All'inizio di maggio, il capo della sicurezza cibernetica, il generale Jonathan Shaw, ha ammesso Il guardiano che il Ministero della Difesa era vulnerabile agli attacchi online e che c'era già stato un piccolo numero di incidenti gravi. La cosa più scioccante è stata che Shaw ha detto che era una sorpresa per le persone quanto fossero vulnerabili.

Presumibilmente, questi non erano semplici attacchi denial of service. Devono essere stati organizzati, coordinati e pianificati, con i cracker che hanno come obiettivo specifici sistemi e vulnerabilità. La parte preoccupante è l'implicito approccio "testa nella sabbia" ad alcune delle loro procedure di sicurezza.

Sembra lasciare la porta principale aperta e fare affidamento sulla volontà morale dei suoi cittadini di fare la cosa giusta. E non succederà mai. Non a causa di una mancanza globale di morale o del desiderio di sconfinare o essere cattivo, ma perché non puoi combattere la curiosità di ragazzi intelligenti con troppo tempo a disposizione.

L'opacità è una sfida

L'unico modo per fare sicurezza è, a mio parere, con trasparenza completa e non controllata. L'offuscamento delle procedure ti dà solo un falso senso di non sicurezza. Non aggiunge a qualsiasi sistema tu possa avere e mostra solo una mancanza di fiducia in quei sistemi e le loro capacità di contrastare un attacco.

Un cracker determinato vedrà l'offuscamento come un invito e una sfida. Attirerà la loro curiosità adolescenziale. La tecnologia è cambiata, ma dubito che ci sia una differenza nelle motivazioni dei cracker odierni e di quelli di 20 anni fa, che scrivono i loro modem per comporre silenziosamente numeri di telefono locali per tutta la notte nella speranza di vedere quel "CONNECT" illusorio in una sessione terminale.

Se sei un geek, ci sono poche cose eccitanti. Alcuni potrebbero diventare criminali, politici e pericolosi, ma potrebbero non essere mai arrivati ​​così lontano se non fossero riusciti a iniziare con obiettivi facili e a raccogliere i frutti a basso impatto. Ecco perché il tuo miglior ricorso è sempre freddo, sicurezza sobria.

Per fare questo, ovviamente, è necessario essere pienamente consapevoli di eventuali vulnerabilità. È necessario mantenere i sistemi aggiornati e sapere dove cercare eventuali incursioni. La sicurezza non deve essere trattata come un segreto di stato ei detentori di quei segreti non possono comportarsi come membri di una loggia clandestina.

Mantenere le cose segrete non rende le cose più sicure. Leggere i documenti relativi alla rottura in un sistema non ti rende un criminale nello stesso modo in cui provi ad immaginare come un ladro potrebbe scalare la tua recinzione del giardino e attraversare il tetto del garage ti fa diventare un ladro.

I cappelli bianchi sono essenziali

Devi essere preparato meglio dei cracker. Inoltre, per essere preparati meglio, è necessario sapere in che modo è probabile che attacchino sia imparando le loro tecniche che la penetrazione verificandole con il proprio hardware. Devi indossare un cappello bianco.

Se stai cercando la prova che questo approccio funziona, c'è un ovvio esempio: software open source. Non è passato molto tempo da quando i sistemi operativi e il software che li eseguiva stavano diventando sempre più segreti e proprietari. Molti di noi sono entrati in Linux perché, ad esempio, non volevamo pagare per un semplice ambiente di sviluppo su Windows e Red Hat - il gigante open source che ha appena annunciato $ 1,13 miliardi di entrate - ha costruito la sua attività nel vuoto lasciato da sviluppo chiuso.

Tuttavia, il modello open source ha cambiato atteggiamento, non perché sia ​​più economico (perché probabilmente non lo è), ma perché si ottiene un prodotto migliore. Non solo funzionalmente meglio, neanche. È meglio perché sai, o puoi scoprire, la sua provenienza.

Come la sicurezza aperta, lo scrutinio di molti programmatori che controllano e utilizzano il codice ha contribuito a rendere l'open source innovativo e sicuro, dall'immensa rete di Google ai nuovi progetti hardware di Facebook per il suo data center open source. La sicurezza, dopo tutto, consiste nel trovare bug nel sistema, e il modo migliore per farlo è usare quante più persone possibile.

Red Hat ha una mailing list interna dove condivide quasi tutte le idee strategiche e la pianificazione, con poche eccezioni fatte dove non è possibile legalmente fare un annuncio. Certo, alcuni potrebbero obiettare che questo fornisce ai loro concorrenti troppe informazioni - proprio come un guru della sicurezza che difende i sistemi chiusi e la restrizione della ricerca. Ma Red Hat non soffre di questa strategia, ne sta prosperando.

Ha immediatamente a disposizione un pool di 4.000 dipendenti, scalpita su queste nuove idee e discutendo i loro pro e contro. Il risultato è che idee migliori emergono in un ambiente già predisposto per la loro germinazione, in modo che, anche se i concorrenti di Red Hat ne prendessero alcuni, non sarebbero in grado di produrre buoni risultati.

Questo è ciò che Red Hat ha sempre fatto con il suo software, con la sua strategia e con la sua sicurezza, ed è il marchio di un sistema che può essere provato a funzionare. Fare lo stesso al freddo e al buio, nella speranza che nessuno se ne accorga, è in attesa di guai. E, come con la maggior parte delle cose, è molto meglio affrontare il compito, all'aperto, sapendo che non hai nulla da temere.