IT Governance, sicurezza, pervasività…

Posted on February 9, 2007 by claudio

La sensazione che ho avuto in Infosecurity, e che più persone mi hanno confermato, è che quest’anno fosse un po’ più concreta dello scorso anno, e che le cose comincino, pian piano, a smuoversi. Ma se voglio vedere cosa della sicurezza interessa alle aziende, non lo cerco a Infosecurity, lo vedo nelle aziende. In molte aziende l’idea del governo dell’IT, se non la pratica, sembra aver attecchito. Questo si porta dietro parecchie cose, compresa l’idea di mantenere il controllo del proprio sistema, con un monitoraggio continuo delle prestazioni rispetto a quelle attese e richieste per il supporto ai processi aziendali, e naturalmente questo comprende la sicurezza. Insomma, per farla breve, mi sembra di vedere due tendenze: la maggiore attenzione a capire cosa succede nei propri sistemi informativi, in modo da poter intervenire in modo efficace, e soprattutto un ruolo sempre più “sfumato” della sicurezza, che si fonde sempre più con quella che è semplicemente la buona gestione di un sistema informativo. Non quindi sicurezza come collezione di strumenti strani e persone dedicate, ma sicurezza come aspetto di una buona gestione. Gestione non solo come prestazioni e aumento di fuzionalità, ma anche come affidabilità e protezione delle informazioni. Naturalmente c’è ancora tantissima strada da fare, ma potrebbe essere la strada giusta. In fondo, la sicurezza è una proprietà di un sistema, molto più di quanto non sia una collezione di funzionalità.

Una maggiore integrazione della sicurezza nella gestione del sistema informativo comporta però probabilmente nel tempo l’assorbimento di eventuali strutture separate dedicate alla sicurezza, o almeno di una parte. Lo specialista di sicurezza diventerebbe solo uno specialista come, ad esempio, l’esperto di dbms, che non ha certo bisogno di una struttura dedicata: la sua competenza è necessaria in modo trasversale, e in più ha la gestione specifica di alcune applicazioni e di alcuni sistemi dedicati.

Ma abbiamo visto tante volte che la sicurezza integrata nella gestione del sistema informativo ha un grosso problema, e cioè che la sicurezza è una proprietà che viene sacrificata con grande facilità. Il fatto di avere una struttura separata per la gestione della sicurezza garantisce un po’ più di autonomia decisionale. Io non ho mai pensato che la sicurezza ICT si potesse realmente integrare con la sicurezza fisica, ma ho sempre creduto che gerarchicamente dovesse dipendere dalla funzione security, in modo da avere l’autonomia necessaria.

Ora, per quanto possa aumentare la sensibilità alla sicurezza nella gestione del sistema informativo, dubito che la sicurezza smetterà presto di essere una proprietà sacrificabile. Se la sicurezza deve perdere la propria indipendenza, allora per compensare diventa importante sviluppare la funzione di audit ICT nell’azienda: in molte (grosse) aziende c’è, ma la sua capacità di incidere sulla gestione troppo spesso è minima. Naturalmente, molte imprese non si possono permettere un audit interno, e quindi si spera che si rivolgano all’esterno. L’importante è che questa richiesta venga dalla direzione e non dalla gestione del sistema informativo, altrimenti trovo tutto sommato poco probabile che eventuali grossi problemi vengano effettivamente riportati e risolti: anche in questo caso si perderebbe l’indipendenza.

E dopo tutto questo rimuginare sulle prospettive e le esigenze di sicurezza delle aziende, mi sono letto il resoconto di Punto Informatico e quello di Heise sul discorso di Bill Gates ed altri alla RSA Conference. A margine, trovo interessante che il CEO di Symantec usi proprio logiche di verifica indipendente per criticare Microsoft, e che il pubblico, che è quello di una conference di sicurezza e non del CES di Las Vegas, abbia subito afferrato e apprezzato (la cosa è più chiara nell’atricolo di Heise).

