Applicazione dell'anno o grave macigno di sicurezza? Le applicazioni cosiddette "Desktop Search" hanno raggiunto negli ultimi mesi di quest'anno una notorietà senza precedenti. Disponibili da tempo, soprattutto in ambiti aziendali, sono diventati in poche settimane software di massa, disponibili gratuitamente per tutti gli utenti.
Sono facili da usare, si installano in pochi minuti, e permettono di ricercare in modo semplice e veloce la maggior parte dei documenti presenti sul proprio Hard Disk: file Word, documenti PDF, pagine visitate, E-mail e chi più ne ha più ne metta. Google per primo, e di seguito MSN e Yahoo! la stanno per diffondere ai propri utenti che felici la installano sul proprio computer.
Ma proprio in quel momento potrebbero avere inizio i problemi, emersi già pochi giorni dopo il rilascio della versione Beta del Google Desktop Search, lo scorso Ottobre. Problemi di privacy in primo luogo, ma anche problemi di sicurezza, problemi con virus e problemi di vulnerabilità. L'ultima, scoperta proprio pochi giorni fa nel software di Google, ha anche ricevuto l'onore di un posto sul New York Times.
Privacy
Le applicazioni Desktop Search, nelle loro impostazioni di default, cercano generalmente tutti i file presenti sul computer, monitorando le attività dell'utente e memorizzando i contenuti di tutti gli hard disk accessibili dal computer su cui sono installati. Ci sono alcune possibilità di filtro, ma solitamente sono accessibili ad un utente avanzato e, probabilmente, nella maggior parte dei casi non saranno prese in considerazione.
Google Desktop Search, ad esempio, imposta come predefinita l'impostazione di conservare e indicizzare le pagine HTTPS, ossia le pagine Web protette da algoritmi di cifratura. Pagine che solitamente visualizzano dati importanti e sensibili.
Se l'account con il quale è installato Google Desktop Search venisse utilizzato da più di una persona, ecco che chiunque potrebbe aver accesso alle informazioni dell'altro utente, comprese pagine protette, dati di navigazione, e-mail conservate e documenti.
Software come i Desktop Search sono intrusivi e fa parte del lavoro che gli viene richiesto. Indicizzano e conservano il massimo che riescono a rintracciare, penetrando negli angoli più impensati del vostro computer. Pensiamo allora ai documenti condivisi con altre persone, magari involontariamente condivisi. È molto probabile che un utente della vostra rete riesca, involontariamente, a ottenere documenti semplicemente con una ricerca sul suo proprio Desktop search.
Intendiamoci, la Desktop Search non consente di ottenere informazioni su documenti protetti o resi volontariamente inaccessibili dal legittimo proprietario. Ciò che questi software indicizzano è tutto pubblico e accessibile direttamente anche senza la ricerca. Tuttavia un'interfaccia semplice da usare, efficace e velocissima nella ricerca rende queste operazioni roba di 10 secondi.
Vulnerabilità
Più complicato è il discorso sulla sicurezza vera e propria. Ogni nuovo software aumenta immancabilmente il fattore di rischio sicurezza dei computer poiché ne innalza la complessità e la presenza di possibili vulnerabilità. Maggiore è il rischio se questo software ha degli sbocchi verso la rete internet e ancora maggiore se questo software è largamente diffuso. Google Desktop Search ha appunto tutti e tre queste caratteristiche, con l'aggiunta che esso funziona come un proprio web server, sebbene sia protetto dalle intrusioni esterne.
Ad appena tre mesi dalla sua pubblicazione, la Google Desktop Search ha già ricevuto diverse segnalazioni di falle e vulnerabilità sfruttabili ai fini di Phishing: come ti rubo la password. Ma c'è dell'altro. La falla più pericolosa è stata scoperta fine novembre, corretta da Google il 10 dicembre e divulgata solo ieri.
Un gruppo di studenti della Rice University di Houston ha scoperto che obbligando un utente a visitare una pagina appositamente costruita per sfruttare la vulnerabilità, è possibile intercettare le richieste di ricerca alla desktop search, mettendo a forte rischio la sicurezza dei documenti degli utenti.
Il professore che ha seguito gli esperimenti ha dichiarato al New York Times che non è stato difficile, dopo aver esaminato il funzionamento del sistema, rintracciare la falla.
Basandosi su questi dati, un blasonato istituto di ricerca come Gartner ha avvisato in propri clienti di non utilizzare il software di Google in ambienti di lavoro. Secondo i ricercatori che hanno stilato la ricerca, sintetizzata in un articolo di The Register, «a causa della mancanza di funzioni e rischi di sicurezza, bisogna scoraggiare l'utilizzo della Desktop Search all'interno dei vostri ambienti di lavoro».
