Ci racconti di te? Cosa fai, come hai cominciato ad occuparti di sicurezza?
Buongiorno e grazie a voi per l'interessamento.
Come molti di coloro che animano le liste e la “community” di
http://www.sikurezza.org [1], mi occupo professionalmente di sicurezza informatica; sono direttore tecnico di una società di consulenza del settore.
Le attività che seguo principalmente, sia come coordinamento che, in alcuni casi, partecipandovi io stesso, vanno dall'analisi dei rischi alla verifica delle vulnerabilità di un sistema informativo, fino ad arrivare alle simulazioni di attacco (“penetration test”, o, come preferisco chiamarlo, “ethical hacking”).
Più in generale, mi occupo di quasi tutti gli ambiti della sicurezza informatica, dall'analisi e risposta agli incidenti informatici (intrusioni, analisi forense, etc.) alla scelta e valutazione di soluzioni e prodotti, e così via. Se dovessi definire la mia figura utilizzerei (l'orrendo) termine di “security analist”: una persona che conosce un po' tutto nel suo ambito e non riesce ad approfondire niente in particolare!
In questo periodo mi sto occupando parecchio di formazione; pur lavorando in una società di consulenza, ritengo che sia fondamentale per le società e le strutture non troppo piccole riuscire ad acquisire internamente le competenze per una corretta gestione della sicurezza informatica; fosse anche solo per valutare il lavoro dei consulenti .
Ho cominciato ad occuparmi di sicurezza a livello amatoriale ai tempi di Fidonet, http://www.fidonet.it [2], quando seguivo le problematiche legate ai virus ed al software di gestione delle BBS e da allora non ho più smesso di interessarmi a queste tematiche, anche se ovviamente quando ho cominciato ad occuparmene 10/12 ore al giorno, le prospettive sono cambiate...
Avendo una formazione principalmente da amministratore di reti e sistemi, ho sempre ritenuto che la sicurezza informatica fosse una componente fondamentale di un sistema informativo o un'infrastruttura di rete, non un “pezzo” da applicare successivamente, semplicemente acquistando un particolare prodotto o chiamando un consulente dotato di bacchetta magica .
Cos’è http://www.sikurezza.org [3] e come è nata questa iniziativa?
Credo che la definizione più adatta per inquadrare sikurezza.org sia quella di “community”: una comunità virtuale di persone che si interessano di problematiche di sicurezza informatica e della loro diffusione, principalmente per passione e/o per lavoro. Questo avviene principalmente sulle mailing list, ma anche in numerosi eventi (webbit, linuxday, smau, infosecurity, etc.) a cui partecipano relatori che si riconoscono in qualche maniera come parte di questa community.
Citando dal sito: sikurezza.org gestisce numerose mailing list "security-related" in italiano. Si tratta di un progetto "non commerciale" e portato avanti da volontari. Attualmente il sito ospita le informazioni su come iscriversi alle mailing list e gli archivi on-line... in futuro è possibile supporre che verrano concessi spazi per ospitare progetti, software ed e-zine "security-related" della "scena italiana"; quest'ultima parte piano piano sta prendendo corpo: per esempio ospitiamo i progetti “angel” (Progetto AngeL, - The Power to protect, http://www.sikurezza.org/angel [4] )e “dafne” (
Dafne - securize your net, http://www.sikurezza.org/angel/dafne.html [5] )e le diapositive di numerose presentazioni tenute in vari eventi.
L'idea di avere un punto d'incontro tra la comunità “underground” e quella più legata ad aziende, università e simile mi frullava in testa da parecchio tempo; sikurezza.org è nata a questo proposito verso la fine del 1999, grazie anche al supporto (dominio, banda, hardware) della società in cui lavoravo al tempo.
Attualmente curo personalmente la moderazione di ml, crypto ed openbsd, nonché la gestione del server e dei contenuti; questo è uno dei limiti più grossi per la crescita del progetto... (vedi “sviluppi futuri” .
