Seeweb Hacking Contest: speciale “falle di sicurezza”

Hacking Contest speciale falle di sicurezzaDall’Hacking Contest all’intervista: Abdel Adim Oisfi ci parla di falle di sicurezza.

A dicembre abbiamo lanciato l’Hacking Contest operazione Di4m0nd e abbiamo avuto modo di conoscere degli esperti di sicurezza informatica ai quali abbiamo deciso di fare qualche domanda su questioni che interessano sia aziende che privati. Per l’occasione Abdel, che lavora nel campo della sicurezza informatica e dello Sviluppo Web presso Shielder, ci parla di falle di sicurezza. Secondo il rapporto annuale di sicurezza realizzato da Cisco, c’è un divario sempre maggiore tra la percezione che hanno le aziende della propria sicurezza informatica e la realtà.

Le organizzazioni dovrebbero adottare un approccio di tipo collettivo per difendersi dagli attacchi informatici in quanto i cosiddetti black hat sono sempre più abili nello sfruttare a proprio vantaggio lacune nella sicurezza e a nascondere le loro attività. La protezione delle reti aziendali è un tema della massima importanza e delicatezza, occorre infatti migliorare l’approccio alla protezione delle aziende.

Come afferma Jhon N. Stewart, senior vice president di Cisco: “Un tempo ci preoccupavamo degli attacchi DoS, oggi della distruzione dei dati. Una volta ci preoccupavamo del furto degli indirizzi IP, oggi del fallimento dei servizi critici. I nostri avversari sono sempre più abili, sfruttano le nostre debolezze e nascondo i loro attacchi in bella vista. La sicurezza deve fornire protezione per tutta la durata di un attacco e la tecnologia è progettata proprio per questo scopo. I servizi online devono essere pensati con questo tipo di reattività, e tutto ciò deve essere fatto adesso con l’obiettivo di proteggere il nostro futuro”.

Il problema è che in questi ultimi anni i ricercatori di vulnerabilità hanno reso pubbliche diverse falle di sicurezza, alcune delle quali hanno avuto un impatto “critico” nel mondo dell’IT Security. I sistemi che sono risultati essere non protetti, sono gli stessi di quelli utilizzati da grandi multinazionali, enti ospedalieri e persino governativi.

Tenendo presente che online c’è un mercato di exploit non noti pubblicamente, possiamo affermare che è altamente probabile che dei black hat conoscono vulnerabilità tenute segrete per cui non ci sono contromisure.

Secondo te quali sono le circostanze in cui possiamo difenderci anche da questo tipo di minacce ed in che modo?

Abdel: “Se sapessi dare una risposta definitiva a questa domanda credo avrei risolto uno dei problemi più grandi degli ultimi 50 anni, quantomeno nel campo dell’IT. D’altra parte avere una buona p​olitica preventiva​ in questo settore è di fondamentale importanza e può salvare i dati sensibili in una vasta moltitudine di scenari. Uno dei primi esempi che mi vengono in mente sono i ​WAF​ (Web Application Firewall), i quali vengono istruiti attraverso delle regole, che hanno il compito di bloccare tutta una serie di comportamenti potenzialmente dannosi. La particolarità di questi WAF, rispetto a molte altre misure di sicurezza mirate, è che permettono potenzialmente di bloccare anche e​xploit 0day​(tecniche mai divulgate a livello pubblico), sempre attraverso le loro regole, che vanno ad esempio ad individuare determinati tipi di sintassi SQL (linguaggio utilizzato per interrogare i database), impedendo di fatto che la richiesta venga portata a termine se contiene delle anomalie.
Questo evidenzia in modo chiaro che non è sempre necessario conoscere nei particolari il singolo attacco per poterlo prevenire, risulta spesso più importante avere una visione approfondita dei software che si sta utilizzando, accompagnata da un a​pproccio sicuro​ nella gestione dei dati.

Alcuni sistemi vengono implementati con l’approccio della “security through obscurity“, mentre altri vengono rilasciati con licenze open source.
Sotto questo punto di vista, credi che un sistema operativo Windows sia più sicuro di uno GNU/Linux?

Abdel: “Gli advisory di sicurezza rilasciati per le vulnerabilità più pericolose degli ultimi anni, hanno evidenziato bug in applicazioni open source dovuti ad errori logici facilmente identificabili. Alcuni di essi sono passati inosservati per molto tempo, come ad esempio “Shellshock”, che ha esposto ad attacchi milioni di utenti per oltre 20 anni.”

Quale è il tuo punto di vista in merito?

Abdel: “Sicuramente queste vulnerabilità hanno portato un grosso scompiglio ed erano oggettivamente facilmente ovviabili, d’altra parte la loro natura di software open source ha condotto alla r​ealizzazione di patch​in tempi brevissimi, cosa che sarebbe stata molto più difficile senza questa caratteristica apertura.

Inoltre il mondo open, lascia sempre una vasta possibilità di scelta, ad esempio shellshock era circoscritto a bash, una delle tante shell utilizzabili, rendendo possibile agli utenti uno spostamento repentino verso un’a​ltra shell ​come zsh , nell’attesa di una patch.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Accedi

Registrati | Password dimenticata?