vai a portalino

CAP.5 SICUREZZA NEI SISTEMI EDI

5.1 GENERALITA' SUI SISTEMI DIFENSIVI

La nascita di un sistema di interconnessione telematica, fra partner commerciali interessati a scambiarsi dati a carattere riservato, pone nuove problematiche che interessano la sfera del trattamento dei dati, per prevenire le frodi.

Nei sistemi EDI, i software dedicati alla sicurezza proteggono il network interno dai rischi di eventi inaspettati e non voluti, chiamati comunemente frodi. Quali sono le frodi più comuni nellíuso di un sistema EDI ?

  • Un partner commerciale può frodare un'altra azienda negli affari.
  • Un dipendente interno o di uníaltra azienda può usare il sistema EDI, per acquisire denaro o benefici personali.
  • Una terza parte può intercettare il flusso di dati e usarli per compromettere gli affari, sostituendosi al vero partner commerciale.

Naturalmente non cíè niente di nuovo nei rischi esposti sopra, si sono solo individuati alcuni modi per truffare il prossimo che si stanno usando da molto tempo ; la storia ci dice che dove cíè la possibilità di commettere reati, cíè sempre qualcuno che lo farà.

La differenza fra il passato ed il presente, sta nel fatto che queste moderne tecnologie si muovono in un ambiente del tutto nuovo, dove la percezione di quanto grandi siano i rischi non è stata ancora dimensionata in maniera precisa ; è molto facile in questo caso essere ìsedottiî dalle nuove tecnologie, dimenticandosi della presenza di organizzazioni criminali ben organizzate.

Ogni società díaffari, tollera un certo livello di ìdelinquenzaî, perchè i costi legati alla sua eliminazione, sarebbero più grandi dei benefici. Questo non significa che le aziende, che lavorano con i sistemi EDI, siano disposte a tollerare il livello di truffe, che potrebbero essere legate al nuovo ambiente.

Un sistema di sicurezza avanzato, dovrebbe essere in grado di risolvere, sia i casi di truffe ad alto costo (the big Job), sia le truffe sistematiche e ripetute, legate a piccole somme di denaro ma che a lungo andare si trasformano in una perdita consistente.

Le truffe legate agli ambienti telematici erano praticamente sconosciute dieci anni fa; sono aumentate rapidamente negli ultimi anni, tanto che si può dire che oggi rappresentino la vera sfida da vincere sulla via dell'informatizzazione globale.

E' molto difficile trovare qualche dato realistico sull'importanza reale del problema perchè la scoperta di una truffa è, per ovvie ragioni commerciali, normalmente soffocata dall'organizzazione coinvolta. L'Associazione degli Industriali Inglesi stima che le perdite annuali, legate a questo tipo di reato in Gran Bretagna, siano più di 400 milioni. La stessa associazione stima la crescita annua di questo fenomeno, al 20%.

Un altro fattore molto importante, è legato al fatto che, in un ambiente EDI, sono le macchine a controllare i processi in corso di esecuzione ; si perde in questo scambio di ruoli tra uomo e macchina la naturale propensione, legata allo spirito di curiosità dellíuomo, di riconoscere una transazione con cifre e dati sospetti. Proprio per questo difetto congenito, líambiente EDI è considerato a più alto rischio, rispetto ai tradizionali metodi cartacei. Questa situazione non deve però scoraggiarne l'uso, ma gli utilizzatori devono rendersi conto che, alla rete, deve essere affiancato un sistema di sicurezza adeguato.

Un'altra ragione, ugualmente importante per dotarsi di un sistema simile, è legata alla perdita accidentale di dati. La possibilità dei partner commerciali di controllare a fine giornata le loro transazioni finanziarie, facendole combaciare con i dati del loro sistema interno, è uno dei numerosi servizi che un sistema di sicurezza offre agli utenti. I rischi legati ad errori, molte volte possono superare quelli legati ad eventuali truffe; il sistema di sicurezza deve proteggere anche dal rischio di questo tipo. Il sistema EDI, riduce intrinsecamente questi rischi perché diminuisce in maniera significativa l'ammontare della digitazione umana di dati; infatti è essa stessa una fonte di errori non indifferente.

D'altra parte le transazioni sono spedite con una maggior velocità e con una diminuzione notevole dell'intervento umano; questo modo di lavorare può portare ad un aumento di errori legato alla fretta e al controllo approssimativo dei dati in arrivo e in partenza. Un software di alto livello, dovrebbe essere in grado di prevenire e di correggere errori di questo tipo.

