VIRUS: Come non farsi sorprendere

di
Dario Forte

1. QUALI SONO I PERICOLI DA CUI PROTEGGERSI
Quali sono le minacce maggiormente pericolose dal punto di vista dei "virus"
Attualmente i pericoli sono: virus (per diffondersi devono avere un file che li contenga, veicolo dell'infezione); worm (totalmente autoreplicanti); trojan (agiscono da cavalli di Troia). È possibile essere colpiti anche da "mixed code" (un "cocktail" molto pericoloso).

Quali sono gli obiettivi più a rischio
A livello sistemi: applicazioni diffuse, non aggiornate e non messe in sicurezza (ad esempio database, posta elettronica, produttività). A livello rete: software operativo di base, vulnerabile e non correttamente amministrato.

Quali sono i rimedi possibili
Il "semplice" antidoto non è più sufficiente. Le contromisure vanno distribuite dal perimetro della rete al singolo pc. Inoltre bisogna pianificare una strategia di risposta rapida ai possibili incidenti.

2. I CONTROLLI NECESSARI PER TUTELARE L'AZIENDA
Stabilire le priorità di intervento
Effettuando un'analisi del rischio e classificando l'importanza delle informazioni contenute nei sistemi. Alla base c'è l'Icp (Information classification program) che classifica le informazioni in base alla loro importanza, stabilendo le priorità di intervento.

Come si individuano i punti a rischio?
In gergo vengono chiamati Pof (Point of failure). Sono individuabili analizzando l'architettura e i suoi collegamenti con l'esterno. L'esame si rivela utile solo a seguito di un controllo concretamente particolareggiato.

Che requisiti architetturali bisogna avere per garantire una risposta efficace?
Sicurezza: firewall, content security/antivirus sia a livello perimetrale sia sui punti a rischio, sia sui personal computer. Politiche di sicurezza e di risposta all'incidente, analisi della propria rete per evitare i colli di bottiglia (ad esempio scarsa banda disponibile per la spedizione di patch e aggiornamenti antivirus).

Obiettivi organizzati da raggiungere.
Sicurezza basata sul tempo: un sistema è robusto quando garantisce protezione per un periodo superiore alla somma tra tempo necessario alla scoperta dell'attacco e tempo di attuazione delle contromisure.

3. COSA FARE IN CASO DI INCIDENTE
Operazioni di emergenza
In caso di worm diffuso su scala mondiale, e in mancanza di un proprio piano di risposta, seguire le istruzioni del Cert (www.cert.org). Documentare esattamente i nodi colpiti e, se necessario, sconnetterli dal resto della rete fino al loro aggiornamento e "disinfezione".

Contatti con i propri partner di business
Valutare l'opportunità di avvisare i propri partner di business dell'avvenuto incidente. Questo facilita l'adozione di contromisure rapide.

Aspetti comportamentali
Mantenere la calma e prendere nota di tutte le operazioni. È consigliabile procurarsi preventivamente i numeri di telefono da chiamare in caso di incidente informatico (consulenti, autorità di polizia eccetera).

Figure coinvolte nella gestione dell'incidente
Amministratore delegato, security manager, security administrator, legale di fiducia, consulenti esterni e, in casi specifici, interlocutore di polizia. Sistemisti e, in casi particolari, utenti finali. In mancanza di ciò prevedere il ricorso a un outsourcer.

4. TECNOLOGIE E METODOLOGIE UTILI
Antivirus
Può essere installato sul perimetro della rete fino al singolo computer e al pda, scalando le funzioni di controllo. Deve essere gestito centralmente e continuamente aggiornato, sia come motore sia come funzione di verifica.

Firewall
In casi come il recente Slammer, è necessario, sia a livello rete sia a livello personal computer, per bloccare eventuali porte utilizzate dai malicious code per diffondersi.

Intrusion detection systems
Coordinato con firewall e antivirus, gestisce la risposta intema ad attacchi e propagazioni di malicious code, individuando quello che sta accadendo e rispondendo con rapidi allarmi e contromisure predeterminate. Deve essere continuamente monitorato.

Content security
Sono simili agli antivirus "puri" ma estendono la loro attività a identificare categorie più estese di malware, come Malicious ActiveX e Java e JavaScript, Spyware eccetera. Spesso gli Av sono inclusi in questa categoria.

Security appliances
Si tratta di box dedicoh alle funzioni di sicurezza. Possono contenere una o più soluzioni e hanno il vantaggio di essere ottimizzate per lo specifico impiego.

COME TENERSI AGGIORNATI
Dieci siti Internet da tenere sempre in evidenza
• www.antivirus.com: sito della Trend micro devices contenente link a informazioni, enciclopedie, monitoraggio infezioni. Sono presenti online tool per la scansione dei pc da remoto.
• www.symantec.com: il produttore di antivirus mette online informazioni sul malicious code in generale e sui servizi associati alla sicurezza.
• www.sophos.com: l'antivirus vendor pubblica online anche classifiche di diffusione e notizie sugli ultimi avvenimenti del settore.
• www.cert.org: sito del Computer emergency response team della Carnegie Mellon University. Contiene riferimenti a politiche, architetture e gestione degli incidenti.
• www.microsoft.com/security: contiene link ad aggiornamenti di sicurezza relativi alla totalità dei prodotti della società di Redmond.
• www.iss.net: sito di Internet security systems, produttore di Intrusion detection systems e altri strumenti di prevenzione. Al suo interno è possibile consultare il database della X force (il gruppo di ricerca di Iss).
• www.rsasecurity.com: nelle pagine Web della Rsa data security è possibile reperire letteratura sulla crittografia, autenticazione "forte", firma digitale e quant'altro necessario alla gestione di riservatezza e autenticità delle transazioni.
• www.mcafee.com/anti-virus: è un vendor che si occupa di gestione del malicious code a vari livelli, da quello aziendale al personal computing.
• www.pandasoftware.com: nel sito del produttore europeo di antivirus riferimenti a prodotti e tecnologie di vari segmenti.
• www.webdeveloper.com/activex/activex_security.html: un buon punto di partenza per comprendere i principi della sicurezza del noto ambiente ActiveX di Microsoft.

SE ACCADE CON IL PC DI CASA
I pericoli
Da sempre, sia pure in forma scalata, i pericoli sul pc di casa sono gli stessi di quelli presenti in rete. Quindi: malicious code, violazioni della privacy. In più il pericolo attuale consiste nell'essere usati come "stepping stone", cioè come testa di ponte per attaccare altri obiettivi.

Gli obiettivi più a rischio
I computer collegati in "broadband" (banda larga) sono tra i più esposti ai potenziali attacchi. Essendo collegati continuamente in Internet, infatti, sono maggiormente "visibili" agli attacker.

Le contromisure tecnologiche
Utilizzare un antivirus e un personal firewall aggiornati e ben configurati, al fine di garantire una protezione adeguata al proprio personal computer.

Le contromisure comportamentali
1) Tenere sempre aggiornati propri sistemi, compresi quelli di sicurezza.
2) Non aprire allegati di posta né file scaricati da Internet senza prima averli verificati con uno o più andivirus.
3) Non comunicare agli sconosciuti, anche a seguito di e-mail più o meno credibili ricevute, dati come password, user Id e configurazioni varie.
4) Scaricare il software di sicurezza sempre dai siti ufficiali.
5) Se si è collegati a linee broadband non rimanere connessi nei momenti di inutilizzo del proprio pc.

(Ndr: ripreso da Il Sole 24-Ore di venerdì 14 febbraio 2003)