Home
Intervista a Kevin Mitnick

08 Ottobre 2004

Intervista a Kevin Mitnick

di

Si è svolto dal 27 al 28 settembre a Parigi il Forum Europeo dedicato all'Information Technology organizzato da IDC. Qui abbiamo incontrato e intervistato uno dei guru della sicurezza informatica: Kevin Mitnick, CEO e cofondatore di Defensive Thinking LLC, nonché autore di "The Art of Deception"

L’evento di Parigi si conferma quale uno dei principali momenti di confronto e di discussione sul futuro dell’IT a livello Europeo: più di 500 tra Manager, Guru ed Opinion Leader del settore, provenienti da tutto il mondo, hanno partecipato al Forum ospitato nella elegante cornice dell’Hotel Meridien Montparnasse.

Nel corso del Convegno è stato analizzato lo scenario attuale dell’IT sicuramente non paragonabile alla florida situazione della seconda metà degli Anni Novanta ma ancora fattore abilitante della crescita aziendale: l’IT è divenuto quindi a pieno titolo una “commodity”, uno degli strumenti per rispondere ai bisogni di crescita e di competizione delle aziende, migliorando l’operatività e la gestione aziendale.

John Gantz, Senior Vice President e Chief Research Officer, IDC ha affermato che “Con il trascorrere di questo decennio diventerà indispensabile per le aziende implementare il modello di Dynamic IT per far fronte facilmente alla crescita esponenziale di nuove applicazioni che scaturirà dalla convergenza digitale” sottolineando inoltre che nei prossimi dieci anni il numero di dispositivi che comunicano attraverso la Rete crescerà di dieci volte.

Oggi, tra le priorità dalle aziende si identificano la sicurezza informatica, la flessibilità e capacità di innovazione attraverso l’IT e l’attitudine a competere in un mondo sempre più globalizzato.

In particolare, le problematiche relative alla sicurezza informatica sono state approfondite nel corso della seconda giornata da uno dei massimi esperti a livello mondiale in questo settore: Kevin Mitnick, CEO e cofondatore di Defensive Thinking LLC, nonché autore di “The Art of Deception”, il best seller mondiale tradotto in Italia da Feltrinelli nel 2003 con in titolo “L’arte dell’inganno” per la cui edizione italiana ha collaborato in qualità di Consulente Scientifico il noto esperto di security nazionale Raoul Chiesa. Mitnick nel corso del suo speech in sessione plenaria ha fornito, con esempi tratti da casi reali e dalla esperienza personale, alcune indicazioni per prevenire i principali attacchi informatici.

Kevin Mitnick noto anche come il “Condor” rappresenta in un certo senso la perfetta parabola del “sogno americano”: ricercato dall’FBI per anni per una serie incredibile di intrusioni non autorizzate nei principali sistemi informatici mondiali, è stato considerato il più famoso e pericoloso hacker della storia a livello globale: arrestato e scontata la pena comminata, nell’anno 2000 viene interpellato quale consulente informatico dalla Commissione Affari di Governo del Senato americano sotto l’amministrazione Clinton. Da quel momento e grazie ad una possente campagna mediatica promossa in particolare da CNN, ABC e New York Times, Mitnick assume la nuova veste di stimatissimo super esperto di sicurezza che lo vede oggi, quale guru, fornire le proprie consulenze alle più grandi Corporations ed Istituzioni del pianeta.

Abbiamo posto alcune domande per ApogeOnline a Kevin Mitnick nel corso della Conferenza Stampa a cui hanno avuto accesso un numero ristretto di specialisti del settore.

Kevin, nel corso del tuo intervento in sessione plenaria hai parlato di Social Engineering, descrivendo come in realtà anche nel mondo informatico il “punto debole della catena” non sia necessariamente l’hardware o il software, ma il fattore umano: pensi vi possa essere una differenza nel rischio di subire attacchi analizzando il sistema del mondo del lavoro in particolar mondo in Italia, Germania e Francia rispetto al modello anglosassone ed Americano?

