SICUREZZA INFORMATICA: SITUAZIONE E TENDENZE IN ITALIA

SICUREZZA INFORMATICA:
SITUAZIONE E TENDENZE IN ITALIA
Cresce l’attenzione delle aziende italiane al tema della sicurezza informatica.
Non più solo una questione di hacker,
ma l’attivazione di una serie coerente di misure atte a proteggere
tutti gli aspetti di operatività del sistema informativo
a cura della redazione di Computerworld Italia
Destinazione >> ....
Virus, spam, la nuova minaccia costituita dal phishing (i siti che cercano in modo truffaldino di
carpire numeri di carte di credito e altre informazioni per accedere direttamente ai soldi degli
utenti), le problematiche di backup e recupero dei dati, e inoltre le evoluzioni sulle norme che
regolamentano la privacy e la redazione del documento programmatico della sicurezza
aziendale: di questi tempi l'agenda di CIO e CTO è letteralmente invasa di impegni nell'ambito
della sicurezza informatica, materia che ormai lambisce anche le competenze dei responsabili
finanziari e degli uffici legali (per quanto riguarda, ad esempio, la possibilità di indagini
processuali sui contenuti dei pc aziendali, lo scaricamento da Internet di materiale lecito e non,
la redazione delle informative sulla privacy e la redazione del DPS).
Il lavoro da fare è sicuramente molto, al punto da richiedere competenze professionali
appositamente qualificate. Niente di strano dunque se anche in Italia si diffondesse la figura,
peraltro già presente nelle aziende più attive su questo fronte, del responsabile della sicurezza
informatica (nelle aziende maggiori CSO, chief security officer). Nei paesi anglosassoni il
security manager è già una realtà dell'organigramma aziendale, mentre in Italia si sta
diffondendo in questi anni soprattutto nel settore finanziario, più interessato di altri a tutelare
qualunque aspetto della sicurezza dei sistemi informativi.
La sicurezza di cui parliamo non è solo quella relativa ai virus o ai numeri di carta di credito. Se
è vero che gli straripamenti dei fiumi e le tempeste atmosferiche non fanno più paura ormai da
tempo, eventi prettamente 'umani' come un blackout generale o un possibile attentato
esplosivo non possono far dormire sonni tranquilli ai responsabili aziendali. In Italia il blackout
dell'agosto 2003 ha compromesso la funzionalità di più di un istituto di credito non solo per
alcune ore, ma per giorni interi.
Il dossier si focalizza su quelli che, in questo periodo, sono i due principali filoni di lavoro della
sicurezza informatica: la sicurezza dei sistemi informativi contro gli accessi non autorizzati e
contro il furto dei dati, e la sicurezza fisica dei dati stessi, sintetizzata in massima parte negli
investimenti nei sistemi di continuità operativa e nel recupero dei dati. Su entrambe le attività
vengono forniti i risultati di numerose ricerche e l'opinione di esperti del settore.
Pagina 2 di 3
Cresce la 'cultura', non ancora la qualità
Indagine tra i partecipanti al corso di Information Security Management organizzato
dal Cefriel e dal MIP del Politecnico di Milano
di Ruggero Vota
Aziende italiane ancora concentrate sui prodotti e poco sulle strategie di sicurezza informatica.
Un’indicazione sullo stato del mercato italiano della sicurezza visto dal punto delle aziende
utenti più attente a questa tematica viene da una recente ricerca realizzata da Cefriel e MIP,
due iniziative del Politecnico di Milano attivo nella ricerca e nella formazione sulle nuove
tecnologie. I due enti sono insieme i promotori di un corso in ‘Information Security
Management’ rivolto essenzialmente ad aziende utenti che quest’anno è arrivato alla sua terza
edizione.
Il campione dell’indagine realizzata da Cefriel e MIP è rappresentato dagli ‘studenti’ che invece
hanno frequentato le due precedenti edizioni del corso, ovvero un’ottantina di persone tra
security manager, consulenti e operatori del settore: in ogni caso tutti rappresentanti di
aziende che utilizzano soluzioni di sicurezza e non di vendor di soluzioni. Si tratta quindi di un
campione un po’ parziale che non rappresenta l’universo delle imprese italiane, ma raccoglie
rappresentanti di realtà economiche che si dimostrano sensibili alla sicurezza IT, visto che
hanno fatto un certo investimento in un’attività di formazione specialistica.
Il budget della sicurezza
La ricerca parte dall’argomento ‘soldi’, un punto indispensabile anche per fare sicurezza IT. Il
26,9% del campione ha affermato che la sua azienda stanzia come budget dedicato alla
sicurezza meno dell’1% del fatturato, mentre il 46,1% assegna a questa voce una quota
variabile tra 1% e 5% dei ricavi. Tra il 5% e il 10% il restante 26,9% del campione.
Per la maggioranza relativa del campione, le previsioni per il 2005 parlano di un budget per la
sicurezza IT sostanzialmente stabile (42,3%). Per il 38,4% del campione, invece, il budget è
destinato a crescere di circa il 10% rispetto a quello dell’anno precedente, per il 15,3% di circa
il 20% e per il 3,8% di circa il 30%. Nessuno ha dichiarato invece una diminuzione del budget
per la sicurezza IT. Significativo che più della metà degli intervistati parlino di investimenti in
aumento.
Più prodotti che servizi
La quota dei budget dedicata all’investimento in prodotti, secondo le risposte del campione, è
del 66,1%, mentre ai servizi va il restante 33,8%. In questa ripartizione, in cui la spesa per
prodotti è praticamente il doppio di quella per servizi, sta il giudizio negativo sulla ‘maturità’
del mercato, ancora troppo concentrato sulle soluzioni a breve e di basso livello, e poco
orientato invece a guardare alla sicurezza IT con una visione strategica globale di lungo
respiro.
