Due articoli che vale la pena di leggere:
How Not to Protect Your Customers from Phishing
The Bank of America: Please lower your defenses, we’re coming through
Ora la domanda è: la soluzione a questi problemi è cercare di inventarsi strumenti di sicurezza per riconoscere il phishing “lato cliente”, o richiedere alla propria banca di gestire decentemente la sicurezza nei rapporti con i clienti?
È il titolo di un B-movie che però ha alcuni spunti comici (da B-movie) che tutto sommato non mi dispiacciono. In realtà mi riferisco agli zombie utilizzati nelle botnet. Qui la notizia sul NYT che è stata riportata un po’ dappertutto. Ho trovato sostanzialmente la stessa notizia sull’IHT, che mi piace di più perché non conclude con un velato consiglio per gli acquisti ;). Comunque sia, mi sembra un tema interessante da affrontare, probabilmente in più di un post. Questi post non sono destinati agli specialisti, che non ci troveranno niente di nuovo, ma a chi semplicemente vuole capire un po’ meglio il fenomeno.
Il problema a grandi linee: su un gran numero di pc sono installati programmi che ne permettono il controllo da remoto; questi programmi sono stati installati in diversi modi (mediante worm, sfruttando direttamente vulnerabilità ecc.); chi controlla questi pc può quindi utilizzarli all’insaputa del proprietario per svolgere le attività più varie: spedire spam, attaccare altri computer, inondare siti web di traffico fino a bloccarli. Chi controlla questi pc spesso ne controlla alcune migliaia per volta, avendo quindi una “potenza di fuoco” enorme. Per diversi motivi, chi controlla questi pc è difficile da individuare e bloccare. Alcune stime, dice l’articolo, parlano dell’10% circa di pc “infetti” fra quelli connessi ad Internet, per un totale di circa 70 milioni di pc. Questi pc infetti vengono chiamati zombie, e fanno tutto quello che ordina il master che li controlla.
Vediamo innanzitutto il problema di base. La maggior parte dei pc connessi a Internet è eccessivamente vulnerabile a ogni genere di attacchi. Da quando si sono diffuse le linee ADSL, questi pc sono diventati interessanti per chi vuole utilizzarli come zombie, perché sono in pratica sempre on-line, con una banda non trascurabile a disposizione e poco protetti. Questo vuole dire che per chi si vuole procurare il proprio esercito di zombie, è relativamente facile “battere” Internet con scanner, worm, mail e simili per trovare qualche pc (o utente) vulnerabile. Lo scopo è installare sul pc un programma che permetta di controllare il pc da remoto e di fargli fare diverse cose “per conto” del master. La maggior parte delle cose che interessa fare richiedono un numero elevato di pc a disposizione, e quindi non sarebbero possibili se il numero di pc vulnerabili non fosse così alto. Si vede così come la sicurezza dei singoli pc non sia solo un problema di protezione “personale”, per la quale molti utenti non hanno sensibilità: la sicurezza dei singoli pc, intesa come difficoltà nell’installarvi queste tipologie di software, è un problema di tutti, perché quel pc verrà utilizzato per danneggiare altri.
Ecco quindi il primo grosso problema: servirebbe rendere sicuri reti e sistemi non per proteggersi, ma per una più generale sicurezza complessiva di Internet, decisamente più difficile da riconoscere e quantificare. Un po’ come dire che bisogna pagare le tasse perché se tutti le pagano c’è un vantaggio collettivo… Se tanti non riescono ad affrontare correttamente la sicurezza dei propri sistemi neppure quando ci sono dei vantaggi personali riconoscibili, possiamo immaginare quanto sia arduo il problema.
Altra considerazione: in questi anni, questo è stato praticamente l’unico motivo, oltre al puro vandalismo, per cui è stato interessante attaccare pc domestici “generici”: usarli come risorse per altri attacchi, e risponde alla domanda: perché mi vengono a dare fastidio sul pc di casa, quando non c’è niente di interessante?
Un’accoppiata che ogni tanto ricompare. Microsoft ha annunciato di essere stata aiutata dall’NSA nel garantire la sicurezza di Vista. Quale possa essere il problema è ben descritto da Schneier: all’NSA conviene di più evitare vulnerabilità per proteggere i pc degli Stati Uniti, o introdurne per poter raccogliere più facilmente informazioni da quelli stranieri? Schneier, alla luce della recente passione di tutti per spiare tutti, non si fida. Quello che sembra chiaro è perché Microsoft ha fatto un tale annuncio: per sottolineare quanto Vista sia “sicuro”. A dire il vero, per una tale dichiarazione di marketing, il coinvolgimento di NSA potrebbe anche essere stato minimo… per quanto il rischio sia reale, se dobbiamo preoccuparci di backdoor e simili, o anche di (in)sicurezza in generale l’NSA non è in cima alla lista dei miei pensieri.
NSA è anche lo sponsor del progetto SELinux, ma qui c’è una differrenza: il progetto è opensource, quindi eventuali backdoor sarebbero più facili da individuare. A proposito di siicurezza, niente del genere è presente in Vista, mi pare, ma d’altra parte l’architettura di sicurezza di Vista direi che punta chiaramente ad un supporto hardware in tempi brevi.
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
