3. Sicurezza informatica
La sicurezza informatica è un problema sempre più sentito in ambito tecnico-informatico
per via della sempre più spinta informatizzazione della società e dei
servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela
diffusione e specializzazione degli attaccanti o hacker.
L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni
proporzionalmente alla loro diffusione ed al loro ruolo occupato nella collettività.
Il sistema informatico deve essere in grado di impedire l'alterazione diretta o indiretta
delle informazioni, sia da parte di utenti non autorizzati, sia da eventi accidentali;
inoltre deve impedire l'accesso abusivo ai dati.
Dal momento che l'informazione è un bene che aggiunge valore all'impresa, e che
ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni
organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un
contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono
in continuo aumento.
Per questo esistono, a carico delle imprese, precisi obblighi in materia di privacy, tra
cui quello di redigere annualmente uno specifico documento programmatico sulla
sicurezza.
4. Che cosa è il crimine informatico?
Il crimine informatico è un fenomeno criminale che si caratterizza nell'abuso della
tecnologia informatica sia hardware che software.
Può essere generalmente definito come un'attività criminale che coinvolge la
struttura della tecnologia di informazione, compreso l'accesso illegale (l'accesso non
autorizzato), l'intercettazione (con mezzi tecnici di trasmissioni non pubbliche di dati
informatici verso, da o all'interno di un sistema informatico), l'interferenze di dati
(danneggiamento, cancellazione, deterioramento, alterazione o soppressione di dati
informatici), sistemi di interferenza (interferenza con il funzionamento di un sistema
informatico mediante l'immissione, trasmissione, danneggiamento, cancellazione,
deterioramento, alterazione o soppressione di dati informatici), uso improprio di
dispositivi, contraffazione (o furto d'identità) e frodi elettroniche.
Analogamente al crimine tradizionale, quello informatico può assumere varie forme e
essere perpetrato praticamente sempre e ovunque.
I criminali che commettono questo tipo di crimini utilizzano una serie di metodi a
seconda delle proprie capacità e scopi.
Ciò non dovrebbe sorprendere: il crimine informatico è, dopotutto, semplice 'crimine'
con l'aggiunta di qualche sorta di componente 'informatico'.
5. Principali tipologie del crimine informatico
Per meglio comprendere l'ampia gamma di crimine informatico esistente è possibile
dividerlo in due principali categorie, definendolo come crimine informatico di Tipo 1 e
di Tipo 2.
Il crimine informatico di Tipo 1 presenta le seguenti caratteristiche:
Si tratta generalmente di un singolo evento se visto dalla prospettiva della vittima.
Ad esempio, la vittima scarica inconsapevolmente un Trojan Horse che installa sul suo
computer un keystroke logger, ovvero un programma che registra quanto viene
digitato sulla tastiera.In alternativa, la vittima può ricevere un'e-mail contenente
quello che sembra un collegamento a un sito noto, ma che è in realtà un sito ostile.
Il crimine informatico viene facilitato da programmi crimeware quali keystroke logger,
virus, rootkit o Trojan Horse.
I difetti e le vulnerabilità dei software offrono spesso un punto di appoggio
all'aggressore per perpetrare l'attacco. Ad esempio, i criminali che controllano un sito
Web possono sfruttare una vulnerabilità del browser Web per introdurre un Trojan
Horse nel computer della vittima.
Esempi di questo tipo di crimine informatico includono, tra gli altri, il phishing, il furto
e la manipolazione di dati o servizi tramite azioni di hacking o virus, il furto di identità
e le frodi bancarie o legate all'e-commerce.
Il crimine informatico di Tipo 2 comprende attività quali il cyberstalking e le molestie,
le molestie ai minori, l'estorsione, il ricatto, la manipolazione dei mercati finanziari, lo
spionaggio e le attività terroristiche, ma non si limitano solo a queste.
