ALLARME DEGLI ESPERTI SUI RISCHI DI ATTACCHI INFORMATICI

Pubblicità

Gli esperti della ANSSAIF (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) stanno seguendo con attenzione e preoccupazione

l'evoluzione dei virus informatici, sia nella tipologia chenell'andamento degli attacchi.

Ci riferiamo, ad esempio, ai "virus dormienti", alle centinaia di variantidi una stessa tipologia, ad un trend di diffusione in crescita, ecc.

La paura degli esperti è che si stia preparando un attacco in "grandestile", finalizzato o a mettere in crisi il sistema finanziario occidentale,oppure a rendere ancora più gravi le conseguenze di un attacco terroristicoperpetrato con esplosivi o sostanze bio-chimiche; possiamo citare, adesempio, azioni tese a rendere assai difficoltosi gli interventi di soccorsoe di ripristino, quali: eccesso di traffico sulle reti telematiche, bloccodei cellulari per un lungo periodo, oscuramento dei server dedicati alcontrollo aereo o alla Protezione Civile, ecc..

Pensiamo al sistema di regolamento fra banche: un attacco terroristicodisastroso, ad alto impatto anche emotivo, seguito dal blocco dellecomunicazioni e dei sistemi informativi degli intermediari finanziari, seprolungato nel tempo, data la gravità, può avere un effetto drammatico senon ci si è preparati in anticipo.

L'enfasi deve essere sempre orientata al rafforzamento delle difese ed allapredisposizione di opportune misure preventive; pertanto, anche in questocaso, in un'ottica di approccio che tende sempre ad essere pro-attivo,riassumiamo quelle che potrebbero essere delle azioni da intraprendere, siain un'ottica a brevissimo termine, sia nel lungo periodo; comunque, latipologia di evento sopra descritta va, a nostro parere, analizzata esimulata a tavolino quanto prima (tra l'altro, rientra pienamente negliscenari descritti da Banca d'Italia nelle sue linee guida del luglio 2004).

Alcune contromisure, da noi riportate qui di seguito, appariranno "vecchie",ma abbiamo ritenuto opportuno ripeterle, in quanto non ci risulta che sianomolti gli intermediari che le abbiano introdotte.

L'ANALISI DEI FATTI

Proviamo innanzitutto a sintetizzare le motivazioni alla base di questacrescente preoccupazione.

Iniziamo con il riflettere su alcuni fatti.

- In passato abbiamo assistito a feroci attacchi di alcuni virus (Red code;nimda; gaobot; ecc. per citarne alcuni) che hanno colpito praticamente tuttele aziende a livello mondiale;

- c'è stato poi un calo sia in frequenza di attacchi sia nella severità (19alert nel 2002; 16 nel 2003); ciò malgrado non fossero migliorate di moltole difese (cfr. indagini: CSI/FBI, Australian High Tech Crime Centre; ecc.);

- anche gli attacchi terroristici erano diminuiti in gravità e frequenza;

- si è poi avuto un incremento nel 2004 e negli ultimi 18 mesi si sono avutimolti più allarmi virus - a parità di gravità - che nei due anni precedentisommati;

- ma ciò che preoccupa di più, è che si sta assistendo ad un incrementonelle varianti di alcuni worm (ad esempio: ci sono oltre 300 varianti diNETSKY e BAGLE, worms di tipo memory resident; un centinaio di varianti diMYTOB; ecc.), quasi ad indicare un tentativo di sperimentare tutte lepossibilità sia su come ingannare l'utente sia sulle finalità (NETSKY eBAGLE, ad esempio, hanno avuto mutamenti nell'oggetto, nel messaggio, negliallegati, ecc.);

- ci sono worm che ingannano il ricevente un messaggio affinché apra unmessaggio o si rechi su un certo sito, ed altri che invece sfruttano i"buchi" del sistema operativo del computer;

- riemergono vecchi virus (ad esempio: SOBER, GAOBOT, ecc.) con nuovevarianti;

- ci sono virus in "appoggio" all'azione di altri (ad esempio: WURMARK eBOBAX);

- ci sono trojans che cercano file di EXCEL, WINWORD o HTML e li spedisconoall'esterno;

- ci sono trojan che incriptano questi file e li lasciano sull'hard diskdove li hanno letti (ad esempio, a fini di ricatto);

- ci sono dei worm che hanno avuto l'unico scopo di entrare nei computer percancellare precedenti versioni, forse in previsione di una nuova versioneche sarebbe probabilmente andata in conflitto (se no, perché?);

- ci sono virus il cui unico scopo è quello di ottenere informazioni sulpossessore: nome, cognome, indirizzo, uso del computer, password,abbonamenti, gusti, ecc.; molti a fini commerciali, tanti ai fini di furtod'identità;

- sappiamo, altresì, che non possiamo escludere, per esperienza, che i virussiano utilizzati o creati anche da terroristi;

- e così via: potremmo proseguire ancora, ma riteniamo sufficienti leinformazioni elencate, per i nostri fini.

Possono sorgere, alla luce di quanto sopra, domande quali:

- le molteplici varianti di uno stesso worm o trojan sono state createesclusivamente per migliorare l'attacco, oppure nascondono un preparativoper "qualcosa" di grosso, di serio?

- I migliaia di trojan che hanno infettato milioni e milioni di computer(oltre 12 milioni l'anno scorso) cosa hanno raccolto? Quali notizie? (danotare che i Paesi più colpiti sono stati quelli dell'Europa Occidentale egli USA)

- Le informazioni ottenute dagli hacker a cosa sono servite? Molteinformazioni sono state chiaramente utilizzate per ricatto, ripicca, furto,ecc. Sono state utilizzate tutte?

- Ci sono delle informazioni "congelate" da qualche parte? Se sì, per farcicosa?

