Intervista a Luca Sambucci di Sicurezzainformatica.it
Inserito da Redazione il Gio, 2005-06-16 15:06
Giugno 2005 | IT Colloquia | Security
0506-sambucci
Ciao Luca e grazie per aver accettato di fare questa chiacchierata. Ci racconti cos’è http://www.sicurezzainformatica.it/ ?
SicurezzaInformatica.it è nato con lo scopo di colmare un gap informativo sia fra i professionisti della ICT security e gli utenti comuni, sia fra gli stessi professionisti all'interno della comunità di ricerca. Da un lato infatti non sempre le risorse per gli addetti ai lavori sono accessibili al semplice utilizzatore di Internet, vuoi perché le interminabili liste di vulnerabilità appena scoperte sono a volte troppo tecniche, vuoi perché quelle di immediata comprensione appartengono ai produttori di software di sicurezza - che ovviamente finiscono per spingerti verso i loro servizi.
Spesso in molti utenti vedo lo sconforto di doversi scontrare con un'informazione o troppo tecnica, o troppo di parte.
Il mio sito dunque è una prima, anche se non esauriente, risposta a questo problema: mettere in evidenza i problemi che considero rilevanti, spiegarli brevemente, quindi dare un rimando ad altri articoli o documenti che li illustrano più dettagliatamente.
Il secondo obiettivo è quello di creare una risorsa per gli stessi esperti o appassionati di sicurezza ICT. Non si può essere esperti di tutto, ovviamente, quindi chi dedica il proprio lavoro alla biometria potrebbe non essere a conoscenza dei nuovi risvolti del phishing, mentre chi disassembla virus da una vita magari non sa come creare il proprio sito web in modo da renderlo impermeabile all'e-mail harvesting e alla conseguente ondata di spam. O ancora, un avvocato esperto di privacy non sempre ha il tempo o le risorse per seguire le ultime notizie dal mondo della crittografia. Chi è interessato un po' a tutti gli aspetti della sicurezza informatica, dove va oggi a informarsi? Con SicurezzaInformatica.it cerco di parlare di sicurezza ICT a tutto tondo, a volte scrivendo brevi testi con consigli e suggerimenti, più spesso riprendendo e commentando articoli e notizie interessanti.
Per ora il progetto è ancora in fase di rodaggio, tant'è che ha poco più di tre mesi, ma già riesce a catturare l'interesse di circa 250 lettori al giorno. In futuro le firme potrebbero aumentare e il sito potrebbe diventare parte di un più ampio osservatorio sulla sicurezza. Questa è un'ipotesi che sto accarezzando da tempo, ma oggi preferisco non mettere troppa carne al fuoco.
Spesso si ha l’impressione che la sicurezza informatica sia un tema solo per addetti ai lavori. Hai scritto oltre sessanta articoli sul tema della sicurezza informatica; qual è il tuo giudizio sulla “divulgazione scientifica e tecnologica”?
Se ti riferisci al campo della sicurezza informatica ritengo vi siano molte aree da colmare. Gli addetti ai lavori di solito fanno parte di quella generazione di trenta/quarantenni che sono venuti su a pane e computer (il mio Commodore Plus 4 l'ho acceso per la prima volta un lontano Natale di ventuno anni fa). Noi ex "ragazzi del computer" siamo stati molto bravi a imparare, ma forse per indole siamo e restiamo poco bravi a spiegare. Di conseguenza al grande pubblico si sono spesso presentati altri personaggi in veste di esperti di security, bravi comunicatori ma in realtà assolutamente digiuni di sicurezza informatica. Come risultato ovviamente abbiamo ottenuto disinformazione, allarmismo, a volte vere e proprie truffe. Ancora oggi a leggere gran parte degli articoli di security pubblicati sulle riviste italiane verrebbe da mettersi le mani nei capelli: se a scriverli è un esperto di sicurezza i temi vengono spiegate male, con troppi tecnicismi, poco accessibili all'utente medio. Ricordo che i primi tempi in Mondadori dovevo riscrivere un articolo due volte prima che mi venisse accettato come "comprensibile".
Se invece gli articoli vengono scritti da normali giornalisti allora gli argomenti sono sì chiari, ma sostanzialmente errati.
