Cerca

L’università come centro di competenza in ICT Security. Imparare in aula a gestire gli incidenti informatici unendo rigore metodologico ed esperienza pratica.

Ciao Dario, cominciamo con la tua esperienza accademica: come è nata questa collaborazione con l’Università ? Cosa insegni?

La mia collaborazione con il Campus di Crema, polo dell’Università di Statale di Milano, è iniziata circa tre anni fa, quando abbiamo iniziato i primi corsi di specializzazione di Digital Forensics per i laureandi. Era un periodo in cui di questa disciplina non parlava nessuno in quanto non era di moda. A Crema sono stati lungimiranti e, visto il successo ottenuto dalle prime esperienze, è stato attivato un insegnamento specifico all’interno del corso di laurea in corso di laurea triennale in "Sicurezza dei sistemi e delle reti informatiche".

Parlaci di questo nuovo corso di laurea.

Il corso in generale sta andando benissimo tanto che, da quest’anno accademico, ne è prevista anche una versione “online”. La risposta degli studenti, anche lavoratori, ha superato tutte le aspettative. Il corso di laurea è indirizzato a studenti “convenzionali” e a chi è già nel mondo del lavoro. Ha in comune con Informatica alcune materie fondamentali e poi si sviluppa su argomenti più verticali come secure programming, sistemistica e reti “sicure” , gestione del rischio, Legal etc. Crema è una piccola cittadina, ma molto accogliente per gli studenti. Il campus è moderno ed è in continua espansione. Gli alloggi sono a buon mercato e gli studenti vengono seguiti puntualmente. La cosa positiva di Crema, inoltre, è il contesto internazionale in cui ci si muove. Abbiamo progetti in corso con Stati Uniti, Germania, Australia. La qualità delle lezioni è davvero molto alta.

Il tuo insegnamento si chiama “Gestione degli incidenti informatici”: è un tema molto attuale per le aziende italiane che spesso hanno privilegiato un approccio per prodotto (antivirus, firewall) rispetto ad un approccio per processi ed organizzativo. Qual è la situazione e la tua opinione a riguardo?

L’insegnamento riguarda sia processi sia operazioni, nel senso che è organizzato sia sulla parte di tipo organizzativo sia su sessioni di tipo pratico con strumenti commerciali ed opensource.

Per quanto mi riguarda seguo questa disciplina sin da quando ero nelle Forze dell’Ordine, e ritengo che si tratti di una materia assolutamente attuale e direi obbligatoria. L’obiettivo principale in questo momento storico è quello di abbassare al minimo i tempi di reazione, sia post attacco sia nelle investigazioni interne. Come consulente ho molti clienti di fascia alta, sia qui, sia all’estero, e la riorganizzazione dei loro processi in funzione della gestione incidenti e crisi ha dato risultati davvero molto buoni. Sicuramente un approccio di tipo organizzativo è più adatto a realtà di tipo enterprise, ma noi abbiamo sviluppato dei microframework anche per realtà di tipo medio, mentre non ritengo coerente effettuare un servizio del genere per le piccole realtà , se non limitatamente ad un intervento di tipo reattivo, basato sulle best practice per il recupero dati e l’hardening dei sistemi operativi.

Cosa consiglieresti a chi volesse iscriversi all’Università per diventare un esperto di Sicurezza informatica?

Università come Crema formano i Consulenti e i CTO del futuro. Chi si iscrive all’inizio deve avere un po’ di pazienza e grande determinazione. Esami apparentemente asettici si rivelano presto un grande investimento per la forma mentis dello studente. La facoltà è selettiva, ma chi studia a Crema ha la certezza di interagire con docenti di rilevo internazionale e molto attenti alla riuscita professionale dello studente. Contemporaneamente allo sviluppo del curriculum universitario consiglio, inoltre, di approfondire la conoscenza dell’inglese e di una lingua straniera correlata ai mercati emergenti quali India ed Estremo Oriente.

E per chi già lavora? Cosa nei pensi delle “certificazioni professionali” in sicurezza informatica?

Ritengo che le certificazioni siano molto utili come “credenziali di apertura”. Negli USA l’offerta di lavoro per chi è certificato è molto elevata; conosco molti head hunter che chiedono le certificazioni come requisito base per accedere ai colloqui. Gli IS Auditor certificati CISA, per esempio, hanno un ottimo mercato così come i security manager certificati CISM che stanno togliendo “quote di mercato” ai CISSP. Anche in Italia la situazione si sta evolvendo in questo senso Bisogna tuttavia stare molto attenti al processo di accreditamento e alla verifica delle credenziali. Non sempre viene effettuato in maniera esaustiva. Le certificazioni professionali, insomma, danno una prima indicazione del livello qualitativo che poi bisogna comprovare e mantenere con i fatti.

Sei un Certified Fraud Examiner (CFE). Ci racconti cosa vuol dire e come si ottiene questa certificazione?

CFE è una certificazione relativa alle frodi. Mi ci sono avvicinato, tra i primi in Italia, quando ero nelle Forze dell’Ordine. Il fraud examiner è un professionista specializzato in un determinato settore. Spesso proviene o lavora nel mondo degli auditor ed ha a che fare anche con le tecnologie. Il processo di certificazione è stato lungo e richiede anche di fornire lettere di accreditamento da parte di persone già certificate che, in pratica, confermano il livello di professionalità del candidato. Ricordo che, quando ho richiesto l’ammissione, furono verificate le mie credenziali più volte ed in maniera incrociata. In questo momento l’associazione dei CFE sta aprendo un chapter anche in Italia. Personalmente, come CFE, mi occupo di Digital Investigations e Computer Forensics.

