10 grandi idee nella sicurezza digitale

Non molto tempo fa le notizie sulla sicurezza significavano oscure vulnerabilità e virus che si diffondono sui computer desktop. Ma ora le persone di tutto il mondo sono preoccupate per le agenzie governative ficcanaso, Heartbleed che libera i propri dati personali sul Web e le crescenti minacce mobili. Diamine, la copertura delle fughe di Edward Snowden sugli sforzi di spionaggio della National Security Agency ha incassato quest'anno i premi Pulitzer. Man mano che le nostre vite si concentrano maggiormente sui dispositivi digitali e su Internet, sempre più persone si preoccupano della sicurezza, e giustamente. La domanda è: quali sono i problemi reali e qual è solo l'hype del sapore del mese dai media mainstream?

Per una solida panoramica di ciò che conta davvero, riavvolgi lo scorso febbraio, quando migliaia di partecipanti si sono riversati a San Francisco per la RSA Conference. Tra loro c'erano i creatori di prodotti per la sicurezza e i ricercatori che hanno infranto alcune delle più grandi storie di sicurezza. È uno dei più grandi raduni del suo genere e le idee di RSAC avranno un impatto enorme sulla sicurezza digitale per il resto dell'anno.

Snowden e sicurezza

La gente scherzava dicendo che il governo degli Stati Uniti stava ascoltando tutto quello che tutti dicevano, ma nessuno ne ride più. Il presunto accordo tra la National Security Agency e la RSA Security ha fatto vacillare la conferenza, che non è più direttamente affiliata alla società RSA.

Sorprendentemente, l'NSA ha deciso ancora una volta di essere presente alla fiera quest'anno. Anche se non lo fossero, era difficile evitare l'NSA. Alcuni venditori hanno distribuito sottobicchieri con il logo dell'agenzia su di essi, mentre altre persone hanno iniziato a scrivere commenti ridicoli sulle lavagne pubbliche. Un venditore apparentemente si è opposto a essere situato vicino allo stand della NSA, mentre un altro ha colto l'occasione per girare video in loop su Snowden.

Alcuni oratori hanno tenuto le loro presentazioni in segno di protesta e hanno organizzato un evento di un giorno in competizione chiamato Trustycon. Questo doveva aiutare a sensibilizzare sulle questioni relative alla privacy, sebbene alcune persone lo vedessero diversamente.

Cina Chi?

L'anno scorso, l'uomo nero sotto il letto di tutti era la Cina. La paura degli addetti ai lavori era sponsorizzata dallo Stato o attaccanti solitari dalla Cina che rubavano la proprietà intellettuale e la vendevano o la davano ai concorrenti cinesi. C'era anche la minaccia della guerra informatica tra le nazioni, resa ancora più reale dalle continue notizie di sofisticate minacce persistenti avanzate.

Avanti veloce a quest'anno e le preoccupazioni sono più tranquille. Gli oratori hanno menzionato il "furto di proprietà intellettuale", ma non hanno visto la necessità di dire chi ci sarebbe stato dietro. Quando gli attacchi "stato nazionale" sono stati menzionati l'anno scorso, quasi certamente significava "Cina", ma quest'anno avrebbe potuto facilmente significare "Gli Stati Uniti d'America".

Dieci cose

Al di fuori di queste grandi storie, ci sono stati alcuni sviluppi promettenti, nuove tecnologie e consigli collaudati presso RSA. Innanzitutto? Patch il tuo software. C'erano anche molti venditori desiderosi di spostare le password passate, che speriamo vedremo presto. Inoltre, spero che leggiate tutti prima dello spettacolo del prossimo anno.

Queste sono alcune delle grandi storie di cui parlano gli esperti di sicurezza, ma non sono le uniche. Ecco le nostre prime dieci grandi idee che stanno accadendo in questo momento nella sicurezza.

1 10. Backdoor in crittografia

La National Security Agency era nella mente di tutti alla conferenza di quest'anno ed è stata la più grande storia di sicurezza dell'anno scorso. E anche se la Conferenza RSA è un'entità distinta dalla società RSA Security, la presunta connessione da molti milioni di dollari tra RSA e l'NSA è stata un argomento di discussione frequente. Il presidente della RSA Art Coviello ha respinto le accuse nel suo discorso di apertura, ma ha chiesto riforme all'interno dell'agenzia di spionaggio. In netto contrasto con lo scorso anno, i timori per la Cina hanno lasciato il posto alle preoccupazioni che la crittografia potrebbe non essere sicura come pensavamo.



