Riportiamo la sintesi della giornata che si è tenuta al Politecnico di Milano il 19 Febbraio 2008 ( a cura di Jean Francois Segalotto)
Alcune premesse
• I tre aspetti della information security, Secrecy & Confidentiality, Privacy e Intellectual Property sono sempre più simili e integrati (convergenza reti).
• Mentre il tema della security è già molto riconosciuto a livello mediatico, quello della privacy lo è meno.
• I problemi di privacy, oggi e in prospettiva, saranno il tracciamento e il furto di identità digitale, la cui gestione, di fronte alla rapida evoluzione delle reti (specie radio), è il punto cruciale oggi.
• A livello UE si sente l’esigenza di enti nazionali di monitoraggio e audit della sicurezza delle reti e dei servizi che su queste transitano che comunichino tra loro a livello trans-nazionale (prossimi 1-2 anni).
Sicurezza: i trend nel mercato del crimine informatico
• Il tema della security ha una prospettiva relativa: a seconda che si analizzi dal punto di vista (sovra)nazionale, dal punto di vista del business e della PA o dal punto di vista degli individui la security può avere definizioni in antagonismo tra loro.
o Livello nazionale: sicurezza dei cittadini e degli individui;
o Livello Business e PA: sicurezza degli asset;
o Livello individuo: libertà.
• A livello generale si prevedono scenari preoccupanti nei prossimi anni per quanto riguarda gli impatti di una cospicua underground economy che si sta sviluppando nel mondo del crimine informatico.
o Si tratta di un problema di grandi proporzioni che può fortemente handicappare la competitività di un paese. In Italia non si percepisce ancora la gravità del problema a livello politico.
• Le principali rassegne sull’argomento, CSI Survey e altre segnalano vari temi caldi:
o La forte crescita degli attacchi mirati o “per beneficio” rispetto a quelli dimostrativi. I reati e più in generale gli attacchi informatici non hanno più fini di “immagine” ma obiettivi precisi finalizzati al ricavo economico derivante da scopi di business.
Il crimine informatico di ieri (quello diffuso sin dagli inizi degli anni ’90 dai c.d. script kiddies) aveva come obiettivo tipico i server aziendali (le prime macchine a sfruttare i servizi di rete), era facilmente rilevabile e le informazioni venivano poi rivelate da chi attaccava. Oggi l’obiettivo dell’attacco diretto non è più il server aziendale, che è in genere ben protetto, ma il PC casalingo, l’attacco è difficilmente rilevabile e tutte le informazioni in possesso di chi attacca si pagano ed è quindi più difficile proteggersi.
o La crescita dell’attenzione delle imprese verso l’interno (basisti), oltre che verso l’esterno.
o L’ancora forte diffusione dello spam, molto remunerativo e capace di eludere i filtri.
o La forte riduzione delle barriere allo sfruttamento e l’utilizzo dei reati e degli attacchi informatici.
Ad esempio l’emergere, in particolare dalla Russia e dagli altri paesi dell’Est europeo, di piattaforme (sia sottoforma di prodotto, sia di servizio – con una vera logica software-as-a-service) di creazione di malware, spam, o di controllo di reti di bot (Botnet ) per attacchi continui (ore o giorni) disponibili a poche decine o centinaia di dollari.
o La diffusione sempre maggiore di attacchi “non-meccanici” ai navigatori, ossia di attacchi per subire i quali non è più necessario scaricare e/o eseguire un certo file ma è sufficiente navigare su una URL infetta, che invia un codice che sfrutta le vulnerabilità di browser e sistemi operativi. Questi attacchi possono creare infezioni o rendere il PC attaccato un agente parte di una rete di bot, da poter usare per attacchi di massa.
o La diffusione dei servizi e dei siti c.d. Web 2.0 crea critiche aree di scambio di applicazioni maligne. Esempi: applicazioni mesh come G.Maps, che possono contenere link infetti; furti su Second Life!
o La forte priorità da dare alla protezione delle CNI (SCADA security): reti mobili, nodi VoIP, etc…
o Il crescente focus aziendale sulla governance della sicurezza con sempre più frequenti modifiche agli organigrammi e segregazione della funzione di information security rispetto a quella IT.
o È un fatto che al crescere della quantità di software presente nei PC casalinghi e ancor più in quelli aziendali, cresce il numero delle vulnerabilità potenziali e dunque il “perimetro” attaccabile. Sono dunque necessarie, sia dal lato dell’offerta, sia da quello della domanda, sempre più risorse per coprire i “buchi”.