Questo giudizio, secondo i ricercatori del Cefriel e del Mip è confermato dal dettaglio relativo
alla suddivisione della spesa per prodotti e servizi. Nel primo dettaglio, quello relativo agli
investimenti sui prodotti, emergono in prima fila i firewall, che si ‘mangiano’ il 22,5% della
torta, i sistemi antivirus (19,2%), le soluzioni per il backup (18,2%), le reti private virtuali
(12,8%) e gli intrusion detection systems (10,2%).
Per quanto riguarda invece l’investimento in servizi, la prima voce di spesa risulta essere la
progettazione e l’implementazione della sicurezza (26,3%), seguita da: formazione (25,7%),
attività di audit della sicurezza e di assessment delle vulnerabilità (17,1%) e analisi dei rischi
(16%).
Pagina 3 di 3
Non ci si può comunque meravigliare
di queste risposte quando si vanno a
vedere quali sono, secondo gli
intervistati, le minacce più temute
dalle aziende. Queste preoccupazioni
vedono al primo posto gli attacchi
virus e worm (31,5%), seguite dallo
spamming (21%), dal denial of
service (18,4%), dalla perdita dei dati
(17,1%) e dal furto dei dati (11,8%).
Una risposta interessante è poi quella
data dal campione in relazione a
come viene coniugata la sicurezza IT
in relazione alla difesa dell’azienda.
Più della metà del campione (54,7%)
indica nella prevenzione l’approccio
della sua realtà alla tematica della
sicurezza,
mentre
il
45,2%
all’opposto indica un approccio più
orientato alla ‘reazione’ puntando la
maggior parte degli sforzi sulle
attività di recovery.
Rapporti con l’IT e competenze
del security manager
Dal campione emerge infine come la
sicurezza IT sia oggi ‘monopolizzata’
dalla funzione IT aziendale: l’82,1%
degli intervistati ha dichiarato infatti
come la funzione sicurezza rientri nei
compiti dell’IT. Solo il 14,2% ha
invece dichiarato l’esistenza di una
funzione
sicurezza
‘autonoma’,
mentre un altro 3,5% ha invece
ammesso che tale compito è invece
ripartito tra più funzioni.
Il forte legame con l’IT non significa
che la sicurezza informatica sia vista
esclusivamente in una dimensione
tecnica, anzi gli intervistati sono
consapevoli che un security manager
deve avere competenze variegate
comprese, oltre a quelle di tipo
tecnico, anche quelle manageriali e
legali. La ricerca ha voluto chiedere
quali delle tre ‘competenze’ debba
risultare prevalente in un security
manager. Ebbene vince, ma di poco,
la competenza tecnica 40,7%, seguita
a ruota da quella manageriale
(38,9%), mentre quella legale si
ferma al 20,3%.
Tutto sommato, quindi, da questa
ricerca si può trarre la conclusione
Diario di un security manager
C’è un modo nelle cose
di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork)
Saggi i nostri antenati romani... "Est modus in rebus": non basta fare le
cose, bisogna anche farle nel modo e nella misura giusta per non
rischiare di passare improvvisamente dalla ragione al torto. Purtroppo,
spesso, le indagini informatiche delle forze dell’ordine, nostrane e non, e
della magistratura, non si sono rivelate all’altezza di questo adagio.
Certo c’è da dire che stiamo assistendo a una evoluzione, lenta ma
positiva: sono passati anni, o forse secoli, dal primo ‘crackdown’ in cui
per impedire un presunto reato e raccogliere prove i poliziotti
sequestrarono tonnellate di materiale, spesso anche solo vagamente
elettronico, comprese collezioni intere di CD musicali originali. Oggi si
ha una percezione migliore di ciò che può e ciò che non può essere
coinvolto in un incidente informatico (ma risulta che anche due anni fa,
nella famigerata e fallimentare operazione ‘rootkit’, siano stati
sequestrati oggetti non molto attinenti alle indagini in questione).
Tuttavia, sono capitate e capitano in tribunale storie dell’orrore, riferite
da periti di parte, di analisi forensi eseguite sulla macchina sequestrata
accesa, senza precauzioni per preservare l’integrità delle prove: dei veri
e propri passi da gigante... all’indietro.
Tuttavia, tristemente dobbiamo constatare che nell’anno 2004 ancora
non si conoscono, o non si usano, metodologie di acquisizione
standard e non intrusive delle prove di possibili crimini digitali.
Già, perché non dovremmo mai scordare che di possibili crimini si tratta,
e che quindi perquisizioni e sequestri dovrebbero essere ridotti al
minimo, come vuole il diritto a tutela dell’indagato. Troppo spesso tali
strumenti si sono trasformati in metodologie punitive pregiudiziali. Dal
momento che tutto ciò che può interessare un’indagine telematica è
contenuto nelle memorie di massa degli elaboratori coinvolti, una
semplice acquisizione bit-a-bit di tali memorie, validata opportunamente
mediante hashing e firma digitale, o al limite l’acquisizione fisica dei
dischi rigidi, sono sicuramente più che sufficienti per le esigenze
d’indagine. Ogni cosa che ecceda questo è di troppo.
