Maurizio Dècina e Vittorio Trecordi
Maurizio
Dècina e Vittorio
Trecordi
Un sistema telematico di protezione è molto più affidabile se si lega in modo pervasivo a tutte le componenti dell'impresa che deve difendere, comprese la struttura interna e l'organizzazione del lavoro. Ormai tutti gli imprenditori dovrebbero rendersi conto che ogni nuova azienda deve essere addirittura progettata insieme ai professionisti della sicurezza. Che ancora sono pochi.
Quando ci si affaccia su Internet, si è connessi con altre centinaia di
migliaia di reti sconosciute e con centinaia di milioni di utenti. Queste
connessioni possono essere usate da "criminali" per impossessarsi di
informazioni riservate o arrecare danno all'infrastruttura informatica di
organizzazioni bersaglio. Nasce quindi l'esigenza di proteggere la sicurezza
dello scambio di informazioni in rete e di proteggere il proprio computer o la
propria rete privata da attacchi informatici provenienti dall'esterno. Tali
attacchi possono riguardare il furto, la distruzione o l'alterazione delle
informazioni, la violazione delle restrizioni nell'accesso a servizi e
informazioni, il sovraccarico delle risorse telematiche con richieste fittizie
per rendere inaccessibili i servizi e le informazioni agli utenti legittimi.
I soggetti che sferrano attacchi ai sistemi in rete sono detti attaccanti o
hacker1. Le motivazioni
che spingono a intraprendere azioni di hacking sono le più varie e comprendono
finalità malavitose, politiche, oltre alle più romantiche sfide intellettuali
alla inviolabilità dei sistemi. I media hanno dato ampia risonanza ai recenti
attacchi che hanno messo fuori servizio per sovraccarico (denial of
service) i siti web di aziende note come Yahoo! o Amazon. Altrettanto
scalpore hanno suscitato le notizie degli attacchi a Microsoft finalizzati al
furto del codice sorgente dei programmi di nuova generazione commercializzati
dall'azienda fondata da Bill Gates. Un bersaglio più diffuso e meno focalizzato
hanno invece gli attacchi portati ai sistemi informatici attraverso la
propagazione di virus informatici, ossia di programmi che, nelle versioni più
aggressive, possono compromettere irrimediabilmente l'integrità dei dati e dei
programmi nelle memorie di massa dei calcolatori infettati.
Sicurmatica.
Le discipline che riguardano la sicurezza dei sistemi
telematici sono ancora in uno stadio primitivo e fortemente immaturo della
conoscenza e della sua razionalizzazione. La sicurmatica (sicurezza
telematica) si affianca come disciplina della scienza all'informatica e alla
matematica, offrendo spunti alla ricerca teorica e applicata, nonché ai
programmi di formazione di base e avanzati, che sono oggi estremamente
poveri.
Aspetti della sicurezza.
Quando si parla di sicurezza delle
comunicazioni, e in generale delle informazioni scambiate in rete (ad esempio,
nelle transazioni commerciali di acquisto di beni o servizi) e immagazzinate nei
calcolatori, si possono mettere in evidenza svariati aspetti della sicurezza e
la relativa terminologia.
- Segretezza. L'aspetto più antico della sicurezza delle comunicazioni è quello della "segretezza" dei messaggi scambiati tra due interlocutori. Per segretezza dei messaggi si intende tanto la "confidenzialità" delle informazioni (ad esempio, una password, oppure il numero di una carta di credito) quanto la "riservatezza" delle informazioni stesse (la "privatezza", o la cosiddetta privacy, delle informazioni; ad esempio, il dettaglio delle transazioni effettuate con la carta di credito). La segretezza dei messaggi scambiati in rete si ottiene "cifrando" i messaggi stessi con opportuni "algoritmi" che trasformano il messaggio in modo tale da poterlo rendere accessibile soltanto al destinatario.
- Integrità. L'integrità del messaggio ricevuto è importante quanto la sua segretezza. L'autenticazione del messaggio è una procedura che garantisce l'aderenza del messaggio all'originale spedito: non ci sono parti mancanti, parti alterate o parti aggiunte. Si ottiene applicando al messaggio una sorta di timbro, il message digest, ottenuto applicando una particolare funzione algebrica degli elementi che compongono il messaggio originale.
- Identificazione. L'identificazione degli interlocutori delle transazioni sulla rete è importante tanto quanto la segretezza e l'integrità dei messaggi stessi. L'autenticazione degli interlocutori avviene con procedure del genere "domanda-risposta" (challenge-response), cioè del tipo di quelle che vengono impiegate nello scambio di "parole d'ordine" tra militari. Soltanto gli interlocutori autorizzati conoscono le parole d'ordine segrete. Inoltre, i moderni schemi di identificazione possono sfruttare le "firme" e i "certificati" elettronici, descritti successivamente, nonché le caratteristiche biometriche uniche della persona da identificare, quali l'impronta digitale, la geometria della mano, le caratteristiche dell'iride dell'occhio, l'impronta della voce, ecc. L'autenticazione viene spesso rafforzata dalla disponibilità di token (gettoni), ossia di componenti fisici, come ad esempio una smart-card, il cui possesso da parte di un soggetto si aggiunge come parametro di identificazione alla conoscenza di parole d'ordine segrete.
