Il mondo dell’IT (Information Technology) racchiude in sé tutto l’insieme delle odierne tecnologie adoperate al fine di elaborare, memorizzare e utilizzare informazioni. I dati contenuti nei PC e nelle reti informatiche, però, sono esposti a rischi sempre maggiori da contrastare.

Gli accessi illegittimi ai dati residenti sui sistemi di elaborazione, la compromissione o il furto di questi rappresentano oggi una grave minaccia, sempre più difficile da contrastare. La costante apertura di nuove reti verso Internet, unita alla rapida crescita di connessioni di tipo permanente (come, per esempio, quelle realizzate tramite la tecnologia ADSL) anche tra le utenze private, ha creato un fertile terreno per questo genere di minacce in quanto, a causa della continua immissione in rete di nuovi sistemi, sono cresciuti esponenzialmente i possibili bersagli da attaccare. Alla luce di questo si rende necessario implementare efficaci politiche di sicurezza capaci di contrastare dinamicamente questi pericoli, che minano sia la sicurezza del singolo utente privato sia quella delle grandi reti informatiche. Un’azione del genere non è realizzabile con interventi estemporanei e non ben pianificati poiché, per contrastare efficacemente questi rischi, occorrono competenze specifiche. Sebbene l’elevata dinamicità di questo ambiente, in continua evoluzione secondo tempistiche e modalità assolutamente imprevedibili, non consenta di essere esaustivi, si cercherà di contrastare questa limitazione mediante l’esposizione dei concetti chiave alla base di ogni tecnica.

Il problema della sicurezza informatica

In questo particolare ambiente è sempre valido quel detto paradossale che recita: “solo una macchina spenta può essere considerata una macchina sicura”. Solo in apparenza sciocca, questa affermazione racchiude in se una grande verità, che si traduce in una sorta di monito per chi opera nell’IT, e cioè: un elaboratore accesso, per quanto si siano prese tutte le possibili precauzioni, rimane potenzialmente vulnerabile. L’essenza di questa sconcertante affermazione è basata sull’inequivocabile considerazione che continuamente, nel mondo, si scoprono e vengono rese pubbliche nuove vulnerabilità che riguardano i sistemi informatici.

Questa situazione, grazie ai dettagli offerti dagli scopritori, permette a una miriade di potenziali aggressori di violare in modo più o meno grave i sistemi afflitti dalla vulnerabilità resa pubblica.

In questo scenario ha luogo una frenetica gara tra i legittimi utilizzatori dei sistemi che cercano di rimediare al problema e i malintenzionati che, invece, tentano di sfruttare queste nuove informazioni per i loro fini.

Per quanto talvolta non si possa rendere un sistema totalmente sicuro nei confronti di una certa vulnerabilità, è ovvio che un sistema scarsamente o per nulla protetto è sempre preferito dagli aggressori rispetto a un altro nel quale sono attive alcune protezioni.

A questo punto viene spontaneo chiedersi come mai queste informazioni dettagliate, che permettono di approfittare delle vulnerabilità di un particolare sistema, vengano repentinamente rese pubbliche (generalmente attraverso Internet) non solo da malintenzionati ma, soprattutto, da rispettabilissimi addetti ai lavori. La risposta a questo inquietante quesito può essere sintetizzata in una sola frase: full disclosure. Questa frase, che in italiano si può tradurre con il dovere di dire tutto, rappresenta la corrente di pensiero di coloro che difendono a spada tratta la libertà di diffondere tutti i dettagli relativi alle vulnerabilità venute alla luce: la loro scelta è guidata dalla convinzione che solo in questo modo i legittimi utilizzatori potranno immediatamente correre ai ripari. Questa nobile intenzione viene quindi addotta a giustificazione degli eventuali risvolti negativi che scaturiscono dalla full disclosure, risvolti rappresentati dalla possibilità che gli aggressori possano sfruttare le preziose informazioni sulle vulnerabilità ancora prima dei legittimi utilizzatori. Numerosi siti rendono disponibili nelle loro pagine un elenco aggiornato delle vulnerabilità scoperte e, proprio per questa ragione, è assolutamente indispensabile che ogni singolo utente/amministratore li consulti frequentemente o, ancor meglio, qualora il servizio fosse disponibile, si abboni alle loro newsletter specifiche.

Cerchiamo di sintetizzare il tipico modo di operare di un aggressore informatico. Le sue azioni, dal momento in cui viene scelto un certo obiettivo fino alla conclusione dell’attacco (qualunque esso sia), possono essere suddivise, sommariamente, in tre distinte fasi:

Fase 1 - Indagine

La prima fase, definita di indagine, rappresenta il momento preliminare dell’attacco informatico. In essa l’aggressore cerca di raccogliere, nel modo meno invasivo possibile, il maggior numero di informazioni sull’obiettivo designato;

Fase 2 - Verifica

Nella seconda fase, quella di verifica, l’aggressore cerca di identificare tutti gli elementi utili per l’auspicata conquista dell’obiettivo come, per esempio, account, risorse condivise ecc

Fase 3 - Accesso

Nell’ultima fase, definita di accesso, l’aggressore cercherà di violare il sistema designato sfruttando ogni sua possibile vulnerabilità e avvalendosi di tutte le informazioni rilevate nelle fasi precedenti.