Hack & Sec

19 Ottobre Ott 2017 2235 19 ottobre 2017

Quelli che… (parte seconda)… pensano di sapere tutto

  • ...

A volte, alle fine delle le mie conferenze e dopo l’incontro con quello che vuole sapere tutto, qualcuno mi avvicina ed esordisce con la premessa: “parto dal presupposto che sono un informatico…” poi, più o meno gentilmente, mi spiega che ho passato due ore a dire “ASSOLUTAMENTE nulla di ciò che una persona dotata di un minimo buonsenso già possa supporre”. Anche in questo caso di solito rispondo ringraziando perché, di questi tempi, essere indirettamente definito come una persona capace di dire cose sensate è un bel risultato. Aggiungo che forse non era il caso “perdesse il suo tempo”, perché in linea di massima non era una figura come la sua il destinatario dell’incontro, ma lo ringrazio per essere venuto. Con questo, ancora una volta, si chiude la conversazione, ma non le mie riflessioni. Cosa intendeva quando premetteva “sono un informatico”? Probabilmente certe cose gli sono assolutamente note o forse quella semplice qualifica lo rendeva edotto in materia di sicurezza?

Lo scorso week end ho ricevuto un richiesta, scritta da un “informatico”, per l’esecuzione di un vulnerability assessement e un penetration test (semplificando vi dico che si tratta di simulazioni di attacco a dei sistemi informatici). Non leggo il dettaglio e passo la richiesta a un collega e amico che di mestiere si occupa solo di questo (nel mio settore esistono le specializzazioni). Passa meno di un’ora e ricevo una email che esordisce con: “io vorrei lavorare invece di perdere il mio tempo con degli idioti che chiedono cose come quelle qui sotto…”. Segue una puntuale critica di tutte le richieste e un ulteriore commento “mettilo da parte per il tuo prossimo libro!! Anzi, facciamolo insieme un libro con tutte queste stron… in modo tale che si capisca a che livello è la sicurezza in Italia”. Onestamente, se avessi letto il contenuto avrei evitato anche di mandargliela, perché effettivamente l’informatico non sapeva di cosa stava parlando.

Questo è il problema di chi “parte dal presupposto di essere un informatico”. Il vero limite è la presunzione avere piena comprensione di una materia che ormai ha dimensioni enciclopediche e di essere tranquilli, perché tanto, noi informatici, certi errori non li commettiamo. La strada dell’informatica, invece, è lastricata di idiozie commesse per eccesso di confidenza come quella che di recente ha permesso di violare, con le credenziali di un amministratore (un informatico), l’intero sistema di posta elettronica di Deloitte oppure in passato ha messo in piazza tutti gli affari dell’italica Hacking Team, i cui “informatici” utilizzavano password come "P4ssword”.

Ancora una volta è una questione di consapevolezza e di quel buonsenso che tutti conoscono, ma pochi praticano. Nel caso di chi si occupa di questioni affini a quelle della sicurezza, come l’informatica, appare tutto decisamente più grave perché hanno responsabilità ben superiori a quelle di un comune utente. Non gli consiglio i miei ultimi libri, in quanto non sono loro i destinatari, a meno che non vogliano avere una visione d’insieme su quello che possono fare gli utenti dei sistemi che amministrano. Tuttavia gli suggerisco caldamente di evitare di “presumere” troppo perché non soltanto sono un obiettivo, ma, come qualsiasi altro essere umano possono essere vittime di una distrazione o di una leggerezza. Aggiungo infine che qualcuno “più bravo e furbo” è sempre dietro l’angolo. Personalmente vivo in questa consapevolezza e non a caso la prima frase del mio primo libro dedicato agli utenti (Come pesci nella rete –Guida per sono essere le sardine di Internet) è: “Se pensate che quando accendo il mio portatile mi senta tranquillo, avete ragione. Nel senso che sono “tranquillamente” pronto a scoprire che qualcuno mi ha truffato online”.

Correlati