• Alcuni trend in dettaglio:
o Il Corriere della Sera segnala un calo delle truffe informatiche nel 2007 in Italia.
o I trend di vulnerabilità dei software, sempre crescente, ha mostrato una leggera flessione nel 2007; tuttavia la tendenza rimane in crescita per gli applicativi MS (i più diffusi).
o I trend dei malware in crescita il numero dei trojans e in riduzione il loro ciclo di vita, con nuove varianti in uscita sempre più frequente. L’efficacia degli antivirus, misurata, non è sempre altissima. Fra i maggiori AV (marche non segnalate) l’efficacia ha dei massimi intorno al 90% ma dei minimi deludenti e intorno al 40%.
Particolarmente allarmante è la comparsa “in the wild” dei primi virus polimorfi e metamorfi, che cambiano codice di continuo e per cui il meccanismo di riconoscimento delle stringhe su cui si basano gli AV non funzionano. Ciò potrebbe presto rendere le più di 80mila signatures presenti nei database di chi sviluppa antivirus inutilizzabili o quasi. Il gap tra lo sviluppo di questi malware e la ricerca AV potrebbe addirittura arrivare a un paio d’anni.
o Il mobile malware è in continua crescita, sia sui sistemi Windows che Symbian (e simili) e a volte è collegato ai codici di sblocco dei terminali (per lo sgancio dalla rete dell’operatore owner).
o Il phishing è in crescita moderata.
o La provenienza dello spam e del malware è in gran parte concentrata in US, Russia e Brasile, ma sempre più anche in Africa.
o La dimensione del fenomeno delle Botnet è quantificabile oggi in circa 5 milioni di PC nel mondo, un numero enorme se si pensa a una opportunità di disinfezione.
Se la ricerca sul malware potrebbe presto conoscere dei seri limiti, quella sulle Botnet ha fatto dei buoni passi avanti e oggi esistono dei tool di rilevamento e identificazione di queste reti.
o Ciò che tutti segnalano da 2-3 anni è la nascita di una “underground economy”, costituita di veri e propri mercati dove sia gli oggetti sia gli strumenti del crimine informatico vengono scambiati, a prezzi molto bassi. Il primo esempio di vendita di crack risale all’agosto 2005: l’hacker russo conosciuto con il nome di “bit” vende la prima vulnerabilità e da allora si apre il mercato dei c.d. Zero Day Exploit, ossia delle vulnerabilità software ancora sconosciute.
Symantec segnala ad esempio, che il prezzo medio di numeri di carta di credito, ID e password hanno un range medio di 0,5-5 dollari.
Oggi esiste un vero mercato delle vulnerabilità software: un esempio è WabiSabiLabi (www.wslabi.com), sito registrato in Svizzera, dove si incontrano domanda e offerta di Zero Day Exploit e exploitation tools.
• Alcuni passi verso la sicurezza:
o Il DHS americano ha istituito un database per la Digital Homeland Security, la Homeland Security Digital Library (HSDL). Questa libreria per la software assurance raccoglie e definisce (in linguaggio vendor-independent) le vulnerabilità software conosciute.
o Sul digital identity management gli sviluppatori si stanno muovendo a grandi passi: OpenID è il nuovo standard della comunità open, Infocard è il nuovo standard di MS (l’evoluzione di Passport). Dal lato degli organismi istituzionali, ITU si sta muovendo per definire una famiglia di standard validi per il digital identity management sulle reti di nuova generazione; il risultato di questo processo sarà estremamente importante dal momento che gli operatori telecom sono i veri “custodi” delle identità digitali di milioni di persone.
o Il Payment Card Industry Security Standards Council ha messo a punto delle indicazioni di best practice vincolanti per i player dell’industria chiamate PCI Data Security Standard (PCI DSS).
I problemi normativi di privacy e security: la visione degli attori
• La regolamentazione della privacy per gli operatori telecom sembra presentare oggi una situazione complessa, determinata da una normativa generale eccessivamente generica e di volta in volta interpretata dal Garante.
o Secondo normativa qualsiasi tracciamento fatto sugli utenti del Web non è legale, nemmeno ai fini giudiziari. Tuttavia gli operatori telecom, per garantire la sicurezza della propria rete e degli utenti, hanno bisogno di sapere chi utilizza la rete. Gli operatori, pertanto, sono fautori dell’utilizzo delle informazioni e del mantenimento di queste per periodi anche lunghi; occorre quindi migliorare l’impianto normativo perchè attualmente esiste un forte trade-off tra il controllo per la tutela degli utenti e la sicurezza delle reti e la normativa sulla privacy.
o Attualmente vi sono limiti molto stretti all’utilizzo delle informazioni all’interno degli operatori telecom. Innanzitutto, nei log di rete, gli indirizzi di origine (anche se dinamici) e quelli di destinazione sono informazioni private. L’accesso ai dati prevede la definizione di ruoli e autorità specifici all’interno degli organigrammi, la segregazione di questi, per cui per questioni di servizio o di traffico si possono consultare solo i dati del/dei diretti interessati e non gli altri, mentre per i dati giuridici occorre l’autenticazione biometrica.
o Attualmente esiste un conflitto interno alla normativa: il decreto anti-terrorismo del 2005, poi prolungato, imponeva il congelamento dei dati presenti nei log di rete e il raddoppio dei tempi di conservazione; oggi il garante impone la cancellazione di questi, regolamento che con ogni probabilità prevarrà nelle intenzioni degli operatori.