Non esiste un vero e proprio staff: ci siamo io ed il titolare della società di cui sopra che curiamo, al momento, le scelte “strategiche” ed una ventina di amici che sono il nocciolo duro della “community” e che aiutano (e spesso sono fondamentali) per progetti specifici, p. es. webbit, etc.
Dall’iniziale ml@sikurezza.org si è giunti a una serie di ml dedicate a temi specifici della sicurezza ml@sikurezza.org, lex@sikurezza.org, devel@sikurezza.org, crypto@sikurezza.org, openbsd@sikurezza.org, angel@sikurezza.org, progetto@sikurezza.org ... C’è tanto interesse per le “specializzazioni” in sicurezza?
In realtà ml (la lista principale, dedicata alle discussioni generali su tematiche di sicurezza informatica), progetto (la lista di coordinamento e discussione sul progetto stesso) e openbsd (dedicata agli utilizzatori italiani dell'omonimo sistema operativo, http://www.openbsd.org [6]) sono nate insieme. ml è la lista principale e conta il maggior numero di iscritti (~2500) ed il maggior numero di messaggi (~11800 totali, 50-150/mese).
Crypto (dedicata alla crittografia ed alla crittoanalisi: http://www.sikurezza.org/crypto/maillist.html [7] ) è nata poco dopo (Feb 2000) ma, proprio per le sue tematiche specialistiche non ha mai avuto un gran numero di messaggi (~300 in totale) né di iscritti.
In seguito (Mar 2002) sono nate devel (dedicata alle problematiche di programmazione e sviluppo applicazioni con particolare riguardo per sicurezza e networking, su proposta specifica della persona che ne cura la moderazione, http://www.sikurezza.org/devel/maillist.html [8] ) ed angel (dedicata all'omonimo progetto, un modulo kernel per Linux con funzioni di protezione ed anti-intrusione, moderata dal principale sviluppatore, http://www.sikurezza.org/mlangel/maillist.html [9]).
A Giugno 2004 è nata lex, http://www.sikurezza.org/lex/maillist.html [10], moderata da un avvocato e ricercatore di informatica giuridica, con il doppio scopo di “sgravare” me dalla moderazione di messaggi che si addentravano in problematiche legate (principalmente) alla 196/03 e di soddisfare le richieste di molti iscritti ad ml poco interessati a queste tematiche.
L'obiettivo di questa lista non è semplicemente la discussione di problematiche legate alla c.d. legge sulla privacy, bensì di dedicare uno spazio specifico alle tematiche di diritto dell'informatica e delle telecomunicazioni che sia un punto di incontro tra giuristi e tecnici.
Cripto@sikurezza.org è la ml dedicata alla crittoanalisi, un tema certo non di massa. Che tipo di reazioni ha suscitato? E’ auspicabile una crittografia di “massa”?
Eh.. ha avuto poco successo . E' da notare che non si rivolge ad un pubblico generico, quando ad un pubblico educato a tematiche di crittografia. Io stesso ho difficoltà a seguire alcuni dei thread più avanzati, poiché uso la crittografia in maniera “utilitaristico/ignorante”: ho una discreta infarinatura sulla teoria e sulle basi; ritengo che sia alla fondamentale nella sicurezza informatica, mi limito tuttavia a fidarmi del giudizio di studiosi di fama riconosciuta (uno su tutti, Bruce Schneier) e più in generale della comunità di sicurezza mondiale.
Devo dire che, come molti, sono affascinato anche dalla storia della crittografia (consiglio la lettura di “CRYPTO I ribelli del codice in difesa della privacy” di Steven Levy, http://www.echonyc.com/~steven/ [11] ; “Segreti, spie e codici cifrati” di A. Monti, C. Giustozzi, E. Zimuel, http://www.apogeonline.com/libri/88-7303-483-7/scheda [12] e http://www.isacaroma.it/html/newsletter/?q=node/56 [13] ed ovviamente di “Applied Cryptography: Protocols, Algorithms, and Source Code in C, Second Edition” di Bruce Schneier, http://www.schneier.com/blog/ [14] ed anche: http://www.isacaroma.it/html/newsletter/?q=node/36 [15] )
Non sono e non mi ritengo un crittologo e/o un crittoanalista e nemmeno un esperto del settore.
