1. Università degli Studi di Roma “La Sapienza”
Facoltà di Ingegneria
Tesi di Laurea in Ingegneria delle Telecomunicazioni
INSIDER ATTACK:
ASPETTI CRIMINOLOGICI
E TECNOLOGIE DI PREVENZIONE
Relatore:
Prof. Roberto Cusani
Correlatori:
International Crime Analysis Association
nelle persone di Candidato:
Dott.ssa Roberta Bruzzone Ileana Belfiore
Prof. Marco Strano matricola n° 09102395
Anno Accademico 2004 - 2005
I
3. […] Dice che l’uomo è stato creato padrone della
Terra, ma gli manca una cosa fondamentale: una
borsa di attrezzi per riaggiustarsi.
Ah, sospira, se ci fosse un cacciavite per
togliere le idee sbagliate e un martello per
fissare le buone intenzioni, una chiave inglese
per stringere per sempre l’amore e una sega per
tagliare col passato! Ma questa attrezzeria non
ce l’hanno data e, dopo aver tentennato e
scricchiolato, prima o poi ci romperemo.
Stefano Benni – Margherita dolcevita (2005)
“If you have an apple and I have an apple and we exchange these apples,
then you and I will still each have one apple.
But if you have an idea and I have an idea and we exchange these ideas,
then each of us will have two ideas.”
George Bernard Shaw
Prefazione
III
4. In questa tesi viene analizzato, sotto diversi punti di vista, il
fenomeno dell’insider attack, termine con il quale si identificano i
crimini informatici commessi dal personale interno (dipendente o
consulente che sia) di un’azienda o di una qualsiasi organizzazione.
Secondo la recente normativa in materia, rientrano in questa
categoria, a titolo di esempio, sia il sabotaggio di un sistema
informatico, sia il furto di dati riservati, sia l’utilizzo indebito della
rete al fine di scaricare illegalmente materiale protetto da diritti
d’autore, sia l’installazione di software non autorizzato, reati di cui è
sempre l’autore il primo responsabile, ma che possono coinvolgere
indirettamente, in qualità di favoreggiatrici involontarie, tanto le
aziende private quanto la pubblica amministrazione, che, pur
essendo vittime di danni (materiali o all’immagine), sono spesso
chiamate a dimostrare la loro estraneità ai comportamenti illeciti
commessi al loro interno.1 Avendo constatato la preoccupante
diffusione del fenomeno, si tenterà quindi, partendo dall’analisi dagli
aspetti puramente criminologici del problema, di individuare le
possibili contromisure tecnologiche atte a prevenirlo.
Indice
1Come spiega l’Avv. Marco Agalbato (cfr. in Opere Consultate, [ICT_05_06_50]), […] l’uso improprio o
l’abuso, da parte del dipendente degli strumenti infromatici, assegnatigli per l’esercizio delle sue
funzioni all’interno dell’azienda, costituisce uno dei maggiori fattori di rischio in relazione al problema
della sicurezza aziendale. […] Ai sensi dell’art.40 del Codice Penale, [infatti], non impedire un evento
che si ha l’obbligo giuridico di impedire equivale a cagionarlo. Inoltre, […] ai sensi del D.Lgs 231/2001,
nel caso in cui lo strumento informatico aziendale venga utilizzato per il compimento di frodi
informatiche ai danni dello Stato o di un Ente Pubblico […], si configurerebbe l’ipotesi di responsabilità
dell’azienda.
IV
5. Indice delle figure........................................................................... IX
Indice delle tabelle........................................................................... X
Introduzione................................................................................... XI
Capitolo 1 Aspetti criminologici.................................................. 1
1.1 L’importanza della formazione ..................................................................1
1.2 La tecnomediazione ..................................................................................8
1.3 Tipologie di insider .................................................................................12
1.4 Tipologie di insider attack .......................................................................14
1.5 Analisi dell’“Insider Threat Study” del 2005 ..............................................25
1.5.1 Chi era l’insider.....................................................................................28
1.5.2 La motivazione dell’insider....................................................................28
1.5.3 Il comportamento dell’insider e la pianificazione prima dell’attacco.......29
1.5.4 Eventi che hanno favorito l’attacco ........................................................30
1.5.5 Rilevazione dell’attacco .........................................................................31
1.5.6 Conseguenze per l’organizzazione vittima ............................................32
1.5.7 Possibili strategie di prevenzione ..........................................................33
1.6 Elementi aggiuntivi introdotti dall’“Insider Threat Study” del 2004 ............37
1.7 Considerazioni sulle possibili contromisure tecnologiche .........................40
Capitolo 2 La difesa in profondità ............................................. 44
2.1 Il significato di una strategia di difesa in profondità .................................44
2.2 Politiche di sicurezza (Security Policies Layer) ...........................................46
2.3 Password efficaci (Strong Password Layer) ................................................47
2.4 Sicurezza perimetrale (Perimeter Protection with Firewall Layer) ................48
2.5 IDS (Intrusion Detection Systems Layer)....................................................50
V
6. 2.6 Filtraggio dei contenuti (Content Filtering Layer) ......................................50
2.7 Crittografia dei dati (Encryption Data Layer) .............................................51
2.8 Considerazioni finali sul concetto di difesa in profondità ..........................52
Capitolo 3 End-point security ................................................... 53
3.1 Un approccio necessario contro le minacce inconsapevoli .........................53
3.2 Principi base di un approccio di end-point security ..................................55
3.3 La soluzione client-server di Microsoft.....................................................57
3.3.1 La NAP a grandi linee ............................................................................57
3.3.2 Possibili scenari NAP .............................................................................57
3.3.3 Componenti della NAP...........................................................................59
3.3.4 L’architettura NAP .................................................................................64
3.3.4.1 Architettura di un NAP client..........................................................68
3.3.4.2 Architettura di un NAP server.........................................................72
3.3.5 Comunicazioni tra componenti client e server .......................................76
3.3.6 Come lavora la NAP ...............................................................................78
3.3.6.1 Configurazione indirizzo IP tramite DHCP ......................................78
3.3.6.2 Connessione VPN...........................................................................84
3.3.6.3 Connessioni autenticate tramite 802.1X.........................................90
3.3.6.4 Comunicazioni basate su IPsec ......................................................98
3.4 La soluzione web-based di Array Network..............................................109
3.4.1 Vantaggi e insicurezze delle attività basate sul web .............................109
3.4.2 Principi di funzionamento dell’end-point security per le applicazioni web-
based 112
3.4.3 Considerazioni finali ...........................................................................115
Capitolo 4 Intrusion Detection System (IDS) ............................ 116
4.1 Un approccio necessario contro le minacce dolose .................................116
4.2 Principi base di funzionamento degli IDS................................................118
4.3 Componenti fondamentali degli IDS .......................................................120
4.4 L’uso degli IDS contro l’insider attack ....................................................121
4.5 Network Intrusion Detection Systems (NIDS) ...........................................123
4.6 Network Node Intrusion Detection Systems (NNIDS)................................125
VI
7. 4.7 Host Intrusion Detection Systems (HIDS) ................................................126
4.8 Anomaly-based Intrusion Detection Systems..........................................126
4.9 Distributed Intrusion Detection Systems (dIDS) .......................................127
4.10 Considerazioni finali sugli IDS................................................................127
Capitolo 5 Strumenti tecnologici per il criminal profiling nei casi di
insider attack 129
5.1 L’obiettivo finale: una rete bayesiana .....................................................129
5.1.1 Come lavorerebbe una rete bayesiana .................................................132
5.2 L’Insider Attack Database (IAD) ..............................................................136
5.2.1 Il problema della mancanza di dati ......................................................136
5.2.2 Scelte progettuali ................................................................................138
5.2.3 Le tabelle del database........................................................................140
5.2.3.1 Configurazione da shell Linux......................................................148
5.3 Una possibile interfaccia web per le aziende vittime di insider attack ......150
5.3.1 Form di benvenuto con richiesta dati generici dell’azienda (passo1.PHP)
ed inserimento dati nel database (passo2.PHP) ...............................................150
5.3.2 Form di richiesta dati relativi alle misure di sicurezza implementate
dall’azienda (passo3.PHP) ed inserimento dati nel database (passo4.PHP) .......154
5.3.3 Form di richiesta dati relativi ad un episodio di insider attack verificatosi
in azienda (passo5.PHP) ed inserimento dati nel database (passo6.PHP) ..........156
5.3.4 Form di richiesta dati relativi all’identità dell’insider individuato in
azienda (passo7.PHP) ed inserimento dati nel database (passo8.PHP) ..............158
5.3.5 Form finale di ringraziamenti (finale.PHP) ............................................161
Conclusioni ................................................................................. 162
Appendice A. Funzionamento di IPsec........................................ 166
Appendice B. Differenze fra VPN SSL e IPSec VPN........................ 170
Appendice C. Codice (HTML/PHP) per l’interfaccia con le aziende
vittime di insider attack (form di richiesta dati) e per l’inserimento dei
dati raccolti nell’Insider Attack Database (IAD) ............................. 172
VII
8. Appendice D. File di configurazione e interrogazione dell’Insider
Attack Database eseguibili direttamente da shell Linux ................ 202
Opere consultate ......................................................................... 214
VIII
9. Indice delle figure
Figura 1 – Possibilità di intersezione tra insider e outsider......................................2
Figura 2 – Suddivisione responsabilità fra insider e outsider ...................................5
Figura 3 – Importanza percepita della formazione in diversi campi della sicurezza
informatica.............................................................................................................6
Figura 4 – Classifica indicativa di quanto si ritengono appropriati gli investimenti
fatti dalla propria organizzazione per la formazione sulla sicurezza informatica .....7
Figura 5 – Rilevanza numerica del fenomeno DoS applicato ai siti web ..................21
Figura 6 – Basso impatto economico del fenomeno DoS applicato ai siti web ........22
Figura 7 – Diagramma di flusso rappresentativo della filosofia di end-point security
............................................................................................................................56
Figura 8 – Componenti di un’infrastruttura di rete NAP .........................................62
Figura 9 – Interazioni fra le componenti della NAP ................................................67
Figura 10 - Architettura NAP client.......................................................................70
Figura 11 - Architettura NAP server......................................................................74
Figura 12 - Architettura NAP complessiva: client e server .....................................76
Figura 13 - Reti logiche dell'IPsec Enforcement...................................................101
Figura 14 - Comunicazioni fra i dispositivi delle reti logiche dell'IPsec Enforcement
..........................................................................................................................103
Figura 15 - La soluzione web-based di Array Networks ......................................111
Figura 16 - Componenti fondamentali di un IDS .................................................121
Figura 17 - Architettura NIDS .............................................................................125
Figura 18 - Form passo1.html ............................................................................152
Figura 19 - Schermata passo2.php .....................................................................154
Figura 20 - Form passo3.php .............................................................................155
Figura 21 - Schermata passo4.php .....................................................................156
Figura 22 - Form passo5.php .............................................................................157
Figura 23 - Schermata passo6.php .....................................................................158
Figura 24 - Form passo7.php .............................................................................159
Figura 25 - Schermata passo8.php .....................................................................160
Figura 26 - Schermata finale.php .......................................................................161
Figura 27 - Struttura di un pacchetto IP..............................................................167
Figura 28 - IPsec con Authentication Header ......................................................168
Figura 29 - IPsec con Encapsulating Security Payload..........................................168
IX
10. Indice delle tabelle
Tabella 1 - Componenti NAP aggiuntive ...............................................................63
Tabella 2 - Componenti NAP client.......................................................................71
Tabella 3 - Componenti NAP server......................................................................75
Tabella 4 - Comunicazioni fra client e server........................................................77
Tabella 5 - Tipologie e modalità di comunicazione fra le reti logiche dell'IPsec
Enforcement.......................................................................................................102
Tabella 6 – Differenze fra signatures-based IDS e anomaly-based IDS ................119
Tabella 7 - SSL VPN vs. IPsec VPN .......................................................................171
Tabella 8 - Codice del form passo1.html (richiesta dati generici azienda) ...........172
Tabella 9 - Codice passo2.php (inserimento dati generici azienda nello IAD) ......173
Tabella 10 - Codice form passo3.php (richiesta dati su misure di sicurezza
implementate dall'azienda).................................................................................174
Tabella 11 - Codice passo4.php - (inserimento dati misure di sicurezza
implementate nello IAD) .....................................................................................176
Tabella 12 - Codice form passo5.php (richiesta dati episodio di insider attack) ..180
Tabella 13 - Codice passo6.php (inserimento dati episodio di insider attack in
azienda nello IAD) ..............................................................................................185
Tabella 14 - Codice form passo7.php (richiesta dati insider) ..............................194
Tabella 15 - Codice passo8.php (inserimento dati insider nello IAD)...................196
Tabella 16 - Codice form finale.php (ringraziamenti)..........................................201
Tabella 17 - crea_database.sql ...........................................................................202
Tabella 18 - select_totale.sql..............................................................................205
Tabella 19 - output_totale.txt ............................................................................208
X
11. Introduzione
Di sicurezza informatica si sente parlare molto ma evidentemente
non si fa ancora abbastanza soprattutto se si riflette sul fatto che
finora fenomeni come l’insider attack sono stati quanto meno
sottovalutati se non addirittura ignorati!
