Intervista a un Ethical Hacker: Carlo Velletri

Oggi, qui su PH, abbiamo un ospite d’eccezione, prima di dirvi il suo nome vi cito un po’ delle sue referenze: sviluppatore della famosissima distribuzione Back|Track, co-fondatore della comunità italiana di questa distribuzione, fondatore del portale italiano di Fluxbox nonchè penetration tester per la famosa azienda italiana Tigersecurity srl, è conosciuto in rete con il nome di brigante. Di chi stiamo parlando? Per chi non lo conoscesse il suo nome è Carlo Velletri.

Visto che ogni tanto ci sentiamo via mail (più che altro lo stresso 😉 ) gli ho chiesto se, dall’alto della sua esperienza, poteva rispondere ad alcune domande relative a ciò che ci interessa di più, che è anche la sua materia, cioè la sicurezza informatica e l’hacking. Iniziamo:

Daniele Chiuri: Come sei diventato un pentester?

Carlo Velletri :La passione per l’ informatica in generale l’ho sempre avuta fin da bambino, anche se per molto tempo sono stato per vari motivi lontano da un pc appena mi sono ritrovato una macchina e una connessione decente da utilizzare è rinata in me la passione dell’ informatica, anche grazie all’ allora frequentazione di un forum fantastico quale ancora è rbt-4.net.
Poi dal 2006 mi sono appassionato alla distribuzione BackTrack, quindi diciamo che per la prima volta nel 2006 inziavo a tradurre in penetration tester quelle che allora erano parole come hack/hacking, ma con tutto il mio sforzo possibile non mi sarei mai avvicinato all’ ambiente professionale, quindi a ricevere compensi per quello che faccio, se non fosse stato per la collaborazione nata con Emanuele “emgent” Gentili, con il quale ormai da un anno sviluppo la stessa BackTrack e organizzo la community italiana della stessa distribuzione.

DC: Che studi bisogna fare per intraprendere la tua carriera lavorativa?

CV: Gli studi che io consiglio non sono mai standard, nel senso: io sono un ragioniere programmatore, ma se dovessi fare il pentester grazie agli studi scolastici che ho fatto allora sarei disoccupato…la questione è che un pentester si riconosce per quello che sa fare, è uno dei pochi ambienti in cui conta quello che sai fare e non quello che gli altri dicono di te. Va da se’ che naturalmente se si vuole abbreviare il percorso di studio una persona dovrebbe affidarsi a delle certificazioni, magari quelle piu’ indicate al pentesting professionale, (alla offensive-security.com per intenderci), ma senza tralasciare studi su particolari hardware/software come gli apparecchi CISCO e le relative certificazioni. Poi inutile nascondere che: se uno vuole, in rete si trovano tutti gli strumenti per imparare qualsiasi cosa.

DC: Quali sono secondo te le due più grandi regole della sicurezza informatica?

CV: La sicurezza totale non esiste, quindi opto per quello che faccio io, ovvero penetration testing e firewalling, ma un codice sicuro sia in ambito web-app che in sistema è naturalmente il minimo da pretendere per stare relativamente tranquilli.

DC:Secondo te, l’anonimato in rete è possibile?

CV: L’anonimato totale è, come per la sicurezza, impossibile nel senso che quando un utente inizia a capire qualcosa d’informatica del proprio pc e quindi si dedica all’anonimizzasi ormai è troppo tardi, nel senso che non può di sicuro recuperare gli errori che ha fatto già in precedenza e che lo hanno portato a non essere anonimo, ma io credo che non bisogna farsene una malattia. Oggi di sicuro non si puo’ parlare di anonimato totale, ma è pur vero che ci sono strumenti che, se usati bene, possono farci stare relativamente tranquilli e, riguardo l’anonimato in generale, vedi rete TOR e riguardo al tracciamento vedi FoolDNS.com, che oggi è, secondo me, la nuova frontiera da battere.

DC: Quali sono i rischi più grandi che un utente medio può incontrare?

CV: Beh quì siamo in ambito infinito, oggi la vita delle persone è regolata dall’informatica che lo vogliano o no. Le nostre banche eseguono migliaia di transazioni quotidianamente, sia che il poveraccio lo sappia oppure no. Internet non è una “piazza” nata per fare mercato ma per codividere interessi tra persone che occupano uno spazio diverso magari ai capi del mondo, il mettergli delle regole non farà altro che farle rompere. Quindi credo che bisogna che ognuno si affidi anche a se stesso oltre che a professionisti del settore.

