Nella programmazione esiste una regola “se funziona non toccare” che forse proviene dal proverbio “Finché va quel tanto che basta lascia stare che se no si guasta”.
Nel mondo dell’informatica è abbastanza diffusa l’idea “non aggiornare perché poi saltano fuori problemi”, ma spesso non aggiornando i sistemi succedono ugualmente, o ancora peggio si potrebbe essere esposti a dei pericoli.
Quindi cosa è meglio fare?
La regola aurea di questi casi è “prima in ambienti di test e poi su ambienti reali”. Ma questo non evita l’imprevisto.
La seconda regola è quella di verificare se l’aggiornamento è solo migliorativo oppure riguarda questioni di sicurezza. Quindi prima di fare un aggiornamento fai qualche ricerca sul sito del produttore e informati bene in merito.
E qui nasce un altro quesito, meglio rischiare di essere “bucati” oppure aggiornare col rischio di avere un fermo?
Purtroppo, è comune che durante un aggiornamento di sicurezza qualcosa vada storto e non dipende da chi fa l’aggiornamento ma da vari fattori esterni. Primo fra tutti, il produttore che spesso non tiene in considerazione alcune variabili che portano al rilascio di un aggiornamento di sicurezza dell’aggiornamento di sicurezza.
Perdona il gioco di parole, ma nella mia esperienza diretta ventennale è già successo più volte di avere un aggiornamento che risolve i problemi di un aggiornamento con un ulteriore aggiornamento che risolve problemi di diversi aggiornamenti precedenti, un bel casino insomma!
Spesso ci va di mezzo il cliente o l’utente finale, ma purtroppo funziona così.
A quanti è successo che in fase di test funziona tutto e poi quando si aggiornano i sistemi che devono funzionare sempre qualcosa va storto?
E quindi “Aggiornare, o non aggiornare, questo è il dilemma!”
Mantenere sistemi informatici connessi ad internet è veramente di fondamentale importanza soprattutto se l’aggiornamento risolve problemi di sicurezza conosciuti.
Apache, semplificando, è un sistema server utilizzato per far vedere i siti che visiti al tuo browser. Esistono vari sistemi tipo questo di vari produttori, ma Apache è tra i più diffusi su internet con poco più del 30% del mercato mondiale.
In poche parole, 3 siti su 10 passano attraverso un server Apache.
Ma andiamo al sodo.
A fine settembre 2021 c’è stato un aggiornamento di Apache che ha causato un blocco di parecchi siti su internet dove veniva visualizzato un errore “Internal Server Error”, un bel problema per chi ha un business online.
Se poi su un server girano centinaia o migliaia di siti internet diventa ancora più grosso il problema…
Ma non finisce qui!
Nel mese di ottobre 2021 nella versione di Apache 2.4.49 è stato trovato un problema di sicurezza, che doveva essere corretto con la versione 2.4.50 creando un ulteriore problema. In realtà ha peggiorato le cose dando una falsa sicurezza a chi l’ha applicato, e nella maggior parte dei casi non si è accorto subito della raffica di aggiornamenti rilasciati…
Subito dopo è uscita la versione 2.4.51 a mettere una pezza…
Ecco fatto un esempio di aggiornamenti a catena.
Sai cosa correggeva quest’ultimo aggiornamento? La possibilità di accedere a documenti all’interno del server.
Se stai pensando, ma tanto sono server internet è già tutto pubblico, ti sbagli.
Molti siti hanno aree riservate e possono contenere documenti riservati e sfruttando una vulnerabilità di questo genere possono essere scaricati.
Quindi, aggiornare, o non aggiornare, questo è il dilemma!
Spesso viene sottovalutato il fatto di mantenere aggiornati i sistemi nonostante si sia a conoscenza di vulnerabilità, un po’ per il “se funziona non toccare”, un po’ per mancanza di conoscenze e spesso per mancanza di tempo.
Tra i peggiori motivi però abbiamo la totale mancanza di conoscenza che è uscito un aggiornamento di sicurezza.
In conclusione “aggiornare, o non aggiornare, questo è il dilemma!” a volte…
PS.: ho preso come esempio Apache ma succede a svariati software questa problematica.