Venerdì 14 Dicembre 2018 | 11:32

GDM.TV

L'esperienza di un professionista della sicurezza ed i problemi da combattere in Puglia

Lino Fornaro è stato la mente dell'incontro organizzato in Assindustria. E' un professionista della sicurezza che ogni giorno si trova a combattere contro l'«in cultura», la scarsa attenzione di clienti che sottovalutano quanti problemi possono derivare da una non messa in sicurezza dei loro sistemi informatici; perché ogni rete può anche non essere interessante direttamente per un hacker, ma diventare un ottimo trampolino di lancio per un attacco in grande stile verso una diversa destinazione ed in questo caso la responsabilità si paga.

Qual è il reale pericolo che i piccoli imprenditori corrono nel sottovalutare il problema della sicurezza?

La risposta non può essere che delle più classiche: la cura costa più della prevenzione, ed i danni non sono solo materiali. E' proprio per questo che i piccoli come i grandi imprenditori dovrebbero documentarsi sul problema della sicurezza, per poter comprendere la reale ed effettiva situazione del panorama Security. In fondo si tratta di tutelare il proprio business, non quello altrui.
La cattiva o a volte assente informazione, è il pericolo maggiore in quanto, se non si ha una visione globale, si rischia di adottare misure che ci creano un falso senso di sicurezza e che di sicurezza hanno invece ben poco.
Un messaggio forte che voglio dare agli imprenditori è questo: non fidatevi di chi vi fornisce prodotti preconfezionati: la sicurezza è un processo e non un prodotto; la si raggiunge anche con l'utilizzo di prodotti (es. Firewall) ma senza una attenta analisi, il prodotto da solo non risolve il problema e fa abbassare la guardia.
Tra l'altro avvento di tecnologie a basso costo (Vedi xDSL, Wireless, ecc.) fa si che aziende con budget limitato utilizzino queste tecnologie senza capirle e chi le fornisce, poco si cura di fornire "le istruzioni per l'uso più idonee", forse temendo di perdere una vendita e magari anche l'occasione di dimostrare al cliente di essere un fornitore al passo coi tempi.
Niente di più pericoloso. Chi compra una connettività always-on a basso costo, difficilmente compra anche un Firewall, fidandosi della falsa sicurezza del Modem/router DSL. Questo però perché non sa neanche di averne bisogno o perché chi fornisce il servizio non dice tutta la verità sulla sicurezza fornita dal Modem/Router.
Che dire di situazioni in cui la presenza di una connessione xDSL convive con la presenza di reti wireless? Semplicemente che qualcuno potrebbe commettere qualsiasi nefandezza, o crimine informatico, sfruttando la possibilità di entrare nella rete Wireless dell'azienda sia per sbirciare traffico di rete e documenti, che per utilizzare la connessione xDSL per attaccare qualche vittima che non potrà fare altro che prendersela, e a ragione, con l'azienda titolare della connessione xDSL. E le sanzioni sono anche di tipo penale, non solo amministrative.
Con questo non voglio seminare il panico in coloro che già hanno investito in certe direzioni o che hanno intenzione di farlo, anzi, voglio solo diffondere consapevolezza e rassicurarli che i sistemi per ridurre il livello di rischio in maniera considerevole esistono e a volte semplici buone regole rendono più di costosi firewall, ma che non si possono sottovalutare certi aspetti.


Qualche tempo fa un worm ha letteralmente mandato in tilt un bel po' di sistemi informatici, che cosa è successo? E piuttosto può succedere ancora?

Il worm, battezzato Sapphire, è stata la dimostrazione pratica di una realtà preoccupante: gli amministratori di sistema non fanno bene il loro dovere; infatti le contromisure per questo attacco erano disponibili da mesi.
Questo perché? In alcuni casi per effettiva colpa dei sysadmin, ma in molti casi sono due i fattori che condizionano e complicano il lavoro dei sysadmin:
1) le loro aziende non comprendono a fondo il loro ruolo e li caricano di altro lavoro che porta i sysadmin a distrarsi dal loro vero compito;
2) l'eccessiva quantità di bachi (errori) presenti nei sistemi operativi e nelle applicazioni server scoraggia questa continua rincorsa alle patch e alla continua ricerca di soluzioni, specie per i sistemi Microsoft.

Tecnicamente, l'attacco è stato di tipo applicativo (stack buffer overflow), sfruttando un baco di SQL Server e di MSDE 2000. Attraverso la porta UDP 1434 il worm raggiunge la macchina vittima, staziona nella memoria RAM (e non sul disco) e genera altro traffico diretto a IP randomici sempre verso la porta UDP1434, causando un elevato traffico che ha congestionato la rete.
Il rimedio immediato poteva essere un reboot della macchina, visto che il worm era in memoria e non sul disco (e che un reboot pulisce la memoria RAM), ma se non è patchato immediatamente, dopo aver staccato il server dalla rete, il server stesso si sarebbe reinfettato molto facilmente.
Ma questo, ovviamente, lo si è saputo in seguito, quindi nessuno processi nessuno, se non se stesso.
L'attacco ha inoltre dimostrato che chi non provvede ad applicare la patch al sistema affetto da questa vulnerabilità, potrebbe in teoria essere vittima di un altro attacco mirato diretto a sfruttare tale vulnerabilità per prendere possesso del sistema.
Infatti il worm, che altro non è che software, girava nella memoria dei server con autorizzazione Local System.