Forse perché si fa fatica ad accettare l’idea che qualcuno in “casa
nostra”, ovvero nella nostra azienda, possa costituire una fonte di
pericolo (consapevole o involontaria) per la sicurezza dell’azienda
stessa. E’ stato anche detto che le aziende, una volta scoperto un
attacco interno, hanno una sorta di repulsione a comunicarlo
all’esterno per paura di danni all’immagine. E così si evita, finché si
può, di coinvolgere le autorità competenti impedendo loro di
prendere dei provvedimenti contro i responsabili degli attacchi;
inoltre, probabilmente per una inevitabile competizione fra
concorrenti, non si instaura nemmeno una comunicazione con le altre
aziende con le quali si potrebbe invece condividere un patrimonio di
rischi/alert2/soluzioni, perché nessuno può ritenersi esente da
questo tipo di pericoli e, prima o poi, tutti si avrà a che fare con un
problema di sicurezza informatica. E’ in quest’ottica che
l’International Crime Analysis Association sta lavorando alla
costruzione di un database contenente casi di insider attack che, con
il supporto di una rete bayesiana/neurale, fornirà strumenti adeguati
2 In generale, si definisce alert un qualsiasi tipo di notifica di un evento non desiderato.
XI
12. a ricavare il criminal profile degli insider. La collaborazione delle
aziende (i cui casi di insider attack dichiarati in forma anonima
riempiranno i campi del database) sarà fondamentale e costituirà un
utile contributo per far tesoro delle esperienze e degli errori degli
altri (anonime aziende concorrenti comprese!).
Prima di allora, però, è necessario sensibilizzare il mondo ICT proprio
sulla gravità del fenomeno insider attack che, diversamente da
quanto si potrebbe credere, ha un’incidenza molto elevata (circa il
70-80 % sul totale degli attacchi subiti, secondo un’indagine svolta
dall’ICAA su un campione di 500 aziende italiane).
Come dice infatti l’Ing. Luisa Franchina, Direttore dell’Istituto
Superiore delle Comunicazioni e delle Tecnologie dell’Informazione
(ISCOM), nel suo articolo “Centro di formazione e sensibilizzazione
sulla sicurezza ICT” presentato al convegno CNIPA sulla sicurezza
informatica nella PA del 17 gennaio 2006 (cfr. in Opere Consultate,
[CNIPA_3]), la mancanza di cultura sulla sicurezza informatica, che si
riscontra in gran parte delle aziende, […] ha evidenziato che troppo
spesso utenti e gestori di sistemi ICT non percepiscono il reale valore
del rischio informatico. […] E così l’insufficiente attenzione al
problema vanifica sofisticate procedure e sistemi. In una parola, la
componente umana del processo sicurezza, se non guidata da
atteggiamenti profondamente interiorizzati, può costituire in se
stessa una minaccia, invisibile e difficilmente prevedibile.
XII
13. E’ importante quindi, anche quando si viene da una formazione
prettamente tecnica, fare un atto di umiltà, auto-convincendosi del
fatto che, dietro ogni macchina/sistema tecnologico, ci sarà sempre
(almeno) una persona che, nel bene e nel male, sarà comunque
accompagnata dal fattore umano che la caratterizza. Anche quando si
parla di sicurezza informatica e di computer crime, quindi, non si può
pensare di trascurare l’interazione uomo-macchina (e, nello
specifico, la tecnomediazione che, come verrà approfondito in
seguito, rappresenta un aspetto fondamentale dell’insider attack),
altrimenti si rischia di proporre soluzioni molto efficienti ma
utopiche, perché non tutti saranno in grado di comprendere il
significato e l’utilità dei meccanismi di sicurezza con cui avranno a
che fare ogni giorno. Nasce quindi l’esigenza della formazione, che
non dovrebbe limitarsi ad un mero ed asettico addestramento alle
procedure, ma ad una più profonda comprensione delle motivazioni
che stanno alla base delle stesse, dei benefici che possono scaturire
dalla loro applicazione e delle conseguenze che possono derivare
dalla loro inosservanza. Perché, come scrive Giorgio Tonelli nel suo
contributo (presentato al convegno CNIPA di cui sopra) dal titolo
“Sicurezza organizzativa o organizzazione della sicurezza?” (cfr. in
Opere Consultate, [CNIPA_4]), la sicurezza deve permeare l’intera
organizzazione a livello di struttura, di processi, di comportamenti
individuali, in modo da rendere concreto ed effettivo l’”agire sicuro”
delle persone. Questo è possibile solo intervenendo incisivamente
XIII
14. sulla cultura, sulle abitudini e sulle mappe mentali degli individui,
attraverso pochi e semplici ma ferrei principi e regole di
comportamento, capaci di creare e sviluppare sempre più sensibilità e
consapevolezza sulla reale importanza di questo indispensabile
requisito di qualsiasi organizzazione.
Bisognerebbe assolutamente evitare, quindi, di installare, in una
(metaforica) stanza, una porta blindata, robusta e sicura quanto si
vuole, senza spiegare alle persone che rimarranno all’interno che lo si
sta facendo per garantire loro adeguate condizioni di sicurezza che
non le priveranno comunque della loro libertà; altrimenti quelle
stesse persone, alla prima occasione, non faranno altro che tentare di
scardinare quella porta (o di farsene dare la chiave da un
amministratore compiacente…).
XIV
15. Capitolo 1
Aspetti criminologici
1.1 L’importanza della formazione
Quando si parla di sicurezza informatica, nelle aziende o nella pubblica
amministrazione, probabilmente si pensa subito all’implementazione di
misure atte a contrastare fenomeni provenienti dall’esterno: i
fantomatici hackers (o, più in generale, gli autori di qualsiasi tipo di
minaccia alle risorse tecnologiche) vengono cioè identificati come degli
outsider particolarmente esperti di computer e in quanto tali pericolosi.
Questa caratterizzazione oggi appare alquanto ingenua e può essere
considerata calzante solo per una parte dei casi di crimine informatico,
perché non tiene conto di un fenomeno emergente che dovrebbe
spingerci ad analizzare i problemi legati alla sicurezza anche da un altro
punto di vista.
In effetti, ciò che la maggior parte delle persone ignora (e che le
aziende, forse, fingono di ignorare), è che c’è una notevole componente
insider (consapevole o involontaria) negli attacchi alla sicurezza
1
16. informatica che ha già prodotto ed è in grado di produrre ancora, se non
opportunamente sensibilizzata, ingenti danni ai sistemi nei quali lavora.
E se si vuole fare una semplice partizione fra outsider e insider, anche
qui bisogna stare attenti perché non è detto che i due insiemi non
possano avere intersezioni (v. Figura 1). Il punto di contatto, ad
esempio, potrebbe essere rappresentato, oltre che da una ben
organizzata complicità tra outsider ed insider, anche dalla
collaborazione inconsapevole di un insider che, non avendo ricevuto
formazione sui comportamenti da evitare per non mettere a rischio la
sicurezza informatica del luogo in cui lavora, potrebbe incautamente
favorire il “lavoro” di un outsider.
complicità tra
outsider e insider
outsider insider
insider inconsapevole “apre la
porta” ad un outsider
Figura 1 – Possibilità di intersezione tra insider e outsider
2
17. Si è poco sopra accennato al termine insider inconsapevole: anche se
percentualmente non dominante, questa figura rappresenta a mio
parere la più grave fonte di rischio per un sistema di sicurezza, in primis
perché è la prova evidente della mancanza di formazione in tal senso ed
è quindi un problema di errato management3; secondariamente perché
non c’è limite al danno economico che l’azienda può subire in tal modo
(danni materiali veri e propri, danni all’immagine, conseguenze legali,
ecc.).