6. Internet e il mercato nero :
Un grosso affare
● 388 miliardi di dollari, una cifra superiore al mercato nero di marijuana,
cocaina ed eroina
● Il valore delle informazioni digitali rubate nel 2009 è stato di 1 trilione di dollari
● il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5
milioni di Euro
● 23 milioni di Euro è il costo massimo ad oggi sostenuto da una azienda colpita
da un attacco informatico.
Furto di dati sensibili :
● Numeri di carte di credito
● Numeri di conto corrente
● Account email
● Identità digitale
7. L'importanza dell'analisi della rete
La continua evoluzione tecnologica delle reti e delle telecomunicazioni e la costante
crescita dei sistemi collegati alla rete, ha comportato un aumento delle
problematiche relative alla sicurezza dei sistemi e delle applicazioni, aumentando
così in maniera esponenziale i rischi legati agli accessi non autorizzati ai servizi
informativi ed ai relativi dati in essi contenuti.
La sicurezza in un ambiente di rete è un problema di fondamentale importanza,
troppo spesso sottovalutata, la quale merita particolare attenzione.
L'analisi della sicurezza su una rete, mira all'individuazione di tutta una serie di
vulnerabilità e problematiche comuni, le quali potrebbero essere sfruttate (sia da
programmi maligni che da persone malintenzionate) per accedere in maniera non
autorizzata ai sistemi informatici presenti all'interno della rete ed alle informazioni in
essi contenuti.
Nessuna rete è totalmente sicura ed esente dal rischio intrusioni. Oltre alle possibili
configurazioni non corrette da parte dell'utente, esistono tutta una serie di fattori
direttamente legati ad altri aspetti, come ad esempio i protocolli di comunicazione,
errori di programmazione presenti all'interno dei sistemi operativi e dei programmi.
Una rete sicura o un sistema completamente aggiornato oggi, potrebbe contenere
delle falle di sicurezza ed essere vulnerabile già domani.
Lo scopo principale dell'analisi è quello di fare emergere le criticità presenti all'interno
della rete e dei sistemi informatici, intervenendo su queste e risolvendole,
bonificando la rete riassestandone l'architettura e risanando tutte le falle presenti
all'interno dei sistemi affetti, per raggiungere un livello standard di sicurezza
predefinito e che rispetti le politiche e procedure aziendali.
8. Il Firewall
Il primo “mattone” indispensabile per cominciare a costruire delle solide basi a
tutela e difesa della propria privacy, dei dati e dei sistemi presenti all'interno della
propria rete aziendale, è appunto il Firewall.
Un firewall è un apparato di rete hardware o software, che analizza tutti i dati
entranti e uscenti, da e verso una rete o un singolo computer, applicando
determinate regole e filtri che contribuiscono alla sicurezza della rete stessa.
Tali regole possono essere stabilite e personalizzate in base alle reali necessità
aziendali ed in base al livello di sicurezza che si vuole raggiungere.
Ma ciò non è sufficiente a garantire un elevato livello di sicurezza.
Un buon Firewall deve anche riuscire a prendere autonomamente delle decisioni al
verificarsi di determinati eventi.
Un livello di sicurezza PROATTIVA, è infatti uno degli aspetti fondamentali ai fini
dell'individuazione e prevenzione di eventuali attacchi informatici e tentativi di
intrusione, che questi partano dall'esterno ( da Internet ) piùttosto che dall'interno
della rete locale (un Pc infetto o compromesso da un virus o una backdoor o più
semplicemente “maneggiato” da un utente malintenzionato).
9. Cosa offre il mercato
Il mercato ad oggi offre svariate soluzioni per quanto riguarda gli apparati Firewall.
Queste si distinguono principalmente in due categorie:
● Soluzioni commerciali (proprietarie)
● Soluzioni libere (Open Source)
Le soluzioni commerciali, sono sviluppate e commercializzate da determinate case
produttrici. I costi variano in base alle caratteristiche sia hardware che software.
