Introduzione
Ripercorrendo rapidamente la storia dell'Umanità ci si rende conto che ogni introduzione di nuova tecnologia, dalla scoperta del fuoco al motore a reazione, ha sempre comportato una rivoluzione negli usi e nei costumi.
Non sfugge a ciò neanche l'invenzione del calcolatore elettronico e le sue tante applicazioni, in particolare il suo uso come strumento di comunicazione attraverso la rete Internet. Ancora oggi, nonostante la tecnologia della grande rete abbia circa trenta anni, anche se da solo un decennio è stata scoperta dal grande pubblico, non comprendiamo ancora bene queli siano le sue potenzialità, i suoi pericoli e come stia alterando le nostre vite. Proprio quest'ultime si intrecciano sempre di più con la tecnologia informatica esponendoci, senza che quasi ce ne accorigiamo, al rischio del controllo totale come nell'incubo descritto da George Orwell nel suo romanzo più famoso "1984", o per lo meno all'uso non autorizzato o fraudolento di informazioni in nostro possesso.
Perchè la rete delle reti può essere un pericolo?
Nei nostri computer sono memorizzati dati legati alla nostra vita privata o professionale e questi sono alla portata di altri. L'era pre-internet ci ha abbituati a pensare, erroneamente, che qualsiasi informazione memorizzata nel nostro PC fosse al riparo da occhi indiscreti. Il collegamento del PC alla rete è stato assimilato come una naturale estensione della "memoria" del nostro PC, trascurando un piccolo, ma pericolossisimo, dettaglio: anche le nostre risorse entrano a far parte della grande rete all'atto della connessione. Certo non è così facile ottenerne l'accesso per una persona priva di un'adeguata preparazione, ciò non si significa che prima o poi non si rischia di imbattersi in malintenzionati che usano la rete per rubare o alteriare informazioni per il proprio torna conto. Per fortuna è possibile difendersi, anzi in diversi stati, le aziende ed enti pubblici o privati sono tenuti a dotarsi di un adeguato piano di sicurezza informatica, soprattutto se per le loro attività sono custodi di dati sensibili di terze parti. Questo è quanto emerso dai 4 incontri con Nicola Barberini della Studio Delta s.r.l. di Bari tenutisi presso la 1ª Facoltà di ingegneria del Politecnico di Barinell'ambito del corso di formazione su "la gestione della sicurezza nelle reti informatiche" facente parte del Progetto Poliorienta all'interno del "Programma Operativo Nazionale per le ragioni dell'obiettivo 1
Ricerca scientifica, Sviluppo tecnologico, Alta formazione".
Gli obiettivi del corso erano quelli di fornire agi allievi le conoscenze di base necessarie per identificare le minacce alla protezione aziendale, le vulnerabilità dei sistemi informativi e conseguire la competenze per risponderea qualsiasi incidente informatico secondo gli schemi predefiniti.
Nicola Barberini dopo aver descritto gli obiettivi della sicurezza (confidenzialità, integrità, e disponibilità) ha rapidamente, ma dettagliatamente, descritto gli strumenti più comunemente utilizzati per conseguire la sicurezza, come l'accoppiata login/password e dei criteri che portano a scegliere una buona password e del perchè sia mportante che questa abbia una data di scadenza. Per rendere ancora più evidente il pericolo ha mostrato come un cracker può, in pochi secondi, individuare una password poco sicura (weak password) con un programma basato sul dictionary attack, mentre per una password più sicura (strong password) è necessario adottare una strategia di tipo brute force attack che può richiedere alcuni mesi di elaborazione ininterrotta su di un comune PC prima di dare i suoi frutti. Un'altra alternativa oggi disponibile è l'uso di dati biometrici in luogo della accoppiata login/password, anche se è ancora poco sfruttata soprattutto per l'elevato costo dei sensori e la loro scarsa affidabilità che apre le porte a possibili raggiri.
Il relatore ha anche illustrato il modello ISO/OSI dedicando maggiore attenzione ad una particolare implementazione del Transport Layer e del Network Layer noti con l'acronimo di TCP/IP, e sui quali si basa l'infrastruttura Internet. Si è parlato soprattutto di alcune sue caratteristiche, che sebbene siano nate per rendere più affidabile la rete, si sono poi rilevate un potente grimaldello nelle mani esperte dei cracker. Sono state illustrate le più comuni tecniche di attacco via rete: Arp poisoning,
IP Spoofing, Syn-Ack attack, Session hijacking, ICMP flooding, ICMP Nuke, Ping Pattern, SSPing, Smurf, e-bombing, Tear-drop, Land, Man in the middle,... Alcuni dei citati attacchi mirano al Denial of
Service (DOS), ovvero impedire ad un server di erogare i propri servizi saturando le sue capacità, altri sono veri e propri sistemi di intrusione e di intercettazione. In entrambi i casi si tratta di reati gravi puniti in Italia ed in molti altri stati con l'arresto.
Si è anche vista una tecnica per montare come dispositivo locale un'unità di massa remota semplicemente conoscendo l'indirizzo IP dell'host e confidando nell'imperizzia del suo utente/amministratore. Anche questa caratteristica è nata con i migliori propositi: garantirsi un accesso remoto per fare manutenzione dell'Host in remoto.
Analisi di un attacco
Nicola Barberini, prima di passare alle contromosse, ha fatto una disamina sulle varie fasi che caratterizzano un attacco informatico:
1) footprinting: collezione di quante più imformazione possibili sul sitema da attaccare.
2) scannig: individuazione delle vulnerabilità presenti nel sistema.
3) enumeration: si cerca di carpire i dati degli account (login/password) interrogando il database degli utenti.
4) gaining access: si cerca di fare il login da remoto con informazioni a disposizione.
