Mercoledì 19 Dicembre 2018 | 08:39

GDM.TV

i più visti della sezione

Un giorno di ordinaria pirateria Faccia a faccia con uno dei più famosi «ethical hacker» di casa nostra: Raoul Chiesa

Più di dodici anni in navigazione virtuale, per sfidare i sistemi informatici di mezzo mondo, come il pirata Morgan o il capitano Flint, un cyberfiglio della filibusta, con un codice d'onore e regole etiche da non tradire mai. Raoul Chiesa non è semplicemente un hacker che viola il sistema per far danni e scappar via, perché le sue incursioni servono sempre a dimostrare che nessuna tecnologia è superiore all'uomo.
Oggi continua a fare esattamente la stessa cosa, solo che è un cliente a commissionare «l'attacco», per sapere alla fine quali sono i punti di debolezza del sistema e rinforzare le difese.
In pratica non solo ti distrugge tutte le tue certezze informatiche, ma lo devi anche pagare…
Anche in questa intervista parte subito all'attacco, cancellando in poche battute le relative sicurezze che ci potevano essere su quanto successo ai sistemi informatici globali infettati dal «baco cinese», alla fine si avrà un po' di timore anche ad avvicinarsi alla propria lavatrice.

L'esperienza che ha coinvolto in questi giorni milioni di utenti ed imprese colpite dal baco «SQ Hell» e che ha messo in ginocchio i sistemi informatici globali, può essere servito a far capire la seria ed urgente necessità di dotarsi di sistemi di sicurezza efficaci?

Sorrido, e me ne scuso, ma il baco non si chiama «SQ hell», come erroneamente scritto da molti giornali. Immagino che l'errore sia stato dovuto alla pronuncia: SQL è infatti il «servizio» (un database disponibile per ricerche online) che viene colpito dal worm in oggetto, che è stato battezzato Sapphire dalla E-eye, la prima azienda ad avere pubblica un security advisory dove veniva isolato ed illustrato il comportamento del worm malevolo. «SQL» in inglese si pronuncia «Es-qu-el» e probabilmente qualche giornalista avrà capito male ed ecceduto nel «ribattezzamento»…
A parte questa doverosa precisazione, la speranza è proprio di aver alzato i livelli di attenzione: il worm Sapphire può e deve essere un'attenta riflessione - così come fu per Red Code tempo fa - per i responsabili di sistemi informatici e per le aziende stesse. Un worm, così come dei semplici virus, possono mettere in ginocchio infrastrutture critiche e, comunque, bloccare il core business aziendale.
A volte basta davvero poco e sono cose a cui non si pensa mai: del security awareness, ovverosia la sensibilizzazione aziendale verso le problematiche di sicurezza ed il comportamento da tenere verso i nuovi e sempre più attuali strumenti informatici. Se i dipendenti non aprissero più allegati inviati via email da sconosciuti, molto probabilmente il dilagarsi delle infezioni distribuite da virus verrebbe più che dimezzato: rendo l'idea?
A volte basta proprio poco... Nel caso del worm SQL, la mancanza è stata dei sysadmin, i system administrators: il baco, la vulnerabilità di cui parliamo, fu scoperta l'anno scorso, nel 2002, e sono passati diversi mesi. Bastava fare bene il proprio mestiere, applicare la cosiddetta «patch» (un programma che risolve le carenze del programma principale) e non ci sarebbero stati problemi. Certo, su reti dati geograficamente molto distribuite la cosa non è così semplice ed immediata ma, ripeto, il tempo per farlo c'era.
Speriamo che sia servito di lezione per il futuro.


I nostri sistemi sociali ed economici si stanno sempre più informatizzando. Quali sono i pericoli più urgenti da risolvere in termini di sicurezza informatica?

La diffusione della cultura sulla sicurezza. Perché c'è davvero molta, troppa, ignoranza in merito: il risultato immediato è la disinformazione. I mass-media sbagliano le interpretazioni, tutti si improvvisano, ed il risultato è che la gente ha paura di Internet.
E' un fenomeno diffuso, perché nel nostro paese argomenti simili vengono affrontati particolarmente male, fornendo messaggi spesso distorti.
Naturalmente, vi sono poi i pericoli più concreti ed immediati, quelli che toccano tutti. Sono un po' difficili da riassumere, ma il concetto base è che ciò su cui si basa Internet, il "TCP/IP", oggi e' inserito ovunque. Il TCP/IP altro non è che lo standard di comunicazione su Internet, ma che può essere usato anche per cose diverse: il GPRS «parla» IP, i telefoni VoIP (telefonate via Internet ed Intranet) viaggiano su IP, sta per esplodere la DOMOTICA, ovverosia, per capirci, la lavatrice o il frigorifero «intelligenti», che comunicano con la Rete, che sia il fornitore di elettricità o il nostro supermercato di fiducia.
Siamo davanti ad una rivoluzione, con IP che toccherà tutto e tutti: questo è il primo grosso problema. L'attuale versione di TCP/IP è molto datata e soffre di insicurezze di base, a livello progettuale. La versione IPv6, nella stesura della quale e' stata data molta attenzione al lato sicurezza, è in corso di test ed implementazione da tempo, ma il suo utilizzo ufficiale e distribuito non è ancora sufficientemente vicino.


