Luca Carettoni (@_ikki su Twitter) è un ricercatore nel settore della sicurezza informatica con oltre 10 anni di esperienza professionale nel campo della sicurezza delle applicazioni, la ricerca delle vulnerabilità, analisi del codice sorgente, penetration test e metodo analisi black box. Negli ultimi anni ha scoperto numerose vulnerabilità in prodotti software di vari fornitori, tra cui 3Com, Apple, Barracuda, Cisco, Citrix, HP, IBM, Oracle, Sun, Siemens, VMware, Zend e molti altri. Ha presentato i propri risultati di ricerca nel corso di diverse conferenze internazionali sul tema della sicurezza informatica tra cui ad esempio Black Hat Briefings, OWASP AppSec, CONFidence, DeepSec, ISSE and others. Nel 2009 è stato co-autore di una ricerca sul HPP (HTTP Parameter Pollution) che ha raggiunto il secondo posto nella Top Ten delle “Tecniche Web Hacking”. Ha pubblicato inoltre diversi articoli e pubblicazioni sulla sicurezza informatica tra cui “Studying Bluetooth Malware Propagation: The BlueBag Project” pubblicato da IEEE Sicurezza Privacy; vari capitoli di “OWASP Testing Guide” version 2.0 and 3.0, “Going around with Bluetooth in full safety” (Secure Network, F-Secure) la prima indagine italiana sui dispositivi Bluetooth; “Burp Suite Starter” edito da Packt Publishing (ISBN 1849695180).E’ un membro molto attivo all’interno della community di application security e fa parte dell’Open Web Application Security Project (OWASP).
Luca come ti sei avvicinato all’open source?
Pur avendo iniziato ad usare un computer (il mitico Commodore 64) molto presto, ho conosciuto il mondo Open Source solo durante gli studi al Politecnico di Milano. Con l’aiuto di qualche amico, ho iniziato a fare i primi passi nel mondo Linux durante alcuni corsi dell’università. Ricordo ancora perfettamente l’emozione che ho provato quando abbiamo installato Gentoo per la prima volta, e fatto comunicare due computer tra di loro. Da quel momento non mi sono più fermato. Negli anni successivi ho contributo ad alcuni progetti online, ho svolto volontariato presso il LinuxVar (Linux User Group della provincia di Varese) e aiutato nella creazione del LIFO (Laboratorio di Informatica Free and Open). Dal mondo OpenSource a quello della sicurezza il passo è stato breve.
Quale l’ingrediente principale della tua attività lavorativa?
Passione. Avere voglia di imparare, sempre e comunque! Nel mondo della sicurezza, ogni giorno ci sono nuovi attacchi e tecniche da imparare. Bisogna aggiornarsi, sperimentare e pensare “outside the box” (fuori dagli schemi, ndr).
A dispetto degli stereotipi cinematografici, trovare vulnerabilità in software commerciali e penetrare sistemi è un lavoro tedioso, che richiede molta pazienza. La passione e la curiosità servono a mantenere l’interesse quando si deve esplorare un sistema per molte ore o analizzare in dettaglio varie centinaia di linee di codice.
Esistono a tuo avviso alcuni miti da sfatare o meglio criticità da evidenziare per il settore sicurezza? Quali sono le maggiori problematiche legate all’application security? Secondo la tua esperienza esistono differenze di approccio in base al mercato geografico di riferimento?
I rischi principali a cui siamo esposti non derivano esclusivamente da problematiche tecniche, ma da uno strano connubio di tecnologia e interazione con i computer.
Anche quando esistono soluzioni tecnologiche per prevenire o bloccare attacchi, spesso queste contromisure non sono usate per questioni di usabilità e costi oppure vengono completamente ignorate dall’utente. Nei prossimi anni, la sfida non è quella di studiare nuovi attacchi, ma di creare protezioni che siano attive di “default” e risultino naturali per l’utente. Dobbiamo fare in modo che la sicurezza delle applicazioni e dei dispositivi sia trasparente.
