Attacchi di malware sempre più mirati e frequenti, siti Web maligni volti a rubare le password utilizzando pagine di “sign-in” di servizi on line molto diffusi (per esempio, eBay), sistemi di spamming che sfruttano contenuti e contributi video occupando ampie risorse di banda per l’accesso in Rete. Le minacce per la sicurezza informatica sono in aumento e, stando alle rilevazioni dei McAfee Avert Labs (www.mcafee.com ), le oltre 217.000 diverse tipologie di minacce, note e non ancora identificate, confermano una tendenza ormai consolidata; quella che vede muoversi, dietro la propagazione di virus e malware, criminali professionisti e organizzati. Fra le 10 principali minacce previste per quest’anno, oltre a quelle sopra evidenziate, c’è tutto l’insieme di ciò che è lesivo per la sicurezza informatica e di rete: file digitali in formato Mpeg per distribuire codice malevolo, attacchi ai telefoni cellulari “più intelligenti” e più connessi, adware, furti d’identità e di dati tali da compromettere interi sistemi informatici, utilizzo massivo di Botnet (programmi che eseguono task automatici per la diffusione di adware e altro malware) e numero di rootkit (infezioni difficili da scoprire e ancor più da rimuovere) su piattaforme a 32-bit in forte aumento (la crescita nel 2006, rispetto all’anno precedente, è stata del 400%).
Con Dave Marcus (nella foto), security researcher and communications manager dei McAfee Avert Labs, ZeroUno ha provato a fare un completo giro d’orizzonte per capire presente e futuro della sicurezza informatica.
ZeroUno: Cosa è cambiato negli ultimi tre anni nel campo dell’It e Web security?
Marcus: Sicuramente la tendenza che predomina sulle altre e che ha radicalmente mutato il panorama delle minacce alla sicurezza It negli ultimi anni è la “professionalizzazione” degli autori di malware. Abbiamo assistito a uno spostamento della scrittura di codice maligno; dall’intento di infettare quanti più computer possibili si è passati all’obiettivo di ottenere ritorni economici. A tale mutazione di prospettiva si riconducono le principali tipologie di minacce che registriamo attualmente: l’aumento esponenziale degli attacchi di tipo “zero-day” [attacchi che colpiscono vulnerabilità note ma non ancora risolte mediante patch ndr]; la crescita del mobile malware, fino a tre anni fa manifestatosi attraverso pochi esemplari; l’aumento di malware basato su vulnerabilità e su Web browser. Vi sono poi le vulnerabilità che vengono segnalate in funzione di specifici programmi di remunerazione delle stesse, una prassi che ha dato vita a un esercito di ricercatori professionali impegnati a guadagnare denaro, fino a 10.000 dollari per una sola vulnerabilità. Gli attacchi, dicevamo, sono mirati e ne è una prova il fatto che si concentrano, generalmente, nei giorni che precedono o seguono il rilascio mensile delle patch da parte di Microsoft (www.microsoft.com): gli autori di malware giocano una vera e propria partita a scacchi ben sapendo che, per un mese, il sistema è potenzialmente soggetto alle vulnerabilità scoperte. Nella prima metà del 2006, per dare un’idea della portata fenomeno, Microsoft ha rilasciato più patch per vulnerabilità di quante ne avesse segnalate complessivamente nel 2004 e nel 2005.
ZeroUno: C’è all’orizzonte un nuovo paradigma per la sicurezza di reti, sistemi, computer e applicazioni?
Marcus: Dal nostro punto di vista, non siamo di fronte alla necessità di un nuovo paradigma; quello che certamente è necessario è una maggiore attenzione per la gestione del rischio. Come non è possibile eliminare completamente il crimine nelle sue varie forme ma lo si contrasta con metodi appropriati, così nella sicurezza informatica bisogna proteggere, con oculatezza, ciò che è maggiormente esposto a seri rischi, identificando cosa è importante proteggere e implementando le soluzioni più adatte. Dalla parte dei vendor è vitale integrare prevenzione delle minacce con gestione della conformità, fornendo alle aziende una maggior automazione ed efficienza operativa sulle soluzioni.