Per quanto riguarda “le masse”, non credo che crypto sia la lista adatta; sicuramente vi sono posti più adatti per cominciare ad applicare la crittografia alla propria vita e soprattutto ai propri dati ed alle proprie comunicazioni (p. es. il progetto Winston Smith, http://www.winstonsmith.info/ [16]; Crypto Kitchen, http://www.cryptokitchen.net/ [17]; o la lista ml).
Come fai a decidere ciò che deve essere pubblicato nella ml? Hai avuto mai problemi (di coscienza) di tipo “censura preventiva” o non-disclosure?
La moderazione è incentrata principalmente sul non far passare messaggi fuori tema (off-topic); non far passare messaggi realmente troppo banali e/o temi di cui si sia già discusso approfonditamente; non far passare messaggi di contenuto scurrile, polemico, etc.
La politica di moderazione è principalmente “full-disclosure”, vi sono stati però alcuni casi in cui ho chiesto agli utenti che avevano inviato il messaggio di avvertire prima gli sviluppatori del software di cui pubblicavano le vulnerabilità (“responsable disclosure”) ed altri in cui ho rifiutato il messaggio (segnalazioni specifiche di vulnerabilità in sistemi di società ed aziende) o ne ho anonimizzato il contenuto.
Dalle tue risposte alla ml si potrebbe pensare che tu sappia di tutto! In realtà come fai? Hai uno staff che ti supporta?
He, he… Il tutto è legato alla mia figura professionale; come dicevo sopra, conosco, almeno a grandi linee, un po' tutti gli argomenti legati alla sicurezza informatica e l'occuparsene svariate ore al giorno certamente aiuta, inoltre cerco di intervenire, come chiunque dovrebbe fare quando posta su una lista pubblica, solo quando sono certo di conoscere bene gli argomenti di discussione.
Potrei avere eventualmente più problemi nella valutazione dei contenuti del messaggio ai fini della moderazione; fortunatamente, o meglio, sfortunatamente (per il livello qualitativo della lista) non mi capita praticamente mai di imbattermi in messaggi che non sia in grado di comprendere/valutare.
E' però da notare come i messaggi non vengano moderati in relazione ai contenuti tecnici ma solo con l'intenzione di rendere la lista fruibile.
Per i contenuti la lista è in grado di “auto-regolarsi”; se qualcuno posta una “fregnaccia”, si può star certi che qualcun altro interviene per farglielo notare, spesso in modo “costruttivo”, suggerendo letture, percorsi, approfondimenti, etc.
Sei noto anche per le tue relazioni e presentazioni ai convegni ICT in ambito security, in particolare per http://www.webb.it [18] . Ci parli di questo aspetto “divulgativo” della tua professione?
Una delle cose che mi ha sempre infastidito dell'ambiente della sicurezza informatica è l'alone di mistero e magia che a volte tende a circondarlo, sia per come i media spesso parlano dell'argomento sia per gli atteggiamenti a volte ambigui di alcuni esponenti di rilievo... Divulgare queste tematiche serve sicuramente a ricondurle in canali più convenzionali.. non c'è niente di magico: prendi una scimmia, mettila per 6 mesi davanti alle risorse, alle mailing list ed alle informazioni che chiunque di noi segue tutti i giorni per lavoro; fagli fare esperienza e vedrai che sarà in grado di moderare ml@sikurezza.org o fare cose ben più costruttive nella vita...
Il discorso sulla divulgazione è estremamente lungo e complesso. Storicamente, almeno per quanto riguarda la c.d. comunità “underground” ed i ricercatori indipendenti, è sempre stato fondamentale l'interscambio di idee (“information wants to be free”) ed il confrontarsi con altri.