Molte delle imprese che usano queste tecnologie, utilizzano tecniche "just in time" per i propri magazzini; questo nuovo modo di operare porta, sia ad un aumento significativo dell'efficienza della produzione industriale, sia ad una maggiore vulnerabilità del sistema informativo. Il rischio di un cedimento del network, può portare a danni molto più consistenti, rispetto ad un'industria tradizionale; il sistema di sicurezza, deve essere in grado di garantire un veloce ed accurato ricovero dei dati, nel caso di un guasto temporaneo.

Un altro fattore importante è rappresentato dalla possibilità reale di prevenire l'alterazione di qualche messaggio, senza che nessuno dei controllori del processo telematico se ne accorgano.

La confidenzialità delle informazioni, che viaggiano attraverso la rete, è altrettanto importante. Molte aziende pensano che non sia obbligatorio tenere nascosto agli estranei tutte le operazioni commerciali che l'azienda compie, ma che sia importante tenere nascosto solo alcune delle operazioni più delicate. Se l'azienda si comportasse in questa maniera, aiuterebbe molto gli eventuali pirati elettronici che stanno scegliendo la loro prossima vittima; i criminali che commettono questo tipo di reati spendono molto tempo nella ricerca e nell'analisi delle opportunità insite in un particolare scambio commerciale. Il flusso di informazioni in chiaro, che scorre attraverso la rete, può venire letto da chiunque e aiuta moltissimo i pirati elettronici nella ricerca dell'azienda da colpire. Se tutti i messaggi vengono cifrati il carico di lavoro, legato all'analisi dello scambio elettronico di dati, viene moltiplicato e può risultare troppo pesante, per le capacità informatiche del gruppo criminale.

Un'altra caratteristica importante è l'efficienza complessiva del sistema; il network deve essere costruito con una capacità di recupero elevata, nel caso di una rottura di un singolo componente. Per evitare il caos, che potrebbe derivare da una perdita di sincronizzazione tra il server centrale e i partner commerciali, il protocollo di trasmissione EDI, deve essere in grado di salvare, dalla perdita accidentale, i dati riguardanti le transazioni che al momento della rottura erano solo parzialmente completate.

L'effettiva possibilità di dotarsi di sistemi informatici così sofisticati deriva anche dall'accoglienza che il personale aziendale riserva a queste strutture di sistema: se sarà positiva, e la si vedrà come un aiuto al proprio lavoro, il compito degli addetti alla sicurezza verrà senz'altro facilitato. Purtroppo anche nelle aziende ci sono forze interne che si oppongono al miglioramento dello standard di sicurezza. Queste sono rappresentate dal personale che si esprime con frasi del tipo: "Non mi capiterà mai", "I miei dati sono senza valore":

  • "Non mi capiterà mai"= molti informatici sbagliano nella valutazione della vulnerabilità del loro sistema, dei rischi che corrono o dei potenziali costi che dovranno sostenere nel caso ci sia una truffa. Conseguentemente, la sicurezza spesso diviene un serio problema, solo dopo che la truffa è già avvenuta; i costi per la sicurezza infatti sono sempre più difficili da giustificare e i più facili da cancellare quando ci sono problemi finanziari.
  • "I miei dati sono senza valore"= "Nessuno verrebbe a truffarmi, i miei dati sono senza valore", questo è uno dei commenti che si fanno più spesso ed è una trappola in cui è molto facile cadere. Nel caso bancario il problema è molto meno sentito rispetto alle altre aziende perché di solito è facile da quantificare: le perdite potenziali sono molto alte e la frase fra virgolette non è mai vera, nel settore bancario. La difficoltà sorge nel momento in cui bisogna quantificare il valore dei dati del sistema. L'analisi del rischio è l'informazione base, che aiuta i manager a dare il giusto valore informatico ai dati.

La sicurezza informatica significa molto di più che la semplice aggiunta di alcuni prodotti di sicurezza alle applicazioni del sistema. Il punto di partenza è creare un ambiente di lavoro che guardi positivamente al fattore sicurezza e che abbia la forza di analizzare i punti deboli del sistema: la forza di un network informatico è uguale alla debolezza dei punti di unione meno forti.

L'analisi di questi punti relativamente più deboli può essere eseguita usando semplicemente la logica e l'esperienza o, meglio ancora, usando una metodologia automatizzata come la CRAMM. La procedura seguita è molto snella e semplice:

  1. Viene assegnato un valore ben preciso a tutte le parti del sistema, sia fisiche che logiche.
  2. Attraverso questa procedura le parti maggiormente vulnerabili vengono identificate.
  3. Ad ogni anello debole viene assegnato un valore rappresentante il grado di probabilità che questo si spezzi. Viene assegnato un altro valore che quantifica il danno associato all'evento.

