A cura di Vittorio Milazzo – Novembre, 2013

The Open Source FirewallThe Open Source FirewallSicurezza della rete - Tutela della privacy - Sicurezza della rete - Tutela della privacy - Protezione dei dati aziendaliProtezione dei dati aziendali

Sicurezza informatica e crimine informatico

Sicurezza informatica

La sicurezza informatica è un problema sempre più sentito in ambito tecnico-informatico per via della sempre più spinta informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti o hacker.

L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni proporzionalmente alla loro diffusione ed al loro ruolo occupato nella collettività.

Il sistema informatico deve essere in grado di impedire l'alterazione diretta o indiretta delle informazioni, sia da parte di utenti non autorizzati, sia da eventi accidentali; inoltre deve impedire l'accesso abusivo ai dati.

Dal momento che l'informazione è un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.

Per questo esistono, a carico delle imprese, precisi obblighi in materia di privacy, tra cui quello di redigere annualmente uno specifico documento programmatico sulla sicurezza.

Che cosa è il crimine informatico?

Il crimine informatico è un fenomeno criminale che si caratterizza nell'abuso della tecnologia informatica sia hardware che software.

Può essere generalmente definito come un'attività criminale che coinvolge la struttura della tecnologia di informazione, compreso l'accesso illegale (l'accesso non autorizzato), l'intercettazione (con mezzi tecnici di trasmissioni non pubbliche di dati informatici verso, da o all'interno di un sistema informatico), l'interferenze di dati (danneggiamento, cancellazione, deterioramento, alterazione o soppressione di dati informatici), sistemi di interferenza (interferenza con il funzionamento di un sistema informatico mediante l'immissione, trasmissione, danneggiamento, cancellazione, deterioramento, alterazione o soppressione di dati informatici), uso improprio di dispositivi, contraffazione (o furto d'identità) e frodi elettroniche.

Analogamente al crimine tradizionale, quello informatico può assumere varie forme e essere perpetrato praticamente sempre e ovunque.

I criminali che commettono questo tipo di crimini utilizzano una serie di metodi a seconda delle proprie capacità e scopi.

Ciò non dovrebbe sorprendere: il crimine informatico è, dopotutto, semplice 'crimine' con l'aggiunta di qualche sorta di componente 'informatico'.

Principali tipologie del crimine informaticoPer meglio comprendere l'ampia gamma di crimine informatico esistente è possibile dividerlo in due principali categorie, definendolo come crimine informatico di Tipo 1 e di Tipo 2.

Il crimine informatico di Tipo 1 presenta le seguenti caratteristiche:

Si tratta generalmente di un singolo evento se visto dalla prospettiva della vittima.

Ad esempio, la vittima scarica inconsapevolmente un Trojan Horse che installa sul suo computer un keystroke logger, ovvero un programma che registra quanto viene digitato sulla tastiera.In alternativa, la vittima può ricevere un'e-mail contenente quello che sembra un collegamento a un sito noto, ma che è in realtà un sito ostile.

Il crimine informatico viene facilitato da programmi crimeware quali keystroke logger, virus, rootkit o Trojan Horse.

I difetti e le vulnerabilità dei software offrono spesso un punto di appoggio all'aggressore per perpetrare l'attacco. Ad esempio, i criminali che controllano un sito Web possono sfruttare una vulnerabilità del browser Web per introdurre un Trojan Horse nel computer della vittima.

Esempi di questo tipo di crimine informatico includono, tra gli altri, il phishing, il furto e la manipolazione di dati o servizi tramite azioni di hacking o virus, il furto di identità e le frodi bancarie o legate all'e-commerce.

Il crimine informatico di Tipo 2 comprende attività quali il cyberstalking e le molestie, le molestie ai minori, l'estorsione, il ricatto, la manipolazione dei mercati finanziari, lo spionaggio e le attività terroristiche, ma non si limitano solo a queste.

Internet e il mercato nero : Un grosso affare

● 388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina

● Il valore delle informazioni digitali rubate nel 2009 è stato di 1 trilione di dollari

● il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro

● 23 milioni di Euro è il costo massimo ad oggi sostenuto da una azienda colpita da un attacco informatico.

Furto di dati sensibili :● Numeri di carte di credito

● Numeri di conto corrente

● Account email

● Identità digitale

L'importanza dell'analisi della reteLa continua evoluzione tecnologica delle reti e delle telecomunicazioni e la costante crescita dei sistemi collegati alla rete, ha comportato un aumento delle problematiche relative alla sicurezza dei sistemi e delle applicazioni, aumentando così in maniera esponenziale i rischi legati agli accessi non autorizzati ai servizi informativi ed ai relativi dati in essi contenuti.

La sicurezza in un ambiente di rete è un problema di fondamentale importanza, troppo spesso sottovalutata, la quale merita particolare attenzione.

L'analisi della sicurezza su una rete, mira all'individuazione di tutta una serie di vulnerabilità e problematiche comuni, le quali potrebbero essere sfruttate (sia da programmi maligni che da persone malintenzionate) per accedere in maniera non autorizzata ai sistemi informatici presenti all'interno della rete ed alle informazioni in essi contenuti.

Nessuna rete è totalmente sicura ed esente dal rischio intrusioni. Oltre alle possibili configurazioni non corrette da parte dell'utente, esistono tutta una serie di fattori direttamente legati ad altri aspetti, come ad esempio i protocolli di comunicazione, errori di programmazione presenti all'interno dei sistemi operativi e dei programmi.

Una rete sicura o un sistema completamente aggiornato oggi, potrebbe contenere delle falle di sicurezza ed essere vulnerabile già domani.

Lo scopo principale dell'analisi è quello di fare emergere le criticità presenti all'interno della rete e dei sistemi informatici, intervenendo su queste e risolvendole, bonificando la rete riassestandone l'architettura e risanando tutte le falle presenti all'interno dei sistemi affetti, per raggiungere un livello standard di sicurezza predefinito e che rispetti le politiche e procedure aziendali.

Il primo “mattone” indispensabile per cominciare a costruire delle solide basi a tutela e difesa della propria privacy, dei dati e dei sistemi presenti all'interno della propria rete aziendale, è appunto il Firewall.

Un firewall è un apparato di rete hardware o software, che analizza tutti i dati entranti e uscenti, da e verso una rete o un singolo computer, applicando determinate regole e filtri che contribuiscono alla sicurezza della rete stessa.

Tali regole possono essere stabilite e personalizzate in base alle reali necessità aziendali ed in base al livello di sicurezza che si vuole raggiungere.

Ma ciò non è sufficiente a garantire un elevato livello di sicurezza.

Un buon Firewall deve anche riuscire a prendere autonomamente delle decisioni al verificarsi di determinati eventi.

Un livello di sicurezza PROATTIVA, è infatti uno degli aspetti fondamentali ai fini dell'individuazione e prevenzione di eventuali attacchi informatici e tentativi di intrusione, che questi partano dall'esterno ( da Internet ) piùttosto che dall'interno della rete locale (un Pc infetto o compromesso da un virus o una backdoor o più semplicemente “maneggiato” da un utente malintenzionato).

Il Firewall

Cosa offre il mercato

Il mercato ad oggi offre svariate soluzioni per quanto riguarda gli apparati Firewall.

Queste si distinguono principalmente in due categorie:

● Soluzioni commerciali (proprietarie)

● Soluzioni libere (Open Source)

Le soluzioni commerciali, sono sviluppate e commercializzate da determinate case produttrici. I costi variano in base alle caratteristiche sia hardware che software.

Le soluzioni libere, meglio conosciute come Open Source, sono prodotti completamente liberi sviluppati da comunità di programmatori sparsi in tutto il mondo ed i quali non richiedono alcun costo né per l' acquisto delle licenze di utilizzo né per l'integrazione ed attivazione di tutta una serie servizi aggiuntivi (necessari appunto per elevare il livello di sicurezza e protezione della rete).

Le soluzioni commerciali

I principali vendor specializzati nella produzione di apparati Firewall presenti in commercio sono : Whatchguard, Juniper, Cisco, CheckPoint, Sonicwall, Fortinet.

Il costo per l'acquisto di un Firewall commerciale dalle discrete prestazioni hardware e in grado di offrire una protezione base (e quindi minimale), può partire da un minimo di 700 - 800 Euro.

Trattandosi però di soluzioni base, queste saranno prive di tutta una serie di funzionalità essenziali per un monitoraggio ed una protezione completa della rete. Funzionalità comunque integrabili separatamente, previo ulteriore acquisto per l'attivazione delle licenze di utilizzo.

La strategia commerciale dei vendor è infatti basata principalmente sulla vendita delle licenze per l'utilizzo di queste funzionalità aggiuntive.

Ne conseguirà quindi che :

● Maggiore protezione = Più servizi attivi

● Più servizi attivi = Maggiori costi aggiuntivi

In sostanza, più si vorrà raggiungere un buon livello di protezione per la propria rete e più computers saranno presenti all'interno di essa, più licenze bisognerà acquistare per l'integrazione di queste funzionalità aggiuntive. L'acquisto di ogni licenza inoltre avrà una durata temporanea, questa dovrà infatti essere rinnovata periodicamente a scadenza annuale. Per cui, va da se che per un prodotto in grado di offrire una protezione completa e duratura nel tempo, i costi potrebbero lievitare in maniera esponenziale, arrivando anche a raggiungere la soglia delle decine di migliaia di Euro.

Le soluzioni Open Source Perchè e quali sono i vantaggi

Il termine Open Source (sorgente aperto) indica un software rilasciato con un tipo di licenza (GPL) per la quale il codice sorgente è lasciato alla disponibilità di migliaia di sviluppatori e programmatori sparsi in tutto il mondo, affinchè con la collaborazione (in genere libera e spontanea) si possano apportare migliorie, aggiungendo nuove caratteristiche, funzionalità e correggendo eventuali errori (bug).

L'obbiettivo è raggiungere una complessità maggiore sul prodotto finale più di quanto potrebbe ottenere un singolo gruppo di programmazione.

I vantaggi che ne conseguono sono principalmente :

● maggiore sicurezza

● maggiore affidabilità

● trasparenza del codice sorgente

● abbattimento dei costi e maggiore economicità (nessun costo per l'aquisto di licenze per l'utilizzo)

Open Source nel mondo I sistemi operativi unix-like

I sistemi operativi Linux e la famigia dei BSD (chiamati appunto unix-like), si distinguono da sempre come i sistemi operativi più stabili e sicuri presenti sul mercato, progettati per applicazioni di rete ad altissime prestazioni.

Non è un caso che il 90% dei siti di tutto il mondo, server di posta, archivi pubblici, portali, provider, motori di ricerca come Google, utilizzino sui loro server questi sistemi operativi.

Oggi sono sempre più frequenti chi, dopo un accurata analisi dei costi/sicurezza hanno deciso di migrare a sistemi operativi unix-like. Già da anni infatti i server delle aziende più grandi li utilizzano.

Enti governativi e militari come CIA, FBI, NASA, pubbliche amministrazioni, istituti bancari, istituzioni accademiche, centri di ricerca, università. Colossi come IBM, Hp, Boeing, Xerox, SouthWest Airlines, Sixt Rent-a-Car, IKEA, Mercedes.

La NASA stessa ha mandato Linux nello Spazio utilizzandolo sullo Space Shuttle (1999). La Kodak lo ha adottato sulla sua nuova piattaforma per il processamento del colore. Lo troviamo nei moderni sistemi di domotica, negli smartphone di ultima generazione (Iphone ed Android di fatto utilizzano all'interno dei loro prodotti sistemi operativi derivati da BSD e Linux).

Cos' è pfSense

pfSense è un potente sistema firewall Open Source, basato su sistema operativo FreeBSD e che utilizza come sistema di filtraggio PF, ossia il Packet Filter di OpenBSD, uno dei sistemi più utilizzati nella realizzazione di sistemi di elevata sicurezza.

Sicuro e completamente configurabile, può utilizzare per il suo funzionamento anche l'hardware di un comune PC.

Include una lunga lista di funzionalità aggiuntive che permettono, grazie alla loro integrazione, di raggiungere un livello di protezione, sicurezza e controllo della rete estremamente elevato.

pfSense è un progetto abbondantemente testato che conta ormai più di 1.000.000 (fine primo trimestre 2011) di download ed innumerevoli installazioni in tutto il mondo che variano dalla piccola e media azienda, fino alle grandi aziende, enti pubblici, ministeri, università ed altre organizzazioni che proteggono migliaia di dispositivi di rete.

pfSense : caratteristiche principaliTra le principali caratteristiche, troviamo:

● Un'avanzata funzionalità per impronte digitali che abilita il filtraggio in base al tipo di sistema operativo utilizzato dai pc della rete

● Politiche di routing ad alta flessibilità per la selezione del gateway, per il bilanciamento del traffico, failover, WAN multiple, backup su più ADSL, etc…

● Rindondanza : due o più Firewall possono essere configurati per lavorare in coppia e simultaneamente. In caso di guasto/rottura di uno dei due Firewall, il traffico Internet ed i servizi correlati saranno gestiti automaticamente dal secondo Firewall in maniera del tutto trasparente e senza creare disservizi

● VPN : Per collegare tra loro sedi distaccate e utenti in mobilità (tramite Pc portatili o smartphone), pfSense offre tre tipologie per la connettività VPN: Ipsec, OpenVPN,PPTP,L2TP

● Report e Monitoraggio : Raccolta statistiche sul traffico di rete (anche in tempo reale), generazione di grafici RRD, monitoraggio e generazione di report relativi alla navigazione in Internet da parte dei pc della rete

● Filtraggio dei contenuti: Blocco dei download di determinate tipologie di files e filtraggio della navigazione in Internet verso tutti quei siti dai contenuti potenzialmente pericolosi (pornografia, hacking, siti con istigazione alla violenza, etc...)