Per veder migliorare la situazione temo dovremo aspettare la prossima generazione di giornalisti-divulgatori, sperando che durante la scuola di giornalismo essi si siano scontrati con qualche bella manciata di malware in modo da farsi le ossa.
Per ora ci dobbiamo accontentare di risorse di buon livello tecnico ma non necessariamente accessibili a tutti, come i quaderni del Clusit , http://www.clusit.it/, o la rivista ICT Security, http://www.nstecna.com/pubblicazioni/ictsecurity/ictsecurity.html , oppure di tradurre gli articoli provenienti da oltreoceano, dove questo avvicendamento pare sia in gran parte già avvenuto.
Sei consulente tecnologico del Ministro delle Comunicazioni, http://www.comunicazioni.it/it/ : che tipo di attività svolgi?
Ufficialmente sono il consulente per "i servizi della rete Internet". In pratica ho svolto diverse consulenze per il ministro Gasparri, sia concernenti la sicurezza informatica sia per questioni di Internet governance. Oggi proseguo sulla stessa strada anche con il neoministro Landolfi. Per quanto riguarda la sicurezza ICT fra le altre cose ho seguito la nascita e gli sviluppi della nuova agenzia europea per la sicurezza delle reti, Enisa, http://www.enisa.eu.int/ . All'atto pratico questo si traduce nella revisione di testi e documenti tecnici, nella partecipazione a conferenze e tavoli di lavoro, a volte rappresentando il Ministero, altre volte solo con compiti di osservazione. Tutte le consulenze e le analisi vengono poi fornite direttamente al Ministro.
In che consiste la tua attività presso la WildList Organization, http://www.wildlist.org/?
Per introdurre la WildList è necessaria una premessa. Nei primi anni novanta la sicurezza informatica raramente usciva dall'ambito del malware. La biometria, i dispositivi mobili, il cyberwarfare e le intrusioni nelle reti wireless erano roba da film. L'IT security si concentrava sui virus: erano loro il fenomeno di maggior impatto. A interessarsi di sicurezza a quei tempi eravamo relativamente in pochi, e forse data la mia dimestichezza con l'inglese fui uno dei pochissimi italiani a prendere subito contatto con i grandi ricercatori dell'epoca.
Nel 1992 ad esempio incontrai e intervistai John McAfee, colui che diede nome all'omonima azienda, e negli stessi anni strinsi legami con molti ricercatori americani ed europei. Fu così che entrai a far parte - unico italiano - nella WildList Organization, un'associazione di ricercatori che segnalano ogni mese i virus più diffusi nel loro Paese, in modo da creare una mappa fedele delle infezioni virali in tutto il mondo. Tre anni fa entrò a darmi man forte anche l'amico Paolo Monti, che ora insieme a me rappresenta l'Italia nella WL.
In linea di massima l'attività consiste nel riportare all'inizio di ogni mese i virus di cui si è riscontrata l'attività durante il mese precedente. Oltre a questo ci sono molte altre iniziative limitate ai partecipanti, come il forum di discussione interno: un luogo neutrale dove molti tecnici di aziende del settore e ricercatori indipendenti si incontrano per fare il punto e scambiarsi opinioni sugli ultimi aspetti di sicurezza informatica. O come i meeting informali che spesso si tengono a margine di convegni e conferenze del settore (Eicar e Virus Bulletin in particolare).
Cos’è il Comitato di Garanzia "Internet e Minori", http://www.interneteminori.org?