DC: Quale distribuzione consiglieresti ad un hacker?

CV: Io ho sempre pensato che un “hacker” non ha bisogno di una distribuzione particolare, ma solo degli strumenti necessari inseriti nella sua distribuzione. Va da se’ che, comunque, se si fanno vari tipi di pentest abituali la distribuzione personalizzata diventa un obbligo, io eseguo moltissimi bruteforce, un bruteforce/attacco a dizionario in background è la prima cosa che metto dopo l’information gathering, quindi non credo che ci sia di meglio che una distro compilata, alla Gentoo per intenderci, magari con la tec. CUDA che a volte puo’ far molto comodo. Se poi un utente, un “hacker”, vuole una distribuzione per tutti i pentest , quelli di ogni occasione, beh BackTrack e’ il massimo no?

DC: Hai mai fallito un penetration test?

Quì bisogna vedere bene cosa si intende per “fallito”, di solito si trova sempre qualcosa da far notare al cliente, un evidenza/un miglioramento, ma a volte si, mi e’ successo di terminare un pentest dove non c’ erano, (per me…), posibilità di sfruttare bugs.

DC: In media quanti penetration test riescono a bucare il sistema che testano?

CV: Diciamo che non è sempre festa, cosi come non c’è una media di riuscita, ma per quella che e’ la mia esperienza posso dire che ogni 10 pentest effettuati 5 sono exploitati, 2/3 con chiare evidenze e/o miglioramenti da apportare e 2/3 senza bug riscontrati.

DC: A volte si sentono notizie di hacker che bucano sistemi informatici di grandi aziende come Google e Microsoft, è vero che queste aziende sono estremamente vulnerabili e che compiono errori che a volte fanno vacillare la sicurezza del sistema?

CV: La questione di Google la prenderei un po’ con le pinze, io sono uno di quelli che pensa che le ultime vulnerabiità riscontrate in applicazioni targate Google siano dovute al gran numero di nuovi servizi offerti in pochissimo tempo, come se si volesse raggiungere un limite stabilito da un concorrente, per intenderci, mentre quelle di casa Microsoft sono chiaramente dovute al loro metodo di lavoro e soprattutto di commercio, non a caso il 60% dei bug verso sistemi o applicazioni Microsoft e’ strettamente rivolto all 80% dei loro prodotti, pensiamo alle ultime vulnerabilita’ sulle DLL, sono riproducibili su applicazioni che girano sul primo Xp fino all’ ultimo Vista/Win7.

DC: Cosa consiglieresti a chi volesse entrare nel mondo della sicurezza informatica?

CV: Di studiare, studiare e ancora studiare, prima si impara a programmare e meglio ci si trova in seguito. Troppe volte si vogliono raggiungere traguardi senza “buttare il sangue” e questo non e’ ne indicato nè sinceramente possibile, se non si affronta prima la parte “Hard” prima o poi ci si dovrà fare i conti, quindi si, vanno bene gli strumenti automattizati, (alla Metasploit per intenderci), ma non affidarsi interamente a questi. Io sono per un inizio a “basso profilo”, non provare a strafare per intenderci, tanto se si è bravi prima o poi qualcuno se ne accorgerà, poi l’informatica è così, per un appassionato è come una droga no? Più studi e più ne hai voglia.

DC: Visto che fai parte di numerosi staff legati al mondo dell’hacking, ci puoi dare qualche novità in anteprima su qualche progetto su cui stai lavorando?

CV: Beh, la nuova BackTrack sarà una distribuzione che lascerà il 90% degli utenti a bocca aperta per molti motivi, stiamo cambiando interamente il metodo di costruzione dei binari e vedremo diverse BackTrack…. …questo per far capire un po’ tutto e nulla allo stesso tempo 😉
Come community italiana di BackTrack, stiamo inziando a lavorare ad un nuovo progetto sul Social Engineering, troppo sottovalutato dalle grandi aziende in Italia, cercando appunto di risvegliare la loro attenzione sull’ argomento.
Con la community italiana di Fluxbox invece abbiamo buttato giù l’idea di una nostra distribuzione, ma e’ troppo presto per parlarne. Grazie tutti =)

Grazie a te brigante per la tua disponibilità. Ci hai insegnato molte cose in queste poche parole. Grazie ancora.

5 Commenti

  1. bella intervista!! belle domande Daniele. complimenti.
    Anche le risposte nn son troppo scontate e/o difficili da interpretare.

1 Trackback / Pingback

  1. upnews.it

I commenti sono bloccati.