Infosecurity 2014, l’evento sulla sicurezza informatica più importante in Europa, ci da il benvenuto all’Earl’s Court di Londra. Si tratta di 325 espositori e oltre 13.000 visitatori che per tre giorni si sono confrontati.
Ci sono big come Cisco, Checkpoint, F5 con stand faraonici e modelle che sciamano sui roller, ma anche decine di microaziende che si lanciano sul mercato noleggiando aree di 1 metro per 2.
La maggior parte degli espositori, infatti, non sono nomi famosi, sono startup indiane, rumene, israeliane, tutte estremamente specializzate su argomenti che pochi anni fa non erano neppure pensabili.
Ho incontrato giovani in maglietta, anziani gentlemen inglesi, ragazze californiane che parlano a raffica. Hanno proposte tecnologiche innovative, uno stile nuovo, idee fresche; alcuni di loro hanno inventato qualcosa che prima non esisteva ed hanno una gran voglia di raccontarlo.
67% è il un numero che corre sui display della PGI, azienda specializzata nell’informatica forense, ma anche su molti depliant di aziende create da ex-hacker.
Si tratta della percentuale delle aziende che hanno subito una penetrazione di ignoti ma ne sono sono venute a conoscenza da una fonte esterna. Circa 200 giorni queste stesse aziende hanno poi mediamente impiegato per mettere in atto contromisure.
Sarebbe come se impiegassimo un anno prima di accorgerci che abbiamo i ladri in fabbrica.
La mancanza di una strategia e di procedure in ambito IT security portano le aziende ad avere gravi buchi gravi buchi di sicurezza.
Se poi pensiamo che la sicurezza sia l’antivirus, siamo purtroppo in alto mare. Il 100% delle aziende sopracitate aveva l’antivirus aggiornato.
Altra brutta notizia è che molti dei firewall attualmente in vendita “si bucano” senza che gli hacker facciano le notti in bianco perché i loro sistemi automatici lavorano in continuo.
Nonostante questa scoperta sia di fine 2010 (vedi articolo) a tutt’oggi solo alcuni produttori si sono avviati sulla strada di un reale rinnovamento tecnologico. Molti firewall non sono ancora dotati di tecnologia Anti-AET (Advanced Evasion Techniques) e possono essere “saltati” raggiungendo i sistemi interni all’azienda.
La sicurezza periferica rimane comunque solo una parte del problema. Anche se chiudiamo la porta del firewall, ecco che qualcuno apre il portone spedendosi a casa via Gmail dati riservati senza che l’azienda arrivi in tempo a bloccarne la fuoriuscita: la Data Loss Prevention si mette in atto solo con approccio globale.
I Anche i prodotti venduti in milioni di esemplari presentano ogni tanto qualche difetto di fabbricazione.
Quanti difetti potrà presentare un prodotto creato in un solo esemplare al mondo?
Eppure la sicurezza di molte aziende passa per un prodotto unico e prototipale: l’applicazione Web.
I siti, le applicazioni Web e i web services creati su misura rappresentano il 90% dei siti per applicazioni business al mondo. Sono e-commerce, CRM, e-procurement e molto altro. E non stanno chiusi in cantina, sono esposti a internet.
E’ possibile rendere perfetto un prodotto creato su misura in un solo esemplare?
Anche se si usano tecnologie standard, c’è sempre un plugin o qualche altra diavoleria che ci si è dimenticati di testare. E le vulnerabilità del codice possono arrivare a decine di migliaia.
Anche se si arrivasse alla perfezione, una nuova versione di software sarebbe dietro l’angolo e si è daccapo.
Per proteggere le applicazioni Web dagli attacchi applicativi (code injection, SQL injection) le grandi firme dell’informatica propongono soluzioni tipo “fidati di noi che ti diamo il pacchetto completo”. Ma la sicurezza informatica ha bisogno di un approccio molto più disincantato.
I bravi ragazzi non ragionano da ladri, se vuoi costruire una buona serratura devi farti aiutare da uno scassinatore.
Mi ha colpito l’approccio realistico di aziende che hanno creato strumenti che sottopongono a test continuativi le applicazioni Web e lasciano che siano altri a proteggerle con le loro Security Appliances.
Si mettono a confronto più tecnologie in modo che “uno fa e l’altro controlla”.
Sono metodi familiari al mondo industriale, ma l’informatica è giovane e ha peccato finora di un’eccessiva dose di ingenuità. Queste soluzioni vanno nella giusta direzione.
Chi non ricorda la storia delle centrifughe nucleari iraniane bloccate da un virus?
Si disse che il virus Stuxnet aveva alterato il funzionamento dell’impianto.
Gli impianti industriali e le macchine automatiche sono basate su sistemi chiamati PLC. Un tempo erano sistemi isolati dal mondo esterno, ora non più.
In un modo o nell’altro, centrali elettriche, altiforni, linee di produzione, finiscono per comunicare col mondo esterno e possono essere attaccate.
Immaginiamo il danno economico arrecato ad una fabbrica cui si blocca la produzione a causa di un virus che ha inibito dei sensori di prossimità o di temperatura.
La sicurezza IT nella fabbrica è un campo quasi vergine perché costa troppo ammodernare vecchie tecnologie che, spesso, sono alla base di intere linee di produzione. I consulenti del Consorzio Airbus hanno simulato il blocco di una macchina automatica per colpa di un virus creato ad arte. Hanno scoperto che questo tipo di situazione è replicabile in oltre metà degli impianti industriali europei.
Se un concorrente volesse mettere fuori mercato un’azienda per qualche mese, sarebbe una strada percorribile.
Non è SE, ma quando.
