Sicurezza, ICT e altro

Fioccano le analisi “post mortem” degli attacchi in Estonia (vedi ad esempio qui, qui, qui e qui). A bocce ferme naturalmente è abbastanza evidente che quanto è successo non si qualifica come “cyberterrorismo” (che continuo a ritenere improbabile allo stato attuale) e difficillmente si qualifica come “cyberwar”. Tuttavia, ho parecchie perplessità riguardo alle motivazioni per cui viene scartata l’ipotesi della “guerra”. Spafford ad esempio dice: ” Basically, in Estonia there was a massive outbreak of cyber vandalism and cyber crime”. Tuttavia, per quanto ne so i “vandali e criminali” erano tutti di un paese, e le vittime tutte di un altro, comprese le relative istituzioni, al punto da mettere in difficoltà lalcune importanti istituzioni e aziende. Dice EWeek: “There was something special about the Estonian attack, which hasn’t been seen before on this scale: It wasn’t just the hacker groups who attacked, it was the population”. Io ovviamente non sono in grado di dire quale sia la versione giusta.Tuttavia, a quanto pare se succedesse agli U.S.A. la cosa sarebbe diversa 😉 Dice Bellovin: “What if someone said: Pay us $100 million or the denial-of-service attack that took out the electrical grid in California is going to happen again?’ Bellovin asks. ‘That would be an act of war. And from a military perspective, every major country is looking at attacks and defenses on this issue.” Ma il punto principale non è certo la definizione di cosa sia una “cyberwar”, anche se certamente sarebbe utile definirla per stabilire quando uno Stato diventa responsabile per le azioni dei propri cittadini nei confronti di un altro Stato.

Se è vero che gli attacchi sono aumentati significativamente dopo la diffusione su alcuni siti in lingua russa di istruzioni su come praticare questo tipo di attacchi, allora è questo, e non la mancanza di sofisticatezza o intensità, il vero aspetto significativo degli attacchi: vuole dire che è diventato realmente alla portata di “chiunque” praticare DDoS, e possiamo facilmente immaginare come azioni impunite di questo tipo possano creare la mentalità per cui sia un modo praticabile, se non legittimo, di far valere le proprie posizioni nei confronti di un altro paese. Dice giustamente Network World: “However, experts fear that we could be entering an era of more frequent politically motivated attacks and that commercial networks will be targeted”. Motivati politicamente ed economicamente, direi. E non solo da parte di gruppi di cittadini, ma anche come strumento di pressione da parte dei governi nei confronti di Stati di cui non apprezzano la politica, anche senza arrivare a una guerra. Ovviamente gli Stati Uniti di questo aspetto (governi che fanno pressione) non si preoccupano, perché date la loro posizione e tecnologia è più facile che siano fra chi esercita la pressione che fra chi la subisce. Già però l’Italia, nella veste ad esempio delle proprie aziende che operano all’esterno, può essere in una posizione meno tranquilla. Certamente la maggior parte dei governi del mondo e delle aziende (il mondo non è fatto solo di Google o di siti del DoD) non avrebbe di che stare tranquilla di fronte a un problema come quello avuto dall’Estonia. Ci possiamo apettare che questo diventi il tallone d’Achille delle infrastrutture di molti paesi; non mi riferisco alle Telco, ma alle infrastrutture che attraverso Internet offrono servizi ai cittadini o semplicemente comunicano per svolgere le proprie attività.

E’ significativo anche il fatto che, come riporta nuovamente NetworkWorld, “they lasted for weeks, not hours or days, which is much longer than we’ve seen for most of these attacks in the past”. In effetti, non ricordo di aver sentito che il governo russo abbia partecipato alla ricerca degli autori degli attacchi… se non l’ha fatto, di principio gli attacchi avrebbero potuto continuare per un tempo anche maggiore. Anche per questo sarebbe un pessimo precedente.

