Hacking e "Sicurezza Ufficiale": falsi miti

di Raoul Chiesa. L'azienda insicura ed il povero utente privato alle prese con le relazioni (pericolose) tra hacking e security

Web - In questo ultimo periodo mi è capitato di confrontarmi molto con "esperti del settore". Il settore è quello della Sicurezza Informatica e le persone con le quali ho parlato e discusso le definisco "experts out of the box".

Cosa significa "out of the box"? Con questo termine intendo quel folto gruppo di "security experts" e security companies, spuntate come funghi in questo ultimo anno, per i quali la sicurezza è un qualcosa di teorico, ufficiale, di marca.
Ho sentito "security analyst" dire che la figura dell'hacking etico non esiste (e non può esistere), security engineer dire che un penetration test automatico è meglio di un P.T. svolto "a mano"...non è raro ascoltare i consulenti "non underground" dire frasi delle quali qualunque persona abituata ad avere una visione sicura della vita si pentirebbe subito.

Arriviamo allora al titolo di questa piccola, breve riflessione: le relazioni (pericolose) tra hacking e security.
Hacking, nel senso più puro del termine, significa ricercare i difetti, gli errori. Scoprirli, renderli noti, risolverli.
La Security, nel significato più pratico del termine, significa fare attenzione ai difetti ed agli errori. Scoprirli, renderli noti, risolverli.
Hackers e Security Researcher vivono dunque tra bug, exploits, security advisory, testing, reverse engineering.
I primi hanno dalla loro una fortissima esperienza pratica, oltre che teorica; i secondi "vivono" di teoria, preferiscono non sporcarsi le mani con i prodotti underground ed Open Source e propongono ai propri Clienti la soluzione commerciale - generalmente quella più cara, perché Alto costo = Alta garanzia di serietà dell'Azienda produttrice e del Rivenditore.

Vedo poi aziende arrivare da noi e chiedere aiuto: nonostante le centinaia di milioni di lire spese per la Sicurezza, sono stati violati e chiedono la nostra esperienza diretta sul campo per "proteggersi meglio".

Uno dei servizi che offro tramite la mia azienda è il Security Probe, o Penetration Test che dir si voglia: il cliente ci richiede di violare, con tutti gli strumenti possibili, la propria rete aziendale, sfruttando tutte quelle dimenticanze, errate configurazioni o bug lasciate dai fornitori abituali.

Le tecniche "Hacker", non convenzionali e spesso sconosciute, vanno oltre le classiche metodologie di verifica, e quindi non ci è ancora capitato di "non trovare nulla" o di fallire: superiamo le barriere di difesa ed entriamo regolarmente nell'obiettivo target oggetto del Penetration Test.

Ma cosa succede allora se le insicurezze riscontrate sono colpa del vendor? Se l'azienda richiedente non è stata aggiornata sufficientemente, o se i prodotti individuati non sono all'altezza di quanto promesso? Possiamo dire che l'utenza non esperta è un pochino "presa in giro" dai vendor e dai reseller, i quali altro non sono che dei venditori di scatole dell'I.T. Security?

Secondo il mio parere sì, possiamo affermare quanto sopra. Con una differenza, sottile ma alquanto importante. Un conto è, infatti, creare un falso senso di sicurezza nelle aziende: alto costo di investimento, target ristretto, insicurezza generata in un ambiente ristretto e specifico. Forse un giorno quell'azienda richiederà un Security Probe e capirà come stanno veramente le cose. Ma se l'"insicuro che si crede sicuro" non fosse un'azienda, ma un privato?

Cosa succederebbe se, di colpo, ci comunicassero che il nostro ISP preferito non è sicuro? Che molti dei servizi da noi quotidianamente utilizzati sono intercettabili? Potremmo scoprire quanto è facile effettuare telefonate, nazionali o internazionali, a nostro carico. Oppure potremmo apprendere l'impossibilità di metterci un Web Server in casa, perché l'architettura dell'ISP non lo prevede.

A generare questa riflessione è stata la lettura di un articolo su BFI, un security magazine italiano, di provenienza decisamente underground. Nell'articolo un security researcher vero, al contrario di quelli citati all'inizio di questo scritto, racconta la sua avventura come cliente di un noto ISP a banda larga, Fastweb. Credo molto nella banda larga e nelle nuove prospettive che si stanno aprendo, nei nuovi servizi on-demand ed in tutte queste affascinanti invenzioni; credo però anche che quello di cui ho parlato si applichi, ancor più che ai Vendor ed ai Reseller, agli ISP di nuova generazione.

