Introduzione
In questo articolo continuiamo l'analisi delle minacce informatiche a cui tutti gli utilizzatori di computer sono esposti. Il primo articolo, per chi se lo fosse perso, è consultabile a questo indirizzo:
Virus, da Windows a Max, nessuno è al sicuro.
A protezione delle aziende
Sono proprio le imprese a non potersi permettere il lusso di credere alle varie
leggende esistenti in materia di sicurezza informatica. Intanto, è assolutamente
scontato che ogni server debba essere provvisto di adeguata protezione antivirus, non fosse altro che per proteggere la schiera degli utenti Windows presenti in rete.
Purtroppo spesso si usa la sicurezza come scusa per iniziative diverse (Creative Commons Chidorian)
Al fine di bloccare già al gateway gli attacchi maligni in arrivo, vale davvero la pena prendersi la briga di usare dei firewall, così come dei sistemi di rilevamento e prevenzione delle intrusioni. Qualora vengano dispiegati appositi server dedicati e installate applicazioni server,
i sistemi operativi Linux o Unix possono rappresentare la prima linea di difesa per la rete locale, nel caso di installazioni gateway. Per prevenire gli effetti del malware che si autodiffonde (worm) replicandosi attraverso le connessioni di rete, oltre a disporre di appropriati servizi ed impostare una prima linea di difesa contro gli attacchi dei cybercriminali, è comunque possibile (nonché raccomandato) installare un firewall debitamente configurato. E' ad esempio possibile proteggere adeguatamente una rete da "Lovesan.a" semplicemente bloccando le porte TCP 135 e 4444.
Un firewall può anche servire a limitare i danni. Qualora la rete presenti già dei client infetti, bloccare certe porte può di fatto impedire che vengano stabilite delle connessioni, in modo che il sistema contagiato dal malware non possa essere sfruttato.
Per minimizzare i rischi di attacchi e conseguenti infezioni, al momento di effettuare la configurazione di un firewall dovrebbe essere tenuta in considerazione tutta una serie di possibili scenari; dovrebbero anche essere chiaramente definite le porte ed i servizi autorizzati.
Anche Max OS X ha bisogno di attenzioni. Non si può ignorare il tema perché si ha un Mac. (Creative Commons Jason Mit)
Certi "ingegnosi" programmatori hanno tuttavia trovato il modo di eludere agevolmente anche i sistemi di sicurezza sopra descritti, piuttosto semplicistici a dir la verità. Tra l'altro, sono addirittura riusciti a carpire illegalmente pacchetti di dati da connessioni tunnel e servizi autorizzati (quali ad esempio DNS e HTTP). Ecco quindi perché dei moduli add-on "intelligenti", come sistemi di rilevamento e prevenzione delle intrusioni, o firewall a livello applicazione, possono costituire un valido complemento ai firewall classici.
Sia ringraziato il Proxy
A volte è semplice individuare un sito pericoloso. (Creative Commons Search Engine Land)
E' inoltre possibile installare un proxy, anziché consentire al personale dell'azienda l’accesso diretto ad Internet. Tale soluzione non solo permette di ridurre il volume di traffico, ma consente anche di aumentare il livello di sicurezza, visto che una notevole quantità di malware viene diffusa attraverso i siti web maligni.
Nelle installazioni Linux/Unix, Squid è probabilmente il proxy più frequentemente usato. Esso è dotato di propria interfaccia dedicata: "ICAP", Internet Content Adaptation Protocol (RFC 3507). Le richieste degli utenti vengono elaborate tramite RESPMOD (response modification), che analizza gli oggetti richiesti dai web server, e REQMOD (request modification), che esegue la scansione degli oggetti inviati ai web server.
I Love You è stato un dei virus più efficaci degli ultimi dieci anni (Creative Commons Sophos D/A/CG Presseinfo).
Vengono poi spesso installati anche dei parent proxy, come ad esempio HAVP (http://www.server-side.de), cosicché potrà essere effettuata la scansione sia del traffico HTTP che del traffico FTP nativo. Godono di buona popolarità anche i cosiddetti transparent proxy, poiché la loro integrazione risulta davvero agevole. Essi vengono installati "a monte" del gateway vero e proprio (firewall o simile) e non richiedono alcuna configurazione del client (settaggi di configurazione del browser). L'implementazione tecnica della soluzione sopra esposta può essere ad esempio costituita da un server in modalità bridge e da un proxy che ritrasmette le richieste provenienti da tale server al filtro dei contenuti. Come alternativa, il proxy può ricevere le richieste HTTP redirette dal firewall quale server dedicato; nelle reti di dimensioni molto contenute, esso può essere integrato con il firewall stesso (TransProxyhttp://transproxy.sourceforge.net). Nell'ambito delle installazioni Linux/Unix, entrambe le opzioni possono essere realizzate con relativa facilità, utilizzando strumenti standard. In ogni caso, i proxy non possono certamente garantireuna protezione completa.
