Hack-back: machismo o necessità?

Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN; tema: hack-back.

Photo by Paul

Sono periodi un po’ pieni. Ho appena terminato la Securtytube Linux Assembly Expert e sto per iniziare una nuova avventura professionale. Nel mentre, ho partecipato a qualche discussione su LinkedIN; tema: hack-back.

L’hack-back è quella pratica, a mio avviso idiota, secondo la quale se io subisco un attacco informatico, sono in qualche modo autorizzato a contrattaccare. Se riesco a stendere il criminale, cyber informaticamente parlando ovviamente, offro alla stampa una buona storia e possiamo fare un po’ di storytelling su quanto il mercato sia florido anche da noi.

Tra il non fare nulla ed il commettere un illecito, ci sono tante di quelle sfumature di grigio che Mr. Grey ne sarebbe imbarazzato.

Esistono troppi problemi attorno all’hack-back che sinceramente, occuparsene al di fuori dell’ottica della guerra tra nazioni, è sterile.

Attribuzione

La sorgente dell’attacco non è necessariamente una macchina malevola. Potrebbe essere un host con un servizio compromesso, come potrebbe essere il PC di un criminale da quattro soldi nel sottoscala di un appartamento russo.

Potrebbe anche essere un host di una botnet all’interno di una rete di una società rispettabile, o di un ospedale.

Se per bucare l’attaccante, sentendoci un po’ Billy The Kid, bucassimo servizi leciti? Se mandassimo offline macchine o business che non c’entrano nulla con l’attaccante?

Potenza di fuoco

Prendiamo una società medio grande e calcoliamo quanti attacchi potrà subire, compreso il rumore di fondo degli nmap degli script kiddies. Il numero è alto.

Il nostro SOC, una volta scremato tutto il rumore, dovrebbe fare analisi sugli attacchi più significativi e mettersi a lavorare sull’attacco vero e proprio per capirne la natura e l’origine.

Facciamo finta, perché non voglio scrivere per ore, che ci riesca in tempi brevi ed individui la fonte dell’attacco.

Poi? Che succede? Siamo sicuri che, ufficialmente la nostra società X ingaggia il suo red team per sferrare un contrattacco? Ci immaginiamo davvero il Security Manager, ergersi con piglio eroico sulla scrivania gridando “Fate uscire i wpscan!” o “Lanciate tutti i pacchetti che potete!”.

Davvero la filmatografia ci ha così rimbambiti?

Probabilmente, in pieno “mio cugino style”, verrà fatta una telefonata carbonara a qualche ragazzino, amico del mio amico, al quale si darà un obolo di qualche centinaio di euro per tirar giù quell’IP.

Come dicevamo, se per tirar giù quell’indirizzo IP dovessimo far cadere servizi leciti… bhé vuoi mettere con la bella storia per la stampa?

Off by one

Non lo so, a me sembra tutto così provinciale e stupido. Io se sono un security manager devo pensare alla posture della mia azienda, devo pensare ai server, alle applicazioni ed alle postazioni di lavoro, non a fare il Rambo digitale innamorato dell’immagine di Elliot che buca la vita digitale di un pedofilo.

L’hack-back, è comunque un’attività illecita, per ora e grazie a dio.

Così come per fermare un evasore fiscale, si chiama la pubblica autorità, il riferimento se si subisce un attacco informatico è sempre la Polizia Postale.

Se si vuole provare l’ebbrezza di fare un penetration test, c’è tutta la nostra rete aziendale che spesso viene ignorata da chi ha il compito di difenderne i bastioni.

E tu? Che ne pensi? Tu fai hack-back?

#iononfacciohackback

comments powered by Disqus