Le soluzioni libere, meglio conosciute come Open Source, sono prodotti
completamente liberi sviluppati da comunità di programmatori sparsi in tutto il
mondo ed i quali non richiedono alcun costo né per l' acquisto delle licenze di utilizzo
né per l'integrazione ed attivazione di tutta una serie servizi aggiuntivi (necessari
appunto per elevare il livello di sicurezza e protezione della rete).
10. Le soluzioni commerciali
I principali vendor specializzati nella produzione di apparati Firewall presenti in
commercio sono : Whatchguard, Juniper, Cisco, CheckPoint, Sonicwall, Fortinet.
Il costo per l'acquisto di un Firewall commerciale dalle discrete prestazioni hardware e
in grado di offrire una protezione base (e quindi minimale), può partire da un minimo
di 700 - 800 Euro.
Trattandosi però di soluzioni base, queste saranno prive di tutta una serie di
funzionalità essenziali per un monitoraggio ed una protezione completa della rete.
Funzionalità comunque integrabili separatamente, previo ulteriore acquisto per
l'attivazione delle licenze di utilizzo.
La strategia commerciale dei vendor è infatti basata principalmente sulla vendita
delle licenze per l'utilizzo di queste funzionalità aggiuntive.
Ne conseguirà quindi che :
● Maggiore protezione = Più servizi attivi
● Più servizi attivi = Maggiori costi aggiuntivi
In sostanza, più si vorrà raggiungere un buon livello di protezione per la propria rete e
più computers saranno presenti all'interno di essa, più licenze bisognerà acquistare
per l'integrazione di queste funzionalità aggiuntive. L'acquisto di ogni licenza inoltre
avrà una durata temporanea, questa dovrà infatti essere rinnovata periodicamente a
scadenza annuale. Per cui, va da se che per un prodotto in grado di offrire una
protezione completa e duratura nel tempo, i costi potrebbero lievitare in maniera
esponenziale, arrivando anche a raggiungere la soglia delle decine di migliaia di Euro.
11. Le soluzioni Open Source
Perchè e quali sono i vantaggi
Il termine Open Source (sorgente aperto) indica un software rilasciato con un tipo di
licenza (GPL) per la quale il codice sorgente è lasciato alla disponibilità di migliaia di
sviluppatori e programmatori sparsi in tutto il mondo,
affinchè con la collaborazione (in genere libera e spontanea) si possano apportare
migliorie, aggiungendo nuove caratteristiche, funzionalità e correggendo eventuali
errori (bug).
L'obbiettivo è raggiungere una complessità maggiore sul prodotto finale più di quanto
potrebbe ottenere un singolo gruppo di programmazione.
I vantaggi che ne conseguono sono principalmente :
● maggiore sicurezza
● maggiore affidabilità
● trasparenza del codice sorgente
● abbattimento dei costi e maggiore economicità (nessun costo per l'aquisto di
licenze per l'utilizzo)
12. Open Source nel mondo
I sistemi operativi unix-like
I sistemi operativi Linux e la famigia dei BSD (chiamati appunto unix-like), si
distinguono da sempre come i sistemi operativi più stabili e sicuri presenti sul
mercato, progettati per applicazioni di rete ad altissime prestazioni.
Non è un caso che il 90% dei siti di tutto il mondo, server di posta, archivi pubblici,
portali, provider, motori di ricerca come Google, utilizzino sui loro server questi
sistemi operativi.
Oggi sono sempre più frequenti chi, dopo un accurata analisi dei costi/sicurezza
hanno deciso di migrare a sistemi operativi unix-like. Già da anni infatti i server delle
aziende più grandi li utilizzano.
Enti governativi e militari come CIA, FBI, NASA, pubbliche amministrazioni, istituti
bancari, istituzioni accademiche, centri di ricerca, università. Colossi come IBM, Hp,
Boeing, Xerox, SouthWest Airlines, Sixt Rent-a-Car, IKEA, Mercedes.
La NASA stessa ha mandato Linux nello Spazio utilizzandolo sullo Space Shuttle
(1999). La Kodak lo ha adottato sulla sua nuova piattaforma per il processamento del
colore. Lo troviamo nei moderni sistemi di domotica, negli smartphone di ultima
generazione (Iphone ed Android di fatto utilizzano all'interno dei loro prodotti sistemi
operativi derivati da BSD e Linux).
13. Cos' è pfSense
pfSense è un potente sistema firewall Open Source, basato su sistema operativo
FreeBSD e che utilizza come sistema di filtraggio PF, ossia il Packet Filter di OpenBSD,
uno dei sistemi più utilizzati nella realizzazione di sistemi di elevata sicurezza.
Sicuro e completamente configurabile, può utilizzare per il suo funzionamento anche
l'hardware di un comune PC.
Include una lunga lista di funzionalità aggiuntive che permettono, grazie alla loro
integrazione, di raggiungere un livello di protezione, sicurezza e controllo della rete
estremamente elevato.
pfSense è un progetto abbondantemente testato che conta ormai più di 1.000.000
(fine primo trimestre 2011) di download ed innumerevoli installazioni in tutto il
mondo che variano dalla piccola e media azienda, fino alle grandi aziende, enti
pubblici, ministeri, università ed altre organizzazioni che proteggono migliaia di
dispositivi di rete.
14. pfSense : caratteristiche principali
Tra le principali caratteristiche, troviamo:
● Un'avanzata funzionalità per impronte digitali che abilita il filtraggio in base al
tipo di sistema operativo utilizzato dai pc della rete
● Politiche di routing ad alta flessibilità per la selezione del gateway, per il
bilanciamento del traffico, failover, WAN multiple, backup su più ADSL, etc…
● Rindondanza : due o più Firewall possono essere configurati per lavorare in
coppia e simultaneamente. In caso di guasto/rottura di uno dei due Firewall, il
traffico Internet ed i servizi correlati saranno gestiti automaticamente dal
secondo Firewall in maniera del tutto trasparente e senza creare disservizi
● VPN : Per collegare tra loro sedi distaccate e utenti in mobilità (tramite Pc portatili
o smartphone), pfSense offre tre tipologie per la connettività VPN: Ipsec,
OpenVPN,PPTP,L2TP
● Report e Monitoraggio : Raccolta statistiche sul traffico di rete (anche in tempo
reale), generazione di grafici RRD, monitoraggio e generazione di report relativi
alla navigazione in Internet da parte dei pc della rete
● Filtraggio dei contenuti: Blocco dei download di determinate tipologie di files e
filtraggio della navigazione in Internet verso tutti quei siti dai contenuti
potenzialmente pericolosi (pornografia, hacking, siti con istigazione alla violenza,
etc...)
● NIDS / IDPS : Sistema di rilevazione e blocco dei tentativi di intrusione all'interno
della rete da parte di hackers o programmi maligni (trojan, backdoor, malware e
crimeware)
16. Il Proxy
L'importanza del filtraggio dei contenuti
Un utilizzo inappropriato della navigazione in Internet, sta facendo sorgere una seria
problematica per le aziende, infierendo notevolmente sui costi ed esponendo a seri
rischi i dati aziendali.
Per prevenirne i rischi annessi è necessario creare una politica mirata ad impedire
che si possa, inconsapevolmente o meno, incappare nelle tante “trappole” presenti
all'interno della grande rete, Internet.
Sono sempre più frequenti i casi in cui dai Pc aziendali, il personale addetto
all'utilizzo dei computers scarichi materiale inappropriato (file musicali, filmati, foto
e immagini, suonerie per cellulari, software piratato, etc...) o navighi all'interno di
siti dai contenuti non inerenti alle normali attività lavorative.
I rischi a cui si incorre possono essere spesso molto seri, si va dal danneggiamento
dei Pc in caso di infezione da virus, al furto di dati sensibili (password, numeri di
carte di credito, files e documenti vari) fino alla perdita dei dati.