Quindi, anche se l’ultima edizione del CSI/FBI Computer Crime Security
Survey, svolta negli Stati Uniti durante l’anno 2005, mostrerebbe (v.
Figura 2) un fenomeno in lieve diminuzione (sollevando addirittura dei
dubbi sulle affermazioni di quanti sostengono che la maggior parte dei
crimini informatici in azienda vengono commessi da insider), in realtà, i
dati mostrano comunque che, sempre in riferimento allo scenario
3 Secondo il CSI/FBI survey 2005, infatti, la sicurezza informatica non è più soltanto un problema
tecnologico, ma anche e soprattutto un problema gestionale, ragion per cui, negli USA, oltre ad investire
negli audit di sicurezza, le organizzazioni hanno iniziato a dare importanza anche alla formazione del
personale.
[For some time, it has been widely recognized that computer security is as much a management problem as
it is a technology problem. Hence, technological responses to the problem must be combined with
management responses. Thus, in addition to security audits, many organizations have invested in security
training for their employees.]
3
18. statunitense, il rapporto tra insider e outsider è circa 1:1 e quindi il
fenomeno in questione appare lontano dal poter essere considerato
trascurabile4. Senza contare poi che una grossa percentuale degli
intervistati (circa 700 professionisti a vario titolo nel campo della
sicurezza informatica) non sapeva identificare con certezza se gli autori
dei danni subiti dalla propria organizzazione erano degli outsider o
degli insider.
4 In realtà, le ricerche condotte dall’ICAA nello scenario italiano, denotano una percentuale molto più alta di
insider attack: circa il 70/80% delle violazioni che provocano danni gravi all’azienda è addebitabile ad un
dipendente/consulente dell’azienda stessa.
4
19. Figura 2 – Suddivisione responsabilità fra insider e outsider
Inoltre (v. Figura 3), va posto l’accento sul fatto che mentre la maggior
parte degli intervistati giudica utile la formazione in ambito sicurezza
informatica (il 70% ritiene importante essere informato sulle politiche di
sicurezza, sempre il 70% sulla gestione della sicurezza, il 64% sui
5
20. sistemi per il controllo degli accessi, il 63% sulla sicurezza di rete, il 51%
sulla crittografia, ecc.), allo stesso tempo dichiara che l’organizzazione
per cui lavora non sta investendo abbastanza in tal senso.
Figura 3 – Importanza percepita della formazione in diversi campi della sicurezza
informatica
Dalla Figura 4, si può notare infatti che, in una scala di gradimento da 1
a 7, soltanto i settori del Governo Federale e quello dell’Alta Tecnologia
hanno (di poco) superato il valore (intermedio) 4, dimostrando che si è
ben lontani dall’investire una adeguata porzione dei budget delle
organizzazioni per ottenere nei dipendenti il giusto grado di
consapevolezza sulle tematiche di sicurezza informatica.
6
21. Figura 4 – Classifica indicativa di quanto si ritengono appropriati gli investimenti fatti
dalla propria organizzazione per la formazione sulla sicurezza informatica
In Italia, le ricerche condotte dall’ICAA su 5000 lavoratori
(somministrando loro degli specifici questionari5 ideati dal Prof. Marco
Strano e dalla Dottoressa Roberta Bruzzone) portano indirettamente agli
stessi risultati, perché denotano che nei dipendenti c’è ancora una
mancanza di consapevolezza del problema, che si manifesta con una
5 Si tratta del W.C.P.Q. (Workplace Computer crime Psychology Questionnaire) che è in grado di valutare se i
lavoratori sono consapevoli dell’illegalità di alcuni comportamenti legati all’ambito informatico.
7
22. distorta percezione del crimine informatico, come verrà meglio
approfondito nel prossimo paragrafo.
1.2 La tecnomediazione
Quando si esamina il fenomeno dell’insider attack, la prima forma di
mediazione con cui ci si imbatte consiste proprio nel fatto che il
fenomeno si consuma all’interno dell’azienda. Essa rappresenta infatti
una scena del crimine assai particolare in cui il numero dei reati che
avvengono senza essere scoperti è, in generale, molto elevato. Essi
rientrano spesso in quella logica perversa dei reati che non conviene
denunciare; ad esempio perché, da un lato, per l’azienda denunciare un
crimine commesso al suo interno può rappresentare un danno
all’immagine, dall’altro, per il dipendente, denunciare un sopruso subito
può comportare la perdita del lavoro stesso. Ciò che va detto, a
proposito dei crimini compiuti in azienda, è che fin dai primi studi che si
fecero su di essi già nei primi anni del ‘900, si capì che non avevano
nulla a che fare con le forme delinquenziali classiche (il cosiddetto
street-crime), perché gli autori di questi tipi di reati non erano degli
emarginati ma delle persone con profili psicologici e sociali adducibili
8
23. alle classi più agiate (white collar-crime). Negli ultimi decenni si è poi
assistito ad una specie di “democratizzazione” del crimine in azienda,
nel senso che le persone in grado di “macchiarsi” di crimini, spesso non
scoperti o comunque poco eclatanti e poco stigmatizzati, non
appartengono più soltanto alle classi sociali più elevate (dirigenti) ma
sono diffuse in tutti i settori aziendali (tecnici, impiegati, operai, ecc.). Si
può arrivare allora ad una definizione più moderna e generale dei
crimini commessi sul luogo di lavoro utilizzando il termine workplace
crime, come fa il Prof. Marco Strano quando definisce tutte “quelle
azioni criminali maturate ed eseguite in un contesto lavorativo, laddove
la scena criminis è localizzata nel luogo (fisico o simbolico) in cui due o
più persone svolgono attività lavorative”.
Quando si va poi a studiare il fenomeno dell’insider attack, che
rappresenta uno specifico caso di computer-crime, bisogna prendere in
considerazione un altro tipo di mediazione, responsabile della distorta
percezione che si ha delle proprie azioni criminali quando un mezzo
tecnologico (computer, telefono, ecc.) si frappone tra l’autore e la
vittima delle stesse: si tratta della tecnomediazione.
9
24. La dinamica criminale, infatti, come spiega il Prof. Marco Strano nel suo
MODELLO A 5 FASI (2002), è articolata appunto in cinque fasi di
pensiero che inconsciamente si susseguono nella nostra mente:
1) motivazione,
2) fantasia criminale,
3) anticipazione mentale degli effetti dell’azione,
4) progettazione del crimine,
5) esecuzione del crimine.
La tecnomediazione può intervenire a cavallo delle fasi 3) e 4), alterando
la percezione che un individuo ha della gravità del crimine che sta per
commettere e orientandolo quindi verso l’esecuzione dello stesso,
piuttosto che verso una più saggia rinuncia ad agire. Questo accade
perché la tecnomediazione può vanificare quei messaggi (percezione
della gravità del comportamento, percezione del danno procurato alla
vittima, stima dei rischi di essere scoperti, stima dei rischi di essere
denunciati, conoscenza della normativa, paura della sanzione sociale,
paura della sanzione legale) che il nostro cervello ci invia, proprio tra la
fase 3) e la fase 4), al fine di far abortire l’intero disegno criminale.
10
25. Causa scatenante del crimine informatico diviene allora la percezione
distorta dello stesso, che si concretizza, ad esempio, con una vittima
“assente” (o meglio invisibile perché filtrata dal mezzo informatico6), o
con la sottostima dei danni provocabili (anche perché molto spesso non
si tratta soltanto di danni materiali) o ancora con la convinzione che tale
tipo di crimine sia difficile da scoprire (quando invece non è la
tecnologia che non consente la rilevazione dell’illecito ma l’assenza di
procedure di controllo sui sistemi).
Alcune ricerche (condotte in Europa dal Prof. Strano e negli Stati Uniti da
Vun Duyn) dimostrano poi che, in ambito crimine informatico, si ha una
preoccupante “assoluzione sociale” di alcuni fenomeni che sono dei veri
e propri reati secondo le norme civili e penali.
E così, come dimostrato da una recente indagine svolta dall’ICAA
somministrando in forma anonima degli appostiti questionari a 5000
lavoratori italiani, non ci si deve meravigliare se, alla domanda “Qual è,
secondo lei, la caratteristica principale di chi commette un computer
crime?”, le risposte più gettonate sono state “competenza” (49,5%),
6L’essere umano, infatti, per sua natura – dice la Dottoressa Roberta Bruzzone – ha bisogno di un riscontro
percettivo concreto del proprio comportamento: facendo click+invio, non ce l’ha.
11
26. “astuzia” (48,4%), “curiosità” (38,0%), “intelligenza” (33,2%), e solo
secondariamente “malvagità” (29,7%), “avidità” (25,0%) e “falsità” (12,6%),
e c’è stato spazio anche per risposte allarmanti come “senso
dell’umorismo” (4,9%).
1.3 Tipologie di insider
Sulla base di quanto detto a proposito della tecnomediazione, si può
effettuare una prima classificazione degli insider (basata sul livello di
consapevolezza da loro stessi posseduta in merito al crimine commesso)
che permette immediatamente di capire quale tipo di contromisure
adottare per contrastare le loro azioni.
Il caso degli HIGH PROFILE INSIDER è forse quello più vicino alla
concezione classica dei cracker7, intesi come persone che danneggiano
volutamente delle risorse informatiche. Nello specifico, l’high profile
7 Da Wikipedia, l'enciclopedia libera:
In ambito informatico il termine inglese cracker indica colui che entra abusivamente in sistemi altrui allo
scopo di danneggiarli (cracking), lasciare un segno del proprio passaggio, utilizzarli come teste di ponte per
altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete.
I cracker possono essere spinti da varie motivazioni, dal guadagno economico (tipicamente coinvolti in
operazioni di spionaggio industriale o in frodi) all'approvazione all'interno di un gruppo di cracker (come
tipicamente avviene agli script kiddie, che praticano le operazioni di cui sopra senza una piena
consapevolezza né delle tecniche né delle conseguenze).
I media hanno l'abitudine di definire hacker i cracker, mentre, sebbene alcune tecniche siano simili, i primi
hanno scopi più costruttivi che distruttivi, come accade invece ai secondi.