- Firma elettronica e certificato digitale. L'impiego della crittografia a chiave pubblica sia per la cifratura che per la firma digitale comporta l'esistenza di autorità fidate (trusted authorities) e cioè di istituzioni fidate (ruolo ricoperto generalmente da banche centrali, autorità informatiche, associazioni bancarie, banche e qualificate società private). Il ruolo di queste terze parti fidate, dette Autorità di certificazione (certification authorities) è quello di garantire l'associazione tra la chiave pubblica e l'identità di un determinato soggetto telematico, suggellando con la propria firma in un documento che si chiama certificato digitale l'associazione tra la chiave pubblica e le credenziali del soggetto telematico cui corrisponde. Le Autorità di certificazione sono anche in grado di fornire su richiesta l'elenco dei certificati revocati, consentendo di verificarne la validità. Per facilitare lo sviluppo e l'esecuzione di applicazioni telematiche basate sulla crittografia a chiave pubblica sono state sviluppate e standardizzate delle piattaforme tecnologiche e architetturali dette Public key infrastructure.
- Autorizzazione. La persona identificata viene sottoposta a una apposita "autorizzazione" per avere l'accesso ai servizi offerti in rete. L'autorizzazione abilita l'utente (un navigatore in Internet o un utente interno a una rete privata) a una determinata classe di operazioni prestabilita dalla politica di sicurezza adottata dal mercante in rete o dall'azienda che impiega la rete privata, la cosiddetta Intranet.
- Non ripudio. In alcuni scenari applicativi, è importante assicurare che non sia possibile per la sorgente di un messaggio negare di averlo inviato (non ripudiabilità di sorgente) e per il destinatario di un messaggio negare di averlo ricevuto (non ripudiabilità di destinazione). Ovviamente analoghe considerazioni valgono per le transazioni di commercio elettronico o per l'accesso ai servizi in rete. Il non ripudio viene garantito solitamente "notarizzando", ossia archiviando in modo sicuro e suggellato da una terza parte fidata le tracce che denotano l'accadimento di determinati fatti in ben precisi istanti di tempo.
- Anonimato. In altri contesti applicativi l'esigenza da soddisfare è diametralmente opposta a quella del non ripudio: l'anonimato e la non tracciabilità delle transazioni vengono richiesti, ad esempio, in tutte quelle situazioni in cui si intende ottenere il rispetto della privacy degli utenti.
Attacchi alla sicurezza.
- Intrusioni. Nel caso di accesso
remoto alla rete aziendale, per un hacker è sufficiente prendere il controllo di
un computer remoto, tramite il quale potrà successivamente collegarsi
all'azienda obiettivo, oppure identificarne le modalità di accesso
(intercettando, ad esempio, login e password). L'hacker può quindi ottenere
accesso ai server con i diritti dell'utente che "impersona", il quale può essere
un utente con diritti privilegiati. Gli attacchi possono essere condotti anche
con programmi cosiddetti "cavalli di Troia": un programma che svolge compiti
desiderati dall'utente contiene un altro programma (del quale l'utente è ignaro)
che svolge attività ostili. Tali attacchi sono realizzati semplicemente
sostituendo gli originali con programmi rimaneggiati che presentano "backdoor"
attraverso le quali l'attaccante può collegarsi e operare.
Diventa quindi
necessario assicurare un livello adeguato di sicurezza, per difendersi non
soltanto dagli attacchi che possono provenire dall'esterno, ma anche e
soprattutto da quelli che possono invece giungere direttamente dall'interno,
statisticamente di gran lunga più diffusi rispetto ai primi.
- Frodi e Furti. Nell'erogazione di servizi in rete a pagamento, il service provider, sia esso l'operatore di rete oppure invece una server farm (ad esempio nel caso del commercio elettronico), è esposto ad attacchi compiuti con l'intento di usufruire dei servizi senza corrispondere il compenso previsto, eventualmente dirottando l'onere verso altri utenti. Questi attacchi agiscono sui sistemi di identificazione e di autorizzazione, sui sistemi di contabilizzazione di uso del servizio o sui sistemi di pagamento. In questa ultima categoria rientrano anche i casi di furto del numero della carta di credito utilizzata nelle transazioni di commercio elettronico con pagamento on line.
