Ottimi cervelli orvietani (per ora non in fuga). Dopo il Security Summit intervista ad Alessandro Scoscia

Dopo la partecipazione al Security Summit di Milano, Fabrizio Caccavello, project manager di Akebia, ha intervistato il giovane ricercatore orvietano Alessandro Scoscia che, insieme ai colleghi Emanuele Gentili ed Emanuele Acri, ha portato al prestigioso Summit di Milano la scoperta di nuove, sconvolgenti tecniche di attacco informatico. L'importante scoperta dei tre ricecatori è stata ufficialmente aggiunta in wikipedia a questo indirizzo http://it.wikipedia.org/wiki/Cross_Application_Scripting

Iniziamo dalla fine, Alessandro: come si arriva ad essere relatori al "Security Summit", uno dei più importanti eventi sulla sicurezza informatica?

Devo dire con molta sincerità che la partecipazione al Security Summit non era affatto prevista. Qualche mese fa Emanuele Gentili ha scoperto una vulnerabilità di Skype e l'ha segnalata al loro security manager. Il problema, insieme ad altri, è stato risolto e Skype ha rilasciato una nuova versione del suo programma. Sembrava tutto finito lì; capita spesso, infatti, di segnalare ai produttori qualche problema nelle applicazioni.
Quell'idea, però, ci è rimasta in testa ed abbiamo iniziato a ragionare sui motivi per i quali si poteva essere verificato il problema. Abbiamo iniziato a fare alcune ipotesi e le prime verifiche su altri software, sia opensource che proprietari. Presto ci siamo resi conto che quella su cui stavamo lavorando era una tecnica di attacco alle applicazioni del tutto nuova.
C'è una statistica (non so quanto affidabile) secondo la quale quando hai un'idea, esattamente nello stesso momento almeno altre 7 persone stanno pensando la stessa cosa. La prima cosa che abbiamo fatto allora è stato verificare se ci fossero altri studi in questo senso. Incredibile a dirsi ma non abbiamo trovato nessun precedente.
Nella ricerca abbiamo coinvolto un giovanissimo ricercatore - Emanuele Acri, 18 anni - ed in qualche settimana abbiamo formalizzato la teoria di una nuova tecnica di attacco alle applicazioni. A dimostrazione dell'efficacia abbiamo anche realizzato dei test su applicazioni molto note.

Quindi non avete semplicemente scoperto un bug, ma un nuovo modo per "malintenzionati" di violare i nostri computer...

Esattamente. Quello che abbiamo scoperto è che, mentre stiamo cercando di difenderci da attacchi provenienti dal web e dalla posta elettronica - pensa alle false e-mail della banca a cui ancora molti utenti "abboccano"-, si stanno aprendo altri scenari in cui ogni utente potrebbe essere attaccato proprio attraverso le applicazioni che lui stesso ha installato sul proprio computer.
E' strano che questa affermazione spaventi le persone più di altri comportamenti, veramente pericolosi, che ai più sembrano "normali". Ad esempio, un utente che abbia installato una versione "pirata" di windows o di office (compiendo un atto illegale) è informato del fatto che, probabilmente, quel software è stato alterato prima della diffusione e che, quindi, forse non fa solo quello che dovrebbe fare?

Ma rivelando questa scoperta, di fatto, non avete dato informazioni anche ai "malintenzionati"?

La diffusione delle informazioni sulla sicurezza informatica è sempre un momento particolarmente delicato. Noi abbiamo assunto una politica che si definisce "responsible disclosure" (rivelazione responsabile). Ciò significa che, prima di rendere note queste informazioni, abbiamo allertato i servizi, polizia postale e guardia di finanza, quindi i più importanti produttori di software: Google, Nokia, Apple, IBM, Adobe, Canonical, Symbian ed altri.

Quindi è sempre la solita guerra tra guardie e ladri, l'esperto in sicurezza ne deve sapere una in più del ladro?

E certo, altrimenti che esperto è?!? L'idea alla base dell'approccio "offensivo" alla sicurezza, che io ritengo uno dei più proficui, è che per aumentare l'affidabilità di un sistema occorre provare ad attaccarlo per eliminare tutte le vulnerabilità che hanno permesso di violarlo. E' buona norma cercare di scoprire i propri problemi di sicurezza prima che lo faccia qualcun altro... magari con cattive intenzioni.

E allora possiamo stare tranquilli con i nostri conti correnti bancari online?

Possiamo stare tranquilli esattamente come quando andiamo in giro in auto, facciamo shopping con la carta di credito o accettiamo il resto in banconote (sai quante ce ne sono di false?). La gestione dei nostri conti online o delle informazioni che abbiamo memorizzato in un computer e a cui teniamo meritano la nostra attenzione. Certamente l'uso di uno strumento informatico può nascondere qualche insidia, ma questo vale soprattutto per chi lo usa senza troppa cognizione.
Nessuno di noi guida un'auto senza sapere più o meno come funziona e senza conoscere la segnaletica stradale (almeno in teoria). Pochi utenti però si informano (o si formano) sul modo corretto di utilizzare questi servizi. Strano, no?
Come i casi di frodi informatiche più recenti dimostrano, una delle vulnerabilità più sfruttate non è prettamente tecnica, ma è proprio dovuta alla scarsa formazione degli utenti. Pensa a tutti gli utenti che continuano ad "abboccare" rispondendo alle e-mail che "sembrano" provenire da banche o istituti di credito.

I mezzi di informazione tradizionali continuano a presentarci una rete insicura e pericolosa. Sei d'accordo con questa visione?