ZeroUno: Quale può essere una policy di sicurezza ideale per una media impresa oggi?Marcus: Una piccola azienda, proprio perché non ha personale dedicato, deve prestare molta attenzione alla gestione della sicurezza e del rischio. Gli investimenti nelle soluzioni tecnologiche all’ultimo grido sono ormai acqua passata, quello che è necessario, oggi, è focalizzare l’attenzione sulle parti del business più importanti e intervenire lì con soluzioni adeguate.
ZeroUno: Quali sono quindi le componenti strategiche su cui investire per garantire sicurezza alle reti e ai sistemi dove girano le applicazioni critiche?
Marcus: Come dicevamo prima, la strategia deve partire da un’analisi del rischio e concentrarsi sugli asset più esposti all’attacco. Quanto alle soluzioni da implementare, la tendenza è quella di sostituire prodotti stand-alone con prodotti multi-funzionali in grado di bloccare e filtrare gli attacchi in modo proattivo e automatico. In parole più semplici, questo approccio esprime un concetto ben definito: la sicurezza non si può comprare a scatola chiusa, ma si può e si deve costruire con un occhio più attento alla gestione, oggi, erroneamente, non ancora vista come componente essenziale della sicurezza.
ZeroUno: Che posizione avere circa l’evoluzione delle minacce informatiche negli ambienti operativi open source? L’alleanza Microsoft-Novell potrebbe avere impatti significativi in tal senso?
Marcus: Dal nostro punto di vista questo accordo non cambierà le cose in modo rilevante e non riteniamo quindi che avrà un particolare impatto. Per quanto riguarda l’open source in genere, quello che realmente sta impattando sullo scenario della sicurezza è la condivisione di metodi e strumenti di lavoro free disponbili in Rete, come i fuzzer, utilizzati per mettere alla prova un programma o un’applicazione alla ricerca di nuove vulnerabilità. E questa nuova consuetudine ha inciso molto nella crescita della professionalità degli autori di malware, che del resto va di pari passo con l’incremento degli attacchi che sfruttano programmi di istant messagging e sistemi di file sharing peer to peer.
ZeroUno: La convergenza su Ip potrebbe far decollare il numero di minacce per i pc e i terminali mobili connessi su rete fissa e wireless?
Marcus: Il mondo mobile è sempre più soggetto ad attacchi diretti verso quelli che sono i sistemi operativi più diffusi. Nel mercato della telefonia cellulare la crescente standardizzazione dei sistemi operativi, come Symbian e Windows Mobile, e l’utilizzo di specifiche aperte, unitamente a funzionalità sempre più sofisticate, comportano una maggiore vulnerabilità dei dispositivi nei confronti della diffusione di codice dannoso. Tali sistemi operativi possono ospitare numerosi software e di conseguenza offrono ai virus diversi ambiti di azione. La diffusione, da un lato, semplifica il compito dei pirati informatici, ma non dobbiamo dimenticare che anche la commercializzazione di nuovi software può costituire un invito a sviluppare virus idonei a colpirne i punti vulnerabili.
ZeroUno: Stesso discorso per i servizi di nuova generazione per cellulari e smartphone?
Marcus: Con l’introduzione delle reti avanzate 3G gli utenti possono scaricare contenuti più ricchi sui telefoni cellulari e questo aumenta la minaccia di diffusione di contenuto dannoso. In ogni caso, nemmeno i telefonini più semplici sono al sicuro, se si pensa che stanno aumentando anche i virus in grado di attaccare i sistemi Bluetooth. In questo comparto, inoltre, assistiamo alla diffusione di una forma di phishing via Sms (il “smihing”), che sfrutta tecniche consolidate di pescaggio delle informazioni inducendo gli utenti a cadere vittime di truffe. È un dato di fatto, quindi, che le minacce in versione mobile continueranno a crescere di pari passo con la convergenza tra piattaforme diverse.