I rischi che fanno parte del sistema possono così essere identificati. In ogni caso questa è una procedura praticamente obbligatoria se si vuole veramente fronteggiare l'eventualità di truffe informatiche.

5.2 UNA COMPARAZIONE TRA SISTEMI EDI E SISTEMI TRADIZIONALI

Quando un documento viene spedito attraverso il sistema postale tradizionale, esso viene recapitato in una busta sigillata. Questo modo di spedizione, ci fornisce un alto grado di riservatezza e confidenzialità, soprattutto nel caso di posta raccomandata con ricevuta di ritorno.

In questo tipo di posta infatti, oltre al normale livello di confidenzialità della normale corrispondenza, si ha la certezza praticamente assoluta dell'identità del mittente; sarebbe molto difficile per un truffatore aprire la documentazione riproducendo poi, in maniera perfetta, la necessaria autenticazione della lettera o del pacco.

Quando la busta viene aperta, chi la riceve può assicurarsi della sua provenienza da molti altri indizi. Ci si può chiedere per esempio, se la carta usata è quella intestata della ditta che ha spedito la lettera, se la firma finale è di una persona conosciuta, esiste anche la possibilità di scoprire se ci sono state alterazioni, da alcuni particolari che possono essere notati dal ricevente. Tutti questi controlli di provenienza, non possono essere fatti nel caso di una transazione elettronica, anche se alcune tecniche molto sofisticate sono a disposizione delle aziende, per ovviare a questi problemi.

Oltretutto una firma, apposta su un ordine d'acquisto o su una fattura, costituisce la prova originaria che ha la forza di autorizzare quella particolare transazione monetaria. Se c'è un problema di accettazione dell'ordine, la firma diventerà l'unico elemento di prova in grado di distinguere tra un ordine vero ed uno fraudolento.

Questi metodi del sistema postale tradizionale, vengono usati ormai da secoli ed hanno raggiunto un grado di raffinatezza difficilmente conseguibile con i metodi telematici. Tuttavia, chi vuole dotarsi di tecnologia EDI, deve prevedere una protezione simile nello svolgimento dei propri affari; è una questione che tocca i temi della non repudiabilità e della autenticità di un documento elettronico.

I problemi associati all'informazione digitale sicura, sono molto più complessi rispetto a quelli della posta tradizionale; una ragione sta innanzitutto nella facilità di manipolazione dei dati elettronici, senza che gli stessi soffrano di un detrimento della loro qualità trasmissiva. Un documento che viaggia attraverso una rete può venir copiato, cancellato, esteso, salvato e ritrasmesso con facilità; sono proprio queste notevoli qualità, a fare della tecnologia digitale una piattaforma ideale per le applicazioni tecnologiche commerciali.

La maggior parte dei sistemi EDI fornisce una qualche forma di protezione contro frodi o casi di spionaggio. Alcuni controlli d'accesso, possono essere forniti al sistema per prevenire accessi non autorizzati, ma i messaggi, quasi sempre, per essere trasmessi, devono passare attraverso dei network pubblici, i quali non offrono il necessario livello di sicurezza voluto dalle aziende commerciali. Se qualcuno intercetta una comunicazione o riesce ad aggirare il meccanismo, che controlla gli accessi al sistema, non ci sarà modo di scovare la perdita di confidenzialità, integrità e autenticità dei messaggi in arrivo. Le aziende che vorranno proteggersi da queste frodi informatiche, dovranno dotarsi di sistemi digitali che assicurino un elevato livello di sicurezza, soprattutto nel campo delle transazioni finanziarie, punto focale per arrivare ad un servizio home banking, via Internet, sicuro ed efficiente.

5.3 I REQUISITI DI UN BUON SISTEMA DI SICUREZZA

5.3.1 INTRODUZIONE

L'esplosione commerciale di Internet ha portato in rete numerosissime attività commerciali che offrono al visitatore molti servizi interessanti. La maggior parte di queste aziende però non ha ancora cominciato a vendere prodotti su Internet e si limita a fornire semplici informazioni su di esse e sulle novità dei suoi prodotti.