Può succedere ancora? La risposta è assolutamente sì, anzi aggiungo che non avendo nessuno di noi né una bacchetta magica, ne una sfera di cristallo, l'unico modo per limitare al massimo (attenzione non eliminare!) il pericolo di questi attacchi è definire con personale esperto in sicurezza informatica, una politica di sicurezza basata su una strategia di difesa molto restrittiva, che integri la semplice applicazione di patch.
La tecnologia e gli strumenti che questa ci mette a disposizione, insieme ai comportamenti umani, sono il mezzo attraverso il quale si possono raggiungere gli obiettivi definiti da una Security policy che solo l'esperienza di chi opera in questo settore da anni ci può aiutare a definire.


C'è uno standard di qualità nella sicurezza informatica dal quale l'imprenditore può partire per orientarsi?

Gli standard di riferimento esistono e si stanno definendo in termini di norme ISO ma, come sempre il principio ispiratore è il buon senso affiancato da una conoscenza del problema. In una piccola azienda, non è necessaria una certificazione di Qualità per raggiungere un livello di sicurezza accettabile. Una buona consulenza è la base di partenza, ma bisogna rivolgersi a consulenti focalizzati sulla problematica.
Per semplificare il concetto: il costo della sicurezza deve essere proporzionato al valore del business che stiamo difendendo, è chiaro comunque che esiste un livello minimo di investimento al di sotto del quale non possiamo parlare di sicurezza informatica.


Scenari futuri: Cosa succederà con il wireless? È davvero così pericoloso?

Il wireless è sicuramente una soluzione comoda e funzionale in ambienti in cui non è possibile effettuare un cablaggio (vedi edifici storici, ecc.) ma in altre situazioni, è scelto perché è decisamente più economico di una rete cablata.
In questo secondo caso, dove il wireless può essere evitato, bisogna comunque considerare che una rete wireless non è performante come una rete cablata e che ciò che viaggia nell'etere è molto più facile da catturare rispetto a ciò che viaggia in un filo; quindi lo standard di sicurezza dei dati che viaggiano in rete può essere compromesso.
Il wireless è stato imposto dal mercato prima che la tecnologia fosse arrivata ad un livello di maturità tale da garantire livelli qualitativi e di sicurezza che dovrebbero essere tipici di una implementazione aziendale.
Esistono una serie di misure per rendere più difficile un attacco ad una rete wireless (ma non per rendere sicura la soluzione), ma anche qui, le si ignorano o si preferisce la soluzione più comoda e più economica.
Questa politica del «basta che funzioni» costerà cara nel tempo a chi si ostina a perseguirla. Bisogna proteggere, per quanto possibile, l'intera infrastruttura.
La sicurezza delle soluzioni sta, oltre che nella tecnologia utilizzata, nell'esperienza dei consulenti. Mai come in queste tematiche bisogna scegliere consulenti specializzati in Security e non consulenti informatici generici.

Lascia il tuo commento

Condividi le tue opinioni su

Caratteri rimanenti: 400

MULTIMEDIA

Torre Guaceto: masseria rurale trasformata in resort, sequestri

Torre Guaceto: masseria rurale trasformata in resort, sequestri

 
Decennale della Regia Aeronauticail Re passa in rassegna 4mila piloti

Decennale della Regia Aeronautica
il Re passa in rassegna 4mila piloti

 
Il bimotore Savoia Marchetti S 55uno dei simboli del progresso italiano

Il bimotore Savoia Marchetti S 55
uno dei simboli del progresso italiano

 
Inaugurazione aeroporto di Bariintitolato a Umberto di Savoia

Inaugurazione aeroporto di Bari
intitolato a Umberto di Savoia

 
Kosovo, l'attività del 5° Reggimento alpini

Kosovo, l'attività del 5° Reggimento alpini

 
Calendario, l'uomo e la tecnologia

Calendario, l'uomo e la tecnologia

 
Calendario, storie e immagini

Calendario, storie e immagini

 
Rivivi la  "Mangusta" interforze

Rivivi la "Mangusta" interforze

 
Noi siamo la Marina: gli incursori

Noi siamo la Marina: gli incursori

 
Calendario, palombari e incursori

Calendario, palombari e incursori

 
Bari - Troina: il punto con La Voce Biancorossa, la diretta del prepartita

Bari - Troina: il punto con La Voce Biancorossa, diretta prepartita