Login
Tobias Ospelt (29) lavora per l'azienda modzero AG come consulente e tester di sicurezza.
Collaudo software e hardware per le aziende: In primo luogo, raccolgo informazioni sul prodotto e familiarizzo con l'argomento. Dopo la ricerca, cerco i punti deboli e i rischi che non sono stati considerati durante la progettazione del prodotto. Eseguo inoltre innumerevoli test e osservo come il sistema reagisce ai miei input e comandi. Nella fase successiva, voglio scoprire quali sono i motivi delle anomalie, dove sono i punti deboli e come possono essere sfruttati.
Di norma, i miglioramenti vengono apportati per colmare le lacune di sicurezza del programma. I sistemi informatici sono solitamente molto modulari, il che significa che le parti difettose possono essere sostituite. Se durante lo sviluppo di un'applicazione si scoprono gravi errori di progettazione, a volte i clienti decidono di ricostruire il programma.
Gli aggressori inviano comandi al sito web e osservano come reagisce. Questo processo di solito richiede giorni e non minuti. I comandi degli aggressori possono generare messaggi di errore e fornire informazioni sul luogo di risposta alle richieste e sul software utilizzato, tra le altre cose. Gli hacker analizzano quindi il comportamento del sito web. In alcuni casi, ad esempio, gli hacker riescono a inviare stringhe di caratteri specifiche, ricevendo in risposta un errore di database. In questi casi, gli aggressori sanno che l'input è arrivato al database del sistema senza essere filtrato e sta comunicando con il cuore del sistema, per così dire. Quando infine gli hacker inviano comandi personalizzati al database e questi vengono eseguiti, il sistema è stato violato. In questi casi, gli aggressori ricevono i dati desiderati in risposta alle loro richieste, senza alcun messaggio di errore. Nel peggiore dei casi, la conseguenza di questo errore può essere la possibilità di leggere o manipolare i dati di tutti gli utenti.
Gli interessi finanziari sono spesso al centro degli attacchi. Gli aggressori vogliono ottenere denaro - da chi o come è secondario. Sia i privati che le aziende sono quindi a rischio. Un esempio è il malware "Locky" che circola da diversi mesi. Il malware cripta i dati, ad esempio i file di testo, presenti sul computer della vittima. Solo pagando un riscatto al ricattatore si riceve la chiave per sbloccare nuovamente i dati. È quindi molto importante prendere sul serio la questione della sicurezza, sia al lavoro che a casa.
Un buon elenco è disponibile, ad esempio, presso l'Ufficio federale tedesco per la sicurezza informatica (BSI). Come regola generale, è necessario sensibilizzare l'opinione pubblica sui contenuti legittimi e non legittimi, evitare l'esecuzione di programmi sconosciuti, effettuare aggiornamenti regolari del software e utilizzare i blocchi degli annunci. Per le aziende, in particolare, ci sono numerosi altri aspetti da considerare. In questo caso, il reparto IT si occupa delle questioni tecniche.
L'"Internet delle cose" rappresenterà sicuramente una sfida importante. Si tratta di dispositivi connessi a Internet ma spesso poco alimentati. Questi dispositivi vengono definiti "dispositivi incorporati". È necessario investire molto lavoro per sviluppare questi dispositivi in modo sicuro. Sono inoltre necessarie competenze specifiche. È discutibile se queste competenze siano disponibili presso un produttore che costruisce frigoriferi da 20 anni, ad esempio. Anche il tempo di lancio sul mercato è spesso calcolato in modo troppo stretto, motivo per cui i dispositivi sono pieni di errori e offrono innumerevoli superfici di attacco. Spesso non è nemmeno disponibile un meccanismo di aggiornamento, il che significa che non è possibile effettuare importanti aggiornamenti del software se viene individuato un difetto nel prodotto.
All'inizio si imparava molto dai libri. Oggi, tuttavia, le informazioni provenienti da Internet mi aiutano di solito: dai white paper delle università ai post dei blog che trattano gli attacchi attuali. C'è anche un dialogo vivace tra i tester di sicurezza e conferenze speciali sulla sicurezza con presentazioni su argomenti attuali.
-min.png)
