Hacker a noleggio: ecco perché la sicurezza al 100% è solo un mito
Immaginate di entrare in una banca, irrompere nel caveau e saccheggiare le cassette di sicurezza senza poter essere perseguiti. Beh, sappiate che questo lavoro esiste davvero! Abbiamo parlato con un ex hacker della sicurezza informatica dell'NSA. Ecco cosa ci ha rivelato...
Dave Kennedy (@HackingDave) è ora ondatore e Senior Principal Security Consultant di TrustedSec, un'azienda che si occupa di violare la sicurezza dei prodotti in vostro possesso, delle reti e dei sistemi informatici connessi. Ma perché? Per trovare le falle di sicurezza, ovviamente!
Kennedy ha chiamato questo servizio "consulenza sulla sicurezza delle informazioni". Il suo team è ricco di hacker che hanno reso la violazione dei sistemi informatici una forma d'arte. Con Dave e il suo team al controllo della vostra sicurezza potrete proteggervi meglio contro gli attacchi dei criminali informatici.
Kennedy stesso era un hacker dell'NSA. Ha lottato per appassionarsi all'istruzione tradizionale, preferendo concentrarsi sulla programmazione, armeggiare con i computer e cercare di capire come funzionano le cose nel mondo informatico. Piuttosto che andare al college, Dave ha optato per l'United States Marine Corps (USMC), lavorando con la comunità di intelligence sulle operazioni informatiche.
Ha lavorato nell'esercito per cinque anni ed è stato dispiegato due volte in Iraq per missioni di intelligence, prima di lasciare per sempre l'esercito e dare vita a TrustedSec. Dave ha addirittura testimoniato davanti al Congresso americano sulla sicurezza informatica.
Abbiamo parlato con quest'uomo per ascoltare la sua visione relativa ai problemi di sicurezza di alcune delle aree tecnologiche a cui siamo interessati per il 2019, vale a dire: Smart Home, guida autonoma e reti 5G.
Smart Home
Nel 2019, dove sembra che tutto stia diventando "connesso", un grosso problema di sicurezza è rappresentato dal fatto che molte aziende sono prima di tutto dei produttori e solo successivamente si occupano di IT.
"Niente è mai sicuro al 100%, specialmente in un mondo connesso", dice Kennedy, prima di spiegare che la speranza è quella di ridurre al minimo le esposizioni con largo anticipo, costruendo la sicurezza fin dall'inizio. "È molto più difficile affrontare le minacce quando i gadget sono già nella fase di produzione o vendita", afferma. "Troviamo una pratica comune quella di portare una tecnologia fuori dalla porta il più velocemente possibile e preoccuparci delle implicazioni successive".
Kennedy dichiara che le aziende devono fare molto di più per proteggere la loro tecnologia, soprattutto nel 2019, quando tutto ciò che possediamo è direttamente connesso a Internet.
Guida autonoma
Questo non significa che non ci sono aziende che lavorano al contrario. Dave, proprietario di una vettura Tesla, cita come esempio il più grande nome dei veicoli elettrici:
"Le aziende come Tesla sono prima di tutto un'azienda di software e, solo successivamente, un produttore. Mentre in passato l'azienda ha mostrato i proprio problemi di sicurezza, la sua capacità di affrontare le minacce al loro insorgere è stata eccezionale e rapida, mentre le risposte di altri produttori spesso sono impreparate, lente e non offrono un modo rapido per risolvere il problema".
La guida autonoma è uno dei più interessanti progressi tecnologici per il team di TrustedSec. Kennedy crede che la vera integrazione si trova nell'utilizzo di grandi set di dati per "insegnare" alle macchine a guidarci dal punto A al punto B. Questo rivoluzionerà davvero l'esperienza di guida.
Dave prevede che entro 10 anni, sarete in grado di chiamare una macchina senza autista a bordo e che vi porterà a destinazione: "Immaginate di non possedere nemmeno un'auto, vi state preparando per il lavoro: premete un pulsante sul vostro dispositivo e un'auto senza autista vi preleva e vi porta a destinazione".
