Una tavola rotonda su argomenti di rilievo per la sicurezza, tra passato, presente e futuro. Per capire come cambiano i target degli attacchi e qual è l’evoluzione delle contromisure in atto
Becky Bace Ceo di Infidel, Rik Farrow, consulente in materia di sicurezza, Keith Rhodes, esperto di sicurezza del GAO degli Stati Uniti e Justin Peltier ha fondato la società di consulenza Peltier and Associates
“Guerra e Pace”, un titolo preso in prestito dalla letteratura russa che rende l’idea del panorama della sicurezza informatica. Ma anche il titolo di una rubrica su un noto giornale inglese di settore, che ha sempre ospitato articoli di attualità, interviste e survey su quello che in realtà è uno degli argomenti più caldi in questo momento: presente e futuro della protezione. Per questo motivo, Linea Edp ha riunito in una tavola rotonda alcuni autorevoli rappresentanti dello scenario internazionale: Becky Bace, Ceo of Infidel (venture partner in Trident Capital, fondo di investimento focalizzato sulle tecnologie informatiche); Rik Farrow, consulente e giornalista; Justin Peltier di Peltier and Associates (società di consulenza in ambito sicurezza); Keith Rhodes del General Accountability Office (Gao) degli Stati Uniti, e Richard Power, l’inventore della Csi/Fbi Survey. Stiamo, quindi, parlando di esperti di levatura mondiale che hanno fornito importanti suggerimenti su target e contromisure.
Che fine hanno fatto gli attacchi e le contromisure di un decennio o un quinquennio fa? Qual è l’elemento nuovo di questo periodo, quello che rappresenta il maggior punto di interesse o fattore-sorpresa in ambito protezione e sicurezza informatica?
Becky Bace: «Rispetto a quel periodo, sembra strano ma a volte il livello degli attacchi, o meglio la loro complessità, è inferiore. Più di una volta, infatti, mi è capitato di gestire degli incidenti come conseguenza di attacchi di basso profilo, che hanno letteralmente messo a terra il cliente. Questo è, secondo il mio punto di vista, espressione del fatto che ci sono aziende il cui livello di sicurezza è ancora, purtroppo, estremamente basso. In altri casi, invece, esiste un gap tra la media degli attacchi, per quel che riguarda il livello di complessità, e quella delle contromisure. A volte anche la competenza di coloro che sono impegnati a gestire entrambi i problemi è scesa, anche perché i migliori esperti non sono più sul mercato ma, ormai, collocati presso alcuni clienti se non, addirittura, in carcere. Il problema, infine, rimane anche a livello di solution provider, dal momento che chi fornisce al cliente le soluzioni applicative e le connettività non è in grado di gestire in modo adeguato, a livello di programmazione e amministrazione, patch e contromisure. A dire il vero, la colpa è anche un po’ dei clienti stessi e del marketing di chi gestisce l’offerta. I primi sono ancora alla ricerca del cosiddetto “silver bullet”, l’arma in grado di risolvere tutti i problemi, mentre i secondi continuano a proporre i loro prodotti come unica soluzione necessaria. Un altro fattore che, spesso, si omette è che essere un attacker sta diventando una vera e propria attività lavorativa. È molto remunerativa e consente di gestire una serie di benefit non rintracciabili dal punto di vista fiscale. Il rischio di essere arrestati è più alto rispetto a prima, ma sicuramente meno tangibile dei reati di tipo convenzionale. Insomma, per molti il rapporto tra rischio e beneficio è estremamente alto. Infine, è più facile essere hacker che trovare un posto di lavoro. E questo è un elemento non banale, che viene sfruttato dalla criminalità organizzata per trovare nuovi adepti. Il numero delle estorsioni a cui ho assistito è aumentato rispetto a cinque anni fa. In alcuni casi, è possibile arrivare a identificare e arrestare queste persone ma, in linea di principio, senza collaborazione internazionale, non si raggiungono risultati certi».
Come vede lo scenario attuale?