Per fare un esempio concreto, posso citare la classica icona del lucchetto HTTPS nei browser. Da anni abbiamo una tecnologia che è ritenuta efficace dagli esperti, ma la cui diffusione è stata ostacolata dai costi e dalla complessità di installazione per siti di grande dimensioni. Abbiamo confuso gli utenti con messaggi di errore troppo tecnici e preteso che fossero loro a prendere la decisione giusta. La buona notizia è che le cose stanno cambiando.
Sebbene ci siano mercati che sono decisamente più evoluti, e che hanno una maggiore consapevolezza dei rischi legati al cybercrime, il rischio è globale e interessa e coinvolge al tempo stesso aziende e individui.
Quali sono a tuo avviso i maggiori rischi connessi alla sicurezza informatica a cui sia le aziende sia gli individui devono prestare particolare attenzione oggi?
Per le aziende i rischi principali sono dovuti alla scarsa attenzione a pratiche basilari di sicurezza informatica nei sistemi in produzione e nell’infrastruttura IT. Troppo spesso gli attacchi informatici sono il risultato di software vecchi e non aggiornati, oppure configurati in maniera non idonea. Phishing e attacchi basati su tecniche di social engineering sono generalmente il meccanismo principale per penetrare nella rete informatica delle aziende. Infine, ci affidiamo sempre di più a soluzioni cloud che promettono di risolvere i nostri problemi IT, ma che di fatto cambiano il concetto di rete interna e sicurezza dei dati.
Per gli individui, i rischi maggiori sono legati a frodi informatiche e malware. Le tematiche di sicurezza e privacy su Internet sono spesso dimenticate, particolarmente nel contesto dei social network. Su Internet, c’è una generale tendenza ad esporsi più di quanto faremmo nella vita reale.
Sicurezza e social: quali i rischi connessi e quali consapevolezze e conoscenze a tuo avviso andrebbero sviluppate e approfondite?
Dobbiamo educare le nuove generazioni a considerare le attività online come una naturale estensione della vita reale, con conseguenze pratiche nella vita di tutti i giorni. Per esempio, un furto di identità o l’accesso non autorizzato alla casella email è generalmente vissuto come una violazione dello spazio personale, e in alcuni casi provoca un vero e proprio trauma nella vittime.
Affidiamo ai vari servizi online più “segreti” di quanto siamo pronti ad ammettere, senza renderci conto che non “esiste” alcuna identità virtuale. Il contenuto della casella email, le foto su Instagram, i vari commenti su Facebook, gli acquisti su Amazon caratterizzano chi siamo e come ci comportiamo. Oserei dire che è più facile capire i gusti e gli interessi di una persona guardando la cronologia del browser, piuttosto che parlandoci.
Per questa ragione, quando facciamo scelte nel mondo online, dobbiamo applicare le stesse logiche di comportamento che useremmo nella vita reale. Per esempio, durante la registrazione di un account, è buona norma utilizzare delle password relativamente difficili da indovinare ed evitare il riuso di credenziali su siti differenti. Così come non lasceremmo la chiave di casa davanti alla porta, è altrettanto importante considerare le credenziali di accesso ai servizi web come un elemento critico della nostra sicurezza online.
Secondo la tua esperienza, quali sono i punti di forza e di debolezza delle soluzioni open source per la sicurezza? Quali sono le maggiori vulnerabilità a cui sono sottoposti i software proprietari e quelli open?
L’accesso al codice sorgente e la possibilità di modificare il software rappresenta un elemento fondamentale di libertà. Nel settore della sicurezza informatica, questa libertà si traduce nella possibilità concreta di migliorare il software e ridurre il numero di vulnerabilità.