E allora? Prima di tutto, è necessario aumentare la ricerca e lo studio di soluzioni che rendano meno praticabili questi attacchi di DDoS, che rendano l’intera Internet più resistente, e non solo cercare come mitigare gli attacchi una volta lanciati con successo. Su questo fronte, dopo un guizzo di interesse quando il problema dei DDoS si è diffuso, vedo pochi sviluppi se non soluzioni basate sulla capacità di “gestire banda e macinare numeri”, che al momento sembrano l’unica cosa disponibile. Soprattutto, è necessario che i paesi siano in grado di reagire. Dice EWeek: “It’s very likely that all three categories of infrastructure would have ceased operation for the duration of the attacks if it had not been for the efforts of incident responders in both Estonia and abroad, who leveraged cooperation and open information sharing to blunt the attacks… <omissis>…The Estonian response was nothing short of incredible”. Quanti altri Stati sono preparati a reagire ad attacchi di questo tipo? Sia chiaro che non credo che l’Italia possa subire un attacco all’insieme delle proprie infrastrutture critiche, nella logica della cyberwar. Ma nello stesso tempo, non credo che l’atteggiamento alla “been there, done that” di molti commentatori statunitensi possa essere portato all’Italia, se non altro perché i nostri grossi siti sono decisamente più piccoli e vulnerabili di Google.

Credo invece che ci sia bisogno di intervenire in una logica di protezione civile. Siamo (tutto sommato) in grado di intervenire quando pochi vandali o criminali riescono a causare incendi contemporanei in diverse aree: attacchi abbastanza ampi da non essere gestibili con azioni isolate, ma nel complesso non tanto da poter essere emergenze nazionali. Allo stesso modo dovremmo essere in grado di intervenire se parti della nostra infrastruttura informatica vengono colpite, senza lasciare cittadini e piccole imprese ad un’autogestione che non sono in grado di affrontare, ma nello stesso tempo senza sprecare risorse nella prevenzione di improbabili “attacchi totali”(le stesse risorse continuano ad essere spese meglio nella lotta agli incendi e alle inondazioni). Per questo, serve che i cittadini possano avere dei riferimenti certi, esattamente come hanno il 115 per gli incendi, e che ci sia un’adeguata formazione, in modo da sapere cosa fare e a chi rivolgersi in caso di difficoltà, senza dover improvvisare. Mi riferisco chiaramente ad un supporto nella gestione dell’emergenza e nella mitigazione degli attacchi, non nell’attività di indagine e repressione, per la quale c’è già la Polizia Postale.

Si continuano a leggere statistiche sul rapporto fra utenti e sicurezza e sull’incidenza degli attacchi, del phishing in particolare, sugli utenti domestici. Nel complesso sembra che si dica tutto e il contrario di tutto. Qualche esempio: Heise cita un rapporto (non specifico) dal quale si dedurrebbe che gli utenti si sentono relativamente tranquilli e non subiscono gravi danni. Heise lo considera però “unrealistic attitudes to internet security”. Un altro rapporto commissionato da Microsoft dice invece che “one in five US based Internet users has fallen victim to an online scam”. Credo che se un utente su cinque avesse avuto un danno effettivo da un “Internet scam” (a meno che questo numero non comprenda le infezioni da virus), Internet non la userebbe nessuno. Gli studi di settore purtroppo, per “fare numero”, tendono a includere nel “fallen victim” qualsiasi cosa. Quello che servirebbe invece è una misura del danno effettivo subito, ad esempio, da quel 2% che dichiara nel primo rapporto di aver subito un furto di credenziali bancarie. Se l’eventuale danno se l’è magari accollato la banca, come succede ad esempio spesso nel caso delle clonazioni, l’utente ne esce oltretutto con un impatto minimo o nullo.

Credo che questi rapporti, o posizioni come quella di Heise nei confronti del rapporto dell’Oxford Internet Institute, siano uno dei motivi ci sono spesso problemi nel fare sensibilizzazione sul tema della sicurezza, cosa che poi si traduce in poco mercato, in clienti scettici e in un ambiente nel complesso meno sicuro di quanto potrebbe essere. Chi si occupa di sicurezza (sto generalizzando in modo grossolano, lo so, ma mi includo comunque nel gruppo) tende spesso ad avere un approccio del tipo: “Io so che i problemi di sicurezza ci sono; se mi dici che non ne hai, vuole dire che non te ne sei accorto”. Naturalmente la cosa ha un fondo di verità: sappiamo che un furto di dati è una cosa che può facilmente passare inosservata, che il tempo perso a causa di attacchi (ripristino dei sistemi, supporto agli utenti) è un costo spesso trascurato, sappiamo per esperienza che la sicurezza della maggior parte dei sistemi informativi può essere violata con relativa facilità e sappiamo che un sistema connesso a Internet viene attaccato con tale frequenza che un sistema domestico appena installato ha ottime probabilità di essere attaccato prima ancora di aver finito di scaricare gli aggiornamenti di sicurezza. Facciamo due più due, o almeno riteniamo di farlo, e ne deduciamo che chi non dichiara di essere sotto assedio non sta vedendo quello che gli succede. In realtà, anche se capita di esaminare dei sistemi informativi e scoprire che sono stati compromessi, quanto spesso capita di scoprire che effettivamente c’è stato un furto di dati aziendali? Intendo dire furto, con conseguenti danni all’azienda, non una generica “compromissione” data dal fatto che c’è stato un accesso non autorizzato al sistema (di nuovo facciamo due più due…). Di fatto, statistiche affidabili sappiamo che non ce ne sono: è uno dei grossi problemi della valutazione del rischio. Di conseguenza, trasformiamo spesso il rischio in certezza, mentre l’utente/cliente al contrario trasforma il rischio in assenza di problemi. È chiaro che così non ci si può incontrare.

