Aggiornamento: avevo postato il link a questa pagina nei gruppi LinkedIn del CLUSIT e del Security Summit. Io sono stato rimosso dai gruppi e il post, immagino, cancellato. Ogni commento e’ superfluo, tuttavia non posso fare a meno di sorridere pensando al seguente passaggio che troverete nella risposta del CLUSIT:
Il rispetto delle regole e dei principi etici costituiscono un fondamento per l’ambito professionale che ci accomuna
In merito alle mie richieste di chiarimenti sui dati utilizzati per la compilazione delle statistiche del rapporto Clusit, Ho ricevuto una lettera da parte del segretario del Clusit, Paolo Giudice. Essendo la lettera piuttosto lunga, ho deciso di commentarla in linea.
Aggiungo inoltre che le mie perplessità non riguardano l’intero rapporto, ma solo la parte relativa alle statistiche.
Caro Paolo, ci spiace e ci ha sorpreso molto ciò che hai scritto: se ritieni di aver ricevuto torto da noi, perché non contattarci per un chiarimento diretto, che avrebbe risolto immediatamente la questione? Non ti è certo estraneo il concetto di “responsible disclosure”!
Non capisco perché venga citato il concetto di “Responsible Disclosure”. E’ proprio quello che ho fatto. Ho scritto la prima volta a te ed Andrea Manzoni il 24 Ottobre 2014 segnalandovi l’incongruenza sulla fonte e ritirando l’autorizzazione (completamente ignorata) ad utilizzare nei vostri futuri rapporti i miei dati per gli anni 2011-2013. A fronte della vostra spiegazione, relativa ad un errore di impaginazione, che ho ritenuto non esaustiva, ho rinnovato, il 12 Novembre 2014, il divieto di usare i miei dati per la pubblicazione. Se qualcuno all’interno del Clusit ha applicato il concetto di “Irresponsible non-disclosure” mantenendo questo problema dentro il cassetto, non è una questione che mi riguarda.
Desideriamo subito rassicurarti sul fatto che i dati che presentiamo nel nuovo Rapporto non tengono assolutamente conto della tua base dati e delle tue analisi in merito. La ricerca Clusit è originale sotto il profilo delle fonti aperte analizzate, dei criteri di classificazione degli incidenti applicati e dei risultati delle analisi svolte. Trovi nel seguito la e le che forniscono i chiarimenti necessari.
Le rassicurazioni non mi interessano. Ho chiesto di consultare i dati grezzi, esattamente come io condivido i miei nel mio blog Hackmageddon. Il rapporto del 2014 indica che i dati di dettaglio possono essere richiesti (stranamente questa nota è scomparsa dal 2015 in poi, quando vi ho detto di non utilizzare i miei dati), ed è quello che ho fatto, avendo inviato ieri una mail a cui attendo ancora risposta.
Aggiungo inoltre che è una coincidenza incredibile che una lista cosi vasta (e generica) di referenze abbia prodotto dati così simili: Hackmageddon nel 2015 ha registrato 1017 attacchi contro i 1012 del Clusit, mentre nel 2014 ne ha registrati 880 contro gli 873. Così tante possibili fonti hanno prodotto numeri così simili.
Per quanto riguarda la citazione, in questo come nei precedenti Rapporti, di dati elaborati *anche* con il tuo contributo negli anni in cui eri presente, in effetti noi citiamo semplicemente dei macrodati presi dai nostri stessi rapporti. Sarebbe ingeneroso distinguere i contributi individuali (anche se solo come fonte) da quello che, come hai avuto esperienza, è un lavoro collettivo del quale le statistiche costituiscono per altro una minima parte. E’ infatti sull’interpretazione dei trend, sull’analisi degli incidenti più gravi, sulla comprensione delle cause e degli effetti dei fenomeni che osserviamo, che il Rapporto basa una parte del suo successo. La nostra Associazione ha come principale obiettivo promuovere e diffondere la consapevolezza della sicurezza delle informazioni. Il rispetto delle regole e dei principi etici costituiscono un fondamento per l’ambito professionale che ci accomuna. Ne è la dimostrazione, come hai dimenticato di citare, che l’increscioso errore commesso per l’edizione del Rapporto 2014 (conseguenza di un problema tecnico legato all’impaginatura della versione cartacea) è stato subito corretto sia nelle versioni cartacee che elettroniche del Rapporto.
