Negli ultimi mesi abbiamo parlato di alcuni tra gli argomenti di maggior interesse nel settore della sicurezza informatica, prendendo spunto da episodi accaduti. Il riscontro che abbiamo avuto dai lettori è stato tale da farci riflettere sull’increment …
Negli ultimi mesi abbiamo parlato di alcuni tra gli argomenti di maggior interesse nel settore della sicurezza informatica, prendendo spunto da episodi accaduti. Il riscontro che abbiamo avuto dai lettori è stato tale da farci riflettere sull’incremento dell’attenzione da parte del pubblico in ordine ai problemi di sicurezza informatica, anche riguardo al trend di questi ultimi. Perciò abbiamo fatto una panoramica dei punti di maggior interesse per l’ultimo quadrimestre del 2001 (e per buona parte del prossimo anno).
Cominciamo con i temi più gravidi di implicazioni per la grande massa, cioè quelli della firma digitale, delle Pki e della strong authentication. Negli ultimi mesi, quale utente professionale non è stato contattato da un funzionario commerciale con una proposta di prodotto relativa alla Public key infrastructure? Lo stesso utente professionale, purtroppo, si sarà accorto che non è tutto oro quello che luccica sul mercato. La conformità delle soluzioni con la normativa italiana, prima, e con quella europea, poi, (cronologicamente parlando, naturalmente) ha reso la scelta ancor più difficile da compiere in maniera oculata e, soprattutto, preservando gli investimenti. In generale, le Pki abilitano le imprese a stabilire le cosiddette “trust relationship” e ad aumentare le opportunità di business. Tuttavia esistono molte idee “falsate” sull’effettivo funzionamento delle infrastrutture a chiave pubblica e, soprattutto, su come queste garantiscono i contenuti delle transazioni, più che l’identità degli interlocutori. Molto spesso, infatti, si dimentica che una corretta implementazione di una struttura di questo tipo consente l’autenticazione dei poli, ma non certifica che l’oggetto delle transazioni tra questi sia corretto dal punto di vista legale. Questo è un problema che molti trascurano.
Correlato al fattore Pki c’è poi quello dell’autenticazione. Molti Isv che producono Public key infrastructure stanno stabilendo una serie di partnership tecnologiche con produttori di token, smartcard e biometria, per aumentare il livello di sicurezza delle proprie soluzioni. Quello che avevamo previsto dodici mesi orsono si sta praticamente avverando.
Accesso a banda larga
Gli accessi di tipo BroadBand (Dsl, fibra ottica e similari, per intenderci) rappresentano un punto di arrivo/partenza per molte aziende e utenti avanzati, con esigenze di connettività superiore alla media casalinga. Essi permettono, corrispondendo un canone quasi sempre proporzionato all’offerta, di connettere le proprie risorse informatiche a Internet in maniera continua, con risparmi oggettivi su più fronti. Contestualmente, però, l’esposizione diretta e continua alla rete pubblica diventa direttamente proporzionale a quella verso gli attacchi. Questo giornale ha sempre pensato che la correlazione vada affrontata sia dal punto di vista delle vulnerabilità sia da quello delle soluzioni, come per esempio il personal firewalling. Allo stato attuale l’attenzione verso il segmento citato sta aumentando, come testimoniano le acquisizioni fatte nel settore da vendor di una certa importanza.
E il tema della sicurezza non è avulso, in generale, da quello dei sistemi operativi. Il che sta a significare, ormai, capire quale Os si confà alla propria struttura: Windows o Linux.
Questo, infatti, sembra essere il tormentone degli ultimi mesi, ma è un argomento che, mai come in questo periodo, è di grande attualità. I motivi sono molti, e vanno dall’altissima percentuale di siti Web basati su Microsoft Internet Information Server oggetto di “defacement”, alla recente querelle avvenuta tra Steve Gibson (un ricercatore indipendente d’oltreoceano molto conosciuto e stimato) e Microsoft Research, in ordine a un presunto difetto architetturale del sistema operativo Windows Xp che aprirebbe le porte ad attacchi di tipo DoS in maniera esponenziale. A prescindere dai dibattiti continui e dalle guerre di religione, uno dei maggiori dubbi che coinvolgono i responsabili dei sistemi informativi è appunto rappresentato da questa eterna contraddizione. Dietro a ciò vi sono scelte strategiche di grande importanza, che non possono dipendere solo da sensazioni o valutazioni epidermiche.
Managed security service
I servizi di sicurezza dati in outsourcing (un fenomeno che, di fatto, ha visto la luce poco più di un anno fa) hanno aperto una nuova possibilità di business e consentirebbero un doppio beneficio. Dal lato dei fornitori di servizio, come abbiamo appena detto, la possibilità di condurre affari con la fornitura di questa tipologia di outsourcing è molto alta, e consentirebbe, a detta di alcuni analisti, un innalzamento del livello di sicurezza dei rispettivi clienti, dovuto principalmente alla centralizzazione del management e al consolidamento delle tecnologie. Chi scrive non è d’accordo per numerosi motivi che sono stati e saranno continuamente affrontati in queste pagine, ma una cosa è certa: molte medie imprese (ed è questo l’alto potenziale beneficio) sarebbero in grado, con l’adozione di questo modello gestionale, di abbassare drasticamente i costi e, di fatto, di scaricare alcune responsabilità, anche penali.
Quello che incuriosisce è come stabilire e valutare i parametri di qualità degli interlocutori, con particolare riferimento ai Service level agreement. Si prevede un aumento degli investimenti in questo settore; l’obiettivo è quello di non generare un rapporto di inversa proporzionalità tra numero di operatori e livello qualitativo di questi ultimi.
Più volte, poi, abbiamo ricordato da queste pagine che ad attacchi distribuiti devono, per forza di cose, corrispondere contromisure distribuite. Queste si sviluppano su più livelli e, per forza di cose, devono corrispondere a evoluzioni architetturali. Quello cui abbiamo assistito finora è principalmente un consolidamento tra più categorie di prodotti (per esempio firewall e Vpn), che ormai sono venduti congiuntamente. Ciò che vedremo di qui a poco è un’evoluzione del modello di protezione, basata principalmente sulla content analisys, cioè sulla verifica (anche proattiva) della genuinità del codice in transito, finalizzata all’esclusione di possibili problemi, anche legati al malicious code in senso stretto. Anche i modelli architetturali degli Ids (Intrusion detection system) potrebbero subire importanti evoluzioni. E questo diventerà a breve un argomento di ampia discussione, soprattutto a causa dei forti investimenti fatti nel settore, da produttori e clienti. In verità si tratta solo degli argomenti principali della prossima fine d’anno. Di conseguenza questi saranno solo alcuni dei temi che tratteremo in queste pagine. Ovviamente abbiamo “chicche” che preferiamo nascondere, per ora, anche perché un po’ di “security through obscurity” non fa mai male.