2 9. Parole d'ordine Uccisione di parole

Quando una parola raggiunge lo stato di parola d'ordine, cessa di significare qualcosa di utile. Purtroppo, all'RSAC c'erano un sacco di parole come quelle in cui tutti usavano le stesse parole, ma nessuno era d'accordo sulla definizione. Quando si tratta di intelligence sulle minacce, stiamo parlando di indicatori di compromesso o stiamo parlando di arricchire i dati esistenti con fonti di terze parti? Cosa significa esattamente "next-gen"? A questo punto, dovremmo essere alla prossima generazione. Come possono tanti prodotti annunciare una rivoluzione della sicurezza? L'industria sa ancora cosa promette di più?

Immagine tramite l'utente di Flickr Soumyadeep Paul



3 8. In caso di attacco di tostapane, automobili e macchine da caffè

L'Internet of Things è entrato nella Conferenza della RSA quest'anno e tutti sono preoccupati per la prospettiva di proteggerli. La chiave da asporto - abbastanza angosciante - è che non siamo ancora pronti a proteggere tutti i nostri dispositivi, siano essi elettrodomestici, dispositivi medici o automobili. Anche così, alcuni non erano affatto preoccupati, dicendo che i criminali non erano in grado di provare a controllare in remoto o schiantare un'auto connessa. Sarebbe più probabile che i criminali vadano "a monte" per compromettere i server che usano le cose - come i server OnStar per le auto - e monetizzare quelli.

L'Internet of Things crescerà senza dubbio sempre più man mano che un numero maggiore di dispositivi si connette. Sulla scia di Heartbleed, i ricercatori non erano preoccupati solo dei server ma di tutti i dispositivi collegati.



4 7. Crittografa tutto

La risposta di tutti su come migliorare la sicurezza, in particolare la sicurezza mobile, è stata la crittografia, la crittografia, la crittografia. Le app mobili stanno spostando enormi quantità di informazioni su Internet e molti sviluppatori scelgono di non crittografare tali transazioni, offrendo agli aggressori e agli stati nazionali molto da guardare. Sempre rivolgendosi all'NSA, il CTO di Co3 Bruce Schneier ha ipotizzato che l'agenzia abbia probabilmente rotto una qualche forma di crittografia ma non sia in grado di elaborare enormi quantità di dati crittografati. Ha detto che la mera quantità di informazioni non crittografate che volano in giro sta semplicemente rendendo troppo facile per chiunque cerchi di archiviare dati. A febbraio, le preoccupazioni sulla crittografia erano basate sulle vulnerabilità create dalla NSA e sui problemi SSL di Apple. L'annuncio di Heartbleed è un promemoria che fa riflettere sul fatto che anche i migliori strumenti che abbiamo ancora non sono perfetti.

Immagine tramite account anonimo utente Flickr

• 5 6. Non ci sono proiettili d'argento

  Abbiamo trascorso molto tempo a parlare di presentazioni e persone alla RSAC, ma non dovremmo dimenticare che l'evento è una fiera e che la sala espositiva è piena di venditori che lavorano per convincere gli acquirenti che il loro prodotto è il migliore in circolazione. Sorprendentemente, molte compagnie di sicurezza stavano ancora spingendo l'idea di proiettili d'argento, una soluzione a servizio singolo per tutti i tuoi problemi di sicurezza. Questo è un po 'sorprendente dato che l'anno passato ha dimostrato che ci sono numerose strade per gli attacchi e che possono differire a seconda di chi c'è dietro di loro e di cosa stanno cercando. Art Gilliland, vicepresidente senior di HP, ha suggerito che le aziende smettono di cercare nuove armi e adottano un approccio più olistico alla sicurezza. Più importante nel suo elenco di miglioramenti? Investire nelle persone e migliorare la formazione sulla sicurezza.