- Distributed denial of service. Accanto ai classici tentativi di intrusione degli hacker nei sistemi che sono connessi a Internet, con l'obiettivo del furto oppure della distruzione delle informazioni presenti nella rete attaccata, è sempre più frequentemente utilizzata una nuova tipologia di attacco distribuita, denominata distributed coordinated attack. Un hacker, o un gruppo di hacker, impiega differenti calcolatori connessi a Internet per portare un attacco multiplo ad alcuni bersagli predefiniti. In un tipico attacco distribuito, l'hacker controlla un numero ridotto di calcolatori master, che a loro volta controllano un grande numero (centinaia o migliaia) di calcolatori daemon (demoni), usati (a insaputa dei loro legittimi utilizzatori) per portare l'offensiva verso gli obiettivi che sono stati prescelti. L'opera di investigazione e di prevenzione contro la criminalità informatica va quindi rivolta non soltanto ai possibili "obiettivi" degli hacker (i cosiddetti grandi portali di Internet: i siti di Yahoo! e di American On Line, ad esempio), ma anche ai possibili sistemi informatici utilizzabili per gli attacchi distribuiti (le grandi reti locali delle università, ad esempio, possono diventare sedi di installazioni master/daemon). Gli attacchi chiamati denial of service ("rifiuto di servizio") sono di tipo coordinato e distribuito e hanno come scopo quello di rendere inutilizzabile il servizio offerto da un web server su Internet. Questo genere di attacchi si basa sulla richiesta continua e insistente di servizi al server aggredito, la cui velocità di risposta può non essere sufficiente a gestire tutti i pacchetti dati da generare. Situazione che, protratta nel tempo, porta all'inutilizzazione totale del web server e quindi del servizio fornito. Anche se difeso da attacchi di intrusione tramite potenti dispositivi di sicurezza, il server non può reagire adeguatamente a questo tipo di attacco, in quanto gli si presentano moltissime richieste di connessioni, tutte apparentemente legittime e provenienti da differenti computer.
- Virus informatici. Uno dei rischi maggiori, legato alla connessione a Internet, è dato dalla possibilità che un file, prelevato dalla rete, contenga, all'interno del codice software capace di modificare il comportamento normale del computer, un virus informatico. I virus informatici sono in fase di forte "mutazione". Inizialmente capaci di corrompere file eseguibili, i virus hanno seguito l'evoluzione sia dei sistemi operativi, sia delle applicazioni utilizzate, arrivando a compromettere i programmi di office automation, i servizi di posta elettronica, e le componenti usate dai browser per la navigazione in Internet. La difesa contro i virus si attua adottando i prodotti software antivirus impiegati per segnalare e rimuovere i virus dai file infetti. Gli antivirus si sono notevolmente evoluti rincorrendo le continue mutazioni dei virus, vanno continuamente aggiornati e sono impiegati sia su proxy server, al servizio di una rete aziendale, sia sui singoli calcolatori.
Difesa della sicurezza.
Per assicurare un buon livello di
sicurezza vanno impiegati appositi dispositivi che realizzano le misure di
controllo degli accessi sui sistemi utilizzati, la crittografia delle
comunicazioni, nonché l'autenticazione degli utenti per l'accesso alle
informazioni riservate. Una soluzione per la sicurezza dei sistemi connessi a
Internet deve prevedere l'adozione di dispositivi di resistenza agli attacchi
informatici, l'adozione di una "politica di sicurezza" per l'azienda nel suo
complesso, e, infine, la gestione continua e l'amministrazione della sicurezza
del sistema in rete. Per realizzare un sistema di difesa si deve garantire la
protezione almeno contro i tipi di attacco più comuni. Si deve poi bilanciare il
controllo di accesso alle risorse di rete con la facilità di accesso alle
stesse, definendo chiaramente i ruoli e le autorizzazioni da fornire ai vari
possibili utenti del sistema, esterni e interni all'azienda. La corretta
definizione della politica di sicurezza aiuta in definitiva a evitare perdite e
danneggiamento dei dati. Infine, si deve determinare come costruire e come
manutenere i dispositivi deputati ad attuare le regole di protezione.
- Firewall. I "firewall" (termine che letteralmente indica le "pareti tagliafuoco") sono computer che si pongono come "barriera" a protezione della rete aziendale. In genere il firewall è collegato fra il router di collegamento a Internet e la rete interna, ed effettua tutti i controlli di sicurezza previsti, anche in aggiunta a quelli eventualmente già presenti nel router. Tale soluzione consente buone funzionalità di sicurezza e il firewall può anche ospitare il software di controllo antivirus per tutti i file scaricati da Internet.