C'è molta diffidenza nei confronti della Rete e la presenza di numerosi articoli trattanti questi temi proprio su Internet, non fa che confermare l'importanza di queste perplessità. Le industrie sembrano non riconoscere che la crittografia, anche se è un componente critico di un network sicuro, non è sufficiente per proteggere il commercio elettronico dalle frodi. La crittografia fornisce un metodo valido per la sicurezza delle transazioni, ma non fa abbastanza per prevenire accessi non autorizzati alle informazioni e ai conti correnti. Oltre alla crittografia c'è bisogno di altri due componenti per un adeguato livello di sicurezza:

  1. Un Firewall per proteggere il server interno dell'azienda, dall'accesso Internet.
  2. Un sistema operativo sicuro per proteggere le informazioni, sia dai pericoli interni che da quelli esterni; infatti, il sistema operativo UNIX standard, è particolarmente vulnerabile alle manipolazioni non autorizzate.

5.3.2 CRITTOGRAFIA

La crittografia permette la totale segretezza, di qualsiasi tipo di dato che viaggi attraverso le reti pubbliche. Esistono due grandi campi d'azione in cui si può applicare la crittografia: i messaggi elettronici e la cosiddetta firma elettronica. Ognuna di queste aree d'utilizzo, deve sottostare a dei particolari requisiti:

  • Il messaggio elettronico è bene che possegga le seguenti caratteristiche :
    1. il mittente deve avere la possibilità di sigillare il messaggio.
    2. solamente il ricevente deve possedere la chiave elettronica per aprire la "busta".
    3. una terza parte estranea non deve poter manomettere o leggere il messaggio.
    4. il trattamento da parte di estranei del messaggio deve avvenire in tutta sicurezza.
    • La firma digitale deve essere:
      1. molto resistente alle contraffazioni.
      2. non ripudiabile dall'autore.
      3. facilmente verificabile da qualsiasi persona che debba controllarne l'autenticità.
      4. identificabile univocamente dall'autore.

Oltre a ciò, tutti i meccanismi che vengono usati in questi concetti dell'ambiente digitale, devono mostrare caratteristiche di utilizzo facile ed efficiente, per renderli disponibili anche agli utenti meno esperti.

TECNOLOGIE CRITTOGRAFICHE

I metodi per crittare un messaggio si dividono in due grandi famiglie: la tecnologia a chiave simmetrica o segreta e quella a chiave asimmetrica o a doppia chiave.

La crittazione dei messaggi è vecchia quanto il genere umano ma, solamente con la moderna tecnologia informatica, si è arrivati a scoprire metodi di crittazione con un'elevata sicurezza intrinseca. Il grande salto di qualità è stato compiuto con la tecnica crittografica a doppia chiave la quale è indubbiamente molto più sicura della tecnica simmetrica e offre molti vantaggi nella autenticazione del documento in arrivo.

Con il sistema a chiave simmetrica, un messaggio è crittato e decrittato usando la stessa chiave; questa deve essere conosciuta sia dal mittente che dal ricevente. La chiave passa dall'uno all'altro, attraverso una transazione separata, ma il sistema è vulnerabile perchè essa può venir rubata nel momento in cui attraversa la rete.

Il sistema a chiave pubblica invece, usa chiavi separate per crittare e decrittare il messaggio. Niente al di fuori del messaggio deve passare da una persona all'altra perché si abbia una transazione sicura.

Ogni persona coinvolta in questo tipo di transazione, ha bisogno di una Key Pair (coppia di chiavi). Una Key Pair consiste in due chiavi, con una relazione particolare fra di loro; ciò permette ad una, di crittare un messaggio che l'altra può decrittare. Una di queste chiavi può essere divulgata mentre l'altra deve rimanere strettamente privata: nessuna persona estranea deve conoscerla.

Un messaggio cifrato, con una chiave pubblica personale, non può essere decrittato con la stessa chiave; la funzione usata per crittare il messaggio è una funzione a senso unico e non può essere resa reversibile. In questo modo, solo la persona che ha la chiave privata corrispondente a quella pubblica, può decifrare il messaggio e leggerlo. Le chiavi private possono essere tenute nel disco fisso del PC, protette da una password, oppure possono essere disponibili, attraverso speciali lettori connessi al computer.

