INTERVISTA
In occasione del Workshop “Network and Information Security: political and technical challeges” (Roma, 2-4 novembre), abbiamo intervistato Detlef Eckert, Chief Security Advisor di Microsoft EMEA e con lui abbiamo affrontato le principali tematiche inerenti la sicurezza e le possibili soluzioni.
K4B. Come stanno cambiando le modalità di attacchi informatici? Stanno aumentando o diminuendo?
R. Il numero di attacchi informatici sta aumentando e le modalità di attacco si stanno man mano evolvendo. Anche i modelli di attacco diventano più sofisticati e si prefigura uno scenario nel quale la protezione dalle minacce ad oggi conosciute è solo un buon inizio.
Un esempio dell’evoluzione del crimine informatico sono le rootkit. Di per sé non sono virus, né trojan, non sono malware per se stesse, ma sono uno strumento di supporto al malware tradizionale. Rendono infatti meno efficaci o del tutto inefficaci i meccanismi di difesa esistenti (antivirus e antispam). Le rootkit sono in sostanza dei file che rendono invisibile il malware mascherandolo.
Nonostante questa premessa però sono convinto che la tecnologia sia in grado di offrire buoni strumenti di difesa; quello che voglio dire è che, senza sottovalutare tali minacce, dobbiamo essere consci di poterle affrontare in modo efficace.
Il mercato della sicurezza è molto reattivo, l’industria è in grado di stare al passo con l’evolversi delle minacce.
Per esempio nel caso delle rootkit, l’industria ha reagito sviluppando dei rootkits detectors che sono in grado di scoprirle, sfruttando le imperfezioni del codice con cui sono state scritte.
K4B. Ma perché adesso ci troviamo ad affrontare questi problemi, come siamo arrivati a questo punto?
R. Bisogna innanzitutto fare una premessa. I PC sono stati concepiti non per operare in un ambiente altamente interconesso come quello attuale e sono stati sviluppati per potenziare le capacità umane e non per inibirle. Il fattore umano e le scelte operate dagli utenti possono minare la sicurezza. Inoltre, il protocollo in Internet non è stato creato con caratteristiche di sicurezza. Ci sono oggi milioni di computer connessi a Internet. Internet è diventata una rete internazionale pubblica fatta da entità non controllate.
In secondo luogo, manca un un’etica di utilizzo della rete, spesso gli hacker sono visti come degli “eroi” e ci sono quindi persone che postano su internet pubblicamente le vulnerabilità e aiutando così gli hacker che possono scrivere il codice che le sfrutta.
Infine, i vendor di applicazioni spesso pensano di essere immuni dal problema della sicurezza
La sicurezza, per lungo tempo, non è stata una caratteristica intrinseca né delle tecnologie né dei comportamenti, e gli investimenti richiesti adesso per la sicurezza sono percepiti come soldi spesi senza un risultato apparente.
K4B. In questo scenario quali sono le prospettive future?
R. Sono convinto che le tecnologie saranno e già in parte sono disponibili, la sicurezza non sarà più un problema di tecnologia. Partendo dal presupposto che la sicurezza non è assoluta, ogni organizzazione deve considerare le proprie esigenze e priorità sulla base della missione che deve assolvere. Per quanto riguarda gli utenti è necessario fornire loro processi e servizi automatici in un’unica soluzione, facile da usare per educarli man mano alla cultura della sicurezza.
La sicurezza è un facilitatore di business: deve diventare parte dei processi di business delle organizzazioni (come sta succedendo in particolare per l’identity management). Mentre i governi hanno un ruolo fondamentale e, in questo momento, imprescindibile, ovvero la focalizzazione e convergenza degli sforzi nei seguenti ambiti: ricerca, lotta al crimine e al terrorismo, comunicazione e educazione, etica, curricula per la scuola, protezione delle infrastrutture critiche.
K4B. Gli utenti non si sentono sicuri, è possibile liberarsi dal problema del phishing con la tecnologia? E’ un problema di educazione degli utenti?
R. Non ci si possono fare illusioni: non possiamo mettere il problema della sicurezza sulle spalle degli utenti. La sicurezza, e quindi anche un approccio adeguato per combattere il phishing, deve coinvolgere sia il fattore umano che la tecnologia.
Il phishing è fondamentalmente basato sul fattore umano. Per combattere il phishing bisogna pensare almeno a 4 azioni:
1. Usare un browser che aiuti l’utente. Internet Explorer 7, di prossimo rilascio, attraverso metodi euristici, black list (aggiornate da un server) e white list (dell’utente) è al prima risposta al problema.
2. Stabilire la cultura della digital signature (in modo che l’utente sappia da chi viene veramente la mail)
3. Implementare l’autenticazione a due fattori rendendo così l’attacco più difficile.
4. Educare l’utente con un meccanismo costante nel tempo.
K4B. Di fronte a questo scenario come è cambiato il ciclo di sviluppo della sicurezza nel Software Microsoft e che novità porterà il prossimo sistema operativo Windows Vista?
R. Microsoft ha introdotto la sicurezza nel ciclo di sviluppo del software già in fase di progettazione. Si tratta di sviluppare software con un riferimento costante alle problematiche
di sicurezza (Security review e security sign off), mediante modelli che simulano le diverse modalità di attacco conosciute (Penetration testing). L’obiettivo di questa rivoluzione nelle modalità di sviluppo, che comporta anche un’intensa attività di formazione, è realizzare un codice intrinsecamente più sicuro (Secure Coding), secondo un processo che non si esaurisce con l’immissione sul mercato di un nuovo prodotto, ma continua per tutto il ciclo di vita del software, con il rilascio degli aggiornamenti per la sicurezza (Security updates e incident response). Di questa fase si occupa il Microsoft Security Response Center, incaricato di esplorare le vulnerabilità del software e di produrre i necessari aggiornamenti. È un’attività molto critica, considerando che è in costante diminuzione il tempo medio che intercorre tra la pubblicazione di una vulnerabilità e il suo sfruttamento da parte degli hacker.
Windows Vista è un sistema operativo con caratteristiche di sicurezza intrinseche rilevanti rispetto ai precedenti sistemi operativi. Girerà su milioni di macchine ed è stato pensato per fare la differenza in tema di sicurezza. Queste le principali caratteristiche di sicurezza:
1. Windows services hardening e isolation (I processi sono profilati e si bloccano se non vengono eseguiti secondo i passi previsti)
2. User account protection (E’ stato pensato per far girare tutte le applicazioni con il livello più basso di privilegi)
3. Secure startup (Mette in sicurezza l’avvio e preserva la confidenzialità dei dati, tutto il volume è crittografato, protegge gli utenti dalla perdota e il furto del laptop)
4. Windows Firewall
6. Integrazione con Internet Explorer 7 per l’Antiphising
