Dalla classifica dei software con più vulnerabilità del 2016 saltano all’occhio parecchie sorprese: eccole tutte

Domanda: quale si è rivelato il software con più vulnerabilità del 2016?

Prima di rispondere, meglio ricordare di cosa parliamo. Una vulnerabilità è un errore di programmazione (bug) che consente a un hacker o a un criminale informatico di infilare istruzioni di altro tipo in un sistema. Sfruttare un errore di programmazione di Excel — per fare un esempio — per arrivare a rubare dati da un disco fisso. Bene, ora torniamo alla domanda: qual è il software che si è rivelato più vulnerabile, lo scorso anno?

Stando a CVE, un enorme archivio contenente buona parte dei bug scoperti, al quinto posto della famigerata classifica si trova Leap. Niente poco di meno che una delle più apprezzate distribuzioni Linux, che vanta la bellezza di 259 vulnerabilità rilevate nel corso del 2016.

Al quarto posto c’è una vecchia conoscenza, tra gli esperti di sicurezza informatica: si tratta del mai-troppo-morto Flash Player, un obbrobrio in salsa software che mina dalla sua nascita la protezione dei sistemi informatici.

Ancora oggi è foriero di bug, al punto da poterne vantare addirittura 266 in classifica.

Si sale così sul podio, dove troviamo tre sistemi operativi. Immagino qualcuno di voi stia già ridacchiando su chi ci troverà. Sul gradino più basso, in realtà, la prima sorpresa: Ubuntu, la versione Linux più accessibile e diffusa, che ha mostrato il fianco a ben 278 vulnerabilità. Sono addirittura 319 quelle per il sistema operativo in seconda posizione: si tratta di Debian. Sempre una “distro” molto tosta e apprezzata, ma evidentemente con qualche problemino di troppo.

E così eccoci alla prima posizione. Qui si aspettano tutti di trovare “quel” nome, giusto? E invece no. Il software con più vulnerabilità rilevate nel 2016 è un sistema operativo, e il suo nome è Android. Il codice sviluppato da Google, e che detiene il primato di diffusione tra i dispositivi mobile, nel 2016 è stato beccato con 523 bug nel sacco. A questo punto, immagino lo sgomento di non trovare il nome di un qualche software Microsoft nelle prime cinque posizioni. Lo troveremo forse alla sesta? No, in realtà, dalla posizione 6 alla 10 troviamo, nell’ordine: OpenSuse, Acrobat Reader Dc, Acrobat Dc, Acrobat e il Linux Kernel. In posizione 11 invece ecco Mac OS X, alla 12 c’è Reader (sempre di Adobe), poi Chrome e, solo in posizione 14 ecco Windows. Si tratta di Windows 10 (abbastanza ovvio, visto che è il più recente e meno collaudato), che condivide il medesimo numero di vulnerabilità del browser di Google: 172. A seguire, con 161 vulnerabilità, ecco invece iPhone OS, e poi Windows Server 2012, Windows 8.1, Windows Rt 8.1, Edge (il browser di Microsoft) e Windows 7.

Vale la pena ricordare che Android, quest’anno, ruba lo scettro a Mac OS X, vincitore della classifica 2015 con 444 bug rilevati.

Dalla classifica “piloti” del 2016, ricaviamo quella “costruttori”, che vede al primo posto Oracle come società software con più vulnerabilità collezionate (793), in totale, dai suoi prodotti. Seguono Google (698), Adobe (548), Microsoft (492). Dunque, prima di stracciarsi le vesti e gridare allo scandalo o al complotto, è il caso di far notare che queste classifiche si basano sul numero di vulnerabilità, senza alcuna considerazione in merito alla gravità di ciascuna. CVE, infatti, assegna per ciascuna vulnerabilità un valore in decimi, che ne esprime la pericolosità in base a parametri quali la semplicità di sfruttarla, l’impatto, e via dicendo.

Rimane interessante notare, comunque, che dogmi un tempo sacri come “Linux non ha bug”, o “Windows è un colabrodo da quanti bug ha”,  non hanno motivo di esistere. La complessità dei software moderni li mette tutti a rischio