12
27. insider è un individuo con buone capacità tecniche e perfettamente
consapevole del crimine commesso: in molti casi, si tratta infatti di
criminali professionisti (facenti capo a vere e proprie associazioni a
delinquere) che possono compiere atti di spionaggio, di truffa o
addirittura di terrorismo; in altri casi, non si tratta di criminali abituali,
ma le motivazioni che li spingono (come la bramosia di denaro o il
desiderio di vendetta contro l’azienda) possono essere talmente forti da
renderli disposti a mettere in discussione la loro già dubbia moralità. La
tecnomediazione agisce su di loro fornendogli la consapevolezza
(sbagliata) di non essere scoperti. In questi casi, comunque, gli
interventi psicologici di formazione sarebbero del tutto inutili, in quanto
gli individui in questione sono perfettamente consci dell’illegalità delle
azioni da loro commesse; nei loro confronti, quindi, la migliore strategia
da attuare è quella di incrementare le misure deterrenti e di denunciarne
i comportamenti alle Autorità competenti.
Il discorso cambia completamente per i LOW PROFILE INSIDER, cioè per
coloro che, normalmente, non commetterebbero mai un crimine, ma
arrivano a compierlo a causa di una distorta percezione dello stesso
13
28. indotta dalla presenza del mezzo informatico. In questo caso,
trattandosi di individui con basso profilo criminale e con scarsa
conoscenza delle sanzioni legali e sociali, la formazione può essere
molto utile e, con interventi mirati, si può arrivare a neutralizzare
l’effetto negativo della tecnomediazione.
Bisogna poi tener conto anche della piccola percentuale degli UNAWARE
INSIDER, cioè di coloro che sono del tutto ignari degli illeciti che stanno
commettendo. Anche se si tratta, ormai, di un fenomeno marginale,
esso rappresenta il caso in cui la tecnomediazione è maggiormente
influente ed è quindi più evidente la necessità di interventi psicologici di
formazione, anche perché i danni provocabili da questo tipo di soggetti
sono tutt’altro che trascurabili.
1.4 Tipologie di insider attack
Arrivati a questo punto, può essere utile fare una panoramica proprio
sui danni provocabili alle risorse informatiche di un’organizzazione,
quando ad agire è un insider, cioè un dipendente dell’organizzazione
stessa.
14
29. • PRIVILEGE ESCALATION (e LAST PRIVILEGE LACK EXPLOIT)
A parere di chi scrive, è uno dei tipi di attacco più facile da perpetrare, a
causa della superficialità con cui troppo spesso si gestiscono le politiche
di sicurezza nelle aziende. Consente ad utenti, già autorizzati
all’accesso ad un certo insieme di risorse informatiche, di acquisire
ulteriori privilegi per l’utilizzo di altre risorse alle quali, invece, non si
dovrebbe avere accesso.
Più spesso di quanto non si creda, questa tecnica è favorita (oltre che da
errori nell’assegnazione dei diritti di accesso secondo il criterio del
minimo privilegio, in base al quale ogni dipendente dovrebbe avere
visibilità delle sole risorse/informazioni immediatamente necessarie allo
svolgimento del proprio lavoro) anche da delle incaute leggerezze, come
quella di lasciare sul PC su cui lavora il dipendente (dopo aver per lui
accuratamente creato un account con username e password) la
possibilità di accedere come administrator, senza che ci si sia
preoccupati di impostare alcuna password per tale profilo.
Si noti che non è necessario essere degli high profile insider per
commettere questo tipo di reato, che può consentire l’utilizzo di risorse
15
30. (file-sharing, database, applicazioni, ecc.) o l’installazione di programmi
non autorizzati dall’azienda.
E’ ovvio dire, quindi, che le contromisure più efficaci per contrastare
questo tipo di attacco consistono nel prestare la massima attenzione
alle procedure di gestione degli utenti, senza rinunciare
all’implementazione di sistemi di monitoraggio, che siano in grado di
rilevare e segnalare all’amministratore competente eventuali violazioni
dei divieti di accesso alle risorse informatiche.
• SOCIAL ENGINEERING
E’ una tecnica che consiste nello spacciarsi per qualcun altro al fine di
ottenere qualcosa (in genere, delle informazioni riservate). Si può
realizzare molto semplicemente, ad esempio contattando la vittima
telefonicamente o via e-mail e, facendole credere di essere
l’amministratore del sistema, indurla a farsi comunicare i suoi dati di
login (username e password). Da un’evoluzione più raffinata di questa
tecnica è nato il fenomeno del PHISHING, con il quale sono state truffate
migliaia di persone che credevano di comunicare i dati delle proprie
16
31. carte di credito ai loro istituti bancari di fiducia (i quali, tra l’altro, hanno
dovuto subire, per questo motivo, evidenti danni all’immagine).
Mai come in questo caso, le contromisure più efficaci consistono nella
formazione dei dipendenti, che devono essere educati a capire
l’importanza della riservatezza di certe informazioni (che dovrebbero
essere metabolizzate come personali) e, di conseguenza, l’inopportunità
della loro divulgazione.
• DUMPSTER DIVING
Questo termine indica una serie di tecniche per il reperimento di dati
sensibili/riservati (in genere, in forma caratacea), al fine di facilitare la
violazione di un sistema informatico. Le contromisure più efficaci
consistono in una corretta educazione alla gestione della
documentazione aziendale (dalle procedure di archiviazione a quelle di
distruzione dei documenti non più utili)8, che miri a sensibilizzare i
dipendenti alla tutela tanto dei dati aziendali quanto delle loro
8 Secondo un’indagine condotta a livello europeo da Ipsos Global per conto di Lexmark, infatti, la maggior
parte delle aziende, nonostante la spinta normativa, non ha ancora adottatto politiche di sicurezza idonee
per la salvaguardia del patrimonio aziendale e, in particolare, per la protezione dei documentii cartacei che
contengono dati sensibili; ad esempio, pare che quasi il 70% dei documenti, abbandonati dai dipendenti
nelle stampanti aziendali, contengano informazioni riservate o confidenziali, che vengono così esposte a
letture e/o copie non autorizzate.
17
32. informazioni personali (anch’esse trattate, molto spesso, con
sorprendente superficialità).
• PASSWORD CRACKING
La tecnica che ha come fine la violazione delle password (contenute in
un database o in transito nella rete) si avvale sostanzialmente di due
metodi.
Il primo di questi, il cosiddetto attacco a dizionario, sfrutta il fatto che
molto spesso gli utenti hanno la cattiva abitudine di scegliere password
prevedibili (date di nascita, nomi comuni, nomi propri, ecc.); purtroppo,
la facilità di memorizzazione delle stesse è direttamente proporzionale
alla semplicità con cui le si può decifrare. Infatti, una volta che si è
entrati in qualche modo in possesso di password crittografate, se ci si
serve dell’aiuto di appositi dizionari (contenenti un elenco di (banali)
password in chiaro con le relative traduzioni cifrate) e si procede per
tentativi, si può raggiungere l’obiettivo più facilmente di quanto non si
creda.
L’altro metodo, detto a forza bruta, necessita di notevole potenza di
calcolo per tentare tutte le possibili combinazioni di caratteri, per
18
33. stringhe di una determinata lunghezza, allo scopo di trovare quella
giusta che consente l’accesso ad un particolare sistema. Ovviamente,
all’aumentare della lunghezza della stringa (cioè della password),
aumenta il numero delle combinazioni possibili e, di conseguenza, il
numero di tentativi che l’elaboratore di un malintenzionato deve fare
prima di arrivare alla soluzione.
In entrambi i casi, il consiglio da dare agli utenti è quello di usare
password non banali, di almeno 8 caratteri alfanumerici, tra i quali si
dovrebbe avere l’accortezza di inserire caratteri speciali (come &, !, ecc.)
allo scopo di rendere più difficile il compito di chi vuole commettere
questo tipo di illecito. Piuttosto che basarsi sulla saggezza e sulla buona
volontà dei dipendenti, però, una buona organizzazione dovrebbe
prevedere un utilizzo obbligatorio di password del tipo appena
descritto, in modo da contrastare il più possibile, oltre alla cattiva fede
dei password-cracker (outsider o insider che siano), anche
l’imprevedibilità del fattore umano che inevitabilmente caratterizza gli
utenti interni di qualunque sistema.
• Denial of Service (DoS)
19
34. Si tratta di un attacco, realizzabile con vari tipi di tecniche, che mira ad
interrompere l’erogazione dei servizi o l’accesso alle risorse, offerti dai
sistemi aziendali.9
Per portare a termine questo reato, gli insider hanno a disposizione
diversi tool, purtroppo facilmente reperibili via web.
Le contromisure attuabili consistono principalmente nell’ottimizzazione
dei timeout delle connessioni non andate a buon fine10 e nell’uso di
appositi sistemi di Network Intrusion Detection.
Nel caso specifico del sabotaggio di siti web, è bene sottolineare che,
come si può notare da alcuni grafici esplicativi riportati nel CSI/FBI
Security Survey del 2005 (v. Figura 5 e Figura 6), spesso si tende a
sottovalutare questo tipo di attacco (anche se molto diffuso) ed a
minimizzare l’impiego di misure di prevenzione dello stesso, perché in
genere non è particolarmente devastante in termini di danni materiali.
Bisogna stare attenti, però, a non trascurare i danni all’immagine che
possono derivare, ad esempio, dall’inaccessibilità di un sito web; senza
9 Si compromette cioè uno dei principi imprescindibili della sicurezza informatica: la disponibilità delle
risorse.
10 Una delle tecniche utilizzate per gli attacchi DoS consiste nell’invio di una notevole quantità di traffico
nella rete, atta a congestionarla e a renderla così inutilizzabile.
20
35. contare che, nel caso in cui esso fosse adibito anche a transazioni
economiche, si dovrebbero annoverare anche dei ben quantificabili
danni materiali.
Figura 5 – Rilevanza numerica del fenomeno DoS applicato ai siti web
21
36. Figura 6 – Basso impatto economico del fenomeno DoS applicato ai siti web
• SNIFFING
Si definisce sniffing l'attività di intercettazione passiva dei dati che
transitano in una rete telematica. Nasce con scopi legittimi (come quelli
di un amministratore che vuole individuare problemi di comunicazione o
tentativi di intrusione), ma può essere utilizzata anche per commettere
degli illeciti, come l’intercettazione fraudolenta di password o di altre
informazioni sensibili, che avviene attraverso la cattura dei pacchetti IP
che transitano nella rete. Per fare ciò, gli insider, in questo caso
22
37. abbastanza esperti, installano degli specifici software (packet sniffing),
per individuare e neutralizzare i quali bisogna costantemente
monitorare la rete, dotandosi di sistemi per la rilevazione delle
intrusioni (Intrusion Detection System), di cui si discuterà in modo più
approfondito nel Capitolo 4.
