Hacking e "Sicurezza Ufficiale": falsi miti

Hacking e "Sicurezza Ufficiale": falsi miti

di Raoul Chiesa. L'azienda insicura ed il povero utente privato alle prese con le relazioni (pericolose) tra hacking e security
di Raoul Chiesa. L'azienda insicura ed il povero utente privato alle prese con le relazioni (pericolose) tra hacking e security


Web – In questo ultimo periodo mi è capitato di confrontarmi molto con “esperti del settore”. Il settore è quello della Sicurezza Informatica e le persone con le quali ho parlato e discusso le definisco “experts out of the box”.

Cosa significa “out of the box”? Con questo termine intendo quel folto gruppo di “security experts” e security companies, spuntate come funghi in questo ultimo anno, per i quali la sicurezza è un qualcosa di teorico, ufficiale, di marca.
Ho sentito “security analyst” dire che la figura dell’hacking etico non esiste (e non può esistere), security engineer dire che un penetration test automatico è meglio di un P.T. svolto “a mano”…non è raro ascoltare i consulenti “non underground” dire frasi delle quali qualunque persona abituata ad avere una visione sicura della vita si pentirebbe subito.

Arriviamo allora al titolo di questa piccola, breve riflessione: le relazioni (pericolose) tra hacking e security.

Hacking, nel senso più puro del termine, significa ricercare i difetti, gli errori. Scoprirli, renderli noti, risolverli.
La Security, nel significato più pratico del termine, significa fare attenzione ai difetti ed agli errori. Scoprirli, renderli noti, risolverli.
Hackers e Security Researcher vivono dunque tra bug, exploits, security advisory, testing, reverse engineering.
I primi hanno dalla loro una fortissima esperienza pratica, oltre che teorica; i secondi “vivono” di teoria, preferiscono non sporcarsi le mani con i prodotti underground ed Open Source e propongono ai propri Clienti la soluzione commerciale – generalmente quella più cara, perché Alto costo = Alta garanzia di serietà dell’Azienda produttrice e del Rivenditore.

Vedo poi aziende arrivare da noi e chiedere aiuto: nonostante le centinaia di milioni di lire spese per la Sicurezza, sono stati violati e chiedono la nostra esperienza diretta sul campo per “proteggersi meglio”.

Uno dei servizi che offro tramite la mia azienda è il Security Probe, o Penetration Test che dir si voglia: il cliente ci richiede di violare, con tutti gli strumenti possibili, la propria rete aziendale, sfruttando tutte quelle dimenticanze, errate configurazioni o bug lasciate dai fornitori abituali.

Le tecniche “Hacker”, non convenzionali e spesso sconosciute, vanno oltre le classiche metodologie di verifica, e quindi non ci è ancora capitato di “non trovare nulla” o di fallire: superiamo le barriere di difesa ed entriamo regolarmente nell’obiettivo target oggetto del Penetration Test.

Ma cosa succede allora se le insicurezze riscontrate sono colpa del vendor? Se l’azienda richiedente non è stata aggiornata sufficientemente, o se i prodotti individuati non sono all’altezza di quanto promesso? Possiamo dire che l’utenza non esperta è un pochino “presa in giro” dai vendor e dai reseller, i quali altro non sono che dei venditori di scatole dell’I.T. Security?

Secondo il mio parere sì, possiamo affermare quanto sopra. Con una differenza, sottile ma alquanto importante. Un conto è, infatti, creare un falso senso di sicurezza nelle aziende: alto costo di investimento, target ristretto, insicurezza generata in un ambiente ristretto e specifico. Forse un giorno quell’azienda richiederà un Security Probe e capirà come stanno veramente le cose. Ma se l'”insicuro che si crede sicuro” non fosse un’azienda, ma un privato?

Cosa succederebbe se, di colpo, ci comunicassero che il nostro ISP preferito non è sicuro? Che molti dei servizi da noi quotidianamente utilizzati sono intercettabili? Potremmo scoprire quanto è facile effettuare telefonate, nazionali o internazionali, a nostro carico. Oppure potremmo apprendere l’impossibilità di metterci un Web Server in casa, perché l’architettura dell’ISP non lo prevede.

A generare questa riflessione è stata la lettura di un articolo su BFI, un security magazine italiano, di provenienza decisamente underground. Nell’articolo un security researcher vero, al contrario di quelli citati all’inizio di questo scritto, racconta la sua avventura come cliente di un noto ISP a banda larga, Fastweb. Credo molto nella banda larga e nelle nuove prospettive che si stanno aprendo, nei nuovi servizi on-demand ed in tutte queste affascinanti invenzioni; credo però anche che quello di cui ho parlato si applichi, ancor più che ai Vendor ed ai Reseller, agli ISP di nuova generazione.

Ritengo che i carrier e gli ISP abbiano per primi la responsabilità della sicurezza. Se un carrier è insicuro, lo sono tutti i suoi utenti, esattamente come se un’azienda è insicura, lo sono tutti i suoi dipendenti. Il carrier, però, prende dei soldi per il proprio servizio, e deve quindi progettare tale servizio in maniera sicura. Con un concetto “inside the box”, e non out.

Se, dopo tutti questi discorsi volutamente appena accennati, volete capire cos’è un’analisi “inside the box” e quanti problemi tecnici possano nascere da una progettazione errata “a monte”, vi invito a scaricare l’ultimo numero di BFI e leggere l’articolo “Io Fastweb, e tu?”.

Forse vi piacerà leggere l’esperienza di un vero security expert, il quale ha deciso di credere alla pubblicità di un ISP che promette miracoli e rivoluzioni nella nostra vita comune, grazie alla tecnologia, ed apprendere come le medaglie abbiano un rovescio. Sempre.

Raoul Chiesa aka Nobody

Copyright © 2001 Raoul Chiesa (GNU/FDL License)
This article is under the GNU Free Documentation License
Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
5 ott 2001
Link copiato negli appunti