere. Infatti, guardando ai vari esempi di avvisi di sicurezza, si trova che la loro complessità è in crescita, ma i benefici sono in gran parte discutibili. Per esempio, gran parte dei consigli in materia di password non è aggiornato ed è poco efficace per affrontare le minacce attuali. Inoltre, quasi il 100% degli avvisi di errore sui certificati sembrano essere dei falsi positivi. Infine, se gli utenti non spendono nemmeno un minuto al giorno per leggere attentamente le URL per evitare il phishing, è perché il costo (in termini di tempo utente) è di due ordini di grandezza più grande di tutte le perdite dovute al phishing. La tesi di fondo dell'articolo è quindi che, normalmente, il trade-off costi-benefici per gli avvisi di sicurezza è semplicemente sfavorevole: agli utenti vengono offerti vantaggi troppo modesti ad un costo per loro troppo alto. 

Quindi, cosa si può fare? 

Primo, abbiamo bisogno di una migliore comprensione sui reali danni subiti dagli utenti. Non vi è stata sufficiente attenzione sul fatto che gli utenti rischiano di perdere soprattutto tempo, e non denaro se per caso sono vittime di un attacco. 
Secondo, bisogna prendere atto che l'educazione degli utenti è un costo a carico del complesso della popolazione e offre benefici solo alla frazione delle vittime. Così, il 'costo' di eventuali avvisi di sicurezza dovrebbe essere proporzionale al tasso di incidenza delle vittime. Quindi, la produzione di avvisi per minacce poco frequenti può essere difficile se non impossibile. 
Terzo, il ritiro degli avvisi obsoleti è necessario. 
Quarto, si devono dare gli avvisi di sicurezza con delle chiare indicazioni di priorità. Nel tentativo di difendere tutto si finisce per non difendere nulla. 
Quinto, dobbiamo valutare con rispetto il tempo degli utenti.

Basterà tutto questo per far aumentare la sensibilità dell'utente medio verso gli avvisi di sicurezza? Forse no. Ma sarà un primo passo.

Nessun commento:

Posta un commento

http://www.wikio.it