“Dato un numero sufficiente di occhi, tutti i bug vengono a galla” commentava Raymond nel suo famoso aforisma. In pratica però questo non sempre accade. Nonostante la natura collaborativa e trasparente del software Open Source, ci sono ancora troppe applicazioni che non sono state sufficientemente studiate dal punto di vista della sicurezza. Questi software sono spesso alla base di complessi sistemi che milioni di aziende e privati utilizzano quotidianamente, e a cui affidiamo i nostri dati più riservati. Heartbleed, la famosa vulnerabilità scoperta nel 2014 nella libreria OpenSSL e alla base di numerosi meccanismi di sicurezza, è un esempio eclatante di come una falla critica in un software praticamente onnipresente possa rimanere nascosta per diversi anni.
Indipendentemente dalle filosofie di sviluppo, la sicurezza di un’applicazione software deriva principalmente dalla maturità del ciclo di sviluppo del software e dall’attenzione riposta nello scoprire falle informatiche. Ci sono comunità Open Source che possono essere considerate come l’eccellenza in quanto a software security, mentre aziende ben finanziate che non considerano la sicurezza come un elemento importante dei loro prodotti. Spesso è vero anche il contrario. Ci sono tanti progetti open con scarse risorse o completamente abbandonati a se stessi.
Se è quindi vero che non esiste un vincitore assoluto tra software proprietario e codice aperto, non dobbiamo scordare che in quest’ultimo caso possiamo migliorare il prodotto. Nel caso di software chiusi, ci dobbiamo semplicemente affidare ad altri.
Come Mikko Hypponen ha ricordato in un recente TED talk “[…] Costruendo insieme sistemi aperti, trasparenti e sicuri possiamo promuovere l’innovazione e contribuire alla creazione di software che sia resistente alle moderne minacce di sicurezza e privacy”.
Parlando di software proprietari e open, cosa ne pensi del confronto tra Microsoft Office e LibreOffice rispetto al tema della sicurezza informatica?
Sviluppare una soluzione versatile come Microsoft Office o LibreOffice, e nel contempo garantire la sicurezza applicativa per l’utente, è decisamente una sfida ingegneristica. Stiamo parlando di applicazioni software molto complesse, con diversi milioni di linee di codice e il supporto per numerosi formati.
Pur considerando che la sicurezza di Microsoft Office è decisamente migliorata negli ultimi anni, non è raro vedere aggiornamenti contenenti patch per diverse decine di vulnerabilità. Solo nell’ultimo Microsoft Security Bulletin di febbraio ci sono almeno sei vulnerabilità considerate critiche visto che permettono l’esecuzione di codice semplicemente aprendo un documento. Il numero di vulnerabilità scoperte su LibreOffice è decisamente inferiore. Nell’intero 2015, ci sono stati aggiornamenti di sicurezza per solo cinque vulnerabilità.
La verità è che questi numeri non tengono conto di alcuni fattori estremamente importanti: la popolarità del software e l’interesse commerciale per queste vulnerabilità.
Microsoft Office è ancora lo “standard” de-facto per l’editing e la condivisione di documenti. Una singola vulnerabilità che può essere sfruttata da remoto, semplicemente convincendo l’utente ad aprire un documento, è comparabile alla chiave di accesso per milioni di computer. Per intenderci, questo genere di falle sono valutate intorno ai 60mila dollari sul mercato nero. Il valore di una vulnerabilità simile per LibreOffice è invece di un ordine di grandezza inferiore.
La differenza nel valore commerciale riflette in qualche modo l’interesse della comunità di esperti di sicurezza nel ricercare e bloccare attacchi in questi due software. Con l’incrementale adozione di LibreOffice e il più esteso interesse generale, sono sicuro che nei prossimi anni osserveremo un proporzionale aumento del numero di vulnerabilità scoperte. Sarà in questa fase che potremmo veramente comparare le due soluzioni dal punto di vista della sicurezza. La comunità LibreOffice ha già dimostrato di considerare la qualità del codice come un elemento distintivo del progetto, e ha quindi tutti gli ingredienti per poter creare una office suite versatile e sicura.
Facebook Comments