Sono però da inquadrare chiaramente responsabilità e scelte. Ci sono un sacco di persone, soprattutto giovani, che si avvicinano a questo ambiente/settore con un'ottica (a mio avviso) sbagliata e pericolosa; ci sono anche troppi siti/riviste/etc. che (spesso per lucro) quasi “istigano” a questo, con tanto di teschietti e di “sexy piratesse” poco vestite in copertina o classifiche dei “defacement” nella homepage, o ancora informazioni spudoratamente dedicate ad attività illegali, etc.
La sicurezza informatica è un settore, che come e più di altri, richiede studio, serietà, applicazione e continuo miglioramento.
Poi, sarebbe ipocrita negarlo, è anche una questione di riconoscimento e “pubblicità”. E' pratica diffusa per le persone e le società che si occupano di sicurezza informatica partecipare ad eventi, pubblicare documenti o strumenti, etc. per far conoscere il proprio nome e “dimostrare” le proprie competenze tecniche.
E' una forma che apprezzo molto, se è corretta e tecnicamente rilevante (e non semplice pubblicità, “terrorismo psicologico” o marketing). Faccio una presentazione, magari di livello base ma comunque tecnica e dai contenuti concreti. Metto a disposizione strumenti, conoscenze e risorse; se uno vuole può approfondire autonomamente o attraverso qualche risorsa gratuita, o meglio ancora, “open source”, altrimenti può rivolgersi ai suo canali tradizionali o ancora contattarmi.
Preferisco che le persone siano in grado di valutare il mio lavoro ed, eventualmente, di svolgerlo autonomamente; è una specie di “prova prima di comprare”; ti rivolgi a me perché ritieni che conosca approfonditamente l'argomento e le problematiche, non per il nome o altro.
Ancora su “divulgazione ed informazione”… Che ne pensi? È la nuova frontiera della “democrazia” telematica?
Si potrebbe scrivere un libro sull'argomento e non sono la persona adatta.. comunque credo che con la diffusione capillare dell'informatica e delle telecomunicazioni sia vitale per chiunque avere gli strumenti per difendere la propria privacy e l'integrità dei propri dati e delle proprie comunicazioni.
Personalmente credo nella “full-disclosure” a tutti i livelli (http://en.wikipedia.org/wiki/Full_disclosure [19]), possibilmente usata in modo responsabile..
Molte della tue attività “pubbliche” sono di tipo no-profit e “open source”. Come fai a sopravvivere economicamente? Esiste una sorta di “economia” dell’open source che alla fine ha una ricaduta anche economica?
Credo in parte di avere già risposto. Il dedicare tempo alla diffusione di queste tematiche mi permette di farmi conoscere (dalle aziende che cercano personale, dai clienti, etc.) e soprattutto di far conoscere le mie competenze e questo mi permette di mangiare. Ovviamente non ho un ritorno diretto da queste attività e probabilmente le farei e vi dedicherei il mio tempo libero anche se facessi il panettiere o il meccanico..
Ho ricevuto moltissimo dall'open source e dalla comunità di sicurezza informatica mondiale (competenze, strumenti, etc.), credo sia corretto contribuire nel mio piccolo a dare qualcosa di ritorno.
Come si evolverà nel futuro sikurezza.org?
A breve vorrei delegare la moderazione di crypto ed openbsd ed avere almeno due o più moderatori per ogni lista, per rendere più veloce il processo di accettazione dei messaggi e meno gravoso il compito per i moderatori stessi.
Vorrei anche avere una struttura di tipo wiki (http://en.wikipedia.org/wiki/Wiki [20]) come motore del sito, per permettere la creazione collettiva di una serie di documenti “per chi comincia” e FAQ; non una copia di siti esistenti in inglese, quanto una raccolta ragionata di punti di partenza e spunti.
Anche il motore di archivio e ricerca delle liste andrebbe migliorato.
