Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Massimiliano Brolli : 10 Novembre 2021 22:55
Autore: Massimiliano Brolli
Data Pubblicazione: 10/11/2021
In questo caldo autunno, non passa un giorno che una PA o una grande azienda italiana non venga colpita da un ransomware o da un incidente informatico di varia natura.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Qualche giorno fa un follower della pagina Facebook ha scritto un commento su un post, relativo alla violazione del comune di Perugia dicendo:
“ma perché non condividono mai i vettori di attacco alle infrastrutture, in modo che si possa farne tesoro?”.
Di fatto questa domanda, noi della community di RHC ce la stiamo ponendo già da diverso tempo, ma sembra che anche le persone si inizino a domandare come mai non si voglia fare tesoro e condividere le proprie esperienze sugli incidenti di sicurezza informatica, in modo da avvantaggiare altre organizzazioni nella risposta agli incidenti. Il problema infatti, è molto più complesso di quello che sembra.
Analogamente alle vulnerabilità non documentate, gli 0-day, il primo approccio di una azienda che non ha cultura nella cyber security è “chiudersi a riccio”. Questo perché avere una CVE pubblicata sul National Vulnerability Database degli Stati Uniti D’America è qualcosa che inorridisce per la propria brand e web reputation.
Successivamente quell’azienda, inizia ad ampliare la sua cultura nella cybersecurity e avvia un programma di Responsible Disclosure e inizia a comprendere che con la collaborazione, in questo caso della community hacker, e la divulgazione delle proprie vulnerabilità verso la community, riesce a mettersi più al sicuro che “chiudendosi a riccio”.
Successivamente quell’azienda diventa una CNA (CVE Numbering Authorities, ovvero si mette in condizioni di aprire lei stessa le CVE sui suoi prodotti) e crea una pagina di “hall of fame” per “celebrare i suoi ricercatori” che le hanno fornito informazioni sui bug di sicurezza dei loro prodotti e alla fine attiva un programma di bug bounty per poter “pagare” chi trova le falle sui suoi prodotti.
Molto bene, ma questo è un percorso… un percorso lungo.
Prendendo l’inizio e la fine di questa breve storiella, l’azienda è passata dal “chiudersi a riccio” e quindi non volerne sapere di pubblicare le sue vulnerabilità a “pagare chi possa trovargli dei bug” e quindi divulgarle.
Facendo un paragone, l’Italia oggi è quell’azienda che non vuole rendere pubbliche le proprie vulnerabilità. Infatti l’Italia non ha ancora compreso che solo attraverso la collaborazione e la sensibilizzazione della “comunità” intesa come tutti noi (dal semplice cittadino al progettista di rete, allo sviluppatore, al gestore dei servizi IT e all’utente dei sistemi) si potrà contrastare l’avanzata di un nemico sempre più militarizzato, nascosto, anonimo e oscuro.
Non dovremmo avere paura nel divulgare (completate le indagini del caso e non con tempi biblici) il vettore di attacco che ha compromesso la Regione Lazio, l’ASL RM3, il San Giovanni Addolorata, il comune di Perugia ecc.. ecc.. Anzi dovremmo essere felici di farlo conoscere a tutti e farne tesoro, pubblicando avvisi indirizzati a tutte le aziende pubbliche e private, incentivandole ad effettuare delle analisi per scongiurare che tale minaccia non riemerga.
Queste informazioni sono un enorme patrimonio che se non vengono “divulgate”, non ci fanno progredire, lasciandoci in quella fanghiglia scivolosa dove il cybercrime sguazza, pronto a trarne vantaggio in una lotta “impari” e “ingiusta”, ma che deve essere condotta al meglio da ognuno di noi collaborando efficacemente.
Noi italiani, per nostra cultura, siamo sempre molto bravi a parlare e a pontificare, facciamo conferenze, diffondiamo il verbo dall’alto dei nostri titoli e dei nostri finti altari, ma qua c’è poco da parlare, abbiamo necessità di una infinita “operatività specializzata” che non abbiamo ed è inutile che ci rifuggiamo dietro le belle slide e le presentazioni ad effetto.
Come fai ad ostacolare un avversario altamente specializzato e altamente motivato?
Con la tecnica.
Pertanto occorre fare. Scendere in campo, sporcarci le mani, capire tecnicamente come un black hacker viola i sistemi e configurarli in modo che questi non possano essere violati. Comprendere come un black hacker viola una web application (ma può essere un firmware, un IoT, una App Mobile, ecc…) e scrivere bene il software in modo che quelle falle di un errato sviluppo sicuro, non possano essere sfruttate a suo piacimento.
Occorre svolgere prevenzione, scansioni, penetration test.
Occorre anche saperli fare.
Ma dov’è questo esercito di tecnici specializzati?
Quanti ce ne sono?
Che strategie stiamo adottando per poterli formare?
Queste sarebbero le domande che la politica italiana dovrebbe porsi oggi e trovare delle soluzioni in quanto ostacolare il cybercrime lo si fa solo ponendosi sul suo stesso piano.
Lo si fa con attività di Red Team e di Blue Team e noi in Italia su questo siamo molto “scarsetti” e dobbiamo ancora studiare. Lo si fa iniziando dalle scuole come ha fatto e sta facendo la Cina, sviluppando interesse fin dalla scuola primaria alle materie tecnologiche ed informatiche formando una nuova generazione di hacker pronti ad essere utilizzati qualora risulti necessario, organizzando miriade di CTF all’interno delle università.
Le politiche ce ne sono fin troppe.
Il problema è che non possono essere applicate in quanto siamo carenti di tecnici specializzati. Dovremmo quindi evitare di risolvere il problema con una nuova politica, per poter dire dopo un nuovo incidente “io l’avevo scritto e qualcuno non l’ha fatto”, ma concentrarci a mettere in atto contromisure realmente efficaci.
Massimiliano BrolliIl team di GrapheneOS annuncia la chiusura completa della sua infrastruttura in Francia. Gli sviluppatori stanno accelerando il passaggio dal provider di hosting OVH e accusano dalle autorità frances...
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
