Chi l’avrebbe mai detto che la sicurezza informatica potesse essere così… spontanea?
Sì, avete letto bene. Google ha deciso, con la stessa leggerezza con cui noi dimentichiamo di salvare un progetto su Blender dopo tre ore di modellazione, di pubblicare il codice di un exploit che minaccia milioni di utenti Chromium. E la cosa più esilarante? Il bug era stato segnalato ben 29 mesi fa. Sì, due anni e mezzo di ‘vabbè, lo sistemiamo dopo’ mentre il codice per scassare il browser girava tranquillamente nel mondo.
Per chi non mastica il gergo da ufficio marketing, la situazione è questa: hanno rilasciato la ‘chiave’ per scassinare la serratura prima ancora di averne rinforzata il meccanismo. È un po’ come se io pubblicassi lo schema elettrico per bypassare i limiti di corrente della vostra CNC appena finita di assemblare, rendendo tutto il lavoro di protezione inutile proprio mentre state ancora saldando i cavi.
Dal punto di vista tecnico, non è la prima volta che vediamo questi sbalzi di attenzione, ma la tempistica è da brividi. Vedere un exploit pubblico legato a una vulnerabilità nota da quasi tre anni è un insulto alla competenza di chi dovrebbe proteggerci. È quel classico caso di ‘security through obscurity’ che fallisce miseramente, ma stavolta il fallimento è stato letteralmente servito su un piatto d’argento dal produttore stesso.
Per noi che passiamo le notti a compilare kernel, scrivere script in Python o cercare di far girare software vintage su hardware moderno, questo è un segnale d’allarme rosso fuoco. Se non possiamo fidarci della velocità di patch di un gigante come Google su una base così critica come Chromium, la nostra unica difesa resta la consapevolezza e il controllo.
Cosa significa in pratica? Se usate Chrome o derivati, controllate subito gli aggiornamenti. Non fate i pigri e non rimandate la notifica al lunedì mattina. E se avete la possibilità di usare alternative più ‘hardened’ o che non vi tracciano come se foste parte di un esperimento sociale, è il momento di considerare seriamente un cambio di rotta.
In un mondo dove i big tech sembrano più impegnati a vendere pubblicità che a scrivere codice sicuro, l’unica soluzione è continuare a smanettare, capire cosa c’è sotto il cofano e non fidarsi mai ciecamente di un aggiornamento automatico. Tenete i vostri sistemi isolati e, se potete, cercate di non navigare su siti sospetti mentre cercate di scaricare quel pacchetto di componenti 3D che vi serve per la prossima stampa.
Restate nerd, restate sicuri (per quanto possibile).
Source: Google publishes exploit code threatening millions of Chromium users