Strategie di difesa

Intervista esclusiva a Joanna Rutkowska, massima esperta di sicurezza informatica.

Pubblicato il 01/02/2010 alle 17:00 - Aggiornato il 15/03/2015 alle 01:16

Strategie di difesa

TH: A meno che non si stia usando un iPhone, con cui le password non sono coperte da asterisichi. Scusa l'interruzione …

Joanna: Sfruttare la tastiera o il controller USB, invece, sarebbe una strategia valida, ma funzionerebbe solo in scenari molto semplici, come quelli rappresentati da siti bancari che usano pratiche di sicurezza scadenti. Un attacco migliore, dal punto di vista del malware, sarebbe colpire semplicemente il browser; il difetto principale di questo approccio, invece, starebbe nel fatto che un antivirus con privilegi kernel potrebbe individuarlo, almeno in teoria, perché in realtÃ fanno tutti pena.

Un altro problema di questo approccio potrebbe essere un utente un po' più attento della media, che usa browser diversi per le sue attivitÃ quotidiane, e magari li tiene dentro a una macchina virtuale, e uno dedicato per l'online banking. In questi casi non sarebbe facile colpire il browser che usa per accedere alla banca, e ci vorrebbe un po' di lavoro aggiuntivo.

La ragione per la quale ci concentriamo su attacchi di basso livello basati sull'hardware è che siamo convinti che un sistema sicuro deve essere costruito su fondamenta solide, altrimenti le pratiche di sicurezza non avrebbero senso. Questo è specialmente vero se si crede, come me, all'approccio "Sicurezza tramite l'isolamento".

(Potete leggere un post specifico di Joanna qui: http://theinvisiblethings.blogspot.com/2008/09/three-approaches-to-computer-security.html)

TH: Ma perché concentrarsi su un solo approccio. Un sviluppatore non dovrebbe lavorare sul principio di "Sicuro per progettazione ", e poi declinarlo in quello di "Sicurezza per isolamento".

Joanna: Certo, ma dovremmo progettare i nostri sistemi a partire dall'idea che ogni applicazione può avere dei bug, e il SO dovrebbe essere in grado di proteggere le altre applicazioni da quelle malfunzionanti o malevole.

TH: Puoi darci qualche consiglio pratico? La maggior parte delle tue ricerche riguarda aspetti estremi della sicurezza, e attacchi molto sofisticati, e la maggior parte del malware in circolazione nemmeno si avvicina a certi livelli. Cosa consigli ai nostri lettori per rendere più sicuri i propri sistemi.

Joanna: Si tratta di una domanda molto generica, ed è difficile dare un'unica risposta che soddisfi tutti i bisogni.

Leggi altri articoli

Articolo 1 di 5

Liceo classico con informatica? Sarebbe anche ora

Un Disegno di Legge include l’idea di portare l’informatica al Liceo Classico, ma non è abbastanza

Leggi questo articolo

Articolo 2 di 5

Carta d'identità elettronica: potremo usarla anche negli altri paesi UE per i servizi PA

La Carta d'identità elettronica entro 12 mesi diventerà uno strumento di accesso ai servizi online delle amministrazioni degli Stati membri.

Leggi questo articolo

Articolo 3 di 5

Docety, la startup da 2 milioni di Euro che non esiste

Docety è una nuova piattaforma di formazione online. Tra i coach alcuni affermati influencer, ed è possibile fare lezioni uno-a-uno e partecipare a seminari online.

Leggi questo articolo

Articolo 4 di 5

Carta di Identità Elettronica, contro le liste di attesa adesso si caricano online dati e foto

Liste di attesa insopportabili per avere la Carta di Identità Elettronica? Dal Team del governo per la trasformazione digitale arriva un aiuto per i comuni: adesso si possono caricare dati e foto online per snellire le procedure.

Leggi questo articolo

Articolo 5 di 5

PA, da 11mila data center a 7 poli nazionali e cloud: miliardi di euro di risparmio

Il Team per la Trasformazione Digitale propone di razionalizzare gli 11mila data center della PA puntando su al massimo 7 strutture centrali e cloud.

Leggi questo articolo