Massimiliano Brolli : 10 Novembre 2021 22:55
Autore: Massimiliano Brolli
Data Pubblicazione: 10/11/2021
In questo caldo autunno, non passa un giorno che una PA o una grande azienda italiana non venga colpita da un ransomware o da un incidente informatico di varia natura.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Qualche giorno fa un follower della pagina Facebook ha scritto un commento su un post, relativo alla violazione del comune di Perugia dicendo:
“ma perché non condividono mai i vettori di attacco alle infrastrutture, in modo che si possa farne tesoro?”.
Di fatto questa domanda, noi della community di RHC ce la stiamo ponendo già da diverso tempo, ma sembra che anche le persone si inizino a domandare come mai non si voglia fare tesoro e condividere le proprie esperienze sugli incidenti di sicurezza informatica, in modo da avvantaggiare altre organizzazioni nella risposta agli incidenti. Il problema infatti, è molto più complesso di quello che sembra.
Analogamente alle vulnerabilità non documentate, gli 0-day, il primo approccio di una azienda che non ha cultura nella cyber security è “chiudersi a riccio”. Questo perché avere una CVE pubblicata sul National Vulnerability Database degli Stati Uniti D’America è qualcosa che inorridisce per la propria brand e web reputation.
Successivamente quell’azienda, inizia ad ampliare la sua cultura nella cybersecurity e avvia un programma di Responsible Disclosure e inizia a comprendere che con la collaborazione, in questo caso della community hacker, e la divulgazione delle proprie vulnerabilità verso la community, riesce a mettersi più al sicuro che “chiudendosi a riccio”.
Successivamente quell’azienda diventa una CNA (CVE Numbering Authorities, ovvero si mette in condizioni di aprire lei stessa le CVE sui suoi prodotti) e crea una pagina di “hall of fame” per “celebrare i suoi ricercatori” che le hanno fornito informazioni sui bug di sicurezza dei loro prodotti e alla fine attiva un programma di bug bounty per poter “pagare” chi trova le falle sui suoi prodotti.
Molto bene, ma questo è un percorso… un percorso lungo.
Prendendo l’inizio e la fine di questa breve storiella, l’azienda è passata dal “chiudersi a riccio” e quindi non volerne sapere di pubblicare le sue vulnerabilità a “pagare chi possa trovargli dei bug” e quindi divulgarle.
Facendo un paragone, l’Italia oggi è quell’azienda che non vuole rendere pubbliche le proprie vulnerabilità. Infatti l’Italia non ha ancora compreso che solo attraverso la collaborazione e la sensibilizzazione della “comunità” intesa come tutti noi (dal semplice cittadino al progettista di rete, allo sviluppatore, al gestore dei servizi IT e all’utente dei sistemi) si potrà contrastare l’avanzata di un nemico sempre più militarizzato, nascosto, anonimo e oscuro.
Non dovremmo avere paura nel divulgare (completate le indagini del caso e non con tempi biblici) il vettore di attacco che ha compromesso la Regione Lazio, l’ASL RM3, il San Giovanni Addolorata, il comune di Perugia ecc.. ecc.. Anzi dovremmo essere felici di farlo conoscere a tutti e farne tesoro, pubblicando avvisi indirizzati a tutte le aziende pubbliche e private, incentivandole ad effettuare delle analisi per scongiurare che tale minaccia non riemerga.
Queste informazioni sono un enorme patrimonio che se non vengono “divulgate”, non ci fanno progredire, lasciandoci in quella fanghiglia scivolosa dove il cybercrime sguazza, pronto a trarne vantaggio in una lotta “impari” e “ingiusta”, ma che deve essere condotta al meglio da ognuno di noi collaborando efficacemente.
Noi italiani, per nostra cultura, siamo sempre molto bravi a parlare e a pontificare, facciamo conferenze, diffondiamo il verbo dall’alto dei nostri titoli e dei nostri finti altari, ma qua c’è poco da parlare, abbiamo necessità di una infinita “operatività specializzata” che non abbiamo ed è inutile che ci rifuggiamo dietro le belle slide e le presentazioni ad effetto.
Come fai ad ostacolare un avversario altamente specializzato e altamente motivato?
Con la tecnica.
Pertanto occorre fare. Scendere in campo, sporcarci le mani, capire tecnicamente come un black hacker viola i sistemi e configurarli in modo che questi non possano essere violati. Comprendere come un black hacker viola una web application (ma può essere un firmware, un IoT, una App Mobile, ecc…) e scrivere bene il software in modo che quelle falle di un errato sviluppo sicuro, non possano essere sfruttate a suo piacimento.
Occorre svolgere prevenzione, scansioni, penetration test.
Occorre anche saperli fare.
Ma dov’è questo esercito di tecnici specializzati?
Quanti ce ne sono?
Che strategie stiamo adottando per poterli formare?
Queste sarebbero le domande che la politica italiana dovrebbe porsi oggi e trovare delle soluzioni in quanto ostacolare il cybercrime lo si fa solo ponendosi sul suo stesso piano.
Lo si fa con attività di Red Team e di Blue Team e noi in Italia su questo siamo molto “scarsetti” e dobbiamo ancora studiare. Lo si fa iniziando dalle scuole come ha fatto e sta facendo la Cina, sviluppando interesse fin dalla scuola primaria alle materie tecnologiche ed informatiche formando una nuova generazione di hacker pronti ad essere utilizzati qualora risulti necessario, organizzando miriade di CTF all’interno delle università.
Le politiche ce ne sono fin troppe.
Il problema è che non possono essere applicate in quanto siamo carenti di tecnici specializzati. Dovremmo quindi evitare di risolvere il problema con una nuova politica, per poter dire dopo un nuovo incidente “io l’avevo scritto e qualcuno non l’ha fatto”, ma concentrarci a mettere in atto contromisure realmente efficaci.
Massimiliano BrolliIl 18 novembre 2025, alle 11:20 UTC, una parte significativa dell’infrastruttura globale di Cloudflare ha improvvisamente cessato di instradare correttamente il traffico Internet, mostrando a milion...
Questo è il quinto di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in coincidenza con la Giornata Internazionale per l’Eliminazione della Violenza co...
18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
