Metodo per verificare il livello di sicurezza di un sistema informatico o di una rete attraverso la simulazione di un attacco da parte di un malintenzionato dalle elevate capacità tecnologiche
Il nome è ambiguo. Siamo tutti d’accordo.
E in un periodo talmente dissoluto che un vecchio modello della Ford si è trasformato in epiteto che qualifica particolari abilità motorie, si pensa subito che la prova in questione permetta la misurazione di performance eticamente discutibili.
Niente affatto. Il “penetration test” è una cosa seria e di diretta pertinenza al tema della security.
E’ quel metodo che consente di verificare il livello di sicurezza di un sistema informatico o di una rete telematica attraverso la simulazione di un attacco da parte di un malintenzionato dalle elevate capacità tecnologiche.
Pratica sempre maggiormente diffusa, è un check della solidità delle precauzioni adottate: l’utilizzo di particolari software da parte di specialisti con skill adeguato porta a tracciare il profilo delle vulnerabilità. Molto sovente il penetration test è la cartina al tornasole dello stato di salute di qualunque realtà il cui tessuto connettivo digitale è alla base del successo o anche semplicemente del suo normale regolare funzionamento.
Purtroppo – a voler considerare il “PT”, come lo si abbrevia in gergo, in un contesto diagnostico di carattere medico – ci troviamo dinanzi a un esame specialistico e non di fronte a un controllo multidisciplinare completo. La valenza delle soluzioni tecniche, infatti, può non risultare sufficiente per dormire sonni tranquilli.
Non basta, quindi, mettersi alla tastiera e scatenarsi come solo un pirata informatico sarebbe capace di fare. L’imperturbabilità a seguito di una semplice simulazione di aggressione virtuale non rappresenta in alcun modo la certificazione di un buon livello di protezione. Spesso è una prevedibile partita a scacchi, in cui le mosse sono già note a entrambi i giocatori: falle e modalità di attacco sembrano strappate da un copione che – pur soggetto a riedizioni periodiche – ripropone scene sostanzialmente già viste.
Senza voler sminuire l’importanza di qualunque attività che possa contribuire al consolidamento delle difese di un sistema Edp, vale la pena allargare l’orizzonte e provare davvero a immedesimarsi nel pericoloso hacker che un giorno potrebbe affacciarsi sulla scena.
I malandrini in circolazione conoscono bene i sentieri più impervi che portano a segreti imperscrutabili e a forzieri inaccessibili. Si muovono agevolmente ben sapendo che la strada che porta ai tesori o alle prede hi-tech non passa necessariamente attraverso le tecnologie anche se ci deve arrivare.
Se fossero scarpe da ginnastica, ai piedi dei birbaccioni di turno troveremmo il non mai abbastanza temuto “social engineering”. Chi è poco pratico di brigantaggio moderno è bene che sappia che si tratta di una particolare tecnica che dà modo di carpire informazioni facendo perno sulle debolezze umane dell’interlocutore. E’ l’elegante maniera per farsi confessare cose che nessuno svelerebbe nemmeno sul letto di morte. In poche parole, l’arte della truffa. Artifizi e raggiri miscelati dalla facondia del briccone consentono di acquisire prima notizie generiche, poi qualche dettaglio e quindi una manciata di precisazioni: a quel punto quelle stesse informazioni vengono raccontate a chi originariamente le ha dette e l’abilità sta nel far credere di conoscere quei fatti e quelle persone direttamente (e certo non per bocca della persona con cui si sta colloquiando) e ottenere i tasselli mancanti del puzzle di interesse.
Non ci stiamo inventando nulla di nuovo. In realtà l’inserimento di simili modalità operative in un audit della sicurezza non è affatto un’esperienza rivoluzionaria. I cinefili, infatti, non faticano a rammentare la straordinaria interpretazione di Robert Redford ne “I signori della truffa” e le sbalorditive acrobazie di Bishop e compagni. Chi si fosse perso questo “cult movie” può noleggiarne il Dvd e acquisire quei “crediti formativi” indispensabili per occuparsi di queste cose…