Parlo, sì, dei sequestri dell’italian crackdown, ma parlo anche di eventi
tristemente più recenti, come il sequestro da parte dell’FBI americano
degli hard disk del server di Indymedia, un portale di
controinformazione molto noto e frequentato. 300 GB di dati, articoli e
filmati non sono poca cosa da ripristinare, e quindi il sequestro causa
evidenti danni alla parte sottoposta al provvedimento (infatti, mentre
scrivo, il sito di Indymedia è ancora disattivato). Si tratta, in gran parte,
di materiale raggiungibile via web, e di cui nessuna autorità ha ordinato
la rimozione, ma soltanto l’acquisizione, che avrebbe potuto essere
realizzata in modi meno traumatici. Caso strano, il sequestro è stato
eseguito senza che la motivazione o il mandato venissero comunicati ai
legittimi proprietari dell’oggetto, ma soltanto al provider di housing che
ospita le macchine di Indymedia. Il che purtroppo non ci consente di
verificare quali siano le ragioni che hanno spinto al sequestro. L’unica
cosa che è nota è che sono state le magistrature svizzera e italiana a
chiedere l’intervento dell’FBI.
Si ipotizza che si cercassero prove relative alla pubblicazione in rete di
fotografie di agenti sotto copertura nelle manifestazioni di piazza, o
forse relative a diffamazioni di vario genere nei forum non moderati.
Tuttavia rimane difficile capire con che logica simili ipotesi di reato
possano portare a decisioni così drammatiche, anche e soprattutto
considerando che, secondo le dichiarazioni dei responsabili di
Indymedia, nessuno di quei server conserva i log.
Riassumendo, si tratta di un atto frettoloso, metodologicamente
errato, e non notificato a chi di dovere... non c’è che dire, un bel
record! Infatti, contrariamente al solito, nessuno vuole prendersi il
‘merito’ di tale azione.
Come avrete capito, stiamo parlando di un grosso pasticcio
internazionale di cui ancora non si vede la fine. Già, perché questi
preziosi dischi, sequestrati a tempo di record negli USA, dovranno finire
prima o poi in mano a un perito nostrano per l’analisi e l’estrazione delle
prove (chissà quali) in essi contenute. Se il perito poi li analizza
infilandoli in un pc e accendendolo, e distruggendone il valore
probatorio sai che figura ci facciamo?
Pagina 4 di 3
che le aziende attente alla tematica stiano, almeno dal punto di vista ‘culturale’, imboccando la
strada giusta, anche se le loro politiche di investimento rispondono ancora a una logica che
premia la ricerca di soluzioni temporanee a problemi contingenti e non una strategia di lungo
periodo.
Sicurezza, è ora di fare attenzione al phishing
Aumentano al ritmo del 50% mensile i casi di pagine Web false studiate per carpire i
numeri di carta di credito e le password degli utenti
Dopo i virus e lo spam, la nuova moda degli attacchi informatici è rappresentata dal cosiddetto
phishing, termine per cui non esiste ancora un'adeguata traduzione in italiano. Si potrebbe
pensare a qualcosa come 'contraffazione', dato che si tratta di truffe perpetrate mettendo
online pagine marcatamente simili a quelle di note banche e operatori dell'ecommerce, ma che in realtà non hanno nulla a che fare con esse. I navigatori attirati con
qualche trucco su tali pagine, se non si accorgono dell'inganno, sono indotti a rivelare dati
estremamente riservati come i numeri di carta di credito e le password, immediatamente
utilizzabili dagli autori del raggiro. Secondo
l'Anti-Phishing
Working
Group,
associazione di matrice americana con
...E quasi tutto lo spam viene dagli Stati
oltre 400 membri, tra cui 8 delle principali
Uniti
10 banche statunitensi e 4 dei primi 5 ISP,
nella prima metà dell'anno i casi di
L'86% dello spam circolante su Internet proviene dagli
phishing sono aumentati al ritmo del 50%
Stati Uniti. L'invidiabile primato è stato assegnato agli
USA da Ciphertrust, società specializzata nelle tecnologie
medio al mese, toccando i 1.422 episodi in
antispam, elaborando i dati provenienti da mille aziende
giugno. Erano 116 a dicembre 2003.
In giugno gli attacchi di phishing si sono
concentrati,
secondo
la
ricerca,
su
Citibank, il principale gruppo bancario
mondiale, ed Ebay: la prima ha registrato
470 casi, la seconda 285. La banca
britannica Lloyds TSB, per fare un esempio
non statunitense, ha subito 24 attacchi.
sue clienti e 5 milioni di messaggi spam nel trimestre
maggio-luglio. L'86% dello spam rilevato proveniva da
indirizzi IP registrati negli USA, un volume di fuoco
impressionante considerando che tali indirizzi
rappresentano solo il 28% del totale degli spammer. Per
contro, il 29% degli spammer ha un indirizzo IP registrato
in Corea del Sud, ma produce solo il 3% del totale dei
messaggi. "Sono estremamente sopreso da questi numeri
- spiega il ricercatore di Ciphertrust Dmitri Alperovitch -.
E' chiaro che anche gli spammer 'casalinghi' hanno
moltissima banda a disposizione e possono inviare grandi
quantità di spam".
Questo nonostante la legislazione statunitense stia
mettendo gli spammer nel mirino. La cosiddetta legge
Can-spam, acronimo di 'Controlling the assault of nonsolicited pornography and marketing', in vigore dalla fine
del 2003, prevede sanzioni da fino a 6 milioni di dollari e
cinque anni in galera.
Websense, software house specializzata
negli strumenti di filtraggio dei contenuti e
della navigazione su Web (l'antidoto più
appropriato agli attacchi di phishing) ha
rilasciato delle proprie elaborazioni sui dati
dell'Anti-Phishing Working Group: il 27%
dei siti di phishing è ospitato su server
americani, e la vita media di queste pagine è di 2,25 giorni. Quasi tutte le pagine (94%)
permettono all'autore di scaricare comodamente da remoto i dati ottenuti dagli utenti.
