Black Hat USA 2017 – Problematiche della sicurezza IT viste dal CSO di Facebook

12 Agosto 2017

Black Hat USA 2017 – Problematiche della sicurezza IT viste dal CSO di Facebook in vista di Black Hat Europe 2017

Durante il discorso di apertura della conferenza Black Hat 2017 Alex Stamos, Chief Security Officer di Facebook, ha parlato di come prevenire i danni e di come dover raggiungere alcuni compromessi, ciò che qualsiasi esperto in sicurezza informatica dovrebbe essere in grado di fare. Il CSO di Facebook è piuttosto efficiente: il suo team protegge un sistema IT davvero complesso, con oltre 2 milioni di utenti e i relativi dati.

Stamos è dell’idea che l’industria della sicurezza soffra di alcuni “problemi adolescenziali” tra cui un atteggiamento nichilista. Gli esperti del settore preferiscono concentrarsi su problemi tecnicamente complessi ma superflui e non su quelli che provocano danni reali e mettono a repentaglio la sicurezza di molti utenti. Tali specialisti tendono a non accettare compromessi e, sebbene il loro unico obiettivo sia la sicurezza delle informazioni, allo stesso tempo danno per scontato che chiunque possa essere vittima degli attacchi più potenti perpetrati da cybercriminali più feroci.

Uno degli esempi più interessanti apportati da Stamos riguarda la “backdoor” di WhatsApp che poi backdoor non era. Per rendere disponibile la cifratura a oltre 1 miliardo di utenti WhatsApp, il Development Team ha deciso (in maniera ragionevole) di informare in questo modo i partecipanti a una conversazione sulla app che uno tra loro ha ricevuto una nuova chiave di cifratura. Compare una notifica nella chat e i partecipanti non devono fare altro che continuare la conversazione.

I nichilisti della sicurezza informatica hanno dato per scontato che si trattava di una backdoor dei servizi speciali per attaccare le chat e accedere alla cronologia delle conversazioni. In realtà, lo scopo di tutto ciò è proprio il contrario, ovvero di poter continuare la conversazione anche se l’altro interlocutore cambia smartphone o reinstalla WhatsApp. Una spiegazione più plausibile.

L’esempio di WhatsApp racchiude tutto l’atteggiamento nichilista: dare per scontato che tutti gli utenti si mettano a studiare il sistema di cifratura, che confrontino le chiavi di cifratura dei vari partecipanti alla conversazione e che tutti gli utenti siano sorvegliati da vicino dai servizi speciali, che sicuramente accederanno al loro traffico Internet mediante un attacco man-in-the-middle. I livelli di paranoia sono alle stelle.

L’attenzione rivolta ad attacchi così complessi e a misure di sicurezza tra le più laboriose distraggono gli specialisti dai problemi che causano danni veri. Stamos ha presentato un diagramma della cosiddetta “piramide delle minacce”, alla cui sommità si trovano due piccoli puntini, le vulnerabilità zero-day e gli attacchi promossi dai governi. Il resto della piramide è costituito da problemi più “popolani”, come il furto di password e dati personali (compresi quelli bancari), phishing, minacce che colpiscono le entità finanziare, ingegneria sociale.

Stamos consiglia di non lasciarsi impaurire dall’idea di dover fare un bilancio dei pro e dei contro di una decisione quando bisogna risolvere un problema. Se una soluzione non è perfetta o efficace solo in parte ma può riguardare un gran numero di persone, allora si tratta di una soluzione migliore rispetto a quella che protegge solo un numero ristretto di utenti.