Venti giorni senza un post. Causa, influenza devastante seguita dal recupero degli arretrati. Comunque rieccomi…
Un articolo di Schneier molto interessante che analizza la differenza fra l’attaccante creativo ed il “copione” (copycat). Si tratta di una distinzioni importante dal punto di vista delle difese, una di quelle distinzioni che possono fare la differenza fra una soluzione efficace e una che non lo è. Mi spiego meglio. Anche nell’informatica, la maggior parte degli attaccanti usa tecniche consolidate. Non mi riferisco solo agli script kiddies, che fanno un uso elementare di strumenti scritti da altri: anche attaccanti più evoluti usano generalmente tecniche note e consolidate, anche per la ricerca di vulnerabilità (ad esempio, le tecniche per cercare vulnerabilità di cross site scripting sono più o meno sempre le stesse). Sono veramente pochi gli attaccanti che hanno la capacità di sviluppare tecniche realmente nuove. Proteggersi dalle tecniche note permette quindi di neutralizzare la maggior parte delle minacce. Vale la pena di preoccuparsi delle altre? Sì, se si è un bersaglio realmente appetibile. No, altrimenti. Questo tipo di valutazione delle minacce spesso manca in molte discussioni sulla sicurezza. Spesso di discute astrattamente su “quello che sarebbe possibile”, arrivando a suggerire soluzioni complesse, adatte a contrastare attacchi nuovi, complessi o teorici. Naturalmente è utile e importante discutere di questi problemi, ma è importante anche riuscire a distinguere quella che è un’interessante discussione da quello che è necessario per un’azienda. L’azienda, soprattutto quella medio-piccola, ha bisogno di soluzioni che migliorino concretamente e in modo riconoscibile la sua sicurezza, non di proteggersi dal genio malvagio della situazione. Proporre soluzioni eccessivamente complesse, di improbabile e costosa realizzazione e di cui è difficile vedere il valore aggiunto è un ottimo modo per danneggiare sia i clienti che il mercato della sicurezza.