L’errore è stato corretto su mia segnalazione ad Ottobre 2014 (circa 7 mesi dopo la mia pubblicazione). La fonte del mio blog è scomparsa da ogni pagina del rapporto 2015 ma i dati continuano ad essere utilizzati visto che i numeri sono gli stessi per gli anni passati (anche questo è un errore di impaginazione?). Se i dati sono stati elaborati anche con il mio contributo, vi ripeto che voi non potevate utilizzare i dati 2011-2013. Vi invito di conseguenza ad aggiornare tutti grafici rimuovendo le informazioni attinte dal mio blog per le edizioni 2015 e 2016.
Sperando di aver chiarito le questioni che sollevi, lascia che siamo noi a farti, amichevolmente, alcune proposte: – perchè non tornare a collaborare assieme per i prossimi rapporti nell’elaborazione delle informazioni? Scoprirai interessanti cambiamenti nel modo con cui valutiamo gli incidenti rilevanti, nonchè nuovi collaboratori che si sono aggiunti al nostro team, assieme ai quali potrai apportare anche tu un prezioso contributo da esperto del settore quale sei; – perchè non prevedere un confronto sui dati che divergono, a nostro vedere i casi più frequenti, per migliorare i risultati di entrambi? Il Rapporto Clusit è il prodotto del lavoro di tanti collaboratori che, come tu stesso in passato, si sforzano di dare il meglio per fornire agli addetti ai lavori, e non solo, un quadro il più possibile realistico dello scenario di sicurezza, trattando anche temi di particolare rilevanza per la sicurezza ICT delle imprese Italiane. I dati globali del Cybercrime si accompagnano a statistiche italiane e dati ottenuti in esclusiva da soggetti privati e pubblici, forze dell’ordine, imprese leader nel settore, che ne avvalorano l’autorevolezza e offrono a tutti, anche a te se vuoi, l’occasione di discutere di quei problemi a cui tutti siamo particolarmente (per passione, per professione) sensibili. Ti aspettiamo, Il Direttivo Clusit
Ribadisco che non ho intenzione di tornare a collaborare con il Clusit. La trasparenza (professionale e umana) è un valore determinante per me. Le mie fonti grezze e perfettibili, sono aperte a tutti, il vostro rapporto non mostra più alcuna fonte dal 2014 ad oggi. Il rapporto del 2014 recitava generiche fonti “OSINT”, il rapporto del 2015 cita un generico database di 3.677 attacchi di pubblico dominio. Come potete pretendere che un lavoro abbia un valore scientifico se non ci sono fonti citate? Se l’anno prossimo deciderò di pubblicare un rapporto sul crimine informatico con statistiche prese da un database costituito da 10,000 eventi derivati da fonti OSINT, voi mi crederete solo perché mi chiamo Paolo Passeri oppure avrete necessità di consultare i singoli dati per valutare le forme scientifiche.
Riguardo il confronto dei dati, è quello che ho richiesto, ma ad oggi non ho ancora ricevuto risposta alla mia mail di richiesta.
Detto ciò, la lista sottostante per me non ha alcun valore finché non sarò in grado di visionare i singoli eventi che costituiscono il database. Nel frattempo, vi ribadisco di correggere le statistiche, rimuovendo tutti i miei dati del periodo 2011-2013 dalle edizioni 2015 e 2016. Diversamente mi vedrò costretto a tutelare il mio lavoro nelle sedi opportune.
Cordialmente,
Paolo Passeri.
