Capitolo 1. Panoramica sulla sicurezza

A causa del continuo ricorso a potenti computer che aiutano le aziende nella loro gestione e nel mantenimento delle informazioni del proprio personale, le industrie hanno potuto creare una pratica molto importante, e cioè quella di rendere sicuri le loro reti ed i loro computer. Gli Enterprise hanno stimolato la conoscenza e l'abilità degli esperti sulla sicurezza, e conseguentemente a verificare propriamente i sistemi e adattare le soluzioni per far fronte ai requisiti operativi dell'organizzazione. A causa di queste organizzazioni, che sono di natura molto dinamiche, e che consentono l'accesso ai propri dipendenti alle risorse IT sia in modo remoto che in modo locale, la necessità di avere degli ambienti informatici sicuri è diventata sempre più rilevante.

Sfortunatamente, molte organizzazioni (così come singoli utenti) considerano il fattore sicurezza come un fattore secondario, un processo che si può trascurare in favore dell'aumento della potenza, della produttività, e delle considerazioni di carattere finanziario. Una sua implementazione, viene spesso intrapresa postmortem — cioè dopo il verificarsi di una intrusione da parte di un utente non autorizzato. Gli esperti nel campo della sicurezza, concordano che le misure più idonee sono quelle prese prima del collegamento ad una rete non fidata, come ad esempio Internet, tale provvedimento aiuta in modo efficace a contrastare i tentativi d'intrusione.

1.1. Cosa significa sicurezza del computer?

La sicurezza è un termine generale che copre una vasta area informatica e di elaborazione delle informazioni. Le industrie che dipendono da sistemi computerizzati e di rete, per poter condurre operazioni commerciali giornaliere e per poter accedere a informazioni importanti, considerano i propri dati tra i beni più importanti in loro possesso. Numerosi termini sono entrati a far parte del vocabolario commerciale, come ad esempio total cost of ownership (TCO) 'costo totale di proprietà' e 'qualità del servizio' quality of service (QoS). Con questi termini le industrie riescono a calcolare molti aspetti come ad esempio l'integrità dei dati e l'alta disponibilità, come parte dei costi di gestione e di programmazione. In alcune aziende, come quelle elettroniche, la disponibilità e la sicurezza dei dati può rappresentare la differenza tra successo e fallimento.

1.1.1. Come si è arrivati a considerare la sicurezza di un computer

Molti lettori possono ricordare il film "Wargames," con Matthew Broderick che interpreta uno studente di scuola superiore in grado di introdursi nel supercomputer del Dipartimento di Sicurezza degli Stati Uniti d'America (DoD), causando inavvertitamente una minaccia di guerra nucleare. In questo film, Broderick usa il suo modem per collegarsi con il computer del DoD (chiamato WOPR) giocando con il software del calcolatore, controllando missili nucleari. Il film fu lanciato durante la "guerra fredda" tra la ex Unione Sovietica e gli Stati Uniti, e fu considerato nel 1983 un gran successo. La popolarità di questo film, ha ispirato migliaia di individui e gruppi, ad usare alcuni dei metodi usati dal giovane protagonista, per neutralizzare sistemi ristretti, incluso il war dialing — un metodo di ricerca dei numeri di telefono per collegamenti di modem analogico,in un codice di area definita e una combinazione del prefisso telefonico.

Dopo più di dieci anni, di cui quattro inerenti ad una battaglia legale tra il Federal Bureau of Investigation (FBI) e il sussidio degli informatici, Kevin Mitnick considerato un 'computer cracker', fu arrestato e condannato a causa di 25 infrazioni inerenti a frode nell'accesso informatico, causando una perdita di 80 Milioni di dollari in beni e source code da parte della Nokia, NEC, Sun Microsystems, Novell, Fujitsu, e Motorola. In quei tempi, l'FBI ha considerato tale operazione, come il crimine più grande effettuato da un singolo utente nella storia degli Stati Uniti. Kevin Mitnick fu condannato per il suo crimine a 68 mesi di detenzione, dei quali, ne ha scontato 60 prima di essere rilasciato il 21 Gennaio 2000. In aggiunta, egli fu interdetto dall'uso dei computer fino al 2003. Gli investigatori hanno dichiarato che Mitnick era un esperto in social engineering — e cioè nell'uso di esseri umani per poter ottenere le password e quindi un accesso ai sistemi utilizzando delle credenziali false.

La sicurezza delle informazioni si è evoluta con gli anni, questo a causa dell'aumento della dipendenza delle reti pubbliche nel rilasciare informazioni personali, di carattere finanziario e altre informazioni riservate. Vi sono numerosi esempi, come nel caso di Mitnick e Vladamir Levin, (consultate la Sezione 1.1.2 per maggiori informazioni) che hanno portato molte organizzazioni a rivedere la loro politica sulla gestione della trasmissione ed emissione di dati importanti. La popolarità di Internet ha comportato un maggiore sforzo nell'intensificare lo sviluppo della sicurezza dei dati.

