La strategia di difesa che prevedeva la possibilità di affidarsi semplicemente a un prodotto (o a un insieme di prodotti) software, delegando così solo al codice degli sviluppatori la salvaguardia del patrimonio aziendale si è rivelata decisamente fallimentare. Il problema della riservatezza dei dati, e quello della tutela delle informazioni dal malware in genere, ha conseguenze tanto immediate quanto gravi su tutte le attività generatrici di valore di un'azienda così da poter tranquillamente affermare che non esiste alcuna strategia efficace di sicurezza che non coinvolga direttamente le persone e che non preveda linee guida formative finalizzate all'acquisizione di modelli di comportamento corretto.
[tit:Gli scenari]
L'azienda - Se da un lato in un ambiente di lavoro è frustrante per chiunque trovarsi a utilizzare un terminale sul quale, per policy aziendale, non è possibile portare a termine una serie di operazioni, è pure vero che una macchina correttamente configurata e con una serie di limitazioni fa dormire sonni più tranquilli a qualsiasi amministratore. In quest'ottica è vero che non ha senso che tutte le postazioni prevedano l'utilizzo di una sola tipologia di utente e che questo sia un "administrator" onnipotente con tutti i privilegi di accesso tali da consentire - per esempio - il collegamento a una rete peer to peer con il firewall disabilitato!
Il piccolo ufficio - In questi casi la manutenzione dei sistemi è spesso affidata a un dipendente che ne sa solo "un po' più degli altri" e all'amministratore delegato che non conosce la materia, si fida, ma è anche quello che gestisce il budget e ha deciso che una licenza multipla delle "Internet Security Suite" è ancora la soluzione migliore per proteggersi dal peggio; come contro altare ci sono aziende invece con policy fin troppo rigide, tanto che anche un piccolo problema richiede l'intervento del responsabile EDP che ovviamente in quel momento è a un corso di formazione nell'altra parte del globo....
La casa - Le leggi che vigono in panorami aziendali gerarchicamente organizzati sembrano non reggere assolutamente quando vengono adattate a un ambiente domestico, dove spesso un computer è utilizzato senza problemi da genitori e figli (e i primi ne sanno molto meno dei secondi), l'unica esigenza è non pubblicare le credenziali di accesso all'home banking di famiglia sul Web e ripulire il PC dai virus solo perchà©... non "si muove" più nulla. Salvo poi mostrarsi estremamente meravigliati quando arrivano i guai e pentirsi amaramente per l'incuria totale cui si è abbandonato il computer.
[tit:Quale strategia] La domanda da porsi allora è una sola, fatta salva una strategia (studiata a tavolino e pianificata con l'ausilio di chi poi ha la responsabilità del progetto "security") in grado di tutelare le esigenze aziendali e quelle del singolo utente, non è molto meglio coinvolgere nel progetto tutte le figure aziendali (e domestiche)? Rendere cioè consapevoli le persone di quali siano i comportamenti pericolosi e allo stesso tempo educarle alla sicurezza, in sostanza riqualificando anche le loro competenze? Non serve molto per arrivare a questo obiettivo anche perchà© il mercato e la Rete offrono davvero tante soluzioni per esigenze diverse, e basterebbe appena sapere cosa si sta facendo quando ci si siede davanti alla propria macchina super-protetta, così come davanti al più "aperto" PC degli internet cafè.
[tit:ANTIVIRUS
] Non tutte le infezioni sono uguali, se agli albori del Web ci si è abituati a definire tutto il malware come "virus" è ora arrivato il momento di essere più precisi. Ci si accorge in breve che chiamare le cose con il loro nome aiuta a uscire prima dai guai e a farsi aiutare meglio, quando si ha bisogno dell'intervento di chi ne sa più. Proponiamo una breve classificazione delle tipologie di infezione più importanti.
Virus - Un frammento di codice software che, una volta eseguito, è in grado di replicarsi e propagarsi tra i file del computer, fino a danneggiare il funzionamento del sistema operativo e, in alcuni casi estremi, anche il funzionamento dell'hardware.
Adaware - Applicazioni dannose a volte installate anche dall'utente stesso, ingannato da falsi avvisi, il cui effetto è quello di far comparire contenuti pubblicitari non desiderati non appena si avvia il browser o addirittura sulla scrivania di lavoro
Backdoor - Sono vere e proprie "porte di servizio" che consentono l'accesso anche in modalità remota alla macchina dell'ignaro utente. Vengono "aperte" tramite l'esecuzione di virus, worm o trojan.
