Esiste un software Open Source sicuro?
dal Team Humans
for Cybersecurity
Software Open Source e Cybersecurity:
SI PUÒ?
Lo spirito indagatore e pionieristico di chi vuole essere assolutamente cosciente e padrone di ciò che avviene all’interno del proprio asset lavorativo, di come avvenga la comunicazione tra due dispositivi ecc. porta inevitabilmente alla necessità di poter esaminare ed eventualmente modificare il codice sorgente del proprio sistema operativo come anche quello degli applicativi coinvolti in determinati processi elaborativi.
L’approccio “Open Source”, che letteralmente in inglese significa “sorgente (codice) aperto”, viene utilizzato indicando un software in cui i detentori dei diritti ridistribuiscono liberamente il software, rendendo pubblico il codice sorgente.
In altre parole, chiunque utilizzi quel software è in grado di poter leggere il codice, analizzarlo ed eventualmente modificarlo (nel bene e nel male), aggiungere funzionalità e redistribuirlo a sua volta sia con versioni di tipo “Enterprise” (a pagamento) oppure di tipo “Community” (cioè Free e con qualche feature limitata o mancante rispetto alla sua sorella maggiore).
N.B. Infatti, non è da confondere il termine Open con il termine Free.
Questa possibilità di distribuzione del codice Open Source è regolamentata da una licenza GPL ovvero General Public License che dagli anni ’80 ha dato la possibilità di poter sviluppare il primo Sistema Operativo completo e totalmente Open Source: lo GNU (GNU’s not Unix). Lo GNU si contrapponeva al S.O. UNIX che invece Open non era.
A quel punto si aprì questa nuova frontiera dell’Open che portò poi, nell’ormai lontano 1991, Linus Torvalds a scrivere la sua versione di GNU denominata GNU Linux che, di fatto, rappresentava il primo Kernel monolitico e completo di quello che è il sistema operativo più diffuso al mondo!
Il mercato del software Open Source oggi è in rapida crescita raggiungendo circa $33 miliardi alla fine del 2020.
Open Source e Cybersecurity
Si pensi ad esempio alle varie distribuzioni di Linux che hanno portato alla creazione di piattaforme completamente Open Source pronte all’uso con già installati centinai di moduli che vanno dai semplici (ma non troppo) strumenti di scansione di una rete fino a tool per la creazione di virus, rootkits, malware, payloads, crawl, strumenti di analisi forense ecc…
Queste sono le armi del presente e del futuro.
Questi strumenti, come tutte le armi, possono essere innocue o letali a seconda della maestria di chi le maneggia e possono essere usate per offendere ma anche per difendere! Sta a noi scegliere il lato giusto della Forza!
Un esempio fra tutti può essere la distro KALI basata su un kernel Debian che viene offerta già corredata di una varietà di cyber security utilities completamente free che mette a disposizione di chi la utilizza tutti gli strumenti per poter effettuare dall’Information Gathering ai Vulnerability Assessment, dai Penetration Test agli strumenti di reportistica, per arrivare poi a strumenti utilizzabili in ambito di analisi forense. NMAP, NIKTO, OPENVAS sono solo alcuni degli strumenti di Information Gathering e VA presenti in KALI.
I tools per “Open Source Cybersecurity”
Un trend sempre più incalzante, specialmente in ambito Cyber Security, porta all’utilizzo dei software di Intelligenza Artificiale (AI) e di Machine Learning per realizzare potenti sistemi di Detection e Response alle minacce Cyber al fine di poter ottenere una cyber security adattiva, preventiva, proattiva e predittiva. Il settore dell’intelligenza artificiale è caratterizzato da una rapida innovazione e quando si parla di tecnologie analitiche per big data e AI (deep learning, in particolare), il ricorso al software open source non rappresenta oggi un’eccezione, ma la regola.
In questo ambito, strumenti come Caffè, Torch, Tensorflow, Chainer sono tra le soluzioni Open Source più popolari, insieme alle librerie di supporto come Digits, OpenBlas, e Bazel.
Tra i più utilizzati, il framework Tensorflow, ad esempio, è un insieme di strumenti e librerie AI per il machine learning ad elevata flessibilità e che viene alimentato in maniera dinamica ed evolutiva dal contributo della community.
Infine, vale la pena citare Splunk, una piattaforma software nata nel 2003 come Open Source ma che si è poi evoluta nel tempo nella sua forma Enterprise (decisamente non Free) che si basa su un approccio di analisi Data-Driven, il dato al centro di tutto sia esso nella forma strutturata o non strutturata, che consente di gestire le Operation in ambito IT, ottimizzare l’esperienza degli utenti finali ed elaborare progressivamente delle efficaci strategie commerciali.
Nel tempo, tale strumento ha poi utilizzato il medesimo paradigma estendendolo anche in altri ambiti, fra cui la Cybersecurity (ad oggi rappresenta una delle soluzioni Leader di mercato), DevOps e Business Analytics. Splunk, tramite il suo approccio Data-to-Everything, dà la possibilità di monitorare ed elaborare i dati in tempo reale attraverso il sistema di Data Stream Processor (DSP) che è in grado di gestire enormi quantità di dati in ingresso e offrire sempre la visibilità di ciò che sta avvenendo e che, eventualmente, sta per avvenire nel proprio contesto. Ciò ovviamente lo ha reso estremamente popolare negli ambiti SOC (Security Operation Center) che sono il centro nevralgico della Cybersecurity di ogni organizzazione perché offre la possibilità di rilevare in tempo reale eventuali anomalie e comportamenti malevoli e quindi permette di intervenire tempestivamente evitando attacchi e conseguente perdita di business dovute alla mancata operatività dei sistemi di produzione.