La crittografia viene utilizzata in ambito commerciale per raggiungere tre obiettivi principali:

  • Un'azienda può identificare un proprio partner commerciale ed essere sicura di dialogare con il giusto cliente. Questa possibilità è realizzata attraverso l'uso della firma digitale, la cui legittimità è stata introdotta in molti stati americani. In pratica avviene che se un cliente manda alla banca un messaggio crittato con la sua chiave privata, la banca userà la sua chiave pubblica per decifrarlo, e potrà essere certa del fatto che solo questo cliente poteva spedire un messaggio cifrato in quel modo.
  • Le aziende di solito desiderano proteggere la confidenzialità di informazioni finanziarie dei propri clienti o di altri dati personali. Un ipotetico cliente può spedire un messaggio alla propria banca, usando la chiave pubblica dell'azienda bancaria, avendo la certezza che solo essa potrà decrittare il messaggio, usando la propria chiave privata. Nell'altra direzione la banca può spedire informazioni confidenziali al cliente, usando la sua chiave pubblica e solo il cliente a cui è rivolto il messaggio, potrà decrittare il messaggio con la propria chiave privata.
  • L'uso commerciale di Internet è sicuramente molto utile per le imprese, ma il livello di sicurezza dei dati che scorrono in Rete deve essere molto elevato. Questo risultato si consegue attraverso l'uso di "cryptographic hashes". Al messaggio che deve essere spedito è assegnato un numero basato sulla lunghezza e sulle sue caratteristiche; l'argomento appena assegnato, viene cifrato e spedito insieme al documento principale. Il ricevente calcola come deve essere l'argomento del messaggio che ha decrittato e lo confronta con quello che ha ricevuto; se i due non coincidono, il messaggio è stato alterato durante il percorso e deve essere ritrasmesso. Questo metodo è particolarmente utile, per scoprire eventuali tentativi di intercettazione, da parte di pirati informatici e per porvi rimedio al più presto.

Tutti questi metodi crittografici ad alta tecnologia, possono essere usati con i più diversi protocolli di trasmissione come il PEM o il PGP per E-Mail o i protocolli dei server WEB SSL e S-HTTP.

La possibilità della firma digitale per il cliente e per l'azienda, è considerata dall'ambiente del commercio elettronico, come una condizione indispensabile per l'effettivo decollo dei negozi virtuali. La firma digitale è necessaria per arrivare all'identificazione del cliente, per essere sicuri che l'azienda, facendo affari su Internet, conosca precisamente chi si trova all'altro capo del filo. In passato, molti negozi virtuali del WEB hanno trattato i loro affari senza sapere con precisione chi stava al terminale; il numero della carta di credito era per loro sufficiente. Le banche, tuttavia, vogliono un software crittografico che comprenda la firma digitale.

Con l'avvento della crittografia a chiave pubblica, la necessità di scambiare informazioni attraverso la posta elettronica diventa più sicura, ma anche più difficile da conseguire. Un'azienda che voglia mettersi in contatto con un cliente utilizzatore del metodo a doppia chiave, incontrerà difficoltà ad entrare in possesso della chiave pubblica dello stesso. Le regole non scritte del galateo informatico infatti, vietano di spedire ad un estraneo richieste di informazioni a scopo pubblicitario.

La creazione di una directory ad accesso libero via Internet, di tutte le chiavi pubbliche aggiornata in maniera puntuale, potrebbe risolvere questi problemi di comunicazione. L'azienda che voglia mettersi in contatto con qualche estraneo, non farebbe altro che scaricarsi sul proprio terminale la chiave pubblica corrispondente e tentare di instaurare un nuovo rapporto d'affari.

FIRMA E MESSAGGI DIGITALI

Un messaggio digitale, può essere creato dal mittente, attraverso la crittazione del messaggio; i dati con questo sistema viaggiano attraverso la rete in maniera del tutto sicura. Il ricevente poi potrà decrittarlo con la chiave che solo lui conosce. Questo processo soddisfa i requisiti di sicurezza, visti nel precedente capitolo, ma implica l'approntamento di alcune misure di sicurezza, per fornire un canale distributivo adeguato alla trasmissione delle chiavi segrete; un processo che deve avere, anche, un alto grado di efficienza.

Una firma digitale invece, può essere fatta dal mittente, attraverso la preparazione di un argomento crittografico di un messaggio. La spedizione assieme ai dati, avverrà in modo che il ricevente possa controllarne la provenienza. Quando l'argomento viene verificato e trovato simile al messaggio l'integrità dello stesso è sicura.

Se la chiave crittografica, usata per generare la firma, è conosciuta unicamente dal proprietario, come potrà il gruppo di persone che lavora con lui verificarne l'autenticità, e come potrà usare le chiavi crittografiche, senza perdere la necessaria sicurezza contro le contraffazioni ?

Questa è una domanda, a cui la moderna tecnologia, ha dato una risposta sicura e molto efficiente, con le tecniche crittografiche asimmetriche o a doppia chiave. Una chiave rimane privata, mentre l'altra, essendo pubblica, può essere usata per verificare l'autenticità del messaggio elettronico.

