Arrivano le valutazioni di sicurezza informatica

di
Vittorio Asnaghi
(Responsabile Laboratorio di Informatica IMQ)

Nate per esigenze di sicurezza nazionale, le metodologie ITSEC si sono estese negli anni '90 a prodotti di carattere commerciale. La situazione nei principali Paesi europei dove operano strutture pubbliche e private

Il DPCM 8 febbraio '99 introduce per la prima volta in un atto amministrativo pubblicato sulla G.U. un requisito di valutazione ITSEC. In realtà un atto precedente. la Direttiva PCM/ANS/TI001, emessa nell'agosto 1995 dall'Autorità Nazionale per la Sicurezza, citava la necessità che i sistemi destinati a custodire informazioni segreto di Stato fossero valutati e certificati secondo i criteri ITSEC.

È grande la probabilità che i due atti amministrativi citati abbiano trovato i lettori interessati alle tematiche relative alla firma elettronica e alla sicurezza informatica in generale, digiuni in termini di conoscenza di che cosa si nasconda sotto l'acronimo ITSEC e curiosi di conoscere il contenuto di requisiti come livello di valutazione E2 oppure robustezza dei meccanismi HIGH ed il perché di tali richieste.

Cominciamo a rispondere al primo interrogativo: ITSEC è l'acronimo di Information Technology Security Evaluation Criteria, Criteri per la Valutazione della Sicurezza nella Tecnologia dell'Informazione, e costituisce la base normativa Europea, pubblicata la prima volta nel 1992 da parte della Commissione delle Comunità Europee (DGXIII), con cui gli organismi di Terza Parte che eseguono prove e certificazioni indipendenti nel settore della sicurezza informatica operano.

Prove, Valutazioni di Terza Parte e Certificazioni

Spesso, soprattutto in contesti nei quali l'utilizzo di un bene può costituire un rischio per l'acquirente o per il destinatario del servizio a cui il bene è strumentale, ci cauteliamo, come acquirenti/utenti del prodotto o servizio, richiedendo l'evidenza di prove di conformità a norme di sicurezza.

Da parte loro i fornitori del prodotto o servizio accedono a servizi di prova indipendenti, a testimonianza della progettazione e produzione nel rispetto della regola d'arte, volendo dimostrare al mercato di aver compiuto tutti i possibili sforzi per assicurare l'assenza di errori sistematici di progettazione e di produzione.

Quella sopra descritta è prassi consolidata da decenni nel contesto della "sicurezza personale o antinfortunistica" o safety. Esigenze di corretta genesi dei "grandi sistemi complessi", e il sistema di cui la firma digitale è un elemento abilitante ne è un esempio, fanno sì che la prassi divenga comune anche nel contesto dell'altra accezione di sicurezza, cioè la tutela dei beni e delle informazioni o security.

Nei servizi di Terza Parte rivolti ai prodotti sono identificabili due momenti: servizi di prova o di valutazione e servizi di certificazione. Il primo momento è di tipo strettamente tecnico, costituendo l'attività di un laboratorio di prova, che sottopone a prova o valutazione il prodotto, producendo un esteso rapporto tecnico contenente i risultati. Tale rapporto di prova o di valutazione è, per sua natura, destinato ad un lettore preparato nel settore oggetto della prova. Da cui nasce l'esigenza del secondo momento, la certificazione, che è di tipo tecnico-legale. Il certificatore, sulla base delle evidenze tecniche presenti nel rapporto produce un certificato, documento sintetico destinato ad un pubblico di lettori e di committenti più vasto.

Per l'aspetto tecnico, nel settore della sicurezza informatica si parla di valutazioni. Valutare significa esprimere un giudizio sulla base di criteri che devono preesistere all'operazione di valutazione stessa. L'azione del valutare si applica qualora non sia possibile misurare, cioè associare un valore numerico ad una grandezza. Da notare che, a sua volta, una valutazione può essere composta anche da un insieme di misure di carattere oggettivo attraverso la cui totalità si può esprimere un verdetto imparziale, ove sia possibile individuare dei riferimenti numerici utilizzabili.