Tuttavia, c'è un tranello: "Per una guida autonoma perfetta è necessaria una quantità folle di dati che deve essere messa in comunicazione diretta con le case automobilistiche o con l'infrastruttura che la supporta".
Questo è ciò che è noto come dati di telemetria, come mi ha spiegato Dave, e dice che è qualcosa su cui tutti si stanno concentrando. "La capacità di estrarre grandi quantità di dati e di sfruttarli per prendere decisioni o migliorare una tecnologia", dice, è l'obiettivo. Ma il rischio è enorme.
"Questi dati e la protezione intorno ad essi è una grande preoccupazione. Se un hacker irrompe nei server che controllano tutte le auto autonome, sarebbe assolutamente possibile colpire flotte di veicoli e, ad esempio, far uscire tutte le auto dalla strada senza alcuna interazione con il guidatore".
Dave Kennedy dice che, mentre l'autonomia cambierà la nostra esperienza di guida, se non proteggiamo questi sistemi dalla manomissione, "la strada sarà ancora lunga".
5G
Gli avanzamenti in termini di connettività 5G aumenteranno la velocità di download, ridurranno la latenza e forniranno un migliore accesso per i consumatori abituali, ma questi vantaggi sono disponibili anche per coloro che hanno intenzioni più oscure. Non c'è dubbio che il 5G permetterà ad un hacker di accedere al vostro sistema più velocemente. Questo è un grosso problema!
Dave Kennedy ha espresso preoccupazione per l'influenza di Huawei, una storia che non ha ricevuto carenza di stampa sia negli Stati Uniti che in Europa, ma ha anche parlato dei problemi di sicurezza previsti per l'aggiornamento di una rete.
"Ogni volta che arriva un nuovo standard, la sicurezza spesso manca. Mi aspetto di vedere problemi di implementazione con il 5G che esporranno direttamente problemi di sicurezza o vulnerabilità man mano che la tecnologia verrà implementata".
Inoltre, ha anche aggiunto che diverse aziende stanno "puntando davvero tantissimo sul 5G" in una gara per una più rapida integrazione dei veicoli autonomi e dei prodotti IoT. "La maggior parte di queste aziende erano prima i produttori, poi gli sviluppatori di software e di solito non hanno un numero sostanziale di controlli sulla sicurezza".
Dave immagina il 5G come una "grande superficie d'attacco" dove la capacità di stabilire comunicazioni a lungo raggio verso dispositivi, che tradizionalmente non hanno mai avuto questo tipo di connessioni, creerà un'esposizione significativa per i consumatori.
Il nostro crescente appetito per i prodotti smart crea più punti di ingresso per l'invasione. Il principio è esattamente lo stesso che si applica durante la sorveglianza di una stanza: più porte e finestre si hanno, più è difficile tenere fuori gli intrusi.
Si possono anche rapinare banche
In una recente intervista con il podcast del Guardian's, Chips With Everything, Jordan Erica Webber ha chiesto a Dave Kennedy fino a che punto lui e la sua azienda sono stati autorizzati a spingersi per testare la sicurezza di un cliente. Kennedy ha spiegato che il suo modus operandi viene applicato ad alcune delle più grandi aziende del mondo, simulando attacchi hacker e così via.
Quando parliamo di effrazioni. parliamo di quelle vere: irrompere negli edifici, rompere le finestre e forzare l'ingresso in luoghi con livelli di sicurezza molto stretti.
TrustedSec e i suoi clienti concordano una serie di parametri o regole per stabilire fino a che punto gli hacker potranno spingersi. La squadra ha già fatto irruzione in un caveau di una banca, riuscendo a svuotare il contenuto delle cassette di sicurezza. Sfortunatamente, hanno dovuto restituire tutti i soldi.
A me sembra un lavoro fantastico, e a voi? Cosa ne pensate della sicurezza informatica nel 2019?