I PUNTI CHIAVE

I rischi del pen tester, difendere i perimetri aziendali senza violare le leggi: i consigli

Sempre più spesso le aziende ingaggiano un pentester per difendere i perimetri di sicurezza da ogni possibile attacco informatico. Importante, però, fare alcune considerazioni in merito e seguire semplici consigli per evitare problemi di natura giuridica ed “incidenti di percorso” di natura tecnologica

28 Feb 2019
Z
Nadia Zabbeo

Consulente Privacy & Cybersecurity, Data Breach Protection Advisor, Founder Digysit

Se gli hacker violano sistemi a scopo soprattutto di lucro, i pen tester chiamati anche hacker etici o white hat, penetrano nei sistemi per rilevare vulnerabilità, con tutti i rischi collegati a questa attività. Dare un mandato ad un professionista di penetration test significa avere a cuore la difesa della propria azienda e dei propri clienti.

In ottica GDPR, in contesti aziendali dove si trattano dati particolari, potrebbe rientrare nella fattispecie delle misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32). Tuttavia, progettare/considerare un test di vulnerabilità significa anche pensare ai possibili impatti che avrà quando sarà in esecuzione.

Penetration tester: le giuste professionalità

Coloro che si occupano di penetration test devono avere capacità e caratteristiche professionali ben determinate, pena la poco felice possibilità che distruggano o rendano indisponibile il sistema aziendale oppure, ancor peggio, che violino i confini del loro campo d’azione.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Facciamo subito un esempio pratico con riferimento ad uno degli assunti “portanti” del GDPR: la disponibilità dei dati.

Un pen tester che sappia fare il suo lavoro non comprometterà la stabilità del sistema della rete aziendale. Una simulazione di attacco deve evitare in tutti i modi di sovraccaricare l’ambiente da testare rendendo indisponibili servizi e dati fondamentali che necessitano ai clienti. Questa evenienza, molto più frequente di quanto si possa immaginare, è da tenere debitamente in conto.

Per questo motivo, è bene regolarizzare a priori anche il livello di responsabilità. Il professionista deve testare il sistema nel rispetto del mandato che gli è stato assegnato e non peccare di inadempimenti verso il titolare e l’azienda stessa.

Tutto deve essere regolato sulla base di un contratto stipulato in forma scritta e sottoscritto da ambo le parti. Tale contratto servirà anche, in caso di problemi, ad imputare oneri e responsabilità in capo alle rispettive parti. Il mandato/contratto definisce, in particolare, vincoli, finalità, metodologie e perimetri dei sistemi da testare.

I rischi del pen tester: cosa dice la legge

Dal lato del professionista di sicurezza, il contratto esonera il pen tester da una eventuale possibilità di avere problemi di natura penale. Vediamo come si esprime il diritto penale a tale proposito. In particolare, è opportuno citare il dispositivo dell’art. 615 ter codice penale:

“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.

L’articolo recita altresì:

“La pena è la reclusione da uno a cinque anni”;

e al capoverso 3 aggiunge:

“se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”.

Come si può constatare, il diritto penale in questo caso è perfettamente allineato con il GDPR (in merito al principio di disponibilità dei dati).

Ci sono contesti in cui un dato indisponibile anche per un periodo di tempo relativamente breve potrebbe mettere in pericolo vite umane: si pensi al chirurgo che opera in condizioni di urgenza e che, in sala operatoria, non può avere accesso alla cartella clinica del paziente e non può visualizzare eventuali farmaci a cui è allergico.

La ratio del GDPR e del codice penale è evitare, tra le altre, situazioni pericolose per la vita umana, come quella riportata poc’anzi.

Un’altra considerazione riguarda l’incrocio tra la tipologia di dati che potrebbero essere visualizzati da chi esegue il penetration test, il destinatario del contratto di mandato (professionista, persona giuridica, dipendente occasionale) e la durata del test.

Va da sé che se l’attività del professionista o persona giuridica verrà svolta con una certa periodicità e la caratteristica del test prevede la possibilità di accesso, anche accidentale, a dati o porzioni di dati personali, occorre considerare l’ipotesi di una nomina come responsabile (esterno) al trattamento dei dati ai sensi dell’art. 28 del Regolamento UE 2016/679 in cui il titolare mandante impartisca dettagliate istruzioni in merito e in cui, lato professionista, vi sia un impegno/obbligo alla riservatezza e di attenersi alle disposizioni impartite/accordate.

Da considerare anche l’informativa privacy che deve essere regolata di conseguenza: il consiglio è quello di consultare la struttura privacy aziendale, il DPO (se presente) o un consulente privacy per verificare se l’informativa necessita una voce che dichiari che i dati potrebbero essere visualizzati da analisti informatici e per quali finalità.

