Raoul “Nobody” Chiesa classe ‘73, pioniere degli hacker italiani, dal 1997 esperto nazionale ed internazionale di sicurezza, oggi Presidente di Security Brokers, si occupa professionalmente di cyber crime e di sicurezza informatica ad alto livello, collaborando in progetti nazionali ed internazionali. Dal 2002 è membro del Comitato Direttivo dell’ISECOM e del Board dell’OWASP Italian Chapter. Advisor presso ITU (International Telecommunication Union) le Nazioni Unite (UNICRI) e per 5 anni presso l’Agenzia Europea per la Sicurezza delle Informazioni e delle Reti (ENISA).
A colloquio con lui abbiamo parlato di metodologie per l’esecuzione di verifiche di sicurezza, come la open source OSSTMM, e della necessità per le aziende (spesso non valutata adeguatamente) di investire in sicurezza delle informazioni.
Esistono nel settore sicurezza standard elaborati in modalità Open Source?
Nel gennaio del 2001 l’associazione no-profit ISECOM ha realizzato l’Open Source Security Testing Methodology Manual (OSSTMM), che nel corso degli anni è divenuto uno standard internazionale di riferimento per l’esecuzione di verifiche di sicurezza di qualunque livello. Dal gennaio del 2001 l’OSSTMM è stato scaricato milioni di volte, in tutte le sue differenti versioni. E’ utilizzato da organizzazioni di tutte le dimensioni, ed operanti in tutte le categorie di mercato, dallo U.S. Treasury Department sino alla Marina militare dell’India. In realtà, c’è una storia dietro l’OSSTMM, devo dire persino romantica, oltre che appassionante. Pete Herzog, il fondatore di ISECOM, nella metà degli anni ’90 dopo un’esperienza all’IBM Europe, nella divisione che sarebbe poi diventata la ISS X Force, era rimasto a lavorare in Germania sempre nel settore della sicurezza. Proprio in quel periodo della sua vita incontrò una ragazza di nome Marta, e dopo qualche mese si sposarono. Una sera, parlando della metodologia per i Test di Sicurezza che entrambi stavano sviluppando, i due compresero un aspetto decisivo ed importante: quella metodologia non doveva diventare un qualcosa di “proprietario”, ma anzi, doveva essere un know-how di tutti, per il bene della comunità internazionale di Information Security, delle aziende e dei cittadini. Pete e Marta, non certo senza pochi dubbi e con ancor meno certezze per il loro futuro, Marta all’epoca era incinta e Pete aveva perso il lavoro, decisero di trasferirsi a Barcellona, dove ancora oggi ISECOM ha il proprio quartier generale (oltre New York). Se andate sul sito dell’ISECOM e cercate i membri del Core Team troverete Marta Barcelò, e nelle varie foto utilizzate per alcuni dei progetti ISECOM dedicati ai bambini (come ad esempio Bad People Project), scorgerete le loro figlie.
Per dovere di cronaca e precisione, prima di ISECOM, la no-profit fondata da Pete e Marta si chiamava Idea Hamster, il “martello delle idee”, e fu proprio allora che il sottoscritto conobbe ed incontrò Pete Herzog. La mia prima impressione? “Ho davanti un genio, un visionario: sono fortunato, e lo seguirò in capo al mondo”. Devo dire che, dopo oltre quindici anni, quella mia prima impressione non è cambiata di una virgola, anzi: Pete è una delle persone più belle, limpide e competenti che io abbia mai conosciuto.
Quali sono i tipi di aziende che utilizzano questa metodologia e in quali settori?