L'azienda leader nel mondo in questo settore è la RSA, la quale ha sviluppato questa tecnica il cui sistema di trattamento è molto semplice. Tutte le chiavi pubbliche, possono essere rese disponibili su un file del sistema, mentre le chiavi private devono essere tenute al sicuro dai loro proprietari. Le chiavi non devono essere mai rinnovate, vista la complessità delle stesse che sono praticamente inattaccabili da qualsiasi elaboratore.

Il sistema a doppia chiave possiede alcuni punti deboli che devono essere risolti per evitare lo stallo del sistema trasmissivo. Un problema molto grave è la necessaria protezione contro le contraffazioni che possono avvenire nella fase di trasmissione delle chiavi pubbliche: un pirata elettronico infatti, potrebbe sostituire la chiave pubblica di un utente, intercettandola e sostituendola nel momento in cui il proprietario la spedisce alla directory pubblica. Avendo la chiave pubblica per decrittare i messaggi spediti al legittimo proprietario, il criminale potrà leggere tutti i messaggi spediti a questa persona. Potrà in questa maniera leggerli e spedirli alla legittima proprietaria usando la chiave pubblica originaria fugando ogni dubbio sulla sicurezza trasmissiva della rete. Ovviamente tutto questo potrebbe essere bloccato nel caso in cui tutti gli utenti controllassero la coincidenza fra la chiave pubblica messa in rete e quella in loro possesso. La soluzione a questo problema è la creazione di un organo di controllo sulle chiavi pubbliche che verificherà la spedizione delle stesse, obbligando i mittenti ad accompagnarle con una firma digitale creata con la chiave pubblica dell'autorità di controllo. Ogni coppia di chiave, con questo metodo, viene inserita nella directory pubblica insieme ad una speciale certificazione che è impossibile da contraffare.

Quando una chiave pubblica è usata da un utente essa è recuperata dalla directory pubblica insieme al suo certificato che contiene la firma elettronica del possessore ; ogni utente può verificare, in questa maniera, la provenienza della chiave.

Il processo di crittazione e decrittazione, attraverso questi metodi a chiave asimmetrica, ha però un difetto piuttosto evidente: non è adatto alla spedizione di messaggi molto lunghi. Tutti e due i processi infatti sono piuttosto lenti perché impegnano notevolmente la potenza matematica del microprocessore; proprio per questo motivo, molti usano le chiavi simmetriche quando devono spedire documenti particolarmente lunghi. Le chiavi segrete, per cifrare i messaggi, vengono generate con un processo casuale che mantiene un elevato grado di sicurezza. La singola chiave viene cambiata ad ogni spedizione.

5.3.3 FIREWALL

Per erigere una barriera tra il network interno e l'accesso Internet, un'azienda può installare un Firewall. Esso controlla il traffico telematico in entrata ed in uscita al server interno, fornendo un singolo punto d'accesso, dove il controllo dei dati può essere svolto e imposto con maggiore facilità.

Il risultato pratico si traduce nel fatto che utenti esterni non autorizzati, non potranno direttamente accedere al server interno; gli utenti autorizzati interni potranno passare attraverso il punto di controllo ed usufruire dell'ampia gamma di servizi Internet.

Se un utente di un'azienda vuole dialogare con un suo partner commerciale che fa capo ad un'altra organizzazione, egli deve entrare in contatto con il Firewall e quest'ultimo dialogherà con l'altro computer. Lo stesso avviene nel caso inverso; esiste sempre un sistema di sicurezza che fa da tramite alle conversazioni elettroniche. I Firewall possono supportare un gran numero di comunicazioni contemporaneamente e sono abilitati al controllo dei software di scambio dati via Internet, come il File Transfer Protocol (ftp) e il Telnet.

Il motivo che spinge un'azienda privata ad installare un Firewall è sempre quello di proteggere il proprio network privato dalle intrusioni. In molti casi, il problema è quello di prevenire l'accesso ad utilizzatori non autorizzati o di diminuire il rischio del trafugamento di informazioni confidenziali.

Le aziende che sono connesse ad Internet vedono quest'ultima eventualità come la più pericolosa; in ogni caso, non si deve rispondere a questo problema cancellando l'accesso Internet del proprio network e lasciandolo così indifeso ad un eventuale collegamento pirata via modem. L'eventualità di un collegamento pirata da parte di un dipendente interno, potrebbe compromettere la sicurezza globale del sistema.