Tuttavia, quando si parla di utenti domestici le cose dovrebbero essere più semplici. L’utente domestico non ha chissà quali informazioni riservate. Le sue informazioni riservate sono di solito le password di accesso a siti più o meno critici (da quella dell’home banking alla registrazione su YouTube) ed eventualmente qualche informazione che può essere usata per inviargli spam. Nel complesso quindi, l’utente domestico può avere una percezione abbastanza chiara del “danno” che ha subito nel corso di un anno. Qualcuno gli ha preso soldi dal conto corrente? Qualcuno lo ha imbrogliato su un sito di commercio elettronico? Ha dovuto reinstallare qualcosa a causa dei virus, o non è riuscito a navigare perché la sua banda era utilizzata da qualcos’altro? Se nienete di tutto questo è avvenuto, l’utente può a ragione dire di non aver avuto danni, e non importa se il suo sistema era vulnerabile o è stato compromesso. Il rapporto di Oxford dice chiaramente: “Despite the objective scale of spam, mail scams and phishing, most users do not seem unduly concerned. Some 38-39 per cent of respondents in both 2005 and 2007 reported that they are not worried about email abuse overall, although the proportion concerned enough to take action has risen from 36 per cent in 2005 to 44 per cent this year. Spam, however, does not seem to loom large in this picture: only 24 per cent this year responding that they receive too much spam, and 26 per cent under the impression that they don’t receive any”. Tuttavia, Heise conclude: “Although security awareness is clearly increasing, it still appears poorly focused on the real issues”. Se l’utente non ha avuto danni, e i suoi amici non hanno avuto danni, è difficile che sia focalizzato sui “real issues”. Le persone che conosco io non hanno mai avuto danni reali (es. abuso dell’home banking) per intrusioni sul pc di casa, se non la seccatura una o due volte all’anno (i più polli) dover pagare 50 euro a qualcuno che gli reinstalla tutto. In compenso, molti hanno avuto il Bancomat clonato in un distributore o in un supermercato. Eppure, sono anni che gli diciamo che rischiano furti di credenziali sul pc… Sia chiaro, non sto dicendo che il furto di credenziali non è un rischio. Solo che dopo aver studiato la “percezione del rischio” dell’utente, bisognerebbe studiare la “percezione del rischio” del professionista. Il professionista infatti non fa altro che vedere disgrazie tutto il giorno: sistemi compromessi, notizie di nuovi attacchi ecc. e secondo me finisce, se non sta attento, per avere una visione distorta della realtà. Un po’ come farsi un’idea di com’è il mondo guardando il telegiornale: non ci sono altro che guerre e ammazzamenti. Ci dobbiamo ricordare ad esempio che lo spam esiste come tale proprio perché la percentuale di messaggi che vanno a segno è bassissima, e quindi sono necessari volumi enormi perché la cosa sia conveniente. Confrontiamo allora questa percentuale con la percentuale di successo che hanno truffatori e ladri che si presentano alle case facendosi passare per incaricati del Comune o dell’Enel, e ne dovremo dedurre che quelli che si fanno imbrogliare dallo spam sono i tonti fra i tonti. Esattamente come la maggior parte di noi  si basa sulla propria educazione e buon senso per evitare le frodi nel mondo reale, molti lo fanno con le frodi online. Con successo. Possiamo davvero chiedere agli utenti domestici di avere comportamenti di cautela che vadano oltre una normale “attenzione”? Invece, ogni studio (anche qui) sembra mostrare regolarmente che gli attacchi sono facili da portare e che molti ci cascano. Ma quanti hanno avuto realmente problemi? Chi è che ha “unrealistic attitudes to internet security”, l’utente che, come i suoi amici, in molti anni non ha mai subito una frode via Internet, nonostante ogni studio mostri come sarebbe facile, e magari ne ha subite più di una nel mondo reale, o chi gli propone di spendere anche cento euro all’anno di prodotti per la protezione del Desktop? Quello che serve sono prima di tutto dei numeri che servano realmente per capire l’incidenza del problema, dove il problema e il “rischio” devono comprendere l’impatto reale sull’utente, non ipotetiche “esposizioni di credenziali” ( e per l’utente il rischio non c’è, se il danno se lo accolla la banca…). Su questi dati reali si potranno poi correggere il rischio percepito dell’utente, magari troppo basso, e quello percepito del professionista, probabilmente invece troppo alto.

