Mi è accaduto più volte di descrivere un rischio in una lezione di sicurezza informatica e poi, pochi giorni dopo, vedere una notizia che dimostra la concretizzazione proprio di quel rischio.
In questi giorni ho corretto gli esami del corso che ho tenuto al "Master in gestione della privacy e del rischio ICT nella pubblica amministrazione". L'esame consisteva di una elaborazione sul tema "Verbalizzazione online degli esami universitari". Tra le osservazioni collettive che ho fatto c'erano queste:
...
4) Quasi nessuno ha dimostrato di essere consapevole che non basta dire "occorre installare antivirus". I docenti sono molte centinaia, ognuno usa chissà quale PC, con chissà quale sistema operativo, lasciato chissà dove.
In questi giorni ho corretto gli esami del corso che ho tenuto al "Master in gestione della privacy e del rischio ICT nella pubblica amministrazione". L'esame consisteva di una elaborazione sul tema "Verbalizzazione online degli esami universitari". Tra le osservazioni collettive che ho fatto c'erano queste:
...
3) Quasi nessuno ha dimostrato di essere consapevole delle potenziali conseguenze di malware, virus e cose del genere (solo per dirne una, la possibilità di verbalizzare esami all'insaputa del docente; magari verbalizzandone uno o due in più proprio quando il docente sta verbalizzando una sessione d'esame).
Anche in questo caso valuto negativamente il mio operato: non essere riuscito a trasmettere la nozione basilare che il pc può fare ciò che vuole lui, indipendentemente da ciò che vuole fare il suo proprietario ed indipendentemente da smartcard, etc.
Un attaccante può sfruttare questa possibilità. Che lo faccia o meno dipende dalla posta in gioco. Omettere questo aspetto dalla descrizione dei potenziali svantaggi non è corretto.
4) Quasi nessuno ha dimostrato di essere consapevole che non basta dire "occorre installare antivirus". I docenti sono molte centinaia, ognuno usa chissà quale PC, con chissà quale sistema operativo, lasciato chissà dove.
Garantire l'integrità dei PC, intesa come presenza del software che "ci deve essere" ai fini dei processi operativi dell'organizzazione e solo di quello, è un problema ENORME. Non basta dire cosa si dovrebbe fare, bisogna farlo davvero. Ed è quindi necessario chiedersi: "è realistico aspettarsi che ciò sia fatto ? cosa succede se non viene fatto ?"
Questo problema non è presente solo in università, ma in qualsiasi organizzazione. Un giudice naviga su Internet con il proprio portatile ? Ci mette le chiavette che usa anche sul pc di casa, magari suo figlio ? Male, malissimo....
...
Bene. Proprio stamani ho letto l'esito di uno hacking contest in cui è stato dimostrato come alterare il browser Chrome. Dettagli tecnici a parte, l'effetto è il seguente:
Installing and running native code with the privilege of the browser itself, simply by visiting a web page, and without any warning... you can now do everything the current user could do, and anything he wouldn't.
In two words, "Game over".
Più chiaro di così impossibile.
Non è la concretizzazione del rischio che ho descritto ma è esattamente la descrizione della sua piena fattibilità tecnica, con step descritti chiaramente su Internet.
Non è la concretizzazione del rischio che ho descritto ma è esattamente la descrizione della sua piena fattibilità tecnica, con step descritti chiaramente su Internet.
Commenti