- Reti private virtuali. Una soluzione di sicurezza per le aziende che operano su Internet prevede la creazione di un canale di comunicazione cifrato fra i sistemi remoti, realizzando così una "rete privata virtuale" fra i calcolatori collegati. La crittografia impedisce l'accesso alle informazioni scambiate fra i calcolatori, anche se queste transitano attraverso una rete pubblica. Tramite una rete privata virtuale si rende disponibile l'accesso remoto alle risorse presenti all'interno della rete aziendale, favorendo il lavoro mobile, il telelavoro e l'espansione geografica delle aziende. Oltre alla crittografia dei dati, sono disponibili reti private virtuali in grado di verificare le configurazioni di sicurezza sui singoli computer, consentendo, ad esempio, l'accesso remoto soltanto se il computer è conforme a regole di sicurezza prestabilite.
- Prove di vulnerabilità. Le vulnerabilità di un calcolatore o di una rete di calcolatori connessa a Internet sono in genere dovute a "bachi" di sicurezza presenti nei sistemi operativi utilizzati nei calcolatori, a errate configurazioni hardware e software, alla presenza di "cavalli di Troia" nei programmi usati, ecc. La verifica continua delle vulnerabilità presenti su un sistema in rete viene effettuata da personale adeguatamente preparato, svolgendo le stesse operazioni attivabili da un hacker, ma non recando danno al sistema verificato. Si realizza una ricerca sistematica delle vulnerabilità presenti, fornendo una valutazione del grado di adeguatezza delle misure di protezione esistenti e raccogliendo le informazioni che possono dare luogo all'intrusione di un hacker o all'interruzione di un servizio. Trovati i punti deboli, si possono sviluppare le soluzioni di "bonifica" del sistema, in termini di aggiornamenti del software installato, oppure di apposite configurazioni di sistema da adottare per far fronte alle vulnerabilità rilevate.
- Sistemi di rilevamento delle intrusioni. I tentativi di intrusione possono essere segnalati all'amministratore di rete da sistemi particolari in grado di rilevare anomalie nel comportamento dei calcolatori e del traffico in rete o di riconoscere sequenze di eventi che corrispondono a tentativi di attacchi noti. I sistemi di rilevamento delle intrusioni (intrusion detection) possono essere configurati per agire in modo specifico sui server di rete o per operare su segmenti di rete in associazione ai dispositivi sniffer (sistemi in grado di analizzare tutto il traffico in transito sulla tratta di rete). La configurazione dei parametri di questi sistemi è particolarmente delicata e si basa sul bilanciamento sempre critico tra il tasso di falsi allarmi (falsi positivi) e il tasso di tentativi di intrusione non rilevati (falsi negativi).
Gestione della sicurezza e outsourcing.
La sicurezza di un sistema
telematico investe in modo pervasivo tutte le componenti del sistema medesimo,
sia architetturali e tecnologiche, sia di tipo organizzativo. La sicurezza
interessa altresì gli aspetti più intimi e di dettaglio delle differenti
componenti, richiedendo non soltanto una visione di insieme ma anche una
conoscenza specialistica. Inoltre, la sicurezza del sistema è influenzata sia
dal tasso di evoluzione delle caratteristiche dei sistemi (innovazione
tecnologica e mutazioni di configurazione), sia dalla continua scoperta di nuove
vulnerabilità che espongono il sistema ai rischi di un attacco.
Queste
ragioni, unite alla scarsa attenzione del mondo della formazione di base ai temi
della sicurezza, concorrono a evidenziare la complessità e la ricchezza delle
competenze richieste al personale che professionalmente deve occuparsi della
sicurezza dei sistemi telematici a tutti i livelli (analisi, progettazione,
implementazione, gestione). Come conseguenza i professionisti della sicurezza
sono molto rari e la manutenzione della loro competenza ha costi elevati.
La
scarsità e l'elevato costo delle risorse per la sicurezza, uniti al fatto che
generalmente la sicurezza non è il core business dell'azienda, stimolano
il ricorso all'esternalizzazione o outsourcing delle funzioni esecutive
dedicate alla sicurezza, operazione molto delicata vista la sensibilità del
tema.
Accanto ai ruoli tradizionali della consulenza, della fornitura di
apparati e della system integration, si sta affermando sempre più il
ruolo dei cosiddetti Managed security provider (Msp), aziende che sono in
grado di gestire la sicurezza perimetrale (ossia la difesa della rete aziendale
dagli attacchi esterni) configurando, aggiornando e monitorando a ciclo
continuo, 24 ore al giorno, il sistema di protezione. Operando da un security
operation center attraverso collegamenti di rete, gli esperti della
sicurezza di un Msp mettono la loro competenza al servizio di molti clienti che
si ripartiscono i costi. La verifica della vulnerabilità dei sistemi perimetrali
agli attacchi noti di sicurezza, la gestione dei firewall, dei sistemi
antivirali, delle reti private virtuali e dei sistemi di rilevamento intrusioni
sono tra i servizi correntemente erogati.
Nota
1 Vedi gli articoli di A. Aparo, P. Mastrolilli e R. Chiesa, in questo stesso numero di Telèma.