“Non conosco in modo specifico il mercato del lavoro Italiano, ma sicuramente il rischio di attacchi informatici dove le informazioni da reperire sono legate alle persone, sono maggiori con l’aumentare della dimensione delle aziende e con la flessibilità estrema del mercato che fa si che una persona possa a volte far parte di una azienda solamente per alcuni mesi, sia scarsamente motivata ed abbia accesso ad informazioni riservate o modelli comportamentali che possa utilizzare nel momento in cui non ne faccia più parte. In un contesto dove tutti si conoscono da anni è sicuramente più difficile “spacciarsi” per il collega della porta accanto per ottenere informazioni riservate o password per accedere ai sistemi interni. L’esempio classico è il mercato Giapponese dove l’alto livello di fedeltà all’azienda rende quasi impossibile un approccio di questo tipo. Ma non dimentichiamo mai che altri fattori in gioco possono essere l’eccessivo stress del lavoratore che posto sotto “pressione” a volte omette di rispettare determinate procedure aziendali di sicurezza, o il giudicare poco rilevanti informazioni che per il potenziale hacker potrebbero rivelarsi invece estremamente importanti, ponendo a rischio l’intero apparato informatico aziendale. In questo caso il sistema coercitivo non funziona, bisogna far capire ai propri dipendenti attraverso sessioni formative l’importanza del rispetto di alcune semplici ma importanti regole di comportamento”.

Ora una domanda più tecnica ma che con il diffondersi di Virus sempre più crescente negli ultimi anni, è di rigore:

da tempo sono diffusi in rete alcuni software apparentemente innocui ma che spesso possono risultare di estrema pericolosità i cosiddetti Malicious Dialer Systems. Cosa ne pensi in merito?

“I Dialer Systems sono in un certo senso l’evoluzione del Phone Phreaking, il sistema di cui parlavo in risposta alla precedente domanda in conferenza stampa. Il meccanismo di Phone Phreaking permetteva negli anni 70-80 agli hacker di poter beneficiare del sistema telefonico senza dover pagare la bolletta, facendo ad esempio telefonate senza pagare l’addebito anche da telefoni pubblici. Oggi alcuni Dialer Systems sono potenzialmente simili a virus tanto che in molte realtà sono banditi. Queste piccole porzioni di software a volte scaricati all’insaputa dell’utilizzatore, permettono di “staccare” la connessione telefonica dal Provider a cui si è collegati, per ricollegare l’ignaro utente ad altri numeri telefonici che simulano la stessa connessione ad Internet ma con addebiti di gran lunga superiori a quelli sostenuti per una normale connessione. Accanto ai Dialer Systems vi sono oggi anche software altrettanto “trasparenti” e pericolosi denominati Key Logger che permettono a colui che li diffonde di reperire i dati imputati alla tastiera da parte dell’ignaro utente colpito. Il fenomeno tipico dei Dialer, si ridurrà comunque nel tempo con il diffondersi delle Reti a Banda Larga”.

Ritieni quindi che un fenomeno simile ai Dialer Systems possa svilupparsi anche nei confronti degli utilizzatori di sistemi più evoluti di connessione ad Internet, quali l’ADSL e la Fibra Ottica anche se tecnicamente in questo caso non si effettua una chiamata telefonica classica?

“La questione in questo caso si pone più che per la possibilità di addebitare all’ignaro utente cifre non dovute, per la possibilità che l’utente scarichi sempre a propria insaputa ad esempio ricevendo una mail infetta non filtrata dal proprio sistema di antivirus, piccoli programmi chiamati Troians la cui esistenza peraltro risale agli albori della telematica. Con l’utilizzo di sistemi di trasmissione dati a Banda Larga quali appunto l’ADSL o la Fibra Ottica, questo pericolo si moltiplica proprio per la rapidità con cui il fenomeno può diffondersi. In questo caso quindi il programma indesiderato creando una “Reverse Backdoor” può “rubare” informazioni anche preziose all’insaputa dell’utente, per condurre poi ad un arricchimento indebito di colui che utilizzerà impropriamente tali informazioni”.

Ringraziamo Kevin Mitnick per la sua disponibilità e IDC per l’Accreditamento augurandoci di poterlo rivedere a breve nuovamente anche in Italia.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Immagine decorativa form newsletter
Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.