CONFIGURAZIONI POSSIBILI

Nel configurare un Firewall, la decisione maggiore nei riguardi del tipo di sicurezza che si vuole ottenere è spesso dettata dalla politica aziendale. Una decisione deve essere presa attraverso un bilanciamento maggiore o minore di due fattori fondamentali: sicurezza e facilità d'uso. Ci sono due approcci fondamentali che riassumono questo conflitto:

  • Quello che non è espressamente permesso è proibito.
  • Quello che non è espressamente proibito è permesso.

Nel primo caso il Firewall deve essere disegnato per bloccare chiunque; gli accessi ai servizi devono essere rilasciati caso per caso solo dopo aver valutato, con attenzione, rischi e bisogni. Questa gestione molto rigida del sistema può avere un impatto negativo sugli utenti: essi possono vedere il Firewall come un ostacolo alla loro attività lavorativa. Nel secondo caso, l'amministratore di sistema reagisce in maniera reattiva, deve predire che tipo di azioni pericolose la popolazione degli utenti potrebbe prendere e prepararsi a difendere il sistema da questi attacchi.

LE MINACCE ESTERNE

Ci sono moltissimi modi in cui un Firewall può cadere o perdere una parte delle sue funzionalità. Nessun sistema è ottimo, alcuni sono decisamente mediocri.

Il problema di molti sistemi difensivi è il blocco d'accesso; se qualcuno riesce a trovare una scappatoia, che gli permetta di sondare il sistema, è chiaro che il pericolo che tutto il network venga compromesso è molto elevato. Un'altra più pericolosa situazione avviene se qualcuno riesce ad irrompere nel sistema e lo riconfigura in modo tale che qualsiasi entità esterna possa entrare. E' estremamente difficile quantificare il danno risultante da un'operazione di questo genere, denominata "distruttiva".

Un'importante misura della capacità di resistenza di un Firewall è la capacità dello stesso di individuare, velocemente, il possibile attacco. La cosa da evitare assolutamente è una situazione in cui il sistema venga irrimediabilmente compromesso, senza nessuna traccia di come l'attacco abbia preso forma. Nella migliore delle ipotesi il Firewall dovrebbe individuare l'attacco, informare l'amministratore del pericolo e bloccare il tentativo di pirateria.

Un modo per capire quale parte sia stata danneggiata durante un attacco di "hackers", è individuare e definire le cosiddette zone a rischio; nel caso di un network interno che è direttamente connesso ad Internet senza nessun sistema di sicurezza, il server sarà inevitabilmente molto vulnerabile.

Il tipo d'attacco più pericoloso e più difficile da sconfiggere, è quello che prevede l'accesso illegale al Firewall. Il pirata elettronico di solito riesce a procurarsi un login d'accesso e da questa base sicura comincia un tipico attacco "island hopping" che distrugge mano a mano tutti gli host secondari. In questa situazione c'è ancora qualche speranza di recupero, fino a quando il pirata lascia delle tracce nel Firewall e può essere localizzato. Se invece il sistema difensivo è completamente distrutto, il network privato può subire attacchi da qualsiasi sistema esterno; ricostruire la dinamica dell'attacco diventa quasi impossibile.

I Firewall secondo gli sviluppatori che li hanno progettati, possono essere visti come degli strumenti che riducono le zone di rischio ad un singolo punto di debolezza. Nella teoria questa sembra una cattiva idea, ma l'esperienza pratica ha dimostrato il contrario.

Per un network abbastanza ampio, esistono sempre degli hosts vulnerabili ad un attacco di pirati elettronici; molte aziende hanno adottato delle linee di condotta che formalmente sono progettate per rimediare a queste debolezze, ma è utopico pensare che queste siano sufficienti.

Un Firewall aumenta la sicurezza degli hosts, attraverso una sorta di strettoia, dove è possibile intercettare più facilmente i pirati elettronici. Il Firewall è come un castello medievale costruito con intelligenza che ha molte difese ed alcuni punti di interruzione delle stesse. In questa maniera l'attaccante è costretto a transitare attraverso questi passaggi obbligati; lì i difensori possono concentrare la maggior parte della loro forza d'urto, rendendo molto difficile la riuscita dell'attacco.

