Sicurezza, ICT e altro

Ieri sono stato all’OWASP Day a Roma, parte di una giornata mondiale dedicata al tema: “Privacy in the 21th century”. Devo dire che è stata una giornata spesa bene, e complimenti agli organizzatori. Ho trovato particolarmente interessante l’ultimo intervento, quello di Danny Allan, di Watchfire. Naturalmente la parte più “impressionante” è stata l’utilizzo di un tool che permette di banalizzare lo sfruttamento di un sistema compromesso in un’ottica di Web 2.0: mi ha fatto un po’ l’effetto di quando ho visto per la prima volta Back Orifice 😉 Tuttavia, il pregio dell’intervento non sono stati gli effetti speciali (non sono Telefunken), ma l’inquadramento generale dato al problema. In effetti, gli attacchi mostrati hanno poco di “nuovo”: la classe di attacchi più critica fra quelle presentate, il Cross Site Scripting, è nota in generale da anni, anche se ne sono nate nel frattempo molte varianti. Quello che è veramente cambiato con il Web 2.0 è che, data la centralità del browser come strumento, riuscire a compromettere quello, in un client, può rendere trascurabile compromettere il resto del sistema: più sono le operazioni e i dati che l’utente gestisce remotamente tramite il browser, meno è interessante il suo PC e più diventa interessante il browser, con tutti i suoi componenti e plug-in.

Posso fare solo due critiche alla giornata. La prima è che è stata una giornata di sensibilizzazione ai problemi, ma si è detto poco delle soluzioni, nonostante OWASP sia “dedicated to finding and fighting the causes of insecure software”. Ad esempio mi sarebbe piaciuto sentire qualcosa su come scrivere applicazioni sicure, cosa di cui OWASP comunque  si occupa. Capisco che sia un tema meno coreografico… Il secondo problema è che guardando la sala, mi è sembrato che come sempre fossimo quasi solo “operatori e appassionati del settore”. Ora, se un operatore del settore non è già sensibile ai problemi del Web 2.0, farebbe meglio ad operare nell’ippica. Il problema quindi è riuscire a sensibilizzare almeno i responsabili IT delle aziende, o meglio amcora chi proprio non si occupa di IT. Comunque sia, mi ha fatto venire voglia di riprovare un po’ delle tecniche descritte 😉

Così direbbe Yarix secondo quanto riportato da Punto Informatico. Peraltro, io sul sito di Yarix non ho trovato traccia di questa notizia, che mi interessava approfondire. Certo che, così com’è data su Punto Informatico, la notizia non sembra avere una base molto solida. Prima di tutto, la statistica comprende phishing, spam, virus e tutto il solito bestiario. Di questo, il 49% verrebbe dalla Cina (ovvero da IP cinesi). In effetti, la statistica che citano ha una distribuzione che mi giunge nuova, più per il 25% della Turchia che per il 49% della Cina. Poi vengono elencate le tecniche di attacco: Cross Site Scripting ecc…

In realtà, nessuno dei dati presentati si può mettere direttamente in relazione con lo spionaggio industriale. Partendo da quei dati, la notizia poteva essere titolata in molti altri modi, anche più legati ai dati raccolti (ad esempio:”Le PMI sono appetibili come zombie?”).

Il problema è che l’indagine è concentrata sulle tipologie di attacco (e sul paese di provenienza), non sugli obiettivi o gli effetti dell’attacco. Ad esempio, gli attaccanti potevano appunto essere alla ricerca di zombie. Ci sono altre informazioni che suggeriscono lo spionaggio industriale? Per quello mi interessava il report originale. Ad esempio, se ci fossero indicazioni che determinate categorie di PMI sono più attaccate di altre, allora sarebbe più facile dedurne qualcosa sullo spionaggio industriale; se invece le PMI che producono oggetti appetibili hanno la stessa percentuale di attacchi di tutte le altre, allora è difficile parlare di spionaggio industriale. Oppure, servirebbero informazioni su cosa è stato fatto sui sistemi attaccati.

Insomma, come dice Punto Informatico, “Lo spettro dello spionaggio industriale telematico si è già affacciato in passato”. Si è già affacciato perché è decisamente credibile: se è vero che i cinesi sono interessati ad avere in anticipo i modelli italiani, lo spionaggio telematico è uno strumento per ottenerli con poco sforzo, poco rischio e senza muoversi da casa. Tuttavia, sembra essere ancora uno spettro, appunto.