Chiunque abbia a che fare con il mondo informatico ha, da tempo, interiorizzato l'idea che la pratica migliore sia installare una patch non appena essa viene rilasciata.

Certamente ciò espone a dei rischi: come certi aggiornamenti di Windows confermano, è possibile che la patch introduca dei malfunzionamenti prima inesistenti.

Tuttavia, generalmente si tende a pensare che sia meglio sopportare una certa instabilità ma chiudere la falla nota piuttosto che continuare a utilizzare un sistema stabile che però contiene un problema di sicurezza del quale tutti sono a conoscenza.

Uno studio condotto da Microsoft e presentato all'ultima Blue Hat Conference smonta completamente questa tesi: probabilmente essa era vera anni fa, ma il panorama di oggi mostra che la corsa all'ultima patch non è più la mossa migliore.

I dati dimostrano innanzitutto che, a fronte di un raddoppio del numero di exploit (ossia di modi per sfruttare una data falla) scoperti negli ultimi cinque anni, il numero degli exploit effettivamente adoperati si è dimezzato nello stesso periodo di tempo.

Matt Miller, che ha presentato la ricerca, ha poi spiegato che gli hacker di oggi preferiscono concentrarsi sulle falle zero day, quelle appena scoperte e per le quali ancora non esiste una patch, piuttosto che su quelle note da più tempo e per le quali le correzioni sono state rilasciate.

Lo scenario dipinto da Miller è in pratica questo: una vulnerabilità è pericolosa (e desiderabile per gli hacker) soltanto fino a che una patch per essa non viene creata. In seguito, quando la patch viene distribuita, la pericolosità della falla scende praticamente a zero, indipendentemente dal fatto che gli utenti abbiano installato la correzione o meno.

Semplicemente, i criminali informatici a quel punto smettono di puntare su di essa perché l'esistenza stessa di una correzione rende poco conveniente tentare un attacco basato su quella specifica debolezza del sistema: è molto più remunerativo scoprire e sfruttare al massimo una falla ancora non turata.

I numeri raccolti da Microsoft parlano chiaro: negli ultimi anni, soltanto il 2% - 3% delle falle per le quali esista una correzione viene attivamente sfruttato per creare un exploit entro un mese dal rilascio della patch.

«Ormai è inconsueto assistere alla pubblicazione di un exploit entro 30 giorni dalla disponibilità di una patch» ha affermato Miller. «Se una vulnerabilità viene sfruttata, è molto più probabile che ciò accada quando si trova nella fase zero-day».

Insomma, contrariamente a quanto si potrebbe pensare, il consiglio di Microsoft oggi è: prima o poi le patch andranno installate, ma non è proprio necessario farlo non appena sono disponibili. Forse anche per questo motivo prossimamente pure gli utenti di Windows 10 Home potranno ritardare l'installazione degli aggiornamenti.