Becky Bace: «In riferimento alle contromisure, ci sono varie cose che mi sono chiare in questo momento. Non esiste un silver bullet e non esiste una prevalenza del soft_ware opensource rispetto a quello commerciale. I venture capitalist continuano a investire in prodotti, ma con una certa mancanza di criterio. La sicurezza è ancora una delle poche aree in cui non esiste uno zoccolo duro, a parte le organizzazioni formali in azienda, di persone realmente competenti e, soprattutto, in grado di gestire tutti i processi internamente. A ogni modo, non è semplice gestire tutto; ecco perché vi è necessità di un’offerta realmente qualificata, in grado di prendere in carico sia la fase preventiva sia quella di reazione, e di panico, che ne deriva».
Rik Farrow: «Dieci anni fa, firewall e antivirus erano le uniche contromisure. I cosiddetti Host-based intrusion protection (Hips) esistevano, ma non erano, poi, così popolari. Almeno negli Stati Uniti, la soluzione più diffusa era quella di creare un perimetro intorno all’azienda, niente di più. Nell’ultimo quinquennio alcune aziende hanno, poi, compreso di non avere un perimetro e si sono orientate verso l’Intrusion detection. Ecco perché abbiamo assistito a un aumento dei Nids (Network intrusion detection systems), che dovrebbero offrire una maggiore flessibilità».
E adesso?
Rik Farrow: «Adesso assistiamo all’escalation di tre categorie di strumenti: le Utm (Unified threat management), sistemi di prevenzione delle intrusioni (Ips) e i cosiddetti “compliance based product”. Le Utm sono una tendenza interessante per l’approccio all-in-one, che racchiude nella stessa soluzione firewall, antivirus e anche un componente Ips. Tuttavia, bisogna fare estrema attenzione alla loro valutazione, con particolare riferimento alle singole licenze e, soprattutto, alla capacità di gestione. Cambiano i target e cambiano anche le offerte. Ecco perché aziende che prima proponevano vulnerability scanner adesso li inseriscono in un’offerta omnicomprensiva di compliance. Questo tipo di prodotto sta trovando un buon riscontro negli Stati Uniti e negli altri paesi che, direttamente o indirettamente, sono sottoposti a esigenze di conformità normativa».
Keith Rhodes: «Ci sono tre cose che mi infastidiscono anche se, in realtà, non mi stupiscono più. Si continua, per esempio a puntare troppo sulla componente cyber degli attacchi, quasi giustificando coloro che li attuano a danno delle aziende. In realtà, la rete è solo il vettore, ma il danno può anche essere devastante. Si dovrebbe parlare di queste cose con riferimento ai target e non più soltanto al vettore dell’attacco. Gli obiettivi, infatti, stanno cambiando e stanno diventando anche fisici, non solo virtuali. E anche laddove rimangono virtuali hanno, comunque, un impatto di tipo “fisico”. Sono, poi, continuamente colpito dalla stabile mancanza di competenze da parte degli utenti aziendali. Sembra paradossale, ma il livello degli utenti domestici è, a volte, superiore. Il problema è anche la continua evoluzione della tecnologia dual use e l’incremento delle cosiddette “daily operation” dei clienti. Questi ultimi, quindi, hanno sempre meno tempo per aggiornarsi e il gap si allarga. Qui negli Usa, inoltre, aumentano i crimini legati a nuovi sistemi di gestione del dato come MySpace, per esempio. Alcuni credono ancora che il modo virtuale possa avere, di default, delle aree riservate. Non è così. E infine, ma non per questo meno importante, c’è il problema della qualità della programmazione. Il livello di preparazione tecnica dei vari programmatori è inferiore di quanto ci si aspetti, almeno dal punto di vista della cosiddetta security compliance. La causa è sempre la stessa, ovvero i tempi sempre più rapidi delle operazioni aziendali, con la conseguenza che la qualità e il controllo degli interventi di sicurezza risultano scarsi. Il costo della memoria Ram, poi, sta diminuendo, pertanto l’ottimizzazione del codice è, in molti casi, sottovalutate. Ecco, quindi, che l’apertura a violazioni è più facile, specie se la programmazione, poi, è fatta affidandosi al 90% a strumenti visuali e a librerie precompilate e non controllate».