La parte più bella dell’OSSTMM è la trasparenza: what you see is what you get, come ama ripetere Pete Herzog. La parte peggiore è che dimostra come la maggior parte dei test di sicurezza oggi eseguiti siano “poveri”, proprio nel senso di povertà nella qualità dell’esecuzione. Quando un’azienda o un ente pubblico si affida a quelle realtà che sanno fare veramente i Penetration Test (Pentest), i risultati sono il più delle volte scioccanti. Ed allora, sono proprio i clienti a chiedere se i componenti della squadra che conduce i test (Red Team) siano dei supereroi. La risposta è semplice, seppur triste da dare: team di esperti possono fare test che portano a risultati importanti, ma per fare questo non basta un Vulnerability Scanning, un qualcosa di automatizzato, dove l’aspetto umano, l’esperienza decennale del Red Team non sia nemmeno contemplata. Credo sinceramente che il Pentest sia uno di quei pochi servizi nei quali il risparmio non dovrebbe proprio rientrare tra i pensieri di chi lo commissiona. Assegnare un Penetration Test significa dare le chiavi della propria azienda al team che lo esegue: si acquista trust, nel senso di fiducia. La professionalità e l’esperienza del team erogante devono essere messi al primo posto, la logica del risparmio e del ribasso non hanno davvero senso di esistere, in questi casi: se quello è l’approccio che si vuole perseguire, allora non ha quasi senso commissionare l’attività.
Cosa la differenzia da altri metodi?
Come ho detto, OSSTMM è una metodologia free, totalmente open source. Questo significa che chiunque può scaricarla, studiarla e, soprattutto, “farla propria”, nel senso di adattarla alle proprie esigenze. OSSTMM in realtà è un percorso, una guida: a differenza di altre metodologie, è altamente flessibile. Questo significa che i penetration tester – coloro i quali eseguono le verifiche di sicurezza, unitamente a chi guida queste squadre, possono seguire le indicazioni dell’OSSTMM, ma possono anche non eseguire alcuni dei task, se il Penetration Test non lo richiede. OSSTMM infatti è diverso, ad esempio da OWASP, semplicemente perché è una metodologia a tutti gli effetti, mentre OWASP è una checklist, ovvero un insieme di best practice, ma non una metodologia. Ad onor del vero, però, il paragone con OWASP non è propriamente calzante: l’OSSTMM infatti ha inserito gli “Application Test” solo nella release 4.0, mentre prima (dalla 2.0 alla 3.0, passando per la 2.2) non si copriva quell’aspetto di estrema importanza. Il motivo principale di questa mancanza è perché in ISECOM si tende a raggiungere un buon livello di qualità. Ci sono voluti infatti diversi anni per decidere, con tutto il Core Team, di affrontare anche i difficilissimi aspetti dei test applicativi. Il risultato lo potrete vedere quando rilasceremo l’OSSTMM 4.0, al momento sotto peer review, un processo lungo, lunghissimo oserei dire, e fatto su base volontaria. Auspico che il rilascio della versione 4.0 possa avvenire entro la fine del 2016, ma non posso confermalo con certezza poiché uno degli aspetti che accomuna tutti i membri del Core Team ISECOM è la mania per la precisione, per “l’error-free”.
Quali i punti di forza della metodologia per cui le aziende dovrebbero preferirla?
Tra i punti di forza, indubbiamente la modularità propria dell’OSSTMM: 6 moduli operativi, tantissimi task, ed un flusso logico unico nel suo insieme. Questo fa sì che, attraverso OSSTMM, si possa testare di tutto, da un singolo asset ad una intera infrastruttura, ma anche la sicurezza fisica, le guardiole degli uffici passi piuttosto che, in ambito militare, le torri di guardia. Non dimentichiamoci che l’OSSTMM, tra i suoi early adapters, ha avuto la United States Air Force (USAF) ed è comunque una metodologia di stampo e derivazione militare: non fosse altro perché, negli anni in cui fu creata, i pochi a credere e ad effettuare regolarmente i Penetration Test erano proprio i militari. Un secondo punto di forza, che abbiamo già evidenziato, è il suo non essere una metodologia proprietaria. L’OSSTMM è fatta da coloro che operano nel mondo dei Penetration Test (in gergo, “Pentest”), ed è il risultato dell’esperienza e della passione di migliaia di persone in tutto il mondo.
Quali sono gli aspetti che andrebbero implementati in OSSTMM?
