BETA, la rivista ipertestuale tecnica
BETA, la rivista ipertestuale tecnicaBarra BETA
Sommario Registrazioni a BETA Redazione Liste/Forum Informazioni Indici BETA La rivista ipertestuale tecnica Collegamento al sito Web
BETA - Telecomunicazioni e Reti

BETA 2499.7 - Telecomunicazioni e Reti - In-sicurezza - Parte I | Parte II | Parte III

In-sicurezza

Parte III

Andrea Ghirardini
Articolista, BETA

Costi

Una notevole aggravante è data dal fatto che gestire il problema della sicurezza costa una notevole quantità di denaro, sia in termini di investimenti economici, sia di tempo e risorse. Spesso e volentieri quindi il management boccia i progetti o li rimanda a data da destinarsi.

Questo gravissimo errore è inoltre dovuto al fatto che non si da mai ai dati il necessario valore. Anni fa ho gestito per un certo tempo gli web server di una ditta che faceva servizi di hosting. Uno dei clienti era una famosa ditta produttrice di articoli sportivi del Trevigiano.

Un giorno mi capitò di notare, in una directory del loro web server, un enorme file autocad, non indirizzato da nessun link. Temendo un problema controllai il file e vi trovai i progetti dei prototipi della loro ultima serie di pattini in linea! Chiamai la ditta per chiedere lumi e mi dissero che loro usavano questo metodo per scambiare i file con alcuni consulenti ed alcune ditte negli States: mandavano il file via ftp sul server Web in questa directory "nascosta" e gli altri se lo scaricavano con un browser.

Io ero quantomeno imbarazzato... e gli ho chiesto se non avevano altro modo per fare la cosa con un po' più di sicurezza. Mi chiesero chi mai avrebbe potuto venire a sapere della cosa. Quando gli risposi che io avrei potuto benissimo fare una copia del file e poi un telefonata ad almeno altre due società concorrenti parvero risvegliarsi dal torpore letargico nel quale sonnecchiavano. Ma dopo un attimo di spavento ci ricascarono presto...

Ora immaginate il costo per lo sviluppo di un simile oggetto e la perdita nel caso finisse in mani sbagliate. Ora paragonate il costo di prendere una persona ed insegnarle a crittografare i dati con PGP prima di spedirli. Direi che non c'è paragone. Peccato che queste valutazione vengano fatte sempre troppo tardi!

E' inoltre vero che se prendere una ditta nella quale non è mai stata applicata alcuna politica di sicurezza e renderla come Fort Knox avrebbe un costo proibitivo è altrettanto vero che arrivare ad un livello accettabile non sarebbe poi uno sforzo di dimensioni titaniche.

Ma perché i costi sono così elevati?

Sicurezza a tutto tondo

Quando si parla di sicurezza informatica NON si intende solamente rinforzare la politica di adozione delle password o installare qualche firewall qua e là. Qualunque consulente punti solo su questo merita di essere defenestrato senza spiegazione alcuna. Piuttosto è assolutamente necessario affrontare il problema a diversi livelli senza trascurarne alcuno.

E' assurdo ad esempio installare un firewall commerciale da svariate decine di milioni e poi non controllare l'accesso via modem direttamente alle macchine interne. Oppure rinforzare le politiche di auding sulla gestione delle password e non istruire gli utenti e NON DARE LA PASSWORD A NESSUNO!. Oppure spendere milioni per fare tutto quello di cui sopra e poi lasciare i nastri del backup sopra ai server e non controllare gli accessi agli edifici.

Se può sembrarvi paranoia pura riflettete un attimo. Perché qualcuno veramente interessato dovrebbe andare a scornarsi contro un firewall quando può tranquillamente entrare nel palazzo vestito da XXXX (sostituite XXXX con una figura opportuna come rappresentante, cliente, tecnico Telecom o altro) e portarsi via le cassette per poi lavorare con tutta la calma di questo mondo a casa?

Inoltre vi posso garantire che tutto quello di cui sopra non nasce da discorsi oziosi o accademici ma da cose accadute durante controlli presso ditte e uffici pubblici.

Soluzioni

Non esiste il farmaco universale o il santo Graal della sicurezza informatica. Diffidate dalle soluzioni standardizzate o da pacchetti che sembrano risolvere magicamente qualunque problema. Sono favole oppure, nella peggiore delle ipotesi, inganni che ci danno solo un falso senso di sicurezza, non suffragato da nulla.

L'analisi della sicurezza di un sistema informativo deve essere PERSONALIZZATA e studiata caso per caso a seconda di una molteplicità di fattori quali sistemi operativi utilizzati, accessi con il mondo esterno, accessibilità della sala server o delle singole connessioni di rete, tipo di edificio, preparazione del personale e, non ultimo, livello di sicurezza a cui si vuole arrivare.

Inoltre è bene tenere presente che qualunque soluzione si scelga questa sarà solamente un compromesso. Non è possibile infatti garantire, CONTEMPORANEAMENTE, una sicurezza del 100% e l'accessibilità ai dati (l'unico computer sicuro è quello spento conservato in una colata di cemento nelle fondamenta di un edificio).

In ogni caso uno dei metodi che, nel corso degli anni, ha prodotto i risultati migliori è e rimane l'intrusione autorizzata da parte di un tiger team appositamente assoldato. Solo ponendosi dall'altro lato della barricata è possibile evidenziare le falle e ricorrere alle debite contromisure.

Potete aver progettato il miglior sistema di sicurezza del mondo ma se non trovate il modo di testarne l'efficacia non potrete mai fidarvene.

Dato che in Italia, attualmente, le società capaci di fornire questo tipo di servizi si contano sulle dita di una mano, a volte si rende necessario effettuare da soli questi test.

Pur capendo che non si diventa degli hacker di I livello leggendo una serie di articoli o facendo qualche corso (la genialità è una componente insostituibile e non assimilabile) è altresì vero che con una buona metodologia e gli strumenti corretti è possibile avere discreti risultati, almeno per evidenziare le falle macroscopiche e tenere i lamer fuori dalla porta.

Quindi, se siete interessati all'argomento state sintonizzati su queste pagine, potreste trovarvi delle informazioni utili.



Parte I | Parte II | Parte III
Precedente: Parte II


Articoli correlati

Altri Articoli della stessa Rubrica...

Siti Web

Elenco di siti consigliati da BETA... (est.)


Andrea Ghirardini è Articolista di BETA dal 1999; è raggiungibile su Internet tramite la redazione oppure all'indirizzo andrea@sodalia.it.

Ultima revisione:
URL: http://www.beta.it/beta/bs029801/2499.7/b2499ag1.htm

Copyright © 1995-2000 BETA, tutti i diritti sono riservati. E' vietata la riproduzione senza autorizzazione dell'editore o dell'autore dentro i termini e le condizioni della Licenza Pubblica BETA (LPB)

BETA La rivista ipertestuale tecnica (http://www.beta.it/beta)email info@beta.it
BETA: Frontespizio | Registrazioni | Redazione | Liste/Forum | Indici | Guida | Copyright