Linkedin
Facebook
Email
more
“La Cybersecurity è un tema che tocca tutti, per questo è importante sapere chi abbiamo di fronte”, ha affermato Simone Segnalini, partner RSM Digital, Risk & Transformation iniziando la sua intervista a Francesco Marano, esperto di sicurezza informatica offensiva, con oltre 5 anni di esperienza come penetration tester. Francesco svolge ricerche per trovare nuovi bug e nuovi modi di accedere ai sistemi, partecipa come speaker agli eventi di sicurezza per condividere i risultati delle sue ricerche e migliorare la consapevolezza sui problemi di sicurezza.
Ecco una sintesi dei temi affrontati da Francesco Marano nel Talk RSM dedicato alla Cybersecurity.
Qual è esattamente la tua attività e cosa sono i penetration test?
Le aziende mi ingaggiano per attaccare i loro sistemi esattamente come farebbe un attaccante esterno per verificare se ci sono delle vulnerabilità e quali, in modo da sviluppare dei sistemi adeguati di difesa. Il mio lavoro è definito “ethical hacking”. Mi è capitato di attaccare sistemi di tutti i tipi, dai siti alle app mobile e web, infrastrutture di macchinari industriali ed anche militari.
Quali sono gli obiettivi e le modalità di attacco più frequenti?
Premesso che ogni attaccante identifica propri obiettivi e modalità, possiamo comunque distinguere delle macrocategorie ad esempio:
- attacchi ai sistemi informatici
- attacchi ai sistemi informativi che sono diretti alle persone che interagiscono con i sistemi
- attacchi su larga scala che sfruttano i grandi numeri
- attacchi più mirati (ad un’azienda, ad un sistema)
Tutti abbiamo ricevuto almeno una volta la mitica mail del principe nigeriano in cui ci viene richiesto il nostro aiuto (qualche migliaio di euro) per poi venire in possesso di milioni, lingotti d’oro o diamanti. Il rischio è la sottovalutazione del danno che possiamo subire.
Parliamo degli attacchi alle aziende
Le aziende subiscono attacchi mirati sia ai sistemi sia alle persone dietro i quali c’è solitamente un effort molto maggiore rispetto agli attacchi su larga scala in quanto viene studiato il settore in cui opera la società e l’organigramma per individuare dei bersagli specifici (un reparto o addirittura singole persone).
Inoltre, le terze parti o i fornitori possono essere l’anello debole o comunque la chiave di accesso alle aziende.
La psicologia è fondamentale
Negli attacchi informatici la componente psicologica è importantissima, il che si traduce nello sfruttare l’inesperienza, fare leva sulla fiducia (ad esempio quando riceviamo una mail che sembra essere proprio quella del nostro responsabile o un messaggio social da qualcuno che sembra essere un nostro amico o conoscente), generare paura o panico, mettere fretta.
Gli attaccanti sfruttano l’alta probabilità e la verosimiglianza di un evento come, per esempio, il fatto che potremmo essere in attesa di ricevere un pacco ordinato per segnalarci fantomatici problemi di consegna e chiederci di entrare in link falsi per loggarci e poter quindi sottrarre le nostre credenziali.
L’informazione è potere
“Open source intelligence” (osint) è la modalità che gli attaccanti utilizzano attraverso le fonti aperte (canali social, siti, blog) per reperire una grande massa di informazioni del cui valore spesso siamo inconsapevoli.
Cosa possiamo fare per difenderci
“Agli attaccanti basta anche una sola possibilità per andare in meta, mentre chi difende deve sempre e comunque difendere”.
Il primo passo per difendersi è fare awareness anche se trovo che la modalità più utilizzata (un lungo elenco di cose da non fare) non sia il più efficace. Il mio consiglio è porsi sempre tante domande senza farsi prendere dalla fretta o dall’ansia, intercettando eventuali anomalie e comportandoci sempre con prudenza.
L’IA può avere un impatto anche sugli attacchi informatici?
Credo che un tool come ChatGPT possa facilitare gli attacchi su larga scala, ad esempio fornendo un testo convincente con una traduzione perfetta o informazioni storiche di base per costruire la comunicazione ingannevole, mentre per gli attacchi mirati credo che la componente umana rimanga ancora prevalente per la complessità che sta alla base.