5.3.4 SISTEMA OPERATIVO SICURO

Nel campo delle reti il sistema operativo maggiormente usato è lo UNIX. Qualsiasi utente che conosca i sistemi operativi che girano su PC (DOS e Window), nota subito la grande differenza in termini di prestazioni a favore del primo. Infatti, UNIX è stato sviluppato proprio per questi ambienti, avendo come obiettivo una grande flessibilità d'uso, per permettere a differenti tipologie di computer di comunicare fra di loro. Questa caratteristica, molto apprezzata in ambienti di ricerca universitari, è però un grosso difetto negli ambienti aziendali, dove la flessibilità del sistema porta inevitabilmente alla difficoltà di difesa, nel caso di attacchi di hackers.

Per l'uso commerciale, la flessibilità si è trasformata in una mancanza di fiducia e nel non saper valorizzare la sicurezza dei dati elettronici. Gli enti governativi preposti, hanno così pensato di sviluppare una versione del famoso sistema operativo, maggiormente orientata alla sicurezza (trusted version); un numero sempre crescente di aziende informatiche, come l'HP, IBM, e la SCO, offrono sistemi operativi UNIX modificati in questo senso.

Il problema fondamentale di questo sistema è la sua progettazione, attorno alla figura di un super-utente, con un proprio account specifico che gli riserva dei poteri di gestione molto al di sopra dei normali utenti. Ciò consente l'accesso a tutto il sistema. Per esempio:

  • Ogni amministratore di sistema, deve avere la possibilità di fare cambiamenti nella configurazione di sistema, deve vantare dei poteri specifici in questo senso.
  • Per muovere una semplice periferica, da un ufficio ad un altro, un amministratore ha bisogno dello status di superuser, il quale conferisce anche l'autorità di aggiungere nuovi utenti o di cancellarne.
  • Il personale che provvede a fine giornata, a completare il nastro di backup di sistema, deve avere accesso al root account.

Oltre ai rischi legati agli abusi che qualche persona autorizzata può compiere, l'esistenza di un account così particolare, crea un altro problema: quando qualcuno viene a conoscenza di quest'ultimo, il terminale non ha la possibilità di capire che chi sta lavorando è un pirata elettronico. Maggiore sarà il numero di persone che hanno accesso al root account, maggiore sarà la possibilità per una persona qualsiasi, di abusare del sistema, proprio perché non potrà venir identificato.

Le aziende che lavorano con questo software, hanno cercato di migliorare la situazione attraverso una segmentazione degli amministratori di sistema, dividendoli in fasce con differenti responsabilità.

Ogni posizione d'autorità, avrà la necessaria capacità d'azione per quel solo tipo di responsabilità; questo è il concetto di "least privilege" ed è considerato un sistema molto flessibile. Il profilo del manager può essere creato associando i poteri appropriati con la posizione che gli compete; se per esempio qualcuno deve muovere una periferica da un ufficio ad un altro, si possono concedere i poteri necessari per un limitato periodo di tempo solamente.

Il concetto del "least privilege", può essere applicato anche al controllo d'accesso ai dati e ai files. L'azienda, per esempio, può volere che solo le persone nel dipartimento finanziario, abbiano accesso alle informazioni sui salari, e solo i product managers abbiano accesso al piano e alle previsioni sul business aziendale. Con una versione Unix modificata, ogni file può essere classificato in accordo con chi ha il potere di vedere, copiare, stampare o alterare il contenuto dei files.

Un altro vantaggio, nella divisione in parti del root account e nella allocazione dei poteri in maniera appropriata, è legato al controllo nel caso di danni al sistema. Con una versione standard del sistema operativo, un pirata elettronico che riuscisse ad entrare attraverso il Firewall ed a prendere possesso dell'account dell'amministratore, avrebbe un potere amplissimo nelle sue mani. Il sistema Unix modificato, invece, mette al riparo da questo pericolo; non esiste nessun super-account come obiettivo; i poteri di gestione sono spezzettati in molte persone, e conseguentemente in molti account di potenza media che non offrono al criminale una vera supremazia.

Un sistema Unix di questo tipo, può consentire ad un'azienda di stabilire un'azione particolare svolta solo con l'assenso di due persone; per esempio, far entrare nel sistema un nuovo utente, potrebbe essere un compito che prevede un primo assenso per la creazione dell'account, mentre una seconda persona avrebbe il compito di attivarla. L'esistenza di questo tipo di azioni, potrebbe essere voluta dall'azienda per aumentare la sicurezza, attraverso una decisione presa da più persone simultaneamente.

Naturalmente, il sistema, è in possesso di un classico Audit Log che consente la ricostruzione degli eventi avvenuti: se avvengono tentativi di accesso illegale o problemi legati alla gestione degli utenti interni, ciò viene registrato ed è disponibile per le successive indagini.