Riportiamo il dettaglio della metodologia utilizzata per la produzione dei dati del Rapporto Clusit relativo al Cybercrime. Per effettuare l’analisi svolta annualmente da Clusit in merito ai più gravi attacchi informatici di dominio pubblico a livello globale vengono utilizzati diversi tipi di fonti aperte, che si possono suddividere in 5 categorie: – oltre 100 siti e blog specializzati in ICT Security / Cyber Security (vedi in allegato l’elenco dei siti più utilizzati); – i report trimestrali / annuali dei principali Vendor di sicurezza; – svariati siti “mainstream” (p.es. corriere, repubblica, ansa, bloomberg, bbc, cnn, nytimes, lastampa, wired, theregister etc etc); – circa 200 account Twitter di aziende, enti e singoli esperti che trattano di Cyber Security; – la nota newsletter “Dragon” di Team Cymru. La realizzazione dell’analisi Clusit si svolge in 4 fasi: 1. Consultando periodicamente le fonti sopra citate e raccogliendo informazioni sugli incidenti riportati (OSInt); 2. Selezionando, in base a criteri di “gravità” definiti empiricamente da Clusit, quali attacchi inserire nella ricerca e quali scartare perché non rilevanti ai fini della ricerca; 3. Analizzando i dati disponibili in merito ad ogni attacco in modo da categorizzare attaccanti, vittime, tecniche usate e distribuzione geografica delle vittime, in base a criteri definiti empiricamente da Clusit; 4. Predisponendo il report per il Rapporto Clusit, con i relativi grafici e l’analisi dei fenomeni che emergono dai dati. Dalla prima fase di ricerca su Web si raccolgono mediamente circa 100-110 incidenti al mese, che poi una volta scremati diventano (a seconda dei mesi) mediamente 70-90. Si sottolinea che il numero di attacchi pubblicati dalle fonti aperte utilizzate è determinato anche dalle loro esigenze editoriali, e quindi il numero complessivo di incidenti rilevabili in un dato lasso di tempo (p.es. 1 mese) a partire da un pool di fonti di questo tipo è in parte limitato dalla capacità e dalla volontà delle fonti stesse di pubblicare notizie di attacchi. Elenco delle prime 100 fonti aperte (selezionate per frequenza) utilizzate da Clusit per realizzare la propria ricerca nel 2015. I siti marcati con asterisco sono quelli che ricorrono più spesso. * arstechnica.com * blog.kaspersky.com * blog.team-cymru.org * cyberwarzone.com * darkreading.com * infosecisland.com * krebsonsecurity.com * nakedsecurity.sophos.com * scmagazine.com * securelist.com * securityaffairs.co * securityweek.com * thehackernews.com * threatpost.com * tripwire.com/state-of-security anon-news.blogspot.it anonhq.com bankinfosecurity.com blog.cloudflare.com blog.detectify.com blog.edgewave.com blog.emsisoft.com blog.fortinet.com blog.fox-it.com blog.imperva.com blog.ioactive.com blog.malwarebytes.org blog.malwaremustdie.org blog.norsecorp.com (NB non più attivo) blog.spiderlabs.com blog.sucuri.net blog.trendmicro.com blogs.akamai.com/security blogs.cisco.com blogs.mcafee.com blogs.sophos.com cbronline.com cert.pl cio.com computerworld.com cryptome.org cscss.org csoonline.com cyberreconnaissance.com cybersecurityindex.org darknet.org.uk databreachtoday.com ehackingnews.com exchange.xforce.ibmcloud.com f-secure.com/weblog fierceitsecurity.com fireeye.com/blog.html fossbytes.com govinfosecurity.com group-ib.com hackersnewsbulletin.com hackread.com htbridge.com/blog i-hls.com ic3.gov ics-cert.us-cert.gov incapsula.com/blog inforisktoday.com infosecurity-magazine.com isc.sans.edu isightpartners.com itgovernance.co.uk itgovernanceusa.com itpro.co.uk krypt3ia.wordpress.com labs.bitdefender.com/blog labs.bromium.com latesthackingnews.com malwaretech.com mobile.europol.europa.eu motherboard.vice.com net-security.org networkworld.com news.softpedia.com news.techworld.com pastebin.com reddit.com resources.infosecinstitute.com riskiq.com rss.voidsec.com scmagazineus.com seculert.com secureworks.com securityintelligence.com securityledger.com shodanio.wordpress.com streetinsider.com technologyreview.com thecybersecurityexpert.com theregister.co.uk us-cert.gov v3.co.uk venafi.com/blog vulnerabilitycenter.com welivesecurity.com