La prima volta che andai al Security Summit a Milano, fu nel 2009, per ascoltare il resoconto di Gadi Evron sull'attacco DDos ai danni dell'Estonia. All'epoca, lavoravo a tempo pieno nella sicurezza da poco più di un anno e anche se ne erano passati venti, dalla prima volta che avevo messo le mani su una tastiera e otto, da quando avevo scritto la mia prima funzione per la bonifica dei parametri di input di un sito Web, avevo ancora una visione piuttosto ristretta dei problemi legati alla sicurezza.
Rimasi percià molto deluso quando, alla fine del suo intervento, Evron propose come soluzione alla minaccia del crimine informatico, la creazione di una rete di collaborazione mondiale. Io, che mi aspettavo chissà quale fantascientifica tecnologia o architettura difensiva, pensai: "Ma come, mi sono fatto seicento chilometri per sentirmi dire che la parola d'ordine per combattere gli hacker è: Volémose bene?".
Tre anni dopo, con più di centocinquanta test di sicurezza alle spalle e un punto di vista drasticamente più ampio, sono tornato a Milano per cercare di capire, dall'esperienza di chi ne sa più di me, quali siano le minacce che dobbiamo prepararci a fronteggiare. àˆ stata un'esperienza piuttosto proficua, dalla quale ho tratto diversi spunti di lavoro e alcune interessanti conferme:
- Gadi Evron aveva ragione: la cooperazione internazionale Bruno Hourdel di Akamai attacco DDos
- Gadi Evron aveva ragione: la sicurezza dei telefoni cellulari
mobile
Stando così le cose, non posso fare a meno di chiedermi se e quando si avvererà un'altra sua profezia, riguardo gli attacchi agli impianti bionici - Io avevo ragione: al pirata informatico "old school", ovvero all'hacker che penetra nel tuo sistema grazie alle sue capacità e alla sua esperienza, sfruttando vulnerabilità applicative complesse come la SQL-injection
pirati di basso profilo
old-style
pirati wannabe
mediamente incapaci
tracce di qualche vulnerabilità nota
A meno che l'attaccante non sia così idiota da usare SQLMap senza modificarne lo user-agent (cà pita..), l'attacco andrà a segno e saranno necessari mediamente
Un esempio interessante di questa nuova tendenza, riportato nell'intervento di Raoul Chiesa sul Cybercrime, è stato il messaggio di un pirata che, in un perfetto stile mafioso, ricattava il gestore di un forum dicendo:
Ho una botnet di 7000 computer (...) con la quale posso, se voglio, mettere offline il tuo sito come, quando e per quanto voglio. (...) Per evitare questo, dovrai sborsare 200 Euro che dovrai inviare a un indirizzo PayPal o a una Postepay che ti indicherà io stesso.
D'altro canto, il [D]DoS è l'attacco ideale per il pirata wannabe, perché non richiede competenze specifiche, ma solo una rete di computer infetti, che può essere presa in affitto a un prezzo tutto sommato conveniente. E mentre dagli altri tipi di attacco si può essere o ci si può rendere immuni, qualunque sistema in linea è, per definizione, vulnerabile ad attacchi che mirino a ridurre o annullare la sua capacità di rispondere alle richieste.
Tutto cià considerato, credo sia necessario accettare il fatto che la sicurezza non è più un problema che riguarda solo le banche e i siti delle multinazionali, ma coinvolge tutti i sistemi presenti sulla Internet.
Dall'ultimo rapporto di Verizon sui crimini informatici, risulta che il furto di carte di credito è ancora al primo posto nell'elenco dei tipi di dato compromessi degli attacchi dei pirati informatici, ma al secondo e al terzo posto troviamo, rispettivamente, le credenziali di autenticazione e le informazioni personali.
/https://www.html.it/app/uploads/2025/04/wp_drafter_547577.jpg)
/https://www.html.it/app/uploads/2025/04/apple-zero-day-.jpg)
/https://www.html.it/app/uploads/2025/04/4chan.jpg)
/https://www.html.it/app/uploads/2025/04/defender.jpg)