In appena una dozzina di anni o giù di lì il settore delle minacce informatiche si è trasformato profondamente. In effetti si è passati da semplici organizzazioni di holigans adolescenziali che si manifestavano attraverso giochi divertenti, (per lo meno divertenti lo erano per loro, meno per le vittime) a bande cibernetiche organizzate che sferrano attacchi sofisticati a strutture critiche.
Si tratta di una vera e propria metamorfosi.
Tornando indietro all’era degli hooligans, per varie ragioni i miserabili cyber hanno provato ad infettare il maggior numero di computers possibile ed è proprio per difendere i sistemi operativi da questi tippi di attacchi che sono stati creati i softwares antivirus (e devo dire che è stato fatto proprio un bel lavoro).
Oggi, le nuove minacce informatiche sono proprio l’opposto. Quei meschini dei cybers conoscono le tecnologie antimalware e sanno muoversi all’interno di esse. Infatti cercano di muoversi con discrezione all’interno dei sistemi per poter sferrare attacchi mirati ai sistemi operativi. E ciò è anche logico se si considera il loro obiettivo (economico).
Quindi si può affermare che l’organizzazione è cambiata, ma il paradigma rimane lo stesso: la maggior parte delle aziende continua ad utilizzare tecnologie disegnate per infezioni di massa, che al giorno d’oggi sono antiquate e pertanto inadatte a contrastare gli attacchi moderni.
Di conseguenza, le aziende, nella lotta contro le compagnie di malware, mantengono una posizione difensiva e ciò fa sì che rimangano sempre un passo indietro rispetto ai loro nemici.
Ultimamente stiamo incrementando gli sforzi contro le minacce informatiche sconosciute per le quali non sono ancora state sviluppate protezioni adeguate, spesso i software antivirus non riescono a riconoscere queste minacce informatiche. Allo stesso tempo, i moderni cybers, approfittando del loro nascondiglio all’interno dei sistemi informatici controllano meticolosamente l’efficacia dei loro programmi maliziosi. E la cosa non è per nulla gradevole.
Tutto ciò diventa ancora più paradossale quando si scopre che il settore della sicurezza informatica dispone delle armi di protezione necessarie incorporate all’interno dei propri prodotti – in grado di affrontare le nuove sconosciute minacce informatiche a testa alta.
Vi svelerò un interessante aneddoto a riguardo…
Oggi, nel settore dell’ingengneria informatica esistono due possibili prese di posizione che una compagnia può utilizzare in merito alla sicurezza informatica: “Default Allow” – in cui qualsiasi cosa (ogni bit del software) non esplicitamente proibita può essere installata in un computer; e “Default Deny” – in cui qualsiasi cosa non esplicitamente permessa viene proibita (ulteriori informazioni sui rimedi alle minacce informatiche).
Come probabilmente immaginerete, queste due prese di posizione di sicurezza rappresentano due posizioni opposte nella convivenza tra usabilità e sicurezza.
Con l’opzione “Default Allow”, tutte le applicazioni lanciate hanno carta bianca per fare tutto ciò che desiderano all’interno di un computer o di un network e gli antivirus assumono il ruolo dei proverbiali Ragazzi Olandesi – che osservano dall’esterno del fiume e se dovesse verificarsi un danno, intervengono per tappare la crepa.
Con l’opzione “Default Deny” è tutto l’opposto, per difetto l’installazione delle applicazioni viene bloccata eccetto se si tratta di applicazioni incluse nella lista dei “trusted software”. Nessuna crepa all’interno della diga, ma di conseguenza non si avrà nemmeno un sufficiente volume d’acqua.
Oltre all’affiorare di malwares sconosciuti, le aziende (i loro dipartimenti di IT in particolare) hanno molti altri grattacapi provenienti dall’opzione “Default Allow”.
- Installazione di softwares improduttivi e servizi ( giochi, annunci, clienti P2P… – il cui numero dipende dalla politica dell’organizzazione).
- Installazione di non verificati e di conseguenza pericolosi softwares attraverso i quali gli hackers possono farsi strada all’interno dei networks aziendali.
- Installazione di softwares di amministrazione remoti che permettono l’accesso a un computer senza il permesso degli utenti.
I primi due grattacapi dovrebbero essere abbastanzi chiari. Riguardo al terzo, permettetemi di offrirvi una spiegazione tecnica personale.
Non molto tempo addietro abbiamo condotto un sondaggio tra le aziende all’interno del quale abbiamo inserito la seguente domanda: “In che modo violano gli impiegati le regole di sicurezza IT adottate dall’impresa attraverso l’installazione di applicazioni non autorizzate?”
I risultati di questo sondaggio li ho inseriti nel seguente grafico. Come potete ben vedere, la metà delle violazioni provengono dalla gestione remota. Ciò significa che gli impiegati o gli amministratori dei sistemi installano programmi di controllo remoti per l’accesso remoto alle risorse interne o per l’accesso ai computers per diagnostici e/o “riparazioni”.
Il grafico non lascia adito a dubbi: ci ritroviamo di fronte a un grosso problema…