Massimiliano Brolli : 10 Novembre 2021 22:55
Autore: Massimiliano Brolli
Data Pubblicazione: 10/11/2021
In questo caldo autunno, non passa un giorno che una PA o una grande azienda italiana non venga colpita da un ransomware o da un incidente informatico di varia natura.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Qualche giorno fa un follower della pagina Facebook ha scritto un commento su un post, relativo alla violazione del comune di Perugia dicendo:
“ma perché non condividono mai i vettori di attacco alle infrastrutture, in modo che si possa farne tesoro?”.
Di fatto questa domanda, noi della community di RHC ce la stiamo ponendo già da diverso tempo, ma sembra che anche le persone si inizino a domandare come mai non si voglia fare tesoro e condividere le proprie esperienze sugli incidenti di sicurezza informatica, in modo da avvantaggiare altre organizzazioni nella risposta agli incidenti. Il problema infatti, è molto più complesso di quello che sembra.
Analogamente alle vulnerabilità non documentate, gli 0-day, il primo approccio di una azienda che non ha cultura nella cyber security è “chiudersi a riccio”. Questo perché avere una CVE pubblicata sul National Vulnerability Database degli Stati Uniti D’America è qualcosa che inorridisce per la propria brand e web reputation.
Successivamente quell’azienda, inizia ad ampliare la sua cultura nella cybersecurity e avvia un programma di Responsible Disclosure e inizia a comprendere che con la collaborazione, in questo caso della community hacker, e la divulgazione delle proprie vulnerabilità verso la community, riesce a mettersi più al sicuro che “chiudendosi a riccio”.
Successivamente quell’azienda diventa una CNA (CVE Numbering Authorities, ovvero si mette in condizioni di aprire lei stessa le CVE sui suoi prodotti) e crea una pagina di “hall of fame” per “celebrare i suoi ricercatori” che le hanno fornito informazioni sui bug di sicurezza dei loro prodotti e alla fine attiva un programma di bug bounty per poter “pagare” chi trova le falle sui suoi prodotti.
Molto bene, ma questo è un percorso… un percorso lungo.
Prendendo l’inizio e la fine di questa breve storiella, l’azienda è passata dal “chiudersi a riccio” e quindi non volerne sapere di pubblicare le sue vulnerabilità a “pagare chi possa trovargli dei bug” e quindi divulgarle.
Facendo un paragone, l’Italia oggi è quell’azienda che non vuole rendere pubbliche le proprie vulnerabilità. Infatti l’Italia non ha ancora compreso che solo attraverso la collaborazione e la sensibilizzazione della “comunità” intesa come tutti noi (dal semplice cittadino al progettista di rete, allo sviluppatore, al gestore dei servizi IT e all’utente dei sistemi) si potrà contrastare l’avanzata di un nemico sempre più militarizzato, nascosto, anonimo e oscuro.
Non dovremmo avere paura nel divulgare (completate le indagini del caso e non con tempi biblici) il vettore di attacco che ha compromesso la Regione Lazio, l’ASL RM3, il San Giovanni Addolorata, il comune di Perugia ecc.. ecc.. Anzi dovremmo essere felici di farlo conoscere a tutti e farne tesoro, pubblicando avvisi indirizzati a tutte le aziende pubbliche e private, incentivandole ad effettuare delle analisi per scongiurare che tale minaccia non riemerga.
Queste informazioni sono un enorme patrimonio che se non vengono “divulgate”, non ci fanno progredire, lasciandoci in quella fanghiglia scivolosa dove il cybercrime sguazza, pronto a trarne vantaggio in una lotta “impari” e “ingiusta”, ma che deve essere condotta al meglio da ognuno di noi collaborando efficacemente.
Noi italiani, per nostra cultura, siamo sempre molto bravi a parlare e a pontificare, facciamo conferenze, diffondiamo il verbo dall’alto dei nostri titoli e dei nostri finti altari, ma qua c’è poco da parlare, abbiamo necessità di una infinita “operatività specializzata” che non abbiamo ed è inutile che ci rifuggiamo dietro le belle slide e le presentazioni ad effetto.
Come fai ad ostacolare un avversario altamente specializzato e altamente motivato?
Con la tecnica.
Pertanto occorre fare. Scendere in campo, sporcarci le mani, capire tecnicamente come un black hacker viola i sistemi e configurarli in modo che questi non possano essere violati. Comprendere come un black hacker viola una web application (ma può essere un firmware, un IoT, una App Mobile, ecc…) e scrivere bene il software in modo che quelle falle di un errato sviluppo sicuro, non possano essere sfruttate a suo piacimento.
Occorre svolgere prevenzione, scansioni, penetration test.
Occorre anche saperli fare.
Ma dov’è questo esercito di tecnici specializzati?
Quanti ce ne sono?
Che strategie stiamo adottando per poterli formare?
Queste sarebbero le domande che la politica italiana dovrebbe porsi oggi e trovare delle soluzioni in quanto ostacolare il cybercrime lo si fa solo ponendosi sul suo stesso piano.
Lo si fa con attività di Red Team e di Blue Team e noi in Italia su questo siamo molto “scarsetti” e dobbiamo ancora studiare. Lo si fa iniziando dalle scuole come ha fatto e sta facendo la Cina, sviluppando interesse fin dalla scuola primaria alle materie tecnologiche ed informatiche formando una nuova generazione di hacker pronti ad essere utilizzati qualora risulti necessario, organizzando miriade di CTF all’interno delle università.
Le politiche ce ne sono fin troppe.
Il problema è che non possono essere applicate in quanto siamo carenti di tecnici specializzati. Dovremmo quindi evitare di risolvere il problema con una nuova politica, per poter dire dopo un nuovo incidente “io l’avevo scritto e qualcuno non l’ha fatto”, ma concentrarci a mettere in atto contromisure realmente efficaci.
Massimiliano BrolliI ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