Una delle innovazioni del Ministero delle Comunicazioni sotto la guida di Gasparri, ripresa oggi da Landolfi, è rappresentata dall'alto numero di autoregolamentazioni fra i vari player delle Tlc. La concezione che lo Stato o il Governo possano intervenire con mano pesante per legiferare su aspetti concernenti le nuove tecnologie è sbagliata in partenza. L'informatica e la telematica si muovono così velocemente da essere praticamente impossibili da imbrigliare all'interno di leggi e regolamenti predisposti da un apparato lento e complesso come un governo nazionale. D'altra parte però le infrastrutture informatiche oggi sono troppo importanti per la vita di un Paese da essere lasciate senza una qualche forma di regolamentazione che tuteli gli interessi di tutti cittadini. Una soluzione fattibile al problema è rappresentata dalle autoregolamentazioni, concertate e promosse dalle Istituzioni, ma redatte e gestite dai rappresentanti di tutte le parti in causa. Gli stakeholder, per dirla con un termine oggi in voga nelle istituzioni. Il Comitato di Garanzia "Internet e Minori" è il prodotto di una di queste autoregolamentazioni: un comitato in cui siedono rappresentanti dell'industria, dei provider, delle Istituzioni, della polizia, delle associazioni di volontariato. Il Comitato garantisce la corretta applicazione del Codice "Internet e Minori", sottoscritto dai Ministri Gasparri e Stanca assieme a quattro associazioni di provider: Aiip, Anfov, Assoprovider e Federcomin. Il Codice a sua volta esorta i provider a fornire informazioni chiare per i minori e per i genitori sui pericoli di Internet, creando ove possibile percorsi di navigazione protetta e sensibilizzando gli educatori a un ruolo attivo durante l'uso di Internet da parte dei bambini.
Oltre a questo il Comitato organizza tavole rotonde e iniziative di vario genere per creare una rete di contatti fra tutte le parti in causa. In queste settimane ad esempio si stanno svolgendo audizioni con associazioni di volontariato che in tutta Italia lavorano per il contrasto alla pedofilia on-ine, con esperti giuristi e psicologi, nonché con le aziende che producono filtri e software per il parental control.
All'interno del Comitato io rappresento il Ministero delle Comunicazioni e coordino il gruppo di lavoro che ha organizzato le audizioni per i produttori di software di filtraggio.
Che ne pensi del livello di sicurezza informatica delle aziende e pubbliche amministrazioni italiane? Come siamo messi rispetto al resto d’Europa e agli Usa?
Qui ho una notizia buona e una cattiva. Quella buona è che a mio avviso sul piano aziendale siamo agli stessi livelli degli Usa e di molti altri Paesi europei, la notizia cattiva è che anche loro come noi sono messi tutt'altro che bene. In entrambi i casi nelle aziende manca una figura professionale che riesca a intervenire su ogni anello della proverbiale catena della sicurezza. Se l'azienda si dota di tutte le armi per la prevenzione, come i sempreverdi antivirus, i firewall, gli intrusion detection system, quasi sempre mancherà una policy per la corretta implementazione di tutte quelle procedure che rendono i software veramente utili. E se la policy esiste non verrà seguita. Che senso ha spendere decine di migliaia di Euro per tenere fuori gli hacker, se poi un dirigente poco accorto mi installa un rogue device proprio ai margini del perimetro Wi-Fi? Perché buttare fior di quattrini in costose analisi preventive, se poi basta un po' di social engineering per convincere un dipendente su due a fornire a perfetti sconosciuti la propria password di accesso al sistema?
Quello che manca in azienda è un dirigente plenipotenziario che abbia una visione completa e "olistica" della sicurezza informatica, connessa ovviamente ai molteplici aspetti della sicurezza fisica. Anche quest'ultima infatti riveste un'importanza fondamentale: nel corso di un tutorial a un convegno di Mondadori l'anno scorso dimostrai come sia possibile accendere un computer, ottenere - con software facilmente reperibili su Internet - la password di Windows XP, e infine spegnere tutto senza lasciare tracce. Tutto questo in meno di dieci minuti.
Quanti amministratori di sistema lasciano la porta della propria stanza aperta mentre sono in pausa pranzo?
Esiste già la guerra elettronica tra i vari paesi? E l'Italia è attrezzata?
Prima di tutto quella elettronica è una guerra di definizioni. Cosa sia il cyberterrorismo ho cercato di spiegarlo qualche giorno fa sul mio blog, http://www.sicurezzainformatica.it/archives/2005/05/schneier_sul_cy.html.
Analogamente il cyberwarfare può essere inteso come tutta quella serie di operazioni di fiancheggiamento ai conflitti - sia militari sia economici - più convenzionali. La guerra elettronica come la immaginiamo non solo non esiste, ma non esisterà ancora per molti anni. Questo non impedisce certo ai governi dei vari Paesi di attrezzarsi adeguatamente, ma l'immagine di un centro di comando e controllo pieno di hacker che lanciano attacchi alle risorse elettroniche di un Paese nemico è ancora prematura. La mia opinione è che questi hacker esistano, ma che non siano ancora completamente integrati all'interno delle strutture militari. Oggi è presumibile ipotizzare che questi ragazzi siano impegnati in operazioni di data mining piuttosto che service disruption.
