Lezione del 02/07/2024

Vogliamo provare a trovare soluzioni per creare sistemi informatici sicuri e meno suscettibili ad attacchi informatici. Ridurre la vulnerailita’ della moderna societa’ a quelle che sono le conseguenze degli attacchi. Corso molto molto orizzontale, abbiamo tantissime tecnologie e tantissime argomenti da andare a trattare.

Nella maggior parte si tratta di criminali informatici, non ci sono piu’ tanto gli hackers sperimentatori, nerd e quant’altro. Tipicamente lo si fa per guadagnare dei soldi. Tra i piu’ efficaci abbiamo lo spamming che e’ come un la pesca a strascico. Anche se funziona una volta su un milione, se lo faccio 10 miliardi di volte, alla fine porto a casa qualcosa. Possiamo anche andare a considerare spear fishing ma qui immaginiamo attacchi a soggetti sensibili. Solitamente per fare spamming ci si appoggia a script automatici per fare queste operazioni.

Le tecnologie possono essere l’obiettivo, possono essere lo strumento, ma anche come testimoni del crimine. Pensiamo a tutti i casi di cronoca in cui vengono sequestrati device di vario tipo ai fini dell’indagine.

Chi avuto l’idea di fare internet cosi’ vulnerabile? L’errore non e’ nel progetto ma nel cambio di uso. Internet non e’ nato per fare questo. All’inizio internet era pensato per fare cose decisamente diverse da quelle che facciamo oggi. All’inizio era fatto per mettere in comunicazione grandi computer di diverse universita’. Ereditiamo questa configurazione di base, a meno di limiti internet e’ completamente libero e passa tutto quanto in chiaro.

Prima aveva i mainframe, con dei terminali utili e la singola persona che lavorava al computer era super esperto e aveva una connessione privata al mainframe. Ora di sistemi collegati ad internet praticamente abbiamo TUTTO ed e’ tutto eterogeneo. I terminali che utilizziamo sono sistemi che quanto meno hanno un sistema linux embedded, quindi possiamo andare a fare letteralmente tutto senza troppo problemi. Pensiamo anche alle informazioni digitali che c’erano al tempo. Non c’erano cosi’ tanti dati digitali e un tempo se si fermavano i server chissene, ora invece e’ un incubo. Anche il software cambia, prima aveva dei programmi monolitici scritti da una persona sola tipicamente, molto semplice. Ora anche una banale app mobile, e’ incredibilmente piu’ complesso, sono tante tecnologie diverse che lavorano tutte insieme.

I sistemi moderni sono proni ad essere vulnerabili by design e poi ci sono anche i discorsi rispetto al fatto che spesso non si sanno le conseguenze di errori ai singoli livelli tecnologici e si possono andare a commettere errori banali.

Ad oggi essere full stack developer e’ veramente difficile, solitamente le persone sono brave in qualche passaggio ma tipicamente si affidano ad internet/chatgpt. Concetto di rischio, molto importante che poi rivedremo alla fine del corso:

Dobbiamo andare a fare un’analisi dei rischi e considerare se le minacce possono essere effettivamente poi rischi oppure no. Le minacce insistono su un asset, gli asset sono le cose che mi servonopacm per produrre: materiali e non (dati), ma anche umani in realta’. Questi hanno inerentemente delle vulnerabilita’.

CI sono tante discipline coinvolte in quella che e’ la sicurezza informatica, anche discipline giuridiche, anche se queste tendenzialmente sono lente.

Al momento sta aumentando tanto il problema della sicurezza fisica degli ambienti. Questo perche’ ora con l’industria 4.0 abbiamo dei macchinari connessi ad internet, il problema e’ che non e’ sicuro per niente, soprattutto nelle piccole aziende. Questo perche’ ci sono macchinari con sgravi fiscali di ogni genere e sorta su macchinari 4.0. Abbiamo intere famiglie di malware che sono stati creati per andare ad attaccare impianti produttivi.

Le conseguenze di un attacco informatico entrano anche nel mondo fisico. Pensiamo ad attacchi ransomware della Germania che hanno portato alla morte di una paziente nell’ospedale. Ci sono anche molte conseguenze per quel che riguarda il diritto aziendale.

Abbiamo anche tante vulnerabilita’ lato:

• dev: bachi
• sistemisti: problemi di configurazione
• management: se lavoriamo in un’azienda in cui si sviluppa software abbiamo un time to market molto stringente e quindi questo porta a release molto deboli (basta che i requisiti funzionali sono abbastanza soddisfatti, tanto poi si aggiorna tutto). Tanta pressione per andare a portare sul mercato roba che pare che funzioni poi in realta’ e’ super fragile. Messaggio poco corretto ai propri dipendenti rispetto alle norme di comportamento digitali.
• personale: le persone che utilizzano il computer nono sono quasi mai formate per usare questi device nella maniera piu’ sicura possibile, anzi: caso classico sono le pw attaccate al monitor oppure direttamente senza pw.

[55”12]

Piu’ complessita’, piu’ dati, piu’ utenti, livello media di competenza informatica e’ molto bassa. Chi usa device informatici spesso non sa una ceppa, detto alla francese. Non possiamo ridurre gli attaccanti, ma possiamo capire chi e’ e possiamo capire come saremo attaccatti e anticipare come saremo attaccatti e quindi intraprendere qualche tipo di difesa. Di base si dice sempre sono sempre hacker, ma ci son tante differenze in realta’. Hacker in realta’ e’ un complimento che va guadagnato, non sono attaccanti informatici, sono persone che sanno come funzionano i sistemi e sanno ribaltarli e usarli in modo non standard per arrivare ad avere funzionalita’ non volute.