● NIDS / IDPS : Sistema di rilevazione e blocco dei tentativi di intrusione all'interno della rete da parte di hackers o programmi maligni (trojan, backdoor, malware e crimeware)

Uno sguardo ad alcune delle Uno sguardo ad alcune delle funzionalità integratefunzionalità integrate

Il Proxy

L'importanza del filtraggio dei contenuti

Un utilizzo inappropriato della navigazione in Internet, sta facendo sorgere una seria problematica per le aziende, infierendo notevolmente sui costi ed esponendo a seri rischi i dati aziendali.

Per prevenirne i rischi annessi è necessario creare una politica mirata ad impedire che si possa, inconsapevolmente o meno, incappare nelle tante “trappole” presenti all'interno della grande rete, Internet.

Sono sempre più frequenti i casi in cui dai Pc aziendali, il personale addetto all'utilizzo dei computers scarichi materiale inappropriato (file musicali, filmati, foto e immagini, suonerie per cellulari, software piratato, etc...) o navighi all'interno di siti dai contenuti non inerenti alle normali attività lavorative.

I rischi a cui si incorre possono essere spesso molto seri, si va dal danneggiamento dei Pc in caso di infezione da virus, al furto di dati sensibili (password, numeri di carte di credito, files e documenti vari) fino alla perdita dei dati.

Per limitare i danni economici che ne conseguono, il firewall ingloba al suo interno un sistema di monitorizzazione e filtraggio che va dal blocco degli accessi verso determinate categorie di siti, al blocco dei tentativi di download di determinate tipologie di files (quelli potenzialmente dannosi come files eseguibili, audio, video, etc...), sino all'individuazione e blocco di virus presenti all'interno di determinati siti (spesso a loro volta compromessi o gestiti appositamente da criminali informatici).

Protezione Antivirus Una protezione perimetrale durante la navigazione in Internet contro virus, malware, e codici maligni. Qualora ci si imbatta in qualche sito dai contenuti potenzialmente dannosi, il firewall blocca l'accesso avvertendo l'utente del pericolo. Questo tipo di protezione agisce in prima linea, ossia prima ancora che il virus possa venire a contatto con il Pc il quale, se non provvisto di un software antivirus efficace ed aggiornato, potrebbe non rilevare la minaccia con conseguenze dannose e spesso irreversibili.

Report navigazione Internet

Per ciascun Pc della rete, il Firewall tiene traccia di tutti i siti visitati, dei files scaricati, tempistiche di navigazione, etc...

Monitoraggio :

Prevenire è meglio che curare

E' importante conoscere cosa accade all'interno della nostra rete.

Un altro aspetto fondamentale per individuare e prevenire determinati comportamenti poco responsabili da parte del personale addetto all'utilizzo dei computers, è quello di minitorare le attività all'interno della nostra rete.

A chi non è capitato almeno una volta di ritrovarsi inspiegabilmente davanti a dei rallentamenti o malfunzionamenti sulla propria rete ed essere costretti ad investire del tempo per effettuare tutte le verifiche necessarie per cercare di individuarne le cause.

Basti pensare che la rete è come un'autostrada e i dati che vi transitano sono come le automobili. Va da sè che più dati transiteranno più si sarà soggetti ad “ingorghi” e rallentamenti.

Conoscere quindi nei dettagli cosa passa (ossia il traffico), permetterà una diagnosi più approfondita e conseguentemente una risoluzione più rapida del problema, nonché un'adeguata e mirata prevenzione, abbattendo notevolmente anche i costi di gestione e manutenzione dovuti ad interventi esterni da parte di personale tecnico specializzato.

Monitoraggio in tempo reale del traffico generato

Attraverso una serie di grafici, sarà possibile monitorare in tempo reale quali Pc o altri apparati della rete stanno generando traffico e la larghezza di banda occupata.

Monitoraggio del traffico generato da specifiche applicazioni Il sistema di monitoraggio tiene traccia di tutto il traffico di rete generato da specifiche applicazioni come:

Facebook, Twitter, Skype, Dropbox, iTunes, Viber, Youtube, TeamViewer, Bitorrent ed altre ancora.

Monitoraggio in tempo reale delle sessioni attive

Monitoraggio in tempo reale di tutte le connessioni attive instaurate dai Pc e dagli apparati di rete presenti all'interno della LAN.

Statistiche sul traffico generato Possibilità di risalire alla mole di traffico generato da ogni singolo Pc

e apparato di rete

GeoMap : Mappa geografica del traffico di reteIl Firewall genera una mappa geografica, all'interno della quale vengono segnalate nazioni e continenti che in qualche modo “parlano” con i computer della nostra rete.

Una rilevazione del traffico generato verso determinati paesi, è spesso sinonimo di tentativi di intrusione o nella peggiore delle ipotesi di Pc “zombie” già compromessi, infetti da virus, malware o crimeware. Il sistema anti-intrusione del Firewall è in grado di rilevare determinati tipi di attacchi bloccando sia l'azione malevola in corso, sia il traffico proveniente o diretto verso determinate destinazioni (nazioni e continenti)

Sistema Antispam e monitoraggio del traffico di posta

Il Firewall tiene traccia delle attività interne di posta elettronica (posta inviata), bloccando eventuali azioni di spamming provenienti dai Pc della Lan infetti da virus

Sistema di rilevazione e prevenzione contro le intrusioniIl Firewall intercetta e blocca tentativi di attacchi e di intrusione provenienti da Internet e diretti verso la rete interna, rilevando e bloccando anche il traffico malevolo proveniente dai Pc della LAN infetti da Worm, Trojan, Malware e Crimeware.

BYOD e VPN

Accesso sicuro alla rete aziendale tramite dispositivi mobili : Smartphone (Android ed iPhone), Tablet e iPad, Computer Portatili

La pratica del BYOD (Bring your own device), consiste nell'utilizzare i propri dispositivi mobili per accedere alla propria rete aziendale, ed avere così la possibilità di accedere ai propri files e poter utilizzare le proprie applicazioni, da qualsiasi parte del mondo ci si trovi.

Le connessioni alla rete aziendale tramite dispositivi mobili, avvengono tramite l'utilizzo di una tecnologia chiamata VPN (integrata all'interno del Firewall), ossia un collegamento sicuro utilizzando una connessione Internet.

In un collegamento VPN infatti, tutto il traffico tra il dispositivo mobile e la rete aziendale passerà sì attraverso Internet, ma la comunicazione utilizzerà dei sistemi di autenticazione e di crittografia, onde evitare che le comunicazioni possano essere intercettate o utilizzate da persone non autorizzate.

Un esempio di accesso a files e cartelle della rete aziendale tramite l'utilizzo di uno smartphone

VPN

Collegamento tra filiali remote

Qualora si necessiti di collegare tra loro due o più filiali dislocate in punti distanti geograficamente, ancora una volta ci viene incontro la tecnologia VPN.

Si avrà in questo modo la possibilità di unificare due o più reti (si pensi a due uffici diversi dislocati in città diverse), come se fossero un'unica rete locale (quindi un unico ufficio/filiale).

I vantaggi nell'usufruire della centralizzazione di più reti informatiche sono principalmente:

● Possibilità di utilizzare e condividere le stesse applicazioni (Gestionali, CRM, etc..), senza per questo dover acquistare una licenza dedicata per ciascuna filiale

● Possibilità di condivisione di files e stampanti

● Possibilità di convogliare il traffico voce (le telefonate tra le due sedi) abbattendo i costi legati agli operatori telefonici. Questo implica l'utilizzo di due centralini telefonici VoIP

Conclusioni

La sicurezza informatica è un processo, non un prodotto.

Ciò significa che non si limita all'acquisto o all'implementazione di un singolo prodotto, hardware o software che sia.

Essa è formata da tutta una serie di processi strettamente correlati tra loro, che vanno dall'analisi e progettazione fino alle fasi di verifica e manutenzione di tutta la rete e degli apparati in essa coinvolti.

Lo sfruttamento di una vulnerabilità verso un unico punto critico, potrebbe compromettere la sicurezza dell'intera infrastruttura di rete.

Link di riferimento e approfondimenti:

http://it.wikipedia.org/wiki/Sicurezza_informatica

http://it.wikipedia.org/wiki/Crimine_informatico

http://it.norton.com/cybercrime-definition

http://it.norton.com/cybercrime-blackmarket

http://it.norton.com/cybercrime-stories

http://it.norton.com/cybercrime-bots

http://it.norton.com/cybercrime-trojansspyware

https://it.wikipedia.org/wiki/Open_source

http://www.pfsense.org/

Per informazioni e contatti :

www.linkedin.com/pub/vittorio-milazzo/15/964/501

Email : vittorio.milazzo@gmail.com