Sistemi di Difesa

Questa celebre frase fu pronunciata da J. Edgar Hoover, capo dell'FBI (Federal Bureau of Investigation) moltissimi anni fa ma, nonostante il tempo trascorso, continua a risultare estremamente attuale e decisamente veritiera.

Ma non basta. Un computer è al sicuro finchè resta spento: appena viene riacceso diventa potenzialmente vulnerabile e può essere attaccato, ad esempio durante l'installazione di eventuali aggiornamenti al sistema operativo o mentre scarica dalla rete i dettagli delle caratteristiche (signatures) dei nuovi Virus o Worm comparsi su Internet mentre era spento. Per evitare attacchi informatici, o almeno per limitarne le conseguenze, vanno prese delle contromisure; i calcolatori e le reti di telecomunicazione necessitano di protezione.

Benché queste operazioni avvengano nel giro di pochissimi minuti, l'eventualità di subire un'intromissione via rete in questo lasso di tempo non è trascurabile, anzi: in certe reti particolarmente frequentate e con eventuali Worm in circolo, diventa quasi una certezza.
Come in qualsiasi ambiente la sicurezza assoluta non è concretamente realizzabile: sono stati però sviluppati degli strumenti per limitare i rischi, permettendo così di mantenere un appropriato livello di sicurezza.

Innanzitutto è molto importante mantenere continuamente aggiornati sia il sistema operativo (attraverso Windows Update nel caso di un sistema basato su Microsoft Windows) che i programmi applicativi, installando programmi appositi (denominati Updates, per l'appunto aggiornamenti), specialmente quelli relativi alla sicurezza. Così facendo si protegge il proprio personal computer dalle nuove e vecchie vulnerabilità che vengono identificate e che prima o poi saranno sfruttate da qualche programma o tool di attacco. Qualsiasi computer deve essere seguito in modo appropriato, il proprietario dovrebbe sapere bene quello che sta facendo, per ridurre al minimo le "porte" aperte a possibili intromissioni. Non si devono usare password ovvie (che possono essere facilmente intuite) ed è consigliabile limitare allo stretto indispensabile gli eventuali servizi che un computer connesso in rete offre ai suoi utilizzatori (quali ad esempio web server, programmi in ascolto per funzioni varie, aree di disco condivise (condivisioni Microsoft, FTP, NFS ed altri sistemi di condivisione accedibili da utenti anonimi).

Per quanto concerne i virus, è buona norma utilizzare dei programmi antivirus residenti nella memoria del nostro Personal Computer che sono in grado di identificare e/o rimuovere, o comunque rendere inoffensivi la maggioranza dei virus che circolano in rete; per fare ciò devono però essere aggiornate molto frequentemente delle speciali liste che contengono le "firme digitali" dei virus stessi, e che ne permettono l'identificazione. Tale operazione avviene eseguendo un Update del sistema antivirus.

Oltre a proteggere i singoli elaboratori, e quindi curare la sicurezza delle singole macchine, è anche possibile proteggere intere reti di computer, usando altri strumenti più sofisticati che si basano sul controllo del traffico dei pacchetti che vi transitano: firewall e meccanismi di rivelazione delle intrusioni (Intrusion Detection Systems, IDS).

I Firewall sono dei sistemi di protezione che includono sia applicazioni software che moduli hardware, cioè apparati di rete. La funzione è quella di controllare e limitare il flusso dei pacchetti tra la rete che si vuole proteggere, tipicamente una rete locale (LAN) privata spesso chiamata intranet, ed il resto del mondo, considerato ostile e fonte di una possibile minaccia.
Posto strategicamente nel punto di contatto tra Internet e la rete di una singola organizzazione, il Firewall filtra il traffico impedendo l'ingresso di pacchetti non autorizzati considerati pericolosi sulla base di alcune regole di sicurezza; oltre a ciò può anche controllare, e quindi permettere o bloccare, il tipo di connessioni stabilite tra i computer che comunicano tra l'interno e l'esterno del firewall stesso (come ad esempio le connessioni remote "telnet"). Esistono anche dei firewall più semplici (personal firewall) che si usano per proteggere un solo calcolatore.

I Firewall, tuttavia, non risolvono il problema degli "insider", cioè degli attacchi da parte di coloro che si trovano all'interno della rete locale nell'organizzazione stessa (ad esempio un dipendente). Gli eventuali attaccanti interni infatti non devono attraversare questa sorta di ponte levatoio che è costituito dal Firewall stesso, trovandosi già all'interno della rete locale; a questo scopo, ma anche per rivelare attacchi dall'esterno, si usano i sistemi di rivelazione delle intrusioni, che possono essere considerati quasi complementari ai Firewall. Questi sistemi (IDS, Intrusion Detection System) segnalano attività sospette di intrusione o di un uso insolito ed anomalo della rete ed anche se non possono impedire direttamente l'attacco, sono in grado di attivare allarmi in tempo reale. Gli IDS possono agire sia a livello di rete (in questo caso vengono comunemente denominati network-based) che di singolo computer (comunemente denominati host-based) e rivelano determinate e conosciute tecniche di attacco. Nel primo caso dei sensori intercettano ed analizzano i pacchetti che passano sulla LAN e possono identificare attacchi di Denial of Service (tipologia di attacco che rende inutilizzabile o provoca malfunzionamenti al servizio offerto) o attacchi con determinati carichi distruttivi (payload). Nel caso degli host-based viene analizzata invece l'attività di specifici computer esaminando particolari file di sistema (log, audit). Si è così in grado di mantenere sotto controllo attività specifiche quali le sequenze di logon/logoff (accesso ed uscita dal sistema operativo), l'eventuale modifica di file riservati al sistema operativo, l'uso di particolari programmi.

Fonte: @ Mediaservice.net (Data Security Department), Claudio Prono