posts - 644, comments - 2003, trackbacks - 137

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links

Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

Nella sicurezza informatica i due attori sotto i riflettori sono l'attacker e il defender. Il dato più evidente è che l'attacker è sempre costantemente in vantaggio perché può inventare sistemi e modalità di attacco che non sono ancora noti al defender.

Il sistema sicurezza evolve in una sorta di spirale; man mano che un sistema informatico diventa più sicuro, gli attacchi mutano, evolvono per qualità e inventiva, e le contromisure per contrastarli sono dei veri contanti che gli utenti incassano come sicurezza di qualità ancora superiore. E naturalmente il ciclo continua all'infinito.

Questa continua elevazione della sicurezza non raggiunge un livello soddisfacente a causa di un grosso e grave difetto: sto parlando dell'utente.

L'utente è un fattore primario nella sicurezza ed ha un peso importante tanto quanto le scelte tecnologiche e architetturali. Gli attacchi di social engineering lo dimostrano rendendo spesso vane le barriere tecnologiche più sofisticate.

Poco dopo l'invenzione dell'automobile, sulle strade si verificarono i primi tragici incidenti e si decise che era indispensabile l'introduzione di una patente prima di poter scorazzare per le strade armati di motore a scoppio. L'utente inesperto è dannoso per gli altri? La risposta è si e la piaga dello spam si allarga proprio per questo motivo.

Nel 1630 gli untori dell'epidemia di peste venivano linciati o, nella migliore delle ipotesi, processati.
Ogni utente che lascia esposto ad internet il PC non aggiornato, con servizi aperti, senza firewall, e apre gli attachment delle email facendosi impestare di virus è un untore di nuova generazione. Si perché al contrario di quanto si crede comunemente i virus si contrastano meglio con l'intelligenza e la conoscenza del PC rispetto all'uso dello stupido, e talvolta persino inutile, antivirus.

Perciò quando vedo un'iniziativa come quella di www.SicurezzainRete7x24.org non posso che essere contento.

120x90_SicurezzaRete_051608 

Rendiamo l'utente consapevole di come usa il suo PC e non riduciamo gli utenti a degli automi che affidano la sicurezza solo allo strumento che hanno davanti ai loro occhi.

La settimana della sicurezza in rete è appena iniziata e l'iniziativa è rivolta agli utenti finali. Ovviamente non finirà il 14 Giugno ma questa settimana è una buona occasione per i professionisti del settore per promuovere l'iniziativa verso i propri familiari, amici e clienti.

Tra le video interviste ci sono quelle di Vincenzo di Russo, il guru di Internet Explorer, ed il sottoscritto.

 

Infine un paradosso: è curioso che i cosiddetti meno esperti, proprio perché fanno numero, sono la principale causa scatenante di quell'evoluzione tecnologica (hardware più potente e meno costoso, banda internet più ampia, applicativi più sofisticati, games più realistici, etc.) che al tempo stesso temono e vorrebbero che fosse meno rapida. Nel contempo i "geek" vorrebbero godersi più novità tecnologiche possibili ma senza quegli utenti che invece l'hanno resa possibile.

Print | posted on domenica 8 giugno 2008 05:03 |

Feedback

Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

> Nella sicurezza informatica i due attori sotto i riflettori sono l'attacker e il defender. Il dato più evidente è che l'attacker è sempre costantemente in vantaggio perché può inventare sistemi e modalità di attacco che non sono ancora noti al defender.

Non sarei molto d'accordo. Per esempio, a scacchi me la cavo molto meglio con i neri.

Quanto all'utente sprovveduto, per lo piu' e' anche l'utente che non ha nulla da perdere.

-LV
08/06/2008 06:06 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

> Questa non è una mia invenzione nè una novità ma un concetto consolidato in sicurezza applicativa.

Sara' pure un concetto consolidato in sicurezza applicativa, ma intendevo dire che non sono d'accordo. A scacchi i bianchi hanno il vantaggio della prima mossa, eppure c'e' chi si trova meglio con i neri.

