Con il progetto “Iritaly”, nel nostro Paese si apre la stagione del concurrent engineering per gli incidenti informatici. Già pronto un “kit di sopravvivenza” che sarà rilasciato a giugno a chiunque ne faccia richiesta (dato che l’iniziativa è no profit). E i lavori di upgrade proseguono.
Si chiama "Iritaly" ed è un progetto informativo totalmente no profit riguardante la gestione degli incidenti informatici nato da un gruppo di lavoro interno al Dti (Dipartimento Tecnologie dell’Informazione), presso il polo di ricerca di Crema all’Università di Milano. Dodici persone, tra laureandi, laureati e docenti Fse hanno dato vita a un’iniziativa che si propone di iniziare un processo di divulgazione sull’incident handling e la digital forensic.
Iritaly: perché adesso
Ci troviamo in un periodo storico nel quale un incidente informatico non è più semplicemente riconducibile a puri episodi di hacking. Una frode, un caso di pedofilia o un "semplice" traffico di mp3 o film sottoposti a copyright possono costituire un grave danno agli asset aziendali.
Per questo motivo appare sempre più importante avere un riferimento specifico alle cosiddette "best practice", al fine di ottenere il massimo risultato di affidabilità e, perché no, di riproducibilità dell’atto in sede di contenzioso disciplinare e/o giudiziario.
Iritaly è un cosiddetto "living project", cioè un lavoro in continua evoluzione, composto da una parte documentale e da un Cd-Rom di prima risposta. Il documento si propone di divulgare le tematiche di sicurezza, tutela delle informazioni, best practice e accertamenti sulle macchine colpite, sia dal punto di vista del rintraccio da episodi di hacking sia da quello di gestione delle frodi interne.
Il documento, di circa 150 pagine, contiene riferimenti specifici alla gestione dei file system, dei back- up, delle procedure di immagini forensi, nonché del management delle comunicazioni "sicure" a seguito di attacco.
Una parte del documento contiene le informazioni necessarie sugli algoritmi di crittografia e le relative implementazioni, notizie sui tool di analisi e acquisizione dei file di log, nonché le procedure di acquisizione e tutela di questi ultimi. In caso di incidente informatico, il documento fornisce le istruzioni di massima (e anche di dettaglio) per gestire l’emergenza, al fine di garantire la massima recuperabilità delle informazioni perdute, nonché il ripristino in sicurezza delle piattaforme operative. Una parte del documento contiene anche una modulistica relativa alla procedura di emergenza. Ci riferiamo alla cosiddetta "chain of custody" (cioè l’inventario delle operazioni e delle movimentazioni delle possibili fonti di prova), alla documentazione da usare in caso di incidente (contatti, gruppo di lavoro, task, timeline e via dicendo) ai report.
Avere una modulistica di massima uniforme significa, per forza di cose, avere una buona possibilità di rapida interazione tra più target coinvolti.
Il Cd-Rom del progetto Iritaly è un media bootable, che può essere inserito nel computer verosimilmente compromesso ed effettua l’automounting di tutto ciò che è presente sulla macchina che risulta essere attaccata. Da questo Cd è poi possibile effettuare l’imaging dei dischi, e una serie di primi accertamenti su log e porzioni di disco, fino alla forensic di basso livello al fine di inquadrare in prima analisi, le eventuali cause di intrusione e/o incidente.
Il progetto sarà presentato nell’ambito del primo forum italiano sulla gestione degli incidenti informatici organizzato dal Dti di Crema e dal Consolato statunitense a Milano, il prossimo 10 giugno. Come detto, si tratta di un progetto totalmente Gnu/Gpl e chiunque potrà interagire con i mantainer, a mezzo di un forum disponibile dalla data di lancio.
Va ancora sottolineato che si tratta di un living document/project, cioè un’entità documentale e di strumenti in continua evoluzione, il che comporta che il refresh degli argomenti e delle metodiche sarà continuo, con il fine di affermare la compatibilità con le best practice. Il package sarà disponibile a tutti a partire dal 12 giugno 2003.