Justin Peltier: «A dire il vero, concordo solo in parte con i miei colleghi. Personalmente, ritengo che il livello di sofisticazione degli attacchi sia aumentato, forse addirittura proporzionalmente all’evoluzione delle contromisure. Stiamo, inoltre, assistendo a un trend interessante. La porta 80 (in un Web server è la porta di connessione con i client – ndr) è ormai chiamata universalmente l’autostrada verso il network. Il problema è che la 80 è l’unica porta che, in realtà, non si può chiudere e/o vincolare con restrizioni, in quanto è quella che gestisce il business che, per definizione, non si può bloccare. Ecco perché, almeno in questi casi, la sofisticazione degli attacchi è qualcosa di molto più tangibile».
Quale sarà il trend, evolutivo o rivoluzionario, degli attacchi nei prossimi cinque anni?
Richard Power: «In questo periodo mi sto occupando di contromisure e del loro trend di mercato. Tuttavia, è noto che non è possibile avere un pool di contromisure efficaci se non si conoscono i dati che bisogna controllare. Per questo motivo, prevedo anzitutto che ci saranno più attacchi, anche molto sofisticati, diretti alle macchine virtuali. E questa è una cosa normale, che ritengo sarà commisurata all’escalation di questo mercato. Inoltre, aumenteranno gli attacchi anche nei confronti dei sistemi di autenticazione forte, cosa che peraltro stiamo già vedendo da tempo. La maggior parte degli attacchi di phishing degli ultimi diciotto mesi ha messo a nudo le pecche dell’autenticazione a due fattori. Alla luce dei lavori presentati alle conferenze più autorevoli, però, è da ipotizzare un aumento della visibilità sulle problematiche legate alla riconoscibilità dei vari rootkit disponibili. Infine, continueranno gli attacchi perpetrati a livello delle applicazioni. Il reverse engineering è una pratica illegale, ma sempre più utilizzata, a tutto danno delle applicazioni poste dietro il Web».
Rik Farrow: «Sì, i target stanno cambiando e anche i mezzi per colpirli. Il polimorfismo, pur avendo un ruolo ancora importante, non è più predominante come avveniva in passato. A ogni modo, i codici di exploit (che sfruttano le vulnerabilità conosciute di applicazioni o sistemi operativi per eseguire un programma o un codice su una macchina) del mercato nero, continuano a essere molto pericolosi. Le tecnologie di protezione sono efficaci solo in parte. Si basano, infatti, sul riconoscimento dei pattern, ma il numero delle architetture in grado di gestire le anomalie è in aumento. Il motivo è anche la capacità del codice di crittarsi e decrittarsi secondo le esigenze. Quello che, però, ritengo essere il trend più preoccupante è il punto di arrivo degli attacchi. Se il livello server rimane ancora un punto di osservazione molto importante, il desktop è ormai diventato un obiettivo molto appetibile per gli attacker. Il motivo è semplice: la banda è, comunque, disponibile e, in alcuni casi, il livello di protezione è inferiore rispetto ai target aziendali. E la maggior parte degli attacchi disponibili per questo tipo di obiettivi passa per gli Internet browser. Le vulnerabilità di questi ultimi diventano,quindi, tra le più importanti da tenere d’occhio, con particolare riferimento all’ambiente Microsoft. Ma anche Apple e Mozilla sono nell’occhio del mirino. Pertanto la situazione può solo andare per il peggio. Non dimentichiamo, infine, che un desktop può costituire un’ottima piattaforma di lancio per altri attacchi».
Keith Rhodes: «Personalmente ritengo che l’evoluzione sarà verso la convergenza tra logico e fisico. Detta convergenza sarà usata contro di noi e sarà una cosa tangibile. Se non saremo preparati, sarà difficile tracciare un evento con ripercussioni fisiche, ma provenienza virtuale. E queste sono le ipotesi sempre più ricorrenti».
