La sicurezza non è un prodotto, è un processo.
Inoltre non è un problema di tecnologia,
ma di persone e gestione.
(Bruce Schneier)
Bruce Schneier e Kevin Mitnick sono tra i più (se non i più) famosi esperti di crittografia e hacking/social engineering rispettivamente. Entrambi hanno in comune la considerazione importante che l’anello debole della sicurezza informatica è rappresentato dall’essere umano (si veda ad esempio il metodo del tubo di gomma).
Da questa riflessione si puossono estrarre dalla sicurezza informatica due sotto-sezioni: la sicurezza del sistema vero e proprio e quella relativa ai dati sensibili. Per farla breve: un algoritmo di crittografia potentissimo, ma con la password scritta su un post-it accanto al PC è tanto inutile quanto una password lunghissima per un account su un PC, quando allo stesso si può accedere come amministratore senza alcuna password (è successo, ne sono stato testimone!).
L’importanza della sicurezza dei propri dati sensibili (e non si parla solo di documenti, ma anche account e delle proprie abitudini nel navigare, che valgono oro per società di pubblicità) è sottolineata dall’inconsapevolezza con cui molte persone finiscono coi propri dati violati.
Il mio interesse nel campo della sicurezza informatica mi ha portato a scrivere queste righe, rimandando a link specializzati per gli approfondimenti. Esitono dei libri che possono acculturare molto più di qualsiasi diceria. Personalmente ho trovato molto buoni Hackers di Steven Levy e L’arte dell’inganno di Kevin Mitnick. Il primo di questi , contrariamente a quanto si pensi, non tratta dei mille e un segreti per violare la casella di posta di qesto o quel tizio, ma della nascita del personal computer e sulle controculture che ne sono state alla base, in un viaggio dal 1958 fino ai giorni nostri, passando per il MIT, lo studente Gates, la Apple, l’IBM e Richiard Stallman, documentando anche del nascita di quella che si definisce “etica hacker” e del suo manifesto (qui in italiano e qui in inglese).
Il secondi libro, scritto da colui che è passato alla storia per aver portato alla massima esasperazione la tecnica di hacking del social engineering, descrive le strategie di quest’ultime, impiegate da hacker, da agenti dello spionaggio industriale e da criminali comuni per penetrare nelle reti. Si tratta di tecniche dell’”inganno”, di espedienti per usare la buona fede, l’ingenuità o l’inesperienza delle persone che hanno accesso alle informazioni “sensibili”. Per l’hacker, per esempio, può essere utile il numero di telefono di un funzionario o altri dati apparentemente senza importanza perché, combinando insieme i disparati dettagli, riesce poi a trovare il tallone d’Achille dell’intero sistema.
Come si legge ne quarto di copertina
<< L’”arte dell’inganno” praticata dall’hacker è paragonabile alle strategie che Sun Tzu descriveva nel suo leggendario trattato su L’arte della guerra. Anche in questo caso, la manipolazione del “fattore umano”, la capacità di “ricostruire” le intenzioni, la mentalità e il modo di pensare del nemico, diventa lo strumento più micidiale ed efficace. Nel suo libro Mitnick è quasi didascalico, riporta le conversazioni telefoniche, le vicende e gli aneddoti spesso anche curiosi che permettono di capire concretamente il funzionamento delle tecniche di “social engineering”. L’autore non si esime dal dare dei “buoni consigli” di difesa, fornendo così anche un prezioso vademecum per gli addetti alla protezione. >>
Sebbene questi libri possano sembrare all’apparenza da invasati (garantisco comunque che non è affatto così) e che alcuni siti più “underground” scovati in rete, siano un buon mezzo per ampliare la propria mente ad affrontare il tema della sicurezza con la giusta ottica: seriamente, ma senza paranoia.
Se si vuole invece mettere alla pratica le conoscenze di sicurezza e testare la violabilità del proprio sistema (o di altri) la rete offre tanti strumenti quante sono le gocce di pioggia. Insecure.Org, Nmap.Org, SecLists.Org e SecTools.Org. (tutti gestiti da Gordon Lyon) sono solo alcuni dei siti dove approfondire e scaricare tool.
La vulnerabilità del proprio sistema si può testare online con siti come AuditMyPc, che include tra le altre cose un test per firewall e le proprie porte di connessione lasciate (magari inconsapevolmente) esposte a pericoli di attacchi.
Sicurezza Offline
Esiste una distribuzione live di Linux dedicata ai penetration test, derivata da Whax (da cui è derivata anche Whoppix, la versione di Knoppix dedicata proprio a questo), Auditor e SLAX contenente un sistema di modularizzazione che consente agli utenti di aggiungere nuovi script, applicazioni e kernel personalizzati, si tratta di BackTrack.
Gli strumenti ci sono, si tratta solo di apprendere e utilizzare.. ossia curiosare e giocare!
Commenti Recenti