UNA NUOVA DIFESA CONTRO GLI ATTACCHI DEGLI HACKER
Recenti episodi balzati all’onore delle prime pagine dei giornali hanno messo in evidenza la capacità distruttiva degli hacker rispetto a miliardi di utenti connessi a computer o dispositivi elettronici nel mondo. Aziende produttrici di soluzioni hardware cercano di dirti che acquistando i loro prodotti o mettendo tali patch sei al sicuro. Profondamente sbagliato. Sulla riga di comando dei browser compare la scritta “sicuro” per alcuni siti che usano la comunicazione SSL. Profondamente sbagliato. Abbiamo appreso tutto ciò in alcuni corsi di ETHICAL HACKING tenuti da uno dei più esperti Ethical Hacker italiani. Cosa sono gli Ethical Hacker? Sono dei professionisti che aiutano le Aziende a rilevare tutte le vulnerabilità, cioè tutti i punti deboli in cui l’azione di un hacker può violare il sito, la rete e il sistema informativo aziendale. Mentre l’hacker trova un punto debole e scatena l’attacco, l’Ethical Hacker deve provare tutte le armi possibili in mano agli hacker. Molto spesso questo suscita diffidenza nelle Aziende, anche per la gelosia di alcuni dei componenti della struttura aziendale. Una ricerca su Google dei siti italiani dice che oltre 1.700.000 siti italiani sono soggetti a una errata gestione dell’errore informatico, cosa che apre le porte alla SQL INJECTION, cioè l’immissione nei campi UTENTE e PASSWORD di istruzioni SQL, cioè del linguaggio con cui si gestiscono TUTTI i database, che porta alla possibilità di scaricare l’intero database. Poi vi sono tecniche di presa di possesso del computer da parte degli hacker, nonché il cosiddetto PHISHING, tecnica di pesca informatica in cui l’utente-pesce abbocca aprendo incautamente un link o un allegato. Tecniche note di WORM permettono a un hacker che ha violato un computer di propagare il proprio malware a tutta la rete internet connessa col computer compromesso. Il recente attacco WANNACRY aveva associato il RANSOMWARE, cioè la tecnica di criptare i dati del malcapitato e chiedere un riscatto. Ma questa è solo una tecnica. Uno dei motivi per cui le difese hardware sono inefficaci è il fattore umano. L’uomo davanti al computer è il punto debole. Tecniche di SOCIAL ENGINEERING permettono di scoprire le password cercando nomi e date su Facebook o su altri database social. Resta comunque la tecnica del BRUTE FORCE, attacco di forza bruta, che fa scandire velocemente tutte le password possibili partendo da quelle più probabili. Di fronte a tutto questo le risposte sono insufficienti. Abbiamo creato il sito www.ok-korral.net per dare una informazione e una formazione agli operatori del settore, cioè a TUTTI quelli che accendono un computer la mattina per lavorare o cercano la pizzeria più vicina sullo SMARTPHONE. OK-KORRAL era una famosa sfida americana, ripresa in un noto film degli anni 60. I giovani non ne hanno sentito parlare. Forse non sanno neanche cos’è una sfida. Nel sito sono riportate slide del corso e altre soluzioni. Una parte importante del sito è la presentazione di prodotti software che fanno il lavoro degli Ethical Hacher e che, con una reportistica che potrebbe capire anche un avvocato, preparano il cliente a fronteggiare i pericoli e segnalare le vulnerabilità ai propri fornitori di software, nonché a impedire il click stupido del PHISHING. Poiché il fattore umano è quello più importante, manager, professionisti, impiegati, negozianti, imprenditori, poliziotti e carabinieri devono diventare ALLEATI degli Ethical Hacker, in una RIVOLUZIONE CULTURALE che può mettere al sicuro le nostre Aziende e la nostra libertà.