Ritengo che i carrier e gli ISP abbiano per primi la responsabilità della sicurezza. Se un carrier è insicuro, lo sono tutti i suoi utenti, esattamente come se un'azienda è insicura, lo sono tutti i suoi dipendenti. Il carrier, però, prende dei soldi per il proprio servizio, e deve quindi progettare tale servizio in maniera sicura. Con un concetto "inside the box", e non out.

Se, dopo tutti questi discorsi volutamente appena accennati, volete capire cos'è un'analisi "inside the box" e quanti problemi tecnici possano nascere da una progettazione errata "a monte", vi invito a scaricare l'ultimo numero di BFI e leggere l'articolo "Io Fastweb, e tu?".

Forse vi piacerà leggere l'esperienza di un vero security expert, il quale ha deciso di credere alla pubblicità di un ISP che promette miracoli e rivoluzioni nella nostra vita comune, grazie alla tecnologia, ed apprendere come le medaglie abbiano un rovescio. Sempre.

Raoul Chiesa aka Nobody

Copyright © 2001 Raoul Chiesa (GNU/FDL License)
This article is under the GNU Free Documentation License
Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.
40 Commenti alla Notizia Hacking e "Sicurezza Ufficiale": falsi miti
Ordina
  • la rivista hakin9 sta cercando dei betatester, voui ricevere e leggere i nostri articoli prima di tutti? voui esprimere la tua opinione? sei una persona seria? contattaci: lukaszfr@software.com.pl
    non+autenticato
  • Non posso far altro ke sorridere di fronte alle persone ke pensano veramente ke l'etica Hacker non esista ma ke sopratutto pensano ke il loro personale conoscere sia l'assoluta verità.
    Mi piacerebbe veramente parlare con uno di questi personaggi per constatare quanto sanno della rete e di ki la vive, la prima volta ke io ho navigato nei meandri della rete (se così si poteva definire), è sato nel 1985 a 14anni con un Commodore 64 e un modem ke sembrava una scatola da scarpe in una BBS ke si kiamava LaserNet. Ke ne sanno questi ipocriti laureati del popolo della rete? Nella scuola italiana è normale non essere preparati x il mondo del lavoro e spesso le govani menti freske di scuola, devono scendere di un pò di gradini ed ascoltare ki ha vissuto e vive da anni sui computer, ma purtroppo molti, ma non tutti, non si abbassano, il risultato è ke le persone nel loro conoscere restano ignoranti.
    non+autenticato
  • questo articolo mi sembra un ottima pubblicita'
    per Raoul Chiesa.
    complimenti P.I., complimenti Raoul Chiesa
    potevate scrivere qualcosa di bello, qualcosa di nuovo ...
    non un semplice spot cartaceo

    perche' non si inizia a dire la verita' sul mondo della sicurezza e su tutti i fantomatici "esperti"
    di questo mondo, la cui unica bravura e' quella di non dire in giro cosa scoprono, per farne un uso
    strettamente personale ( ma no cosa penso ! in realta' le cose non vengono pubblicate per paura di lamer/script kiddies !! ) ?

    troppa paura di rimanere indietro con i tempi eh ?


    non+autenticato


  • - Scritto da: samu
    > questo articolo mi sembra un ottima
    > pubblicita'
    > per Raoul Chiesa.
    > complimenti P.I., complimenti Raoul Chiesa
    > potevate scrivere qualcosa di bello,
    > qualcosa di nuovo ...
    > non un semplice spot cartaceo
    >
    > perche' non si inizia a dire la verita' sul
    > mondo della sicurezza e su tutti i
    > fantomatici "esperti"
    > di questo mondo, la cui unica bravura e'
    > quella di non dire in giro cosa scoprono,
    > per farne un uso
    > strettamente personale ( ma no cosa penso !
    > in realta' le cose non vengono pubblicate
    > per paura di lamer/script kiddies !! ) ?
    >
    > troppa paura di rimanere indietro con i
    > tempi eh ?

    Mah ...mi sembra un commento fuori luogo (a parte la pubblicità.. quella è palese... ma in un argomento come qusto sentire il parere di qualcuno che non si sa chi è è come sentire la predica durante la messa...)