SYMANTEC: DATI SICURI PER UNA SQUADRA VINCENTE
Negli ultimi anni, con una serie di acquisizioni strategiche, ultima delle quali, nel dicembre 2006, è quella di Company-i, società inglese di servizi per l’ottimizzazione dei data center, Symantec (www.symantec.com ) ha rafforzato ed esteso la sua offerta per la sicurezza, l’availability e il service delivery delle infrastrutture It. La svolta più significativa di questo percorso resta comunque l’acquisizione, nel luglio 2005, di Veritas, le cui tecnologie sono alla base di una delle più interessanti ‘case history’ della società, relativa al Renault F1 Team, cioè all’azienda (di 800 dipendenti) che costruisce e fa correre le monoposto che hanno vinto i due ultimi campionati mondiali di Formula 1. La progettazione, costruzione, messa a punto e gestione in gara di una Formula 1 genera una quantità d’informazioni enorme. La telemetria e i sensori di bordo producono durante una sola gara, più di 3 Gbit di dati; poi ci sono i dati dei sistemi Cad e quelli dei calcoli nella galleria del vento. In totale, si tratta di oltre 80 Terabyte di dati da gestire in modo da garantire sia la massima disponibilità ai team che viaggiano da un circuito all’altro intorno al mondo, sia la massima sicurezza, essendo informazioni dalle quali può dipendere l’esito del campionato. L’adozione, su sistemi Network Appliance, dei prodotti Veritas Storage Foundation, Cluster Server e NetBackup (server e desktop-laptop) e il supporto dei Veritas Business Critical Services, ha portato l’availability delle applicazioni al 99,93% con una riduzione del 40% del failover time del database. E a un risparmio del 55% sul Tco dell’infrastruttura dovuto al più efficiente impiego delle risorse esistenti. (G.C.B.)
SICUREZZA RADWARE PER L’APPLICATION SERVICE PROVIDING
Fondata nel 1997 a Tel Aviv da Roy Zisapel, un brillante neolaureato in matematica e computer science che nel ‘95, ancora studente, aveva già collezionato premi internazionali per le sue ricerche nel campo degli algoritmi Tcp/Ip, Radware (www.radware.com ) è oggi una società da 77 milioni di dollari, che occupa 500 persone, di cui un terzo ricercatori, e che, sempre sotto la guida di Zisapel, è diventata un nome di riferimento nella produzione e fornitura di soluzioni integrate per l’application delivery. Più precisamente, le competenze della società israeliana (che è presente in Italia dal 2001 con un uffici a Milano e a Roma ed una rete di partner certificati) si applicano all’ottimizzazione delle prestazioni e della sicurezza dei sistemi di rete su protocollo IP, finalizzate all’availability del network delle applicazioni che vi sono basate. Suoi clienti di elezione sono quindi in primo luogo le società di Tlc e gli application service provider, poi le imprese a struttura multinazionale. Per dare un’idea, nel nostro paese usano soluzioni Radware aziende come Fiat, Enel, il gruppo Rcs e Telecom Italia per la gestione e protezione del portale Alice.
Il differenziale tecnologico dell’offerta Radware sul fronte dell’application security (identificata dal brand APSolute) è dato dal fatto che gli algoritmi che controllano i suoi apparati sono in grado di concedere o negare connettività e spazio di banda in funzione dell’uso cui la connessione è destinata, distinguendo tra il traffico legato al business ed il traffico ‘spurio’ (di regola su base peer-to-peer) dovuto ad attività lecite ma meno importanti, come lo scarico di file o lo scambio di messaggi, o ad attività illecite, come gli attacchi di tipo DoS (Denial of Service).
Questa capacità di autoprotezione della rete è stata recentemente potenziata con l’introduzione, lo scorso dicembre, di nuovi apparati, facenti parte della linea d’offerta DefensePro, che integrano soluzioni DoS e Ips (Intrusion Prevention System). I nuovi modelli si dividono in due famiglie (DefensePro x02 e x20) che supportano volumi scalabili, con un’estensione di banda da 100 Mbps a 1 Gbps e da 600 Mbps a 3 Gbps rispettivamente. Da notare infine che il meccanismo di pricing dei nuovi DefensePro, che si indirizzano al mercato delle aziende e dei Mssp (Managed security service provider) è del tipo ‘pay per use’, che permette quindi di scalare la capacità degli apparati in funzione della crescita delle esigenze dell’utente senza per questo dover comprare nuovo hardware. (G.C.B.)