Pagina 5 di 3
L'impegno di Microsoft per la sicurezza: il punto in Italia
Da due anni Redmond ha dichiarato guerra alle vulnerabilità del software. Polizia
telematica e Sirmi: ancora molto lavoro per formare gli utenti
di Alessandro La Spada
Non si può certo dire che il Trustworthy Computing, l'iniziativa con cui Bill Gates un paio di
anni fa focalizzò l'attenzione dell'intera Microsoft sul rafforzamento della sicurezza dei prodotti,
sia stata una semplice formalità. A distanza di tempo Redmond continua a investire ingenti
risorse tecniche e di marketing su questo
fronte. I risultati sono alterni (il Service Pack
2 di Windows XP ha rappresentato un passo
Un italiano a capo dell'agenzia UE per la
avanti, ma la scoperta della possibilità di
sicurezza delle reti
infettare il sistema visualizzando delle
Nata durante il semestre italiano di presidenza dell'Unione
semplici immagini è allarmante), ma
Europea, l'Agenzia europea per la sicurezza delle reti e
l'impegno c'è ed è visibile. In Italia, ad
dell'informazione (ENISA) sarà presieduta proprio da un
esempio, la società nell'ultimo anno
italiano, unica tra le 16 agenzie europee attualmente in
fiscale ha speso un milione di euro in
funzione. Al timone siederà infatti Andrea Pirotti, 56 anni,
attuale consigliere del ministero delle Comunicazioni per
comunicazione per migliorare negli
la sicurezza informatica. La nomina è stata annunciata di
utenti
la
conoscenza
delle
recente. Compiti statutari dell'ENISA sono assicurare la
problematiche di sicurezza, e per il
sicurezza delle reti e svolgere attività formativa affinché
prossimo anno ha deciso di raddoppiare il
all'interno dell'Unione cresca e si sviluppi la
consapevolezza per queste problematiche. A tal fine
budget. È stato annunciato un accordo con il
l'ENISA svolge anche consulenza a beneficio degli Stati
ministero delle Comunicazioni in base al
membri e delle istituzioni dell'Unione
quale saranno attivati strumenti per aiutare i
genitori a limitare l'accesso dei minori alle
informazioni poco affidabili su Internet, e verrà inoltre creato un centro italiano di competenza
in grado di analizzare rischi e situazioni di crisi. Microsoft, si legge in una nota, metterà a
disposizione del ministero personale qualificato e best practice di riferimento.
L'accordo con il ministero conclude quello che per Microsoft è stato un periodo di particolare
attenzione al tema della sicurezza', cioè settembre, periodo in cui la società ha lavorato anche
in Italia su molte direttrici: dalla focalizzazione sui temi della security dei suoi due siti
principali, il sito aziendale e il portale MSN, ad eventi di formazione per ben 100.000 PMI e per
i partner. E' stato anche rilasciato il Service Pack 2 di Windows XP, l'atteso aggiornamento del
sistema operativo focalizzato sul tema della sicurezza.
Del resto l'utenza dei prodotti Microsoft, più ampia e variegata di qualunque piattaforma
concorrente, abbisogna ancora di sensibilizzazione un po' a tutti i livelli. Secondo una ricerca
condotta su tremila utenti del portale MSN, il 64% ritiene di avere un PC sufficientemente
protetto, ma il 56% rivela di usare ancora Windows 95, 98 o Millennium Edition. "In base ai
nostri cicli di progettazione e sviluppo, quelle piattaforme sono nate prima dell'avvento
dell'Internet di massa - spiega il vice direttore generale di Microsoft Italia Davide Viganò -. Non
possono proteggere al meglio gli utenti da qualcosa che è venuto dopo".
Le aziende, dal canto loro, spesso e volentieri negano gli attacchi informatici. Secondo un'altra
indagine, condotta nel 2003 da Sirmi, si comporta in questo modo il 69,1% di chi subisce
attacchi. Quasi un'azienda su due (49,3%) ritiene che denunciare un reato informatico sia più
nocivo, dal punto di vista dell'immagine, che non vantaggioso sul fronte della tutela. Il 74,6%
sostiene che non è sempre possibile identificare il colpevole, e il 53,2% reputa impossibile
dimostrare il reato. Il 58,7% teme che la cattiva pubblicità derivante dalla notizia dell'attacco
possa far scappare i clienti, e il 61,2% teme che la denuncia della vulnerabilità possa
addirittura incentivare gli attacchi. Da qui si capisce che gran parte delle imprese, in realtà,
invece di investire per la propria sicurezza spera di poter lasciare tutto com'era
prima dell'attacco.
Pagina 6 di 3
Talvolta
bisogna
anche
guardarsi
da
minacce
interne: "Nell'85% dei casi i
DOS (denial of service,
l'attacco via Internet con cui
si saturano le risorse di un
sistema
per
renderlo
inutilizzabile)
provengono
dall'esterno, ma l'80% delle
volte
gli
attacchi
che
causano
veri
danni
al
sistema
informativo
provengono
dall'interno",
spiega
Maurizio
Cuzari,
amministratore delegato di
Sirmi, richiamando concetti
noti come quelli dell'insider
trading e dei dipendenti
arrabbiati con la propria
azienda
al
punto
da
danneggiarla.
Spesso chi si intrufola in un
sistema o ne danneggia le
componenti non è nemmeno
consapevole di rischiare ben
tre anni di reclusione, spiega
Claudio
Caroselli,
vice
direttore del servizio centrale
della
Polizia
delle
Comunicazioni. La struttura
di Caroselli ha competenza
sulle indagini telematiche,
svolte quotidianamente "non
solo per far chiudere i siti dei
pedofili". La Polizia delle
Comunicazioni ha infatti in
corso svariate iniziative, ma
con un importante paletto:
"Noi non interveniamo prima
del problema, veniamo dopo.
Certamente
quando
entriamo in contatto con
un'azienda
il
nostro
personale fornisce consigli
anche in ottica evolutiva, ma
il concetto è che sono le
imprese a dover prevenire
gli attacchi. Noi non siamo
strutturati per farlo".
Qualcosa sul fronte della
prevenzione, almeno a livello
strategico,
la
polizia
è
comunque riuscita a farla: le
Diario di un security manager
Con la rete a pesca di fregature
di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork)
Nel grande mare di Internet è aperta da anni la pesca sportiva del credulone. Se avete
ricevuto (e chi non le ha mai ricevute?) delle e-mail che promettono mirabolanti prodotti,
avete una vaga idea di quale incredibile mercanzia si riesca a propinare online.
L’italico genio della truffa svanisce nel mare di Internet: il truffatore telematico non cerca il
colpo perfetto, si limita al minimo indispensabile, e sfrutta l’effetto amplificatore del mezzo
per raggiungere un numero di potenziali vittime così grande che, per motivi statistici,
almeno qualcuno ci dovrà cascare. L’ondata di spam a cui tutti siamo sottoposti è un
prodotto della pessima combinazione tra basso costo e risultato garantito.
Tuttavia, in questo scenario già fastidioso, esiste una problematica ancora più
pericolosa che trasforma questa "tassa sulla stupidità umana" (come è stata
felicemente definita) in un vero e proprio problema di sicurezza. Si tratta della
problematica del ‘phishing’. Si legge come ‘fishing’ (pesca) ma si scrive con il ‘ph’
iniziale, forse una fusione con il termine 'phreaking', la vecchia pratica di telefonare
addebitando la chiamata a un altro utente. In effetti nell’underground il termine phishing
è in circolo almeno dal 1996, e si riferiva inizialmente ai modi con cui acquisire
illecitamente gli account AOL.
Tuttavia, combinate l’esplosione dello spam, la sempre crescente presenza di utenti
poco accorti, e l’evoluzione delle tecniche, e capirete perché oggi il phishing, in
particolare mirato al furto d’identità, è un fenomeno preoccupante. Pensate che una
ricerca di Gartner sostiene che solo negli USA almeno 57 milioni di utenti hanno
ricevuto una e-mail di questo tipo, e almeno 1,7 milioni di essi sono stati vittime di un
furto d’identità.
Ma come funziona una tipica truffa di questo genere? Si comincia con una e-mail,
dall’aspetto molto ufficiale, magari in HTML e accompagnata dal logo di qualche
società conosciuta dalla vittima (un esempio tipico è una banca online, o il suo ISP).
Questa mail contiene un messaggio abilmente forgiato, secondo i principi della social
engineering, che cerca di convincere la vittima a fare qualcosa. Per esempio, nel caso
della banca, potrebbe essere visitare un sito che ‘sembra’ quello della banca e inserire
i propri codici di accesso. La motivazione è spesso molto urgente e assillante: "Verifica
che il tuo codice non sia stato compromesso!". Lo stile delle e-mail è spesso talmente
simile a quello dei messaggi veri da rendere molto difficile distinguerli.
Ora, il nostro truffatore deve ingannare la vittima e farle credere di essere sul sito vero,
non su un clone. Le tecniche usate sono parecchie: innanzitutto l’uso di URL
appositamente artefatti. Per esempio, www.lamiabanca.it:[email protected]
sembra, a prima vista, l’url della mia banca, ma in realtà usa la struttura degli indirizzi
creata per inserire login e password e connette l’utente a sitomaligno.com. Altre
tecniche usate sono l’escape encoding, o l’uso di codici UTF. tutto ciò che può servire
a ingannare l’utente sul vero sito con cui si sta collegando.
A questo punto il sito in questione viene riprodotto nei minimi dettagli, con logo, colori,
font. Se pensate che sia difficile, pensateci sopra: non è così complicato fare il mirror di
un sito e modificarlo. Addirittura esistono dei kit già pronti da scaricare contenenti i
layout di alcuni ‘target’ particolarmente appetibili
(http://www.sophos.com/spaminfo/articles/diyphishing.html). Alternativamente, l’utilizzo
di tecniche di cross-site scripting o lo sfruttamento di varie debolezze dei browser e dei
mailer (in particolare di quelli che usano il formato HTML e accettano l’esecuzione di
script all’interno delle e-mail...) possono aiutare il truffatore a ridirigere l’utente
inconsapevole verso la trappola.
Il risultato di tutto questo raggiro è che la vittima inconsapevolmente fornirà al truffatore
dei dati, che possono andare da un login e una password di un sito di home banking ai
propri dati personali. A volte la truffa è autocontenuta, e i codici vengono utilizzati per
rubare direttamente del denaro, ma spesso si sconfina nel fenomeno del furto
d’identità, che (stando alle statistiche) è uno dei problemi più avvertiti dai navigatori di
Internet. Usando nomi, indirizzi, numeri della previdenza sociale o di documenti
d’identità, e dati personali incautamente forniti, è facile agire in nome e per conto di
un’altra persona, sfruttandone la reputazione o le risorse per ottenere illeciti guadagni.
Una volta che il furto d’identità è avvenuto risulta spesso difficile, se non impossibile,
dimostrare di non essere stato l’autore delle transazioni in questione, sempre
ammesso che ci si renda conto che esse sono avvenute.
Pagina 7 di 3
aziende interessate, principalmente i grandi fornitori di servizi di pubblica utilità, possono
stipulare una convenzione che permette alla polizia di studiare in anticipo il loro sistema
informativo, in modo da intervenire in tempi rapidi e con la massima efficacia in caso di
attacchi. Gli enti convenzionati al momento sono Reti Ferroviare Italiane, l'ACI, il Gestore della
Rete di Trasmissione Nazionale (GRTN)
elettrica, SNAM Rete Gas, la RAI, l'ABI,
Sicurezza per forza... o per 'sforzo'
Poste Italiane e di recente anche Telecom
di Stefano Zanero
Italia.
Le Poste, a detta sia di Caroselli che di
Cuzari, hanno capito la lezione impartita
l'anno scorso dall'esplosiva intrusione del
worm Slammer, che mise in ginocchio il
sistema
informativo
bloccando
oltre
diecimila uffici postali in tutta Italia: non
avendo installato le relative patch, già
disponibili
all'epoca
dei
fatti,
un'installazione di SQL Server cadde
vittima del worm. "Subito dopo il fatto
sono partiti importanti investimenti nella
sicurezza informatica, al punto che oggi le
Poste sono all'avanguardia in Italia su
questo fronte", commenta Cuzari.
Sicurezza IT, utenti di 62 Paesi a
confronto
I dati di un’indagine svolta su un
campione di 8.100 professionisti della
sicurezza in campo informatico
La cosa che colpisce, in questi dati, è la sensazione che le
aziende siano ‘costrette’ a far fronte all’esigenza di
sicurezza che hanno sempre tralasciato, per almeno due
buone ragioni.
La prima è ovviamente la ‘compliance’ legale, che in Italia
si identifica con il rispetto del D. Lgs. 196/03 sulla
protezione dei dati personali. La seconda è la risposta a
incidenti e danni.
Su questo tema mi permetterei un’osservazione: se è
cresciuta la spesa nelle attività di rilevamento e
prevenzione ma non è cresciuto il numero di incidenti
registrati significa che quei soldi sono stati spesi male: è
improbabile infatti che stiamo già rilevando tutto il
rilevabile. O forse a spendere sono stati i "soliti noti",
mentre invece permane un’ampia fascia di sistemi e reti
assolutamente non sorvegliati. E infatti in parallelo si
rileva una sfiducia, in parte giustificata, nei propri sistemi
di sicurezza.
Ma se i sistemi fanno un po’ acqua, perchè non ci si pone
mano? "Mancano i soldi e le persone", dicono gli
intervistati, ma secondo me la verità sta nelle risposte
appena meno gettonate di queste: mancano le
competenze per gestire strumenti che sono ancora troppo
complessi, mentre tutti coloro che tra i vendor
promettevano soluzioni a bassa complessità si trovano di
fronte a una sequela di fallimenti poco promettenti. In
questo campo più che in altri, la tentazione di pagare il
prodotto piuttosto che il personale e la formazione è forte,
ma non paga: porta a un esborso di quattrini senza reale
crescita e ritorno per l’impresa.
Inquietante infine, secondo me, il fatto che soltanto un
terzo degli intervistati abbia rivisto le proprie policy in 12
mesi: sono sicuro che nello stesso lasso di tempo sono
cambiate moltissime cose in tutte le procedure aziendali,
come possono le regole di sicurezza essere sempre le
stesse? Mi rassicura viceversa lo spostamento della
security "fuori" dall’area IT, con l’incorporazione di
competenze legali e di business: insomma lo spostamento
verso il "corporate risk management" piuttosto che verso
"quella roba che fa il tipo della rete"
Per il secondo anno consecutivo la rivista
americana CIO, in collaborazione con l’altro
periodico CSO e PricewaterhouseCoopers,
ha condotto uno studio sullo stato della
sicurezza IT in ambito aziendale. Grazie
alla collaborazione di 8.100 professionisti
distribuiti in 62 Paesi e attivi nel mondo
della sicurezza IT per aziende di qualsiasi tipo e dimensione, è stato possibile tracciare un
quadro di come le aziende affrontano la questione, con particolare attenzione sugli
insegnamenti ricavati dagli incidenti che si sono riscontrati negli ultimi dodici mesi e sulle
ripercussioni in termini di bilanci.
Rispetto al 2003, i budget destinati alla tutela delle informazioni aziendali sono rimasti
pressochè invariati, arrivando a rappresentare circa l’11% dei fondi complessivi destinati
all’IT.
A guidare gli investimenti in sicurezza restano prima di tutto le normative che in qualche modo
‘costringono’ le aziende utenti ad adeguarsi ai livelli richiesti. In queste scelte, anche la
responsabilità nella gestione delle informazioni gioca un ruolo importante. Nel settore
finanziario inoltre, i requisiti richiesti dal complesso di regole che si vanno formalizzando in
Pagina 8 di 3
questi anni (da Basilea II alla
Sarbanes Oxley che coinvolge solo le
aziende
USA)
rappresentano
un’ulteriore stimolo a investire.
Aumenta il ‘peso’ della sicurezza
Nel corso di quest’anno, i budget IT
hanno registrato in media una lieve
contrazione. Il 58% degli intervistati
ha infatti dichiarato di avere a
disposizione una capacità di spesa
inferiore al milione di dollari (nel 2003
erano il 51%). Il 22% dispone di un
budget compreso tra 1 e 10 milioni di
dollari (erano il 27%), mentre il 23%,
contro il 22% degli scorsi dodici mesi,
può disporre di cifre superiori.
All’interno dei programmi complessivi
di spesa IT ridimensionati, restano
praticamente invariati i fondi destinati
alla sicurezza, determinando quindi
una maggiore incidenza della security
nell’ambito dei bilanci consolidati.
Sono infatti leggermente cresciute dal
10,93%
all’11,27%
le
quote
assegnate ai responsabili del settore.
L’indicazione è in linea con quanto
riportato
direttamente
dagli
intervistati, 56% dei quali auspica
una crescita, contenuta, nelle spese
per la sicurezza IT.
Maggiore controllo sugli incidenti
Appare stabile anche il numero di
‘incidenti’ che sono stati registrati,
intendendo come tali eventi che
vanno da accessi non autorizzati,
utilizzo di sistemi aziendali per
attività maligne sia dall’interno che
dall’esterno
dell’organizzazione,
a
ogni altro tipo di situazione capace di
recare danni al sistema informativo.
In questo ambito, a fronte di
un’evoluzione
nell’attività
di
rilevamento e prevenzione, nel 2004
gli utenti non hanno registrato
variazioni significative. L’evento più
frequente (53% rispetto al 59%
rilevato nel 2003) è risultato la
presenza di codice ‘maligno’, mentre
nel 29% si è verificato un attacco di
denial of services e nel 25% si è
accusata una situazione di accesso
non autorizzato.
Diario di un security manager
Ma chi ci tutela dalle leggi?
di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork)
Che periodo spettacolare per la legislazione collegata all'informatica. Abbiamo
visto dapprima il decreto Urbani, relativo all'uso di software peer to peer, che
punisce lo scaricamento di musica dalla rete (anche privato e non a fini di
lucro) con pene equivalenti a quelle previste per i reati minori di violenza (fino
ai tre anni!). Solo per miracolo è stata tolta la norma che avrebbe imposto ai
provider d'impedire l'uso di software p2p di qualsiasi genere. Una norma che
qualcuno ha parafrasato con "Da oggi ogni operatore ISP deve saper volare
agitando le braccia", per sottolineare la difficoltà tecnica a realizzare il dettato
di legge.
In seguito, una ispirata norma sul deposito obbligatorio presso le biblioteche
nazionali di Firenze e Roma delle opere editoriali ha incluso "tutti i documenti
telematici destinati alla diffusione". Siete pronti a mandare una copia cartacea
di tutti i vostri siti alle biblioteche? Una nuova copia va mandata a ogni
aggiornamento, e non voglio neanche pensare a cosa dovranno fare i siti di ecommerce o con contenuti dinamici. Il caos pare regnare nelle aule
parlamentari italiane ogni volta che si parla di argomenti tecnici. Certo verrebbe
da chiedersi perché quando mancano le competenze non si ricorra a chi ne sa
di più. Tutto il mondo è paese, comunque. Dagli USA arrivano notizie
inquietanti, secondo cui il Dipartimento di Stato sta considerando
l'introduzione di passaporti biometrici dotati di dispositivi RFID 'smart
chip'. Suona familiare? Ma certo, è la decantata Carta d'Identità elettronica
che anche i governanti europei tirano fuori di tanto in tanto.
Dell'assoluta inutilità dell'inserimento su una carta delle credenziali biometriche
dei cittadini abbiamo già parlato in precedenza, ma la passione degli americani
per le tecnologie inutili ha aggiunto la parolina magica 'RFID'. Intanto, come
tutti gli RFID di oggi, lo 'smart chip' non è troppo smart: chiunque,
trasmettendo sulla frequenza giusta, lo potrà leggere; se questo oggetto
sarà incorporato in tutti i passaporti, la lettura sarà tutto tranne che segreta.
Risultato: qualsiasi malintenzionato potrà leggere i chip a distanza, magari
individuando i viaggiatori stranieri in una folla, oppure per identificare e seguire
una singola persona. Certo, si possono progettare chip RFID che funzionino
solo a breve distanza, ma a questo punto perché non optare per la classica
striscia magneto/ottica che già oggi è in tutti i passaporti?
Se già ci preoccupiamo per la possibile perdita di privacy causata da usi
commerciali di questa tecnologia (per esempio per etichettare i prodotti della
grande distribuzione), figuriamoci cosa dovremmo dire di documenti
identificativi sensibili. Per non parlare di tutti quei simpatici burocrati e politici
che a ogni eco del terrorismo mediorientale invocano tecnologie da Grande
Fratello.
Quanto poi alla sicurezza non c'è da star tranquilli: intanto, chiunque potrebbe
crearsi dei finti RFID che rispondano a qualsiasi segnale (per esempio, si
potrebbe interrogare il passaporto di Mario Rossi e poi rispondere alla
macchina del controllo in aeroporto con la stessa risposta). Dispositivi
challenge-response andrebbero meglio, ma per ora non sono contemplati.
Alcuni tag - sperabilmente non quelli dei passaporti - possono essere anche
scritti via radio, a volte solo conoscendo una password. Mediante lettori
potenziati e triangolazioni, questi aggeggi potrebbero rendere obsolete le
scene di un film come Nemico Pubblico. I tag possono anche essere disabilitati
permanentemente da remoto - e dovrebbero esserlo, per esempio quelli usati
all'interno di un negozio, appena oltrepassata la cassa. Peraltro, se sottoposti a
una emissione radio troppo intensa, tutti gli RFID possono bruciarsi come
qualsiasi dispositivo radio ricevente. Saremo ridotti a passare il passaporto nel
microonde per evitare di essere rintracciati a distanza da ogni malfattore del
mondo? O a comprarci - come ha suggerito qualcuno - un portafogli con
gabbia di Faraday incorporata (un semplice schermo elettromagnetico).