> Se invece il defender si comporta in modo insulso solo perché è "ignorante" (nel senso letterale del termine), allora è il caso di renderlo consapevole e istruirlo.

Anche qui sarei molto meno che d'accordo. Ad esempio ritengo che un antivirus tenuto aggiornato insieme ad un uso corretto del BCC siano piu' che sufficienti per non essere ne' ignoranti ne' pericolosi.

Anzi, trovo questi concetti della sicurezza applicativa i veri concetti ignoranti e pericolosi. Ma ci tengo a sottolineare che la mia e' tutt'al piu' una critica -appunto- ai concetti della cosiddetta sicurezza applicativa.

-LV
08/06/2008 18:29 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

"...Anche qui sarei molto meno che d'accordo. Ad esempio ritengo che un antivirus tenuto aggiornato insieme ad un uso corretto del BCC siano piu' che sufficienti per non essere ne' ignoranti ne' pericolosi..."

Che si potrebbe liberamente tradurre in:

"Tutte le mattine a colazione imbottisciti degli ultimi ritrovati della farmacologia anche se apparentemente non hai nessuna malattia... e poi quando esci per andare a lavorare mettiti una maschera in faccia..."

Direi che sarebbe quantomeno un comportamento poco utile se non addirittura dannoso.

.m
08/06/2008 18:36 | Mauro Servienti
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

@LV Il problema non è chi muove per primo ma il fatto che l'attacker può inventare un sistema di attacco nuovo. È come se negli scacchi il bianco potesse introdurre un pezzo nuovo che si muove con regole non note a quello che ha i neri.

Quanto all'antivirus quoto totalmente Mauro. L'antivirus super-aggiornato ha sistematicamente dimostrato di essere inefficiente. Virus nuovi ce ne sono tutti i giorni e gli antivirus non possono che essere sempre e solo in ritardo "by design".
Sono tantissimi gli utenti che, proprio perché hanno l'antivirus, si sentono eccessivamente tutelati e in diritto di aprire tutte le schifezze che corrono sulla rete. L'antivirus non contrasta l'ignoranza.

Non fare di tutta l'erba un fascio. L'antivirus con la sicurezza applicativa non c'entra proprio nulla. Mi sembra che tu abbia molta confusione in merito.
08/06/2008 18:46 | Raffaele Rialdi
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

> Tu puoi anche inventarti come difesa il giubbotto antiproiettile, ma se poi l'attacker inventa il bazooka non ti serve a nulla. Il vantaggio è sempre dell'attacker.

No, questo e' lo svantaggio della concettualizzazione in termini di sicurezza applicativa. Cioe' uno svantaggio intrinseco a come la sicurezza applicativa stessa imposta il discorso.

Quanto a me sto dicendo l'esatto contrario: NON hai bisogno di giubotto antiproiettile (o di pallette) a meno che tu non abbia deciso di farti sparare addosso (o di smettere di vivere e cominciare a vegetare).

> L'antivirus è inefficiente perché io posso costruire in qualsiasi momento un virus nuovo non-noto all'antivirus. Non è una questione di invenzioni, ma un dato di fatto.

Temo che ti continui a sfuggire che il tuo "nuovo" virus mi fa un baffo, perche' le cose di valore comunque le tengo altrove! Giocare a scacchi e' un'ottima palestra in questo senso. Poi c'e' la teoria e' la teoria dei giochi.

> Infine un paradosso: è curioso che i cosiddetti meno esperti...

Ultimamente sto scoprendo che i "paradossi" sono appunto la manifestazione di un conflitto o fraintendimento: da parte di chi li esprime.

-LV
08/06/2008 19:22 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

@LV Cita quelli che chiami insulti.
08/06/2008 19:25 | Raffaele Rialdi
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

No, tu semmai rispondimi a tono o taci e finiamola con le bambinate.

-LV
08/06/2008 19:28 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

@LV È quello che ho già fatto. Stai perdendo le staffe.
08/06/2008 19:33 | Raffaele Rialdi
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

>> Tu puoi anche inventarti come difesa il giubbotto antiproiettile, ma se poi l'attacker inventa
>> bazooka non ti serve a nulla. Il vantaggio è sempre dell'attacker.

