Asher de Metz ha varcato le porte di un supermercato. Al suo fianco, al posto di una borsa della spesa riutilizzabile, c'era una discreta borsa per laptop. De Metz non stava facendo la spesa: era un'irruzione. Ma né gli acquirenti che controllavano l'avocado né i cassieri che rubavano le carte di credito si sono resi conto di essere sotto attacco.
De Metz attraversò il negozio e trovò una stanza piena di persone ai computer. È stata una sessione di allenamento. Posto perfetto per mimetizzarsi. Quindi, si è seduto e ha dirottato una macchina .
"Sono appena entrato e ho scollegato il cavo dal retro di una delle macchine e l'ho collegato al mio laptop", dice de Metz. "Per un po' stavo hackerando e ho ottenuto l'accesso a sistemi e database abbastanza rapidamente da quella stanza."
Alla ricerca di un "hacker"
Subito dopo, l'allenatore si avvicinò a de Metz. Era gentile ma insicura su di lui. "Vengo dalla sede centrale", ha spiegato de Metz, per installare alcuni aggiornamenti, le ha detto. La storia l'ha placata per alcuni minuti, ma ha deciso di contattare il suo supervisore.
Fu allora che de Metz capì che era ora di uscire. "Ho chiuso tutto e ho iniziato ad andarmene", ricorda de Metz, ma l'allenatore gli stava alle calcagna. "Ho preso le scale e purtroppo, quando ho aperto la porta, è scattato l'allarme".
L'inseguimento è continuato con la colonna sonora di allarmi di sicurezza a tutto volume e un crescendo stridente finale mentre l'allenatore si lamentava attraverso il negozio: "È lui! Questo è il ragazzo!" Un altro impiegato del supermercato si avvicinò a de Metz, ma de Metz era preparato. Aveva una cartella Manila con un ordine di lavoro fabbricato.
Disse loro che proveniva dall'azienda e che c'era stato un grave hack nel sistema del negozio. "Sapevi che ieri sera c'è stata una violazione della tua rete? Milioni di persone sono state rubate." "No", disse il supervisore. "Non ne avevo idea." La coppia ha accettato di ricevere una chiamata più tardi quel pomeriggio, per evitare che la testa si muova a causa della grave infrazione alla sicurezza informatica.
Parte della storia di de Metz al direttore del supermercato era vera; è stato assunto per essere al supermercato, dalla leadership del supermercato. Tuttavia, l'unico hack che era successo era quello che de Metz aveva fatto lui stesso, e non aveva rubato un centesimo. È stato assunto per vedere fino a che punto poteva hackerare i sistemi del supermercato. E in questo caso è andato lontano. Ora aveva alcune informazioni utili da condividere con il team dirigenziale su come rendere la loro sicurezza più efficace e sicura sia per i dipendenti che per i clienti.
Perché le aziende pagano per essere hackerate
De Metz è il senior manager di consulenza sulla sicurezza presso Sungard Availability Services , una società globale di gestione dei servizi IT. Ha più di 20 anni di esperienza come tester di penetrazione - così si chiamano - e ha fornito preziosi consigli ad alcune delle più grandi aziende del mondo in tutto il Regno Unito, Europa, Medio Oriente e Nord America.
"Il motivo per cui le aziende effettuano i test di penetrazione", afferma de Metz, "è perché non sanno cosa non sanno. Potresti avere un ottimo team IT o di sicurezza interno che sta installando pacchetti e cercando di proteggere i sistemi, ma fino a quando c'è un hacker lì dentro che sta scavando e facendo cose che non dovrebbero essere in grado di fare, per trovare quei rischi che le persone hanno perso, le aziende non sanno quali sono i loro rischi".
L'obiettivo di De Metz è trovare le vulnerabilità prima dei cattivi, una minaccia crescente per le aziende di tutte le dimensioni. Secondo il Cost of Data Breach Study 2017 sponsorizzato da IBM Security, il 60% delle piccole e medie imprese viene attaccato ogni anno. Quel che è peggio è che di quelle aziende, il 60 per cento chiude i battenti entro sei mesi dall'attacco. Il costo medio globale di una singola violazione è di 3,62 milioni di dollari.
Ma le notizie peggiorano. Secondo una ricerca di Check Point Software Technologies , nei primi sei mesi del 2021, il numero di aziende colpite da attacchi ransomware - quelle in cui sono installati software dannosi che bloccano l'accesso alle reti fino al pagamento del "riscatto" - è più che raddoppiato rispetto al 2020. . E il rapporto Mandiant M-Trends 2021 di FireEye ha rilevato 800 tentativi di estorsione in cui i dati aziendali erano stati rubati tra il 1 ottobre 2019 e il 30 settembre 2020.
La posta in gioco è molto alta
Ecco perché sempre più organizzazioni stanno assumendo tester di penetrazione, noti anche come hacker dal cappello bianco (una punta di cappello letterale al simbolismo cinematografico occidentale della metà del XX secolo), come de Metz per introdursi nei loro sistemi di proposito.