A cosa lavori in questo periodo?
In questi mesi, oltre ai miei consueti compiti per il Ministero, sto organizzando lo start-up di un'azienda di consulenza tecnologica a Mosca, chiamata Refocus, http://www.refocus.ru/ . L'azienda è un progetto a capitale misto italo-russo, e si occuperà di consulenze specializzate sia in ambito informatico e tecnologico, sia in materia di internazionalizzazione delle imprese italiane.
Che consigli dai a chi volesse occuparsi di sicurezza informatica in maniera professionale? Che tipi di studi? Che specializzazione?
Per occuparsi di sicurezza informatica bisogna anzitutto avere due qualità indispensabili: amore per la tecnologia e curiosità. Sono questi due elementi che ti fanno restare alzato ben oltre le due di notte per studiare il funzionamento di un worm, o che ti spingono a cercare le vulnerabilità in qualsiasi software o procedura che ti capiti sotto mano. Se si dispone di questi due ingredienti indispensabili, si può anche procedere con studi adeguati. A Crema è stato aperto il corso di laurea in Sicurezza Informatica , http://www.cdlonline.unimi.it/cdlOnline/ls-ssri.asp, mentre se si è più giovani è possibile iniziare con l'ottimo "corso di hacking" pensato proprio per i licei e disponibile gratuitamente in: http://www.hackerhighschool.org/lessons_it.shtml.
Una volta terminati gli studi, sarebbe meglio ottenere una o più certificazioni professionali possibilmente vendor-neutral. A riguardo il Clusit ha rilasciato un ottimo documento, disponibile in: http://www.clusit.it/download/Q02_web.pdf ,che illustra i pro e i contro delle varie certificazioni.
A tutto questo va sempre aggiunta una buona fetta di tempo per mantenersi aggiornati leggendo libri, report e notizie dal mondo della security. Se non ti mantieni aggiornato per un anno rischi di doverne passare altri tre solo per recuperare il tempo perduto.
Quanto vale la teoria e quanto la pratica?
Ipotizziamo di stare costruendo un edificio. La teoria sono le fondamenta, la pratica è tutto il resto. Sono entrambi importantissimi e indispensabili, ma alla fine quella che risalterà maggiormente sarà l'esperienza accumulata con la pratica.
Che ne pensi delle varie certificazioni professionali di sicurezza tipo CISSP, CISM, eccetera?
Se vuoi veramente fare strada nel mondo della IT security, sono indispensabili. La CISSP è la più gettonata e richiesta, e chi vuole intraprendere una carriera in questo campo è meglio che inizi seriamente a studiare per conseguirla.
Che leggi in questo periodo? Qualche must da consigliare per chi fa questo mestiere?
Di solito leggo due o tre libri contemporaneamente - che non è detto sia il modo più rapido ed efficente per leggere, ma è il mio metodo e ormai non posso più cambiarlo. Sto alle ultime pagine di "Beyond Fear", di Bruce Schneier, http://www.schneier.com/book-beyondfear.html, un ottimo saggio sulle vulnerabilità nascoste nei sistemi di sicurezza. Oltre a questo sto leggendo "System Failure - Why governments must learn to think differently", di Jake Chapman, sull'importanza di applicare i modelli studiati per i sistemi complessi anche alle strutture governative. Infine ho appena iniziato "Google Hacking for Penetration Testers", di Johnny Long, un corposo volume sull'arte del data mining che si preannuncia estremamente interessante.
Sui "must" in realtà preferisco non sbilanciarmi. Bisogna leggere un pò di tutto, si devono scegliere con cura e frequentare assiduamente i propri canali informativi preferiti. Io non posso fare a meno di Slashdot, http://www.slashdot.org, e Wired, http://www.wired.com, ma non esistono veramente guide chiavi-in-mano, ognuno deve fare una ricerca e una successiva scrematura assecondando i propri gusti e i propri interessi. Del resto un esperto di sicurezza informatica non è una persona a cui piacciono i percorsi prestabiliti.
