Le priorità di Fred Cohen

Fred Cohen è uno dei più conosciuti studiosi di sicurezza informatica al mondo. È stato tra i primi ricercatori ad avere classificato i codici maligni, trapiantando il termine “virus” sul terreno della protezione informatica. «Linea Edp» lo ha intervis …

Fred Cohen è uno dei più conosciuti studiosi di sicurezza informatica al mondo. È stato tra i primi ricercatori ad avere classificato i codici maligni, trapiantando il termine “virus” sul terreno della protezione informatica. «Linea Edp» lo ha intervistato.


Microsoft o Linux?


«Personalmente non appartengo alla categoria dei fautori delle guerre di religione. Ritengo che in passato Microsoft abbia commesso degli errori, che sono stati amplificati dalla sua posizione predominante e di indubbia risonanza mediatica. Tuttavia, non ritengo che vada accusata di disastro, come molti fanno. Quello che, però, sto notando è che il target degli attacchi e delle vulnerabilità si sta spostando dallo sfruttamento delle debolezze architetturali intrinseche ai sistemi operativi verso le applicazioni che essi contengono».


Cosa intende con questo?


«Paradossalmente, le vulnerabilità scoperte a livello di sistema operativo sono, in proporzione, più numerose sui sistemi Unix che non su Windows. Con Vista, inoltre, Microsoft sta facendo un lavoro inedito sulla robustezza strutturale dei sistemi operativi. Il problema, ora, si sposta sulle applicazioni core. In Windows, per esempio, è Internet Explorer ad avere più problemi e, con l’avvento del Web 2.0 e dei Web service, il discorso potrebbe ulteriormente amplificarsi».


Pensa che, con riferimento alle risorse umane, vi siano dei target tangibili?


«Se si riferisce alla mancanza di training e di awareness, credo che il problema esista e che si stia aggravando ulteriormente. Quello che noto nella mia esperienza quotidiana è che, dopo un breve periodo di investimento, l’interesse verso la formazione stia diminuendo. Questo è errato, specie in un momento in cui l’aggiornamento sui problemi incalzanti del nuovo corso della security è fondamentale».


Può spiegarsi meglio?


«In questo momento, si sta notando un’evoluzione esponenziale delle metodiche di attacco. Si pensi, per esempio, alle evoluzioni dei rootkit. Alcuni di essi, per ora fortunatamente solo a livello embrionale, approfittano della virtualizzazione delle Cpu, che diventerà un trend nell’Information technology. Questa continua evoluzione delle tipologie di attacco non corrisponde a un altrettanto rapido aumento dei cicli di training. I motivi principali sono sostanzialmente due: da una parte, i budget aziendali stanno diminuendo e, dall’altra, il concetto di daily operation rischia di oscurare la necessaria attenzione agli aspetti proattivi della protezione».


Lei testimonia spesso in tribunale su questi aspetti, quanto è importante il suo background?


«Io ho un Ph.D, che è il più alto grado accademico, fatta eccezione per le specializzazioni post dottorato che tutti conosciamo. Devo dire che mi ha aiutato in alcuni casi, ma non lo ritengo fondamentale. Conosco molti Ph.D.con solide basi informatiche ma scarse conoscenze di computer forensics, la disciplina per la quale si richiede spesso il mio intervento in tribunale. Ho assistito più volte a testimonianze e confronti vinti in tribunale da tecnici con un inferiore titolo accademico. Il motivo è semplice: la loro testimonianza era basata sull’analisi corretta dei fatti accaduti, non esclusivamente su titoli e certificazioni. Ai tribunali interessa principalmente il primo fattore».


In questo momento, quali sono, secondo lei, le priorità più rilevanti che i professionisti della sicurezza dovrebbero affrontare?


«La mia impressione è che non tutti i professionisti della security abbiamo ben chiaro il concetto di Business impact analysis. Molto spesso, infatti, vengono trovate e presentate delle soluzioni che sono, a conti fatti, molto difficili da implementare senza un impatto notevole sul business. Un’altra carenza che riscontro molto spesso è l’assenza di commitment da parte del top management delle aziende. In pratica, ci si muove solo quando ci sono delle esigenze di conformità normativa. Il problema è che la cosiddetta regulation mania c’è solo in alcuni paesi. Pertanto, non è possibile guardare ai target in quanto tali, ma si deve aspettare un problema legale prima di muoversi. Questo rappresenta un limite notevole, in quanto non si può aspettare una catastrofe prima di iniziare. A pesare parecchio, infine, è anche la scarsa conoscenza del territorio, intendendo come tale la mancanza di conoscenza di quali e quanti obiettivi sensibili ci sono in azienda. Questo è un problema non banale, che si comprende in molti casi solo quando avviene un incidente. Purtroppo, però, quando ciò avviene, c’è il problema della tempestività, che in caso di informazioni mancanti, diventa un traguardo irraggiungibile. Con perdite di danaro molto ingenti».

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome