Massimiliano Brolli : 10 Novembre 2021 22:55
Autore: Massimiliano Brolli
Data Pubblicazione: 10/11/2021
In questo caldo autunno, non passa un giorno che una PA o una grande azienda italiana non venga colpita da un ransomware o da un incidente informatico di varia natura.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Qualche giorno fa un follower della pagina Facebook ha scritto un commento su un post, relativo alla violazione del comune di Perugia dicendo:
“ma perché non condividono mai i vettori di attacco alle infrastrutture, in modo che si possa farne tesoro?”.
Di fatto questa domanda, noi della community di RHC ce la stiamo ponendo già da diverso tempo, ma sembra che anche le persone si inizino a domandare come mai non si voglia fare tesoro e condividere le proprie esperienze sugli incidenti di sicurezza informatica, in modo da avvantaggiare altre organizzazioni nella risposta agli incidenti. Il problema infatti, è molto più complesso di quello che sembra.
Analogamente alle vulnerabilità non documentate, gli 0-day, il primo approccio di una azienda che non ha cultura nella cyber security è “chiudersi a riccio”. Questo perché avere una CVE pubblicata sul National Vulnerability Database degli Stati Uniti D’America è qualcosa che inorridisce per la propria brand e web reputation.
Successivamente quell’azienda, inizia ad ampliare la sua cultura nella cybersecurity e avvia un programma di Responsible Disclosure e inizia a comprendere che con la collaborazione, in questo caso della community hacker, e la divulgazione delle proprie vulnerabilità verso la community, riesce a mettersi più al sicuro che “chiudendosi a riccio”.
Successivamente quell’azienda diventa una CNA (CVE Numbering Authorities, ovvero si mette in condizioni di aprire lei stessa le CVE sui suoi prodotti) e crea una pagina di “hall of fame” per “celebrare i suoi ricercatori” che le hanno fornito informazioni sui bug di sicurezza dei loro prodotti e alla fine attiva un programma di bug bounty per poter “pagare” chi trova le falle sui suoi prodotti.
Molto bene, ma questo è un percorso… un percorso lungo.
Prendendo l’inizio e la fine di questa breve storiella, l’azienda è passata dal “chiudersi a riccio” e quindi non volerne sapere di pubblicare le sue vulnerabilità a “pagare chi possa trovargli dei bug” e quindi divulgarle.
Facendo un paragone, l’Italia oggi è quell’azienda che non vuole rendere pubbliche le proprie vulnerabilità. Infatti l’Italia non ha ancora compreso che solo attraverso la collaborazione e la sensibilizzazione della “comunità” intesa come tutti noi (dal semplice cittadino al progettista di rete, allo sviluppatore, al gestore dei servizi IT e all’utente dei sistemi) si potrà contrastare l’avanzata di un nemico sempre più militarizzato, nascosto, anonimo e oscuro.
Non dovremmo avere paura nel divulgare (completate le indagini del caso e non con tempi biblici) il vettore di attacco che ha compromesso la Regione Lazio, l’ASL RM3, il San Giovanni Addolorata, il comune di Perugia ecc.. ecc.. Anzi dovremmo essere felici di farlo conoscere a tutti e farne tesoro, pubblicando avvisi indirizzati a tutte le aziende pubbliche e private, incentivandole ad effettuare delle analisi per scongiurare che tale minaccia non riemerga.
Queste informazioni sono un enorme patrimonio che se non vengono “divulgate”, non ci fanno progredire, lasciandoci in quella fanghiglia scivolosa dove il cybercrime sguazza, pronto a trarne vantaggio in una lotta “impari” e “ingiusta”, ma che deve essere condotta al meglio da ognuno di noi collaborando efficacemente.
Noi italiani, per nostra cultura, siamo sempre molto bravi a parlare e a pontificare, facciamo conferenze, diffondiamo il verbo dall’alto dei nostri titoli e dei nostri finti altari, ma qua c’è poco da parlare, abbiamo necessità di una infinita “operatività specializzata” che non abbiamo ed è inutile che ci rifuggiamo dietro le belle slide e le presentazioni ad effetto.
Come fai ad ostacolare un avversario altamente specializzato e altamente motivato?
Con la tecnica.
Pertanto occorre fare. Scendere in campo, sporcarci le mani, capire tecnicamente come un black hacker viola i sistemi e configurarli in modo che questi non possano essere violati. Comprendere come un black hacker viola una web application (ma può essere un firmware, un IoT, una App Mobile, ecc…) e scrivere bene il software in modo che quelle falle di un errato sviluppo sicuro, non possano essere sfruttate a suo piacimento.
Occorre svolgere prevenzione, scansioni, penetration test.
Occorre anche saperli fare.
Ma dov’è questo esercito di tecnici specializzati?
Quanti ce ne sono?
Che strategie stiamo adottando per poterli formare?
Queste sarebbero le domande che la politica italiana dovrebbe porsi oggi e trovare delle soluzioni in quanto ostacolare il cybercrime lo si fa solo ponendosi sul suo stesso piano.
Lo si fa con attività di Red Team e di Blue Team e noi in Italia su questo siamo molto “scarsetti” e dobbiamo ancora studiare. Lo si fa iniziando dalle scuole come ha fatto e sta facendo la Cina, sviluppando interesse fin dalla scuola primaria alle materie tecnologiche ed informatiche formando una nuova generazione di hacker pronti ad essere utilizzati qualora risulti necessario, organizzando miriade di CTF all’interno delle università.
Le politiche ce ne sono fin troppe.
Il problema è che non possono essere applicate in quanto siamo carenti di tecnici specializzati. Dovremmo quindi evitare di risolvere il problema con una nuova politica, per poter dire dopo un nuovo incidente “io l’avevo scritto e qualcuno non l’ha fatto”, ma concentrarci a mettere in atto contromisure realmente efficaci.
Massimiliano BrolliCentinaia di milioni di utenti di smartphone hanno dovuto affrontare il blocco dei siti web pornografici e l’obbligo di verifica dell’età. Nel Regno Unito è in vigore la verifica obbligatoria de...
Dalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...
Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...
Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...
Il 9 novembre ha segnato il 21° anniversario di Firefox 1.0. Nel 2004, è stata la prima versione stabile del nuovo browser di Mozilla, che si è subito posizionato come un’alternativa semplice e s...