Grazie Luca e buon lavoro
Ciao Luca e grazie per aver accettato di fare questa chiacchierata. Ci racconti cos’è http://www.sicurezzainformatica.it/ ?
SicurezzaInformatica.it è nato con lo scopo di colmare un gap informativo sia fra i professionisti della ICT security e gli utenti comuni, sia fra gli stessi professionisti all'interno della comunità di ricerca. Da un lato infatti non sempre le risorse per gli addetti ai lavori sono accessibili al semplice utilizzatore di Internet, vuoi perché le interminabili liste di vulnerabilità appena scoperte sono a volte troppo tecniche, vuoi perché quelle di immediata comprensione appartengono ai produttori di software di sicurezza - che ovviamente finiscono per spingerti verso i loro servizi.
Spesso in molti utenti vedo lo sconforto di doversi scontrare con un'informazione o troppo tecnica, o troppo di parte.
Il mio sito dunque è una prima, anche se non esauriente, risposta a questo problema: mettere in evidenza i problemi che considero rilevanti, spiegarli brevemente, quindi dare un rimando ad altri articoli o documenti che li illustrano più dettagliatamente.
Il secondo obiettivo è quello di creare una risorsa per gli stessi esperti o appassionati di sicurezza ICT. Non si può essere esperti di tutto, ovviamente, quindi chi dedica il proprio lavoro alla biometria potrebbe non essere a conoscenza dei nuovi risvolti del phishing, mentre chi disassembla virus da una vita magari non sa come creare il proprio sito web in modo da renderlo impermeabile all'e-mail harvesting e alla conseguente ondata di spam. O ancora, un avvocato esperto di privacy non sempre ha il tempo o le risorse per seguire le ultime notizie dal mondo della crittografia. Chi è interessato un po' a tutti gli aspetti della sicurezza informatica, dove va oggi a informarsi? Con SicurezzaInformatica.it cerco di parlare di sicurezza ICT a tutto tondo, a volte scrivendo brevi testi con consigli e suggerimenti, più spesso riprendendo e commentando articoli e notizie interessanti.
Per ora il progetto è ancora in fase di rodaggio, tant'è che ha poco più di tre mesi, ma già riesce a catturare l'interesse di circa 250 lettori al giorno. In futuro le firme potrebbero aumentare e il sito potrebbe diventare parte di un più ampio osservatorio sulla sicurezza. Questa è un'ipotesi che sto accarezzando da tempo, ma oggi preferisco non mettere troppa carne al fuoco.
Spesso si ha l’impressione che la sicurezza informatica sia un tema solo per addetti ai lavori. Hai scritto oltre sessanta articoli sul tema della sicurezza informatica; qual è il tuo giudizio sulla “divulgazione scientifica e tecnologica”?
Se ti riferisci al campo della sicurezza informatica ritengo vi siano molte aree da colmare. Gli addetti ai lavori di solito fanno parte di quella generazione di trenta/quarantenni che sono venuti su a pane e computer (il mio Commodore Plus 4 l'ho acceso per la prima volta un lontano Natale di ventuno anni fa). Noi ex "ragazzi del computer" siamo stati molto bravi a imparare, ma forse per indole siamo e restiamo poco bravi a spiegare. Di conseguenza al grande pubblico si sono spesso presentati altri personaggi in veste di esperti di security, bravi comunicatori ma in realtà assolutamente digiuni di sicurezza informatica. Come risultato ovviamente abbiamo ottenuto disinformazione, allarmismo, a volte vere e proprie truffe. Ancora oggi a leggere gran parte degli articoli di security pubblicati sulle riviste italiane verrebbe da mettersi le mani nei capelli: se a scriverli è un esperto di sicurezza i temi vengono spiegate male, con troppi tecnicismi, poco accessibili all'utente medio. Ricordo che i primi tempi in Mondadori dovevo riscrivere un articolo due volte prima che mi venisse accettato come "comprensibile".
Se invece gli articoli vengono scritti da normali giornalisti allora gli argomenti sono sì chiari, ma sostanzialmente errati.
Per veder migliorare la situazione temo dovremo aspettare la prossima generazione di giornalisti-divulgatori, sperando che durante la scuola di giornalismo essi si siano scontrati con qualche bella manciata di malware in modo da farsi le ossa.
