GARR News - n.20 - estate 2019
GARR News è il magazine semestrale che racconta le novità sulla rete dell'istruzione e della ricerca
GARR News è il magazine semestrale che racconta le novità sulla rete dell'istruzione e della ricerca
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Cybersecurity café<br />
Sicurezza è...<br />
imparare a pensare come il nemico<br />
(e individuare il nemico giusto)<br />
di Stefano Zanero, Politecnico di Milano]<br />
Benché il termine sia giunto agli onori della cronaca da<br />
poco, l’offensive security è una pratica tutt’altro che nuova,<br />
perché ogni difesa è figlia dell’offesa. Non esiste una<br />
teoria completa della difesa in generale, ma solo la capacità<br />
di identificare le debolezze e realizzare contromisure<br />
appropriate. Praticamente ogni sistema di difesa<br />
deriva da un sistema preesistente che è stato<br />
provato non sicuro dai fatti: a nessuno sarebbe<br />
venuto in mente di costruire castelli con mura,<br />
torrioni e fossati se non pensando ai potenziali<br />
invasori e ai loro mezzi. Per questo motivo, l’aspetto<br />
difensivo ed offensivo dovrebbero essere complementari.<br />
Chi costruisce sistemi è più esperto nella parte difensiva,<br />
ma deve pur sempre avere un’elevata consapevolezza<br />
delle minacce esistenti. Certo, una volta che il sistema è<br />
costruito va testato da un esperto, ma non è questo il primo<br />
momento in cui introdurre la parte “offensiva”: fare<br />
threat modeling già implica pensare ai possibili attacchi<br />
e ai loro esiti, anche se a livello di esercizio mentale e non<br />
sul campo.<br />
Il motivo per cui oggi parliamo di offensive security<br />
più che in passato è che è aumentata la consapevolezza<br />
dei rischi, il che è a sua volta merito di noi che seguiamo<br />
questo approccio: infatti la offensive security non ci serve<br />
solo a identificare nuove categorie di rischi, ma anche a<br />
creare consapevolezza in utenti e decisori. Una buona dimostrazione<br />
infatti vale più di mille parole per far comprendere<br />
cosa può succedere in caso di attacchi.<br />
Un esempio famoso? Nel 2015, i ricercatori Miller<br />
e Valasek hanno messo un giornalista di Wired su<br />
un’automobile Jeep, e l’hanno poi manomessa da remoto,<br />
facendo finire in il malcapitato in un fosso<br />
(www.wired.com/2015/07/hackers-remotely-kill-jeep-highway).<br />
Che ciò fosse possibile era stato dimostrato<br />
almeno 5 anni prima dai ricercatori universitari di San<br />
Diego, ma è stato fare la stessa cosa davanti a<br />
un giornalista (o, più accuratamente, a un giornalista)<br />
a imprimere nella coscienza pubblica<br />
l’esistenza e le possibili conseguenze di un simile<br />
attacco in un modo che nessun articolo scientifico<br />
sarebbe mai stato in grado di suscitare.<br />
Almeno sotto questo aspetto della consapevolezza,<br />
quindi, negli ultimi anni abbiamo fatto grandi passi in<br />
avanti e oggi è difficile che la sicurezza sia sottovalutata<br />
come avveniva anche solo pochi anni fa. Però, se è vero<br />
che abbiamo attirato l’attenzione del grande pubblico,<br />
abbiamo suscitato più domande che risposte. Questo perché<br />
non ci sono risposte preconfezionate per tutto. I<br />
suggerimenti standard da dare in campo di sicurezza sono<br />
pochi e anche un po’ triti. Insomma più che dire di scegliere<br />
con attenzione le password, di non usare sempre la<br />
stessa e affidarle a un password manager, e non al vituperato<br />
post-it sullo schermo, di generale si può dire davvero<br />
poco - un po’ come il classico servizio del TG che tutti gli<br />
anni ci ripete i soliti consigli su come difendersi dal caldo.<br />
E quindi cosa può fare l’organizzazione avveduta? Sicuramente<br />
avere qualcuno che si occupi di sicurezza all’interno,<br />
ma anche far testare i propri sistemi da un esperto di<br />
pen-test, meglio non sempre lo stesso. Non tutti quelli<br />
che offrono servizi di questo genere sono davvero all’altezza<br />
e quindi bisogna scegliere bene, ma non è facile per<br />
il cliente valutare la qualità di un professionista del genere<br />
(senza aspettare che sia troppo tardi, ovviamente), se<br />
non guardando le referenze e i lavori già fatti.<br />
Cosa fare quindi? Scollegare il PC dalla rete e spegnerlo<br />
tanto per essere più sicuri? Alcuni colleghi amano<br />
dire che la paranoia in questo settore è una<br />
virtù, ma è davvero così? In effetti, la paranoia<br />
non è una virtù ma una malattia mentale,<br />
quindi è difficile che possa aiutare. Avere paura di tutto<br />
rischia non solo di farci spendere risorse su problemi che<br />
in realtà non ci riguardano, ma anche di disperdere la nostra<br />
attenzione e magari distrarci da un rischio reale. È<br />
invece importante avere sempre presente da chi e cosa ci<br />
stiamo difendendo e capire cosa quell’aggressore è davvero<br />
in grado di fare. Dobbiamo in altre parole stabilire<br />
dei trust boundary, ovvero dei punti oltre i quali riteniamo<br />
di non dovere andare perché, come si dice, il gioco non<br />
28<br />
<strong>GARR</strong><br />
NEWS<br />
Stefano Zanero, qui ritratto durante<br />
l’intervento alla conferenza <strong>GARR</strong> 2018,<br />
è professore associato presso il DEIB<br />
del Politecnico di Milano.<br />
W www.garr.tv