#CybersecurityCafé

di Stefano Zanero, Politecnico di Milano

Benché il termine sia giunto agli onori della cronaca da poco, l’offensive security è una pratica tutt’altro che nuova, perché ogni difesa è figlia dell’offesa.

Non esiste una teoria completa della difesa in generale, ma solo la capacità di identificare le debolezze e realizzare contromisure appropriate. Praticamente ogni sistema di difesa deriva da un sistema preesistente che è stato provato non sicuro dai fatti: a nessuno sarebbe venuto in mente di costruire castelli con mura, torrioni e fossati se non pensando ai potenziali invasori e ai loro mezzi. Per questo motivo, l’aspetto difensivo ed offensivo dovrebbero essere complementari. Chi costruisce sistemi è più esperto nella parte difensiva, ma deve pur sempre avere un’elevata consapevolezza delle minacce esistenti. Certo, una volta che il sistema è costruito va testato da un esperto, ma non è questo il primo momento in cui introdurre la parte “offensiva”: fare threat modeling già implica pensare ai possibili attacchi e ai loro esiti, anche se a livello di esercizio mentale e non sul campo.
Il motivo per cui oggi parliamo di offensive security più che in passato è che è aumentata la consapevolezza dei rischi, il che è a sua volta merito di noi che seguiamo questo approccio: infatti la offensive security non ci serve solo a identificare nuove categorie di rischi, ma anche a creare consapevolezza in utenti e decisori. Una buona dimostrazione infatti vale più di mille parole per far comprendere cosa può succedere in caso di attacchi.
Un esempio famoso? Nel 2015, i ricercatori Miller e Valasek hanno messo un giornalista di Wired su un’automobile Jeep, e l’hanno poi manomessa da remoto, facendo finire in il malcapitato in un fosso. Che ciò fosse possibile era stato dimostrato almeno 5 anni prima dai ricercatori universitari di San Diego, ma è stato fare la stessa cosa davanti a un giornalista (o, più accuratamente, a un giornalista) a imprimere nella coscienza pubblica l’esistenza e le possibili conseguenze di un simile attacco in un modo che nessun articolo scientifico sarebbe mai stato in grado di suscitare.

Almeno sotto questo aspetto della consapevolezza, quindi, negli ultimi anni abbiamo fatto grandi passi in avanti e oggi è difficile che la sicurezza sia sottovalutata come avveniva anche solo pochi anni fa. Però, se è vero che abbiamo attirato l’attenzione del grande pubblico, abbiamo suscitato più domande che risposte. Questo perché non ci sono risposte preconfezionate per tutto. I suggerimenti standard da dare in campo di sicurezza sono pochi e anche un po’ triti. Insomma più che dire di scegliere con attenzione le password, di non usare sempre la stessa e affidarle a un password manager, e non al vituperato post-it sullo schermo, di generale si può dire davvero poco - un po’ come il classico servizio del TG che tutti gli anni ci ripete i soliti consigli su come difendersi dal caldo.

E quindi cosa può fare l’organizzazione avveduta? Sicuramente avere qualcuno che si occupi di sicurezza all’interno, ma anche far testare i propri sistemi da un esperto di pen-test, meglio non sempre lo stesso. Non tutti quelli che offrono servizi di questo genere sono davvero all’altezza e quindi bisogna scegliere bene, ma non è facile per il cliente valutare la qualità di un professionista del genere (senza aspettare che sia troppo tardi, ovviamente), se non guardando le referenze e i lavori già fatti.

Cosa fare quindi? Scollegare il PC dalla rete e spegnerlo tanto per essere più sicuri? Alcuni colleghi amano dire che la paranoia in questo settore è una virtù, ma è davvero così? In effetti, la paranoia non è una virtù ma una malattia mentale, quindi è difficile che possa aiutare. Avere paura di tutto rischia non solo di farci spendere risorse su problemi che in realtà non ci riguardano, ma anche di disperdere la nostra attenzione e magari distrarci da un rischio reale. È invece importante avere sempre presente da chi e cosa ci stiamo difendendo e capire cosa quell’aggressore è davvero in grado di fare. Dobbiamo in altre parole stabilire dei trust boundary, ovvero dei punti oltre i quali riteniamo di non dovere andare perché, come si dice, il gioco non vale la candela: cioè il rischio è talmente improbabile per la nostra realtà e per il tipo di aggressore con cui abbiamo presumibilmente a che fare che i costi e la complessità necessaria a mitigarlo sono sproporzionati. Insomma, se sei un cittadino qualunque di solito puoi non preoccuparti che i servizi segreti russi ti rapiscano, quindi è ok non mettere in atto tutte quelle misure che servirebbero ad impedirlo (per fortuna!).