- Home
- Cybersecurity
- Sicurezza è... imparare a pensare come il nemico (e individuare il nemico giusto)
Sicurezza è... imparare a pensare come il nemico (e individuare il nemico giusto)
| Stefano Zanero | cybersecurity
#CybersecurityCafé
di Stefano Zanero, Politecnico di Milano
Benché il termine sia giunto agli onori della cronaca da poco, l’offensive security è una pratica tutt’altro che nuova, perché ogni difesa è figlia dell’offesa.
Non esiste una teoria completa della difesa in generale, ma solo la capacità di identificare le debolezze e realizzare contromisure appropriate. Praticamente ogni sistema di difesa deriva da un sistema preesistente che è stato provato non sicuro dai fatti: a nessuno sarebbe venuto in mente di costruire castelli con mura, torrioni e fossati se non pensando ai potenziali invasori e ai loro mezzi. Per questo motivo, l’aspetto difensivo ed offensivo dovrebbero essere complementari. Chi costruisce sistemi è più esperto nella parte difensiva, ma deve pur sempre avere un’elevata consapevolezza delle minacce esistenti. Certo, una volta che il sistema è costruito va testato da un esperto, ma non è questo il primo momento in cui introdurre la parte “offensiva”: fare threat modeling già implica pensare ai possibili attacchi e ai loro esiti, anche se a livello di esercizio mentale e non sul campo.
Il motivo per cui oggi parliamo di offensive security più che in passato è che è aumentata la consapevolezza dei rischi, il che è a sua volta merito di noi che seguiamo questo approccio: infatti la offensive security non ci serve solo a identificare nuove categorie di rischi, ma anche a creare consapevolezza in utenti e decisori. Una buona dimostrazione infatti vale più di mille parole per far comprendere cosa può succedere in caso di attacchi.
Un esempio famoso? Nel 2015, i ricercatori Miller e Valasek hanno messo un giornalista di Wired su un’automobile Jeep, e l’hanno poi manomessa da remoto, facendo finire in il malcapitato in un fosso. Che ciò fosse possibile era stato dimostrato almeno 5 anni prima dai ricercatori universitari di San Diego, ma è stato fare la stessa cosa davanti a un giornalista (o, più accuratamente, a un giornalista) a imprimere nella coscienza pubblica l’esistenza e le possibili conseguenze di un simile attacco in un modo che nessun articolo scientifico sarebbe mai stato in grado di suscitare.
Almeno sotto questo aspetto della consapevolezza, quindi, negli ultimi anni abbiamo fatto grandi passi in avanti e oggi è difficile che la sicurezza sia sottovalutata come avveniva anche solo pochi anni fa. Però, se è vero che abbiamo attirato l’attenzione del grande pubblico, abbiamo suscitato più domande che risposte. Questo perché non ci sono risposte preconfezionate per tutto. I suggerimenti standard da dare in campo di sicurezza sono pochi e anche un po’ triti. Insomma più che dire di scegliere con attenzione le password, di non usare sempre la stessa e affidarle a un password manager, e non al vituperato post-it sullo schermo, di generale si può dire davvero poco - un po’ come il classico servizio del TG che tutti gli anni ci ripete i soliti consigli su come difendersi dal caldo.
Stefano Zanero, qui ritratto durante l’intervento alla conferenza GARR 2018, è professore associato presso il DEIB del Politecnico di Milano - da GARR.tv
E quindi cosa può fare l’organizzazione avveduta? Sicuramente avere qualcuno che si occupi di sicurezza all’interno, ma anche far testare i propri sistemi da un esperto di pen-test, meglio non sempre lo stesso. Non tutti quelli che offrono servizi di questo genere sono davvero all’altezza e quindi bisogna scegliere bene, ma non è facile per il cliente valutare la qualità di un professionista del genere (senza aspettare che sia troppo tardi, ovviamente), se non guardando le referenze e i lavori già fatti.
Cosa fare quindi? Scollegare il PC dalla rete e spegnerlo tanto per essere più sicuri? Alcuni colleghi amano dire che la paranoia in questo settore è una virtù, ma è davvero così? In effetti, la paranoia non è una virtù ma una malattia mentale, quindi è difficile che possa aiutare. Avere paura di tutto rischia non solo di farci spendere risorse su problemi che in realtà non ci riguardano, ma anche di disperdere la nostra attenzione e magari distrarci da un rischio reale. È invece importante avere sempre presente da chi e cosa ci stiamo difendendo e capire cosa quell’aggressore è davvero in grado di fare. Dobbiamo in altre parole stabilire dei trust boundary, ovvero dei punti oltre i quali riteniamo di non dovere andare perché, come si dice, il gioco non vale la candela: cioè il rischio è talmente improbabile per la nostra realtà e per il tipo di aggressore con cui abbiamo presumibilmente a che fare che i costi e la complessità necessaria a mitigarlo sono sproporzionati. Insomma, se sei un cittadino qualunque di solito puoi non preoccuparti che i servizi segreti russi ti rapiscano, quindi è ok non mettere in atto tutte quelle misure che servirebbero ad impedirlo (per fortuna!).
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - 08/2019Editoriale
-
ET chiama, la Sardegna rispondecaffè scientifico
-
Dalle miniere un nuovo sguardo sull’Universocaffè scientifico
-
Good vibrationscaffè scientifico
-
Una ricetta per l’innovazioneservizi alla comunità
-
Risorse... spazialiservizi alla comunità
-
Un ecosistema digitale per una sanità sempre più smartla voce della comunità
-
Riconnessionila voce della comunità
-
Automobili connesse? Attenzione agli hackerla voce della comunità
-
FocusCoE: al via progetto per una rete di eccellenza nel supercalcolo in Europala voce della comunità
-
A bologna uno dei primi supercomputer pre-exascalela voce della comunità
-
Antonio Zoccoli nuovo presidente INFNla voce della comunità
-
Innovare la rete per gestire la complessitàosservatorio della rete
-
Sperimentare e cooperare per crescere in Italia e in Europaosservatorio della rete
-
Rete a prova di futuroosservatorio della rete
-
Come divento tecybersecurity
-
Sicurezza è... imparare a pensare come il nemico (e individuare il nemico giusto)cybersecurity
-
Cos’è un data breach? Cosa possiamo fare per prevenirlo?cybersecurity
-
5G: per le reti di campus è ora di ripensare la sicurezza (e non solo)cybersecurity
-
La piattaforma cloud GARR evolvela nuvola della ricerca e istruzione
-
EOSC: il coordinamento fa la forzala nuvola della ricerca e istruzione
-
AARC: collaboration made easy!internazionale
-
Bem-vimdo MoRENet!internazionale
-
Verso Horizon Europe: fine del 1° tempointernazionale
-
Immersi nella reteieri, oggi, domani
-
GARR Workshop 2019 - Net Makersagenda
-
Fiera Didacta Italia 2019agenda
-
Maker Faire Romaagenda
-
Festival della Tecnologia, 2019agenda
-
Hack the Cloud 2019agenda
Articoli nella rubrica
-
di Francesco Palmieri
-
di Simona Venuti
-
di Alessandro Sinibaldi
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009