Altro articolo sconfortante: Evilgrade sfrutta il fatto che molte applicazioni non usano protezioni adeguate per l’aggiornamento automatico. La parte sconfortante è quali siano le applicazioni che non usano ad esempio la firma digitale per gli aggiornamenti: l’articolo cita Java, Skype, Winamp, iTunes… e persino Panda Antispyware. Considerato il fatto che Java (per dirne una) ha utilizzato fin dalla nascita il meccanismo della firma digitale per gestire programmi e componenti, il fatto che per i propri aggiornamenti non utilizzi un’autenticazione adeguata è davvero triste.
Lo so che è una banalità, ma questi articoli mi ricordano ogni volta quanto è vera: la sicurezza farebbe un enorme passo avanti se solo si utilizzassero correttamente gli strumenti, i meccanismi e i prodotti disponibili, senza tanta ricerca e senza tanti nuovi prodotti. Se è chiaro perché i venditori di sicurezza puntano sui nuovi prodotti, e i ricercatori su nuovi strumenti e concetti, quello che merita attenzione è la disponibilità degli utenti a comprare nuovi strumenti costosi anziché sfruttare quelli disponibili, o a richiederne il miglioramento.