È interessante anche, da Heise: Adi Shamir was unexpectedly pessimistic about the future, saying that the security of the systems we use worsens as the systems become more complex. He even went so far as to say that we would conclude 30 years down the road, that cryptography had won many battles, but lost the war for greater security. In effetti è un discorso che colpisce, se fatto alla RSA Conference, ma effettivamente la logica che uno strumento possa di per sè portare a vincere la “guerra per una migliore sicurezza” è chiaramente fallimentare; la crittografia è uno strumento senz’altro fondamentale, ma il cui ruolo di panacea è stato e viene tuttora troppo spesso sopravvalutato.

Soprattutto però, leggendo del discorso di Gates, non vedo molto di quello che realmente potrebbe interessare ad una azienda. Certo, vende sistemi operativi e deve pubblicizzare le funzionalità che ha messo nel suo nuovo prodotto, ma non sarebbe stato male vedere qualcosa di un profilo un po’ più alto. Invece, cito da Punto Informatico, Gates ha insistito sul fatto che le reti aziendali non sono più “serre di vetro” isolate da proteggere semplicemente difendendone il perimetro. “Dobbiamo stabilire cosa si può connettere a cosa, e per farlo abbiamo bisogno di un paradigma più potente”. Cose che si dicevano ormai dieci anni fa (e si dicevano anche per dire che il firewall era morto, mentre è invece talmente vivo che ormai la sua presenza è scontata quanto quella del router). E naturalmente spinge il Trustworthy Computing, come soluzione a quelle che vede essere le sfide della sicurezza (sempre da Punto Informatico): connettere i propri network e i propri servizi ad Internet, e consentire ai propri dipendenti di accedere alla rete aziendale ovunque essi si trovino e con differenti tipi di dispositivo. Anche qui, complimenti per la novità. Ma soprattutto mi ha colpito questa frase: “Solo vincendo la cruciale sfida sulla sicurezza potremo creare una nuova generazione di connected experiences che consentano alle persone di accedere alle comunicazioni, ai contenuti e alle informazioni dovunque essi si trovino“. Connected experiences? Ma per favore. Davvero sarebbe questo quello di cui le aziende hanno bisogno in termini di sicurezza, secondo Gates? Connected experiences? Le aziende casomai cercano Working experiences, dove working vale sia per funzionante che per lavorare. E maggior controllo sui propri sistemi, altro che maggiore pervasività. Quelli riportati sono discorsi da trade show di consumer electronics. Da quanto ho letto e sentito, la singola funzionalità maggiormente apprezzata di Vista, e che non richiedeva certo un sistema operativo nuovo, è l’UAC, ovvero quello che dovrebbe finalmente rendere un po’ più difficile all’utente fare danni sul proprio sistema. Questo è quello che ci si aspetta da un sistema operativo, sia a casa che in azienda. E la sfida della sicurezza, come ha ben capito Shamir, non si vince certo aggiungendo qualche nuova funzionalità ai PC.

Posted in ict, Sicurezza | Comments Off on IT Governance, sicurezza, pervasività…

Skype legge il BIOS?

Posted on February 8, 2007 by claudio

A quanto pare, Skype per Windows leggerebbe informazioni sul BIOS della macchina. Perché, non si sa. Questo conferma quanto sostengo riguardo al fatto che per l’utente comune il Trusted Computing cambia poco dal punto di vista della privacy: c’è tanta di quella robaccia sul PC medio, che non si sa cosa faccia e cosa trasmetta, che uno strumento in più cambia poco; nel senso che, se siamo disposti ad accettare la situazione attuale, allora va bene anche il Trusted Computing 😉 Piccola (auto)promozione: in coincidenza con Infosecurity sono usciti due nuovi Quaderni Clusit: “Implementazione e certificazione dei sistemi di gestione per la sicurezza delle informazioni” di Fabrizio Cirilli e “I rischi del Trusted Computing” del sottoscritto. Come sempre, per i primi sei mesi il download è disponibile solo per i soci, poi è pubblico, ma potete intanto vedere gli altri quaderni disponibili (o chiedere allo stand del Clusit una copia stampata)

Mi ha stupito quanti, anche fra gli addetti ai lavori, non sanno assolutamente cosa sia il Trusted Computing. Bene, penso che non solo lo dovrebbero conoscere gli addetti ai lavori, ma anche il cittadino medio. Date quindi almeno un’occhiata alla pagina di Wikipedia.

Posted in Sicurezza, Varie | Comments Off on Skype legge il BIOS?