Sempre più utenti usano il proprio personal computer per ottenere accesso alle risorse offerte da Internet. Dalla ricerca delle informazioni, alla posta elettronica e alle operazioni di carattere commerciale, Internet è stato definito come uno dei mezzi più importanti sviluppati nel ventesimo secolo.

Internet e i protocolli che lo hanno preceduto, tuttavia, sono stati sviluppati come sistemi fidati. Cioè, il protocollo Internet non è stato creato per essere nel suo insieme sicuro. Non vi sono standard di sicurezza approvati, creati all'interno delle comunicazioni TCP/IP, tale assenza rende possibile una intrusione da parte di potenziali aggressori o da parte di alcuni processi. Gli sviluppi moderni hanno fatto di Internet un sistema più sicuro, purtroppo però si verificano ancora diversi incidenti che aumentano la nostra considerazione nel fatto che niente è completamente sicuro.

1.1.2. Cronologia della sicurezza del computer

Diversi eventi chiave hanno contribuito alla nascita e allo sviluppo della sicurezza del computer. Di seguito vengono riportati alcuni degli eventi più importanti che hanno richiesto una maggiore attenzione sulla sicurezza delle informazioni e del computer, e sulla sua importanza oggi.

1.1.2.1. Negli anni 30 e 40

  • Alcuni crittografi polacchi inventarono nel 1918 la macchina Enigma, un dispositivo composto da un rotore elettro-meccanico il quale converte i messaggi di testo in codice. Ideato originariamente per rendere sicure le comunicazioni bancarie, le forze armate tedesche lo hanno usato per le loro comunicazioni durante la Seconda Guerra Mondiale. Un brillante matematico di nome Alan Turing, è stato in grado di sviluppare un metodo per decodificare i codici di Enigma, permettendo alle forze alleate di sviluppare Colossus, una macchina che a detta di molti, è stata in grado di far terminare la Seconda Guerra Mondiale un anno prima.

1.1.2.2. Negli anni 60

  • Gli studenti del Massachusetts Institute of Technology (MIT) provenienti dal Tech Model Railroad Club (TMRC), iniziano l'esplorazione e la programmazione del sistema principale PDP-1 della propria scuola. Il gruppo ha coniato il termine "hacker" nel contesto da noi conosciuto.

  • Il DoD crea l'Advanced Research Projects Agency Network (ARPANet), il quale diventa molto diffuso nella ricerca e nei cicli accademici come condotto per gli scambi elettronici di dati e delle informazioni. Questo spiana la strada alla creazione della rete conosciuta oggi come Internet.

  • Ken Thompson sviluppa il sistema operativo UNIX, ampiamente riconosciuto come il sistema operativo più "hacker-friendly" a causa dei suoi strumenti di sviluppo e di compiler facilmente accessibili, e per il suo appoggio alla comunità. Nello stesso periodo, Dennis Ritchie sviluppa il linguaggio di programmazione C, discutibilmente il linguaggio hacking più conosciuto nella storia del computer.

1.1.2.3. Negli anni 70

  • Bolt, Beranek, e Newman, una società appaltatrice per lo sviluppo e la ricerca informatica per gli enti governativi e di sviluppo, ha creato il protocollo Telnet, una estensione pubblica di ARPANet. Questo passo favorisce l'uso pubblico dei dati di rete, ristretti una volta ai soli appaltatori di enti governativi e ai ricercatori accademici. Telnet, secondo alcuni ricercatori sulla sicurezza, è anche il protocollo più insicuro per reti pubbliche.

  • Steve Jobs e Steve Wozniak fondano Apple Computer e iniziano il marketing del Personal Computer (PC). Il PC rappresenta il trampolino per diversi utenti 'maliziosi' per imparare 'l'arte' di introdursi nei sistemi in modo remoto usando un comune hardware di comunicazione PC come modem analogici e war dialer.

  • Jim Ellis e Tom Truscott creano USENET, un sistema di tipo bulletin-board per comunicazioni elettroniche tra gli utenti. USENET diventa subito uno dei forum più usati per lo scambio di idee nel campo informatico, del networking e naturalmente del cracking.

1.1.2.4. Negli anni 80

  • IBM sviluppa e mette in commercio PC basati sul microprocessore Intel 8086, un'architettura relativamente poco costosa, che porta l'informatica dall'ufficio a casa. Ciò serve a facilitare l'accesso al PC, considerandolo come uno strumento comune e accessibile, ragionevolmente potente e facile da usare, portando ad una proliferazione di hardware nelle case e negli uffici di utenti maliziosi.