Per ora ci dobbiamo accontentare di risorse di buon livello tecnico ma non necessariamente accessibili a tutti, come i quaderni del Clusit , http://www.clusit.it/, o la rivista ICT Security, http://www.nstecna.com/pubblicazioni/ictsecurity/ictsecurity.html , oppure di tradurre gli articoli provenienti da oltreoceano, dove questo avvicendamento pare sia in gran parte già avvenuto.
Sei consulente tecnologico del Ministro delle Comunicazioni, http://www.comunicazioni.it/it/ : che tipo di attività svolgi?
Ufficialmente sono il consulente per "i servizi della rete Internet". In pratica ho svolto diverse consulenze per il ministro Gasparri, sia concernenti la sicurezza informatica sia per questioni di Internet governance. Oggi proseguo sulla stessa strada anche con il neoministro Landolfi. Per quanto riguarda la sicurezza ICT fra le altre cose ho seguito la nascita e gli sviluppi della nuova agenzia europea per la sicurezza delle reti, Enisa, http://www.enisa.eu.int/ . All'atto pratico questo si traduce nella revisione di testi e documenti tecnici, nella partecipazione a conferenze e tavoli di lavoro, a volte rappresentando il Ministero, altre volte solo con compiti di osservazione. Tutte le consulenze e le analisi vengono poi fornite direttamente al Ministro.
In che consiste la tua attività presso la WildList Organization, http://www.wildlist.org/?
Per introdurre la WildList è necessaria una premessa. Nei primi anni novanta la sicurezza informatica raramente usciva dall'ambito del malware. La biometria, i dispositivi mobili, il cyberwarfare e le intrusioni nelle reti wireless erano roba da film. L'IT security si concentrava sui virus: erano loro il fenomeno di maggior impatto. A interessarsi di sicurezza a quei tempi eravamo relativamente in pochi, e forse data la mia dimestichezza con l'inglese fui uno dei pochissimi italiani a prendere subito contatto con i grandi ricercatori dell'epoca.
Nel 1992 ad esempio incontrai e intervistai John McAfee, colui che diede nome all'omonima azienda, e negli stessi anni strinsi legami con molti ricercatori americani ed europei. Fu così che entrai a far parte - unico italiano - nella WildList Organization, un'associazione di ricercatori che segnalano ogni mese i virus più diffusi nel loro Paese, in modo da creare una mappa fedele delle infezioni virali in tutto il mondo. Tre anni fa entrò a darmi man forte anche l'amico Paolo Monti, che ora insieme a me rappresenta l'Italia nella WL.
In linea di massima l'attività consiste nel riportare all'inizio di ogni mese i virus di cui si è riscontrata l'attività durante il mese precedente. Oltre a questo ci sono molte altre iniziative limitate ai partecipanti, come il forum di discussione interno: un luogo neutrale dove molti tecnici di aziende del settore e ricercatori indipendenti si incontrano per fare il punto e scambiarsi opinioni sugli ultimi aspetti di sicurezza informatica. O come i meeting informali che spesso si tengono a margine di convegni e conferenze del settore (Eicar e Virus Bulletin in particolare).
Cos’è il Comitato di Garanzia "Internet e Minori", http://www.interneteminori.org?
Una delle innovazioni del Ministero delle Comunicazioni sotto la guida di Gasparri, ripresa oggi da Landolfi, è rappresentata dall'alto numero di autoregolamentazioni fra i vari player delle Tlc. La concezione che lo Stato o il Governo possano intervenire con mano pesante per legiferare su aspetti concernenti le nuove tecnologie è sbagliata in partenza. L'informatica e la telematica si muovono così velocemente da essere praticamente impossibili da imbrigliare all'interno di leggi e regolamenti predisposti da un apparato lento e complesso come un governo nazionale. D'altra parte però le infrastrutture informatiche oggi sono troppo importanti per la vita di un Paese da essere lasciate senza una qualche forma di regolamentazione che tuteli gli interessi di tutti cittadini. Una soluzione fattibile al problema è rappresentata dalle autoregolamentazioni, concertate e promosse dalle Istituzioni, ma redatte e gestite dai rappresentanti di tutte le parti in causa. Gli stakeholder, per dirla con un termine oggi in voga nelle istituzioni. Il Comitato di Garanzia "Internet e Minori" è il prodotto di una di queste autoregolamentazioni: un comitato in cui siedono rappresentanti dell'industria, dei provider, delle Istituzioni, della polizia, delle associazioni di volontariato. Il Comitato garantisce la corretta applicazione del Codice "Internet e Minori", sottoscritto dai Ministri Gasparri e Stanca assieme a quattro associazioni di provider: Aiip, Anfov, Assoprovider e Federcomin. Il Codice a sua volta esorta i provider a fornire informazioni chiare per i minori e per i genitori sui pericoli di Internet, creando ove possibile percorsi di navigazione protetta e sensibilizzando gli educatori a un ruolo attivo durante l'uso di Internet da parte dei bambini.
