In tempi come quelli che stiamo vivendo, in cui emergono sempre più spesso vicende che riguardano un uso “disinvolto” delle nuove tecnologie e cresce il timore per la possibilità di essere sottoposti a sistemi di sorveglianza di massa, si tratta di una dichiarazione d’intenti decisamente rassicurante. Le particolarità dell’azienda creata da Melanie Rieback, però, investono anche il “come” svolge la sua attività.
La security non è magia nera
Il secondo punto richiamato da Radically Open Security si ispira a un proverbio cinese: “Date a un uomo un pesce e mangerà un giorno. Insegnategli a pescare e mangerà tutta la vita”. Declinato nella security, si trasforma in una vera missione di evangelizzazione, declinata con grande senso pratico. “Ho avuto molte esperienze con la comunità della cybersecurity, anche come cliente, perché ho lavorato nel team di cybercrime di una banca” racconta Melanie Rieback. “La mia esperienza è stata piuttosto deludente, perché non erano assolutamente trasparenti riguardo al loro modo di operare”.
L’esperienza citata da Melanie è quella dei cosiddetti penetration test, l’attività delle società di security che prevedono una simulazione di attacco che permette di individuare i punti deboli dei sistemi informatici di un’azienda. “Quello che succedeva era che si mettevano in un angolo, lavoravano per un po’ e tu non avevi davvero idea di cosa stessero facendo. Alla fine tornavano con un report, ma… a un certo punto sono andata da loro e ho detto: ‘Ehi, ragazzi, se siete così bravi, probabilmente potete insegnarmi un sacco di cose, giusto?’. Niente da fare”.
Secondo Melanie, questo atteggiamento è piuttosto comune ed è il frutto di una cultura che tende a non condividere le conoscenze per scopi essenzialmente egoistici. “Mentre lavoravano eliminavano intenzionalmente i log della cronologia e rendevano tutto volutamente il più oscuro possibile. Alla fine, ho semplicemente iniziato a stargli accanto e a guardare sopra le loro spalle, perché era l’unico modo per non farmi ignorare. E, guarda caso, stavano usando gli stessi strumenti open source di tutti gli altri, solo che non volevano che lo sapessi. Ovviamente avevano tutto l’interesse a farmi credere che la cybersecurity fosse una sorta di magia nera”.
La trasparenza come metodo
Quando Melanie ha fondato la sua azienda di security, ha creato un metodo di lavoro che ha chiamato Peek Over Our Shoulder, traducibile come “Guardate sopra le nostre spalle”. In pratica, quando gli esperti di sicurezza di Radically Open Security eseguono un penetration test coordinandosi via chat, i loro clienti hanno la possibilità di leggere tutto quello che si scrivono. “È un modo per consentire ai clienti non solo di sistemare le vulnerabilità che troviamo, ma di capire come ragiona un hacker e interiorizzare la mentalità giusta per occuparsi di cybersecurity”, spiega Melanie.
La stessa impostazione viene applicata, oltre che ai clienti, alle altre società che operano nel settore. “Cerchiamo di condividere tutte le informazioni e le conoscenze il più possibile”, spiega. “Anche per quanto riguarda i software che sviluppiamo, abbiamo scelto di renderli tutti disponibili sotto licenza open source. È qualcosa che la maggior parte delle aziende di questo settore non fanno, con l’obiettivo di guadagnare di più”.
Un approccio, spiega Melanie, che ha interessato il settore per un certo periodo di tempo ma che sta andando perso. “La spinta degli investitori sta portando sempre più spesso a dirottare gli strumenti open source verso la formula del freemium (l’offerta di una versione di base gratis e la richiesta di un pagamento funzionalità aggiuntive – ndr) e questo ha un impatto negativo su tutto il mondo della security”. Radically Open Security, invece, continua così. In direzione ostinata e contraria.
Fonte : Wired
