Last update Agosto 2, 2024 8:07 PM |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Articoli / Articles |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Information Technology e sicurezza [Pubblicato sul Portale PMI di Microsoft Italia nel mese di giugno 2008] Il mondo dell’IT (Information Technology) racchiude in sé tutto l’insieme delle odierne tecnologie adoperate al fine di elaborare, memorizzare e utilizzare informazioni. I dati contenuti nei PC e nelle reti informatiche, però, sono esposti a rischi sempre maggiori da contrastare. Introduzione Il problema della sicurezza informatica Figura 1: Informazioni diffuse pubblicamente da US-CERT. Questa situazione, grazie ai dettagli offerti dagli scopritori,
permette a una miriade di potenziali aggressori di violare in modo
più o meno grave i sistemi afflitti dalla vulnerabilità resa
pubblica. Nota:
Creato nell’anno 2003 al fine di proteggere la rete Internet degli Stati Uniti, US-CERT (United States Computer Emergency Readiness Team) si occupa della difesa dagli attacchi informatici. Questo organismo coopera con agenzie federali, enti statali e privati, industrie e comunità di ricerca, allo scopo di diffondere informazioni utili riguardo a questo genere di problemi. A questo punto viene spontaneo chiedersi come mai queste informazioni dettagliate, che permettono di approfittare delle vulnerabilità di un particolare sistema, vengano repentinamente rese pubbliche (generalmente attraverso Internet) non solo da malintenzionati ma, soprattutto, da rispettabilissimi addetti ai lavori. La risposta a questo inquietante quesito può essere sintetizzata in una sola frase: full disclosure. Questa frase, che in italiano si può tradurre con il dovere di dire tutto, rappresenta la corrente di pensiero di coloro che difendono a spada tratta la libertà di diffondere tutti i dettagli relativi alle vulnerabilità venute alla luce: la loro scelta è guidata dalla convinzione che solo in questo modo i legittimi utilizzatori potranno immediatamente correre ai ripari. Questa nobile intenzione viene quindi addotta a giustificazione degli eventuali risvolti negativi che scaturiscono dalla full disclosure, risvolti rappresentati dalla possibilità che gli aggressori possano sfruttare le preziose informazioni sulle vulnerabilità ancora prima dei legittimi utilizzatori. Numerosi siti rendono disponibili nelle loro pagine un elenco aggiornato delle vulnerabilità scoperte e, proprio per questa ragione, è assolutamente indispensabile che ogni singolo utente/amministratore li consulti frequentemente o, ancor meglio, qualora il servizio fosse disponibile, si abboni alle loro newsletter specifiche. Nota:
Le Newsletter sulla sicurezza sono un servizio, solitamente gratuito, offerto da alcuni siti specializzati che, in seguito a una breve procedura di iscrizione, inviano regolarmente all’utente aggiornamenti relativi alla sicurezza tramite posta elettronica.
Analisi dei rischi Figura 2: Il tipico modo di operare di un aggressore. Questo modo di agire, pur non costituendo di per se un problema, diviene estremamente rischioso quando la macchina destinata a contenere questi dati viene connessa a una rete informatica: da quel momento, infatti, se non sono state prese le opportune precauzioni, le probabilità che un aggressore esterno possa accedere ai nostri dati sono davvero molto alte. Paure di questo tipo, che fino a qualche tempo addietro potevano forse essere considerate esagerate, sono oggi confermate da reali riscontri e, qualora qualcuno avesse ancora dei dubbi in merito, questi possono essere rapidamente dissipati attraverso la semplice lettura dei file di log generati da un comune personal firewall (un software di protezione largamente diffuso); la lettura di questi file evidenzia chiaramente come un elaboratore connesso in rete (per esempio, a Internet) sia continuamente insidiato da svariati tentativi di intrusione finalizzati alla rilevazione di eventuali vulnerabilità utili per la conquista di un accesso illegittimo. I problemi che un’intrusione può causare sono numerosi: si va dalla violazione della privacy, attraverso l’accesso a foto e documenti personali, ai danni di carattere economico, derivanti dal rilevamento del numero della nostra carta di credito o dei parametri per accedere al nostro servizio di home banking, incautamente memorizzati all’interno dell’elaboratore. Quelli appena citati sono solo alcuni esempi dei rischi cui un utente può andare incontro ma, nonostante la posta in palio sia alta, molte persone continuano a ritenere la sicurezza informatica un problema esclusivo di coloro che gestiscono dati di una certa importanza, non rendendosi conto che perfino una macchina dedicata al gioco, priva di qualsiasi dato personale, può essere fonte di grossi guai per il suo proprietario qualora non adeguatamente protetta: un intruso che riesca ad assumerne il controllo potrebbe adoperarla per accedere a siti Internet dai contenuti illegali (pedopornografia, terrorismo ecc.) o per attaccare altri sistemi informatici (banche, aziende, agenzie governative) o, ancora, per memorizzare temporaneamente materiale illegale (come, per esempio, informazioni derivanti da attività di spionaggio). Gli esempi che si possono fare sono davvero tanti ma il risultato