Justin Peltier: «Negli ultimi due anni, la cosiddetta “deep packet inspection” (un sistema di filtraggio che esamina i dati contenuti all’interno delle porzioni, anziché solo l’header, di un pacchetto – ndr) ha fatto tanto, soprattutto per proteggere le porte aperte sul network aziendale. Il problema riguarda il calo di performance che l’utilizzo di questo strumento causa. Personalmente, ritengo che non sia tanto la tecnologia a creare il collo di bottiglia, quanto la sua implementazione. Accanto a questo, anche l’incremento delle attività di antiforensics (ovvero l’applicazione di metodi scientifici per individuare e invalidare le attività maligne – ndr) può indurre a un’ispezione approfondita dei pacchetti in transito. Pertanto, non sempre si riesce a conciliare prestazioni e security. Ci sono alcuni workaround, ovvero delle risoluzioni temporanee dei problemi, che le aziende italiane di piccolo e medio calibro potrebbero usare. Uno di questi è sicuramente l’uso di un Cd Based Firewall. Negli Usa vengono impiegati per gestire piccoli uffici periferici. L’unica precauzione è quella di supportare queste installazioni con una Ram adeguata».
In generale, come definireste lo stato dell’arte della sicurezza? Con la frase “un passo avanti e due indietro” o “due passi avanti e uno indietro”? Cioè, qual è il livello di dinamismo della security in questo momento?
Becky Bace: «Personalmente, credo che le due frasi siano entrambe utilizzabili in circostanze diverse.Qualcuno potrebbe dire che sono stati fatti dei progressi, mentre altri farebbero fatica a identificarli. Dipende molto anche dal tipo di industry in cui ci si trova. Penso anche che si tratti di un discorso generazionale che, forse, è il primo che ci troviamo ad affrontare. Un’altra cosa che non riesco a comprendere è come sia possibile guardare alla sicurezza solo come a un intervento di tipo reattivo e non di processo come, invece, dovrebbe essere. A queste considerazioni vanno aggiunte, poi, quelle sul dilagante calo di attenzione sulla formazione degli utenti finali, dei tecnici e dei manager. E il problema non è solo delle aziende, ma anche delle amministrazioni pubbliche. Faccio molte consulenze a vari governi, ma a volte la situazione richiede ancora dei miglioramenti sostanziali».
Rik Farrow: «In generale, sono un po’ scettico. Non credo che siano stati fatti dei passi avanti che possano essere definiti tali. Sono anch’io dell’opinione, inoltre, che l’intervento debba essere di tipo strutturale, già dal momento della programmazione. Sembra strano, ma forse neanche il software di sicurezza a volte è non scritto con criterio. Ovviamente, gli esempi sono molto meno numerosi rispetto alle applicazioni ordinarie, ma ci sarebbe da discutere. Ritengo che questo sia un problema che, con l’andar del tempo, sarà sempre più visibile, e sul quale bisognerà far luce».
Keith Rhodes: «Credo che la definizione “un passo avanti e due indietro” sia quella più reale. Ciò è dovuto al fatto che molti clienti ritengono che, con una semplice assegnazione di budget annuale, magari ciclica e senza attenzione, si abbia un livello di sicurezza adeguato. Evidentemente non è così, in quanto non si tiene conto della rapida evoluzione degli attacchi e del loro stato dell’arte. Questo potrebbe generare un falso senso di sicurezza che sarebbe estremamente pericoloso per le aziende».
Justin Peltier: «Sono d’accordo con Keith. Vi sono troppe tecnologie che vengono spacciate come nuove ma che, in realtà, sono solo una rivisitazione marketing di soluzioni già da tempo sul mercato. Fatto sta che, soprattutto con l’avvento delle appliance di gestione unificata delle minacce, c’è il rischio di avere un falso senso di sicurezza, assolutamente pericoloso per tutti. Fino a quando la protezione sarà interpretata come una mera interposizione perimetrale, magari mal configurata, l’altra parte avrà sempre la meglio».