Anche il migliore virus scanner esistente non potrebbe mai, ad esempio, controllare i file protetti da password; i limiti delle tecnologie proxy emergono poi, in tutta la loro evidenza, quando si ha a che fare con connessioni VPN cifrate.
Come proteggere il traffico di posta elettronica
Il traffico di e-mail rimane uno dei metodi primari di diffusione del malware. A seconda delle dimensioni della rete (numero di utenti) nell'ambito delle installazioni gateway per (ad esempio) Exchange, Lotus Domino, o per soluzioni alternative groupware, si procede ad installare "a monte" un sistema di mail gateway. Vengono altresì spesso installati Linux o Unix (Solaris) o derivati (*BSD) provvisti di mail server MTA (Mail Transfer Agents) quali postfix, exim, qmail o sendmail.
Questi sistemi presentano proprie interfacce filtro per i virus scanner ed i filtri spam. Il metodo più comune è quello conosciuto come dual MTA. In pratica, ciò significa che ogni e-mail viene recapitata all'MTA per ben due volte. In primo luogo viene effettuata la ricezione del messaggio di posta elettronica proveniente dall'host remoto. L'e-mail viene poi ritrasmessa al filtro dei contenuti, per le opportune verifiche, e da qui inviata di nuovo all'MTA.
I grandi produttori di software di sicurezza hanno tutti una loro versione per Mac (Creative Commons Kaspersky Lab Nordic)
Anche sendmail presenta un'interfaccia API (Milter API). Con tali sistemi upstream, per proteggere il traffico di posta elettronica, vengono altresì adottate delle soluzioni filtro ad essi collegate, costituite da molteplici filtri spam e virus scanner (ad esempio 2 filtri spam e 2-3 virus scanner).
Il vantaggio è evidente: lo scanner vero e proprio può modo operare su un sistema dedicato, riducendo il carico di lavoro del mail gateway. In tal modo, possono essere integrate con notevole facilità anche interessanti soluzioni di alta disponibilità, quali, ad esempio, filtro dei contenuti e mail gateway (MTA) in modalità cluster.
Vengono tuttavia ampiamente utilizzate anche soluzioni cluster di alta disponibilità totalmente integrate fra loro (MTA e filtro in un unico sistema). Beneficiano ugualmente dei sistemi filtro installati "a monte" i server di posta interni, in ragione delle minori risorse utilizzate per la scansione e la memorizzazione di malware e spam. Verranno allo stesso modo utilizzate minori risorse quando dovranno essere processate considerevoli quantità di traffico di posta elettronica. E' questo il motivo per cui vale la pena prendere in considerazione una soluzione server relay anche per le aziende di minori dimensioni. Alcuni produttori offrono poi soluzioni integrate "out of the box", allo scopo di semplificare l'amministrazione.
Proteggere i file server
Per una società, i dati salvati in formato elettronico costituiscono in ogni frangente una preziosa risorsa, sia che si tratti di piani di produzione, di inventari di magazzino o di altri dati ancora. Sono in special modo i dati personali, oppure i dati che richiedono una particolare protezione, quali ad esempio elenchi, account e curriculum dei dipendenti ad essere sovente immagazzinati nei file server. Queste unità di raccolta di informazioni societarie di fondamentale importanza, nell'ambito di una rete aziendale, dovrebbero essere sempre adeguatamente protette, onde prevenire furti e manipolazioni di dati, oltreché sgradevoli fenomeni di spionaggio.
Più una rete è complessa, più è importante proteggerla (Creative Commons 3Coms Corporations).
Molte reti, unitamente ai server Windows, sono dotate di sistemi alternativi, con servizi Samba. In tali casi, il processo di integrazione si rivela possibile grazie all'utilizzo di un modulo VFS (virtual file system), il quale reindirizza il traffico dei dati attraverso il virus scanner. Ciò produce una scansione dei dati del tipo on-access (lettura e/o scrittura).
I moduli kernel (Linux, FreeBSD) sono disponibili anche per alcuni sistemi alternativi. Essi non solo proteggono il servizio Samba stesso, ma controllano altresì tutti gli oggetti presenti nel sistema. Sono disponibili sia per NFS che per server FTP e web server. Lo svantaggio che presenta tale soluzione risiede nel fatto che il supporto per il nuovo kernel deve essere controllato ed il modulo deve essere ricompilato in base agli aggiornamenti del kernel.
