Il boomerang dell’attacco simulato e lo specchio della Regina cattiva

di Umberto Rapetto
(Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche)

La paura di invecchiare affligge il gentil sesso. Il mondo imprenditoriale, invece, vive il timore di vedere i propri sistemi messi al tappeto dall’hacker di turno. Non è quest’ultima una delle preoccupazioni prioritarie, ma il succedersi degli incidenti informatici inizia a scuotere gli animi e a ingenerare una certa (speriamo duratura) consapevolezza del rischio.

Al pari del pullulare di medici estetici e dello sbarco dei “filler” persino in spavaldi studi odontoiatrici, il fronte tecnologico della nostra quotidianità rivela lo sbocciare eutrofico di specialisti della cybersecurity che promettono l’immortalità alle aziende “affamate” di sicurezza.

Chi non assicura l’eternità si limita a garantire immutabile giovinezza e non fatica ad inscenare dimostrazioni che – dopo momenti di comprensibile panico – conducono a rasserenata spensieratezza.

Spieghiamoci meglio. L’imprenditore si rivolge al presunto guru, questo lo spaventa e poi dal cappello a cilindro estrae la soluzione, non sempre a buon prezzo.

Vediamo la sequenza al ralenti e selezioniamo la manciata di fotogrammi presumibilmente più significativa, ovvero quella della “diagnostica”. Per comprendere l’esigenza di sicurezza si procede a verifiche che sanciscono il livello di vulnerabilità di computer e reti.

I tecnici parlano di penetration test, ossia di tentativi volti a forzare le misure di protezione implementate a difesa di dati ed applicazioni.

Fin qui, nulla di strano. La procedura narrata è però solo un modello teorico. Nella realtà, infatti, le cose si svolgono in maniera distante dalla modalità che sarebbe auspicabile. Chi deve incarnare l’ipotetico pirata informatico – di cui si emula l’aggressione – non è libero di agire a proprio piacimento (e magari conformemente a quella che sarebbe l’agguerrita condotta del criminale) ma è costretto a soggiacere alle regole di ingaggio che lo legano a chi lo ha assoldato.

Il committente – già faticosamente convinto a sottoporsi al doloroso check-up – non ha piacere di sentirsi rimproverare per lacune o punti deboli.

Il “pen-tester” non può sbizzarrirsi in acrobatici dribbling delle cautele adottate da chi lo ha chiamato a esaminare la situazione. Il titolare dell’azienda (e con lui/lei chi ha responsabilità sul versante ICT, Information & Communication Technology) mette subito in chiaro che le operazioni non devono interferire con il normale funzionamento delle risorse tecnologiche. Dopo questa premessa scatta la lunga lista delle cose che non possono/devono essere fatte e viene delimitato il perimetro dettagliato degli apparati da scandagliare: il controllo, quindi, perde progressivamente la sua serietà (e la sua utilità).

I “paletti” che vengono fissati tramutano in una farsa quella sorta di “esercitazione” che doveva dire se si è pronti a resistere ad un assalto oppure no. Vengono rilevate piccole minuzie, vengono emesse fatture inversamente proporzionali all’efficacia dell’accertamento svolto.

Se chi esegue il penetration test è un bandito (o semplicemente un ragazzotto insoddisfatto e sottopagato dal suo datore di lavoro) farà tesoro delle vulnerabilità rilevate per poi rivendersele al momento e al tipo giusto, saccheggiando archivi e documenti cui accede, piazzando “backdoor” (o “ingressi sul retro” utilizzabili in futuro) ovunque riuscirà ad approdare. In ogni caso l’imprenditore esce raggiante dalla dura prova. Come lo specchio di Grimilde ripete “Sei tu la più bella del reame”, il consulente non esita a dire che fortunatamente sono stati individuate e annientate le vulnerabilità che potevano destare ansie e angosce.

Nessuna bugia: se l’hacker attacca tra le 13 e le 14 solo il computer del secondo piano che non serve a nulla, non c’è davvero pericolo…