L'allargamento delle reti wireless sta ampliando il problema sicurezza tanto più se possono essere violati dati personali o economici. Sono veramente in pericolo milioni di utenti ed i loro dati personali?

La risposta in questo caso è si.
Lo standard Wireless (IEEE 802.11, per l'esattezza) nella sua attuale implementazione 802.11b soffre di chiare e dichiarate carenze progettuali. Il traffico è intercettabile e questo significa - come mi disse un caro collega nordamericano l'anno scorso - " è un po' come se accendessi la radio e sentissi le chiamate del vicino di casa". Da qui il termine «slang» per intendere il Wireless, «Wi-Fi», che prende il nome da Hi-Fi.
Il risultato è che sono stati sviluppati diversi strumenti software (tools) per intercettare «on the air» il traffico dati di una rete wireless: gli accorgimenti ci sono ed anzi sono in continua implementazione, ma per ora i problemi rimangono. Anche chi implementa il cosiddetto «WEP» (Wireless Equivalent Privacy), ovverosia un algoritmo di cifratura sui dati in transito, non è al sicuro: con mezzi modesti (un PC un po' più potente) si può violare la cifratura e scoprire la chiave utilizzata in un tempo che può variare dai 15 ai 30 giorni.


Quali sono i livelli di sicurezza minimi per una buona gestione dei processi informatici?

Si devono quantomeno identificare i singoli utilizzatori della rete e dei servizi, gli utenti insomma. Ogni utente deve utilizzare una o più password di accesso, che non devono essere facilmente individuabili: non dobbiamo utilizzare nomi propri (figli, cani e così via), date di nascita o password troppo brevi. Le realtà connesse ad Internet in maniera continuativa (always-on) devono essere dotate di sistemi di difesa di dimensioni correlate alla propria struttura e relative alle effettive necessità aziendali.
Nel caso di un utente privato è sufficiente un Personal Firewall (software), nel caso di un'azienda con 20 dipendenti sempre connessi ed agenti di vendita esterni, è probabilmente più indicato un firewall di tipo hardware.


Esistono oggi in Italia le competenze professionali idonee a contrastare gli attacchi hacker?

Purtroppo mi sento di rispondere negativamente: non ce ne sono abbastanza. Le competenze prettamente tecniche ci sono ed anzi, alcuni security researcher italiani sono noti all'estero per le loro capacità ed innovazioni tecnologiche. Il problema che vedo è di nuovo culturale oltre che, in questo caso, di mercato.
Le aziende italiane di sicurezza rivendono, per la maggior parte, soluzioni di sicurezza preincartate, scatole, security box, già predefinite. Il problema invece è che la sicurezza è un processo, un percorso, non una scatola. Mi spiego meglio: un sistema firewall serve a difendere le aziende da attacchi esterni via Internet. Ci sono firewall software ed hardware, poco cari, medi e molto cari. Tutti possono andare bene o male, ed avere o non avere difetti di progettazione. Ma, alla base di tutto, il firewall deve essere ben configurato. Di contorno ci deve essere un'installazione sicura del sistema operativo che ospita il firewall, o dell'ambiente di rete nel quale è inserito. Questi sono gli errori tipici che si fanno. L'azienda, però, dopo aver acquistato il firewall si sente sicura, e questo fa si che l'attenzione verso l'ICT Security venga a mancare.


Perché si diventa hacker? E soprattutto cosa significa hacker etico? C'è veramente bisogno di etica in Rete?

Intanto bisogna spiegare cos'e' il termine hacker: io lo intendo come un curioso, un assetato di conoscenza tecnologica, che non compie frodi o truffe economiche, ma che viola sistemi informatici per impararne il funzionamento e scoprirne i difetti. Un po' come quando da bambini si smontavano i giocattoli, se vogliamo dare un esempio sicuramente noto a tutti i lettori. L'hacker è quel bambino che cresce, ma resta curioso.
Un po' incosciente a volte, rischia molto per avere davvero poco. Si diventa dunque hacker per curiosità, un po' per sfida, un po' per gioco. L'insicurezza di moltissimi sistemi informatici non aiuta certo nel fermarsi, ed il risultato è che - spesso senza rendersene conto - si ha accesso a sistemi informatici di realtà importanti.

