Cerca nel blog

2014/06/20

Ma quale sicurezza? Basta un dollaro per convincere gli utenti a installare software ignoto

Uno studio condotto presso la Carnegie Mellon University sembra confermare uno dei luoghi comuni più diffusi fra gli informatici: gli utenti sono l'anello più debole della catena di sicurezza. Così debole che spesso basta offrire loro un dollaro per convincerli a installare software di provenienza sconosciuta e potenzialmente ostile, in barba a ogni buona norma di sicurezza.

I ricercatori della CMU hanno offerto anonimamente, sul sito Mechanical Turk di Amazon, un software per Windows dicendo vagamente che si trattava di un software di calcolo distribuito per una ricerca e offrendo a chi lo installava ed eseguiva sul proprio computer per un'ora un importo variabile da un centesimo a un dollaro. Il nome dell'università non veniva indicato.

Una delle regole fondamentali della sicurezza è che non si scarica e non si installa software di provenienza sconosciuta, eppure il 22% degli utenti che hanno visto l'offerta (64 su 291) ha violato questa regola in cambio di un centesimo. Quando il compenso è salito a 50 centesimi, la percentuale è salita al 36% (294 su 823). Per un dollaro, il 42% degli utenti (474 su 1105) è risultato disponibile a compromettere la propria sicurezza informatica.

Alcune versioni del software facevano comparire la finestra d'allarme dello User Account Control, che chiedeva esplicitamente all'utente se davvero voleva consentire al software di modificare le impostazioni del suo computer; l'avviso non ha fatto alcuna differenza significativa. Gli utenti erano disposti a eseguire un programma di origine sconosciuta che chiedeva permessi a livello di amministratore.

È vero che il software dei ricercatori non attivava gli antivirus, ma è comunque imprudente installare applicazioni sconosciute, perché solitamente gli antivirus riconoscono uno specifico malware soltanto se è già stato segnalato: per quel che ne sapevano gli utenti, in cambio di pochi soldi stavano installando un virus sconosciuto.

La ricerca fornisce molti altri spunti, come per esempio l'osservazione poco intuitiva che gli utenti che avevano un antivirus erano quelli maggiormente disposti a rischiare installando il software di test: l'uso di un antivirus dava loro un falso senso di sicurezza che li spingeva a rischiare più degli altri.

I risultati non mancheranno di suscitare polemiche, perché dicono fondamentalmente che gli utenti sono stupidi e che gli amministratori di sistema fanno bene a impedire l'installazione di applicazioni da parte degli utenti stessi e danno ragione al modello chiuso e monopolistico del “giardino cintato” proposto per esempio da Apple con l'App Store: non avrai altra fonte di software al di fuori di me, perché io sarò il garante della tua sicurezza. L'esatto contrario della libertà che era stata promessa agli utenti dal PC. Per questo, appunto, un tempo si chiamava “personal computer”.

Nessun commento: