Rischi contro VulnerabilitÃ
TH: vorremmo sfruttare questa intervista, e altre, per ridurre la tensione tra utenti Mac e Windows, puoi darci una mano?
Dino: la diversità è un elemento che aumenta la sicurezza dei sistemi, soprattutto se i vostri dati sono distribuiti su diversi sistemi, che rendono più difficile ottenere l'accesso a tutto. A meno che, naturalmente, non ne usiate uno per accedere all'altro, o siano sulla stessa rete. Molti attacchi, in realtà , passano dal browser al giorno d'oggi, quindi è probabile che un sistema sia al sicuro, ed è difficile che un sistema soffra un contagio, se usate un SO diverso da quello che si collega alla rete.
TH: alle conferenze enfatizzi spesso la differenza tra il concetto di rischio e quello di vulnerabilità . Ce lo puoi spiegare?
Dino: una vulnerabilità rappresenta un punto debole in un sistema, un pericolo potenziale che potrebbe essere sfruttato. Il rischio è un elemento che consegue alla vulnerabilità , e rappresenta le possibilità concrete per un criminale di sfruttare la vulnerabilità per raggiungere i propri scopi. Spesso parlo anche di "tranquillità " contro "sicurezza", per renderlo più comprensibile ai non addetti ai lavori: lasciare la porta di casa aperta non è mai sicuro, la il livello di tranquillità dipende in gran parte da dove vivi.
La sicurezza di un sistema dovrebbe essere adatta al rischio correlato. Chi si occupa di difesa, tuttavia, spesso è più preoccupato d'inseguire gli assaltatori piuttosto che di anticipare il rischio. Non ha molto senso aspettare che arrivi il malware prima di intervenire, quindi.
TH: e per quanto riguarda la differenza tra vulnerabilità ed exploit?
Dino: una vulnerabilità è una debolezza nel software, un potenziale punto dove far breccia. L'atto di attacco vero e proprio si affida ad un software, che viene generalmente chiamato "exploit". A conti fatti, non tutte le vulnerabilità sono sfruttabili subito, o in maniera affidabile.
Senza esperienza è praticamente impossibile sfruttare una vulnerabilità , ed è molto difficile anche capire se sarebbe possibile farlo. Spesso si crede che una vulnerabilità sia sfruttabile perché qualcuno è riuscito a creare un exploit, anche se si tratta di un esperto con molto talento. In verità , bisognerebbe dar retta anche agli analisti del settore, per un'opinione più serena.