"È come una polizza assicurativa. Se le aziende spendono ora i soldi per la sicurezza, le risparmieranno dai $ 10 o $ 100 milioni che costeranno loro se vengono violate", spiega de Metz. "Se, ad esempio, si sottopongono a una valutazione del loro ransomware e si inoculano da soli, le aziende risparmiano mesi di mal di testa e perdite di entrate dovute all'impossibilità di fare affari".
L'altro motivo per cui le organizzazioni pagano per essere hackerate è assicurarsi di soddisfare standard normativi più rigorosi. L'assistenza sanitaria, le organizzazioni finanziarie e le istituzioni governative, tra gli altri, devono soddisfare le normative di sicurezza informatica federali, statali e del settore , poiché l'hacking diventa più comune e più costoso.
La sicurezza informatica è fisica e tecnica
Quando le persone pensano all'hacking, in genere pensano a un ranger solitario che attacca i dati privati di un'azienda dalla sicurezza del seminterrato buio della madre. Tuttavia, i penetration tester esaminano sia gli aspetti fisici che quelli tecnici del programma di sicurezza di un'organizzazione, quindi hackerano dall'interno dell'organizzazione stessa.
"Le aziende non vogliono lasciare nulla sul tavolo, il che potrebbe essere parte di una debolezza di postura", afferma de Metz. "Testiamo i controlli fisici; possiamo accedere a un edificio, superare la sicurezza, passare attraverso una porta sul retro? Possiamo accedere a file fisici? Possiamo entrare in aree in cui le aziende stampano carte di credito o buoni regalo?" Queste sono le cose critiche, fisiche, sottolinea de Metz, oltre al lato tecnico, come l'accesso alla rete o ai dati sensibili.
Offre anche consigli, come raccomandazioni per programmi di formazione dei dipendenti, in modo che persone come il supervisore che ha incontrato sappiano come verificare le persone che dovrebbero essere nell'edificio. Oppure, cosa fare se non riconoscono qualcuno (invece di avviare una ricerca in tutto il negozio anche se crea una buona storia). "Ci divertiamo molto a farlo, ma forniamo anche molto valore al cliente".
Come funziona il test di penetrazione
I tester di penetrazione devono avere una conoscenza dettagliata della tecnologia e ciò deriva dall'esperienza, non solo da strumenti fantasiosi. "Il test di penetrazione è comprendere e interagire con la tecnologia, conoscendo il modo in cui la tecnologia dovrebbe funzionare. È una metodologia e forse allineare uno strumento ad essa, ma non si tratta semplicemente di script o strumenti".
Una volta che de Metz è all'interno di un sistema, cerca tre cose: dove può accedere, quali versioni del software sono in uso e se i sistemi sono configurati correttamente. "Possiamo indovinare una password? Possiamo trovare un altro modo per accedere a un login? Forse il software non è aggiornato e c'è un exploit, quindi proviamo a sfruttare un codice ransomware contro di esso per cercare di ottenere l'accesso al sistema", lui dice. "Alcune cose possono essere trovate in un audit, ma stiamo anche scoprendo cose a cui [l'organizzazione] non ha pensato".
La penetrazione va più in profondità di un controllo di rete e questa è una distinzione importante. Un audit chiede, viene seguito il programma di sicurezza? Il test di penetrazione chiede, il programma funziona?
I tester di penetrazione lo osservano da una prospettiva a volo d'uccello della strategia di sicurezza. Il problema potrebbe non essere semplice come un software obsoleto, ma un'intera strategia di sicurezza che deve essere migliorata. Questo è ciò che scopre de Metz.
Molte piccole e medie imprese faticano a finanziare infrastrutture di sicurezza ben fondate. Tuttavia, l'hacking da cappello bianco sta diventando sempre più popolare tra le organizzazioni responsabili dei dati personali, come Facebook, noto per incentivare gli hacker da cappello bianco tramite il loro programma Bug Bounty, a trovare vulnerabilità nel loro sistema.
De Metz ha anche parlato nei podcast di alcune delle sue storie più drammatiche sui test di penetrazione. Il suo obiettivo è duplice: intrattenere gli ascoltatori con storie selvagge, ma soprattutto, evidenziare il valore dei test di penetrazione e cosa c'è in gioco se le aziende non lo fanno. Potresti non vederli mai, non sapere mai che sono lì, ma i test di penetrazione aiutano a proteggere le aziende e anche i clienti, come te, più sicuri.
Ora è interessante
Gli hacker in bianco e nero non sono gli unici a violare i sistemi aziendali. Gli hacker "cappello grigio" confondono i confini tra l'hacking "buono e cattivo" irrompendo nei sistemi per rivelare vulnerabilità senza autorizzazione e quindi a volte richiedendo piccole commissioni per risolvere i problemi.