    Se proprio c'è un ambiente in cui le cose non vengono pubblicate questo non è certamente quello dela sicurezza. Basta fare un gireto in internet per siti più o meno underground e trovi di tutto: dalla spiegazione delle vulnerabilità trovate l'altroieri al codice di esempio sul come sfruttarle...

    non mi pare proprio ch le cose tiano come descrivi...
    casomai la descrizione che fai dei fantomatici individui da te citati è più azzeccata per indicare gli "pseudo-esperti di sicurezza" di cui parla lui...
    Ovvero: l'installazione di sistemi multimilionari a prova di tutto solo per via del fatto che ti dicono cosa chiudono e non cosa non chiudono.

    'nzomma...
    non+autenticato
  • penso si riferiva al fatto che alcune informazioni (strettamente trecniche le definirei io) sono disponibili sono a gruppi ristretti di persone che hanno dimostrato un certo grado di compressione (sia tecnicamente, che umanamente parlando)...perche si potrebbero verificare dei casini se queste sarebbero di dominio pubblico...
    ;-0))

    > Se proprio c'è un ambiente in cui le cose
    > non vengono pubblicate questo non è
    > certamente quello dela sicurezza.
    ;-0)

    >Basta fare
    > un gireto in internet per siti più o meno
    > underground e trovi di tutto: dalla
    > spiegazione delle vulnerabilità trovate
    > l'altroieri al codice di esempio sul come
    > sfruttarle...
    insomma...di solito passa qualche giorno prima che diventi di pubblico dominio...

    non+autenticato
  • ...fossero, non "sarebbero".
    non+autenticato
  • - Scritto da: samu
    > questo articolo mi sembra un ottima
    > pubblicita'
    > per Raoul Chiesa.
    > complimenti P.I., complimenti Raoul Chiesa
    > potevate scrivere qualcosa di bello,
    > qualcosa di nuovo ...
    > non un semplice spot cartaceo
    >
    > perche' non si inizia a dire la verita' sul
    > mondo della sicurezza e su tutti i
    > fantomatici "esperti"
    > di questo mondo, la cui unica bravura e'
    > quella di non dire in giro cosa scoprono,
    > per farne un uso
    > strettamente personale ( ma no cosa penso !
    > in realta' le cose non vengono pubblicate
    > per paura di lamer/script kiddies !! ) ?
    >
    > troppa paura di rimanere indietro con i
    > tempi eh ?

    Evidentemente non conosci nè il mondo della sicurezza informatica "aziendale" nè il modo di lavorare di raoul.
    1) Mi occupo di pen-test (disclaimer -- non per l'azienda del Sig. Chiesa ) e ti assicuro che tutte le vulnerabilità che utilizzo, o sono già pubblicate sui vari securityfocus, bugtraq, ecc..
    oppure quelle volte che ne scopro di nuove le pubblico su internet, ( naturalmente con l'exploit non perfettamente funzionante per non permettere al primo ragazzino di usarlo, del resto sono tutti bravi a lanciare un nmap o nessus o cybercop, ecc... ma quanti sanno cos'è un Sequence Number o Acknowledgment Number??

    2) Ho sentito parlare dell'azienda di Raoul Chiesa e ti assicuro che da quello che sò il suo fine non è quello di guadagnare soldi bensì di sensibilizzare la gente a una nuova visione dell'informatica

    See yaa
    non+autenticato
  • Io sono un programmatore...se devo fare un programma che calcola la somma di due numeri posso ragionevolmente essere sicuro di scrivere un software esente da bug al 100%, faccio tutte le prove possibili (che in questo caso sono poche) e sono sicuro che il mio software è ok. Peccato che quando uno fa software di migliaglia (o milioni) di righe di codice testare TUTTO in TUTTE le situazioni è semplicemente impossibile, ecco che allora escono i bug. Alcuni problemi di sicurezza non sono BUG ma semplicemente parti di codice non particolarmente sofisticate, che un'utente "malizioso" può sfruttare a suo vantaggio. E' come recintare un'are di 2x2 metri o di 2000x2000Km....ci sarà sempre qualche varco, ma ciò e' una cosa fisiologica e non credo che anche i sostenitori di Unix/Linux possano essere sicuri che Linux è impenetrabile al 100%, ci sarà sembre qualche controllo mancato su un buffer overflow e il gioco è fatto. Mettiamo anche in contro che se si sviluppa in C++ si è spesso portati a trascurare alcuni aspetti proprio a causa del linguaggio stesso, che demanda al programmatore tutta una serie di controlli e verifiche che purtroppo spesso risulta impossibile prendere in considerazione.
    non+autenticato


  • - Scritto da: Pomy
    > Io sono un programmatore...se devo fare un
    > programma che calcola la somma di due numeri
    > posso ragionevolmente essere sicuro di
    > scrivere un software esente da bug al 100%,
    > faccio tutte le prove possibili (che in
    > questo caso sono poche) e sono sicuro che il
    > mio software è ok. Peccato che quando uno fa
    > software di migliaglia (o milioni) di righe
    > di codice testare TUTTO in TUTTE le
    > situazioni è semplicemente impossibile, ecco
    > che allora escono i bug.

