C’era una volta….
Era un pomeriggio molto freddo a San Diego. Il freddo e il vento avevano sorpreso la città il giorno della vigilia di Natale. Ma qualcuno aveva scelto proprio quel giorno per tendere la sua speciale trappola. Era il 24 dicembre del 1994. Si, ok, forse non pioveva. E si, va bene, non era nemmeno così freddo. Ma quel giorno fu memorabile per tutti gli informatici e smanettoni del mondo. Quel giorno fu condotto il primo attacco IP-Spoofing (che permette di rendere non rintracciabile il computer da cui si sta lavorando) della storia. A prepararlo sfruttando la “vulnerabilità natalizia” fu Kevin Mitnick. Il Condor, così era chiamato il più grande hacker della storia ai tempi, riuscì a penetrare il computer di Tsutomu Shimomura, un ricercatore del Supercomputer Center di San Diego.
Quell’attacco fu sorprendente per la scelta del target e per la genialità della tecnica usata. La vittima era uno specialista di sicurezza informatica, alcuni dicono che fosse lui stesso un hacker, ad ogni modo Shimomura riuscì a scoprire i dettagli dell’attacco e a gennaio seguente spiegò in una conferenza stampa la tecnica usata. A seguito di quella conferenza la maggior parte degli amministratori di sistemi di tutto il mondo rimasero in allerta per un lungo periodo, avendo paura di subire un attacco simile.
Il tempo è denaro. Ne siamo sicuri?
Vi chiederete per quale motivo vi stia raccontando questa storia. Per il suo aspetto romantico che rende l’argomento più avvincente? In parte, ma soprattutto perchè nasconde alcuni spunti interessanti. Ci dà, ad esempio, l’opportunità di chiarire cosa si intende, in questo contesto, per intrusione, ovvero la capacità di un hacker di penetrare un sistema usando tecniche che variano a seconda del target e che, molto spesso, sono talmente innovative e complesse che è difficile prevederne l’attuazione. Ma ci permette anche di capire quando l’intrusione di un sistema informatico sia una questione di tempo oltre che di capacità. L’attacco di Mitnick, infatti, è stato pianificato in mesi di studi, consigli da super esperti di protocolli, analisi e prove. Non è nato sfruttando una vulnerabilità nota, ma piuttosto una esistente non ancora scoperta. Certo molto è dipeso dalle capacità personali del Condor, ma il suo target era uno dei più controllati che si potessero scegliere in quel periodo.
Se persino Shimomura nulla potè contro l’ingegno di Mitnick, una volta più bisogna riflettere attentamente su cosa voglia dire “difendersi” dagli attacchi. Anche superando il più complesso dei penetration test, verificando tutte le vulnerabilità note, non possiamo essere sicuri delle nostre difese aziendali. Ed è per questo che, solo dando il tempo necessario agli analisti per scoprire le profondità delle falle presenti in azienda e applicando correttamente tutti i dogmi delle varie metodologie utili a tali attività, si può raggiungere un livello di protezione sicuramente maggiore rispetto alla media. La scelta del tempo da dedicare a tali attività di analisi è una questione di budget o del livello di importanza, non sempre massima, che si attribuisce a taluni argomenti “tecnici” nelle aziende italiane? O dipende forse dal tipo di azienda su cui vengono eseguiti i test? Quale che sia la riposta, resta una certezza: molte compagnie che hanno come asset infrastrutture critiche dovrebbero guardarsi bene nel limitarsi su queste verifiche.
Automatismo vs manualità
In molti casi durante un penetration test si evidenziano alcune lacune sul patching dei sistemi, sull’uso di sistemi obsoleti, su disattenzioni o su scarsa cultura della sicurezza in genere. Ma se molte delle vulnerabilità trovate sono “utilizzabili”, altre possono non esserlo.
Il largo uso di software automatici e un approccio diretto alla rete del cliente è spesso figlio, ancora una volta, del poco tempo a disposizione e rende quantomeno meccanica l’attività. Si confondono, e si vendono, penetration test al posto di vulnerability assessment, che hanno il solo scopo di verificare le vulnerabilità esistenti ma non necessariamente di mettere alla prova davvero i sistemi, “violandoli”. E’ certamente vero che un software può velocizzare l’analisi su grandi numeri, ma quello che fa davvero la differenza, e il caso Condor ce lo ricorda, in un penetration test è l’analista. A supporto di questa idea troviamo un’indicazione sul documento ufficiale della metodologia OSSTMM (Open Source Security Testing Methodology Manual). Di seguito descrive una tipologia di test indicato come Double Blind e più noto come Black Box:
“The Analyst engages the target with no prior knowledge of its defenses, assets, or
channels. The target is not notified in advance of the scope of the audit, the
channels tested, or the test vectors. A double blind audit tests the skills of the Analyst
and the preparedness of the target to unknown variables of agitation. The breadth
and depth of any blind audit can only be as vast as the Analyst’s applicable
knowledge and efficiency allows. This is also known as a Black Box test or Penetration test.”
Bocciati o promossi?
Quale strada per le imprese? Vale sempre il monito del non lesinare sui penetration test e, allo stesso tempo, del mettere in atto strategie di vigilanza attiva, invece che accontentarsi di test statici. Se si pensasse ad una vigilanza attiva che metta sotto stress l’IT dell’azienda, non per farle un esame, ma con il compito di tenere alta l’attenzione senza per questo limitarne la produttività? E se si riproducessero di più azioni portate da hacker, rivedendo insieme all’IT le tracce lasciate dall’attività allo scopo di creare un team che sappia rispondere in tempo reale alle minacce? E ancora: se si cambiasse il nome stesso dell’attività da test, che rievoca il concetto di esame, di verifica con voto finale, in analisi proattiva di difesa? A nostro parere è questa la vera strada che porta alla prevenzione dei problemi e non solo all’azione di emergenza per imitare la portata dei danni arrecati alle imprese.
Forse nessuna azienda avrà il “piacere” di avere a che fare con personaggi come quello del Condor che sono molto più veri e reali di quanto si pensi, ma è comunque sempre poco saggio sottovalutare il proprio nemico. Non dobbiamo dimenticare che la cosa più pericolosa degli hacker, oltre alla loro grande capacità, è sicuramente la motivazione. Vi lascio con una frase proprio del protagonista di questo post, Kevin Mitnick, tratta dal suo libro l’arte dell’inganno: “Nonostante il mito di Kevin Mitnick creato dalla stampa, io non sono un hacker malintenzionato” .
Facebook Comments