  • Il Transmission Control Protocol, sviluppato da Vint Cerf, è diviso in due parti separate. Da questa divisione è nato Internet Protocol, e il protocollo TCP/IP combinato diventa lo standard per tutte le comunicazioni Internet di oggi.

  • Basata sullo sviluppo nell'area di phreaking, o esplorando ed effettuando un hacking del sistema telefonico, nasce la rivista 2600: The Hacker Quarterly che inizia la discussione di argomenti del tipo come infiltrarsi in un computer e computer network, per un pubblico molto numeroso.

  • La banda 414 (così chiamata a causa del numero civico dell'abitazione dei componenti della stessa, i quali portarono a termine il loro tentativo di hacking) viene sgominata dalle autorità, dopo nove giorni di attività, culminati con l'introduzione all'interno dei sistemi, da località top-secret come ad esempio il Los Alamos National Laboratory, di un centro di ricerca sulle armi nucleari.

  • La Legione delle avversità 'Legion of Doom' e il Chaos Computer Club rappresentano due gruppi cracker che iniziarono a sfruttare le vulnerabilità dei computer e dei dati elettronici delle reti.

  • Fu approvata dal congresso la legge contro le frodi informatiche, la Computer fraud e Abuse Act del 1986, basata sullo sfruttamento informatico di Ian Murphy, conosciuto anche come Captain Zap, il quale riuscì ad introdursi nei sistemi informatici militari, a rubare informazioni dai database, riuscendo anche ad usare alcuni centralini telefonici di proprietà del governo, per effettuare chiamate telefoniche.

  • In base alla Computer Fraud e Abuse Act, la corte riuscì a condannare Robert Morris, appena laureato, per aver rilasciato il Morris Worm 'verme di Morris' su oltre 6000 computer collegati a Internet. Il secondo caso più eclatante affrontato grazie a questa legge, fu quello di Herbert Zinn, uno studente di scuola superiore che riuscì ad introdursi e ad usare impropriamente, sistemi appartenenti a AT&T e al DoD.

  • In base alle preoccupazioni che un caso Morris Worm si potesse ripetere, viene creato il Computer Emergency Response Team (CERT), per allertare gli utenti di computer.

  • Clifford Stoll scrive The Cuckoo's Egg, basato sulla sua investigazione sui cracker che sono riusciti a introdursi nel suo sistema.

1.1.2.5. Negli anni 90

  • ARPANet viene sospesa. Il traffico dalla suddetta rete viene trasferito su Internet.

  • Linus Torvalds sviluppa il kernel di Linux per l'uso con i sistemi operativi GNU, lo sviluppo ed il successo di Linux, è dovuto alla collaborazione di utenti e di sviluppatori in comunicazione tramite Internet. A causa delle sue radici in UNIX, Linux è molto diffuso tra gli hacker e gli amministratori, i quali lo preferiscono per la costruzione di alternative sicure, rispetto alla consuetudine nell'uso da parte dei server di sistemi operativi privati (closed-source).

  • Viene creato il web brouser grafico, causando un aumento della domanda per un accesso pubblico di Internet.

  • Vladimir Levin con alcuni complici, riesce a trasferire illegalmente 10 Milioni di dollari in diversi conti, infiltrandosi nel database centrale della CitiBank. Levin viene arrestato dalla Interpol, che recupera quasi l'intera somma.

  • Forse il più rappresentativo degli hacker è Kevin Mitnick, il quale è riuscito ad introdursi in diversi sistemi corporativi, riuscendo ad impadronirsi di informazioni personali appartenenti a personalità molto importanti, oltre 20000 carte di credito e source code per proprietari di software. Venne arrestato per frode e condannato a cinque anni di reclusione.

  • Kevin Poulsen con un complice ancora sconosciuto, riuscì a manipolare i sistemi telefonici di una stazione radio, riuscendo a vincere diverse auto e premi in denaro. Fu arrestato per frode e condannato a cinque anni di reclusione.

  • Molte storie relative alle azioni di hacking e phreaking divennero leggenda, e molti di questi crackers partecipano al convegno DefCon annuale per celebrare il cracking,scambiandosi idee in merito.

  • Uno studente israeliano di diciannove anni viene arrestato e imprigionato per aver coordinato numerose violazioni dei sistemi governativi degli Stati Uniti durante il conflitto del Golfo Persico. Alti esponenti militari lo chiamarono "l'attacco più organizzato e sistematico" dei sistemi governativi nella storia degli Stati Uniti.