Dialer - Un piccolo programma in grado di creare una connessione a Internet ad hoc tramite la linea telefonica (modem a 56K o ISDN). Durante la navigazione l'utente crede di collegarsi al suo fornitore di servizi, ma in realtà il modem compone un altro numero a tariffazione speciale seguendo le istruzioni fornite dal dialer e in questo modo vengono addebitati in bolletta costi di connessione elevatissimi.
Hijacker - Letteralmente, "il dirottatore". Questo tipo di malware è facilmente identificabile perchà© modifica la pagina iniziale dei browser impostata dall'utente. Più difficile è rimuoverlo perchà© spesso l'hijacker agisce sulle voci del registro di sistema il cui funzionamento è poco conosciuto dagli utenti inesperti.
Worm - Se un virus per replicarsi ha bisogno di essere eseguito, il worm ha la capacità di attivarsi ogni volta che la macchina sta eseguendo un determinato processo, indipendentemente dal comportamento dell'utente. Il canale di trasmissione preferito da questo genere di malware è certamente la posta elettronica. I worm proliferano e si diffondono in brevissimo tempo grazie a questo canale di comunicazione e ai bug del sistema. In alcuni casi basta semplicemente accedere al messaggio per contribuire ad estendere l'infezione a tutta la rete oltrechà© al proprio sistema.
Rootkit - Una particolare tecnologia software in grado di "nascondere" la presenza di codice malware all'interno del sistema operativo. I rootkit sono spesso usati per nascondere altro tipo di malware.
Trojan - Come spiega il nome stesso si tratta di un programma (può anche essere un programma realmente utile) che una volta installato ed eseguito "libera" un'altra porzione di codice nascosta dentro di esso (e questa invece dannosa), proprio come il cavallo di Troia che una volta portato all'interno delle mura e aperto consentì a Ulisse e ai suoi di occupare la città . Un trojan ad accesso remoto è costituito da due file: il "server" che risiede nella macchina infettata e che esegue le istruzioni di un "client" inviato di volta in volta dal malintenzionato che vuole avere il controllo del PC.
[tit:Quando serve solo l'antivirus] La scelta di un prodotto antivirus, senza utilizzare altro software di protezione (senza un firewall per esempio) può essere giustificata solo in quei contesti in cui il computer non viene utilizzato collegato a una rete a banda larga, e lo scambio di file avviene prevalentemente tramite lo scambio di floppy disc e chiavette USB. In altri casi, se l'utente è abbastanza esperto, può essere addirittura preferibile scegliere un buon firewall e, con la massima prudenza, fare a meno dell'antivirus. I più conosciuti antivirus sono in grado di proteggere egregiamente da tutte le infezioni già riconosciute e individuare comportamenti software sospetti (tramite la scansione euristica che esamina il codice potenzialmente dannoso secondo un determinato livello di sensibilità alle anomalie del codice). Non tutti i software di protezione, invece, eseguono la scansione dei file e degli allegati di posta in tempo reale. Vediamo in dettaglio le caratteristiche più comuni dei diversi prodotti.
[tit:Le caratteristiche degli ANTIVIRUS] Tutti gli antivirus in fase di installazione occupano una zona molto bassa del sistema, questo perchà©
uno dei punti strategici da difendere è il Master Boot Record che gestisce i processi di avvio del PC. I software di protezione poi continuano a lavorare in background controllando
il corretto funzionamento della memoria e provvedendo alla
scansione dei nuovi file. Così, per esempio, all'arrivo di un nuovo messaggio di posta il software provvede a controllarne il contenuto e confronta il codice con le definizioni dei virus presenti nel database lanciando un allarme quando rileva delle anomalie. Nel caso invece in cui il PC sia già stato infestato e non sia più utilizzabile o avviabile, alcuni prodotti prevedono la possibilità di riavviare il sistema tramite dischetti o Cd di emergenza. In questo caso non è il programma installato a far partire le procedure di controllo ma il software contenuto nel supporto ad agire, almeno in un primo momento. Un computer con un antivirus le cui definizioni non sono aggiornate almeno una volta alla settimana (ma meglio sarebbe tutti i giorni) è un computer vulnerabile e insicuro. Il software in tantissimi casi offre la possibilità di schedulare il download degli aggiornamenti a intervalli regolari, così come anche una scansione completa o parziale del sistema alla ricerca del malware. Generalmente inoltre è possibile non solo eliminare un file infetto o sospetto, ma anche collocarlo in "quarantena" in attesa che sia reso disponibile l'aggiornamento opportuno. I software antivirus pensati per le imprese ovviamente possono essere controllati centralmente. Sul client in questi casi sarà sufficiente installare solo una parte del programma appunto e da un'unica postazione saranno resi disponibili gli aggiornamenti sia del programma, sia delle definizioni. Per questo è importante, anche nelle piccole imprese, pensare a una soluzione adeguata e non lasciare l'iniziativa ai singoli. Se in un ufficio due persone aggiornano i loro software, ma altre tre postazioni rimangono scoperte l'azienda non è adeguatamente protetta con tutto quello che ciò comporta (diffusione a terzi del virus, danno all'immagine, rischio di sanzioni etc.etc.).