Parlando invece di migliorie, il già citato processo di Peer Review dell’OSSTMM è effettivamente troppo lungo: andrebbe migliorato. Ma questo ci porta ad un secondo aspetto: il fatto di essere una realtà no-profit e, quindi, il budget. I nostri tempi sono lunghi anche (forse dovrei dire, soprattutto) perché il lavoro è tutto su base volontaria. Non abbiamo i budget dei grandi player, non abbiamo un marketing forte come, ad esempio, l’EC-Council che, ricordo, è un’azienda privata, il cui obiettivo, come tutte le aziende, è di fare profitto. Il nostro obiettivo è quello di fare cultura, di arricchire il mondo dell’Information Security, non le nostre tasche. Certamente, questi sono i due punti di maggior criticità dell’OSSTMM. Esiste poi un terzo punto, che personalmente ritengo altrettanto grave, ma che non posso certamente imputare ad ISECOM o all’OSSTMM: l’ignoranza del mercato. Sono la persona che ha portato i Penetration Test in Italia, lo dico senza problemi, è agli atti della storia in Italia dei Pentest, e della mia storia personale; cerco di creare cultura, di “evangelizzare” (come andava di moda dire una volta), di insegnare l’arte del Penetration Testing. Nonostante questo, nel 90% dei casi, i test di sicurezza che vedo in Italia sono fatti superficialmente, il cliente viene spesso preso in giro, non c’è professionalità né serietà, ma molta approssimazione poiché (quasi) tutto è basato sulla logica finale di budget. Ho visto bandi di gara citare chiaramente l’OSSTMM come metodologia obbligatoria, per poi leggere nelle specifiche di gara negazioni alla metodologia stessa: chi conosce e rispetta la nostra metodologia sa che, ad esempio, dato un 100% di tempo di esecuzione dei test, almeno il 50% deve essere dedicato alla scrittura del Security Report. Ebbene, proprio negli stessi bandi che contemplavano l’OSSTMM (probabilmente, per essere “cool”) c’era scritto nero su bianco che il tempo di reporting non doveva superare al 10% del tempo di esecuzione dei test…
Qual è il modello di business su cui si basa OSSTMM?
Il modello di business è quello delle certificazioni al personale operativo. ISECOM sopravvive grazie alle certificazioni professionali, come la OPST, la OPSA, la OPSE e la OWSE. Certificando queste persone, innanzitutto ne facciamo dei (veri) professionisti del Penetration Testing, ma anche dei “messia del verbo” OSSTMM. Si tratta davvero di una scuola di pensiero, quasi una religione, quando si parla di Penetration Testing. Se lei mi porta davanti dieci penetration tester, io so dirle ad occhi chiusi chi di loro è della “scuola” OSSTMM e si è certificato OPST, o OPSA, e chi, ad esempio, ha conseguito la CEH (Certified Ethical Hacker). In ISECOM insegniamo argomenti quali l’etica del pentesting (e vale anche nella prevendita del Pentest!), i compliance legali, una metodologia: non insegniamo come si usano i tool, gli strumenti software. Questo chi partecipa ai nostri corsi di certificazione lo deve già sapere. Come ripeto oramai da quindici anni, “un pentest non è bucare: è facile fare hacking, mentre è molto difficile fare un Penetration Test”.
Quali sono gli investimenti futuri che le aziende dovrebbero fare per il settore della sicurezza?
Decisamente e come totale priorità, il secure programming ovvero la programmazione sicura. Continuo a vedere codice scritto male, comprato un tanto al chilo, che apre falle e genera insicurezza. Viviamo ormai in un mondo totalmente digitale, e se un sistema informatico, un’applicazione web, un’app, sono insicure, tutto ciò che sta sotto e che dipende da questi asset, sarà insicuro: infrastruttura, dati, privacy, e business. A me non sembra così difficile da capire. Dobbiamo smetterla di ragionare con il concetto del “devo spendere il meno possibile”, poiché stiamo parlando di sicurezza delle informazioni. Ritengo davvero che le logiche del “business” della security debbano cambiare, o per meglio dire, debbano diventare quelle che avrebbero dovuto essere sin dalla sua origine: la sicurezza dei nostri dati non è negoziabile, non è un qualcosa che dipende dal prezzo migliore. Qualità, etica, serietà e professionalità, unitamente alla trasparenza, questi dovrebbero essere i pillar sui quali basare le analisi e le verifiche di sicurezza.
Qual è la situazione del mercato italiano rispetto a OSSTMM?