Continueranno sicuramente gli interventi a conferenze ed eventi (p. es. webbit 2005) e le tradizionali “pizzate” informali .
Per ogni suggerimento, proposta, critica e discussione in generale, la lista progetto è il luogo (virtuale) più adatto...
Ha qualche consiglio per chi volesse intraprendere la professione di “Security Analist” ?
Studiare, provare, sperimentare, studiare, fare esperienza, studiare... e continuare così. Per farlo bene, ritengo debba essere visto come una passione e non un semplice lavoro, ma potrei sempre sbagliarmi .
E' importante l'esperienza diretta e la sperimentazione (sempre nei limiti della legalità; non si fa nessuna esperienza importante a penetrare illegalmente in un sistema indifeso e non aggiornato in tubuzurkistan; si rischia solo di rovinarsi la fedina penale per una stupidaggine).
L'esperienza e lo studio si ottengono, per esempio, installandosi sistemi operativi e software in un ambiente di laboratorio, studiare le applicazioni ed i protocolli, provare le vulnerabilità, arrivare a trovarne di nuove, documentandosi ed aggiornandosi sulle tecniche di attacco e difesa, etc. .
Ci sono numerosissimi spunti e punti di partenza, anche gratuiti e liberamente accessibili (giusto per partire: http://www.securityfocus.com [21], http://www.sans.org [22], http://www.cisecurity.org [23], http://www.owasp.org [24], http://www.isecom.org [25], http://www.cert.org [26], e, ovviamente, gli archivi di sikurezza.org. Da non perdere anche la più importante e-zine dell'”undeground”: http://www.phrack.org [27] e qualche “convention”: webbit, summercon, defcon, blackhat, etc.).
Un security manager in una realtà medio-grande sarà una figura meno tecnica di un consulente o di un ruolo più operativo, dovrà avere competenze di gestione aziendale e gestione della sicurezza, etc.; ma non è certamente il primo incarco che si otterrà..
Cominciano anche ad esserci interessanti percorsi accademici o post-laurea al riguardo.
Ha qualche lettura da consigliare ai nostri lettori anche non direttamente connessa a questo mestiere?
Posso dirvi cosa piace a me: fantascienza, in particolar modo il c.d. “cyberpunk”; uno dei miei autori preferiti è Neal Stephenson (http://en.wikipedia.org/wiki/Neal_Stephenson [28]).
Comunque ecco un elenco di testi che reputo necessari ed utili per chi fa questo mestiere.
Più legati a queste tematiche:
"Manuale di Infosecurity Management", L. De Grazie e D. Forte
Nota: Non ho capito se sia uscita l'edizione aggiornata con i riferimenti al c.d. testo unico privacy (196/03) & co.
http://www.degrazia.it/ [29]
- Tecnico, non omni-comprensivo, per quelli con formazione piu' tecnica:
L'arte dell'hacking
di Jon Erickson
2003 (it: 2004)
http://www.apogeonline.com/libri/88-503-2280-1/scheda [30]
- Sempre tecnico, una visione piu' d'insieme:
Hacker! 4.0
2003
di S.McClure, J. Scambray, G. Kurtz
http://www.apogeonline.com/libri/88-503-2124-4/scheda [31]
- Molto completo, un filo datato
Hack Proofing, 2/ed
di: Ryan Russell et alia
ISBN: 88 386 4280-X,
Pub Date: settembre 2002,
712 pagine
http://www.catalogo.mcgraw-hill.it/catLibro.asp?item_id=1356 [32]
[Nota: c'e' anche l'edizione pocket, poco leggibile (troppo piccola):
http://www.catalogo.mcgraw-hill.it/catLibro.asp?item_id=1670 [33]]
- I "classici" della sicurezza:
