Terminato il Security Summit di cui avevo già parlato, si possono trarre le conseguenze e riflettere su quanto discusso nei tre, intensi, giorni del convegno.
Premetto che questa terza edizione ha confermato la qualità di questo evento. Grande partecipazione di pubblico, e un’agenda davvero ricca di percorsi adatti alla professionalità di molti.
Detto questo vorrei discutere dei tre keynote del Summit, con ospiti internazionali portati come al solito da nobody.
Aggiornamento: il Security Summit ha pubblicato i propri atti, ho aggiunto le slide dei keynote, cliccate sui nomi degli speakers.
Jon Orbeton
Uno degli esperti del team anticrimine di PayPal ha aperto il Summit con quello che ritengo essere il keynote più interessante. Orbeton ha presentato i metodi e gli strumenti con cui eBay/PayPal proteggono i propri interessi e i propri clienti. Quella che potrebbe essere una cosa inventata, alla Penelope Garcia per intendersi, è in realtà un’attività quotidiana e molto, molto interessante. Orbeton ha illustrato le principali tecniche di OSINT, mostrando il loro utilizzo in casi reali, che molto spesso hanno portato ad arresti da parte delle forze dell’ordine.
Questo è stato uno dei punti chiave del suo intervento: la collaborazione con le forze dell’ordine. Negli Stati Uniti tale tipo di collaborazione è molto diffusa, sia perché strutture come FBI sono molto ricettive in tal senso, sia perché le società hanno una forte spinta a sopperire alle scarse risorse delle polizie, e raggiungere più velocemente l’obiettivo di fermare il truffatore/spammer/cyber-criminale che sia.
Questo tipo di interventi avviene molto più spesso di quanto non possiamo pensare noi, nemmeno a farlo apposta proprio in questi giorni è uscita la notizia che l’anticrimine di Microsoft, in collaborazione ovviamente con le forze dell’ordine USA, ha pesantemente colpito la botnet Rustock. Quindi non stiamo parlando di fantascienza, ma di mondo reale.
Le tecniche presentate, che vanno dal reverse engineering all’analisi di dati presenti e soprattutto passati su forum, domini, informazioni su società e molto altro, non sono in sé complesse da padroneggiare, ma prevedono soprattutto una forma mentis molto avanzata.
Questa è infatti la nota dolente, sia che le società IT italiane (europee?) non hanno un team che si occupa di questo ( per lo meno non lo fanno in modo palese, e la collaborazione in questo senso, come detto da Orbeton, è essenziale), e comunque le polizie nazionali non sono così reattive. Come fatto emergere da Chiesa stesso, quando ha chiesto se c’erano esponenti delle forze dell’ordine in sala. Nessuno ovviamente.
Bruce Schneier
L’intervento della Security Rockstar era sicuramente quello più atteso del Summit, e quello con più affluenza (erano state unite più sale). E, amaramente, è stato quello che mi ha deluso di più.
L’intervento di Schneier è stato poco più di un’intervista o, peggio, una conversazione. Focalizzato sullo stato del Cyber Warfare o guerra cibernetica, Bruce non ha illuminato così tanto la platea come ci si sarebbe atteso da una personalità di tale livello. Certo non chi segue quotidianamente il suo blog. Ma forse il punto è proprio questo, l’intervento era destinato ad ascoltatori di un livello un po’ troppo alto.
Allo stesso tempo non hanno aiutato la mancanza di interazione (ha parlato da solo) e soprattutto la mancanza di slide, che avrebbero aiutato a fissare meglio certi concetti. Anche lo spazio dato alle domande non è stato molto ampio, tanto che l’intervento è terminato con qualche minuto di anticipo (!!).
Veniamo comunque ai contenuti. Uno dei punti chiave presentati è stato senza dubbio il fatto che, a differenza delle guerre tradizionali, la cyber war può (ed è) essere portata avanti non solo da nazioni. Questo perché necessita di relativamente pochi mezzi, ma di molte conoscenze e molta determinazione. Non necessita invece di centinaia di migliaia di soldati, aerei, carri e munizioni.
L’effetto però non è tanto diverso, per lo meno in un’ottica di prevenzione di altre attività, ovvero se si vuole bloccare una nazione, o impresa, da fare una determinata azione.
Prendiamo ad esempio quello che è successo in Estonia qualche anno fa. Un’azione di questo tipo, fatta ad esempio da un gruppo di hacktivist, può realmente cambiare la rotta politica di una nazione. E questo può essere molto più efficace di una guerra “tradizionale”.
La cosa grave, ovviamente, è che azioni di questo tipo possono essere effettuate sia da nazioni, ovviamente, ma anche da grosse corporation. Magari per influenzare un governo a fare certi contratti… La situazione è abbastanza grave.
Il paragone infatti è proprio con le classiche azioni di guerriglia, ovvero piccole azioni tattiche che però possono creare da un lieve fastidio ad un danno enorme come bloccare un paese.
Schneier ha poi ricordato come questo tipo di attacchi, come lo Stuxnet che tanto ha girato sui giornali nei mesi passati, non è assolutamente nuovo. Un attacco di questo tipo è stato sferrato contro la Russia già nel 1982, ad opera del governo americano. E se ora questa cosa la potessero fare semplici gruppi di interesse?
Gli attacchi contro le infrastrutture SCADA ormai sono all’ordine del giorno, anche fortunatamente sui media generalisti, e temo che ne sentiremo sempre più parlare in futuro…
Philippe Langlois
Il keynote conclusivo è stato affidato al fondatore di P1 Security, ed esperto imprenditore e speaker su temi di sicurezza. Langlois a dire il vero era presente già dal primo giorno, come guest star di diversi talk di Chiesa e altri, avendo competenze trasversali su diversi argomenti.
La parte che ho trovato più interessante della sua analisi è stata l’attenzione posta sul livello di ricerca che ha raggiunto la criminalità informatica. Le dinamiche dell’underground criminale hanno portato infatti ad una vera criminalizzazione della ricerca.
Fin troppo spesso infatti un bravo ricercatore di sicurezza, magari se sottostimato o poco considerato, può rivolgersi a gruppi criminali. Anche qui non stiamo parlando di ipotesi, ma di fatti. Gli elementi portati, sia in questo intervento che in altri del Summit, hanno mostrato come le tecnologie che ora si diffondono dappertutto sono utilizzate da anni nel cyber crime. A partire dal cloud ad esempio, che sia per preparare e diffondere un malware o noleggiare una botnet (50$ al giorno!).
Servizi come VirusTotal, ad esempio, vengono usati per quotare un determinato malware. Ovviamente meno viene identificato, più aumenta il suo valore…
Anche qui insomma le prospettive non sono buone, e se non vengono condivise queste analisi, si potrebbe rimanere troppo indietro nel tentare di difendere le proprie infrastrutture.
Questa era quindi l’analisi dei keynote del Security Summit, presto anche un commento sugli altri interventi a cui ho assistito.
Bye!
Glamis on Security 
Condivido in pieno le tue considerazioni sui keynote, in particolare l’attesa per l’intervento di Bruce Schneier che tra i tre si è dimostrato il più deludente anche per la mancanza di slide che avrebbero aiutato la platea a seguire l’intervento…
Verissimo Simone… senza contare che poi i contenuti non erano tutto ‘sto granché.
Ma forse noi troppo addetti ai lavori ci aspettavamo chissà che, certo che qualche slide avrebbero aiutato a fissare meglio i concetti, considerata la platea di livello piuttosto alto.