    Nessuno che capisca di cosa si sta parlando ed
    e` sano di mente puo' affermare che esiste
    software esente da bug, ma ci sono software che
    vengono progettati sempre tenendo bene a mente la
    sicurezza e altri che invece la sicurezza non
    sanno neanche dove sta di casa.
    Ovviamente benche' entrambi conterranno dei bug i
    problemi di sicurezza dei secondi saranno
    ovviamente molti di piu`, e piu` problematici da
    risolvere dei primi.

    > Alcuni problemi di
    > sicurezza non sono BUG ma semplicemente
    > parti di codice non particolarmente
    > sofisticate, che un'utente "malizioso" può
    > sfruttare a suo vantaggio. E' come recintare
    > un'are di 2x2 metri o di 2000x2000Km....ci
    > sarà sempre qualche varco, ma ciò e' una
    > cosa fisiologica e non credo che anche i
    > sostenitori di Unix/Linux possano essere
    > sicuri che Linux è impenetrabile al 100%, ci
    > sarà sembre qualche controllo mancato su un
    > buffer overflow e il gioco è fatto.

    Hai ragione anche qui, ma vale il discorso
    precedente, quello che avvantaggia software liberi
    come linux, e' che il fix esce in brevissimo e lo
    puoi anche creare tu, oltre che avere la
    possibilita' sempre e comunque di fare un auditing
    del codice per tuo conto (o pagare qualche esperto
    indipendente per farlo).


    > Mettiamo
    > anche in contro che se si sviluppa in C++ si
    > è spesso portati a trascurare alcuni aspetti
    > proprio a causa del linguaggio stesso, che
    > demanda al programmatore tutta una serie di
    > controlli e verifiche che purtroppo spesso
    > risulta impossibile prendere in
    > considerazione.

    Appunto, il software va progettato sempre con la
    sicurezza in mente. E questo indipendentemente
    dal linguaggio utilizzato. Il fatto che alcuni
    linguaggi siano meno vulnerabili a buffer overflow
    non li rende immuni a bug di logica (che dipendono
    solo da chi progetta e implementa il software)
    non+autenticato
  • Salve!
    Io posso solamente dire che..." Un computer sicuro al 100% è un computer spento (off line)!!",e ricordando che è anche merito di molti "Hacker" che facendo quello che fanno contribuiscono alla crescita mondiale della rete, etc...Attenzione a non confondere la parola "Hacker", sappiamo tutti che cos'è e cosa fà un vero hacker..byezSorride
    non+autenticato
  • Salve, non posso far altro ke ribadire quello ke già è stato detto ma vorrei aggiungere ke il computer sicuro è quello ke non haiSorride)
    non+autenticato
  • .... quasi 1 anno a controllare se per caso fosse uscito il nuovo numero di "Butchered from inside", ormai avevo perso la speranza....
    Appena non contollo più... ZAC... mi fanno l'uscita. Vabbè che c'è scritto che è aperiodico però.....
    A parte gli scherzi, colgo l'occasione per fari i complimenti al gruppo che lo pubblica. Me li sono già "sbafati tutti" i precedenti numeri....
    non+autenticato
  • bell'articolo. vorrei leggere anche sto BFI, come faccio? scusate l'ignoranza, ma tar.gz con cosa lo apro e poi leggo?
    grazie per ogni aiuto e ri-scusate per l'ignuranz...

    ciao
    non+autenticato
  • tutti i numeri li trovi presso: http://www.s0ftpj.org/bfi/
    mentre i file tar.gz li puoi aprire con un "winzip" qualunque, e poi il contenuto sono solo file di testo.
    non+autenticato
  • > i file tar.gz li puoi aprire con un
    > "winzip" qualunque

    AFAIK versione 7 o superiore.

    --
    T^
    non+autenticato

  • Comunque, non per fare il pignolo eh, ma se uno non sa nemmeno cosa sono i .tar.gz me lo dite cosa ci fa con bfi ?

    vabbe' .... da qualche parte si dovra' pure iniziare... mi raccomando newbie, non fare casini eh! Sorride

    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)