[tit:FIREWALL] Il firewall (letteralmente in italiano "muro tagliafuoco") può essere definito come un componente passivo per la
difesa e il
controllo e il
monitoraggio delle reti e per la
gestione del traffico dei dati. Si parla di "reti" e non di "rete" in quanto una delle funzioni del firewall è proprio quello di segnare una zona di confine e di controllo tra la rete esterna e quella interna (la LAN). E' la corretta gestione del firewall quindi che permette di impostare le logiche secondo le quali un pacchetto di dati è autorizzato a transitare o meno, sia in uscita che in entrata.
[tit:Tipologie di firewall] Esistono due tipi di firewall:
hardware e
software. I firewall di questo secondo tipo sono applicazioni studiate ad hoc per poter essere installate direttamente sul sistema che va protetto. E' l'utente che provvede ad assegnare ai dati permessi di transito temporanei, o solo su determinate porte di comunicazione, in alcuni casi proprio su segnalazione del software stesso. Il funzionamento è quindi molto più semplice rispetto a quello di un firewall perimetrale attraverso cui si controlla direttamente la chiamata dell'IP di provenienza, la porta attraverso la quale questa avviene e l'indirizzo IP del destinatario. Un firewall software in mano a una persona inesperta può trasformarsi in breve tempo da "porta taglia fuoco" a " semplice parete di compensato". Questo perchà© è l'utente stesso a decidere di volta in volta quali comunicazioni autorizzare, è anche vero che i più diffusi software per la casa e il piccolo ufficio quando vengono installati su un PC autorizzano di default solo le connessioni riconosciute come non pericolose.
[tit:I firewall software] Programmi come Norton Personal Firewall o ZoneAlarm hanno riscosso un grande successo commerciale in seguito all'avvento della banda larga, e hanno incontrato i favori anche degli utenti consumer perchà© attraverso un'interfaccia semplificata sono state implementate alcune funzioni particolarmente utili in ambito domestico. Per esempio la possibilità di bloccare la visualizzazione di determinati siti, o la comunicazione tra precisi indirizzi IP di una LAN, in modo da non consentire la condivisione di file tra i computer. Mentre i software più semplici però sono in grado solo di filtrare i pacchetti di dati leggendone gli header, quelli più complessi (di tipo stateful inspection) tengono traccia anche dello stato delle connessioni, verificando i protocolli di comunicazione attivi in un determinato momento. Vi sono infine firewall tipo proxy in grado di impedire le connessioni dirette verso l'esterno. In questo caso è il proxy stesso a collegarsi alla rete privata e a quella pubblica in modo selettivo.
[tit:Tenere alta la protezione] Un software firewall ben impostato è solo il primo passo verso una postazione di lavoro sicura. Per quanto sia probabile che se il software non segnala nulla di anomalo tutto stia davvero andando per il verso giusto è indubbio che sia necessario e auspicabile imparare a leggere i "log" ovvero i registri di tutte le comunicazioni avvenute nel tempo. E' un lavoro che richiede certamente una base di conoscenze informatiche e delle reti, ma può aiutare a capire molto di più di quanto non riesca a fare il semplice segnale di allarme del software, anche perchà© nemmeno i firewall sono "invulnerabili" tanto che malware scritto ad hoc può essere in grado di disabilitare il firewall software esponendo la macchina a qualsiasi tipo di attacco da parte di hacker e virus. Anche in questo caso è quindi fondamentale procedere con regolarità a installare gli aggiornamenti messi a disposizione e scaricabili o direttamente dal software firewall, o visitando il sito del produttore.