• SPOOFING
Si tratta di una tecnica, realizzabile da insider con buone conoscenze
informatiche, che consiste nella modifica dell’indirizzo IP o dell’indirizzo
e-mail di chi esegue l’attacco informatico e viene usata per indirizzare
verso altri la responsabilità dell’attacco stesso (ad esempio un DoS).
Anche in questo caso, le contromisure più efficaci sono quelle che si
avvalgono di un buon monitoraggio, realizzato attraverso sistemi di
logging/auditing e IDS/IPS.
• BACKDOOR/TROJAN HORSE
Si tratta di programmi che, sfruttando “porte di servizio” incautamente
lasciate aperte dagli sviluppatori di codice, riescono ad avere accesso ad
un sistema e a controllarlo da remoto. Si capisce subito, quindi, che le
23
38. conoscenze informatiche necessarie per perpetrare l’attacco devono
essere piuttosto buone.
Purtroppo, sono difficili da individuare, perché rimangono praticamente
invisibili e, molto spesso, sono in grado di simulare le attività di normali
programmi applicativi; inoltre, se progettati “bene”, sono in grado di
attivarsi in determinati intervalli di tempo, di auto-replicarsi e di avviare
funzionalità aggiuntive come, ad esempio, la protezione del canale di
comunicazione da e verso l’insider. La rimozione di un siffatto
programma può risultare di conseguenza molto ardua. Per prevenire tali
problemi, le contromisure da attuare consistono ancora una volta in un
attento monitoraggio dei computer attestati sulla rete aziendale, sui
quali si dovrà avere anche cura di installare e mantenere aggiornato un
buon sistema antivirus.
• TUNNELING
E’ una tecnica che permette di trasmettere e ricevere dati che in realtà,
in base alle politiche di sicurezza aziendali, non potrebbero transitare
nella rete, utilizzando l’escamotage di incapsularli all’interno di dati
consentiti.
24
39. I meccanismi a disposizione degli high profile insider per raggiungere
questo scopo sono diversi ed in continua evoluzione. Di conseguenza, le
contromisure possono essere molto complesse e sono attuabili ancora
una volta con l’aiuto di Intrusion Detection System e di specifici sistemi
di Content Inspection e di URL Filtering. Anche in questo caso,
comunque, può risultare estremamente efficace il ricorso ad una
strategia organizzativa orientata al coordinamento di diversi settori e,
quindi, anche ad un’adeguata formazione, che sia in grado di fornire ai
dipendenti gli strumenti per comprendere le motivazioni che hanno
spinto l’azienda ad impedire determinati tipi di traffico sulla rete e, più
in generale, ad adottare un insieme di politiche di sicurezza che, se non
spiegate al meglio, potrebbero essere assimilate come ingiustamente
restrittive.
1.5 Analisi dell’“Insider Threat Study” del 2005
Un interessante approccio al fenomeno dell’insider attack è fornito da
uno studio, presentato nel maggio 2005 dall’U.S. Secret Service in
collaborazione con il Software Engineering Institute della Carnegie
Mellon University di Pittsburgh (PA), dal titolo “Insider Threat Study:
25
40. Computer System Sabotage in Critical Infrastructure Sectors”. Esso può
rappresentare un ottimo strumento di prevenzione, in quanto aiuta a
capire le diverse componenti (psicologiche e tecnologiche) che stanno
alla base del problema, sviscerandole dal basso verso l’alto. Nello
studio, infatti, vengono analizzati diversi casi conclamati di questo tipo
di minaccia e, procedendo secondo una scala temporale inversa, che si
estende dal momento in cui viene rilevato l’incidente informatico a
quello in cui, presumibilmente, nella mente dell’insider è nata l’idea di
commettere l’illecito, si è cercato di delineare un quadro più preciso
possibile della situazione. Si è tentato, cioè, di fare luce sui particolari
aspetti comportamentali che sarebbero stati il preludio dell’illecita
attività tecnica di attacco. A tal scopo, partendo dall’analisi di 49 episodi
di insider attack, finalizzati al sabotaggio di qualche aspetto
dell’organizzazione e denunciati alle Autorità competenti11, i ricercatori
hanno voluto mettere a fuoco i seguenti punti:
• le caratteristiche dell’incidente,
11 Ovviamente, i dati statistici riportati saranno riferiti soltanto agli episodi denunciati che, purtroppo,
rappresentano solo una piccola parte degli illeciti effettivamente attribuibili ad insider; questo accade per i
già citati timori di pubblicità negativa per l’organizzazione vittima, ma anche per un quadro di prove spesso
insufficiente a dimostrare la responsabilità di una specifica persona.
26
41. • la rilevazione dell’incidente e l’identificazione dell’insider,
• la pianificazione e la comunicazione prima dell’incidente,
• la natura del danno subito dall’organizzazione vittima,
• l’applicazione delle leggi e la reazione dell’organizzazione,
• le caratteristiche dell’insider e dell’organizzazione vittima,
• il contesto sociale e la storia pregressa dell’insider,
• le capacità tecniche e gli interessi dell’insider.
Dall’analisi effettuata sui suddetti 49 episodi, si è potuto evidenziare
che, nella maggior parte dei casi, vi è stato un evento scatenante, legato
all’ambiente di lavoro, che ha innescato l’azione criminale. Si è inoltre
visto che, prima dell’attacco, molti degli insider si erano comportati in
modo strano sul posto di lavoro e avevano iniziato a pianificare il
sabotaggio. Dal punto di vista più prettamente tecnico, ciò che deve far
riflettere è il fatto che molti degli insider hanno potuto usufruire di
maggiori privilegi di accesso di quelli che effettivamente spettavano
loro, e li hanno poi utilizzati per sfruttare delle vulnerabilità dei sistemi
(applicazioni, processi, procedure); per fare ciò, in molti casi, si sono
27
42. avvalsi della manomissione di account e/o della possibilità di accesso
remoto.
1.5.1 Chi era l’insider
Nel 59% dei casi studiati, si è visto che gli insider erano degli ex-
impiegati o degli ex-consulenti dell’organizzazione; solo il 41% era
costituito da insider attualmente impiegati al momento dell’attacco.
Il tipo di contratto, nel 77% dei casi, era a tempo pieno. Le posizioni
ricoperte erano prevalentemente di tipo tecnico (67%); di questi, il 38%
era rappresentato da amministratori di sistema, il 21% da
programmatori, il 14% da ingegneri, ed il 14% specialisti IT.
Riguardo alle caratteristiche anagrafiche, si può dire soltanto che, nel
96% dei casi, si è avuto a che fare con un soggetto di sesso maschile, di
età variabile tra i 17 e 60 anni.
1.5.2 La motivazione dell’insider
I responsabili dell’amministrazione del personale dovrebbero essere
colpiti da un dato particolarmente allarmante: nel 92% dei casi, vi è stato
un evento scatenante, legato all’ambiente lavorativo, che ha poi
28
43. innescato le azioni degli insider. Nell’84% dei casi, esse sono state
animate da un desiderio di vendetta, sentimento strettamente correlato
con il risentimento che la maggior parte degli insider (85%) nutriva
prima dell’attacco e che era spesso causato dalla fine di un rapporto di
lavoro (47%), da un trasferimento (13%) o da un cattivo rapporto con i
superiori (20%).
1.5.3 Il comportamento dell’insider e la pianificazione prima
dell’attacco
Ancora dei dati all’attenzione delle amministrazioni del personale:
l’80% degli insider aveva manifestato comportamenti preoccupanti
(ritardi, assenze ingiustificate, discussioni con i colleghi e, in generale,
scarse prestazioni sul lavoro), che nel 97% dei casi era stato notato da
altre persone sul posto di lavoro e che, nel 74% dei casi, aveva avuto
conseguenze (ad esempio, il 31% aveva subito un richiamo disciplinare).
Per quel che riguarda la pianificazione dell’attacco, essa è stata ben
architettata nel 62% dei casi e, nel 31% di questi, è stata addirittura
comunicata ad altre persone (ed il 64% di queste erano colleghi di
lavoro). E, a proposito dei risentimenti maturati sul posto di lavoro, la
29
44. comunicazione (soprattutto verbale (92%) ma anche via e-mail (12%))
non è stata affatto trascurabile, se si considera che ben il 58% degli
insider aveva confidato ad altri il suo malumore.
1.5.4 Eventi che hanno favorito l’attacco
Agli amministratori della sicurezza non sfuggiranno le considerazioni
scaturite dai dati contenuti in questo sotto paragrafo.
Innanzitutto, dovrebbe stupire il fatto che la maggior parte degli insider
(57%) accedesse alle infrastrutture informatiche in qualità di
amministratore di sistema. Un altro 33% aveva addirittura i diritti di
utente privilegiato. Il problema sta nel fatto che, in molti dei casi, non
avrebbero affatto dovuto avere quei privilegi, ma la gestione superficiale
delle politiche di sicurezza aveva fatto sì che, nonostante per qualche
motivo non ricoprissero più i loro incarichi (e non avessero più quindi i
corrispondenti diritti di accesso), avessero continuato ad usufruire di
privilegi non dovuti. Tra questi, è stata determinante, ai fini della
riuscita di molti attacchi (compiuti al di fuori del normale orario di
lavoro), la possibilità di accesso remoto. Altre leggerezze gestionali si
sono rivelate poi utili alla causa dell’insider che, in molti casi, si è fatto
30
45. scudo di un account compromesso (ossia di un account creato ad hoc
per perpetrare l’attacco (20%) o delle username e password di un’altra
persona (33%), ecc.) e/o di un account condiviso12.
1.5.5 Rilevazione dell’attacco
Fa riflettere anche il fatto che la maggior parte degli episodi di insider
attack sono stati scoperti, quando ci si è accorti di irregolarità nei
sistemi: non c’è stata, cioè, un’adeguata prevenzione del fenomeno.
Altro fatto curioso è il dato secondo cui, nel 71% dei casi, l’attacco non è
stato rilevato da personale responsabile della sicurezza, ma bensì da
lavoratori che si sono accorte casualmente, durante il loro normale
utilizzo dei sistemi, di anomalie nello stesso.
C’è da dire inoltre che, una volta rilevato l’attacco, l’individuazione
dell’insider è stata resa possibile, nel 70% dei casi, dalla consultazione
dei system log, avviata però, quasi sempre, attraverso procedure
manuali e solo di rado in modo automatizzato.