> No, questo e' lo svantaggio della concettualizzazione in termini di sicurezza applicativa.

Specificamente, promuove una "escalation".

-LV
08/06/2008 19:36 | LudovicoVan
Gravatar

# Re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

una bella discussione sul Muro di UGI non la vedevo da....ehm...
dai miei tempi.
;-)
09/06/2008 01:16 | Igor Damiani
Gravatar

# Re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

tornando più seri. LudovicoVan, non riesco a capire il tuo ragionamento in base al quale siccome tu (defender) le cose di "valore" le tieni altrove, allora io (attacker) non dovrei essere interessato ad attaccarti. Innanzitutto, definisci cosa intendi per "valore", perchè ogni attacker potrebbe avere obiettivi diversi: rubarti info confidenziali, formattarti il PC, installare un .exe nascosto, rubarti la connessione web, trasformare il tuo PC in zombie, scatenare un DoS e via dicendo. Tieni presente poi che spesso gli attacker raramente hanno interessa a quel PC con quell'indirizzo IP...credo che facciano più attacchi massivi (spamming), quindi il valore reale che sta dentro il tuo PC è relativo. Lo attacco e basta.

Per il resto, non posso che quotare Raf, e non solo perchè lo conosco di persona, so chi è, che lavoro fa e avrei solo paura di mettere in dubbio la sua competenza (l'ho fatto una volta sola con CardSpace, credo). Nonostante il defender possa attuare tutti i metodi di protezione possibili ed immaginabili (estremismo: non installare scheda di rete, nè floppy,), l'attacker può comunque inventarsi sempre e comunque qualcosa di buono. Il defender può solo reagire. Tutti i fix riguardanti la sicurezza escono solo dopo che viene trovata una vulnerabilità.
Se poi tu dici...ok...non uso la posta, non uso Messenger, non uso p2p, non navigo, mi nascondo in cantina, accendo il pc con un guanto in lattice...bla bla bla...allora capisco tutti i tuoi discorsi: la sicurezza non sai cos'è e non ti interessa. Finchè dura, dura.
:-)
ciao!
09/06/2008 01:34 | Igor Damiani
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

Se mi confermi che ti interessa una discussionre seria, mi faccio una risata e ti rispondo. Se invece pensi che ti scrivo da una cantina inconsapevole del fatto che tu sto scrivendo, temo di avere ben poco da aggiungere: se io non so chi e' Raf, tu non sai chi sono io.

Fammi sapere.

-LV
09/06/2008 01:49 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

> tornando più seri. LudovicoVan, non riesco a capire il tuo ragionamento in base al quale siccome tu (defender) le cose di "valore" le tieni altrove, allora io (attacker) non dovrei essere interessato ad attaccarti. Innanzitutto, definisci cosa intendi per "valore", perchè ogni attacker potrebbe avere obiettivi diversi:

Il mio unico valore sei *tu*, caro "attacker", e adesso dimmi quali sono i *tuoi* obiettivi che ti do pure una mano.

-LV
09/06/2008 01:55 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

> Tieni presente poi che spesso gli attacker raramente hanno interessa a quel PC con quell'indirizzo IP...credo che facciano più attacchi massivi (spamming), quindi il valore reale che sta dentro il tuo PC è relativo. Lo attacco e basta.

E' per questo che un minimo di "igiene" e' di solito piu' che sufficiente, ed e' solo per gli attacchi *mirati* che serve qualcosa in piu': la migliore difesa e' l'attacco, si sa.

-LV
09/06/2008 01:58 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

Ovvero non hai nulla di serio da aggiungere.

Discussioni sempre molto costruttive da queste parti...

-LV
09/06/2008 14:10 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

Igor lascia perdere ... "non ti curar di loro ma guarda e passa"
09/06/2008 14:13 | Raffaele Rialdi
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

E' stato un piacere.

