Giovedì 21 Gennaio 2021 | 19:20

Il Biancorosso

Serie C
Bari, ufficializzati due nuovi ingaggi: Rolando e Sarzi Puttini

Bari, ufficializzati due nuovi ingaggi: Rolando e Sarzi Puttini

 

i più visti della sezione

NEWS DALLE PROVINCE

BariEmergenza contagi
Bitonto, focolaio Covid a Villa Giovanni XXIII: 110 positivi tra anziani e operatori

Bitonto, focolaio Covid a Villa Giovanni XXIII: 110 positivi tra anziani e operatori

 
Potenzaeconomia
Tavares in Basilicata, riconosciuta centralità dello stabilimenti di Melfi nel nuovo gruppo Stellantis

Tavares (Stellantis) in Basilicata: confermati investimenti e posti di lavoro. Riconosciuta centralità stabilimento Melfi

 
Tarantoil progetto
Taranto, piantine antinquinanti nelle scuole: al via «La Natura entra in classe»

Taranto, piantine antinquinanti nelle scuole: al via «La Natura entra in classe»

 
FoggiaL'accaduto
Foggia, fuggono con macchina rubata, ma fanno incidente e scappano sfondando il parabrezza

Foggia, fuggono con macchina rubata, ma fanno incidente e scappano sfondando il parabrezza

 
BrindisiL'intervista
Gli antifascisti e i comunisti nella provincia di Brindisi: processi, confino, democrazia

Gli antifascisti e i comunisti nella provincia di Brindisi: processi, confino, democrazia

 
BatNella Bat
Droga, condanne definitive per sette trafficanti di Andria

Droga, condanne definitive per sette trafficanti di Andria

 
MateraIl caso
Incendia auto per dissidi lavorativi con la proprietaria: denunciata 41enne a Matera

Incendia auto per dissidi lavorativi con la proprietaria: denunciata 41enne a Matera

 
LecceLe dichiarazioni
Fidanzati uccisi a Lecce, il killer: «Se fossi libero avrei di nuovo l'impulso di uccidere»

Fidanzati uccisi a Lecce, il killer: «Se fossi libero avrei di nuovo l'impulso di uccidere»

 

i più letti

Un giorno di ordinaria pirateria Faccia a faccia con uno dei più famosi «ethical hacker» di casa nostra: Raoul Chiesa

Più di dodici anni in navigazione virtuale, per sfidare i sistemi informatici di mezzo mondo, come il pirata Morgan o il capitano Flint, un cyberfiglio della filibusta, con un codice d'onore e regole etiche da non tradire mai. Raoul Chiesa non è semplicemente un hacker che viola il sistema per far danni e scappar via, perché le sue incursioni servono sempre a dimostrare che nessuna tecnologia è superiore all'uomo.
Oggi continua a fare esattamente la stessa cosa, solo che è un cliente a commissionare «l'attacco», per sapere alla fine quali sono i punti di debolezza del sistema e rinforzare le difese.
In pratica non solo ti distrugge tutte le tue certezze informatiche, ma lo devi anche pagare…
Anche in questa intervista parte subito all'attacco, cancellando in poche battute le relative sicurezze che ci potevano essere su quanto successo ai sistemi informatici globali infettati dal «baco cinese», alla fine si avrà un po' di timore anche ad avvicinarsi alla propria lavatrice.

L'esperienza che ha coinvolto in questi giorni milioni di utenti ed imprese colpite dal baco «SQ Hell» e che ha messo in ginocchio i sistemi informatici globali, può essere servito a far capire la seria ed urgente necessità di dotarsi di sistemi di sicurezza efficaci?

Sorrido, e me ne scuso, ma il baco non si chiama «SQ hell», come erroneamente scritto da molti giornali. Immagino che l'errore sia stato dovuto alla pronuncia: SQL è infatti il «servizio» (un database disponibile per ricerche online) che viene colpito dal worm in oggetto, che è stato battezzato Sapphire dalla E-eye, la prima azienda ad avere pubblica un security advisory dove veniva isolato ed illustrato il comportamento del worm malevolo. «SQL» in inglese si pronuncia «Es-qu-el» e probabilmente qualche giornalista avrà capito male ed ecceduto nel «ribattezzamento»…
A parte questa doverosa precisazione, la speranza è proprio di aver alzato i livelli di attenzione: il worm Sapphire può e deve essere un'attenta riflessione - così come fu per Red Code tempo fa - per i responsabili di sistemi informatici e per le aziende stesse. Un worm, così come dei semplici virus, possono mettere in ginocchio infrastrutture critiche e, comunque, bloccare il core business aziendale.
A volte basta davvero poco e sono cose a cui non si pensa mai: del security awareness, ovverosia la sensibilizzazione aziendale verso le problematiche di sicurezza ed il comportamento da tenere verso i nuovi e sempre più attuali strumenti informatici. Se i dipendenti non aprissero più allegati inviati via email da sconosciuti, molto probabilmente il dilagarsi delle infezioni distribuite da virus verrebbe più che dimezzato: rendo l'idea?
A volte basta proprio poco... Nel caso del worm SQL, la mancanza è stata dei sysadmin, i system administrators: il baco, la vulnerabilità di cui parliamo, fu scoperta l'anno scorso, nel 2002, e sono passati diversi mesi. Bastava fare bene il proprio mestiere, applicare la cosiddetta «patch» (un programma che risolve le carenze del programma principale) e non ci sarebbero stati problemi. Certo, su reti dati geograficamente molto distribuite la cosa non è così semplice ed immediata ma, ripeto, il tempo per farlo c'era.
Speriamo che sia servito di lezione per il futuro.


