Intervista Paolo Stagno

Intervista Paolo Stagno

Paolo Stagno, conosciuto anche come VoidSec, è famoso nell’ambito dell’Information Technology per le sue attività come Security Researcher e Penetration Tester.
Di seguito l’intervista rilasciata in merito alla Sicurezza Informatica e alle strategie contro gli attacchi informatici.

Cybercrime: Strategie difensive

Il crescente trend dei cyber attacchi pone, a chiunque lavori nel campo IT, un’importante quesito: siamo pronti?
L’obiettivo di questo breve articolo (non esaustivo) è cercare di sensibilizzare e indirizzare l’attenzione del pubblico verso alcune attività che possono identificare sistemi vulnerabili, rivelare vulnerabilità ignote, gestioni errate dei processi di sicurezza, configurazioni di sistema e applicativi non corrette; tutto questo prima che il sistema venga compromesso dai malintenzionati.

I rischi sono reali, vediamo quindi assieme quali sono le “armi” a nostra disposizione:

Vulnerability Assessment

Il Vulnerability Assessment è un processo d’identificazione, classificazione e definizione delle priorità relative alle vulnerabilità riscontrate nei sistemi informatici, negli applicativi e nelle infrastrutture di rete.
Fornisce:

  • La conoscenza e la consapevolezza relative a vulnerabilità e debolezze nella sicurezza del perimetro e della rete aziendale.
  • Il background tecnico necessario a comprendere le minacce all’interno dell’organizzazione e reagire in modo adeguato relativamente al rischio rilevato.
  • Una migliore comprensione delle proprie risorse e assets critici

Durante un Vulnerability Assessment tutte le vulnerabilità riscontrate dall’analista non vengono ulteriormente sfruttate, la vista è pertanto limitata ai soli sistemi oggetto di analisi e in nessun caso attacchi reali vengono eseguiti contro i sistemi “target”. 
Non è previsto social engineering, test d’intrusione fisica nella sede del cliente o phishing. 
È indicato per aziende di qualsiasi dimensione e per tutti i settori merceologici.
Necessita di essere eseguito periodicamente per poter avere una “vista” relativa alle vulnerabilità sempre aggiornata.

Penetration Test

Penetration Test o Ethical Hacking è un processo d’identificazione e sfruttamento delle vulnerabilità identificate nei sistemi informatici, negli applicativi e nelle infrastrutture di rete.

Durante un Penetration Test, ove possibile, le vulnerabilità identificate dall’analista vengono ulteriormente sfruttate in maniera tale da compromettere ulteriori sistemi all’interno della rete del cliente e raggiungere assets critici. Attacchi reali (non distruttivi per il business) vengono eseguiti contro i sistemi “target”. Con un penetration test si pone l’analista nelle condizioni, quanto più possibili reali, di un attaccante ma sempre monitorato dal team dei “difensori”.

Non è previsto social engineering o test d’intrusione fisica nella sede del cliente. Il phishing è talvolta incluso (normalmente corredato da un percorso di training per i dipendenti). Vengono pertanto svolte campagne di phishing con l’obiettivo di generare una statistica delle probabilità che un dipendente apra una mail malevola che possa pertanto compromettere l’organizzazione.​

Red-Team/Adversary Simulation

Derivato da un ambiente militare; nell’immaginario comune s’immaginano gli aggressori in colore rosso (da questo Red Team) e i difensori in blu (Blue Team).

Un gruppo indipendente di analisti viene ingaggiato dal cliente all’insaputa dei reparti tecnici (difensori) per effettuare un attacco contro l’organizzazione stessa. L’obiettivo del Red Team è di testare difese, contromisure e “risposte” nell’ambito di uno scenario di attacco reale. Tutte le operazioni effettuate NON sono una simulazione (in nessun caso gli assets aziendali vengono esposti a rischi).

Eseguire l’operazione all’insaputa del Blue Team è quello che caratterizza e diversifica un’operazione di Red Teaming da un normale Vulnerability Assessment o Penetration Test.

Il test viene eseguito in modalità Black Box da parte del team d’attacco che non possiede quindi una conoscenza a priori dell’infrastruttura bersaglio, delle sue contromisure e degli assets critici. È in tutto e per tutto uno scenario reale, il Red Team è posto sullo stesso piano di un attaccante e non gli viene assegnato uno scope preciso e restrittivo.

Normalmente il phishing è parte fondante di un Red Teaming; è previsto l’uso del social engineering (la possibilità per un analista di potersi spacciare per un dipendente dell’organizzazione, mentire e ingannare i dipendenti) e test d’intrusione fisica nella sede del cliente (vengono pertanto mappati gli accessi fisici e le reti wi-fi, è possibile manomettere telecamere, clonare badge, scassinare serrature).

Paolo Stagno

Paolo Stagno (alias VoidSec) ha lavorato come consulente per una vasta gamma di clienti internazionali di alto livello, banche, importanti società tecnologiche e varie società Fortune 1000. In ZeroDayLab, è stato responsabile della ricerca e scoperta di nuove vulnerabilità (0day) in applicativi Desktop & Web, componenti dell’infrastruttura di rete, dispositivi IoT, nuovi protocolli e tecnologie. Ora è un ricercatore di sicurezza indipendente e un penetration tester, con un focus sulla sicurezza offensiva delle applicazioni. Gli piace comprendere il mondo digitale in cui viviamo, disassemblare, decodificare e sfruttare vulnerabilità in prodotti e codici sorgenti complessi. Durante le sue ricerche, ha scoperto diverse vulnerabilità nel software di svariati fornitori e giganti della tecnologia come: Cisco, eBay, Facebook, Fastweb, Google, HP, McAfee, Opera, Oracle, Paypal, TIM, Western Union, Yahoo e molti altri. Sin dall’inizio della sua carriera, ha condiviso la sua esperienza con la comunità della sicurezza informatica attraverso il suo sito Web (https://voidsec.com/). È anche relatore attivo in varie conferenze di sicurezza informatica in tutto il mondo come: HITB, TyphoonCon, Hacktivity, SEC-T, HackInBo, TOHack, Droidcon.