La sicurezza informatica ha evidenti problemi di memoria. Secondo Matt Miller, ingegnere di Microsoft, il 70 per cento delle vulnerabilità contenute nei prodotti di Redmond e risolte negli ultimi 12 anni riguardava bug nella gestione della memoria. Un dato molto elevato, ma spiegabile in poche parole. Windows e il software correlato sono stati scritti per la maggior parte in C e C++, due linguaggi di programmazione ritenuti abbastanza scivolosi su questo fronte. Questo perché consentono agli sviluppatori di controllare in modo granulare gli indirizzi di memoria dove andrà eseguito il codice. Un semplice errore in fase di scrittura potrebbe aprire una serie di falle ben più gravi nell’intera struttura del programma, permettendo così a un eventuale hacker di scagliare attacchi importanti, come l’esecuzione di codice da remoto o l’escalation di privilegi.
Secondo Miller, che è intervenuto alla Bluehat Cybersecurity Conferences 2019 di Tel Aviv, le due vulnerabilità più sfruttate dai pirati informatici sono l’use after free e l’heap corruption, mentre la stack corruption è praticamente scomparsa. Riuscire a identificare e risolvere in tempo questi problemi è essenziale per gli sviluppatori per garantire prodotti sicuri a utenti e clienti. Ma è quasi impossibile riuscire a confezionare un’applicazione senza neanche un errore.
Diventano quindi fondamentali anche i programmi di bug bounty, con cui le aziende premiano i ricercatori che riescono a individuare falle nel codice. Google, solo per fare un esempio, nel 2018 ha elargito ben 3,4 milioni di dollari a 317 professionisti di 78 Paesi. Rispetto al 2017 si è verificato un incremento del 17,2 per cento.
Metà della somma è stata destinata ai premi per la scoperta di bachi in Android e Chrome, mentre il singolo riconoscimento maggiore è stato di 41mila dollari ed è stato assegnato a Ezequiel Pereira, un informatico 19enne dell’Uruguay che è riuscito a scovare una vulnerabilità nella Google Cloud Platform.