L'installazione di server non-Windows è largamente diffusa. Questi sistemi, da AS/400 a Solaris, HP-US, IRIX ed AIX, tanto per citarne solo alcuni, sono in pratica in grado di offrire tutto quanto: dai file system ai database system, dalle applicazioni specifiche per l'industria al supporto per la contabilità. Qui, la difficoltà nel trovare le soluzioni di sicurezza più appropriate risiede non solo nelle piattaforme del sistema operativo, ma anche nelle variegate ed eterogenee architetture CPU (SPARC, PPC, Itanium, Alpha, MIPS, PA-RISC, etc., in aggiunta ad Intel).
Ogni computer contiene qualche informazione che vale la pena rubare (Creative Commons Sophos D/A/CG Presseinfo).
Qualora non vi siano soluzioni disponibili da poter applicare ai suddetti sistemi, questi ultimi dovrebbero essere isolati dal resto della rete, al fine di ridurre il più possibile il margine di rischio. Valide alternative potrebbero essere rappresentate da reti separate con firewall dedicati, restrizioni di accesso, IDS (Intrusion Detection System) o IPS (Intrusion prevention system).
I client: uno scenario mutevole e complesso
Ben il 99% di tutte le implementazioni lato client attualmente esistenti è costituito da computer con sistema operativo Windows; tuttavia, anche le workstation Linux, BSD e Mac OS X hanno sicuramente bisogno di protezione, in quanto non si possono affatto escludere, a priori, eventuali attacchi portati nei loro confronti.
I media per portare un attacco informatico sono molti: CD e DVD, floppy, unità Zip e pendrive, tanto per citare quelli più comuni.
Il cellulare è la prossima frontiera (Creative Commons Kaspersky Lab Nordic).
Un particolare problema è poi rappresentato dal fatto che, oltre alle workstation ed ai laptop, al giorno d'oggi è in uso un numero sempre crescente di smartphone e PDA, i quali, ovviamente, devono essere protetti adeguatamente.
Per ciò che riguarda le configurazioni di rete standard, poi, risulta ben chiaro quale sia stato, finora, il vettore prediletto per la conduzione di attacchi di pirateria informatica: Internet.
Adesso, poi, gli amministratori di sistema e gli esperti di sicurezza IT debbono anche affrontare il problema della protezione dei nodi interni. Tale compito non viene certamente reso più agevole dal fatto che la varietà delle piattaforme utilizzate sia in perenne espansione. In aggiunta alle varie versioni di Windows Mobile, adesso si installano anche sistemi operativi quali Symbian e Linux, così come vari sistemi proprietari. E trovare delle adeguate soluzioni di sicurezza per tali sistemi è compito assai difficile, per non dire impossibile, talvolta.
Conclusioni
Il fatto di non impiegare le tecnologie utilizzate al giorno d'oggi dalla stragrande maggioranza degli utenti offre indubbi vantaggi a livello di sicurezza, ma non fornisce tuttavia alcuna effettiva garanzia di protezione.
Ad esempio, per quanto un sistema desktop Solaris possa essere considerato non convenzionale, la sua controparte server sarà pur sempre costituita da un sistema standard, quindi potenzialmente sottoposto ad attacchi informatici, alla stregua di qualunque altro server. Coloro che hanno davvero a cuore la sicurezza dei propri dati dovrebbero pertanto assicurarsi che i loro computer siano adeguatamente protetti, indipendentemente dal sistema operativo in essi installato. Idealmente, ciò dovrebbe essere realizzato utilizzando una combinazione di tecnologie che si integrino a vicenda.
Non che la sicurezza sia una scusa per il caos (Creative Commons Manolo Lopez).
Non solo: una buona dose di prudenza è sempre oltremodo raccomandabile, tanto più che viene fatto un uso sempre maggiore delle applicazioni web, piuttosto che delle applicazioni presenti nel computer locale. Un tipico esempio di quanto sopra detto è costituito da quei forum e bacheche informatiche in cui il livello di sicurezza è veramente a livello infimo: qui, ad esempio, si può immettere facilmente del codice HTML, al fine di favorire attacchi di cross-site scripting, indipendentemente dal sistema operativo adottato. Per farla breve, il messaggio da tenere bene a mente è uno solo: fate attenzione, sempre!
Si ringrazia Kaspersky Lab per l'articolo gentilmente concesso.
Per ulteriori informazioni su Kaspersky Lab, visitate il sito www.kaspersky.it. Per informazioni su antivirus, anti-spyware, anti-spam ed ogni altro tema legato alla sicurezza informatica, visitate il sito www.stop-cybercrime.it.