I criteri di valutazione sono quindi lo strumento, la metodologia pubblicata, attraverso la quale è possibile esprimere un giudizio su quanto sicuro sia un sistema o un prodotto informatico. Vista la natura diversissima dei prodotti e dispositivi (hardware e software) e dei sistemi informatici, i criteri devono essere utilizzabili in tutti i casi sia necessaria una misura di sicurezza informatica. Per la loro generalità, non possono quindi contenere requisiti funzionali, applicabili forse ad alcune tipologie di prodotti o sistemi e non ad altre.

Fondamenti dei criteri ITSEC

Per comprendere l'essenza dei criteri ITSEC, pensiamo ad una loro applicazione per un sistema informatico. La porzione di sinistra dello schema logico alla figura 1 può aiutare la comprensione.

fig1
Fig. 1 - Il flusso logico di sviluppo e valutazione

Si presuppone che il sistema sia realizzato per un modello di business noto, che determini dei requisiti operativi noti, sia collocato in un determinato ambiente fisico, siano identificabili delle politiche di sicurezza e degli obiettivi di sicurezza in termini di riservatezza, integrità e disponibilità. ed uno scenario di minacce a cui il sistema è sottoposto.

Gli obiettivi di sicurezza determinano l'esigenza di funzionalità di sicurezza a loro difesa, per contrastare le minacce.

Se formalizziamo la definizione delle funzionalità ritenute necessarie, otteniamo una serie di requisiti, come presenti in una ipotetica norma, applicabile per quel sistema (quell'ambiente di esercizio, quello scenario delle minacce, quell'insieme di funzionalità). Tale ipotetica norma prende il nome di Target di Sicurezza.

Ebbene, semplificando al massimo, i criteri ITSEC sono definibili come i criteri pubblici per valutare la conformità di un sistema o un prodotto qualsiasi al proprio Target di Sicurezza. Ciò che è stato detto per un sistema vale anche nel caso di un prodotto informatico, fatto salvo il fatto che per un prodotto non si potrà parlare di ambiente di utilizzo reale, ma di ambiente di utilizzo presunto, così come lo ha ipotizzato il suo progettista.

Come avviene la valutazione

Realizzare sicurezza costa, così come sottoporre i prodotti/sistemi a valutazione. E il costo di realizzazione della sicurezza non dovrebbe essere superiore al valore delle informazioni da proteggere. Aggiungiamo al Target di Sicurezza introdotto precedentemente, che contiene per ora indicazioni di come il prodotto/sistema realizza la sicurezza, indicazioni sintetiche che esprimano quanto vogliamo essere garantiti del risultato.

Questa informazione sintetica in ITSEC prende il nome di livello di garanzia, e si esprime con 7 livelli, per garanzie crescenti da EO (nessuna garanzia) a E6 (massima garanzia).

Inoltre, le singole funzionalità di sicurezza sono realizzate con algoritmi software o con logica hardware, chiamati in termini generali meccanismi da ITSEC.

Aggiungiamo ancora al Target di Sicurezza una indicazione sintetica che descriva quanto robusti debbano essere i meccanismi, in funzione della forza con cui possono essere perpetrati gli attacchi, cioè in funzione della competenza dell'attaccante, del tempo che costui può avere a disposizione per condurre l'attacco, del livello di complicità con gli utenti autorizzati del prodotto/sistema, del tipo di strumentazione necessarie a condurre l'attacco.

Tutte le condizioni descritte, che costituiscono le risorse dell'attaccante, sono realizzabili o no nella pratica in funzione dell'ambiente in cui è collocato il prodotto/sistema e della sua modalità d'uso. L'indicazione sintetica nel Target di Sicurezza esprime la robustezza dei meccanismi, che può assumere tre valori: basic, medium o high.

Così completato, il Target di Sicurezza descrive ora compiutamente i requisiti per il nostro prodotto/sistema. Vediamo ora come avviene la sua valutazione.

I criteri ITSEC si fondano sulla sistematica suddivisione dell'argomento sicurezza nei tre aspetti: funzionalità (ciò che il prodotto/sistema deve fare per la sicurezza), efficacia (in che misura le funzionalità di sicurezza annullano le minacce) e correttezza (come il sistema è stato implementato, quanto fedelmente rispetto all'idea del progettista).

