cyber security

L’illusione del controllo e la ricerca del punto debole

Vi confido un segreto: nella progettazione e realizzazione di un attacco informatico è fondamentale individuare il “punto debole” perché è da lì che si guadagnerà un accesso a sistemi e informazioni.

Banale? Sì, ma a quanto pare poco chiaro. Sin dai primi confronti sul percorso di analisi della sicurezza di una struttura percepisco chiaramente nei miei interlocutori la certezza del controllo, talvolta con frasi un po’ sconcertanti tipo:

“La password di quel sistema la conosco solo io.”
“Abbiamo il miglior Firewall sul mercato.”
“Le porte USB delle workstation non consentono l’utilizzo di pen-drive.”

Tutte cose sagge e sicuramente vere, ma non si considera che dal punto di vista dell’attacker le password talvolta non servono, i firewall si eludono (o addirittura si by-passano) e non ho ancora visto un sistema bloccare una usb-rubber-ducky (e spesso quando ne parlo l’interlocutore non sa cosa sia).

Comprensibilmente, se abbiamo lavorato bene, riteniamo di aver pensato a tutto o quasi. Diamo per scontato che tutte le porte siano state ben chiuse e di essere ben consapevoli di quali siano i punti deboli della nostra struttura.

Questa è una tipica posizione pericolosa che rischia di mettere seriamente a rischio la vostra infrastruttura. Un attacker ben motivato non si fermerà al deny del firewall ma semplicemente cercherà altre vie. Nella progettazione di un attacco è fondamentale il rapporto costo/beneficio: l’attacker è consapevole che non ha senso accanirsi contro un punto del perimetro ben presidiato e prenderà in considerazione altri punti potenzialmente vulnerabili che non necessariamente saranno dei sistemi informatici.

E’ una consuetudine utilizzare il mezzo informatico per ingannare la vittima al fine di estorcere le informazioni utili, uno dei primi bersagli è infatti l’utente inesperto da utilizzare come “ariete”. E sono sempre gli utenti che portano in rete device di ogni tipo spesso non controllabili dall’amministratore di rete. Per farla breve: il controllo è pura illusione, si può controllare molto ma non tutto.

Per l’attacker questo è un dato di fatto, è l’assunto su cui si costruisce l’attacco, il motivo per il quale il successo di un’intrusione è, sempre più spesso, una questione di tempo. Quindi, visto che la motivazione degli attacker è, stando alle statistiche, per lo più economica (parlerò più avanti del tema di Business che si è sviluppato) diventa importantissimo rendere questo processo efficiente investendo risorse nella ricerca del punto debole (e che ci crediate o meno, c’è sempre) per poi sferrare un attacco specifico e mirato.

Personalmente ho incontrato molte realtà ben strutturate con eccellenti professionisti in campo IT e Security, ma non ho trovato nessuno di invulnerabile.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.