
“Con i nostri servizi metti gli hacker alla porta”. “La nostra tecnologia ti mette al sicuro dai cyber attacchi”. “Rendi sicuri i tuoi sistemi informatici con noi”.
In questi tempi spopolano sui canali pubblicitari le varie offerte delle aziende che propongono sicurezza informatica che, più o meno velatamente, promettono sicurezza totale per i sistemi informatici delle aziende loro clienti. Ma c’è da crederci? Si e no, vediamo il perchè.
Alla base della sicurezza di un sistema informatico deve esserci sempre una corretta configurazione di essi. Essi devono avere gli aggiornamenti di sicurezza tempestivamente installati e ciò oramai avviene semplicemente lasciando fare ai moderni sistemi operativi il loro mestiere in maniera automatica. L’intervento di società di sicurezza informatica può ovviare ad errori di configurazione nelle procedure degli aggiornamenti di sicurezza e può aiutare ad aumentare ulteriormente il livello di sicurezza disattivando, per esempio, tutti i servizi non necessari perchè, ogni servizio non necessario che viene lasciato attivo nel sistema operativo, è un potenziale punto debole che un hacker potrebbe sfruttare.
Le società di sicurezza potrebbero poi ulteriormente elevare il livello di impenetrabilità installando componenti esterni quali gli Intrusion Detection System (IDS), che in pratica sono altri computer che fanno da filtro a tutto il transito dei dati, identificando pacchetti di dati potenzialmente veicolo di un attacco, in funzione di un database degli attacchi conosciuti che viene costantemente aggiornato.
E qui casca l’asino.
Innanzitutto gli IDS essendo a loro volta dei computer, potrebbero essi stessi venire utilizzati come veicolo di attacco, qualora riportassero delle vulnerabilità. Nella sicurezza informatica infatti, più elementi vengono inseriti nell’architettura e più vulnerabile essa può diventare.
La triste realtà è che esistono due tipologie di hacker: quelli che hackerano per divertimento e quelli che hackerano per professione.
I primi rappresentano il 99,999% dei casi di violazione informatica ed agiscono perlopiù utilizzando dei software che alla pari degli IDS, una volta identificato il sistema informatico da violare, utilizzano esattamente lo stesso database da essi utilizzato per tentare in maniera automatica di lanciare una serie di attacchi sfruttando vulnerabilità note.
E nella maggior parte dei casi dietro questa tipologia di attacchi ci sono dei ragazzini che utilizzano questi strumenti automatici per lanciare dei tentativi di attacco, pescando a caso o in maniera ricorsiva gli indirizzi IP da attaccare, senza cioè avere alcuna nozione dello scopo e della tipologia dei sistemi informatici che stanno attaccando.
I secondi ovvero gli hacker di professione possono essere tranquillamente paragonati a dei sicari ai quali viene assegnato un bersaglio specifico e raramente utilizzano questi sistemi di attacco automatici perché essi potrebbero essere a loro volta identificati da un eventuale IDS aggiornato, potenzialmente allertando l’amministratore di sistema della presenza di un attacco.
Per evitare ciò essi utilizzano dei vettori di attacco che sfruttano vulnerabilità non ancora note ai produttori dei sistemi operativi o degli applicativi di front-end Internet che girano sui sistemi da attaccare. In quanto vulnerabilità non note, ne’ i produttori dei sistemi operativi/applicati e di conseguenza ne’ i produttori degli IDS sono in grado di identificarle, ancorché intercettarle.
Le vulnerabilità non note, tecnicamente chiamate 0day, vengono studiate e scoperte da hacker con elevate competenze tecniche che non necessariamente corrispondono agli hacker che poi conducono con esse l’attacco.
Esse infatti vengono regolarmente compravendute sul mercato nero degli 0day, che si realizza sui tradizionali canali di chat IRC oppure sui più recenti canali di applicazioni crypto quali Whatsapp, Telegram o Signal.
Una cosa deve essere chiara: contro tali vulnerabilità 0day non c’è nulla che possa essere fatto ne’ da parte dell’amministratore di sistema, ne’ da parte delle società di sicurezza informatica che hanno in carico tale sistema.
E’ la trasposizione digitale del Covid-19: il vaccino equivale alle patch di sicurezza o agli IDS, ma non è detto che fornisca una protezione totale. Bisogna quindi tenere in conto che vi sarà sempre la possibilità concreta che il virus o un attacco 0day abbia la meglio sui nostri sistemi, anche se “vaccinati”.
Da ciò si può comunque trarre una lezione: in fase di selezione di un fornitore di sicurezza informatica diffidate sempre da quelli che promettono sicurezza totale.
Essi non sono altro che delle Vanna Marchi digitali.