[Podcast] Sfatiamo il mito della sicurezza hardware, con Andrea Barisani
Le vulnerabilità Meltdown e Spectre scoperte all’inizio di quest’anno hanno portato bruscamente all’attenzione la sicurezza hardware. Nell’ultimo episodio della nostra serie di podcast “Cyber Security Sauna”, Andrea Barisani, head of hardware security di F-Secure, parla delle vulnerabilità critiche e del perché in un certo senso dovremmo esserne grati, oltre che della sua passione che lo porta a mettere in sicurezza auto, aerei, e dispositivi embedded di ogni tipo. Di seguito riassumiamo in 5 punti le parti più importanti dell’intervista fatta al fondatore di Inverse Path, società acquisita da F-Secure.
Le sfide del proteggere l’hardware rispetto al software.
“Nella sicurezza hardware le problematiche il più delle volte non sono semplici da risolvere,” spiega Barisani. “Con il software, idealmente, le falle di sicurezza vengono corrette grazie a processi di aggiornamento. Ma una falla di sicurezza importante nell’hardware può richiedere cambiamenti costosi nell’hardware stesso, quando non addirittura un richiamo del prodotto da parte del produttore. Ciò fa capire come sia fondamentale prendere le giuste decisioni già nel processo di progettazione”.
Perché dovremmo essere grati a Meltdown.
Secondo Barisani siamo stati molto fortunati con Meltdown, perché avrebbe potuto comportare la fine del cloud computing come lo conosciamo oggi.
“Siamo fortunati perché può essere mitigato con cambiamenti al sistema operativo,” spiega Barisani. “Si tratta di cambiamenti invasivi e molto importanti, ma dobbiamo ringraziare il fatto che possono essere fatti, e quindi che possiamo adottare strategie di mitigazione per Meltdown. Se così non fosse… sarebbe stato impossibile applicare la separazione della memoria tra le istanze della macchina virtuale sull’hardware condiviso.”
Se le vulnerabilità siano state sfruttate o meno.
“C’è una tendenza per cui se una vulnerabilità viene trovata si dice… ‘non siamo al corrente di alcun tentativo di attacco’… e questa è una frase molto comoda da dire” spiega Barisani. “Ma bisogna stare attenti a rilasciare queste dichiarazioni, perché potrebbero essere vere ma anche no. Il fatto che non ci sia evidenza non significa che tu non sia a rischio e non significa che non sia accaduto.”
Barisani sostiene il principio della sicurezza conservativa – presupporre il peggio. “Dobbiamo sempre partire dal presupposto che se siamo stati in grado di identificare una vulnerabilità, non siamo stati certo gli unici.”
Sulla relazione tra safety e security.
Alcuni settori di mercato, come l’avionica e l’automotive, devono tener conto di speciali aspetti di sicurezza (safety) oltre che di security.
“Quando si tratta di safety, il fallimento non è una possibilità,” precisa Barisani. “Ciò significa che viene messo in campo un processo intensivo per assicurare che componenti critici per la sicurezza funzionino come devono. Tuttavia, la comprensione dell’interazione tra safety e security è un argomento abbastanza nuovo.” La grande sfida, spiega, è accertarsi che i professionisti della sicurezza informatica rispettino e interagiscano correttamente con i processi relativi alla safety, che al contrario sono fissati da lungo tempo.
“La sicurezza informatica dovrebbe imparare molto dalla cultura della sicurezza fisica. Nella tradizionale sicurezza software non esiste la cultura che ‘il fallimento non è una possibilità’.”
Un suggerimento ai produttori di hardware.
Barisani sostiene che quando i consulenti di security vengono coinvolti in uno stadio precoce del processo di progettazione di un prodotto, il produttore può essere certo di fare le scelte giuste e di mitigare qualsiasi problema di sicurezza in anticipo.
“Quando testiamo un dispositivo e riscontriamo problemi, dobbiamo tornare indietro e ripetere il processo. Ma se possiamo fare quest’operazione prima, attenuiamo fin da subito molte problematiche” sostiene Barisani. “Pensa alla security dei tuoi dispositivi hardware quando li stai progettando e coinvolgi una terza parte. Ti costerà meno e avrà un impatto importante sulla progettazione del tuo prodotto.”
Per saperne di più sulla sicurezza hardware insieme a Barisani, inclusa la linea sfocata tra hardware e software, e perché non ogni problema di sicurezza nell’avionica è necessariamente un problema di safety, ascolta l’intero episodio ricco di interessanti informazioni.
Ascolta gli altri podcast Cyber Security Sauna
Articolo tratto da “[Podcast] Demystifying Hardware Security, with Andrea Barisani” di Melissa Michael, Content Producer, F-Secure Corporate Communications
Categorie