[tit:La CRITTOGRAFIA] Certamente un sistema valido per proteggere i propri dati e incrementare la sicurezza delle informazioni sensibili memorizzate sul PC è quello di utilizzare una soluzione software per crittografare i file (ma anche un intero disco fisso o i messaggi e-mail più riservati). Un file crittografato custodito su un computer violato darà ancora molto filo da torcere ai malintenzionati. Esistono due tipi di soluzioni software, i programmi a
chiave simmetrica e quelli a
chiave asimmetrica. Nel primo caso l'informazione è codificata e decodificata attraverso l'utilizzo di un'unica chiave (o di due chiavi strettamente riconducibili l'una all'altra), nel secondo caso invece la chiave per crittografare (
chiave pubblica) è diversa da quella per decodificare (
chiave privata) che è conosciuta solo dal destinatario dell'informazione o dal proprietario di un file. àˆ facilmente intuibile che nel caso si scelga un software di protezione a chiave simmetrica tanto più questa è lunga e complessa tanto meglio sarà : una parola chiave a 4 caratteri è certamente molto debole, ma già con 13 caratteri si arriva alla sicurezza offerta da 128 bit. Chiaramente se l'informazione da proteggere deve anche essere distribuita a più utenti si pone anche il problema della distribuzione della chiave per la decodifica. Per quanto possa essere complesso l'algoritmo di cifratura, se il metodo per decodificare un messaggio è legato alla conoscenza della stessa chiave che l'ha codificato si può ben capire qual è il punto debole di questo sistema. Un software a chiave simmetrica è già sufficientemente sicuro però quando si desidera criptare file e dischi destinati a un uso personale.
[tit:La cifratura asimmetrica] Dal 1976 si sono iniziati a utilizzare i sistemi di cifratura a chiave asimmetrica. I byte da proteggere sono cifrati con una chiave pubblica (che può essere distribuita alle persone con cui si è abituati a comunicare, anche lasciandola depositata sui server del produttore del software) e quella per la decifratura viene invece custodita con la massima riservatezza dal proprietario. Le chiavi non sono desumibili l'una dall'altra, per questo non ha importanza a chi finisce in mano la chiave pubblica perchà© qualsiasi cosa verrà cifrata con essa solo l'assegnatario della relativa chiave privata sarà in grado di decifrarla. Ma il sistema a chiave asimettrica, nel caso per esempio dell'invio di e-mail ha anche un'altra valenza, può essere infatti utilizzato anche per "autenticare" il mittente, infatti in ogni processo vengono comunque utilizzate entrambe le chiavi. Se una determinata chiave di codifica viene data a un unico destinatario del messaggio la sua risposta potrà essere decodificata grazie alla mia chiave, ma sarà rintracciata anche la chiave che era stata assegnata al destinatario.
[tit:La firma digitale] Spesso si confonde l'utilizzo dell'espressione firma digitale con la cifratura dei messaggi. La firma digitale è resa possibile grazie all'utilizzo di un sistema ibrido tra cifratura a chiave simmetrica e asimmetrica (proprio sfruttando all'inverso le proprietà delle chiavi pubbliche e private). Il sistema ibrido funziona così: ogni utente dispone di una coppia di chiavi, all'apertura di ogni sessione è generata una chiave simmetrica ed è questa a essere criptata con la chiave pubblica di chi riceverà il messaggio e allegata insieme al messaggio stesso. Spetta a chi ricevere il messaggio di posta elettronica per prima cosa decriptare la chiave simmetrica generata dal mittente attraverso la propria chiave privata e solo dopo usare la chiave simmetrica per decriptare il messaggio. Per ottenere una firma digitale la procedura è nello specifico la seguente: i documenti codificati con la chiave privata di un utente possono essere decodificati solo dalla sua chiave pubblica. Poniamo allora il caso che si voglia creare una firma per un documento. Prima di tutto attraverso una particolare funzione si deve ricavare un'impronta del documento (funzione hash), poi si codifica questa impronta con la propria chiave privata e in questo modo si crea una firma. Con una semplice impronta del documento è praticamente impossibile tornare al documento originale e la firma stessa dipende però direttamente da quel documento e viene allegata allo stesso. Il destinatario per verificare l'autenticità deve prima decodificare il documento con la chiave pubblica del mittente e ottenere l'impronta digitale, poi confrontarla applicando di nuovo la funzione hash (pubblica) al file decrittato.
[tit:Quale soluzione di crittografia scegliere] Se il problema è la protezione dei file presenti sul disco fisso può bastare chiaramente un software di crittografia a chiave simmetrica. Sulla Rete è facile reperirne anche di gratuiti come Blowfish che permette di crittografare con chiavi fino a 448 bit. Alcuni impongono all'utente dei limiti sulla grandezza dei file che si possono proteggere (per esempio 5 Mb), ma Blowfish non è tra questi. Se invece si sta cercando una soluzione professionale, da adottare in azienda e che offra funzionalità aggiuntive e una buona integrazione con i client di posta elettronica allora sarà meglio orientarsi su un programma a chiave asimmetrica. I più conosciuti sono PGP (un software commerciale) e GnuPG, in realtà un vero e proprio progetto open source basato comunque sull'implementazione dello standard OpenPGP.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