-LV
09/06/2008 14:31 | LudovicoVan
Gravatar

# Re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

altrettanto, e senza ironia...le persone polemiche come me mi stanno simpatiche...
09/06/2008 15:18 | Igor Damiani
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

se una azienda mette un servizio (esempio web) su internet, è perché le serve a qualcosa (= ha un valore per lei)
altrimenti è solo una spesa (sviluppo, mantenimento, dominio, hosting, se non ha ricavi da ciò ha problemi non solo di sicurezza... ma di management).

Prendiamo una ditta come Google, un ddos serio ai suoi server sicuramente le fa perdere un sacco di soldi, visto che almeno l'80% del suo business è legato a quei server.

Se prendiamo invece il panificio in cui compra il pane Raf... anche se gli bombardano il sito... la perdita è quasi nulla. La perdita è data soprattutto dal valore del servizio. Il sito è giù, allora perderà la possibilità di reclamizzare i nuovi panini alle olive ascolane... ( esempio assurdo :D ) i suoi clienti affezzionati li avrà comunque.

Il defender è in svantaggio perché non può prevedere a priori cosa farà l'attacker (negli scacchi si seguono delle regole... il nero o il bianco che siano, non possono trascendere da esse... non possono spostare la regina attraversando 4 file compatte di pedoni per mettere in scacco il re...) a meno che non valuti a priori le sue possibili falle di sicurezza... e per priori in questo caso si intende a design (come dice Raf, Security by Design)

l'antivirus è in ritardo per progettazione, visto che a parte qualche regola euristica, bayesiana o quel che si voglia, non fa altro che cercare delle note "firme" nei file infetti... e sottolineo note

chiaro che se l'antivirus è aggiornato, ma io faccio click su qualsiasi allegato mi passi per la mail... compreso quelli delle email FW: con 8000 address in cc. prima o poi un virus nuovo lo becco di sicuro.
09/06/2008 17:59 | Roberto
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

Mi devo essere perso qualche puntata, pur leggendo (e rileggendo) il post e i commenti non ho capito tanto ardore. Il concetto mi sembrava chiaro: l'utente è (mediamente) ignorante e quindi mette a rischio se stesso e di conseguenza gli altri. Qualsiasi azione/iniziativa che consenta di migliorare questo dato di fatto è benvenuta.

La responsabilità dell'utente è chiara, ma è pur vero che si è fatto in modo che accedere ad Internet sia diventato facile per chiunque (anche a chi non ha nemmeno capito cosa è Internet o nemmeno sa di utilizzarlo perchè ci arriva attraverso un telefonino), impossibile sensibilizzare tutti sulla sicurezza. Pensiamo ad esempio agli anziani o ai bambini più piccoli. In quest'ultimo caso è chiaro a tutti che l'accesso dovrebbe avvenire solo se sorvegliato, ma non è sempre così...
09/06/2008 20:33 | Enea
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

> e di conseguenza gli altri

E' su questo che non sono d'accordo.

Ognuno per se' e Dio per tutti, e poi dipende.

-LV
10/06/2008 05:13 | LudovicoVan
Gravatar

# Re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

TicTacToe soffre anche lui di una vulnerabilità: mettere a zero il numero di giocatori, dopo vedi che DoS si scatena. Roba da far impallidire anche il NORAD. A buon intenditor, poche parole...
10/06/2008 14:25 | Igor Damiani
Gravatar

# Re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

ho paura che Raf abbia meglio da fare che stare qui a leggere. :-)
io mi sono messo questo post nei preferiti, proprio perchè mi sei simpatico.
11/06/2008 13:35 | Igor Damiani
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

Grazie, sono commosso e... risollevato.

Alla fin fine, che Raf abbia di meglio da fare era proprio la mia tesi centrale.

-LV
11/06/2008 15:28 | LudovicoVan
Gravatar

# re: Utenti finali e il sistema sicurezza: la settimana della sicurezza in rete

Mi viene in mente il Judo.

-LV
11/06/2008 16:08 | LudovicoVan
Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET