mercoledì 17 ottobre 2012

Why isn't everyone hacked every day ?

Alcuni ricercatori Microsoft Research hanno pubblicato lo scorso anno una bellissima ricerca che spiega in modo efficace e convincente un fenomeno molto semplice e misterioso:

  • Le vulnerabilità software sono tantissime ed aumentano di continuo, gli utenti scelgono password pessime, non aggiornano i propri software, non usano antivirus etc etc etc.
  • Allora perché mai le vittime di attacchi informatici sono così poche ? Com'è possibile ?
Loro forniscono una spiegazione basata su un modello di carattere economico. Modello che ha delle implicazioni molto importanti e per vari aspetti sorprendenti. Ad esempio, non è vero che l'attaccante deve superare l'anello più debole delle difese: deve superare la somma di tutte le difese esistenti (il che è, appunto, sorprendente; è come dire che quando un ladro entra in un condominio con 12 appartamenti, ognuno con porta blindata, deve superare tutte le porte invece che solo una). Altro esempio: quando un numero elevato di bersagli si difende in modo adeguato il beneficio è di tutti i bersagli, anche di quelli che non si difendono. Pertanto un bersaglio può anche decidere di non difendersi, tanto si difendono gli altri anche per lui. Tra l'altro, questo punto mi ha suggerito una analogia interessante con il pagamento delle tasse in Italia...

Ho preparato delle slide (circa 60) al fine di trattare questi argomenti a Reti II. Non sono leggere ma sono, a mio parere, di fondamentale importanza per comprendere la dinamica delle problematiche di sicurezza informatica odierne. In particolare, per comprendere le radicali differenze tra attacchi indiscriminati su larga scala ed attacchi mirati su un particolare bersaglio.

E' stata una faticaccia. La faccenda in apparenza è relativamente semplice, in realtà è complicata. Inoltre, ho inserito nelle slide l'analisi degli attacchi mirati (non presente nel lavoro citato) effettuata con lo stesso formalismo, terminologia ed impostazione degli attacchi indiscriminati su larga scala.

Ancora non mi è chiaro se, nonostante tutta questa fatica, ne parlerò a Reti II già quest'anno. Il programma è già pesante e non so se conviene tagliare qualcosa. Quest'anno deciderò sul momento, l'anno prossimo ne parlerò certamente, eventualmente tagliando altri argomenti.

Se qualcuno fosse interessato a vedere queste slide mi invii un mail.


Posta un commento