Athos Cauchioli: “Sicurezza informatica, cuore dell’Azienda”

Athos Cauchioli: “Sicurezza informatica, cuore dell’Azienda”

#Saicosarischi è stato l’hashtag che ha accompagnato il Convegno sulla sicurezza informatica organizzato da Eurosystem Spa e Nordest Servizi in collaborazione con Servizi CGN. “Qualsiasi sistema di sicurezza non potrà mai essere più stupido del suo utilizzatore”, ha esordito così Roberta Bruzzone, criminologa investigativa e ospite d’eccezione dell’evento. La sicurezza informatica dipende per lo più dall’utente finale che spesso sottovaluta la situazione di pericolo, è un problema che si ripete anche nelle aziende, dove la maggior parte delle falle informatiche partono proprio dall’interno, dai dipendenti. A detta della Bruzzone all’interno di un’azienda i soggetti più pericolosi non sono tanto quelli “tecnicamente più preparati” ma quelli più arrabbiati (col capo, con una situazione personale non soddisfacente, con la vita intera).

In occasione del Convegno – grazie anche all’Ufficio stampa Dora Carapellese – abbiamo raccolto l’intervista ad Athos Cauchioli; ex hacker oggi consulente aziendale, parla di come l’ingegneria sociale (studio del comportamento individuale di una persona al fine di carpire informazioni utili) permetta di far aprire inconsapevolmente una mail “infetta” che spesso non ha un “semplice” virus all’interno che blocca il PC ma genera un effetto molto più infimo utilizzando dei link che, se vengono cliccati, attivano il download inconsapevole di tool che analizzano le vulnerabilità della rete aziendale, e forniscono al criminale informatico tutte le informazioni necessarie a procedere con un attacco su misura.

Uno dei primi pericoli massivi fu la creazione di darknet con computers zombies che erano sotto il controllo di organizzazioni criminali e fungevano da vettore per attacchi DDOS ad esempio, ora se ne sente parlare meno, esiste ancora questo pericolo?

Questo pericolo c’è sempre, perché i computers zombie sono molti di più di quello che si possa pensare. Attualmente, vengono utilizzati per fare altri tipi di attacchi, dallo spam al network scanning, ma quando necessitano di un DDOS, di sicuro non si tirano indietro, ed è sempre più probabilmente e più sofisticato ogni giorno di più.

I nuovi sistemi operativi Microsoft hanno ovviato, almeno in parte, al problema della sicurezza? I sistemi Apple e Linux/Ubuntu come si pongono rispetto al problema sicurezza informatica?

In realtà tutti sistemi operativi hanno problemi di sicurezza, alcuni rispondono in maniera più veloce alle patch sulla sicurezza, altri meno, ovviamente gli attacchi vengono inviati in maniera massiva sui sistemi operativi più diffusi e Windows è il re per quanto riguarda gli attacchi ricevuti. Apple e Linux creano abbastanza velocemente le patch sulle problematiche di sicurezza informatica, basta tenere il proprio sistema allineato con gli ultimi aggiornamenti per correre il minor rischio possibile.

Essendo Supervisore Informatico concordo con il fatto che il problema principale sia l’utilizzatore finale, è uso dire che nessun anti-virus può evitare l’assenso dell’utente ad autorizzare l’esecuzione di programmi nocivi, quali possono essere le contromisure?

Gli attacchi nocivi e che possono eseguire codici maliziosi sul proprio sistema informatico sono tantissimi, di sicuro non basta un semplice antivirus, ma vanno applicate piattaforme che aiutano l’utente a non sbagliare. Le aziende, soprattutto, necessitano di prevenzione e contromisure prima che i problemi accadano. Per questo consiglio sempre una vulnerability assessment in modo da prevenire attacchi che poi possono compromettere l’intero sistema causando danni enormi all’infrastruttura informatica.

Come giustamente esposto uno dei pericoli maggiori è la cosiddetta ‘ingegneria sociale’, contando che il suo massimo fautore, Kevin ‘Il Condor’ Mitnick, l’ha ideata decine di anni fa, il tempo passato non pare avere insegnato molto e le persone continuano ad accedere a contenuti malevoli abboccando a mail e siti falsi, quali contromisure adottare?

Anche in questo caso si parla sempre di prevenzione, e lo si fa formando il personale a non essere così leggeri a dare adito ad e-mail, c’è sempre modo di verificarlo. Arrivare a questa consapevolezza non è così scontato, si arriva tramite una buona formazione. Per esempio se arriva la mail da un corriere per un “fantomatico” pacco, cercate su internet il sito del corriere e contattatelo direttamente telefonicamente per sapere se il “fantomatico” pacco esiste o è una truffa che cerca di portarvi ad aprire il file malevolo.

Proprio Mitnick dimostrò come fosse facile farsi dare le password anche per un totale sconosciuto tramite l’ingegneria sociale, anche qui l’educazione del personale non pare avere fatto concreti passi in avanti.

E difatti, il problema è proprio questo, non facendo formazione al personale si avrà sempre questo tipo di problema. A parer mio andrebbe messo come obbligo di legge, formare, anche se a livello minimo, il personale per non cadere poi in queste trappole di ingegneria sociale.

La continua tecnologizzazione del mondo in cui viviamo sta aprendo sempre nuove possibilità, ma anche nuovi pericoli, l’hackeraggio dei sistemi automotive sta diventando un pericolo più che reale e varie case automobilistiche fanno già richiami per aggiornare i software. L’idea di un hacker che prende il controllo di un’auto è quantomeno inquietante, in che direzione si sta andando? La sicurezza e la tecnologia stanno marciando a due velocità diverse?

Nel settore dell’automotive, il problema della sicurezza soprattutto negli anni passati non si era nemmeno posto, attualmente si trovano dei filmati su YouTube o dei tutorial in Internet che fanno vedere come aprire certi tipi di automobili. Le compagnie stanno adottando sistemi di sicurezza sempre più forti, perché la gestione dell’automobile possa essere fatta in totale sicurezza, vedi per esempio la Tesla, ha sviluppato un suo intero ecosistema di sicurezza per gestire il veicolo.

L’impressione è che le aziende investano pochissimo in dotazioni informatiche, sicurezza vuol dire anche sistemi efficienti, integrità dei dati, disponibilità, ma spesso ci troviamo di fronte a componenti obsoleti e superati.

La sicurezza informatica spesso è vista puramente come un costo, perché non è tangibile l’effetto che ha sull’intero ecosistema informatico, lo si scopre solamente quando si viene attaccati, e quando i propri dati non sono più accessibili allora ci si rende conto dell’importanza della sicurezza informatica. Quello che io sto divulgando da tanti anni, è proprio questo, bisogna prevenire e non si fa solo lavorando di anticipo sui problemi che poi possono diventare enormi. Anche le figure di information technology, sono viste proprio come un costo, perché l’impatto che ha questa figura è totalmente invisibile.

Gli addetti alla sicurezza all’estero sono considerati figure fondamentali e con alte retribuzioni, in Italia il settore IT è nella maggioranza dei casi considerato un costo e non una parte fondamentale dell’azienda, cosa ne pensa?

Quando parlo agli imprenditori, e dico che bisogna alzare lo stipendio e la qualità di questi It manager, mi guardano sempre male. Allora spesso gli faccio questo esempio, se io spengo il sistema informatico della tua azienda, riesci a lavorare comunque? La risposta ovviamente è sempre no. Qui si rendono conto di quanto l’informatica è diventata il cuore della propria azienda.

Fonte Futuro Europa