L'ethical hacker, o hacker etico, è quella persona che faceva queste cose da ragazzino, ma che è cresciuto. Ed è anche il mio caso: dopo 12 anni di intrusioni nei sistemi di mezzo mondo - dove spesso segnalavo agli amministratori di rete i problemi riscontrati - ho deciso di utilizzare il mio know-how per migliorare il livello di sicurezza nel nostro paese.
Aziende di svariati settori, dalle telecomunicazioni al mondo finanziario ed industriale, si servono dei nostri servizi per valutare il proprio security status: effettuiamo veri e propri attacchi informatici contro i sistemi e le infrastrutture di telecomunicazioni dei nostri clienti, per evidenziare eventuali falle e prevenire incursioni non autorizzate. E' una tecnica chiamata Penetration Testing, che ha origine negli ambienti militari statunitensi, e viene effettuata da un Tiger Team, una vera e propria squadra d'assalto informatica.

L'ethical hacking è poi estremamente utile nella definizione della metodologia da utilizzare per questa tipologia di attacchi: alcune persone del team che guido hanno contribuito alla stesura di una metodologia Open Source - ovverosia gratuita ed integrabile liberamente - per l'analisi della sicurezza informatica, denominata OSSTMM (Open Source Security Testing Methodology Manual).
L'Institute for Security and Open Methodologies (ISECOM), in collaborazione con l'università La Salle di Barcellona, hanno realizzato questo importante progetto, oggi divenuto un documento disponibile per tutti, e definito ciò che mancava al settore: una metodologia operativa super partes, replicabile e valutabile, la quale fornisce l'effettiva situazione del livello di sicurezza aziendale.
Lo slogan e' «The Hacker mind and the Professional methodology»...che rende davvero l'idea dei contenuti. Contenuti che sono stati recentemente adottati dal Ministero del Tesoro USA come metodologia
interna di verifica e security auditing..


Oggi possono entrare in crisi i sistemi economici che lavorano in rete, ma da domani con la diffusione della demotica il web diventerà spazio quotidiano nella gestione della nostra vita di ogni giorno. Questo farà esplodere il problema della sicurezza anche nella gestione spicciola della vita quotidiana? E se si, come ci potremo difendere?

Come accennavo prima, ci stiamo muovendo verso nuove forme di «communications, anytime, everywhere», comunichiamo comunque e dovunque.
C'è la domotica così come l'automotive (integrazione tra comunicazione wireless ed automobili), sicuramente due campi sui quali scommettere nei prossimi anni. Anche in questo caso le paure sono dirette verso l'errata progettazione dei nuovi standard di comunicazione, le configurazioni sbagliate dalla parte dell'utilizzatore finale (o quelle preimpostate), le password che continueranno a non essere cambiate...come il worm SQL ci ha ricordato.
Le soluzioni ? E chi lo sa...La sicurezza è un qualcosa che cambia continuamente, anche se gli errori che tipicamente si compiono sono gli stessi, semplicemente evoluti. Staremo a vedere.. è il nostro lavoro e la nostra passione. Da professionista e da Ethical Hacker.

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 400

MULTIMEDIA

Raf e Umberto Tozzi si raccontano: segui la diretta

Raf e Umberto Tozzi, la strana coppia si racconta alla Gazzetta Rivedi la diretta

 
"Grazie per quello che fate e che avete fatto"Gli auguri di Rosso  capo di stato Maggiore

"Grazie per quello che fate e che avete fatto"
Gli auguri di Rosso capo di stato Maggiore

 
Frecce tricolori, parla il nuovo comandante Farina: «Essere pugliese per me è un orgoglio»

Frecce tricolori, parla il nuovo comandante Farina: «Essere pugliese? Un orgoglio»

 
Gazzetta, la Procura di Catania a settembre: faremo l'impossibile per occupazione e rilancio

Gazzetta, la Procura di Catania a settembre: faremo l'impossibile per occupazione e rilancio

 
Kids: torna a Lecce il festival per i più piccoli in nome dell'inclusione

Kids: torna a Lecce il festival per i più piccoli in nome dell'inclusione

 
pranzo

pranzo

 
Inaugura il Villaggio di Babbo Natale: luci, musica e file di un'ora per incontrarlo

Luci, musica e lunghe file per incontrare Babbo Natale: inaugurato il Villaggio

 
"Cane Secco" si lancia col paracadutelo youtuber tra le braccia dei Carabinieri

"Cane Secco" si lancia col paracadute
lo youtuber tra le braccia dei Carabinieri

 
Afghanistan, il ministro Trentaporta il saluto di tutto il Paese

Afghanistan, il ministro Trenta
porta il saluto di tutto il Paese

 
Afghanistan, i bersaglieri della Pinerolosul set dello sceneggiato "I due soldati"

Afghanistan, i bersaglieri della Pinerolo
sul set dello sceneggiato "I due soldati"

 
Afghanistan, le immagini del ministro Trentain occasione del saluto della Brigata Pinerolo

Afghanistan, le immagini del ministro Trenta
in occasione del saluto della Brigata Pinerolo