Oltre a questo il Comitato organizza tavole rotonde e iniziative di vario genere per creare una rete di contatti fra tutte le parti in causa. In queste settimane ad esempio si stanno svolgendo audizioni con associazioni di volontariato che in tutta Italia lavorano per il contrasto alla pedofilia on-ine, con esperti giuristi e psicologi, nonché con le aziende che producono filtri e software per il parental control.
All'interno del Comitato io rappresento il Ministero delle Comunicazioni e coordino il gruppo di lavoro che ha organizzato le audizioni per i produttori di software di filtraggio.
Che ne pensi del livello di sicurezza informatica delle aziende e pubbliche amministrazioni italiane? Come siamo messi rispetto al resto d’Europa e agli Usa?
Qui ho una notizia buona e una cattiva. Quella buona è che a mio avviso sul piano aziendale siamo agli stessi livelli degli Usa e di molti altri Paesi europei, la notizia cattiva è che anche loro come noi sono messi tutt'altro che bene. In entrambi i casi nelle aziende manca una figura professionale che riesca a intervenire su ogni anello della proverbiale catena della sicurezza. Se l'azienda si dota di tutte le armi per la prevenzione, come i sempreverdi antivirus, i firewall, gli intrusion detection system, quasi sempre mancherà una policy per la corretta implementazione di tutte quelle procedure che rendono i software veramente utili. E se la policy esiste non verrà seguita. Che senso ha spendere decine di migliaia di Euro per tenere fuori gli hacker, se poi un dirigente poco accorto mi installa un rogue device proprio ai margini del perimetro Wi-Fi? Perché buttare fior di quattrini in costose analisi preventive, se poi basta un po' di social engineering per convincere un dipendente su due a fornire a perfetti sconosciuti la propria password di accesso al sistema?
Quello che manca in azienda è un dirigente plenipotenziario che abbia una visione completa e "olistica" della sicurezza informatica, connessa ovviamente ai molteplici aspetti della sicurezza fisica. Anche quest'ultima infatti riveste un'importanza fondamentale: nel corso di un tutorial a un convegno di Mondadori l'anno scorso dimostrai come sia possibile accendere un computer, ottenere - con software facilmente reperibili su Internet - la password di Windows XP, e infine spegnere tutto senza lasciare tracce. Tutto questo in meno di dieci minuti.
Quanti amministratori di sistema lasciano la porta della propria stanza aperta mentre sono in pausa pranzo?
Esiste già la guerra elettronica tra i vari paesi? E l'Italia è attrezzata?
Prima di tutto quella elettronica è una guerra di definizioni. Cosa sia il cyberterrorismo ho cercato di spiegarlo qualche giorno fa sul mio blog, http://www.sicurezzainformatica.it/archives/2005/05/schneier_sul_cy.html.
Analogamente il cyberwarfare può essere inteso come tutta quella serie di operazioni di fiancheggiamento ai conflitti - sia militari sia economici - più convenzionali. La guerra elettronica come la immaginiamo non solo non esiste, ma non esisterà ancora per molti anni. Questo non impedisce certo ai governi dei vari Paesi di attrezzarsi adeguatamente, ma l'immagine di un centro di comando e controllo pieno di hacker che lanciano attacchi alle risorse elettroniche di un Paese nemico è ancora prematura. La mia opinione è che questi hacker esistano, ma che non siano ancora completamente integrati all'interno delle strutture militari. Oggi è presumibile ipotizzare che questi ragazzi siano impegnati in operazioni di data mining piuttosto che service disruption.
