Undici settembre 2001: a New York crollano le Twin Towers e con esse in tutto il mondo occidentale si sgretola quella pseudo certezza di invulnerabilità. Da quel momento le strade di Londra, Parigi, Roma o Berlino sono potenzialmente pericolose come quelle di Gerusalemme. Ma da quel giorno (ma solo gli addetti ai lavori se ne sono accorti) è lentamente cresciuta anche un’altra paura: e se il prossimo attacco fosse diretto alle reti telematiche che ormai sovrintendono tutta la nostra vita moderna?
Chi si intende di computer sa bene che un virus ben veicolato o un’intrusione elettronica condotta con maestria possono mandare in tilt qualsiasi server. Anche se meno cruenti, certi attacchi sono ugualmente disastrosi per il fragile mondo occidentale. Dalla torre di controllo, allo smistamento dei bagagli o alle prenotazioni; dalla gestione di bancomat e carte di credito alle transazioni d’ogni tipo; dalle informazioni riservate delle polizie di mezzo mondo ai piani progettuali di un nuovo modello di auto: pensate a cosa succederebbe se si bloccassero i computer di un aeroporto o di una grossa azienda, l’elaboratore centrale di una banca di credito o di Wall Street. Se sono riusciti a colpire nel cuore di Manhattan perché non temere per le sorti del cervellone del nostro ministero della Difesa o della stessa Cia o del Pentagono?
Dati e statistiche
Oggi il rischio di un attacco terroristico via Internet è quanto mai concreto. Il 96% degli enti pubblici e privati italiani viene regolarmente colpito da attacchi di pirateria informatica, come ha constatato l’Osservatorio sulla criminalità Ict 2002 realizzato dal Forum per le tecnologie dell’informazione. Spesso si tratta più di vandalismo (47% dei casi) o di azioni dimostrative (26%) e le vere frodi informatiche sono solo il 18% delle intrusioni. Ma il fenomeno è in crescita (più 15% all’anno da 3 anni a questa parte) e il 30% degli enti coinvolti dalla ricerca non ha alcuna difesa contro gli hacker, mentre solo il 3,2% di essi dichiara di avere una strategia di prevenzione.
Anche l’Assintel (l’Associazione nazionale delle imprese che offrono servizi di informatica, telematica e robotica) ha eseguito nei primi 6 mesi del 2002, una sua indagine qualitativa e quantitativa, effettuata su un campione di 900 aziende scelte fra quelle che utilizzano Internet in maniera consistente. Da cui emerge un’altra criticità: quando Internet serve per lo scambio di dati e informazioni (37% dei casi) e per l’accesso a banche dati (16%) e le reti Intranet servono per lo scambio di documentazione tecnica fra il personale (54%) la vulnerabilità di questi strumenti mette a serio rischio non solo la tutela della privacy delle informazioni custodite ma espone le aziende allo spionaggio industriale. Una volta su quattro il furto di informazioni riservate è perpetrato proprio dall’interno.
Una stima preparata negli Stati Uniti per quantificare il danno subito afferma che, laddove il 90% delle grandi aziende e degli enti pubblici ha rilevato intrusioni nelle maglie della sicurezza Internet, per risolvere i guai e gli arresti di servizio sono stati necessari 6.822 anni-uomo (unità di misura basata sul lavoro di una persona 24 ore al giorno per 365 giorni l’anno). Mentre nel complesso i danni economici hanno superato, secondo un rapporto dell’Fbi, i 377 miliardi di dollari.
Quale sicurezza per i computer?
Quando si costruisce un’auto sportiva, veloce e potente le dotazioni di sicurezza sono parte integrante del progetto: dove sistemare l’air bag? Dove far passare i cavetti di controllo dell’Abs? Dove inserire la centralina che evita il pattinamento delle ruote? Non sarebbe pensabile aggiungere tutto questo a veicolo già costruito. In ambito informatico, ai progettisti di ieri mancava proprio tale una visione d’insieme, non erano capaci di progettare la sicurezza di un sistema dai primi passi. E man mano che una Lan o una Intranet cresceva (magari impetuosamente, travolta dall’esplosione di Internet) ci si ritrovata costretti a intervenire “in corsa”, a metterci una pezza in modo scoordinato o posticcio.
“Fino a ieri per gestire la sicurezza dei propri dati e per difendersi dalle intrusioni potevano bastare un antivirus, un firewall e un buon sistema di autenticazione degli accessi”, spiega Stefano Brusotti, ricercatore del Telecom Italia Lab di Torino, area Ict Security. “Oggi tutto ciò non è più sufficiente. La sicurezza di un sistema, di una rete aziendale deve essere ben progettata e gestita in divenire. Occorre avere una visione d’insieme e rispondere, innanzitutto, ad alcune domande: quali informazioni devo salvaguardare? quali sono i pericoli che corro? da chi mi devo proteggere? Solo dopo un’accurata analisi dei rischi potrò stabilire come organizzare le difese”.
“Il primo obiettivo dell’analisi dei rischi è individuare le aree vulnerabili del sistema da proteggere”, continua Stefano Brusotti. “In certi casi sono le banche dati interne, altrove sono gli accessi alle rete operati dai dipendenti che lavorano in giro per il mondo, così come un punto nevralgico sono le transazioni finanziarie, ovvero l’autorizzare o meno un certo movimento monetario on line in seguito a un acquisto, un’operazione bancaria o finanziaria”.
Tutelare le banche dati
Se i dati importanti e vitali di un’azienda non sono troppo sparpagliati, tutelare le banche dati interne non è complicato. Un buon programma antivirus su ogni singolo personal computer collegato alla rete e un buon firewall su tutti i server, grandi e piccoli, sono in genere sufficienti a sconfiggere la quasi totalità dei 55-60 mila nuovi virus che ogni anno sono in circolazione (in buona parte sono “Internet warms”, ovvero “vermi” che si diffondono attraverso la rete, spesso nascosti nei messaggi di posta elettronica). Ovviamente devono essere prodotti sempre aggiornati, antivurs che si collegano in automatico con la banca-dati madre almeno una volta la settimana. Poi occorre fare manutenzione e verificarne l’efficacia con dei “falsi allarmi” provocati ad arte per essere sicuri che tutto funzioni. Per quanto intelligenti, anche i migliori software hanno sempre bisogno un uomo, di un esperto, che sappia fare le giuste valutazioni.
Se si hanno dati molti importanti è bene anche attrezzarsi con “back-up automatici” o con i più sofisticati sistemi di disaster recovery. Purché correttamente dimensionati e con gli automatismi sempre “ben oliati”, questi rimedio offrono ormai buone garanzie.
Difendersi dalle intrusioni: l’autenticazione degli accessi tramite software
Per tenere lontano i non autorizzati un’azienda può agire innanzitutto sul versante software, allestendo un sistema di intrusion detection, una sorta di vigilanza interna che tenga d’occhio tutte le porte di comunicazione tra Internet e la rete interna di computer (dalle semplici reti telematiche che collegano i pochi computer dello stesso ufficio alle vere e proprie Intranet, le reti aziendali interne alle multinazionali, dotate di infrastrutture proprie, ramificate in tutto il mondo, magari via satellite) e che sappia anche organizzarne la crescita.
Soprattutto bisogna saper andare a scoprire quelle “backdoor”, quelle “porte di servizio” frutto degli errori informatici, spesso sconosciute allo stesso gestore della rete, che sono i passaggi segreti usati dagli hacker per intrufolarsi. Così come ravvisare la presenza dei “trojan horse”, dei software apparentemente innocui, che entrano in una rete interna allegati ai messaggi di posta elettronica e che, risvegliati al momento opportuno, aprono un varco alle intrusioni (è una delle armi utilizzabili dal cyber terrorismo, sui cui -giustamente!- c’è molto allarme negli Usa).
Quindi occorre dotare i dipendenti e i clienti/utenti di un buon sistema di autenticazione: non una semplice password alfanumerica per entrare dovunque, ma una serie di “parole d’ordine” da inserire via via che si addentra nel sistema, con una successione sempre diversa (per esempio 20 domande sulla vita privata della persona, presentate sullo schermo del Pc a gruppi di 5, ogni volta con una diversa combinazione). Oppure uno di quei programmi di crittografia cosiddetti “a sfida”: un computer lancia una prima e sofisticato codice (la sfida) la cui chiave di decodifica è nota solo al server con cui ci si vuole effettivamente collegare.
Difendersi dalle intrusioni: l’autenticazione degli accessi tramite hardware
Per garantire la sicurezza degli accessi in rete, per poter accedere ai file riservati del proprio computer è prassi usare una password, una “parola d’ordine” composta da una sequenza segreta di lettere e numeri che identifica l’utente autorizzato. Ma una password può esser spiata o addirittura ricostruita attraverso dei programmi automatici molto utilizzati dagli hacker. Sul fronte hardware, al posto della password (o in parallelo ad essa) si stanno diffondendo altri sistemi di verifica e controllo.
I token sono delle vere e proprie chiavi elettroniche, che l’utente deve avere sempre con se, da inserire in una delle porte Usb. Altrimenti ci sono i nuovi sistemi di controllo degli accessi basati sulla biometria che si stanno diffondendo in alcuni uffici o laboratori, così come negli aeroporti (di cui vi abbiamo già parlato). Per ricevere l’Ok all’accesso in rete da un qualsiasi Pc, al posto della password si può appoggiare un dito su un apposita finestrella di vetro incastonata sulla tastiera o sul mouse stesso che ne rileva l’impronta. Oppure, tramite la Web-cam del computer o del telefonino Umts operare il riconoscimento del volto. Il più affidabile di tutti è senz’altro il riconoscimento dell’iride, ma, per ora, nonostante alcune scene di film come “Minority Report”, è ancora il più ostico al grande pubblico.
Altra valida alternativa sono le smart card (in Italia ne circolano ormai quasi 500 milioni), anche note come carte magnetiche o come “badge” (se usate per il controllo degli accessi). In realtà le smart card vere e proprio sono solo quelle dotate di microchip, che, a differenza di quelle realizzate con la sola banda magnetica (le tessere a scalare per pagare il telefono o l’autostrada, per esempio, ma anche gran parte dei bancomat) offrono una maggior garanzia di sicurezza durante le transazioni finanziarie. I dati custoditi dalle tessere magnetiche sono facilmente copiabili perché scritti “in chiaro”. Il microchip inserito nella smart card contiene, invece, dei codici di sicurezza basati sulla crittografia che impediscono una duplicazione non autorizzata. Ovviamente il computer da cui parte il collegamento deve essere attrezzato con un lettore di smart card, ma si tratta di dispositivi di basso costo e minino ingombro.
La forensic analysis
Dovendo tutelare la sicurezza informatica di una azienda medio piccola, non è detto che le soluzioni si trovino nell’hardware o nel software. Infatti, i rimedi migliori non solo devono essere adeguati e dimensionati, ma deve anche essere economicamente sostenibile. Dunque si può anche arrivare a stabilire che l’intervento più vantaggioso sia una polizza assicurativa: anziché eliminato o ridotto il rischio viene così trasferito e, in caso di danno, l’azienda e i suoi clienti sono comunque tutelati. Tant’è che si sta sviluppando una nuova disciplina, la forensic analysis, che indaga in modo scientifico le modalità di un attacco degli hacker. Capire come avvengono le intrusioni e quali danni provocano, oltre a essere d’aiuto in tribunale, serve così a calcolare il rischio e il conseguente premio da pagare.
Gli Hacker: le origini
Agli albori dell’informatica, sul finire degli anni Quaranta, il termine hacker (che indica una persona molto abile, uno “che ci sa fare” e deriva dal verbo to hack, ovvero “lavorare a colpi di accetta un pezzo di legno”) viene inizialmente usato per indicare un giovane e brillante scienziato (in genere un fisico o un ingegnere) che metteva il proprio talento per costruire e sviluppare i primi calcolatori elettronici. Nel 1961, al Mit di Boston, questo termine assume la sua accezione odierna e “negativa”. Gli hacker che espressamente violano un sistema per creare danni, per rubare informazioni o per una truffa sono detti “cracker”, mentre i “lamer” sono coloro che si limitano a infiltrarsi a scopo dimostrativo. Spesso le azioni di infiltraggio sono finalizzate al compimento di veri e propri reati (cybercrimini). Tra i più frequenti vi sono: l’uso fraudolento di carte di credito (i cui numeri vengono spiati e “rubati” durante una comune transazione elettronica); la copiatura di opere protette da diritto d’autore (in ambito musicale, informatico o televisivo); l’intercettazione delle e-mail a scopo di spionaggio industriale o militare; il “bombardamento” di siti privati o istituzionali (spamming) al fine di saturarli in segno di protesta; le “bombe logiche” e i virus; il cyberpizzo (cioè la minaccia di paralizzare un sito o danneggiare un sistema se non verrà pagato un riscatto) e la diffusione di materiale illegale (in genere a contenuto pedofilo).
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