Da quanto esposto finora appare che la funzionalità è di definizione libera e diversa da caso a caso, dipendendo pesantemente dalla tipologia di prodotto/sistema che la realizza, dagli obiettivi alla base delle sua realizzazione, dallo scenario di minacce che si propone di contrastare.

Il Target di Sicurezza contiene la formalizzazione di tutto questo. L'insieme dei due aspetti di efficacia e correttezza costituisce quella che in ITSEC è la garanzia. La figura 2 fornisce la rappresentazione delle tre componenti su di un piano cartesiano.

fig2
Fig. 2 - Tre aspetti della sicurezza secondo ITSEC

Si noti che la garanzia ha una componente (l'efficacia), che è esprimibile solo relativamente all'ambiente in cui il prodotto/sistema si trova ad operare ed in particolare relativamente allo scenario delle minacce possibili in tale ambiente.

L'altra componente (la correttezza) è invece intrinseca del processo attraverso il quale il prodotto sistema viene disegnato, realizzato e gestito.

Le analisi di correttezza

Dato il significato attribuito all'aspetto correttezza, ITSEC parte dal presupposto che un processo ben strutturato e ben realizzato stia alla base di un progetto e di un esercizio di qualità.

Per verificare ciò, l'analisi di correttezza, richiesta al valutatore, prende in esame i vari prodotti di ciascuna fase del processo e ne verifica la consistenza e la tracciabilità con i requisiti. Vengono presi in esame documenti relativi allo sviluppo e all'esercizio in numero e con dettaglio crescente con il livello di garanzia richiesto per la valutazione.

In particolare, per tutti i livelli, sono oggetto dell'analisi di correttezza i seguenti argomenti: il processo di sviluppo, l'ambiente di sviluppo, la documentazione di esercizio, l'ambiente di esercizio. Ciascuno di essi si suddivide in vari aspetti, per ciascuno dei quali in ITSEC sono contenuti i criteri di correttezza e le azioni che il valutatore dovrà compiere.

Le analisi di efficacia

Per la parte efficacia ITSEC considera sei analisi di efficacia, che devono essere prodotte dallo sponsor, cioè colui che richiede la valutazione, e, in maniera indipendente, dal valutatore utilizzando la documentazione consegnata per l'aspetto della correttezza. In aggiunta a ciò il valutatore è chiamato ad effettuare una serie di test di intrusione, per verificare la sfruttabilità delle eventuali vulnerabilità riscontrate.

ITSEC considera efficaci le funzionalità presenti in un prodotto/sistema se:

  • Le contromisure implementate contrastano le minacce messe in opera attraverso attacchi diretti (analisi di adeguatezza);

  • Le contromisure implementate contrastano le minacce realizzate attraverso attacchi indiretti (analisi di integrazione);

  • Il prodotto/sistema è esente da vulnerabilità intrinseche sfruttabili (analisi di vulnerabilità in costruzione);

  • Il prodotto/sistema è esente da vulnerabilità di esercizio sfruttabili (analisi di vulnerabilità in esercizio);

  • Il prodotto/sistema non è passibile di utilizzo insicuro, pensando invece che sia sicuro (analisi di facilità d'uso);

  • I singoli meccanismi resistono ad attacchi diretti portati a termine con risorse determinate (analisi di robustezza dei meccanismi), in accordo con quanto specificato nel Target di Sicurezza, alla voce robustezza dei meccanismi,

    La situazione Europea ed Italiana per le valutazioni e certificazioni ITSEC

    Alla fine degli anni '80 erano presenti in Europa, Schemi Nazionali per le valutazioni e certificazioni di sicurezza informatica, descriventi. gli organismi, i loro requisiti, i loro ruoli e i flussi informativi tra di essi. La motivazione della nascita di tali Schemi è stata ovunque la Sicurezza Nazionale. Dall'inizio degli anni '90 gli Schemi hanno adottato i criteri e le metodologie descritte in ITSEC e sono iniziate le valutazioni di prodotti a carattere commerciale, cioè non legate alla tutela della Sicurezza Nazionale. Per alcuni dei Paesi europei la situazione è come qui sotto descritta.

    Regno Unito - Esiste uno schema, che vede come Organismo di Certificazione un Organismo di Stato (UKITSEC CB) e come valutatori alcune strutture private, da esso controllate. Lo schema opera sia per prodotti commerciali, sia per prodotti e sistemi legati alla Sicurezza Nazionale.