Per limitare i danni economici che ne conseguono, il firewall ingloba al suo interno
un sistema di monitorizzazione e filtraggio che va dal blocco degli accessi verso
determinate categorie di siti, al blocco dei tentativi di download di determinate
tipologie di files (quelli potenzialmente dannosi come files eseguibili, audio, video,
etc...), sino all'individuazione e blocco di virus presenti all'interno di determinati siti
(spesso a loro volta compromessi o gestiti appositamente da criminali informatici).
17. Protezione Antivirus
Una protezione perimetrale durante la navigazione in Internet contro virus, malware, e
codici maligni. Qualora ci si imbatta in qualche sito dai contenuti potenzialmente
dannosi, il firewall blocca l'accesso avvertendo l'utente del pericolo. Questo tipo di
protezione agisce in prima linea, ossia prima ancora che il virus possa venire a
contatto con il Pc il quale, se non provvisto di un software antivirus efficace ed
aggiornato, potrebbe non rilevare la minaccia con conseguenze dannose e spesso
irreversibili.
18. Report navigazione Internet
Per ciascun Pc della rete, il Firewall tiene traccia di tutti i siti visitati,
dei files scaricati, tempistiche di navigazione, etc...
19. Monitoraggio :
Prevenire è meglio che curare
E' importante conoscere cosa accade all'interno della nostra rete.
Un altro aspetto fondamentale per individuare e prevenire determinati
comportamenti poco responsabili da parte del personale addetto all'utilizzo dei
computers, è quello di minitorare le attività all'interno della nostra rete.
A chi non è capitato almeno una volta di ritrovarsi inspiegabilmente davanti a dei
rallentamenti o malfunzionamenti sulla propria rete ed essere costretti ad investire
del tempo per effettuare tutte le verifiche necessarie per cercare di individuarne le
cause.
Basti pensare che la rete è come un'autostrada e i dati che vi transitano sono come
le automobili. Va da sè che più dati transiteranno più si sarà soggetti ad “ingorghi”
e rallentamenti.
Conoscere quindi nei dettagli cosa passa (ossia il traffico), permetterà una diagnosi
più approfondita e conseguentemente una risoluzione più rapida del problema,
nonché un'adeguata e mirata prevenzione, abbattendo notevolmente anche i costi
di gestione e manutenzione dovuti ad interventi esterni da parte di personale
tecnico specializzato.
20. Monitoraggio in tempo reale del traffico generato
Attraverso una serie di grafici, sarà possibile monitorare in tempo reale quali Pc o altri
apparati della rete stanno generando traffico e la larghezza di banda occupata.
21. Monitoraggio del traffico generato da specifiche applicazioni
Il sistema di monitoraggio tiene traccia di tutto il traffico di rete generato da specifiche applicazioni come:
Facebook, Twitter, Skype, Dropbox, iTunes, Viber, Youtube, TeamViewer, Bitorrent ed altre ancora.
22. Monitoraggio in tempo reale delle sessioni attive
Monitoraggio in tempo reale di tutte le connessioni attive instaurate dai Pc e dagli
apparati di rete presenti all'interno della LAN.
23. Statistiche sul traffico generato
Possibilità di risalire alla mole di traffico generato da ogni singolo Pc
e apparato di rete
24. GeoMap : Mappa geografica del traffico di rete
Il Firewall genera una mappa geografica, all'interno della quale vengono segnalate nazioni e
continenti che in qualche modo “parlano” con i computer della nostra rete.
Una rilevazione del traffico generato verso determinati paesi, è spesso sinonimo di tentativi di
intrusione o nella peggiore delle ipotesi di Pc “zombie” già compromessi, infetti da virus, malware o
crimeware. Il sistema anti-intrusione del Firewall è in grado di rilevare determinati tipi di attacchi
bloccando sia l'azione malevola in corso, sia il traffico proveniente o diretto verso determinate
destinazioni (nazioni e continenti)
25. Sistema Antispam e monitoraggio del traffico di posta
Il Firewall tiene traccia delle attività interne di posta elettronica (posta inviata),
bloccando eventuali azioni di spamming provenienti dai Pc della Lan infetti da virus
26. Sistema di rilevazione e prevenzione contro le intrusioni
Il Firewall intercetta e blocca tentativi di attacchi e di intrusione provenienti da
Internet e diretti verso la rete interna, rilevando e bloccando anche il traffico malevolo
proveniente dai Pc della LAN infetti da Worm, Trojan, Malware e Crimeware.
27. BYOD e VPN
Accesso sicuro alla rete aziendale
tramite dispositivi mobili :
Smartphone (Android ed iPhone), Tablet e iPad,
Computer Portatili
La pratica del BYOD (Bring your own device), consiste nell'utilizzare i propri dispositivi
mobili per accedere alla propria rete aziendale, ed avere così la possibilità di accedere ai
propri files e poter utilizzare le proprie applicazioni, da qualsiasi parte del mondo ci si
trovi.
Le connessioni alla rete aziendale tramite dispositivi mobili, avvengono tramite l'utilizzo
di una tecnologia chiamata VPN (integrata all'interno del Firewall), ossia un collegamento
sicuro utilizzando una connessione Internet.
In un collegamento VPN infatti, tutto il traffico tra il dispositivo mobile e la rete aziendale
passerà sì attraverso Internet, ma la comunicazione utilizzerà dei sistemi di
autenticazione e di crittografia, onde evitare che le comunicazioni possano essere
intercettate o utilizzate da persone non autorizzate.
28. Un esempio di accesso a files e cartelle della rete aziendale
tramite l'utilizzo di uno smartphone
29. VPN
Collegamento tra filiali remote
Qualora si necessiti di collegare tra loro due o più filiali dislocate in punti distanti
geograficamente, ancora una volta ci viene incontro la tecnologia VPN.
Si avrà in questo modo la possibilità di unificare due o più reti (si pensi a due uffici diversi
dislocati in città diverse), come se fossero un'unica rete locale (quindi un unico
ufficio/filiale).
I vantaggi nell'usufruire della centralizzazione di più reti informatiche sono
principalmente:
● Possibilità di utilizzare e condividere le stesse applicazioni (Gestionali, CRM, etc..),
senza per questo dover acquistare una licenza dedicata per ciascuna filiale
● Possibilità di condivisione di files e stampanti
● Possibilità di convogliare il traffico voce (le telefonate tra le due sedi) abbattendo i
costi legati agli operatori telefonici. Questo implica l'utilizzo di due centralini
telefonici VoIP
30. Conclusioni
La sicurezza informatica è un processo, non un prodotto.
Ciò significa che non si limita all'acquisto o all'implementazione di un singolo
prodotto, hardware o software che sia.
Essa è formata da tutta una serie di processi strettamente correlati tra loro, che
vanno dall'analisi e progettazione fino alle fasi di verifica e manutenzione di tutta la
rete e degli apparati in essa coinvolti.
Lo sfruttamento di una vulnerabilità verso un unico punto critico, potrebbe
compromettere la sicurezza dell'intera infrastruttura di rete.
31. Link di riferimento e approfondimenti:
http://it.wikipedia.org/wiki/Sicurezza_informatica
http://it.wikipedia.org/wiki/Crimine_informatico
http://it.norton.com/cybercrime-definition
http://it.norton.com/cybercrime-blackmarket
http://it.norton.com/cybercrime-stories
http://it.norton.com/cybercrime-bots
http://it.norton.com/cybercrime-trojansspyware
https://it.wikipedia.org/wiki/Open_source
http://www.pfsense.org/
Per informazioni e contatti :
www.linkedin.com/pub/vittorio-milazzo/15/964/501
Email : vittorio.milazzo@gmail.com