Le competenze necessarie del pen tester

Per quanto riguarda le competenze, il pen tester deve possedere forti competenze informatiche e conoscere bene i linguaggi di programmazione utilizzati da diverse piattaforme per sviluppare exploit. Ciò è necessario sia per eseguire il test con eventuali personalizzazioni richieste dall’azienda (non native nei software tradizionali) utilizzati per queste tipologie di analisi di vulnerabilità, sia per intervenire in caso di problemi di stabilità del sistema che, se eccessivamente sollecitato, può andare in tilt (si pensi ad una simulazione di attacco automatizzato brute force o a dizionario, un metodo di attacco di natura esaustiva che potrebbe impiegare molte risorse e durare a lungo).

Riportare la situazione alla normalità nel giro di brevissimo tempo e correggere “la rotta”, quando il caso lo richiede, fa parte del delicato compito di questo professionista.

Tra le competenze fondamentali, come dicevamo, rientra la conoscenza di uno o più linguaggi di programmazione. Prima di parlare di Python, che merita un approfondimento speciale in quanto è usato moltissimo da hacker etici (ma purtroppo pure dai back hat), è opportuno sintetizzare i più noti:

  • C++/C: di media difficoltà di apprendimento, consente agli hacker di creare malware in ambiente Windows;
  • JAVA: semplice da imparare, ma molto gradito agli hacker in quanto i malware creati con questo linguaggio sono spesso difficili da rilevare; consente di operare su diverse piattaforme: Windows, MacOS, Linux, Android;
  • ASM: il linguaggio Assembler è piuttosto complesso, per questo è molto utilizzato da hacker esperti per creare malware di tipo: worms, Adware, Cripter, e virus polimorfi di nuova generazione.

In merito a Python, nessuno più di un noto esperto come Marco Beri può mostrarci, attraverso un esempio, l’eccezionale versatilità e le sue caratteristiche.

Innanzitutto, è importante sottolineare quella che è forse la sua caratteristica peculiare e vincente: Python permette di dedicarsi completamente al problema che si deve risolvere senza dover pensare, come spesso accade con altri linguaggi di programmazione, a come tradurre le proprie idee in istruzioni. Questo ha un evidente e utilissimo effetto collaterale: permette di concentrarsi sulla ricerca della soluzione.

Dovendo poi indicare un’altra caratteristica che fa da spartiacque tra chi ama Python e chi non lo sopporta, è che la corretta formattazione visuale delle istruzioni è anche una regola sintattica. Non ci sono punti e virgola, parentesi, ENDIF, FI o quant’altro a indicare la fine di un blocco di istruzioni. Un esempio consente di essere più chiari.

Analizziamo questo pezzo di codice scritto in C:

if (persona_anni < 18) {

printf(“Accesso negato\n”);

accesso = 0; }

else if (persona_anni > 99) {

printf(“Non è il caso…\n”);

accesso = 0; }

else { accesso = -1; printf(“Benvenuto\n”);};

return(accesso);}

Questo è lo stesso codice scritto in Python:

if persona.anni < 18:

print(“Accesso negato”)

accesso = False

elif persona.anni > 99:

print(“Non è il caso…”)

accesso = False

else:

print(“Benvenuto”)

accesso = True

return accesso

A colpo d’occhio si riesce a capire il flusso logico del codice scritto in Python, mentre quello scritto in C richiede uno sforzo assai maggiore.

Certamente sarebbe possibile scrivere in maniera più chiara anche il primo esempio, ma in Python questo è un obbligo.

La facilità d’uso di Python lo rende spesso il linguaggio di scripting per creare estensioni e task automatici in molti strumenti, anche nell’ambito della security.

Chiunque abbia visto la serie TV “Mr Robot” avrà notato che in una puntata “molto importante”, il protagonista, un abilissimo hacker etico (ricordiamo che solo ultimamente hacker ha acquisito una errata connotazione negativa) esegue il comando:

./fuxsocy.py

È difficile immaginare un endorsement migliore in ambito di penetration test.

Ancora secondo Marco Beri, che ha avuto modo di vedere e provare sul campo diversi linguaggi di programmazione, nessuno lo ha mai divertito quanto Python. Divertire può sembrare un verbo fuori luogo, ma secondo l’esperto è proprio quello che più si adatta all’uso di questo bellissimo linguaggio: è potente e versatile, ma allo stesso tempo semplice e lineare. È multipiattaforma, veloce da utilizzare, facilmente estendibile e intuitivo. E, ultimo ma non meno importante, è free e open source.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr