SICUREZZA INFORMATICA: SITUAZIONE E TENDENZE IN ITALIA
Transcript
SICUREZZA INFORMATICA: SITUAZIONE E TENDENZE IN ITALIA
SICUREZZA INFORMATICA: SITUAZIONE E TENDENZE IN ITALIA Cresce l’attenzione delle aziende italiane al tema della sicurezza informatica. Non più solo una questione di hacker, ma l’attivazione di una serie coerente di misure atte a proteggere tutti gli aspetti di operatività del sistema informativo a cura della redazione di Computerworld Italia Destinazione >> .... Virus, spam, la nuova minaccia costituita dal phishing (i siti che cercano in modo truffaldino di carpire numeri di carte di credito e altre informazioni per accedere direttamente ai soldi degli utenti), le problematiche di backup e recupero dei dati, e inoltre le evoluzioni sulle norme che regolamentano la privacy e la redazione del documento programmatico della sicurezza aziendale: di questi tempi l'agenda di CIO e CTO è letteralmente invasa di impegni nell'ambito della sicurezza informatica, materia che ormai lambisce anche le competenze dei responsabili finanziari e degli uffici legali (per quanto riguarda, ad esempio, la possibilità di indagini processuali sui contenuti dei pc aziendali, lo scaricamento da Internet di materiale lecito e non, la redazione delle informative sulla privacy e la redazione del DPS). Il lavoro da fare è sicuramente molto, al punto da richiedere competenze professionali appositamente qualificate. Niente di strano dunque se anche in Italia si diffondesse la figura, peraltro già presente nelle aziende più attive su questo fronte, del responsabile della sicurezza informatica (nelle aziende maggiori CSO, chief security officer). Nei paesi anglosassoni il security manager è già una realtà dell'organigramma aziendale, mentre in Italia si sta diffondendo in questi anni soprattutto nel settore finanziario, più interessato di altri a tutelare qualunque aspetto della sicurezza dei sistemi informativi. La sicurezza di cui parliamo non è solo quella relativa ai virus o ai numeri di carta di credito. Se è vero che gli straripamenti dei fiumi e le tempeste atmosferiche non fanno più paura ormai da tempo, eventi prettamente 'umani' come un blackout generale o un possibile attentato esplosivo non possono far dormire sonni tranquilli ai responsabili aziendali. In Italia il blackout dell'agosto 2003 ha compromesso la funzionalità di più di un istituto di credito non solo per alcune ore, ma per giorni interi. Il dossier si focalizza su quelli che, in questo periodo, sono i due principali filoni di lavoro della sicurezza informatica: la sicurezza dei sistemi informativi contro gli accessi non autorizzati e contro il furto dei dati, e la sicurezza fisica dei dati stessi, sintetizzata in massima parte negli investimenti nei sistemi di continuità operativa e nel recupero dei dati. Su entrambe le attività vengono forniti i risultati di numerose ricerche e l'opinione di esperti del settore. Pagina 2 di 3 Cresce la 'cultura', non ancora la qualità Indagine tra i partecipanti al corso di Information Security Management organizzato dal Cefriel e dal MIP del Politecnico di Milano di Ruggero Vota Aziende italiane ancora concentrate sui prodotti e poco sulle strategie di sicurezza informatica. Un’indicazione sullo stato del mercato italiano della sicurezza visto dal punto delle aziende utenti più attente a questa tematica viene da una recente ricerca realizzata da Cefriel e MIP, due iniziative del Politecnico di Milano attivo nella ricerca e nella formazione sulle nuove tecnologie. I due enti sono insieme i promotori di un corso in ‘Information Security Management’ rivolto essenzialmente ad aziende utenti che quest’anno è arrivato alla sua terza edizione. Il campione dell’indagine realizzata da Cefriel e MIP è rappresentato dagli ‘studenti’ che invece hanno frequentato le due precedenti edizioni del corso, ovvero un’ottantina di persone tra security manager, consulenti e operatori del settore: in ogni caso tutti rappresentanti di aziende che utilizzano soluzioni di sicurezza e non di vendor di soluzioni. Si tratta quindi di un campione un po’ parziale che non rappresenta l’universo delle imprese italiane, ma raccoglie rappresentanti di realtà economiche che si dimostrano sensibili alla sicurezza IT, visto che hanno fatto un certo investimento in un’attività di formazione specialistica. Il budget della sicurezza La ricerca parte dall’argomento ‘soldi’, un punto indispensabile anche per fare sicurezza IT. Il 26,9% del campione ha affermato che la sua azienda stanzia come budget dedicato alla sicurezza meno dell’1% del fatturato, mentre il 46,1% assegna a questa voce una quota variabile tra 1% e 5% dei ricavi. Tra il 5% e il 10% il restante 26,9% del campione. Per la maggioranza relativa del campione, le previsioni per il 2005 parlano di un budget per la sicurezza IT sostanzialmente stabile (42,3%). Per il 38,4% del campione, invece, il budget è destinato a crescere di circa il 10% rispetto a quello dell’anno precedente, per il 15,3% di circa il 20% e per il 3,8% di circa il 30%. Nessuno ha dichiarato invece una diminuzione del budget per la sicurezza IT. Significativo che più della metà degli intervistati parlino di investimenti in aumento. Più prodotti che servizi La quota dei budget dedicata all’investimento in prodotti, secondo le risposte del campione, è del 66,1%, mentre ai servizi va il restante 33,8%. In questa ripartizione, in cui la spesa per prodotti è praticamente il doppio di quella per servizi, sta il giudizio negativo sulla ‘maturità’ del mercato, ancora troppo concentrato sulle soluzioni a breve e di basso livello, e poco orientato invece a guardare alla sicurezza IT con una visione strategica globale di lungo respiro. Questo giudizio, secondo i ricercatori del Cefriel e del Mip è confermato dal dettaglio relativo alla suddivisione della spesa per prodotti e servizi. Nel primo dettaglio, quello relativo agli investimenti sui prodotti, emergono in prima fila i firewall, che si ‘mangiano’ il 22,5% della torta, i sistemi antivirus (19,2%), le soluzioni per il backup (18,2%), le reti private virtuali (12,8%) e gli intrusion detection systems (10,2%). Per quanto riguarda invece l’investimento in servizi, la prima voce di spesa risulta essere la progettazione e l’implementazione della sicurezza (26,3%), seguita da: formazione (25,7%), attività di audit della sicurezza e di assessment delle vulnerabilità (17,1%) e analisi dei rischi (16%). Pagina 3 di 3 Non ci si può comunque meravigliare di queste risposte quando si vanno a vedere quali sono, secondo gli intervistati, le minacce più temute dalle aziende. Queste preoccupazioni vedono al primo posto gli attacchi virus e worm (31,5%), seguite dallo spamming (21%), dal denial of service (18,4%), dalla perdita dei dati (17,1%) e dal furto dei dati (11,8%). Una risposta interessante è poi quella data dal campione in relazione a come viene coniugata la sicurezza IT in relazione alla difesa dell’azienda. Più della metà del campione (54,7%) indica nella prevenzione l’approccio della sua realtà alla tematica della sicurezza, mentre il 45,2% all’opposto indica un approccio più orientato alla ‘reazione’ puntando la maggior parte degli sforzi sulle attività di recovery. Rapporti con l’IT e competenze del security manager Dal campione emerge infine come la sicurezza IT sia oggi ‘monopolizzata’ dalla funzione IT aziendale: l’82,1% degli intervistati ha dichiarato infatti come la funzione sicurezza rientri nei compiti dell’IT. Solo il 14,2% ha invece dichiarato l’esistenza di una funzione sicurezza ‘autonoma’, mentre un altro 3,5% ha invece ammesso che tale compito è invece ripartito tra più funzioni. Il forte legame con l’IT non significa che la sicurezza informatica sia vista esclusivamente in una dimensione tecnica, anzi gli intervistati sono consapevoli che un security manager deve avere competenze variegate comprese, oltre a quelle di tipo tecnico, anche quelle manageriali e legali. La ricerca ha voluto chiedere quali delle tre ‘competenze’ debba risultare prevalente in un security manager. Ebbene vince, ma di poco, la competenza tecnica 40,7%, seguita a ruota da quella manageriale (38,9%), mentre quella legale si ferma al 20,3%. Tutto sommato, quindi, da questa ricerca si può trarre la conclusione Diario di un security manager C’è un modo nelle cose di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork) Saggi i nostri antenati romani... "Est modus in rebus": non basta fare le cose, bisogna anche farle nel modo e nella misura giusta per non rischiare di passare improvvisamente dalla ragione al torto. Purtroppo, spesso, le indagini informatiche delle forze dell’ordine, nostrane e non, e della magistratura, non si sono rivelate all’altezza di questo adagio. Certo c’è da dire che stiamo assistendo a una evoluzione, lenta ma positiva: sono passati anni, o forse secoli, dal primo ‘crackdown’ in cui per impedire un presunto reato e raccogliere prove i poliziotti sequestrarono tonnellate di materiale, spesso anche solo vagamente elettronico, comprese collezioni intere di CD musicali originali. Oggi si ha una percezione migliore di ciò che può e ciò che non può essere coinvolto in un incidente informatico (ma risulta che anche due anni fa, nella famigerata e fallimentare operazione ‘rootkit’, siano stati sequestrati oggetti non molto attinenti alle indagini in questione). Tuttavia, sono capitate e capitano in tribunale storie dell’orrore, riferite da periti di parte, di analisi forensi eseguite sulla macchina sequestrata accesa, senza precauzioni per preservare l’integrità delle prove: dei veri e propri passi da gigante... all’indietro. Tuttavia, tristemente dobbiamo constatare che nell’anno 2004 ancora non si conoscono, o non si usano, metodologie di acquisizione standard e non intrusive delle prove di possibili crimini digitali. Già, perché non dovremmo mai scordare che di possibili crimini si tratta, e che quindi perquisizioni e sequestri dovrebbero essere ridotti al minimo, come vuole il diritto a tutela dell’indagato. Troppo spesso tali strumenti si sono trasformati in metodologie punitive pregiudiziali. Dal momento che tutto ciò che può interessare un’indagine telematica è contenuto nelle memorie di massa degli elaboratori coinvolti, una semplice acquisizione bit-a-bit di tali memorie, validata opportunamente mediante hashing e firma digitale, o al limite l’acquisizione fisica dei dischi rigidi, sono sicuramente più che sufficienti per le esigenze d’indagine. Ogni cosa che ecceda questo è di troppo. Parlo, sì, dei sequestri dell’italian crackdown, ma parlo anche di eventi tristemente più recenti, come il sequestro da parte dell’FBI americano degli hard disk del server di Indymedia, un portale di controinformazione molto noto e frequentato. 300 GB di dati, articoli e filmati non sono poca cosa da ripristinare, e quindi il sequestro causa evidenti danni alla parte sottoposta al provvedimento (infatti, mentre scrivo, il sito di Indymedia è ancora disattivato). Si tratta, in gran parte, di materiale raggiungibile via web, e di cui nessuna autorità ha ordinato la rimozione, ma soltanto l’acquisizione, che avrebbe potuto essere realizzata in modi meno traumatici. Caso strano, il sequestro è stato eseguito senza che la motivazione o il mandato venissero comunicati ai legittimi proprietari dell’oggetto, ma soltanto al provider di housing che ospita le macchine di Indymedia. Il che purtroppo non ci consente di verificare quali siano le ragioni che hanno spinto al sequestro. L’unica cosa che è nota è che sono state le magistrature svizzera e italiana a chiedere l’intervento dell’FBI. Si ipotizza che si cercassero prove relative alla pubblicazione in rete di fotografie di agenti sotto copertura nelle manifestazioni di piazza, o forse relative a diffamazioni di vario genere nei forum non moderati. Tuttavia rimane difficile capire con che logica simili ipotesi di reato possano portare a decisioni così drammatiche, anche e soprattutto considerando che, secondo le dichiarazioni dei responsabili di Indymedia, nessuno di quei server conserva i log. Riassumendo, si tratta di un atto frettoloso, metodologicamente errato, e non notificato a chi di dovere... non c’è che dire, un bel record! Infatti, contrariamente al solito, nessuno vuole prendersi il ‘merito’ di tale azione. Come avrete capito, stiamo parlando di un grosso pasticcio internazionale di cui ancora non si vede la fine. Già, perché questi preziosi dischi, sequestrati a tempo di record negli USA, dovranno finire prima o poi in mano a un perito nostrano per l’analisi e l’estrazione delle prove (chissà quali) in essi contenute. Se il perito poi li analizza infilandoli in un pc e accendendolo, e distruggendone il valore probatorio sai che figura ci facciamo? Pagina 4 di 3 che le aziende attente alla tematica stiano, almeno dal punto di vista ‘culturale’, imboccando la strada giusta, anche se le loro politiche di investimento rispondono ancora a una logica che premia la ricerca di soluzioni temporanee a problemi contingenti e non una strategia di lungo periodo. Sicurezza, è ora di fare attenzione al phishing Aumentano al ritmo del 50% mensile i casi di pagine Web false studiate per carpire i numeri di carta di credito e le password degli utenti Dopo i virus e lo spam, la nuova moda degli attacchi informatici è rappresentata dal cosiddetto phishing, termine per cui non esiste ancora un'adeguata traduzione in italiano. Si potrebbe pensare a qualcosa come 'contraffazione', dato che si tratta di truffe perpetrate mettendo online pagine marcatamente simili a quelle di note banche e operatori dell'ecommerce, ma che in realtà non hanno nulla a che fare con esse. I navigatori attirati con qualche trucco su tali pagine, se non si accorgono dell'inganno, sono indotti a rivelare dati estremamente riservati come i numeri di carta di credito e le password, immediatamente utilizzabili dagli autori del raggiro. Secondo l'Anti-Phishing Working Group, associazione di matrice americana con ...E quasi tutto lo spam viene dagli Stati oltre 400 membri, tra cui 8 delle principali Uniti 10 banche statunitensi e 4 dei primi 5 ISP, nella prima metà dell'anno i casi di L'86% dello spam circolante su Internet proviene dagli phishing sono aumentati al ritmo del 50% Stati Uniti. L'invidiabile primato è stato assegnato agli USA da Ciphertrust, società specializzata nelle tecnologie medio al mese, toccando i 1.422 episodi in antispam, elaborando i dati provenienti da mille aziende giugno. Erano 116 a dicembre 2003. In giugno gli attacchi di phishing si sono concentrati, secondo la ricerca, su Citibank, il principale gruppo bancario mondiale, ed Ebay: la prima ha registrato 470 casi, la seconda 285. La banca britannica Lloyds TSB, per fare un esempio non statunitense, ha subito 24 attacchi. sue clienti e 5 milioni di messaggi spam nel trimestre maggio-luglio. L'86% dello spam rilevato proveniva da indirizzi IP registrati negli USA, un volume di fuoco impressionante considerando che tali indirizzi rappresentano solo il 28% del totale degli spammer. Per contro, il 29% degli spammer ha un indirizzo IP registrato in Corea del Sud, ma produce solo il 3% del totale dei messaggi. "Sono estremamente sopreso da questi numeri - spiega il ricercatore di Ciphertrust Dmitri Alperovitch -. E' chiaro che anche gli spammer 'casalinghi' hanno moltissima banda a disposizione e possono inviare grandi quantità di spam". Questo nonostante la legislazione statunitense stia mettendo gli spammer nel mirino. La cosiddetta legge Can-spam, acronimo di 'Controlling the assault of nonsolicited pornography and marketing', in vigore dalla fine del 2003, prevede sanzioni da fino a 6 milioni di dollari e cinque anni in galera. Websense, software house specializzata negli strumenti di filtraggio dei contenuti e della navigazione su Web (l'antidoto più appropriato agli attacchi di phishing) ha rilasciato delle proprie elaborazioni sui dati dell'Anti-Phishing Working Group: il 27% dei siti di phishing è ospitato su server americani, e la vita media di queste pagine è di 2,25 giorni. Quasi tutte le pagine (94%) permettono all'autore di scaricare comodamente da remoto i dati ottenuti dagli utenti. Pagina 5 di 3 L'impegno di Microsoft per la sicurezza: il punto in Italia Da due anni Redmond ha dichiarato guerra alle vulnerabilità del software. Polizia telematica e Sirmi: ancora molto lavoro per formare gli utenti di Alessandro La Spada Non si può certo dire che il Trustworthy Computing, l'iniziativa con cui Bill Gates un paio di anni fa focalizzò l'attenzione dell'intera Microsoft sul rafforzamento della sicurezza dei prodotti, sia stata una semplice formalità. A distanza di tempo Redmond continua a investire ingenti risorse tecniche e di marketing su questo fronte. I risultati sono alterni (il Service Pack 2 di Windows XP ha rappresentato un passo Un italiano a capo dell'agenzia UE per la avanti, ma la scoperta della possibilità di sicurezza delle reti infettare il sistema visualizzando delle Nata durante il semestre italiano di presidenza dell'Unione semplici immagini è allarmante), ma Europea, l'Agenzia europea per la sicurezza delle reti e l'impegno c'è ed è visibile. In Italia, ad dell'informazione (ENISA) sarà presieduta proprio da un esempio, la società nell'ultimo anno italiano, unica tra le 16 agenzie europee attualmente in fiscale ha speso un milione di euro in funzione. Al timone siederà infatti Andrea Pirotti, 56 anni, attuale consigliere del ministero delle Comunicazioni per comunicazione per migliorare negli la sicurezza informatica. La nomina è stata annunciata di utenti la conoscenza delle recente. Compiti statutari dell'ENISA sono assicurare la problematiche di sicurezza, e per il sicurezza delle reti e svolgere attività formativa affinché prossimo anno ha deciso di raddoppiare il all'interno dell'Unione cresca e si sviluppi la consapevolezza per queste problematiche. A tal fine budget. È stato annunciato un accordo con il l'ENISA svolge anche consulenza a beneficio degli Stati ministero delle Comunicazioni in base al membri e delle istituzioni dell'Unione quale saranno attivati strumenti per aiutare i genitori a limitare l'accesso dei minori alle informazioni poco affidabili su Internet, e verrà inoltre creato un centro italiano di competenza in grado di analizzare rischi e situazioni di crisi. Microsoft, si legge in una nota, metterà a disposizione del ministero personale qualificato e best practice di riferimento. L'accordo con il ministero conclude quello che per Microsoft è stato un periodo di particolare attenzione al tema della sicurezza', cioè settembre, periodo in cui la società ha lavorato anche in Italia su molte direttrici: dalla focalizzazione sui temi della security dei suoi due siti principali, il sito aziendale e il portale MSN, ad eventi di formazione per ben 100.000 PMI e per i partner. E' stato anche rilasciato il Service Pack 2 di Windows XP, l'atteso aggiornamento del sistema operativo focalizzato sul tema della sicurezza. Del resto l'utenza dei prodotti Microsoft, più ampia e variegata di qualunque piattaforma concorrente, abbisogna ancora di sensibilizzazione un po' a tutti i livelli. Secondo una ricerca condotta su tremila utenti del portale MSN, il 64% ritiene di avere un PC sufficientemente protetto, ma il 56% rivela di usare ancora Windows 95, 98 o Millennium Edition. "In base ai nostri cicli di progettazione e sviluppo, quelle piattaforme sono nate prima dell'avvento dell'Internet di massa - spiega il vice direttore generale di Microsoft Italia Davide Viganò -. Non possono proteggere al meglio gli utenti da qualcosa che è venuto dopo". Le aziende, dal canto loro, spesso e volentieri negano gli attacchi informatici. Secondo un'altra indagine, condotta nel 2003 da Sirmi, si comporta in questo modo il 69,1% di chi subisce attacchi. Quasi un'azienda su due (49,3%) ritiene che denunciare un reato informatico sia più nocivo, dal punto di vista dell'immagine, che non vantaggioso sul fronte della tutela. Il 74,6% sostiene che non è sempre possibile identificare il colpevole, e il 53,2% reputa impossibile dimostrare il reato. Il 58,7% teme che la cattiva pubblicità derivante dalla notizia dell'attacco possa far scappare i clienti, e il 61,2% teme che la denuncia della vulnerabilità possa addirittura incentivare gli attacchi. Da qui si capisce che gran parte delle imprese, in realtà, invece di investire per la propria sicurezza spera di poter lasciare tutto com'era prima dell'attacco. Pagina 6 di 3 Talvolta bisogna anche guardarsi da minacce interne: "Nell'85% dei casi i DOS (denial of service, l'attacco via Internet con cui si saturano le risorse di un sistema per renderlo inutilizzabile) provengono dall'esterno, ma l'80% delle volte gli attacchi che causano veri danni al sistema informativo provengono dall'interno", spiega Maurizio Cuzari, amministratore delegato di Sirmi, richiamando concetti noti come quelli dell'insider trading e dei dipendenti arrabbiati con la propria azienda al punto da danneggiarla. Spesso chi si intrufola in un sistema o ne danneggia le componenti non è nemmeno consapevole di rischiare ben tre anni di reclusione, spiega Claudio Caroselli, vice direttore del servizio centrale della Polizia delle Comunicazioni. La struttura di Caroselli ha competenza sulle indagini telematiche, svolte quotidianamente "non solo per far chiudere i siti dei pedofili". La Polizia delle Comunicazioni ha infatti in corso svariate iniziative, ma con un importante paletto: "Noi non interveniamo prima del problema, veniamo dopo. Certamente quando entriamo in contatto con un'azienda il nostro personale fornisce consigli anche in ottica evolutiva, ma il concetto è che sono le imprese a dover prevenire gli attacchi. Noi non siamo strutturati per farlo". Qualcosa sul fronte della prevenzione, almeno a livello strategico, la polizia è comunque riuscita a farla: le Diario di un security manager Con la rete a pesca di fregature di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork) Nel grande mare di Internet è aperta da anni la pesca sportiva del credulone. Se avete ricevuto (e chi non le ha mai ricevute?) delle e-mail che promettono mirabolanti prodotti, avete una vaga idea di quale incredibile mercanzia si riesca a propinare online. L’italico genio della truffa svanisce nel mare di Internet: il truffatore telematico non cerca il colpo perfetto, si limita al minimo indispensabile, e sfrutta l’effetto amplificatore del mezzo per raggiungere un numero di potenziali vittime così grande che, per motivi statistici, almeno qualcuno ci dovrà cascare. L’ondata di spam a cui tutti siamo sottoposti è un prodotto della pessima combinazione tra basso costo e risultato garantito. Tuttavia, in questo scenario già fastidioso, esiste una problematica ancora più pericolosa che trasforma questa "tassa sulla stupidità umana" (come è stata felicemente definita) in un vero e proprio problema di sicurezza. Si tratta della problematica del ‘phishing’. Si legge come ‘fishing’ (pesca) ma si scrive con il ‘ph’ iniziale, forse una fusione con il termine 'phreaking', la vecchia pratica di telefonare addebitando la chiamata a un altro utente. In effetti nell’underground il termine phishing è in circolo almeno dal 1996, e si riferiva inizialmente ai modi con cui acquisire illecitamente gli account AOL. Tuttavia, combinate l’esplosione dello spam, la sempre crescente presenza di utenti poco accorti, e l’evoluzione delle tecniche, e capirete perché oggi il phishing, in particolare mirato al furto d’identità, è un fenomeno preoccupante. Pensate che una ricerca di Gartner sostiene che solo negli USA almeno 57 milioni di utenti hanno ricevuto una e-mail di questo tipo, e almeno 1,7 milioni di essi sono stati vittime di un furto d’identità. Ma come funziona una tipica truffa di questo genere? Si comincia con una e-mail, dall’aspetto molto ufficiale, magari in HTML e accompagnata dal logo di qualche società conosciuta dalla vittima (un esempio tipico è una banca online, o il suo ISP). Questa mail contiene un messaggio abilmente forgiato, secondo i principi della social engineering, che cerca di convincere la vittima a fare qualcosa. Per esempio, nel caso della banca, potrebbe essere visitare un sito che ‘sembra’ quello della banca e inserire i propri codici di accesso. La motivazione è spesso molto urgente e assillante: "Verifica che il tuo codice non sia stato compromesso!". Lo stile delle e-mail è spesso talmente simile a quello dei messaggi veri da rendere molto difficile distinguerli. Ora, il nostro truffatore deve ingannare la vittima e farle credere di essere sul sito vero, non su un clone. Le tecniche usate sono parecchie: innanzitutto l’uso di URL appositamente artefatti. Per esempio, www.lamiabanca.it:[email protected] sembra, a prima vista, l’url della mia banca, ma in realtà usa la struttura degli indirizzi creata per inserire login e password e connette l’utente a sitomaligno.com. Altre tecniche usate sono l’escape encoding, o l’uso di codici UTF. tutto ciò che può servire a ingannare l’utente sul vero sito con cui si sta collegando. A questo punto il sito in questione viene riprodotto nei minimi dettagli, con logo, colori, font. Se pensate che sia difficile, pensateci sopra: non è così complicato fare il mirror di un sito e modificarlo. Addirittura esistono dei kit già pronti da scaricare contenenti i layout di alcuni ‘target’ particolarmente appetibili (http://www.sophos.com/spaminfo/articles/diyphishing.html). Alternativamente, l’utilizzo di tecniche di cross-site scripting o lo sfruttamento di varie debolezze dei browser e dei mailer (in particolare di quelli che usano il formato HTML e accettano l’esecuzione di script all’interno delle e-mail...) possono aiutare il truffatore a ridirigere l’utente inconsapevole verso la trappola. Il risultato di tutto questo raggiro è che la vittima inconsapevolmente fornirà al truffatore dei dati, che possono andare da un login e una password di un sito di home banking ai propri dati personali. A volte la truffa è autocontenuta, e i codici vengono utilizzati per rubare direttamente del denaro, ma spesso si sconfina nel fenomeno del furto d’identità, che (stando alle statistiche) è uno dei problemi più avvertiti dai navigatori di Internet. Usando nomi, indirizzi, numeri della previdenza sociale o di documenti d’identità, e dati personali incautamente forniti, è facile agire in nome e per conto di un’altra persona, sfruttandone la reputazione o le risorse per ottenere illeciti guadagni. Una volta che il furto d’identità è avvenuto risulta spesso difficile, se non impossibile, dimostrare di non essere stato l’autore delle transazioni in questione, sempre ammesso che ci si renda conto che esse sono avvenute. Pagina 7 di 3 aziende interessate, principalmente i grandi fornitori di servizi di pubblica utilità, possono stipulare una convenzione che permette alla polizia di studiare in anticipo il loro sistema informativo, in modo da intervenire in tempi rapidi e con la massima efficacia in caso di attacchi. Gli enti convenzionati al momento sono Reti Ferroviare Italiane, l'ACI, il Gestore della Rete di Trasmissione Nazionale (GRTN) elettrica, SNAM Rete Gas, la RAI, l'ABI, Sicurezza per forza... o per 'sforzo' Poste Italiane e di recente anche Telecom di Stefano Zanero Italia. Le Poste, a detta sia di Caroselli che di Cuzari, hanno capito la lezione impartita l'anno scorso dall'esplosiva intrusione del worm Slammer, che mise in ginocchio il sistema informativo bloccando oltre diecimila uffici postali in tutta Italia: non avendo installato le relative patch, già disponibili all'epoca dei fatti, un'installazione di SQL Server cadde vittima del worm. "Subito dopo il fatto sono partiti importanti investimenti nella sicurezza informatica, al punto che oggi le Poste sono all'avanguardia in Italia su questo fronte", commenta Cuzari. Sicurezza IT, utenti di 62 Paesi a confronto I dati di un’indagine svolta su un campione di 8.100 professionisti della sicurezza in campo informatico La cosa che colpisce, in questi dati, è la sensazione che le aziende siano ‘costrette’ a far fronte all’esigenza di sicurezza che hanno sempre tralasciato, per almeno due buone ragioni. La prima è ovviamente la ‘compliance’ legale, che in Italia si identifica con il rispetto del D. Lgs. 196/03 sulla protezione dei dati personali. La seconda è la risposta a incidenti e danni. Su questo tema mi permetterei un’osservazione: se è cresciuta la spesa nelle attività di rilevamento e prevenzione ma non è cresciuto il numero di incidenti registrati significa che quei soldi sono stati spesi male: è improbabile infatti che stiamo già rilevando tutto il rilevabile. O forse a spendere sono stati i "soliti noti", mentre invece permane un’ampia fascia di sistemi e reti assolutamente non sorvegliati. E infatti in parallelo si rileva una sfiducia, in parte giustificata, nei propri sistemi di sicurezza. Ma se i sistemi fanno un po’ acqua, perchè non ci si pone mano? "Mancano i soldi e le persone", dicono gli intervistati, ma secondo me la verità sta nelle risposte appena meno gettonate di queste: mancano le competenze per gestire strumenti che sono ancora troppo complessi, mentre tutti coloro che tra i vendor promettevano soluzioni a bassa complessità si trovano di fronte a una sequela di fallimenti poco promettenti. In questo campo più che in altri, la tentazione di pagare il prodotto piuttosto che il personale e la formazione è forte, ma non paga: porta a un esborso di quattrini senza reale crescita e ritorno per l’impresa. Inquietante infine, secondo me, il fatto che soltanto un terzo degli intervistati abbia rivisto le proprie policy in 12 mesi: sono sicuro che nello stesso lasso di tempo sono cambiate moltissime cose in tutte le procedure aziendali, come possono le regole di sicurezza essere sempre le stesse? Mi rassicura viceversa lo spostamento della security "fuori" dall’area IT, con l’incorporazione di competenze legali e di business: insomma lo spostamento verso il "corporate risk management" piuttosto che verso "quella roba che fa il tipo della rete" Per il secondo anno consecutivo la rivista americana CIO, in collaborazione con l’altro periodico CSO e PricewaterhouseCoopers, ha condotto uno studio sullo stato della sicurezza IT in ambito aziendale. Grazie alla collaborazione di 8.100 professionisti distribuiti in 62 Paesi e attivi nel mondo della sicurezza IT per aziende di qualsiasi tipo e dimensione, è stato possibile tracciare un quadro di come le aziende affrontano la questione, con particolare attenzione sugli insegnamenti ricavati dagli incidenti che si sono riscontrati negli ultimi dodici mesi e sulle ripercussioni in termini di bilanci. Rispetto al 2003, i budget destinati alla tutela delle informazioni aziendali sono rimasti pressochè invariati, arrivando a rappresentare circa l’11% dei fondi complessivi destinati all’IT. A guidare gli investimenti in sicurezza restano prima di tutto le normative che in qualche modo ‘costringono’ le aziende utenti ad adeguarsi ai livelli richiesti. In queste scelte, anche la responsabilità nella gestione delle informazioni gioca un ruolo importante. Nel settore finanziario inoltre, i requisiti richiesti dal complesso di regole che si vanno formalizzando in Pagina 8 di 3 questi anni (da Basilea II alla Sarbanes Oxley che coinvolge solo le aziende USA) rappresentano un’ulteriore stimolo a investire. Aumenta il ‘peso’ della sicurezza Nel corso di quest’anno, i budget IT hanno registrato in media una lieve contrazione. Il 58% degli intervistati ha infatti dichiarato di avere a disposizione una capacità di spesa inferiore al milione di dollari (nel 2003 erano il 51%). Il 22% dispone di un budget compreso tra 1 e 10 milioni di dollari (erano il 27%), mentre il 23%, contro il 22% degli scorsi dodici mesi, può disporre di cifre superiori. All’interno dei programmi complessivi di spesa IT ridimensionati, restano praticamente invariati i fondi destinati alla sicurezza, determinando quindi una maggiore incidenza della security nell’ambito dei bilanci consolidati. Sono infatti leggermente cresciute dal 10,93% all’11,27% le quote assegnate ai responsabili del settore. L’indicazione è in linea con quanto riportato direttamente dagli intervistati, 56% dei quali auspica una crescita, contenuta, nelle spese per la sicurezza IT. Maggiore controllo sugli incidenti Appare stabile anche il numero di ‘incidenti’ che sono stati registrati, intendendo come tali eventi che vanno da accessi non autorizzati, utilizzo di sistemi aziendali per attività maligne sia dall’interno che dall’esterno dell’organizzazione, a ogni altro tipo di situazione capace di recare danni al sistema informativo. In questo ambito, a fronte di un’evoluzione nell’attività di rilevamento e prevenzione, nel 2004 gli utenti non hanno registrato variazioni significative. L’evento più frequente (53% rispetto al 59% rilevato nel 2003) è risultato la presenza di codice ‘maligno’, mentre nel 29% si è verificato un attacco di denial of services e nel 25% si è accusata una situazione di accesso non autorizzato. Diario di un security manager Ma chi ci tutela dalle leggi? di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork) Che periodo spettacolare per la legislazione collegata all'informatica. Abbiamo visto dapprima il decreto Urbani, relativo all'uso di software peer to peer, che punisce lo scaricamento di musica dalla rete (anche privato e non a fini di lucro) con pene equivalenti a quelle previste per i reati minori di violenza (fino ai tre anni!). Solo per miracolo è stata tolta la norma che avrebbe imposto ai provider d'impedire l'uso di software p2p di qualsiasi genere. Una norma che qualcuno ha parafrasato con "Da oggi ogni operatore ISP deve saper volare agitando le braccia", per sottolineare la difficoltà tecnica a realizzare il dettato di legge. In seguito, una ispirata norma sul deposito obbligatorio presso le biblioteche nazionali di Firenze e Roma delle opere editoriali ha incluso "tutti i documenti telematici destinati alla diffusione". Siete pronti a mandare una copia cartacea di tutti i vostri siti alle biblioteche? Una nuova copia va mandata a ogni aggiornamento, e non voglio neanche pensare a cosa dovranno fare i siti di ecommerce o con contenuti dinamici. Il caos pare regnare nelle aule parlamentari italiane ogni volta che si parla di argomenti tecnici. Certo verrebbe da chiedersi perché quando mancano le competenze non si ricorra a chi ne sa di più. Tutto il mondo è paese, comunque. Dagli USA arrivano notizie inquietanti, secondo cui il Dipartimento di Stato sta considerando l'introduzione di passaporti biometrici dotati di dispositivi RFID 'smart chip'. Suona familiare? Ma certo, è la decantata Carta d'Identità elettronica che anche i governanti europei tirano fuori di tanto in tanto. Dell'assoluta inutilità dell'inserimento su una carta delle credenziali biometriche dei cittadini abbiamo già parlato in precedenza, ma la passione degli americani per le tecnologie inutili ha aggiunto la parolina magica 'RFID'. Intanto, come tutti gli RFID di oggi, lo 'smart chip' non è troppo smart: chiunque, trasmettendo sulla frequenza giusta, lo potrà leggere; se questo oggetto sarà incorporato in tutti i passaporti, la lettura sarà tutto tranne che segreta. Risultato: qualsiasi malintenzionato potrà leggere i chip a distanza, magari individuando i viaggiatori stranieri in una folla, oppure per identificare e seguire una singola persona. Certo, si possono progettare chip RFID che funzionino solo a breve distanza, ma a questo punto perché non optare per la classica striscia magneto/ottica che già oggi è in tutti i passaporti? Se già ci preoccupiamo per la possibile perdita di privacy causata da usi commerciali di questa tecnologia (per esempio per etichettare i prodotti della grande distribuzione), figuriamoci cosa dovremmo dire di documenti identificativi sensibili. Per non parlare di tutti quei simpatici burocrati e politici che a ogni eco del terrorismo mediorientale invocano tecnologie da Grande Fratello. Quanto poi alla sicurezza non c'è da star tranquilli: intanto, chiunque potrebbe crearsi dei finti RFID che rispondano a qualsiasi segnale (per esempio, si potrebbe interrogare il passaporto di Mario Rossi e poi rispondere alla macchina del controllo in aeroporto con la stessa risposta). Dispositivi challenge-response andrebbero meglio, ma per ora non sono contemplati. Alcuni tag - sperabilmente non quelli dei passaporti - possono essere anche scritti via radio, a volte solo conoscendo una password. Mediante lettori potenziati e triangolazioni, questi aggeggi potrebbero rendere obsolete le scene di un film come Nemico Pubblico. I tag possono anche essere disabilitati permanentemente da remoto - e dovrebbero esserlo, per esempio quelli usati all'interno di un negozio, appena oltrepassata la cassa. Peraltro, se sottoposti a una emissione radio troppo intensa, tutti gli RFID possono bruciarsi come qualsiasi dispositivo radio ricevente. Saremo ridotti a passare il passaporto nel microonde per evitare di essere rintracciati a distanza da ogni malfattore del mondo? O a comprarci - come ha suggerito qualcuno - un portafogli con gabbia di Faraday incorporata (un semplice schermo elettromagnetico). Quando si leggono certe proposte, comunque, ci si trova davanti a un bivio intellettuale. Una prima possibilità è che i proponenti siano semplicemente disinformati in modo grave: una colpa non indifferente per una classe dirigente. Ma l'alternativa è anche peggiore: è che non ci stiano dicendo proprio tutta la verità, e questo, nello scenario attuale, sarebbe inquietante. Pagina 9 di 3 In termini finanziari, il 43% afferma di non essere in grado di fornire stime sulle conseguenze di tali incidenti, mentre il 33%, quattro punti percentuali in più rispetto all’anno passato, ammette invece di aver accusato ripercussioni. La questione delle policy In materia di prevenzione, il 69% degli intervistati ha affermato di aver incluso nella propria serie di policy per garantire la sicurezza dei sistemi l’amministrazione dei permessi degli utenti, il 56% si impegna per un utilizzo più ‘appropriato’ della posta elettronica, mentre il 67% applica regole di amministrazione dei sistemi. Il 55% inoltre, segue anche una procedura per l’amministrazione a livello di rete, il 52% applica norme dedicate alla gestione della sicurezza, il 46% si attiva per un impiego più consono dell’accesso a internet e il 45% implementa una strategia di regolazione dell’accesso sulla base del ruolo ricoperto in seno all’azienda. Sono ridotte all’8% le realtà dove è ammessa la totale mancanza di una strategia in materia di sicurezza che stabilisca una serie di norme di comportamento per gli utenti. L’anno passato erano nella medesima situazione il 10% degli intervistati. Sono però solamente il 37% dei responsabili IT ad aver valutato e rivisto le policy stabilite dodici mesi prima. Un altro 31% ha affermato di averle comunque modificate, mentre un quarto delle società interpellate non ha effettuato alcun tipo di intervento, né per valutarne l’affidabilità, né per apportare migliorie. Una serie di competenze anche extra IT Al di fuori delle competenze strettamente IT, la sicurezza dei sistemi coinvolge comunque altri rami aziendali. Nell’8% delle società è coordinata da un’attività di risk management, nel 9%, da una di auditing interna, mentre il 4% si avvale anche della consulenza della divisione legale. In termini di competenze invece, solamente il 29% dei responsabili contattati riporta direttamente a un CIO, e tra questi l’8% ha dichiarato l’indipendenza del reparto sicurezza dal dipartimento IT. Sei su 100 riportano al CSO. La metà degli intervistati ha inoltre denunciato la totale mancanza di integrazione tra il settore della sicurezza fisica e quella IT, una situazione che nel corso dell’ultimo anno si è sensibilmente accentuata. Allineamento al business Qualche segnale di allarme in materia di strategie di sicurezza IT potrebbe emergere da un lieve calo nella fiducia che i responsabili hanno manifestato riguardo l’allineamento tra le policy stabilite e gli obiettivi di business della propria azienda. Sono infatti calati dall’87% all’80% coloro che hanno dichiarato un totale allineamento. Sono invece il 63% a esprimersi in favore di un allineamento anche per quanto riguarda le possibilità di spesa. In calo risulta anche la fiducia nelle soluzioni di sicurezza disponibili. Sono il 22% i responsabili che fanno totale affidamento sulle misure adottate, mentre il 57% afferma di esserlo solo in parte. Esiste comunque un 14% che manifesta scarsa fiducia nel sistema di sicurezza presente in azienda. Non solo budget tra gli ostacoli Ma quali sono gli ostacoli che inibiscono la realizzazione di un adeguato sistema di sicurezza IT all’interno di un’azienda? Nella maggioranza delle situazioni (il 54%) sono ancora i budget limitati a frenare le possibilità di perfezionare il sistema di difesa, mentre un 44% denuncia anche carenze di organico e il 34% la mancanza di tempo da poter dedicare esclusivamente a questo genere di problematica. Non manca però chi fa riferimento a una carenza di formazione (24%) e all’elevata complessità delle soluzioni presenti sul mercato (24%). Pagina 10 di 3 In calo infine due fattori che in passato sono stati spesso indicati come i principali freni allo sviluppo di un’infrastruttura sicura. Sono infatti passati dal 27% al 20% i casi di mancato sviluppo dovuto a limiti imposti dal management e dal 24% all’11% le realtà dove veniva accusata una scarsa collaborazione tra i vari dipartimenti interessati. Trasferire il centro dati: quando a farlo è IBM Come la società ha spostato il centro servizi per la business continuity e il disaster recovery di Piero Todorovich I trasferimenti che riguardano i centri dati sono oggi all’ordine del giorno, stante l’esigenza di consolidare le infrastrutture per fare economie di scala e ridurre i costi di gestione. Operazioni sempre molto complesse quando in gioco ci sono sistemi critici per le aziende. Nelle scorse settimane IBM ha avuto il problema di trasferire i sistemi che supportano i servizi di business continuity e di disaster recovery per una molteplicità di clienti, da Segrate (dove si trovavano presso i sotterranei del vecchio headquarter) al nuovo centro di Settimo Milanese, presso I.net. Pochi chilometri di distanza nell’interland milanese, ma non certo una passeggiata se si considera che i sistemi traslocati avevano un peso globale di circa 300 tonnellate e un ruolo sostanziale nell’operatività di istituti bancari e grandi aziende italiane. Perché affrontare un’operazione così critica? Come lo si è fatto? Lo abbiamo chiesto a Sergio Eufemi, responsabile di business continuity e recovery services per l’area Sud Europa di IBM Global Services. Diario di un security manager TCP in fallo? Tanto fumo e poco arrosto di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork) A dare retta alla stampa e ai suoi catastrofismi, ormai saremmo alla decima o alla quindicesima Internet, considerando il numero di volte in cui la grande rete è stata data per spacciata negli ultimi anni. Il fatto che tutto sommato, con le sue lentezze a volte esasperanti e i suoi problemi, Internet sia ancora in piedi, dovrebbe forse convincere chi ne ha dichiarato con tanta enfasi la fine di rivolgere la propria attenzione a problemi più concreti e pressanti. Invece si insiste, e insistendo si finisce con fare del male alla credibilità della comunicazione negli ambiti che riguardano le tecnologie. Di recente, all'evento internazionale CanSecWest di Vancouver in Canada (vedi www.cansecwest.com), la caccia alle bufale è diventato un passatempo per molti degli esperti convenuti, e molte risate hanno accolto i titoli di giornale e i commenti di presunti 'esperti' che hanno predetto ogni sorta di conseguenze per le vulnerabilità annunciate da Paul 'Tony' Watson, un ricercatore di sicurezza americano. Paul ha iniziato la sua presentazione con una slide che riportava il commento più divertente, di un ignoto 'esperto di sicurezza' che spiegava compìto come questa vulnerabilità fosse una specie di enorme tunnel che attraverso le reti arriva fino al computer degli utenti, mettendone a repentaglio i dati personali. Chiaramente non era vero niente, però questo sui giornali non l'ho mica letto. Sarebbe stato sufficiente attendere la presentazione di Watson (o, perché no, mandargli una e-mail) per avere dettagli sufficienti a capire cosa era vero da cosa non lo era. Ma probabilmente, a quel punto, la notizia sarebbe apparsa di così poca comprensibilità e significatività per il pubblico medio da non essere più degna di pubblicazione. Il nocciolo del problema Sostanzialmente, ciò che accade lo potete scoprire direttamente navigando sull'advisory (http://www.uniras.gov.uk/vuls/2004/236929/index.htm). Nelle connessioni TCP un pacchetto viene accettato solo se cade tra il precedente ACK e ACK+CWND-1, dove CWND è il valore della connection window. Il problema evidenziato da Watson è che, accettando un pacchetto RST che abbia nel campo SYN qualsiasi valore incluso in quella finestra, si ottiene un risultato anomalo, cioè di semplificare di molto le probabilità per un aggressore di riuscire a resettare una connessione mediante spoofing. Questo presenta dei problemi evidenti, in particolare nei casi in cui ci sia una connessione TCP di lunga durata tra due punti fissi conoscibili (porta e IP sorgente, porta e IP destinazione). Per esempio, questo è il caso delle sessioni BGP, in cui la porta e l'IP di destinazione sono noti, l'IP sorgente anche, manca solo la porta sorgente. Purtroppo, si verifica che per il modo in cui molti sistemi generano le porte (cioè non casuale) anche questo parametro può essere indovinato. Tuttavia BGP è lungi dall'essere l'unico protocollo colpito: è solo uno dei più semplici e ovvi bersagli di questa tecnica. Le soluzioni? Finché non viene risolto il problema di base delle implementazioni TCP, usare il graceful-restart delle sessioni BGP per non sovraccaricare i router ed eventualmente usare forme di autenticazione come MD5 (non è una cattiva idea, comunque). Le possibili soluzioni Come si risolve il problema del TCP? Secondo Cisco e altri vendor (vedi http://www.ietf.org/Internet-drafts/draft-ietf-tcpm-tcpsecure-00.txt), riscrivendo gli RFC del TCP. Secondo Watson e altri esperti, basta interpretare l'RFC esistente, accettando un RST solo se cade sul limite di una finestra, e non in mezzo, e ignorandolo altrimenti. La proposta di riscrittura degli RFC ha suscitato un vespaio in quanto uno dei punti del draft vìola lo spirito fondamentale della macchina a stati del protocollo TCP (in pratica, si suggerisce di rispondere agli RST disallineati con un ACK). Inoltre, sono stati evidenziati problemi molto simili a quello sollevato da Watson per la ricezione di SYN all'interno della finestra di connessione, a cui il protocollo imporrebbe di rispondere con un RST. In questo modo si potrebbe ingannare uno dei peer della connessione e convincerlo a chiuderla. In questo caso, invece, non è possibile risolvere l'ambiguità senza modificare in qualche modo il protocollo. I motivi del trasferimento Pagina 11 di 3 "Un centro dedicato al disaster recovery e alla business continuity non deve stare assieme ad attività differenti", esordisce Eufemi, precisando la condizione non ottimale del vecchio centro di Segrate, presso la sede IBM. "I requisiti di sicurezza adottati dopo l’11 settembre richiedono di separare le persone dai sistemi per ridurre il livello di rischio. Per questo aveva senso trasferire il centro in una struttura dedicata e più efficiente (benché aggiornato il centro di Segrate era stato concepito negli Anni ‘80, ndr)". IBM ha preso in affitto un’area di due piani presso il data center di I.net a Settimo Milanese: "Una struttura attrezzata delle fondamentali infrastrutture di alimentazione, condizionamento e sicurezza a livello dei nostri migliori centri europei, regolata da precisi livelli di servizio. Le macchine, la connettività, i servizi di gestione del centro e quelli consulenziali ai clienti sono forniti direttamente da IBM". L’organizzazione del centro Tra le componenti chiave del nuovo centro c’è l’infrastruttura di rete e dei sistemi, impostata secondo i criteri dell’on demand. "La connettività one-to-one e one-to-many dei centri di calcolo tradizionali non è adatta alle esigenze del disaster recovery - spiega Eufemi -, che richiede riconfigurazioni in tempi ridottissimi per rispondere alle esigenze di test o d’emergenza dei clienti". Questo ha significato per IBM rivedere tutta la connettività, creando una La nuova sede di IBM a Segrate rete any-to-any che consente di variare capacità e configurazioni. "La realizzazione IBM Italia ha inaugurato ufficialmente, a Segrate, il suo ha richiesto l’impiego di circa 100 km di nuovo headquarter. Il nuovo complesso comprende fibra ottica per piano, reti fabric LAN e SAN quattro differenti palazzi per 37mila metri quadri di superficie, 3.500 punti cablati, 460 Km di cavi posati e che, nell’emergenza, assumono le 430 nuovi alberi piantati per ospitare 2.300 dipendenti. configurazioni più opportune". Alle Un ambiente che il presidente e a.d. di IBM Italia Andrea connessioni locali si aggiungono quelle Pontremoli ha detto esser stato pensato "per sostenere un geografiche: "Presso il centro si attestano modello di lavoro improntato alla condivisione della conoscenza, alla stretta collaborazione e le connessioni dei differenti carrier scelti da all’apprendimento continuo”. IBM e dai clienti: sia per le attività di All’headquarter si accede da quattro porte che originano mirroring, sia per sostenere i carichi in quattro strade confluenti in una grande corte dove sta il caso di guasto", precisa Eufemi. Ci sono Forum, cuore tecnologico dedicato ai clienti e ai business partner con un auditorium da 300 posti a sedere. inoltre le connessioni point-to-point in fibra ottica tra centri, con percorsi ridondati e capacità di banda dell’ordine dei gigabit. Il nuovo data center è suddiviso in moduli, ognuno disegnato come insieme completo. "Abbiamo moduli legati alla tecnologia - precisa Eufemi -: Unix, mainframe (con una configurazione minima in grado di soddisfare le esigenze di clienti medio-grandi, ndr), Wintel e con sistemi multivendor, oltre a moduli specializzati per cliente. In virtu della connettività any-to-any, i moduli sono ‘agganciabili’ fra loro a seconda delle esigenze attraverso la console o, in via remota, da web". Le risorse dei moduli possono essere dedicate, oppure essere condivise tra più clienti. "Nel secondo caso i costi sono inferiori. Lo storage è l’unica componente che ha senso mantenere dedicata: per motivi tecnici e di sicurezza", precisa Eufemi. La continuità prima di tutto Un aspetto cruciale del trasferimento era per IBM limitare al minimo i problemi per gli utenti. "Le soluzioni adottate sono state diverse a seconda dei livelli di servizio contrattuali - spiega Eufemi -. Da una parte i clienti con cui abbiamo impegni di ripristino entro 24 o 48 ore e con dati presenti solo in fase di dest o d’emergenza. Dall’altra utenti con dati di produzione in mirror presso il centro o sistemi con bilanciamento dei carichi con il sito principale". Per le utenze meno critiche IBM ha provveduto a un trasloco parziale di risorse durante un week end, mantenendo attivo il 50% delle risorse sia nel vecchio sia nel nuovo centro. "In caso di disastro durante il trasferimento avremmo avuto comunque in ogni centro risorse a sufficienza per le esigenze del maggiore dei clienti" - precisa Eufemi -. Questo ha richiesto circa una settimana. Nella seconda settimana sono stati spostati i clienti più critici che avevano sistemi attivi. "In alcuni casi si è clonato l’ambiente cliente nel nuovo centro tranne lo storage: aggiornato fino all’ultimo momento. Durante il week-end quest’ultimo componente è Pagina 12 di 3 stato trasferito nel nuovo centro, limitando i tempi di fermo dell’attività di mirroring a qualche ora. Con altri clienti abbiamo duplicato anche lo storage usando tecniche di mirroring locale e spostato lo storage-copia nel nuovo centro. Una volta reso operativo il nuovo centro, testato e aggiornato lo storage, le macchine a Segrate sono state spente". Nel trasloco gli utenti hanno avuto momenti più o meno lunghi di esposizione al rischio. Nel caso di disastri concomitanti con il trasloco, "un caso possibile ma non probabile, avremmo potuto contare sull’assistenza degli altri centri europei della rete BCRS", conclude Eufemi. L'Italia? Non è a prova di disastro I risultati di uno studio sul disaster recovery condotto nel nostro Paese per conto di Veritas Software su un campione di aziende con più di 500 dipendenti Veritas Software ha rilasciato oggi i risultati di un’indagine sul tema del disaster recovery condotto da una società di ricerche indipendente, Dynamic Markets, su un campione di 54 IT manager di aziende italiane con più di 500 dipendenti. Lo studio, giunto quest’anno alla sua terza edizione, è stato stilato sulla base di interviste effettuate nel mese di agosto. Dallo studio emerge, in sommi capi, che la percezione dell’importanza di un piano aziendale di disaster recovery (da qui in avanti DR) è cresciuta tra le aziende italiane negli ultimi anni. Tuttavia, sottolineano Veritas e Dynamic Markets, le imprese del nostro Paese sono ancora per la maggior parte impreparate ad affrontare situazioni di pericolo come gli incendi. Inoltre, hanno la ‘cattiva abitudine’ di non aggiornare o peggio testare con una certa frequenza i propri piani di DR, e non adeguano quest’ultimi ai continui cambiamenti dell’IT. In particolare, un primo significativo dato, che esprime una certa approssimazione nella definizione dei piani di DR, è che ben il 48% delle aziende italiane interpellate ha ammesso di essere stata costretta a rivedere la propria strategia di disaster recovery in seguito a un attacco di virus, con il 43% che vi è stata invece indotta dal verificarsi di un evento disastroso. Messi di fronte all’ipotesi del verificarsi di un evento avverso, inoltre, il 52% degli intervistati ha dichiarato di non essere in grado di indicare il tempo necessario per riprendere le proprie normali attività di base, e il 48% quello necessario a tornare operativi al 100%. Secondo lo studio tuttavia, come accennato, oggi le aziende italiane sono consapevoli dell’importanza di disporre di un piano adeguato di disaster recovery: senza di esso, ben il 76% degli intervistati si sentirebbe esposto a rischi. Una diretta dimostrazione di tutto ciò è il fatto che la percentuale delle aziende (28%) che ha subito downtime non programmati negli ultimi 12 mesi precedenti la ricerca è nettamente calata se paragonata al dato emerso nel 2003 (46%). In linea con i risultati emersi nella precedente indagine, nell’ultimo anno le cause più frequenti che hanno portato le aziende ad implementare per la prima volta un piano di DR sono il timore di attacchi esterni come i virus (48%), la paura di disastri naturali come incendi o allagamenti (48%) e le minacce provocate dall’uomo, come guerre o atti terroristici (17%). Per quanto concerne invece il luogo in cui vengono implementate le procedure di DR, il 70% del campione (84% nel 2003) ha dichiarato che risiedono ancora all’interno del data center principale. Infine, ancora una volta per quanto riguarda l’Italia, si registra uno scarso coinvolgimento dei vertici aziendali nella definizione delle politiche di DR, anche se rispetto al 2003 i CIO e CTO coinvolti nei piani di DR siano cresciuti dal 2 al 19%. Pagina 13 di 3 La protezione dei dati è la prima priorità dell'IT Secondo i risultati della ricerca Storage Index, le aziende italiane investono in disaster recovery di Emiliano Brunetti Interessanti i risultati che emergono dall'ultima edizione del semestrale Storage Index, studio indipendente commissionato da Hitachi Data Systems. Quasi un terzo degli IT manager interpellati (un campione di 690 direttori IT prevalentemente europei) si dimostra preoccupato dai problemi di sicurezza informatica, mentre addirittura l'81% delle aziende intervistate ha dichiarato che la protezione dei sistemi contro disastri naturali o errori umani resta ai primi posti nella lista degli investimenti. Il panorama, tuttavia, è frammentato. Come sempre emergono divisioni chiare tra i Paesi del nordeuropa e l'area del sud, sia in termini di investimenti sia per quanto riguarda le aree tecnologiche considerate prioritarie. In tutto questo, colpiscono alcuni dati italiani. Il 60% degli intervistati italiani sostiene che la crescita del volume dei dati porterà a una domanda di nuova capacità entro i prossimi 12 mesi. Una crescita che per il 44% degli intervistati si attesterà tra il 31 e il 50% rispetto alle dimensioni dello storage attualmente in uso. Tuttavia, per il 33% degli IT manager italiani raggiunti dallo studio il budget IT dedicato allo storage crescerà nei prossimi anni meno del 5%. Poco budget per tanto storage? A prima vista sembra che gli IT manager italiani puntino al miracolo: aumentare del 50% la capacità totale contenendo l'incremento di budget dedicato allo storage entro il 5%. Sarebbe un risultato notevole. Tuttavia, secondo Giuliano Bettineschi, country manager di Hitachi Data Systems Italia, le cose stanno un