  • L'Attorney General degli Stati Uniti Janet Reno, per contrastare l'aumento delle violazioni sulla sicurezza nei sistemi governativi, stabilisce il National Infrastructure Protection Center.

  • I satelliti di comunicazione britannici vengono sequestrati da aggressori sconoisciuti. Successivamente il governo britannico ripristinerà il proprio controllo con non pochi problemi.

1.1.3. La sicurezza oggi

Nel Febbraio 2000, un attacco del tipo Distributed Denial of Service (DDoS) fu introdotto in diversi siti Internet maggiormente trafficati. Gli attacchi furono portati su yahoo.com, cnn.com, amazon.com, fbi.gov, e diversi altri siti non raggiungibili da utenti normali, poichè esso blocca i router per diverse ore a causa di un gran numero di byte ICMP per il trasferimento dei pacchetti, chiamato anche ping flood. L'attacco fu effettuato da un solo aggressore, usando programmi specialmente creati per la ricerca di punti deboli sui server della rete, installando applicazioni client chiamati trojans sui server stessi, innondando i siti scelti rendendoli non disponibili. Molti hanno criticato il funzionamento dei router e dei protocolli in quanto essi accettano qualsiasi pachetto inviato non curandosi del loro scopo.

Tutto ciò ci catapulta nel nuovo millennio, un periodo in cui 945 Milioni di persone usano o hanno usato Internet (Computer Industry Almanac, 2004). Allo stesso tempo:

  • In media giornaliera, ci sono circa 225 incidenti gravi inerenti la violazione della sicurezza, riportati al CERT Coordination Center at Carnegie Mellon University. [1]

  • Nel 2003, il numero di incidenti riportati al CERT è salito a 137,529, da 82,094 nel 2002 e 52,658 nel 2001.[2]

  • L'impatto economico mondiale dei tre virus Internet più pericolosi degli ultimi tre anni, è stato estimato in 13.2 Bilioni di dollari. [3]

La sicurezza è divenuta una spesa quantificabile e giustificabile per tutti i budget del settore IT. Organizzazioni che richiedono un'alta disponibilità e una integrità dati, necessitano di amministratori di sistema, di sviluppatori e di ingegneri, in grado di assicurare un'affidabilità sette giorni su sette, ventiquattro ore su ventiquattro, dei loro servizi, sistemi e delle informazioni. L'essere vittima di attacchi coordinati, e di utenti maliziosi, può risultare in un insuccesso dell'intera organizzazione.

Sfortunatamente, la sicurezza di una rete o di un sistema può essere un orgomento molto difficile da affrontare, in quanto esso richiede una conoscenza articolata di come una organizzazione trasmette, manipola, e usa le proprie informazioni. Capire come una organizzazione (e le persone che la compongono) conduce il proprio lavoro, è essenziale per poter implementare un programma di sicurezza adeguato.

1.1.4. Standardizzazione della Sicurezza

Le imprese in ogni campo si affidano alle regole implementate da grandi corporazioni come l'American Medical Association (AMA) o l'Institute of Electrical and Electronics Engineers (IEEE). Gli stessi ideali vengono usati per garantire la sicurezza delle informazioni. Numerosi consulenti della sicurezza e molti rivenditori, fanno riferimento al modello di sicurezza rappresentato dalla CIA o Confidentiality, Integrity, and Availability. Questo modello, è una componente accettata generalmente e usata per assegnare un livello di rischio alle informazioni sensibili, stabilendo una policy di sicurezza. Di seguito viene riportato il modello CIA in modo più dettagliato:

  • Riservatezza — Informazioni sensibili che devono essere disponibili solo a determinati individui. La trasmissione non autorizzata e il suo uso, deve essere limitata. Per esempio, la riservatezza delle informazioni, assicurano che la informazioni personali o finanziarie di un cliente, non vengano possedute da personale non autorizzato e usate a scopo di lucro, come ad esempio il furto d'identità o la frode finanziaria.

  • Integrità — Le informazioni non dovrebbero essere alterate in modo da renderle incomplete o incorrette. Gli utenti non autorizzati dovrebbero essere banditi dalla possibilità di modificare o distruggere informazioni sensibili.

  • Disponibilità — Le informazioni dovrebbero essere accessibili a utenti autorizzati ogni qualvolta sia necessario. La disponibilità rappresenta la garanzia che le informazioni possano essere ottenute con un accordo, in base alla frequenza e in modo illimitato. Questo viene misurato in termini di percentuale e accettato in modo formale nel Service Level Agreements (SLA), usato dai provider del servizio di rete e dai loro client enterprise.

Note

[1]

Source: http://www.cert.org

[2]

Source: http://www.cert.org/stats/

[3]

Source: http://www.newsfactor.com/perl/story/16407.html