Parliamo dell’esperienza IRItaly (Incident Response Italy) http://www.iritaly.org/ È una nuova versione dei vecchi Cert Universitari o qualcosa di più?

Iritaly è un progetto che abbiamo fatto partire circa due anni fa a Crema ed al quale partecipano circa venti persone, tra docenti e studenti (anche laureati) del laboratorio di sicurezza. La prima parte del progetto ha prodotto un documento di circa 200 pagine che contiene un’indicazione operativa delle procedure da seguire in caso di incidente informatico; il documento è stato sviluppato insieme ad altri gruppi analoghi sparsi per il mondo. Le fonti vengono continuamente verificate e il documento aggiornato dal gruppo di lavoro. Allo stato attuale stiamo predisponendo la seconda edizione del documento che sarà riservata a determinati gruppi accreditati. Tale documento, infine, è il testo ufficiale del mio corso universitario a Crema.

La seconda parte del progetto è costituita da un CdRom di First Response, fondamentalmente Linux Based, che contiene un numero molto alto di strumenti in grado di gestire un primo intervento su macchine potenzialmente compromesse o comunque da indagare. Inizialmente questo strumento era basato su FIRE, una distribuzione molto famosa. Tuttavia, anche a seguito di colloqui che ho avuto personalmente con il Capo Progetto di FIRE, attualmente nella sicurezza di Aol, abbiamo deciso di migrare verso Knoppix, con dei risultati direi di grande stabilità . Durante gli speech che tengo in tutto il mondo il progetto ha sempre un gran riscontro. In questo momento stiamo lavorando con alcune università per l’organizzazione di ulteriori siti mirror per il download.

La terza parte del progetto è Honeynet. IRITaly è parte dell`Honeynet Project. In questo momento stiamo entrando in Generazione III, che sarà operativa unitamente alla nuova release della rete di dipartimento. Alcuni componenti di IRItaly, inoltre, hanno scritto un’interfaccia per uno dei tool fondamentali di Honeynet, Sebek, che può essere gestito anche via telefono cellulare.

Che tipo di risposta ha avuto dal mercato?

“Purtroppo” altissima. Nel senso che ho personalmente trovato il documento della prima parte del progetto letteralmente tagliato ed incollato (senza citazione della fonte) in consulenze fatte pagare ai clienti decine di migliaia di Euro. Ciò danneggia specialmente i clienti che si trovano a dover fruire di un prodotto assolutamente non contestualizzato, alzando quindi il rischio operativo. Noi abbiamo deciso, per questo motivo, di togliere il documento dal web, di lasciare solo alcune parti fondamentali di fruizione comune, e di renderlo disponibile solo ad enti accreditati, quali Pubblica Amministrazione e Forze di Polizia. Allo stato attuale abbiamo iniziato un lavoro di scambio informativo con alcune realtà di questo settore.

Va detto che IRItaly non è un CERT, ma un gruppo di persone dedicato alla gestione di Best Practices e di strumenti di primo intervento. La parte Honeynet, inoltre, ci da la possibilità di fungere da Early warning system, per le infrastrutture critiche. Nei prossimi mesi inizieremo anche a creare dei programmi di training per chiunque, tra gli operatori sopra citati, ne abbia bisogno. Un gruppo di vendor, infine, ha manifestato l’interesse a finanziare una traduzione del manuale in inglese.

Mi pare che una gran parte delle tue esperienze professionali si siano svolte all’estero. È importante essere collegati ad un circuito internazionale per chi fa il tuo mestiere?

Dipende dal livello a cui vuoi arrivare. Nell’Incident Response la connessione internazionale è indispensabile, specie quando lavori per conto di clienti di un certo livello. Va anche detto che ci sono circuiti e circuiti. Se vuoi viaggiare a certi livelli devi interloquire con CISO e sviluppare e mantenere un network negli anni, in quanto si tratta di un giro molto chiuso e protettivo basato sulla fiducia e sull’aiuto reciproci. Personalmente ho clienti importanti in Usa e Sudamerica, nazioni dove mi reco almeno 10 volte l’anno; il contatto personale è ovviamente insostituibile. Ciò richiede, d’altra parte, investimenti molto forti sia in termini economici sia di risorse.

Cosa stai leggendo in questi giorni? Hai qualche testo da consigliare ai nostri lettori che consideri un “must” per chi fa questo mestiere?

Sto leggendo poco e scrivendo molto: sta infatti per essere pubblicata la nuova edizione del mio manuale di infosecurity management ed un capitolo di un libro tecnico che sarà pubblicato a febbraio in tutto il mondo. Suggerisco a tutti di leggere “Tangled Web” di Richard Power. È un libro di un paio di anni fa, poco tecnico, ma che fa comprendere l’importanza della Business Security. Un’ottima leva verso il management che deve finanziare i progetti.

Cosa fai nella vita privata? Quali sono gli altri tuoi hobby ed interessi?

In questo periodo ho poco tempo libero, a dire il vero e sto viaggiando più del solito. Ad ogni modo, sia quando sono a Milano sia quando sono a New York, dove i miei hanno vissuto per molto tempo, cerco di vedere gli amici più cari, con i quali divido l’amore per il clubbing ed il jazz. Siamo un gruppo single irriducibili anche abbastanza “pazzo”. Ci è capitato anche di prendere un volo da Milano per passare il weekend a Miami e ritornare a lavorare “freschi” il lunedì seguente. Adoro cucinare e il vino di qualità (bere poco ma bene). Ma la mia vera passione sono i motori. Vivo in campagna qui in Italia e non ti nascondo che passo volentieri le domeniche a casa in totale relax a leggere e guardare Porsche, Maserati e Aston Martin…

Ciao Dario e grazie per l’intervista

Grazie a voi ed un caro saluto a tutti gli associati Isaca.