po' diversamente. "È la logica del fare di più con meno - ci ha detto - che si sta estremizzando. Ormai il fenomeno della riduzione dei costi della tecnologia è palese, soprattutto per lo storage: il costo per GB scende quasi del 40% su base annua. Allo stesso tempo stiamo assistendo a una contrazione dei budget IT piuttosto marcata, in alcuni Paesi, come il nostro, più che in altri. Chiaramente la sola riduzione di prezzo non basta per raggiungere i numeri dichiarati dagli IT manager italiani, ma con opportune economie di scala, come per esempio quelle consentite dal consolidamento, è possibile raggiungere risultati simili". L'importanza dell'adeguamento normativo Il consolidamento, in effetti, permette di raggiungere economie di scala notevoli e allo stesso tempo può mettere l'azienda utente nelle condizioni di rinnovare in parte il proprio parco macchine tagliando di conseguenza i costi di manutenzione (che diventano piuttosto elevati dopo il 36esimo mese: il rinnovamento potrebbe permettere di fare di più a parità di costi di manutenzione). Ma è di per sé un investimento che in qualche modo deve essere giustificato. Lo stimolo principale, secondo Bettineschi, è l'adeguamento alle regole "per soddisfare alcune richieste emergenti". Sono le novità in fatto di A qualcuno serve la virtualizzazione? Tra le priorità tecnologiche in ambito di storage la virtualizzazione resta il fanalino di coda, invariata rispetto alle scorse edizioni della ricerca. è ancora presto per dichiarare che si tratti di un flop tecnologico, ma il dato è chiaro: al momento interessa poco. In realtà secondo Hitachi Data Systems è un fattore che sta emergendo nei grandi utenti. Vedere lo storage in modo virtuale, ovvere essere in grado di offrire capacità a richiesta per fare qualsiasi cosa senza preoccuparsi dei dettagli fisici del collegamento è importante. Inoltre ora, secondo Giorgio Bettineschi, country manager di Hitachi Data Systems Italia, è diventato un problema sentito più dalle grandi utenze che dalle piccole strutture, come invece accadeva qualche tempo fa. Di conseguenza il settore della virtualizzazione sta partendo soltanto ora, e secondo Bettineschi potremmo assitere alla nascita di nuovi prodotti nel breve periodo. Pagina 14 di 3 corporate governance che ora, anche in Italia, sembra stiano diventando particolarmente attuali. Dalla Sarbanes-Oxley a Basilea II, l'adeguamento è ritenuto molto importante dal 37% delle aziende (il 6% in più rispetto alla ricerca condotta nella prima metà del 2003). Aumento minore rispetto agli altri Paesi In ogni caso il dato italiano resta lievemente in controtendenza: gli aumenti di budget previsti dalle altre nazioni hanno un picco tra il 6 e il 10%. Un dato che, secondo Bettineschi, non va letto come un possibile segnale di crescita per lo storage outsourcing in Italia. "Stiamo assistendo - ci ha detto - a una serie di fenomeni per cui chi tempo fa ha scelto l'outsourcing tradizionale ora sta tornando sui propri passi facendo insourcing di strutture e personale, principalmente per controllare meglio e con minori costi di servizio alcuni parametri fondamentali". Fattori non del tutto tecnologici Se per l'Italia c'è poca differenziazione tra le diverse aree tecnologiche di massima priorità per gli investimenti, i restanti Paesi sembrano tutti decisamente indirizzati verso lo storage management. "In effetti l'Italia ha un certo ritardo - ci ha spiegato Bettineschi rispetto ad altri Paesi europei. Un anno fa la maggior parte delle risposte era concentrata nell'area della riduzione dei costi, mentre ora è più in voga il disaster recovery. In tutto ciò il nostro Paese ha un ritardo legato alla PA: altre nazioni sono più avanti proprio perché le Pubbliche Amministrazioni hanno investito stimolando il mercato". Il mancato interesse dell'Italia per lo storage management, dunque, non vuol dire che la maggior parte delle aziende italiane ha già soluzioni di questo tipo in casa. Al contrario, tutto indica che le soluzioni di questo tipo siano veramente poche. "Diventerà una necessità - ci ha detto Bettineschi - di questo siamo sicuri. Lo storage deve essere gestito e secondo noi senza storage management non è possibile crescere in modo organico. Per gli ambienti medio grandi è una necessità strutturale inevitabile". Che, tuttavia, non porterà subito a una crescita marcata. "Le tecnologie ci sono ma le aziende - ha aggiunto Bettineschi - devono decidere le priorità di investimento. E' necessario conoscere come sono fatti i propri dati, dove sono salvati e come vanno gestiti". Il problema degli standard aperti Il livello di fiducia sul fatto che standard aperti efficaci saranno sviluppati nei prossimi due anni non è particolarmente confortante. I dati sono sostanzialmente invariati rispetto al 2002 e non c'è molta differenza tra gli estremi della 'nessuna fiduca' e 'molta fiducia'. Sembrerebbe che gli utenti siano ormai poco inclini a credere nelle promesse tecnologiche del futuro. Non è d'accordo Bettineschi, secondo il quale "gli standard aperti, al contrario, definiscono come i prodotti devono dialogare tra loro e dunque diventano un investimento che resta nel tempo, indipendentemente dal fornitore". "Credo che il risultato della ricerca - ha aggiunto - denoti consapevolezza su come stanno andando le cose. Ci sono associazioni che definiscono gli standard e il dato secondo me è destinato a crescere. Ho assistito a diverse conferenze quest'anno, dallo Storage Expo a quelle organizzate da SNIA, e sono tutte state seguite con grande interesse e partecipazione dagli utenti. La necessità di avere standard aperti al 100%, che mascherino il livello fisico dei dispositivi, mi sembra sia emersa chiaramente. Ci sono stati passi in avanti enormi rispetto a due anni fa". Pagina 15 di 3 GLOSSARIO Cross-site scripting: una categoria di attacchi in cui l’aggressore riesce a inserire e visualizzare del contenuto arbitrario (spesso contenente form, o codice javascript) all’interno di un altro sito vittima, riuscendo pertanto a visualizzare ed eseguire tale contenuto sul browser del navigatore come se esso provenisse dal sito vittima. Phishing whitepaper: Per informazioni più approfondite sulle tecniche del "phishing" e sulle possibili contromisure, vi suggerisco questo white paper di NGS Software: RFID (radio-frequency identification): Dispositivo ricetrasmittente passivo, dotato di una piccola CPU e di una limitata quantità di memoria. Al contrario di quanto avviene con le smart card, essi vengono alimentati e letti via radio da un lettore, quindi non devono essere a contatto fisico con esso. Inoltre, possono essere anche molto piccoli, creando possibilità di impiego molto varie ed estese. Biometria: Nell'articolo si fa riferimento ai problemi della biometria nell'identificazione. Normalmente si può usare la biometria per autenticare una persona verso un database di 'feature' biometriche riconosciute. Tuttavia, se la feature viene inserita sulla carta essa non ha più alcuna utilità, associando solo il proprietario della carta alla carta stessa, e non all'identità su essa dichiarata. Italian Crackdown: 11 maggio 1994, con l’operazione ‘Hardware I’ decine di nodi FidoNet e BBS italiane vengono devastati da una raffica di sequestri. Gran parte del materiale sequestrato resta per anni nei magazzini della Guardia di Finanza. Le procure coinvolte sono Torino e Pesaro, e fanno piovere accuse di associazione a delinquere per frode informatica, alterazione di sistemi informatici o/e telematici, detenzione e diffusione abusiva di codici d’accesso a sistemi informatici o/e telematici, ecc. Tutto finirà nel nulla. Si legga il libro di Carlo Gubitosa: www.olografix.org/gubi/estate/itacrack/sommario.htm Operazione Rootkit: Qualcuno si ricorda della famosa e sbandierata ‘operazione Rootkit’, con cui la Guardia di Finanza due anni fa sgominò una pericolosa banda di criminali informatici? Non risulta infatti che nessuno dei coinvolti sia stato in seguito incriminato e processato. Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito http://www.sanpaoloimprese.com/ Documento pubblicato su licenza di IDG Communications Italia Copyright IDG Communications Italia Pagina 16 di 3