http://www.oreilly.com/catalog/puis/ [34]
Practical UNIX & Internet Security, 2nd Edition
By Simson Garfinkel, Gene Spafford
2nd Edition April 1996
ISBN: 1-56592-148-8
In italiano:
http://fmp.hoepli.it/FMPro?-db=libri.fp5&-format=schedalibrolibreria.html&-error=schedalibrolibreria.html&ISBN=8820332639&-find [35]
Building Internet Firewalls, 2nd Edition
By Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman
2nd Edition June 2000
ISBN: 1-56592-871-7
http://www.oreilly.com/catalog/fire2/ [36]
In italiano (non so se prima o seconda ed):
http://hpe.pearsoned.it/site/show.php?curr_sec=catalogo&sub_sec=cat_sk_libro&ISBN=8871921984 [37]
- Solo crittografia, tutta la crittografia:
Applied Cryptography: Protocols, Algorithms, and Source Code in C,
Second Edition
by Bruce Schneier
1995
http://www.amazon.com/exec/obidos/tg/detail/-/0471117099/qid=1096284717/sr=8-1/ref=pd_csp_1/102-9778461-4538522?v=glance&s=books&n=507846 [38]
- Networking:
The Protocols (TCP/IP Illustrated, Volume 1)
by W. Richard Stevens
1994
http://www.amazon.com/exec/obidos/ASIN/0201633469/qid=1096284770/sr=ka-1/ref=pd_ka_1/102-9778461-4538522 [39]
ed eventualmente anche il vol. 2 per chi programma
- Storia e folklore:
Segreti, spie e codici cifrati
1999
di Monti, Giustozzi, Zimuel
450 pagine
http://www.apogeonline.com/libri/88-7303-483-7/scheda [40]
Spaghetti Hacker
1997
di Chiccarelli, Monti
448 pagine
http://www.apogeonline.com/libri/88-7303-359-8/scheda [41]
Steven Levy - HACKERS Gli eroi della rivoluzione informatica
1999
pp. 352
http://www.shake.it/hackers.html [42]
http://www.amazon.com/exec/obidos/tg/detail/-/0141000511/ref=pd_bxgy_img_2/102-9778461-4538522?v=glance&s=books [43]
[NOTA: non parla di hacking attuale, si riferisce ai tempi del MIT & co]
Steven Levy - CRYPTO I ribelli del codice in difesa della privacy
2001
pp. 352
http://www.shake.it/crypto.html [44]
http://www.amazon.com/exec/obidos/tg/detail/-/0140244328/qid=1096283439/sr=8-1/ref=pd_csp_1/102-9778461-4538522?v=glance&s=books&n=507846 [45]
Bruce Sterling - GIRO DI VITE CONTRO GLI HACKER
pp. 254
Non ricordo l'anno, '92?
http://www.shake.it/giro.html [46]
http://www.amazon.com/exec/obidos/tg/detail/-/055356370X/qid=1096283583/sr=1-11/ref=sr_1_11/102-9778461-4538522?v=glance&s=books [47]
Mancano moltissimi testi, ma questi sono uno spunto.
Che fai nella vita privata quando non sei connesso alla rete?
ARGH! Come si fa a non essere connessi in rete? .
Scherzo, ho una vita normale anche io.. vado al bar con gli amici, vado in vacanza al campeggio, sono appassionato di cinema, guardo la tv, anche i gol la domenica sera, gioco a calcetto, ascolto musica, partecipo ad estenuanti partite a munchkin (http://www.sjgames.com/ [48]) ed altri giochi da tavolo fino a tarda notte, etc.
Ok, è vero, il baretto è dotato di connessione wireless ed è il punto di ritrovo del LUG (Linux User Group locale), gioco a calcetto con un branco di informatici, i campeggi a cui vado sono le varie convention “hacker” in giro per l'Europa e le nostre partite ai giochi da tavolo sono un'occasione per sfoggiare le ultime novità tecnologiche (“la mia vasta gamma di tecnologia portatile mi rende il maschio dominante di fronte agli altri tecnici meno equipaggiati”, http://www.dilbert.com [49])
Grazie e buon lavoro!
A voi.