La gestione delle vulnerabilità è ovviamente un tema ricorrente nelle organizzazione che devono governare infrastrutture IT/OT/IoT dal punto di vista della sicurezza cibernetica. Tutte le componenti, tecnologiche e non, di una organizzazione sono di fatto potenziali target per attacchi atti a raccogliere informazioni o compromettere i sistemi, cosa che, nei contesti di produzione, metto a rischio il funzionamento dell’organizzazione ed in alcuni casi il prodotto stesso (gli smart device sono l’esempio più ovvio).

Negli ultimi giorni ho avuto modo di illustrare alcuni step di attacco ad un collega “temporaneo” (abbiamo “a bordo” un ragazzo in alternanza scuola lavoro con una…


Alcuni modelli di attacco risultano estremamente efficaci grazie ad una sorta di filiera nell’industria del crimine cibernetico. Esiste, ad esempio, un mercato molto attivo per quanto riguarda database ricchi di anagrafiche con relativi dati personali come indirizzi email, credenziali, profili social, ecc… dati che per essere acquisiti richiedono di per se un attacco finalizzato al furto degli stessi e spesso “monetizzato” ricattando il target di divulgare le informazioni sottratte tramite il data breach a meno che non venga corrisposta una somma in crypto valuta.

Ma l’attacker non si limita alla richiesta di riscatto che, come le statistiche riportano, potrebbe anche…


L’essere curiosi, ovviamente in modo sano, è alla base della crescita (e non mi azzardo ad andare oltre per quanto riguarda i temi socio-psico-umano-robe).

It’s the law!

Molto più pragmaticamente posso dire che la curiosità è ciò che ha spinto il sottoscritto e molte altre persone che hanno vissuto la scena acara (a prescindere dall’epoca) a studiare come dei matti argomenti distanti da qualsiasi corso o università. Moltissime persone che lavorano nel campo della sicurezza informatica hanno acquisito competenza ed esperienza grazie alla capacità di non smettere mai di studiare, sperimentare, applicare, migliorare… in un loop infinito.

Sono certo che moltissimi professionisti del…


E’ un tema che porto spesso all’attenzione dei miei interlocutori e recentemente ho appreso che è di interesse anche per figure di management che non “bazzicano” il mondo cibernetico.

Quel primo episodio mi ha permesso di comprendere quanto il fenomeno del crimine informatico sia assolutamente non chiaro… talvolta non solo ai non addetti ai lavori.

Per risolvere un problema devi conoscerlo, devi sapere cosa c’è di “rotto” per decidere come sistemare le cose, eppure ognuno di voi — ne sono certo — può raccontare decine di situazioni in cui si sono messe “pezze” senza considerare quali fossero le minacce da…


E’ un tema su cui continuerò a scrivere e che probabilmente porterà a dovermi ripetere spesso, ma è necessario che il fenomeno venga compreso a livello di funzionamento e strategia prima di affrontare i temi tattici e tecnici. Inoltre è molto più facile per le figure dirigenziali comprendere i concetti strategici rispetto alle tematiche che coinvolgono l’ambito tecnologico… validissimo motivo per approfondire.

Per prima cosa dobbiamo comprendere lo scenario in cui stiamo operando e vivendo. Il luogo comune, del quale ancora fatichiamo a liberarci, vuole che “l’hacker cattivo” (espressione di per se impropria) sia un ragazzotto in felpa e cappuccio…


Nelle ultime settimane ho avuto modo di osservare e riflettere sulla capacità, di organizzazioni ed aziende, di reagire a specifici eventi legati alla sicurezza informatica. In particolare ho preso in esame la reattività ad eventi di segnalazione di una minaccia e la reattività ad eventi di rilevamento di un incident.

i tratta di due casistiche molto diverse tra loro in quanto la prima genera (o dovrebbe generare) valutazioni di rischio ed eventuali azioni di prevenzione mentre la seconda innesca (o dovrebbe innescare) azioni di gestione dell’incident.

La percezione del rischio

Ciò che è chiaro è che non tutti percepiscono il rischio allo stesso modo…


Ancora una volta una riflessione che parte dall’incidente di OVH: sono andato a cercare i video con le dichiarazioni di Octave Klaba, fondatore di OVH, in cui, pochi giorni dopo l’ormai famoso incendio, dice:

It seems that globally, the customers … understand what we are delivering, but some customers, they don’t understand what exactly they bought

Considerando la dichiarazione nel suo contesto (qui in parte sintetizzato e spiegato) è chiaro il riferimento al fiume di critiche verso OVH in relazione al non disporre di un piano di Disaster Recovery. In realtà, come è ovvio che sia, è onere dei clienti…


Come avevo accennato in un podcast di qualche giorno fa, uno dei temi di ricerca che sto portando avanti ha a che fare con le comunicazioni satellitari, o per meglio dire riguarda le tecnologie che ci consentono di comunicare con e tramite i sistemi satellitari.

Potrebbe sembrare un tema distante ma in questa epoca storica è in corso una vera e propria rivoluzione in merito a ciò che stiamo mandando in orbita bassa e a come possiamo utilizzare questi oggetti. Qualche nota di contestualizzazione è doverosa per comprendere il tema.

Scenario

Per prima cosa va detto che i satelliti moderni posso…


Gestire un incident, che si tratti di un fault, un attacco o un malfunzionamento di un sistema critico, è una pratica che richiede elevate competenze tecniche ed una buona dose di sangue freddo. Non bisogna solo sapere ciò che c’è da fare, bisogna anche sapere perché va fatto in un modo specifico, applicando “quella procedura” e non “l’altra”. Serve esperienza e pratica acquisibile grazie a tecniche come l’addestramento. Improvvisare non aiuta, anzi, si rischia di trasformare l’incidente in un disastro.

Bisogna anche rendersi conto che esistono situazione che non sono ripristinabili, nel senso che non esiste il processo che annulla…


Mentre leggo curiose reazioni di chi si stupisce — a distanza di due settimane — della portata dell’attacco globale che sta interessando i sistemi Microsoft Exchange (lo ripeto: era chiaro dopo cinque minuti che sarebbe stato un disastro ed in questo post spiegavo i motivi) osservo con interesse le mosse del governo USA ben illustrate in un recente post di Bechis su Formiche.Net

Rocco Sicilia

Ethical Hacker // Penetration Tester // Security Researcher

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store