Attacchi al DNS

Posted on February 8, 2007 by claudio

È stata pubblicata la notizia di un nuovo attacco ai root nameserver, significativo seppure breve. Questo tipo di attacchi unisce due problemi attualmente di difficile soluzione, e cioè gli attacchi di DoS distribuiti (DDoS) e l’accesso centralizzato al dns. Il secondo sembra una bestialità: tutti sanno che il dns è distribuito. In realtà, è distribuita la gestione; ma se dalla mia rete aziendale voglio accedere un dominio .org, devo necessariamente passare dai root nameserver, salvo poi fare caching. Allo stesso modo, se voglio accedere a un dominio .it, dovrò partire necessariamente da uno fra sei o sette indirizzi (a ognuno dei quali in realtà corrispondono certamente più sistemi, magari con architetture diverse). Questo vuole dire in pratica che se non si riesce ad accedere a questi root nameserver, si riesce ad accedere solo alla propria rete locale e, per un po’, ai sistemi che si sono contattati da poco, perché sono in cache. Molti non si accorgono del funzionamento perché le loro richieste le passano al proprio provider, il quale però segue esattamente questo meccanismo; per inciso, il fatto che tutte le richieste dei clienti passino dai server del provider è stato messo in discussione a dicembre quando c’è stato un problema tutto italiano di DDoS al dns e di connettività.

Quindi in pratica, in una Internet resiliente, distribuita, ridondata ecc. ecc. abbiamo un punto di centralizzazione, un bel single point of failure. Intendiamoci, in realtà i root nameserver sono più di uno, nessuno di essi è un s.p.f. Tuttavia, il traffico fra due zone di Internet ha bisogno che questi server funzionino, anche se sono altrove. È chiaro che sono un ottimo bersaglio per i DoS, ed è anche chiaro che si cerca di dimensionarli di conseguenza… basterà?

E arriviamo qui ai DDoS. I grossi attacchi del 2000 non si sono più ripetuti, ma ormai i DDoS sono parte della quotidianità, più piccoli ma più diffusi, grazie alle grosse botnet di cui si è più volte parlato. Già l’anno scorso, se non sbaglio, i root nameserver avevano subito un attacco significativo. Certamente chi gestisce i root nameserver starà lavorando sul dimensionamento e il controllo del traffico per evitare disservizi, ma e anche vero che un DDoS può generare ormai una quantità di traffico enorme… Nel 2000, dopo gli attacchi, si è discusso molto su come era possibile prevenire o contrastare quegli attacchi. Da allora però mi sembra che di concreto si sia fatto abbastanza poco.

E ora poniamoci un altro problema. Supponiamo che ad essere attaccati non siano i root nameserver, ma in nameserver di un dominio geografico. Naturalmente anche questi hanno le loro protezioni. Ad esempio, il dominio it ha i propri nameserver primari distribuiti in mezzo mondo. È anche vero però che difficilmente questi sistemi avranno la stessa capacità di resistere a un DDoS che possono avere i root nameserver. Cosa succederebbe allora se un attacco come quello di tre giorni fa fosse portato, che so, ai nameserver primari della Francia, o della Germania, o naturalmente anche dell’Italia? Già ora, Internet è diventata una risorsa importante: per dirne una, molta dell’interazione con il Fisco passa ormai solo via Internet. Le conseguenze di un DDoS di grandi dimensioni portato per alcuni giorni a queste infrastrutture avrebbe conseguenze notevoli, seppure non terribili. Ma nel futuro la cosa non può che peggiorare.

Soluzioni? Non è questo il contesto giusto per fare proposte, ma certamente sarebbe confortante sentire, o meglio vedere, che qualche iniziativa viene presa, non solo per mitigare gli eventuali DDoS ai root nameserver, ma per affrontare il problema in modo un po’ più organico. A prescindere dal dns, è chiaro infatti che ora come ora una piccola o media azienda non ha nessuna reale difesa nei confronti di un DDoS; al più, se si appoggia ad un provider serio (e costoso) può sperare che il provider stesso sia in grado di attivare dei palliativi, ma non è certo la situazione in cui si trova la maggior parte delle aziende.

Posted in Sicurezza | Comments Off on Attacchi al DNS