5) escalating privilege: si cerca di raggiungere il livello più alto nella gerarchia degli utenti.
6) pilfering: si rubano le informazioni
7) covering tracks: si rimuovono le tracce dell'attacco distruggendo i file si log.
8) backdoor: si installa del malicious code per garantirsi un accesso più facile in futuro.
Tutti gli attacchi vengono perpretati sfruttando dei servizi disponibili, in gergo internet: porta. Una porta è un numero che all'interno di un socket identifica un servizio, per questo è bene rimuovere tutti i servizi non strettamente necessari chiudendo le porte ai malintenzionati. Sui sistemi Windows è possibile visionare le porte presenti con ActivePort (un programma freeware), mentre da MS-DOS o sotto Linux è possibile avere le medesime informazioni con il comando: netstat.
Possibili contromosse preventive
Un modo molto comodo di sbarrare le porte è il ricorso al Firewall (n.d.a.erroneamente tradotto in italiano con muro di fuoco, mentre si tratta della paratia taglia fuoco) che si frappone tra il mondo esterno e quello interno sia esso la LAN aziendale o il singolo computer casalingo. Il Firewall si comporta come una sorta di dogana informatica dando gli strumenti all'amministratore di sistema per decidere cosa possa entrare o uscire. Da solo il Firewall garantisce già un ottimo levello di protezione, ma per soggetti più esigenti o più esposti di altri ad attacchi informatici è bene arricchire la dotazione con un Intrusion Detection System e/o una DeMilitarizzed Zone.
L'IDS è una sorta di sensore che analizza i pacchetti al fine di individuare i pattern delle tipologie note di attacco e dare l'allarme prima che l'intrusione abbia esito. La DMZ invece è una zona franca ottenuta tra 2 firewall dove è possibile installare i server (web, mail, ftp, exchange, ...) che dovranno interagire con il mondo esterno. Il primo firewall difende il perimetro da eventuali attacchi esterni, il secondo impedisce che una volta violati i server il cracker possa raggiungere agilmente la LAN e attraverso questa tutte le altre macchine presenti nella rete locale.
Un'altra possibilità consiste nel utilizzare una macchina come Gateway verso internet, anch'essa protetta da un firewall ed eventualmente da un IDS, che esegua l'IP-NAT e contemporaneamente il PAT, ovvero gli IP interni sono mascherati dall'IP del Gateway, ma allo stesso tempo anche il numero di porta dei vari socket viene alterato, in questo modo il cracker di turno non sa quale macchina attaccare e quale servizio sfruttare.
Ultimamente sta prendendo piede l'uso di connessione peer-2-peer protette, che grazie l'"icomiabile" opera dei giornalisti il grande pubblico ha erroneamente associato al file-sharing e allo scaricare brani musicali in formato mp3. Il P2P è una forma di comunicazione diretta tra due macchine, che usano la rete solo come vettore per lo scambio di informazioni. La più diffusa tecnologia P2P è la Virtual Private Network, che consente di connettere via internet due computer remoti come se facessero parte di una LAN. Ciò è molto comodo per le aziende che hanno agenti o filiali sparse sul territorio. Il vantaggio delle VPN è che le comunicazioni avvendono in modo autenticato (riconoscimento delle entità in gioco) e criptato, solo chi ha le credenziali giuste può entrare nella LAN virtuale.
Come si risponde ad un attacco?
L'errore più comune è quello di spegnere la macchina e/o di non denunciare l'accaduto alla Polizia Postale delle Comunicazioni. Affinchè sia possibile per la PPC rintracciare l'aggressore è necessario preservare quante più informazioni possibili sull'attacco e spegnere la macchina non fa altro che aiutare il cracker nel camuffare le sue scorribande. E' bene procedere nel modo seguente:
1) scollegare fisicamente la macchina dalla rete sia esterna che interna.
2) fare immediatamente un backup integrale dei dischi.
3) ripristinare il sistema partendo dalla cancellazione totale del contenuto dell'harddisk
4) valutare se sia necessario elevate il sistema di protezione
5) procedere alla denuncia fornendo i backup alla PPC.
Tra le altre cose si è parlato di malicious code (virus, worm, tojan, keylogger) e come questi possano vanificare la sicurezza del sistema ottenuta mediante l'uso di file system o connessioni criptate, costosi sistemi anti-intrusione,... semplicemento intercettando dati sensibili ed inviandoli al loro creatore. A questo tipo di attacco non si deve solo rispondere installando aggiornati anti-virus e anti-spyware, ma con una adeguata formazione del personale che deve ben conoscere quali siano i richi derivanti dal eseguire sulla propria macchina software non autorizzato dall'amministratore o dall'aprire allegati di dubbia provenienza.
Conclusioni
L'iscrizione al corso era riservata a soli 150 studenti del Politecnico previo superamento di un test di autovalutazione delle conoscenze pregresse necessarie. Stranamente le conoscenze conseguite nel corso degli studi per molti sono risultate inadeguate, incontrando così grosse difficoltà nel rispondere a molte domande del test. Alla fine tutti i richiedenti sono stati ammessi indipendemente del risultato conseguito, per molti però è risultato ostico star dietro al relatore, sebbene questo si sia ben guardato dallo scendere troppo in dettaglio. Per fortuna l'incontro ha stimolato la voglia di molti di documentari ulteriormete sugli argomenti trattati ed ha convito anche i pochi riottosi ad installare per lo meno antivirus sulla loro macchina.
Ancora una volta non si può che rammaricarsi della mancanza, come al Seminario sui sistemi alternativi al binomio, dei rapprensentanti del corpo docente, e dalla scarsa promozione dell'evento fatta dal Politecnico.