La rete non è un "luogo altro" rispetto alla realtà nella quale viviamo. Ci sono quindi servizi, anche molto evoluti, e pericoli. Il problema è che molti utenti non sanno usare i primi e sottovalutano i secondi. Diciamo, quindi, che siamo ancora "poco abituati" ad utilizzare questi strumenti. Io credo che, invece che demonizzarli, dovremmo semplicemente farli conoscere meglio, ma non mi aspetto certo che questa funzione sia svolta dai mezzi di informazione tradizionali.

Torniamo al "Security Summit", i risultati della vostra ricerca quali implicazioni reali possono avere nella vita delle persone ?

Sembra una contraddizione, ma spero proprio che ne abbiano il meno possibile! Come dicevo all'inizio, abbiamo informato molto rapidamente i maggiori produttori di software sulle vulnerabilità sfruttabili con questa nuova tecnica. Alcuni di questi hanno già aggiornato i propri prodotti, altri lo stanno facendo. La politica di "responsible disclosure" e l'approccio etico che abbiamo utilizzato nella comunicazione di queste informazioni dovrebbero essere un aiuto allo sviluppo di programmi più sicuri e alla correzione di quelli che presentano vulnerabilità, ovviamente prima che qualcuno le sfrutti per compiere attacchi veri e propri.
In linea di massima, l'utilizzo della tecnica su cui abbiamo lavorato, che abbiamo definito "CAS - Cross Applications Scripting", potrebbe portare a compromissioni gravi dei sistemi ed essere utilizzata per realizzare "phishing" in modo molto evoluto (che abbiamo per questo definito phishing 3.0). Questo tipo di attacco associa le "debolezze delle persone" alle vulnerabilità informatiche e gli utenti vengono indotti inconsapevolmente a compiere azioni che minano la loro stessa sicurezza.
Fino ad ora la tipologia più conosciuta di questi attacchi è il phishing via messaggi di posta elettronica contraffatti. Con un attacco di tipo CAS, invece, possono essere utilizzati molti altri vettori di attacco: i lettori di feed, i twitter, i messaggi di facebook o di qualunque altro social network. E' importante sottolineare che la diffusione di un attacco CAS può essere anche realizzata mediante l'invio o la condivisione di dati apparentemente validi ma in grado di modificare il comportamento di programmi vulnerabili che gli utenti abbiano installati sulla propria macchina (solo nel nucleo dell'interfaccia grafica kde di linux ne abbiamo individuati oltre 20.000). Pensa a cosa potrebbe succedere se tu aprissi un file di Google Earth, che credi ti abbia inviato la tua agenzia di viaggi per mostrarti il pacchetto che ti vuole proporre, ma il funzionamento del tuo programma venisse alterato affinché il tuo eventuale acquisto possa fornire i dati del pagamento anche all'attaccante!
L'altra importante novità di questa ricerca è che questo tipo di attacchi possono essere realizzati su tutti i sistemi operativi (Microsoft, Unix/Linux, MacOS e così via) ma anche su moltissimi altri dispositivi, tipo palmari e cellulari. Ovviamente non abbiamo avuto modo di sperimentare ma supponiamo che attacchi CAS possano essere efficaci anche contro sistemi di controllo che potremmo definire "critici", o su alcuni circuiti bancari e bancomat.

Questi meeting sono importanti per la condivisione del sapere scientifico oppure sono anche una interessante opportunità per lo sviluppo di nuovi business?

I due temi non sempre sono strettamente connessi, soprattutto in Italia. In particolare, per quanto riguarda la sicurezza informatica, troppo spesso l'interesse sale soltanto quando il rischio "potenziale" si manifesta in un attacco vero e proprio e si inizia a dover contare i danni. Comunque al Security Summit erano presenti molte realtà che si occupano di sicurezza, quindi particolarmente interessate, che ci hanno contattato e con le quali contiamo di realizzare collaborazioni stabili.

Per questa vostra attività di alto livello tecnologico non è troppo stretto il confine nazionale? Diventerete presto altri cervelli in fuga?

Il confine nazionale è certamente troppo limitato per questi temi, infatti la segnalazione di questa scoperta è stata inviata ai maggiori vendor mondiali e siamo stati già invitati a presentare questa ricerca alla BlackHat Conference che si terrà a Las Vegas il prossimo luglio. Siamo molto lusingati per questo invito poiché la BlackHat Conference è in assoluto l'evento mondiale del settore di maggior prestigio.
Nonostante le sollecitazioni per la fuga siano particolarmente allettanti (compresa la proposta che Emanuele Gentili ha ricevuto per spostare queste attività di ricerca e di lavoro direttamente in Google), abbiamo un'idea di business diversa.
Con Emanuele sto lavorando già da tempo erogando servizi di difesa offensiva dei sistemi e siamo riusciti ad ottenere un'importante partnership con "Offensive Security". In forza di questi accordi potremo erogare corsi di formazione per preparare i tecnici italiani e gli esperti del settore ai duri esami di certificazione delle proprie competenze secondo gli standard che noi stessi abbiamo adottato.
L'idea non è quindi quella della fuga all'estero soprattutto perché crediamo che la sensibilizzazione su questi temi farà a breve capire l'importanza della formazione e delle verifiche di sicurezza dei sistemi aziendali anche in Italia. Siamo convinti che le aziende italiane si accorgeranno presto che la sicurezza informatica è un'esigenza e non un plus. Auspichiamo, inoltre, che si arrivi a questa "illuminazione" spinti dal buon senso almeno di fronte ai dati sui trend di crescita degli incidenti di sicurezza in Italia, senza attendere di dover contare i danni.