Schneier pubblica un riferimento al report dell’analisi di un server Linux compromesso. Non un granché, sia perché il rapporto non è “very techie” come dice Schenier (ma ho l’impressione che la maggior parte dei suoi lettori ormai non abbia molto a che fare con l’informatica, quindi forse per loro lo è), sia perché una volta che l’attaccante si dimentica i comandi nel .bash_history… beh, come commentano molti lettori, decisamente un dilettante 😉 Il tutto mostra oltretutto come l’analisi dei sistemi compromessi sia ancora spesso a sua volta svolta in modo amatoriale (di nuovo, basta leggere i giusti commenti di molti lettori).

Comunque, il server compromesso era Linux… no, ovviamente non ce l’ho con Linux. Il problema è la troppa attenzione al prodotto anziché al suo utilizzo. Se qualcuno vi chiedesse con quale modello d’auto capitano più incidenti, probabilmente cadreste dalle nuvole: sappiamo che quello che conta maggiormente è l’autista e, secondariamente, lo stato dell’auto; il modello ha importanza soprattutto per le conseguenze dell’incidente. Eppure, quando si parla di sicurezza dei sistemi, si perde un sacco di tempo a cercare quale sia “il sistema più sicuro”; se si spendesse altrettanto tempo chiedendosi quali siano le pratiche corrette per la gestione, probabilmente funzionerebbe tutto meglio. Ed a proposito del disegno (prima ancora della gestione) di sistemi sicuri, consiglio questo paper del SANS:”Can you build a Defense in Depth architecture without an architect?” Lo consiglio come autovalutazione per chi si accinge a progettare la sicurezza dei propri sistemi 😉 anche se è un po’ troppo orientato alle reti.

Tuttavia, le notizie che mi hanno colpito di più in questi tempi riguardo alla distanza fra prodotto è gestione sono le notizie, quasi contemporanee, delle difficoltà di Gentoo e delle disavventure di Ubuntu. Mentre nel caso di Gentoo non è chiaro se i server sono stati compromessi (ed in realtà si potrebbe trattare di un caso di buona prevenzione), nel caso di Ubuntu le notizie sulle modalità di gestione dei sistemi sono disarmanti. L’articolo è in effetti un elenco di esempi di problemi di gestione che poco hanno a che fare con il fatto che le macchine siano Linux. Anzi, se vogliamo il fatto che siano Linux è stato uno svantaggio:”Finally, even the servers themselves had not been updated, but ran the no longer supported Version 5.10 (Breezy Badger). The reason for this is supposedly an incompatibility between the newer Ubuntu versions and the existing network card and hardware provided and sponsored by Canonical”. Tipico problema di Linux (ahimè!).

Di fatto, oggi come oggi ci sono ottimi prodotti per la sicurezza, e buona parte dei prodotti esistenti, se ben configurati, ha caratteristiche di sicurezza più che adeguate alla maggior parte degli ambienti. Compreso naturalmente Windows, che se ben gestito  è certamente di gran lunga più sicuro di server Linux mal gestiti. Come sempre, è più sicuro il sistema che si conosce meglio (e che quindi sperabilmente si gestisce meglio). Allora è il caso di chiedersi: conta di più l’auto o l’autista? E quindi, vale la pena di spendere per avere auto migliori o per avere autisti più preparati e messi in condizione di guidare meglio?