Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Security Summit 2012: nuovi e vecchi hacker a confronto

Il nuovo scenaro della sicurezza informatica, così com'è emerso dalle relazioni del Security Summit 2012.
Il nuovo scenaro della sicurezza informatica, così com'è emerso dalle relazioni del Security Summit 2012.
Link copiato negli appunti

La prima volta che andai al Security Summit a Milano, fu nel 2009, per ascoltare il resoconto di Gadi Evron sull'attacco DDos ai danni dell'Estonia. All'epoca, lavoravo a tempo pieno nella sicurezza da poco più di un anno e anche se ne erano passati venti, dalla prima volta che avevo messo le mani su una tastiera e otto, da quando avevo scritto la mia prima funzione per la bonifica dei parametri di input di un sito Web, avevo ancora una visione piuttosto ristretta dei problemi legati alla sicurezza.

Rimasi percià molto deluso quando, alla fine del suo intervento, Evron propose come soluzione alla minaccia del crimine informatico, la creazione di una rete di collaborazione mondiale. Io, che mi aspettavo chissà  quale fantascientifica tecnologia o architettura difensiva, pensai: "Ma come, mi sono fatto seicento chilometri per sentirmi dire che la parola d'ordine per combattere gli hacker è: Volémose bene?".

Tre anni dopo, con più di centocinquanta test di sicurezza alle spalle e un punto di vista drasticamente più ampio, sono tornato a Milano per cercare di capire, dall'esperienza di chi ne sa più di me, quali siano le minacce che dobbiamo prepararci a fronteggiare. àˆ stata un'esperienza piuttosto proficua, dalla quale ho tratto diversi spunti di lavoro e alcune interessanti conferme:

  1. Gadi Evron aveva ragione: la cooperazione internazionale è, se non proprio l'unico, sicuramente uno degli strumenti più potenti per opporsi ad attacchi che arrivano da angoli diversi del Pianeta. Come ha dimostrato Bruno Hourdel di Akamai, il modo più efficace di rispondere a un attacco DDos è di combattere nel territorio dell'avversario, senza permettergli di arrivare in casa nostra e, per far questo, abbiamo bisogno di alleati.
  2. Gadi Evron aveva ragione: la sicurezza dei telefoni cellulari è diventata uno dei temi centrali del nostro lavoro. Tre anni fa, quando lui chiese chi, fra i presenti, avesse messo in atto delle misure di controllo del proprio telefono, si alzarono solo un paio di mani; oggi, molti degli interventi del convegno vertevano sulla sicurezza dei dispositivi mobile.
    Stando così le cose, non posso fare a meno di chiedermi se e quando si avvererà  un'altra sua profezia, riguardo gli attacchi agli impianti bionici: pace-maker, arti artificiali, eccetera. Mi immagino una scena come quelle nei film di James Bond, con il cattivo che chiama in videoconferenza una multinazionale farmaceutica e chiede un fantastiliardo di dollari, se no, farà  fermare i pace-maker di tutti i loro pazienti. Se mai avvenisse, spero che paghino: ci tengo, a mia madre.
  3. Io avevo ragione: al pirata informatico "old school", ovvero all'hacker che penetra nel tuo sistema grazie alle sue capacità  e alla sua esperienza, sfruttando vulnerabilità  applicative complesse come la SQL-injection, si sta affiancando una nuova genìa di pirati di basso profilo, che per i loro attacchi sfruttano tecniche o programmi sviluppati da altri. Gli hacker old-style sono pochi, ma molto pericolosi; i pirati wannabe sono mediamente incapaci, ma sono tanti, il che li rende altrettanto dannosi, tanto più che i loro bersagli sono casuali: cercano su Google tracce di qualche vulnerabilità  nota, poi scatenano sul sito vulnerabile uno strumento di scansione o un exploit di cui, magari, non capiscono nemmeno il funzionamento.
    A meno che l'attaccante non sia così idiota da usare SQLMap senza modificarne lo user-agent (cà pita..), l'attacco andrà  a segno e saranno necessari mediamente diciotto giorni di lavoro per annullarne gli effetti.

Un esempio interessante di questa nuova tendenza, riportato nell'intervento di Raoul Chiesa sul Cybercrime, è stato il messaggio di un pirata che, in un perfetto stile mafioso, ricattava il gestore di un forum dicendo:

Ho una botnet di 7000 computer (...) con la quale posso, se voglio, mettere offline il tuo sito come, quando e per quanto voglio. (...) Per evitare questo, dovrai sborsare 200 Euro che dovrai inviare a un indirizzo PayPal o a una Postepay che ti indicherà io stesso.

D'altro canto, il [D]DoS è l'attacco ideale per il pirata wannabe, perché non richiede competenze specifiche, ma solo una rete di computer infetti, che può essere presa in affitto a un prezzo tutto sommato conveniente. E mentre dagli altri tipi di attacco si può essere o ci si può rendere immuni, qualunque sistema in linea è, per definizione, vulnerabile ad attacchi che mirino a ridurre o annullare la sua capacità  di rispondere alle richieste.

Tutto cià considerato, credo sia necessario accettare il fatto che la sicurezza non è più un problema che riguarda solo le banche e i siti delle multinazionali, ma coinvolge tutti i sistemi presenti sulla Internet.

Dall'ultimo rapporto di Verizon sui crimini informatici, risulta che il furto di carte di credito è ancora al primo posto nell'elenco dei tipi di dato compromessi degli attacchi dei pirati informatici, ma al secondo e al terzo posto troviamo, rispettivamente, le credenziali di autenticazione e le informazioni personali.

Ti consigliamo anche