Una salumeria è più sicura del Cern

Può sembrare paradossale ma è più difficile bucare il sito di una salumeria che il Cern.
Una salumeria non ha molte esigenze, bastano poche pagine statiche in html, mentre il Cern è un sistema complesso: esistono migliaia di computer, siti dinamici con CMS potenzialmente vulnerabili.

Un piccolo sito, di una piccola azienda o personale, un sito statico è intrinsecamente pià sicuro di un sito dinamico. Non ci sono pericoli di injection di codice, esecuzione di comandi da remoto. E’ semplicemente un sito statico.

A dire il vero un sito statico può sempre venire attaccato da un brute force, o da un password guessing. Deve comunque essere aggiornato e un minimo accesso da parte di chi lo amministra è necessario.

Oppure può essere attaccato con un attacco laterale: probabilmente il sito statico sarà ospitato su uno shared hosting, e condividerà l’host con altre centinaia di siti. Quindi attaccando questi siti, ottenendo l’accesso al sistema, effettuando l’innalzamento di privilegi a livello diroot sfruttando un bug nel kernel, finalmente (!) si raggiungerebbe la meta: bucare il sito della salumeria.
Uno sforzo spropositato forse, considerando che difficilmente si ottiene l’attenzione dei media bucando il sito di una salumeria.

Viceversa il Cern (o la Nasa, Microsoft…) hanno migliaia di computer, magari in tutto il mondo, con reti interconnesse, host non patchati (almeno non istantaneamente), web applications forse non tutte impeccabili. Insomma, un sistema complesso è più vulnerabile di un sistema semplice. E forse proprio le misure prese per metterlo in sicurezza lo indeboliranno in un punto non considerato problematico.

La semplicità è amica della sicurezza, di conseguenza la complesità è amica dell’hacker. Se ci mettiamo nei panni di chi progetta un sistema, dovremmo fare in modo che ogni scelta sia fatta nel segno della semplicità. Viceversa, nei panni dell’hacker, dovremmo cercare il punto in cui la complessità ha tirato un tiro mancino anche ai progettisti i quali, confusi dalla complessità stessa hanno tralasciato un piccolo problema che in realtà rappresenta una grande minaccia.

La complessità può quindi portare alla confusione. Se un nemico formidabile non può essere sconfitto, può però essere confuso. E il nemico confuso commetterà degli errori. E gli errori lo condurranno alla sconfitta.