I nostri sistemi sociali ed economici si stanno sempre più informatizzando. Quali sono i pericoli più urgenti da risolvere in termini di sicurezza informatica?

La diffusione della cultura sulla sicurezza. Perché c'è davvero molta, troppa, ignoranza in merito: il risultato immediato è la disinformazione. I mass-media sbagliano le interpretazioni, tutti si improvvisano, ed il risultato è che la gente ha paura di Internet.
E' un fenomeno diffuso, perché nel nostro paese argomenti simili vengono affrontati particolarmente male, fornendo messaggi spesso distorti.
Naturalmente, vi sono poi i pericoli più concreti ed immediati, quelli che toccano tutti. Sono un po' difficili da riassumere, ma il concetto base è che ciò su cui si basa Internet, il "TCP/IP", oggi e' inserito ovunque. Il TCP/IP altro non è che lo standard di comunicazione su Internet, ma che può essere usato anche per cose diverse: il GPRS «parla» IP, i telefoni VoIP (telefonate via Internet ed Intranet) viaggiano su IP, sta per esplodere la DOMOTICA, ovverosia, per capirci, la lavatrice o il frigorifero «intelligenti», che comunicano con la Rete, che sia il fornitore di elettricità o il nostro supermercato di fiducia.
Siamo davanti ad una rivoluzione, con IP che toccherà tutto e tutti: questo è il primo grosso problema. L'attuale versione di TCP/IP è molto datata e soffre di insicurezze di base, a livello progettuale. La versione IPv6, nella stesura della quale e' stata data molta attenzione al lato sicurezza, è in corso di test ed implementazione da tempo, ma il suo utilizzo ufficiale e distribuito non è ancora sufficientemente vicino.


L'allargamento delle reti wireless sta ampliando il problema sicurezza tanto più se possono essere violati dati personali o economici. Sono veramente in pericolo milioni di utenti ed i loro dati personali?

La risposta in questo caso è si.
Lo standard Wireless (IEEE 802.11, per l'esattezza) nella sua attuale implementazione 802.11b soffre di chiare e dichiarate carenze progettuali. Il traffico è intercettabile e questo significa - come mi disse un caro collega nordamericano l'anno scorso - " è un po' come se accendessi la radio e sentissi le chiamate del vicino di casa". Da qui il termine «slang» per intendere il Wireless, «Wi-Fi», che prende il nome da Hi-Fi.
Il risultato è che sono stati sviluppati diversi strumenti software (tools) per intercettare «on the air» il traffico dati di una rete wireless: gli accorgimenti ci sono ed anzi sono in continua implementazione, ma per ora i problemi rimangono. Anche chi implementa il cosiddetto «WEP» (Wireless Equivalent Privacy), ovverosia un algoritmo di cifratura sui dati in transito, non è al sicuro: con mezzi modesti (un PC un po' più potente) si può violare la cifratura e scoprire la chiave utilizzata in un tempo che può variare dai 15 ai 30 giorni.


Quali sono i livelli di sicurezza minimi per una buona gestione dei processi informatici?

Si devono quantomeno identificare i singoli utilizzatori della rete e dei servizi, gli utenti insomma. Ogni utente deve utilizzare una o più password di accesso, che non devono essere facilmente individuabili: non dobbiamo utilizzare nomi propri (figli, cani e così via), date di nascita o password troppo brevi. Le realtà connesse ad Internet in maniera continuativa (always-on) devono essere dotate di sistemi di difesa di dimensioni correlate alla propria struttura e relative alle effettive necessità aziendali.
Nel caso di un utente privato è sufficiente un Personal Firewall (software), nel caso di un'azienda con 20 dipendenti sempre connessi ed agenti di vendita esterni, è probabilmente più indicato un firewall di tipo hardware.


Esistono oggi in Italia le competenze professionali idonee a contrastare gli attacchi hacker?