è sempre lo stesso: la paternità di queste azioni ricadrà sempre
sull’ignaro proprietario della macchina compromessa, che risponderà
in prima persona per ogni reato commesso. Egli, ovviamente, potrà
far valere le sue ragioni dichiarandosi estraneo ai fatti ma,
considerando che questo non avverrà in tempi brevi e che nel
frattempo si dovranno subire tutte le conseguenze del caso
(perquisizione, arresto, interrogatori ecc.), è certamente
auspicabile non trovarsi mai in una di queste situazioni. La diffusione delle informazioni
|
Tabella 2: Requisiti di
sicurezza e considerazioni al loro
soddisfacimento. |
|
Confidenzialità |
Difficile da soddisfare, dato che molte comunicazioni avvengono in chiaro (cioè, senza alcuna codificazione che le renda illeggibili agli intrusi). Quindi, tutto quello che transita per la Rete può essere facilmente intercettato, mediante apposite tecniche (sniffing), da chiunque. La situazione è comunque destinata a modificarsi in meglio, in quanto, essendo oggi palesi i rischi derivanti dalla comunicazioni in chiaro, sono sempre di più servizi che utilizzano modalità di comunicazione cifrata. |
Integrità e autenticità |
Non si possono ottenere con gli strumenti standard, dato che essi non sono in grado di garantire che i dati pervenuti non siano stati modificati durante il percorso e, soprattutto, non possono fornire la certezza che l’indirizzo del mittente da noi rilevato corrisponda a quello reale. Un aggressore, attraverso una particolare tecnica (spoofing), può intervenire su un pacchetto di dati in transito, alterando alcune delle sue informazioni originali come, appunto, l’indirizzo di origine |
Disponibilità |
Risulta evidente che neppure l’ultimo requisito può essere soddisfatto. Infatti, sono molti gli elementi in gioco che possono mettere completamente fuori servizio un sistema: difetti nel software adoperato, presenza di virus, attacchi di tipo denial of service ecc. |
Hacker, cracker e script kiddies
Allineandomi alla stragrande maggioranza di coloro che si
occupano di queste tematiche, trovo doveroso chiarire alcuni
concetti relativi ad alcuni termini molto adoperati ai nostri
giorni.
Il primo di questi è certamente hacker, termine che per
antonomasia identifica (erroneamente) il criminale informatico dei
nostri giorni: esso è nato nell’ambito dei laboratori del MIT
(Massachusetts Institute of Technology) intorno agli anni Cinquanta
e ha origine da un soprannome che si erano dati alcuni studenti
facenti parte di questo laboratorio. La parola deriva dall’inglese hack, che significa
spaccare, fare a pezzi, e si utilizza per identificare una persona
che, per semplice curiosità, penetra all’interno dei sistemi,
analizzandoli al fine di comprenderne il funzionamento: negli anni
il significato originale di questo termine è stato travisato
attribuendogli una valenza negativa che assolutamente non
possiede. L’appellativo corretto da adoperare per identificare i criminali
informatici è quello di cracker, termine che identifica,
appunto, coloro che cercano di forzare i sistemi per ottenerne dei
vantaggi personali o, semplicemente, per arrecare dei danni. Ho ritenuto opportuno fare questo tipo di precisazione poiché
spesso, all’interno dell’ambiente informatico (conferenze, articoli,
siti ecc.), si adopera il termine hacker con una valenza positiva e
questo, se non si è a conoscenza di quanto detto, potrebbe spiazzare
coloro che si avvicinano per la prima volta a questi argomenti. La comunità informatica identifica come hacker coloro che tentano
di comprendere fin nel minimo dettaglio le parti costituenti un
certo sistema, cercando di scoprirne i segreti più reconditi ed
evidenziandone le imperfezioni in modo da poterlo migliorare. Questo concetto può essere chiarito meglio attraverso le parole
di uno di questi personaggi, che in una sua autodescrizione dice:
"Sono un hacker, osservo come funzionano le cose, le smonto completamente e le rimonto, anche in modo differente, allo scopo di farle funzionare meglio di prima; per me ogni informazione deve essere libera e sono, quindi, nemico giurato di tutto ciò che si interpone tra me e la conoscenza"
Un discorso completamente diverso va fatto in merito ai cosiddetti script kiddies, altro termine adoperato per definire coloro che, privi di adeguate competenze, cercano comunque di introdursi abusivamente nei sistemi informatici servendosi di strumenti realizzati da altri. Essi si avvalgono dei software e delle informazioni disponibili sulla rete Internet, senza conoscerli nel dettaglio, limitandosi a utilizzarli nelle loro funzionalità più immediate e, spesso, più dannose. Chi ha avuto modo di imbattersi in questo genere di individui sa che non devono essere sottovalutati, in quanto, adoperando degli exploit (dall’inglese sfruttare, si tratta di tecniche o software in grado di approfittare di una certa vulnerabilità) creati da persone competenti, sono potenzialmente in grado di causare problemi molto seri ai sistemi da loro presi di mira. Il risultato di tutto questo è un consistente allargamento della cerchia dei potenziali aggressori dai quali occorre difendersi.