• La visione delle associazioni dei consumatori mostra di capire il challenge normativo
o Una rete pubblica dovrebbe essere sempre “conscia” delle applicazioni che vi transitano sopra. Ai tempi della telefonia tradizionale era possibile controllare la rete fino al CPE (quando questo era un semplice telefono) ma oggi questo è virtualmente impossibile, per ragioni tecniche e normative.
o Il Codice delle Comunicazioni Elettroniche prevede la non responsabilità del gestore per quello che transita sulla propria rete nel caso in cui questi faccia “mere conduit” o “solo trasporto”. Tuttavia se l’operatore fa Deep Racket Inspection (DPI), l’ipotesi di mere conduit cade, e, nel caso in cui si accorga dell’atto illecito questi è civilmente responsabile. Oggi di fatto non esiste operatore che non faccia DPI, dal momento che oggi questo è l’unico “strumento di business” per allocare la banda tra applicazioni, in modo da offrire un servizio a tutti gli utenti in presenza di risorse scarse .
• I fornitori di servizi di particolare sensibilità in termini di sicurezza, allo stesso modo lamentano il vuoto normativo, riempito a singhiozzo dai regolamenti del Garante.
o Poste segnala di aver sviluppato degli strumenti di analisi probatoria degli “incidenti” informatici (frodi), tuttavia lamenta che alcuni di questi sono stati bloccati dai pronunciamenti del Garante.
o Per il sistema bancario (ABI) occorre da una parte trovare logiche di regolamentazione (anche autoregolamentazione) comuni nelle tlc e nei servizi, dall’altra armonizzare la normativa sulla privacy e sulla sicurezza, ad esempio normando il furto di identità come un reato a sé e non solo la frode perpetrata attraverso di esso.
Identità management: la visione degli attori
• Altro tema caldo è l’identity management, in particolar modo negli ambienti wireless.
o L’identità digitale in ambiente cellulare fino a oggi è stata legata alla SIM card di proprietà dell’operatore; ma questa è ancora sufficiente in un mondo di applicazioni complesse e sensibili?
o Le nuove tecnologie biometriche aprono importanti possibilità per la realizzazione di applicazioni di “strong authentication”, tuttavia i risvolti di diffusione, costo e utilizzabilità pongono ancora barriere significative.
• Nelle strategie della gran parte dei gruppi telecom integrati la mobile broadband è il servizio del futuro. Internet non è più (solo) su linea fissa ma sempre più su palmare e su cellulare e i prezzi di tali servizi scendono ad un ritmo vertiginoso e in questo ambito i dati non passano dai tradizionali server Internet ma attraverso la rete mobile. Sotto osservazione è dunque la sicurezza dei VAS a carattere particolarmente sensibili dal punto di vista dell’autenticazione.
o Dal punto di vista degli operatori telecom il focus è sulla SIM card, centrale nella rilevazione biometrica e la strong authentication. È oggi possibile ad esempio crittografare le impronte digitali sulla SIM e, attraverso ciò fornire garanzie di autenticazione forte per una pletora di servizi veicolabili attraverso rete mobile, primi tra tutti quelli già diffusi di accesso ai propri dati bancari e ai sistemi di pagamento.
o I provider di servizi VAS che richiedono sistemi di autenticazione forte dell’utente e che sono spesso i più colpiti dai fenomeni di furto di indentità, stanno proponendo un gran numero di soluzioni per la protezione degli utenti dei propri servizi: certificati digitali sulle SIM card (in caso di MVNO alla Poste Mobile); generatori di OTP (one time password) collegati alla tessera bancomat (e dunque al PIN) o alla carta di credito per le operazioni bancarie online; token USB per la crittografia dei canali di trasporto in caso di utilizzo di postazioni pubbliche; disaccoppiamento del canale di accesso al servizio (Internet) da quello di disposizione (GSM/UMTS) per i pagamenti elettronici.
Scritto da mt
il 02.04.2008 | Permalink | Commenti (0) | Trackback (0)
URL di TrackBack per questo post:
http://www.securityinsight.it/admin/mt-tb.cgi/82