Come ho detto prima, in Italia ho notato come ci sia un grande citare, obbligare all’utilizzo, forse “abusare” del “marchio” OSSTMM, ma senza la necessaria cultura per comprendere la differenza tra un Pentest OSSTMM e non. Parlando poi dell’open source, nel nostro Paese ancora si associa questo termine con “gratis”: la realtà è ben diversa, open source non significa forzatamente, o principalmente, “non costare”, parliamo anzi di una logica completamente differente. E pensare che, in tutti quei casi di cronaca anche importanti, in cui siti web hanno subito defacement, o importanti realtà violate (anche contractor del mondo militare italiano), le vulnerabilità e le falle utilizzate dagli attaccanti erano davvero di livello molto basso. Un Penetration Test degno di tal nome avrebbe certamente evidenziato, per tempo, dette criticità. Ricordo ancora la battuta raccontata da un collega: “Se devo affrontare un lungo viaggio, e camminare molto, non acquisterò delle calzature cinesi, ma italiane, di qualità. Spenderò certamente di più, ma tutto il mio viaggio, ed i miei piedi, ne beneficeranno”. Ecco credo che sia la stessa cosa con i Pentest. Il 15 giugno presso l’AFCEA Capitolo di Roma, parlerò dell’utilizzo di OSSTMM anche in ambito militare in occasione del 70° anniversario della costituzione della Scuola delle Trasmissioni e Informatica dell’Esercito Italiano, poichè garantire la sicurezza dell reti è essenziale per l’operatività della Difesa sia sul territorio nazionale che in occasione di missioni internazionali in coalizione.
Quali sono a suo avviso le differenze più evidenti nella gestione delle policy sui temi della sicurezza delle informazioni tra il nostro Paese e l’estero?
Vorrei essere provocatorio: basta vedere il dibattito aperto dal recente “Framework di Cybersecurity nazionale” per capirlo. Non è sufficiente tradurre un framework, aggiungere tre colonne e fittizie “analisi dei rischi”, per renderlo “italiano” e provare a colmare un vuoto. Di esempi così siamo pieni e anche di standard e best practice è pieno il resto del mondo. Quello che serve a mio avviso è meno pseudo-esperti, che con la “Cybersecurity” cercano solo di fare business o seguire “la moda”, e più gente appassionata che lavori con passione. In moltissimi settori, come ad esempio quello giornalistico, non basta lavorare dalle 9 alle 17 dal lunedì al venerdì: non ci sono serate e week-end, ci si deve aggiornare di continuo. Lo stesso vale nel mondo dell’InfoSec. Purtroppo, mi rendo conto di continuare a vedere sedicenti “esperti” senza background o alta competenza; appartengono spesso al mondo accademico e non hanno quindi forti competenze ed esperienze acquisite sul campo e con la pratica e vedono nella “Cybersecurity” solo un altro modo, nuovo, per “fare soldi”, oppure al mondo politico o imprenditoriale di settori che nulla hanno a che fare con la Sicurezza delle Informazioni. Sarò un illuso, certamente un visionario, come il mio maestro Pete Herzog, come Alexander Klimburg, Mika Laudhe, Kevin Mitkick e Kevin Poulsen, come quei geni che mi hanno insegnato ed indicato la via, ma ritengo che il denaro non debba e non possa essere messo al primo posto. A cosa servirebbe, tutto quel denaro, quella sola volontà di fare “business” se, un domani, proprio a causa della insicurezza, il nostro mondo digitale facesse “poof”, e tutto andasse in black-out? Tutto ciò mi ricorda molto un’altra moda, un altro “trend”, quello della “Cyber Intelligence” e della “Threat Intelligence”: io ne parlo da cinque anni, mentre tanti (troppi) l’hanno presa come l’ennesima moda. Di questo, di cosa sia veramente la Threat Intelligence, e di come le aziende non si debbano far prendere in giro dai vendor, parlerò con Almerindo Graziano – che arriverà apposta da Nairobi – l’8 giugno a Roma, durante il Security Summit del CLUSIT, l’Associazione Italiana per la Sicurezza Informatica.
(foto www.elbpresse.de, CC-BY-SA 4.0)
Facebook Comments