12 Questi ultimi tipi di account, in particolare, sarebbero da evitare il più possibile in quanto creano delle
difficoltà all’individuazione certa del responsabile di un eventuale attacco.
31
46. 1.5.6 Conseguenze per l’organizzazione vittima
Bisogna precisare subito che violazioni ai requisiti base della sicurezza
(integrità, disponibilità e confidenzialità) si sono registrate sia sui dati
(94%) che sui sistemi/reti (57%).
E’ quasi ovvio poi aggiungere che, nella maggior parte dei casi, gli
attacchi si sono tramutati direttamente in danni economici per
l’organizzazione vittima.
Nel 75% dei casi, vi è stato un impatto immediato sul ciclo di business,
dato dall’interruzione delle comunicazioni (causato dal blocco della rete,
dei router, dei server, ecc.), dal blocco delle vendite (dovuto
all’impossibilità di utilizzo dei relativi database o applicazioni), dalla
perdita dei contatti con i clienti (a causa della modifica delle password
degli stessi), e dal danneggiamento di informazioni critiche (software
proprietari, dati, sistemi di elaborazione, ecc.).
Nel 28% dei casi, si sono registrati anche danni all’immagine
dell’organizzazione.
32
47. 1.5.7 Possibili strategie di prevenzione
Alla luce di quanto emerso dallo studio, bisogna enfatizzare il fatto che
un’attenta gestione dei rapporti col personale avrebbe potuto prevenire
gran parte degli episodi di insider attack. In tal senso, il suggerimento
immediato che viene dall’”Insider Threat Study” del 2005 (soprattutto
dopo aver estrapolato da esso le principali motivazioni che stavano alla
base delle azioni degli insider) consiste nell’opportunità di
implementare apposite procedure per arginare gli eventi scatenanti
legati all’ambiente lavorativo. Si dovrebbe, cioè, trovare il modo di
affrontare il problema costituito da quegli impiegati che sono stati
segnati da un’esperienza negativa sul posto di lavoro, così da guidarli
verso un percorso costruttivo, che si avvalga anche della collaborazione
degli altri lavoratori e che possa fornire delle valide alternative al
risentimento del potenziale insider. A tal scopo, si potrebbero ad
esempio creare dei forum che diano voce alle preoccupazioni degli
impiegati e che costituiscano quindi una valvola di sfogo per tale
risentimento che, a questo punto, non si manifesterebbe più con atti di
sabotaggio ai danni dell’organizzazione. Bisogna dire inoltre che, dando
33
48. ad un dipendente la sensazione di avere voce in capitolo e di essere
ascoltato dall’organizzazione di cui fa parte, si può ridurre
drasticamente il suo eventuale desiderio di distruggere, come si suole
dire, il sistema dall’interno.
Bisognerebbe poi gestire in modo formale e ordinato gli eventuali
comportamenti preoccupanti che si manifestano all’interno
dell’organizzazione. Per fare ciò, occorre prima sensibilizzare i
dipendenti all’osservazione ed alla comunicazione (eventualmente in
forma anonima) di anomalie comportamentali, spiegando loro che
questo è finalizzato ad evitare di accorgersi di un attacco, solo quando
questo è ormai compiuto. Si deve poi essere in grado di gestire tali
osservazioni e comunicazioni nel modo più professionale possibile,
avendo cura di condividerle con i diversi settori dell’organizzazione e di
documentare ogni nuovo caso, affinché sia di aiuto per quelli futuri e
possa far procedere ad eventuali provvedimenti disciplinari.
Dopo aver analizzato le strategie di prevenzione di competenza delle
amministrazioni del personale, si può passare ad analizzare i
provvedimenti tecnici che potrebbero arginare il fenomeno dell’insider
34
49. attack. Anche se sembrerà banale dirlo, la prima cosa da fare, quando
termina il rapporto di lavoro con un qualsiasi impiegato (dipendente o
consulente che sia), è disabilitarne gli account di accesso (compresi
quelli condivisi) ai sistemi/reti/informazioni, con particolare riguardo a
quelli per l’accesso remoto. Per i lavoratori in corso d’opera, invece, non
si deve mai dimenticare di monitorarne le azioni che impattano con le
infrastrutture informatiche, stabilendo in particolare dei controlli sui
diritti di accesso privilegiato. Troppo spesso, infatti, viene sottovalutato
l’enorme potere detenuto dagli amministratori di sistema, soprattutto
quando sono gli unici depositari di informazioni, programmi, ecc13. Una
regola utile da adottare potrebbe essere allora quella di affidare a due
persone i compiti particolarmente critici per un’organizzazione, in modo
da rendere meno probabili eventi catastrofici o almeno più semplici le
operazioni di ripristino.
Una menzione a parte merita poi la politica delle password, che deve
essere ben comprensibile a tutti, e corredata, se necessario, da
un’adeguata formazione, in modo da rendere i lavoratori consapevoli
13 Molti degli autori dei casi di sabotaggio presenti nell’Insider Thereat Study del 2005 erano gli unici
responsabili della risorsa in seguito danneggiata, per ripristinare la quale, in alcuni casi, sono stati necessari
addirittura diversi mesi di lavoro!
35
50. quantomeno del rischio di comunicare ad altri le proprie username e
password14, ponendo l’accento anche sul fenomeno del social
engineering. Tecnicamente parlando, poi, le politiche di sicurezza
aziendali dovrebbero imporre l’uso di strong password e impedirne la
condivisione.
Infine, una gestione ottimale delle risorse (sia hardware che software)
dovrebbe prevedere un censimento delle stesse, che ne registri la
configurazione base e preveda poi delle revisioni periodiche, per
verificare se ci sono state delle modifiche anomale e, in tal caso,
adottare gli opportuni provvedimenti.
Per fare ciò, come si è già avuto modo di sottolineare, è necessario un
monitoraggio costante delle infrastrutture informatiche, che miri alla
prevenzione degli attacchi e non solo ad individuarne i responsabili
(tramite i system log) quando sono già avvenuti. Anche in questo caso,
la gestione degli eventi è di importanza fondamentale: una volta che si è
rilevato un attacco, bisogna essere in grado di mettere in allerta il
personale di sicurezza, il quale dovrà essere pronto ad agire in qualsiasi
14 Molti degli attacchi analizzati nell’Insider Threat Study del 2005 sono stati portati a termine avvalendosi
degli account di altri dipendenti dell’organizzazione o di account condivisi.
36
51. momento. Infine, un’ultima banalità: finché i system log saranno il
mezzo principale (se non addirittura l’unico) per risalire all’identità di
chi ha perpetrato l’attacco, bisogna provvedere attentamente anche alla
loro messa in sicurezza.
Prima di concludere questa dissertazione, non si può non ritornare sullo
spinoso tema dei danni economici che possono colpire
un'organizzazione quando vengono rese inutilizzabili delle risorse
critiche. Per evitare quei danni, non si può prescindere dal garantire la
sopravivenza di quelle risorse critiche, che può essere ottenuta solo
attraverso l’implementazione di adeguate procedure di backup, di
ripristino, di test e, non ultima, di protezione dei mezzi e dei contenuti
di queste procedure. Solo così, si potrà garantire la tanto anelata
business continuity.
1.6 Elementi aggiuntivi introdotti dall’“Insider Threat
Study” del 2004
A questo punto, può essere utile mettere in evidenza alcune lievi
differenze, sia comportamentali che tecnologiche, emerse da un
precedente studio (agosto 2004), sempre per opera dell’U.S. Secret
37
52. Service e del Software Engineering Institute della Carnegie Mellon
University di Pittsburgh (PA), dal titolo “Insider Threat Study: Illecit Cyber
Activity in the Banking and Finance Sector”, che prendeva in esame, in
particolare, i casi in cui gli accessi non autorizzati o le manipolazioni dei
sistemi erano finalizzati ad un profitto economico per chi li compiva.
Trattandosi, inoltre, di attacchi ai danni di banche o, più in generale, di
compagnie operanti nel settore finanziario15, si capisce subito come le
perdite economiche non siano state affatto sporadiche16. Purtroppo
infatti, proprio per la loro natura, le organizzazioni finanziarie devono
consentire l’accesso alle risorse monetarie a molti dei loro dipendenti, ai
quali si concede automaticamente la possibilità di danneggiare
l’integrità dei dati delle organizzazioni stesse, che rappresentano la loro
maggiore risorsa e, quindi, anche la loro maggiore occasione di perdite
economiche.
Le caratteristiche salienti, emerse dagli episodi trattati nello studio del
2004, riguardano la constatazione delle scarse competenze tecniche
15 Oggetto dello studio sono stati 23 episodi di insider attack, perpetrati tra il 1996 ed il 2002, a danno di
organizzazioni operanti nel settore finanziario.
16 Le organizzazioni hanno subito danni economici nel 91% dei casi, ancora di più, quindi, che nel caso di
sabotaggio alle infrastrutture critiche, in cui riguardava “soltanto “l’81% dei casi (cfr. §1.5.6).
38
53. (ancora di più che per i casi di sabotaggio alle infrastrutture critiche
analizzati nello studio del 2005), possedute da coloro che hanno
commesso i reati, e dell’attuazione degli stessi soprattutto durante il
normale orario di lavoro (piuttosto che da remoto e al di fuori del
normale orario di lavoro, come accadeva per molti dei casi riportati nello
studio del 2005), fatti che dovrebbero spingere le organizzazioni a
capire che la cultura della sicurezza informatica deve riguardare tutti i
loro settori e a tutti i livelli, e che, quando l’attacco non si appoggia su
grosse conoscenze tecniche, forse le contromisure più adeguate non
sono quelle tecnologiche. Si dovrebbe, infatti, investire di più in
formazione per tutti i dipendenti, sia perché, spesso, chi si comporta da
insider è vittima della tecnomediazione e, in realtà, non agirebbe mai
alla stesso stregua in uno scenario non virtuale (cfr. §1.2), sia perché i
dipendenti stessi possono essere educati ad individuare eventuali
comportamenti anomali (prima che siano causa di danni maggiori), se si
ha cura, ovviamente, di dargli anche indicazioni chiare su come
segnalarli. Così facendo, tra l’altro, si creerebbe immediatamente un
valido deterrente per coloro che spesso arrivano ad agire solo perché,
39
54. sottovalutando i sistemi di monitoraggio, pensano di non essere
scoperti.