Purtroppo mi sento di rispondere negativamente: non ce ne sono abbastanza. Le competenze prettamente tecniche ci sono ed anzi, alcuni security researcher italiani sono noti all'estero per le loro capacità ed innovazioni tecnologiche. Il problema che vedo è di nuovo culturale oltre che, in questo caso, di mercato.
Le aziende italiane di sicurezza rivendono, per la maggior parte, soluzioni di sicurezza preincartate, scatole, security box, già predefinite. Il problema invece è che la sicurezza è un processo, un percorso, non una scatola. Mi spiego meglio: un sistema firewall serve a difendere le aziende da attacchi esterni via Internet. Ci sono firewall software ed hardware, poco cari, medi e molto cari. Tutti possono andare bene o male, ed avere o non avere difetti di progettazione. Ma, alla base di tutto, il firewall deve essere ben configurato. Di contorno ci deve essere un'installazione sicura del sistema operativo che ospita il firewall, o dell'ambiente di rete nel quale è inserito. Questi sono gli errori tipici che si fanno. L'azienda, però, dopo aver acquistato il firewall si sente sicura, e questo fa si che l'attenzione verso l'ICT Security venga a mancare.


Perché si diventa hacker? E soprattutto cosa significa hacker etico? C'è veramente bisogno di etica in Rete?

Intanto bisogna spiegare cos'e' il termine hacker: io lo intendo come un curioso, un assetato di conoscenza tecnologica, che non compie frodi o truffe economiche, ma che viola sistemi informatici per impararne il funzionamento e scoprirne i difetti. Un po' come quando da bambini si smontavano i giocattoli, se vogliamo dare un esempio sicuramente noto a tutti i lettori. L'hacker è quel bambino che cresce, ma resta curioso.
Un po' incosciente a volte, rischia molto per avere davvero poco. Si diventa dunque hacker per curiosità, un po' per sfida, un po' per gioco. L'insicurezza di moltissimi sistemi informatici non aiuta certo nel fermarsi, ed il risultato è che - spesso senza rendersene conto - si ha accesso a sistemi informatici di realtà importanti.

L'ethical hacker, o hacker etico, è quella persona che faceva queste cose da ragazzino, ma che è cresciuto. Ed è anche il mio caso: dopo 12 anni di intrusioni nei sistemi di mezzo mondo - dove spesso segnalavo agli amministratori di rete i problemi riscontrati - ho deciso di utilizzare il mio know-how per migliorare il livello di sicurezza nel nostro paese.
Aziende di svariati settori, dalle telecomunicazioni al mondo finanziario ed industriale, si servono dei nostri servizi per valutare il proprio security status: effettuiamo veri e propri attacchi informatici contro i sistemi e le infrastrutture di telecomunicazioni dei nostri clienti, per evidenziare eventuali falle e prevenire incursioni non autorizzate. E' una tecnica chiamata Penetration Testing, che ha origine negli ambienti militari statunitensi, e viene effettuata da un Tiger Team, una vera e propria squadra d'assalto informatica.

L'ethical hacking è poi estremamente utile nella definizione della metodologia da utilizzare per questa tipologia di attacchi: alcune persone del team che guido hanno contribuito alla stesura di una metodologia Open Source - ovverosia gratuita ed integrabile liberamente - per l'analisi della sicurezza informatica, denominata OSSTMM (Open Source Security Testing Methodology Manual).
L'Institute for Security and Open Methodologies (ISECOM), in collaborazione con l'università La Salle di Barcellona, hanno realizzato questo importante progetto, oggi divenuto un documento disponibile per tutti, e definito ciò che mancava al settore: una metodologia operativa super partes, replicabile e valutabile, la quale fornisce l'effettiva situazione del livello di sicurezza aziendale.
Lo slogan e' «The Hacker mind and the Professional methodology»...che rende davvero l'idea dei contenuti. Contenuti che sono stati recentemente adottati dal Ministero del Tesoro USA come metodologia
interna di verifica e security auditing..


Oggi possono entrare in crisi i sistemi economici che lavorano in rete, ma da domani con la diffusione della demotica il web diventerà spazio quotidiano nella gestione della nostra vita di ogni giorno. Questo farà esplodere il problema della sicurezza anche nella gestione spicciola della vita quotidiana? E se si, come ci potremo difendere?

Come accennavo prima, ci stiamo muovendo verso nuove forme di «communications, anytime, everywhere», comunichiamo comunque e dovunque.
C'è la domotica così come l'automotive (integrazione tra comunicazione wireless ed automobili), sicuramente due campi sui quali scommettere nei prossimi anni. Anche in questo caso le paure sono dirette verso l'errata progettazione dei nuovi standard di comunicazione, le configurazioni sbagliate dalla parte dell'utilizzatore finale (o quelle preimpostate), le password che continueranno a non essere cambiate...come il worm SQL ci ha ricordato.
Le soluzioni ? E chi lo sa...La sicurezza è un qualcosa che cambia continuamente, anche se gli errori che tipicamente si compiono sono gli stessi, semplicemente evoluti. Staremo a vedere.. è il nostro lavoro e la nostra passione. Da professionista e da Ethical Hacker.

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 400