6 5. L'AV mobile non funziona

Mentre ha celebrato la comunità della sicurezza che lavora con e all'interno di Android per renderlo migliore, il Lead Engineer di Google per la sicurezza di Android ha finora preso una visione debole della sicurezza mobile. Ha affermato che l'obiettivo di Google era fornire una sicurezza silenziosa e invisibile e ha suggerito che le società di sicurezza si occupavano maggiormente di attirare l'attenzione e aumentare le vendite. Anche il CEO e cofondatore di viaForensics Andrew Hoog ha contestato i tradizionali modelli di sicurezza su dispositivi mobili. Ha sottolineato che il sandboxing delle app nei sistemi operativi mobili fa un buon lavoro nel proteggere le app ma limita anche la capacità delle app di sicurezza di gestire le minacce. La sua soluzione? Concedi agli sviluppatori della sicurezza l'accesso ai privilegi di root.

Non sono pienamente d'accordo con nessuna delle due posizioni, ma l'aumento delle minacce mobili richiede nuovi modi di proteggere i dispositivi. Proteggere dalle app dannose non è sufficiente e, sebbene gli strumenti che le società di sicurezza stanno aggiungendo alle loro app mobili siano utili, non saranno sufficienti per sempre.

Immagine tramite l'utente di Flickr Tiago A. Pereira



7 4. Sicurezza al posto di guida

Parliamo molto di come la sicurezza debba far parte del DNA dell'organizzazione e come i team di sicurezza non possano semplicemente reagire alle crisi o in modalità antincendio per tutto il tempo. Il consenso generale sembra anticipare le minacce, sia che si tratti di migliori pratiche di sicurezza per chiudere le vie di attacco sia che si integrino con altri team per assicurarsi che i problemi di sicurezza vengano presi in considerazione fin dall'inizio.



8 3. Abbiamo bisogno di più persone in sicurezza

Una delle cose di cui abbiamo sentito parlare è stata la carenza di professionisti della sicurezza. Le aziende che tradizionalmente non dovevano pensare alla sicurezza, ovvero proteggere i propri dati o assicurarsi che i loro prodotti fossero sicuri, stanno facendo fatica a trovare professionisti della sicurezza esperti. Le agenzie governative stanno cercando di attirare gli hacker più brillanti per riempire i loro ranghi. C'è un divario di competenze, in parte perché non abbiamo abbastanza persone specializzate nella sicurezza, ma anche perché le aziende non stanno facendo un buon lavoro di reclutamento.

Abbiamo bisogno di più donne nella tecnologia e in particolare della sicurezza delle informazioni. Le sessioni di RSAC si sono concentrate sulla creazione di strutture di supporto per incoraggiare le donne interessate all'Infosec, ma anche per evidenziare alcuni dei loro risultati.



9 2. Le app che perdono sono peggio dei malware mobili

La difesa dai malware continua a essere al centro di molte aziende di sicurezza mobile, ma questa non è di gran lunga l'unica minaccia. Molti partecipanti alla conferenza RSAC hanno suggerito che le app che perdono, ovvero le app che trasmettono i dati personali degli utenti senza crittografia o in enormi quantità, rappresentano una minaccia molto maggiore per gli utenti. Per i lettori della nostra copertura del lunedì sulle minacce mobili, questo non dovrebbe sorprendere. Quest'anno non vediamo l'ora di nuovi strumenti come viaProtect per aiutare i consumatori a vedere cosa stanno realmente facendo le loro app. Detto questo, guardare qualcuno che fa a pezzi, modificare e riconfezionare un'app Android in cinque minuti è un promemoria che il malware è ancora un problema.

Immagine tramite l'utente di Flickr Grotuk

• 10 1. La sorveglianza non sta scomparendo

  James Comey, direttore dell'FBI appena coniato, ha chiarito due cose nella sua presentazione di RSAC 2014: l'FBI ha bisogno di cooperazione da parte delle imprese per combattere le minacce informatiche, ma la sorveglianza elettronica è qui per rimanere. A un livello, lo sappiamo tutti. Non possiamo aspettarci che spie e poliziotti continuino a toccare i telefoni quando i cattivi comunicano con e-mail e altri strumenti. Come società, dobbiamo accettare che le comunicazioni digitali sono un obiettivo e forse legittimo. Allo stesso modo, i panelisti in un'affascinante tavola rotonda di addetti ai servizi segreti statunitensi hanno sottolineato che l'NSA non è una "agenzia canaglia" e che ogni altro stato nazionale si sta impegnando nella sorveglianza elettronica. Hanno anche affermato che lo spionaggio domestico deve trovare un migliore equilibrio con la privacy e che le persone non dovrebbero permettere ai funzionari eletti di usare la loro "storia di copertura" della negabilità plausibile per le operazioni di intelligence.