Bisogna sottolineare, infine, l’importanza delle manifestazioni
comportamentali, che si esplicava, nei diversi episodi trattati nello
studio del 2004, sia con la circostanza che molti dei (futuri) insider
avevano precedentemente dimostrato di essere insoddisfatti del loro
salario (o, più in generale, delle loro condizioni di lavoro), sia con il fatto
che molti di loro avevano avuto dei precedenti penali.
In conclusione, ancora una volta, si capisce quanto possa essere
determinante l’attenzione che si presta alle risorse umane ed alla loro
formazione.
1.7 Considerazioni sulle possibili contromisure
tecnologiche
Dopo aver fatto una panoramica sui principali aspetti di carattere
criminologico, che sono alla base del fenomeno dell’insider attack, nei
successivi capitoli, si prenderanno in esame alcune possibili soluzioni
tecnologiche per la prevenzione di questo tipo di eventi.
40
55. Da quanto emerso finora, si può facilmente capire che esistono
sostanziali differenze fra quegli insider che agiscono per dolo (in
genere, high profile insider) e quelli che rientrano in tale categoria per
superficialità o inconsapevolezza (low profile insider). Le contromisure
da prendere nei vari casi possono allora essere diverse, ma bisogna fare
in modo che siano facilmente integrabili fra loro, in modo da non
precludere nessuna via di soluzione.
In particolare, chi scrive ritiene una strategia di end-point security più
adatta a contrastare gli insider di basso profilo (cioè la percentuale più
consistente di essi), perché controlla a priori che un dispositivo rispetti
le politiche di sicurezza di una rete prima di consentirgli l’accesso alla
stessa; tale strategia non può, però, essere vincente nei confronti di
quelle persone che, dopo essere state lecitamente autorizzate ad entrare
in un sistema, lo manipolano in qualche modo per trarne profitto o per il
“solo” scopo di danneggiarlo. In questi ultimi casi, impedire l’accesso
non è possibile o può non bastare, e bisogna individuare tecnologie (o
percorsi di formazione) più calzanti, che rendano difficoltose le azioni
dolose, successive all’ingresso in una rete. Resta comunque vero che
41
56. bisognerebbe sempre, in prima istanza, provare ad intervenire sul
fattore umano degli individui, cercando di capire se quelle persone
agirebbero comunque, anche in un contesto non mediato dai dispositivi
informatici e, in caso contrario, operare quegli interventi di carattere
psicologico (di cui si è parlato nei paragrafi precedenti), che possono
portare a risultati significativi. Ad esempio, come già evidenziato, la
conoscenza della normativa in materia e/o un’adeguata
sensibilizzazione sulla concretezza dei danni, che possono scaturire
dall’uso deviato di un mezzo virtuale, possono costituire un ottimo
deterrente e spingere un potenziale insider a riflettere maggiormente,
prima di passare all’azione (e, magari, a desistere dai suoi propositi).
Quando, invece, il dolo è totalmente consapevole, bisogna essere capaci
di contrastarlo con efficaci contromisure tecnologiche, quali il
monitoraggio puntuale dei sistemi, in modo da saper individuare per
tempo eventuali anomalie fraudolente negli stessi. E’ questo il principio
in base al quale lavorano gli Host Intrusion Detection System (HIDS),
dispositivi in grado di confrontare periodicamente lo stato di un sistema
con la “fotografia” che di esso è stata fatta (e conservata) ad un
42
57. determinato istante, e di inviare allarmi quando non vi è più
corrispondenza con quella “fotografia”, ossia quando vengono
riscontrate irregolarità.
Comunque, prima di approfondire meglio questi argomenti specifici, nel
prossimo capitolo si tenterà di fare una breve panoramica generale sulle
varie componenti che dovrebbero costituire le fondamenta di un buon
sistema di sicurezza informatica; fondamenta senza le quali risulterebbe
difficile affrontare tematiche in continua evoluzione, che necessitano di
attenzioni particolari e di adeguate capacità gestionali.
43
58. Capitolo 2
La difesa in profondità
2.1 Il significato di una strategia di difesa in
profondità
A questo punto, prima di passare in rassegna (nei successivi due
capitoli) le contromisure tecnologiche che si ritengono più efficaci nel
contrasto dell’insider attack, si vuole mettere l'accento sull’importanza
di una filosofia che si sta cercando di diffondere nel campo della
sicurezza informatica: la difesa in profondità. Con questo concetto, si
intende identificare un insieme di meccanismi di difesa, che coinvolgono
in varia misura i diversi livelli di una infrastruttura di rete, al fine di
garantire il rispetto dei tre requisiti fondamentali della sicurezza
informatica (confidenzialità, disponibilità e integrità) che, in pratica,
significa proteggere i dati, i sistemi, le reti e gli utenti, vale a dire le
risorse interne di una qualsiasi organizzazione.
Il vantaggio più evidente che deriva dal possedere diversi meccanismi di
difesa consiste in una maggiore robustezza dell’intero sistema, che può
in tal modo sopravvivere più facilmente all’eventuale attacco/guasto di
44
59. uno di essi; è ovvio sottolineare però che, per avere efficacia, i diversi
meccanismi devono essere adeguatamente gestiti.
Una buona gestione, nel campo della sicurezza informatica, significa
innanzitutto analisi del rischio; un’organizzazione deve cioè tener conto:
• delle sue risorse (dati, sistemi, utenti),
• delle vulnerabilità insite nelle suddette risorse,
• delle minacce che possono sfruttare le vulnerabilità di cui sopra.
Mentre l’ultimo punto è normalmente fuori dal controllo di
un’organizzazione, quest’ultima può, anzi deve, gestire in modo
opportuno i primi due: le risorse devono cioè essere censite e
classificate secondo il livello di protezione che si ritiene per esse più
appropriato, mentre le vulnerabilità devono essere quanto più possibile
ridotte (o meglio, rimosse) e, quando non eliminabili, devono
assolutamente rimanere separate dalle attività di business
dell’organizzazione.
Fatta questa premessa, si può passare a descrivere le diverse
componenti di una strategia di difesa in profondità.
45
60. 2.2 Politiche di sicurezza (Security Policies Layer)
Le politiche di sicurezza aiutano un’azienda a proteggere le sue risorse
di business ed i suoi dipendenti, attraverso una serie di:
• indicazioni su come proteggere le risorse di business,
• regole di condotta per gli utenti,
• autorizzazioni particolari per gli addetti alla sicurezza (al fine di
svolgere essenziali funzioni di monitoraggio e collaudo di
dispositivi e reti che, per altri utenti, costituirebbero violazioni del
sistema informatico),
• linee guida per verificare la conformità alle politiche di sicurezza,
• conseguenze in caso di violazione delle politiche di sicurezza,
• istituzione di periodici aggiornamenti delle politiche di sicurezza
al fine di contrastare nuove vulnerabilità e minacce.
E’ opportuno sottolineare che, in realtà, lo scopo principale delle
politiche di sicurezza dovrebbe essere quello di educare tutti i
dipendenti ai loro doveri nella protezione delle risorse tecnologiche e
delle attività di business dell’azienda. Ritorna, quindi, l’importanza della
formazione, che deve essere vista come uno strumento fondamentale
46
61. per contrastare quella particolare (e imprescindibile) debolezza insita in
qualsiasi sistema di sicurezza: il fattore umano, elemento che deve
essere preso in seria considerazione quando si stilano delle politiche di
sicurezza, dal momento che la principale violazione alle norme di
sicurezza, secondo le indagini di settore, è costituita proprio dall’errore
umano17, ragion per cui, tra l’altro, le regole stabilite dovrebbero essere
le più semplici ed efficaci possibili.
2.3 Password efficaci (Strong Password Layer)
Di solito, per accedere ad un sistema, ad un utente autorizzato viene
richiesta una combinazione di username e password. Data la consueta
prevedibilità degli username, bisogna fare in modo che le password non
siano altrettanto facili da indovinare, così da rendere difficile l’attività di
un eventuale password-cracker, che volesse illecitamente guadagnarsi
l’accesso al sistema stesso.
17 L’indagine dal titolo “Committing to security: A Comp TIA Analysis of IT Security and the Workforce”,
rivolta a 638 organizzazioni dei settori pubblico e privato, ha rilevato infatti che, nel 63% dei casi, le
violazioni alla sicurezza avvengono a causa di errori umani; solo l’8% di esse è causata da guasti tecnici.
47
62. Ovviamente, l’uso di password efficaci dovrebbe essere stabilito dalle
politiche di sicurezza dell’azienda (e non affidato solo al buon senso dei
dipendenti) e dovrebbe obbligare a:
• utilizzare almeno 8 caratteri,
• usare almeno 3 dei seguenti elementi:
lettere maiuscole,
lettere minuscole,
numeri,
caratteri speciali (! & @ $ # % ^ *, ecc.),
• cambiare password almeno ogni 60 giorni.
2.4 Sicurezza perimetrale (Perimeter Protection with
Firewall Layer)
I firewall hanno lo scopo di consentire o proibire (sulla base di regole
su di essi impostate dagli amministratori della sicurezza informatica)
l’accesso verso (o proveniente da) i segmenti di rete su cui sono
attestati.
Possono essere suddivisi nelle tre seguenti categorie, sulla base dei
diversi meccanismi con cui lavorano:
48
63. • un packet filter firewall è in pratica un router che, in base alle
Access Control List (ACL) su di esso impostate, decide se un
dispositivo può accedere o meno ad una rete; adotta la politica
secondo cui “tutto è consentito, tranne ciò che è espressamente
proibito”;
• un proxy server firewall è in pratica un server che fa da
intermediario, per una particolare applicazione (e.g. l’accesso ad
Internet), nel traffico fra reti differenti; adotta la politica secondo
cui “tutto è proibito, tranne ciò che è espressamente consentito”;
• uno stateful inspection firewall è un dispositivo abbastanza veloce
e sicuro (in pratica, una via di mezzo fra un packet filter firewall,
veloce ma poco sicuro, ed un proxy server firewall, lento ma più
sicuro), che riesce a controllare eventuali anomalie nei pacchetti IP
(che potrebbero corrispondere ad un tentativo di attacco
informatico); adotta la politica secondo cui “tutto è proibito,
tranne ciò che è espressamente consentito”.
Utilizzabili anche come mezzo di protezione interna per le infrastrutture
critiche (segmenti di rete o server), i firewall rappresentano uno
49
64. strumento necessario (ma non sufficiente) per la prevenzione contro
l’insider attack.