A cosa lavori in questo periodo?
In questi mesi, oltre ai miei consueti compiti per il Ministero, sto organizzando lo start-up di un'azienda di consulenza tecnologica a Mosca, chiamata Refocus, http://www.refocus.ru/ . L'azienda è un progetto a capitale misto italo-russo, e si occuperà di consulenze specializzate sia in ambito informatico e tecnologico, sia in materia di internazionalizzazione delle imprese italiane.
Che consigli dai a chi volesse occuparsi di sicurezza informatica in maniera professionale? Che tipi di studi? Che specializzazione?
Per occuparsi di sicurezza informatica bisogna anzitutto avere due qualità indispensabili: amore per la tecnologia e curiosità. Sono questi due elementi che ti fanno restare alzato ben oltre le due di notte per studiare il funzionamento di un worm, o che ti spingono a cercare le vulnerabilità in qualsiasi software o procedura che ti capiti sotto mano. Se si dispone di questi due ingredienti indispensabili, si può anche procedere con studi adeguati. A Crema è stato aperto il corso di laurea in Sicurezza Informatica , http://www.cdlonline.unimi.it/cdlOnline/ls-ssri.asp, mentre se si è più giovani è possibile iniziare con l'ottimo "corso di hacking" pensato proprio per i licei e disponibile gratuitamente in: http://www.hackerhighschool.org/lessons_it.shtml.
Una volta terminati gli studi, sarebbe meglio ottenere una o più certificazioni professionali possibilmente vendor-neutral. A riguardo il Clusit ha rilasciato un ottimo documento, disponibile in: http://www.clusit.it/download/Q02_web.pdf ,che illustra i pro e i contro delle varie certificazioni.
A tutto questo va sempre aggiunta una buona fetta di tempo per mantenersi aggiornati leggendo libri, report e notizie dal mondo della security. Se non ti mantieni aggiornato per un anno rischi di doverne passare altri tre solo per recuperare il tempo perduto.
Quanto vale la teoria e quanto la pratica?
Ipotizziamo di stare costruendo un edificio. La teoria sono le fondamenta, la pratica è tutto il resto. Sono entrambi importantissimi e indispensabili, ma alla fine quella che risalterà maggiormente sarà l'esperienza accumulata con la pratica.
Che ne pensi delle varie certificazioni professionali di sicurezza tipo CISSP, CISM, eccetera?
Se vuoi veramente fare strada nel mondo della IT security, sono indispensabili. La CISSP è la più gettonata e richiesta, e chi vuole intraprendere una carriera in questo campo è meglio che inizi seriamente a studiare per conseguirla.
Che leggi in questo periodo? Qualche must da consigliare per chi fa questo mestiere?
Di solito leggo due o tre libri contemporaneamente - che non è detto sia il modo più rapido ed efficente per leggere, ma è il mio metodo e ormai non posso più cambiarlo. Sto alle ultime pagine di "Beyond Fear", di Bruce Schneier, http://www.schneier.com/book-beyondfear.html, un ottimo saggio sulle vulnerabilità nascoste nei sistemi di sicurezza. Oltre a questo sto leggendo "System Failure - Why governments must learn to think differently", di Jake Chapman, sull'importanza di applicare i modelli studiati per i sistemi complessi anche alle strutture governative. Infine ho appena iniziato "Google Hacking for Penetration Testers", di Johnny Long, un corposo volume sull'arte del data mining che si preannuncia estremamente interessante.
Sui "must" in realtà preferisco non sbilanciarmi. Bisogna leggere un pò di tutto, si devono scegliere con cura e frequentare assiduamente i propri canali informativi preferiti. Io non posso fare a meno di Slashdot, http://www.slashdot.org, e Wired, http://www.wired.com, ma non esistono veramente guide chiavi-in-mano, ognuno deve fare una ricerca e una successiva scrematura assecondando i propri gusti e i propri interessi. Del resto un esperto di sicurezza informatica non è una persona a cui piacciono i percorsi prestabiliti.
Grazie Luca e buon lavoro
» email this story | printer friendly version | 3168 reads
