Quando la sicurezza stride

Nel complesso e dinamico panorama della sicurezza informatica, dove le minacce si evolvono costantemente, sapete ormai tutti perchè avete letto ogni singolo contenuto di questo sito (vero????) che è fondamentale disporre di strumenti efficaci per identificare e mitigare i rischi. Ho parlato della CIA Triad, ma dopo essere stata a Bali mi si è risvegliata una vena politeista e quindi perchè no parlerò del framework STRIDE che ovviamente non è italiano, e quindi è un acronimo. Si tratta di una metodologia rigorosa per analizzare le potenziali vulnerabilità di un sistema informatico. L’acronimo che sta per Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege. Ciascuna di queste lettere rappresenta una categoria di minacce che potrebbero compromettere la sicurezza di un sistema. Visto che oggi ancora non ho fatto la mia buona azione (oddio, aver coccolato 1.5h le mie gattine potrebbe esserlo, o forse è classificato come dovere?) cercherò di spacchettare questo framework dandogli una vista un po’ corporate.

• Spoofing: è l'atto di fingersi qualcun altro per ottenere un vantaggio illecito. Attenzione, lo spoofing è utilizzato soprattutto per accedere (nella maggior parte dei casi illegalmente) in un sistema informatico "estraneo" ed è diverso dallo sniffing che è utilizzato per intercettare comunicazioni telematiche (legalmente, in caso di problemi di connessione, illegalmente nel caso di furto di password). Immaginiamo di ricevere un'email apparentemente inviata dalla nostra banca, che ci chiede di aggiornare i dati della nostra carta di credito. In realtà, questa email è falsa e l'obiettivo è carpire le nostre informazioni sensibili. Ecco, questo è spoofing (fatto probabilmente attraverso una mail di phishing).

• Tampering: Pensate a un hacker che modifica i dati di un database aziendale per alterare i risultati di un'analisi finanziaria. Questo è un esempio di tampering, ovvero la manomissione dei sistemi attraverso la manipolazione non autorizzata di dati o sistemi. Molti sistemi hanno la funzione di “anti-tampering” ovvero l’impossibilità da parte dell’utente di rimuovere il software dal pc. Perchè un conto è se l’utente elimina Paint, un conto se elimina l’antivirus.. Ecco, questo è possibile grazie a questa funzionalità che permette di contrastare la minaccia.

• Repudiation: Un dipendente potrebbe negare di aver inviato un'email contenente informazioni riservate, anche se in realtà l'ha fatto. Questa situazione è un esempio di repudiation, ovvero la possibilità di negare azioni compiute. Come si contiene questa minaccia? Beh con il monitoraggio dei sistemi che non vuol dire tracciamento dell’attività degli utenti bensì tutela in caso di illeciti.

• Information Disclosure: La fuga di dati personali di un'azienda è un esempio lampante di information disclosure, ovvero la divulgazione non autorizzata di informazioni sensibili da parte solitamente di dipendenti, che lo fanno ingenuamente (e.g. invio email al destinatario sbagliato con informazioni sensibili). La disclosure è diversa dal data breach che è l’accesso non autorizzato alle informazioni (ma rimane comunque una minaccia da considerare, si storpiava l’acronimo sennò). La disclosure ce l’ha insegnata bene Snowden il whistelblower che ha trafugato diversi record di dati della NSA grazie ad una falla di sicurezza fisica (o grazie all’ingegneria sociale?). Detto ciò, molto spesso si sente parla di NDA (non disclosure agreement, accordo di non divulgazione) perchè ok fidarsi, ma non sai mai chi trovi quindi un bell’NDA aiuta - a volte non è sufficiente perchè sono documenti template, però almeno aiuta.

• Denial of Service: Un attacco DDoS (Distributed Denial of Service) che rende inaccessibile un sito web (o l’intera Azienda…) è un classico esempio di denial of service, ovvero un attacco che ha l'obiettivo di rendere un servizio informatico indisponibile. Se in questo momento hai le maniche lunghe, immagina di doverle tirar su e con molto olio di gomito mettersi a risistemare tutto, magari il venerdì alle 18:30. Ecco, magari due sistemi di protezione su questi server li mettiamo, che dici? Sì lo so, costano tanto.. però, vuoi mettere evitare il weekend in Liguria o la diretta della tua partita del cuore?

• Escalation of Privilege: Un utente con privilegi limitati potrebbe sfruttare una vulnerabilità del sistema per ottenere privilegi più elevati, ad esempio diventando amministratore. Questa cosa è davvero molto diffusa a causa di pratiche consolidate in aziende dove la sicurezza informatica non è stata presa in considerazione nel momento giusto. Succede di fare attività in urgenza, senza ricordarsi di aver creato l’utenza pippo con password… pippo, e quindi cosa facciamo? Preghiamo che quel server o quel computer non sia accessibile da remoto o da fuori perimetro o semplicemente: eliminarlo. Su Real Time non so se fanno ancora sepolti in casa, ecco, conservare tutte queste utenze sensa senso mi fa pensare a quel programma, non ha senso affezionarsi o dire “metti che serve” perchè se serve, sicuro è per lo scopo sbagliato.

Il framework STRIDE è uno strumento potente che aiuta gli esperti di sicurezza a identificare le potenziali vulnerabilità di un sistema e a mettere in atto le misure di protezione necessarie. Visto che siamo in vena di acronimi, oltre allo STRIDE che va a guardare le minacce, c’è DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) che è stata sviluppata da Microsoft con l’obiettivo di valutare il rischio. Si risponde alle domande qui sotto dando un punteggio, in base al punteggio si va poi a definire il rischio come basso, medio o alto (o con altre scale, ognuno ha la sua preferita).

• Danno: quanto sarebbe grave un attacco?

• Riproducibilità: quanto è facile riprodurre l'attacco?

• Sfruttabilità: quanto lavoro è necessario per lanciare l'attacco?

• Utenti interessati: quante persone saranno interessate?

• Rilevabilità: quanto è facile scoprire la minaccia?

Ho già parlato di rischio dicendovi che è il prodotto tra impatto e probabilità, in questo caso potremmo dire che è vero in termini quantitativi. Nella metodologia DREAD invece, l’impatto è dato dal valore di danno e utenti interessati, la probabilità invece, analizzando i restanti tre. Detto ciò questa roba molto bella ha a che fare con la security by design e ci sono anche delle linee guida AgID che sono scritte in modo più approfondito, quindi se ti interessa l’argomento: vai qui.

Comunque io, grande esperta di metodi infallibili per dimenticare tutto, concludo regalandovi questo consiglio in promozione per voi e solo per voi ad un prezzo incredibile e cioè gratis: immaginate un cavallo con i rasta e ricorderete sia il modello STRIDE che quello DREAD. Non ringraziatemi. Poi, se proprio vi sentite ispirati, generate l’immagine con AI e attaccatela nel vostro studio, sotto una frase motivazione tipo “Security matters” e guardate il quadro con orgoglio.