2.5 IDS (Intrusion Detection Systems Layer)
Come si sottolineava alla fine del precedente paragrafo, i firewall da
soli non bastano a contrastare gli attacchi informatiche; sicuramente,
sono molto più efficaci se sono supportati dagli IDS che (come si vedrà
in modo più approfondito nel Capitolo 4) sono in grado di tenere sotto
controllo, alla ricerca di eventuali anomalie, sia le reti (Network Intrusion
Detection Systems, NIDS) che i singoli host (Host Intrusion Detection
Systems, HIDS). Una buona combinazione di NIDS e HIDS può rendere
molto efficace questo livello di difesa, anche contro minacce come
l’insider attack.
2.6 Filtraggio dei contenuti (Content Filtering Layer)
Il filtraggio dei contenuti è un meccanismo che permette (attraverso
l’uso di sistemi antivirus e antispam ed il controllo degli allegati e delle
navigazione web) di limitare, alle sole accezioni veramente necessarie,
quelle attività (soprattutto e-mail e web-browsing) che sono diventate
50
65. ormai indispensabili per le aziende, ma che, troppo spesso, se se ne fa
un uso inadeguato, nascondono delle insidie.
Questo tipo di sistemi possono rivelarsi molto utili, fra l’altro,
nell’impedire che informazioni sensibili vengano illecitamente inviate al
di fuori dell’azienda, esponendo la stessa al rischio di danni
all’immagine e di perdita di competitività.
2.7 Crittografia dei dati (Encryption Data Layer)
Anche se non molto diffuso, è un procedimento che può essere
utilizzato sia per preservare il traffico dati dall’eventuale frapposizione
di un attaccante tra mittente e destinatario di una comunicazione (man
in the middle attack - cfr.§1.4), sia per prottegere i dati immagazzinati
(in server e/o database) da accessi non autorizzati. L’implementazione
di questo meccanismo garantisce una protezione efficace, anche nel
caso in cui, malauguratamente, tutti gli altri livelli di difesa dovessero
fallire.
51
66. 2.8 Considerazioni finali sul concetto di difesa in
profondità
Al termine di questo capitolo, si vuole porre l’accento sul fatto che la
difesa in profondità non è la soluzione a tutti i problemi di sicurezza
informatica, ma è sicuramente una buona base di partenza per
affrontare in modo costruttivo delle problematiche che, essendo
soggette a rapida evoluzione, necessitano di periodiche revisioni e
aggiornamenti, in modo che sia sperabile la prevenzione delle minacce o
quantomeno possibile la difesa puntuale dalle stesse.
52
67. Capitolo 3
End-point security
3.1 Un approccio necessario contro le minacce
inconsapevoli
I tradizionali standard di controllo di accesso alle reti hanno come
fondamento o l’autenticazione dell’utente (tramite password o
certificato digitale) o la restrizione d’accesso basata su indirizzi IP o
MAC. Entrambe le soluzioni, però, non sono in grado di arginare
attacchi informatici originati da dispositivi legittimamente autenticati
che, come si è visto, oggi costituiscono una grossa parte dei problemi di
sicurezza informatica. Infatti, “uno degli scenari da incubo in cui un
security manager non vorrebbe mai trovarsi (e in cui invece si trova
puntualmente) è questo: i dirigenti e gli agenti di vendita dell'azienda
(cioè le categorie di utenti informatici meno esperte) sono dotati di
notebook e di giorno sono connessi alla rete aziendale, protetti da
costosissime infrastrutture di sicurezza. Di sera però questi indefessi
lavoratori si portano il notebook a casa e lo collegano alla linea
casalinga, ormai quasi ovunque DSL a banda larga, sfruttando la
53
68. dotazione aziendale per scopi più che ludici: navigazione di siti
pornografici o di distribuzione illegale di software (warez), scambio di
canzoni o film via reti P2P, ecc. Queste attività portano gli inesperti e
poco protetti utenti ad infettarsi con virus e worm che la mattina dopo,
tornando in ufficio e ricollegando il loro fiammante portatile, diffondono
per tutta la rete aziendale, scavalcando la maggior parte dei sistemi di
protezione e bloccando l'attività di tutti.”
Questa dichiarazione (cfr. Opere Consultate, [ICT_05_03_72]), fatta da
Alessandro Perilli, CEO di un’importante azienda che si occupa di
sicurezza informatica, rende immediatamente evidente il cambiamento
di punto di vista che ha iniziato a permeare il settore e che, partendo
dalla considerazione che anche i sistemi autenticati possono essere non
sicuri, ha portato alla nascita di tecnologie per il controllo degli accessi
più evolute.
In pratica, sempre secondo Perilli, bisogna ormai comprendere che
qualunque macchina può essere una minaccia, anche inconsapevole, per
le macchine che le sono direttamente connesse e quindi che, se si vuole
attuare una strategia vincente, bisogna attenersi al principio che
54
69. qualunque macchina è considerata colpevole fino a prova contraria. E’
questa la filosofia su cui si basa la end-point security, filosofia senza la
quale, tra l’altro, ci si dovrebbe limitare a contrastare minacce
informatiche già conosciute, atteggiamento questo assolutamente da
evitare dal momento che ormai si va verso le zero day vulnerability e
non si può quindi rinunciare ad adottare una strategia di prevenzione,
piuttosto che di pura reazione.
3.2 Principi base di un approccio di end-point
security
Una strategia di end-point security è basata sull’impiego si specifici
moduli atti a verificare in qualsiasi momento il rispetto delle politiche di
sicurezza di un dispositivo che voglia attestarsi sulla rete aziendale, in
modo tale che esso ne riceva l’autorizzazione solo se è conforme alle
politiche di sicurezza dell’azienda, altrimenti verrà temporaneamente
isolato su una VLAN con funzionalità limitate o in un’area dedicata, in
cui gli verrà data la possibilità di reperire il software che lo metta nelle
55
70. condizioni di rispettare le politiche di sicurezza necessarie per l’accesso
alla rete.
richiesta di accesso
alle risorse
verifica requisiti
quarantena
recupero software
accesso alle risorse
Figura 7 – Diagramma di flusso rappresentativo della filosofia di end-point security
Per arrivare a questo, si è mirato ad una estensione delle interazioni
(non più limitate soltanto al client ed al policy server), in modo da
permettere al policy server di dialogare con diversi dispositivi di rete
(router, switch, altri policy server), e si è introdotto il principio
dell’autenticazione centralizzata.
56
71. 3.3 La soluzione client-server di Microsoft
3.3.1 La NAP a grandi linee
Microsoft propone una soluzione chiamata Network Access Protection
(NAP) che diverrà operativa sui prossimi sistemi operativi (attualmente in
fase di test) Windows Server™ “Longhorn” (per i server ) e Windows
Vista™ (per i client). La piattaforma NAP permette di limitare l’accesso
dei computer, che vogliono connettersi ad un sistema, finché non viene
verificato che essi siano conformi alle politiche di sicurezza vigenti sul
sistema stesso. In questo modo, la NAP riesce ad aiutare gli
amministratori a mantenere “sani” i computer sulla rete e, di
conseguenza, a conservare l’integrità d’insieme della rete.
3.3.2 Possibili scenari NAP
La piattaforma NAP può quindi rivelarsi estremamente utile per gli
scopi descritti di seguito:
• controllare lo stato dei dispositivi mobili che, in quanto tali, sono
spesso lontani dalla rete aziendale e, quindi, impossibilitati a
riceverne gli aggiornamenti per la sicurezza; essendo inoltre
57
72. probabile che si connettano ad altre reti, della cui affidabilità non
ci si può accertare, aumenta notevolmente il rischio che, quando
si riconnettono alla rete aziendale, portino con se’ un pericoloso
bagaglio di minacce informatiche, che viene invece neutralizzato a
priori dalla NAP, dato che essa riesce a fare in modo che non
venga autorizzato l’accesso prima della bonifica del dispositivo;
• controllare lo stato dei dispositivi fissi, di cui si dovrà verificare
automaticamente il costante rispetto dei requisiti di sicurezza e,
in caso di non conformità, tenerne traccia mediante appositi log;
• determinare lo stato dei dispositivi ospiti, ai quali potrebbe non
essere necessario consentire l’accesso all’intera rete, ma potrebbe
essere bensì opportuno confinarli in un’area ristretta, in modo tale
che la loro eventuale violazione delle politiche di sicurezza non
costituisca un pericolo per l’azienda;
• verificare la compatibilità dei computer che accedono alla rete da
casa tramite VPN, consentendo questo tipo di connessione
soltanto a quei dispositivi che rispettano le politiche di sicurezza
aziendali.
58
73. 3.3.3 Componenti della NAP
Per riuscire a coadiuvare le tecnologie tradizionali nella limitazione
degli accessi alle reti, la NAP è costituita da appositi componenti
applicativi:
• il DHCP Enforcement per il DHCP (Dynamic Host Configuration
Protocol);
è costituito da una componente server, il DHCP NAP ES
(Enforcement Server) ed una client, il DHCP NAP EC
(Enforcement Client) ed è facile da implementare, perché
tutti i dispositivi che vogliono attestarsi su una rete devono
necessariamente passare per il DHCP;
• il VPN Enforcement per le connessioni tramite VPN (Virtual Private
Network);
è costituito da una componente server, il VPN NAP ES
(Enforcement Server) ed una client, il VPN NAP EC
(Enforcement Client) e viene applicato ogni qual volta un
dispositivo tenta di accedere ad una rete tramite VPN;
59
74. • l’IEEE 802.1X Enforcement per l’autenticazione di rete medianate
IEEE 802.1X;
è basato su un NPS server (Network Policy Server), in grado
di istruire i punti di accesso alla rete (switch Eternet o
wireless access point) ad assegnare un profilo di accesso
limitato a quelle componenti client, EAP Host EC
(Enforcement Client), che non possono ancora essere
dichiarate conformi;
• l’IPsec Enforcement per le connessioni mediante IPsec (Internet
Protocol security);
è basato su un HCS server (Health Certificate Server), in
grado di ottenere i certificati digitali per quelle componenti
client inizialmente in quarentena, IPsec NAP EC
(Enforcement Client), una volta che sono state dichiarate
conformi; in tal modo, riesce a consentire le comunicazioni
di rete ai soli dispositivi che ne rispettano le politiche di
sicurezza e, facendo leva su IPsec, consente di stabilire tali
politiche in base all’indirizzo IP o al numero di porta
60