    Germania - Situazione simile a quella descritta per il Regno Unito, con l'aggiunta di due Organismi di Certificazione privati, che svolgono anche attività di valutazione.

    Francia - L'organismo di certificazione è di Stato (SCSSI), che di fatto governa due Schemi separati. Per la Sicurezza Nazionale esiste un unico valutatore (CELAR), mentre per il settore commerciale esiste qualche struttura privata (CESTI).

    In Italia, lo Schema è nato nel 1995 per gli aspetti legati alla Sicurezza Nazionale, con la. pubblicazione di alcune direttive da parte dell'Autorità Nazionale per la Sicurezza. che ne è l'Organismo di Certificazione. Attualmente sono omologate due strutture di valutazione, entrambe private.


    Glossario elementare di Sicurezza Informatica

  • Attacco diretto: è un attacco portato sfruttando un'azione prevista dall'input di una funzione di sicurezza (es: cercare di indovinare una password, se la funzione di riferimento è di autenticazione).

  • Attacco indiretto: è un attacco portato cercando di aggirare una funzione di sicurezza (es: spiare la digitazione di una password, se la funzione di riferimento è di autenticazione).

  • Beni da proteggere: tutto ciò che costituisce informazione o strumento critico ai fini della sicurezza (es: dati sensibili, programmi critici, dispositivi hardware critici).

  • Correttezza: La misura in cui i requisiti di sicurezza si riflettono nell'implementazione o nella definizione delle condizioni di esercizio di un 0DV. Sinonimo di Qualità.

  • Disponibilità: La prevenzione dell'occultamento di informazioni a coloro che sono autorizzati ad averle oppure la prevenzione dell'impossibilità di utilizzare risorse informatiche nel momento in cui servano.

  • Efficacia: La misura in cui le funzioni di sicurezza sono in grado di contrastare le minacce nel contesto di esercizio previsto per un ODV.

  • Funzionalità: L'insieme degli elementi che svolgono compiti attinenti alla sicurezza in un prodotto o in un sistema.

  • Funzione di Sicurezza: elemento che svolge un compito attinente alla sicurezza, di solito appartenente ad una delle seguenti classi: identificazione e autenticazione, controllo degli accessi, attribuzione di responsabilità, controllo dell'esecuzione, riuso degli oggetti, accuratezza, affidabilità del servizio, scambio dati, a sua volta suddivisa in sottoclassi, che includono il non ripudio.

  • Garanzia: la fiducia riponibile sulla correttezza e l'efficacia delle funzioni di sicurezza.

  • Integrità: La prevenzione dell'alterazione non autorizzata di dati o informazioni.

  • Meccanismo di Sicurezza: Algoritmo o logica hardware usato per realizzare funzioni di sicurezza.

  • Minaccia: Ogni azione o evento pregiudizievole per la sicurezza.

  • Obiettivo di Sicurezza: il contributo alla sicurezza che un 0DV si propone di fornire.

  • ODV- Oggetto della Valutazione: un prodotto o un sistema informatico sottoposto a valutazione ITSEC.

  • Politiche di Sicurezza: L'insieme di leggi, regole, procedure che disciplina come i beni, incluse le informazioni critiche, sono gestiti, protetti e distribuiti all'interno di un'Organizzazione.

  • Riservatezza: La prevenzione dell'accesso non autorizzato all'informazione.

  • Robustezza dei meccanismi: uno degli aspetti dell'efficacia, che rappresenta l'abilità di un algoritmo o logica hardware, che implementa il meccanismo, di resistere ad attacchi diretti condotti da un attaccante in possesso di risorse definite.

  • Valutazione: L'acquisizione di elementi oggettivi che consentono di esprimere un giudizio imparziale su di un fatto, in base a criteri precostituiti, detti criteri di valutazione.

  • Vulnerabilità: una debolezza, intrinseca o dovuta alle condizioni di esercizio, di un 0DV. Può essere sfruttabile o non sfruttabile da una o più minacce. Può essere causata da errori in fase di analisi, progetto, implementazione, definizione delle condizioni di esercizio di un 0DV.

    (Ndr: ripreso dal mensile "Media Duemila" di Luglio-Agosto 1999)