- Possiamo escludere che degli hacker abbiano raccolto le password degliamministratori dei server e possano quindi prenderne il possesso inqualsiasi momento?

Aggiungiamo qualche altra informazione più recente.

Da qualche tempo a questa parte è aumentato il numero dei sistemi operativii cui "buchi" possono essere sfruttati da nuovi virus: parliamo di sistemiSAP, CISCO, piuttosto che EPOC o SYMBIAN (telefoni cellulari). I mainframesono fino ad oggi rimasti immuni: perché? Non hanno il TCP/IP a bordo? (o losono già stati e non ce ne siamo accorti? ).In aggiunta, nei computer si trovano dei virus la cui "firma" o tipologia èsconosciuta: trattasi di virus "dormienti"? In attesa di cosa?

A questo punto possiamo trarre queste conclusioni:

- vi è una crescente sperimentazione di nuovi worm e trojan;

- si riscontrano virus dormienti;

- le informazioni nel frattempo raccolte dai vari trojans forse non sonostate totalmente sfruttate;

- vi è un incremento notevole nel numero e tipologia di sistemi che possonoessere violati;

- le contromisure adottate dalle aziende rispettano senz'altro i requisiti"minimi" richiesti, ma nella maggior parte dei casi non sono ancoraaggiornate in base alla recrudescenza del crimine.

Possiamo allora, alla luce di quanto sopra, escludere che qualcuno, chissàdove, stia preparando un attacco, non solo sui computer di casa, macontemporaneamente sulle reti di computer, cliente e server, firewall erouters di un'azienda?

Perché? Ci possono essere tanti perché. Perché l'azienda è un intermediariofinanziario, oppure perché collabora con una Nazione presa di mira, oppureperché è inglese, o spagnola, o italiana.

Chiaramente non abbiamo la risposta. Ma qualcosa dobbiamo fare.Nessuno di noi si può scordare la giornata in cui Red Code ha colpito leaziende in tutto il mondo. Forse oggi siamo tutti più pronti, ma per unattacco "tradizionale". Se i programmi virali giacciono nelle nostre reti,già la situazione è diversa.

Se l'attacco è contemporaneo su tutti i computer dell'azienda, abbiamo unasituazione ancora più grave.

LE POSSIBILI SOLUZIONI

Cosa fare?

Elenchiamo qui di seguito quello che l'esperienza suggerisce.

Approccio orientato prevalentemente alla prevenzione e graduato nel tempo,in modo da essere ragionevolmente certi di ottenere risultati concreti:

- nel brevissimo termine (contromisure tecniche e procedure per la gestionedella continuità in caso di emergenza);

- nel medio (ad es: incremento nella quantità e qualità dei controlli;modifiche organizzative);

- nel lungo (ad es: creazione in azienda di una cultura della sicurezza intermini di qualità del servizio e prevenzione da incidenti).

Operare gli interventi nel breve-medio suddividendo l'approccio in due areedistinte:

- le infrastrutture,

- gli utilizzatori.

Dedicare due team distinti ( a pensare, progettare, realizzare i controlli el'"hardening"; ecc.) per le due aree indicate; in particolare, nontrascurare affatto la possibilità di affidare in toto l'hardening delleinfrastrutture a terze parti specializzate, concentrando il personaleinterno sugli aspetti ove è maggiormente richiesta la conoscenza deiprocessi aziendali, maggiore riservatezza, ecc.

Eseguire attività quali:

- Individuare Virus "non firmati", non riconosciuti fra quelli noti (possononascondere sw ad hoc per catturare informazioni);

- Non limitare la sorveglianza sui sistemi di sicurezza perimetrale edinterna al solo orario d'ufficio;

- Individuare attività anomale di eccesso di traffico su una lan;

- Indurre gli amministratori dei server a cambiare la password, almeno unavolta al mese, controllando non sia la stessa ripetuta ogni due mesi!;

- O meglio ancora, dotare gli amministratori di sicurezza di "one timepassword", nonchè valutare con attenzione la possibilità di introdurresistemi biometrici di controllo accessi;

- Non rimandare dei controlli, su eventi anomali, al giorno dopo;

- Controllare minuziosamente l'elenco delle macchine in rete, senzaescludere nessuna lan (ad esempio: quelle degli "architetti" o di test);

- Cercare di evitare di avere database con dati riservati o peggio sensibilidirettamente collegati ad internet;

- Individuare Attività anomale del pc, ad esempio, segnalando accessi fuoriorario;

- Sviluppo software: disegno include la sicurezza;

- Cultura di sicurezza agli sviluppatori di software;

- Disseminare, in generale, una cultura della sicurezza in azienda,verificandola periodicamente;

- Inserire i controlli sulla compliance alle esigenze di sicurezza ebusiness continuity nei processi di disegno e realizzazione di nuovisistemi;

- Sensibilizzare gli utenti - interni ed esterni - alle tematiche diprotezione dei dati, continuità del business, qualità del servizio;

- Eseguire almeno annualmente una analisi del rischio ICT (in modo "serio",non in via simbolica., come avviene in molte aziende);

- Integrare le esperienze, conoscenze, attività, dei colleghi impegnatinell' ORM (Operational Risk Management), sicurezza fisica ed ICT, BusinessContinuity, auditing, usando come "collante" l'Organizzazione e le RisorseUmane, in modo da facilitare sia la comprensione dei fatti individuati siala individuazione delle possibili soluzioni;

- Ipotizzare l'assenza dei sistemi informativi a sostegno dei processi diregolamento e compensazione e, pertanto, redigere, e sperimentare, gliopportuni piani di gestione dell'emergenza.

(Fonte: CLUSIT; ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria. www.anssaif.it)