Quando si leggono certe proposte, comunque, ci si trova davanti a un bivio
intellettuale. Una prima possibilità è che i proponenti siano semplicemente
disinformati in modo grave: una colpa non indifferente per una classe dirigente.
Ma l'alternativa è anche peggiore: è che non ci stiano dicendo proprio tutta la
verità, e questo, nello scenario attuale, sarebbe inquietante.
Pagina 9 di 3
In termini finanziari, il 43% afferma di non essere in grado di fornire stime sulle conseguenze
di tali incidenti, mentre il 33%, quattro punti percentuali in più rispetto all’anno passato,
ammette invece di aver accusato ripercussioni.
La questione delle policy
In materia di prevenzione, il 69% degli intervistati ha affermato di aver incluso nella propria
serie di policy per garantire la sicurezza dei sistemi l’amministrazione dei permessi degli utenti,
il 56% si impegna per un utilizzo più ‘appropriato’ della posta elettronica, mentre il 67%
applica regole di amministrazione dei sistemi.
Il 55% inoltre, segue anche una procedura per l’amministrazione a livello di rete, il 52%
applica norme dedicate alla gestione della sicurezza, il 46% si attiva per un impiego più
consono dell’accesso a internet e il 45% implementa una strategia di regolazione dell’accesso
sulla base del ruolo ricoperto in seno all’azienda.
Sono ridotte all’8% le realtà dove è ammessa la totale mancanza di una strategia in materia di
sicurezza che stabilisca una serie di norme di comportamento per gli utenti. L’anno passato
erano nella medesima situazione il 10% degli intervistati.
Sono però solamente il 37% dei responsabili IT ad aver valutato e rivisto le policy stabilite
dodici mesi prima. Un altro 31% ha affermato di averle comunque modificate, mentre un
quarto delle società interpellate non ha effettuato alcun tipo di intervento, né per valutarne
l’affidabilità, né per apportare migliorie.
Una serie di competenze anche extra IT
Al di fuori delle competenze strettamente IT, la sicurezza dei sistemi coinvolge comunque altri
rami aziendali. Nell’8% delle società è coordinata da un’attività di risk management, nel 9%,
da una di auditing interna, mentre il 4% si avvale anche della consulenza della divisione legale.
In termini di competenze invece, solamente il 29% dei responsabili contattati riporta
direttamente a un CIO, e tra questi l’8% ha dichiarato l’indipendenza del reparto sicurezza dal
dipartimento IT. Sei su 100 riportano al CSO.
La metà degli intervistati ha inoltre denunciato la totale mancanza di integrazione tra il settore
della sicurezza fisica e quella IT, una situazione che nel corso dell’ultimo anno si è
sensibilmente accentuata.
Allineamento al business
Qualche segnale di allarme in materia di strategie di sicurezza IT potrebbe emergere da un
lieve calo nella fiducia che i responsabili hanno manifestato riguardo l’allineamento tra le policy
stabilite e gli obiettivi di business della propria azienda. Sono infatti calati dall’87% all’80%
coloro che hanno dichiarato un totale allineamento. Sono invece il 63% a esprimersi in favore
di un allineamento anche per quanto riguarda le possibilità di spesa.
In calo risulta anche la fiducia nelle soluzioni di sicurezza disponibili. Sono il 22% i responsabili
che fanno totale affidamento sulle misure adottate, mentre il 57% afferma di esserlo solo in
parte. Esiste comunque un 14% che manifesta scarsa fiducia nel sistema di sicurezza presente
in azienda.
Non solo budget tra gli ostacoli
Ma quali sono gli ostacoli che inibiscono la realizzazione di un adeguato sistema di sicurezza IT
all’interno di un’azienda? Nella maggioranza delle situazioni (il 54%) sono ancora i budget
limitati a frenare le possibilità di perfezionare il sistema di difesa, mentre un 44% denuncia
anche carenze di organico e il 34% la mancanza di tempo da poter dedicare esclusivamente a
questo genere di problematica. Non manca però chi fa riferimento a una carenza di formazione
(24%) e all’elevata complessità delle soluzioni presenti sul mercato (24%).
Pagina 10 di 3
In calo infine due fattori che in
passato sono stati spesso indicati
come i principali freni allo sviluppo
di un’infrastruttura sicura. Sono
infatti passati dal 27% al 20% i casi
di mancato sviluppo dovuto a limiti
imposti dal management e dal 24%
all’11% le realtà dove veniva
accusata una scarsa collaborazione
tra i vari dipartimenti interessati.
Trasferire il centro dati:
quando a farlo è IBM
Come la società ha spostato il
centro servizi per la business
continuity e il disaster recovery
di Piero Todorovich
I trasferimenti che riguardano i
centri dati sono oggi all’ordine del
giorno,
stante
l’esigenza
di
consolidare le infrastrutture per fare
economie di scala e ridurre i costi di
gestione. Operazioni sempre molto
complesse quando in gioco ci sono
sistemi critici per le aziende. Nelle
scorse settimane IBM ha avuto il
problema di trasferire i sistemi
che supportano i servizi di
business continuity e di disaster
recovery per una molteplicità di
clienti, da Segrate (dove si
trovavano presso i sotterranei del
vecchio headquarter) al nuovo
centro di Settimo Milanese,
presso I.net. Pochi chilometri di
distanza nell’interland milanese, ma
non certo una passeggiata se si
considera che i sistemi traslocati
avevano un peso globale di circa
300
tonnellate
e
un
ruolo
sostanziale nell’operatività di istituti
bancari e grandi aziende italiane.
Perché affrontare un’operazione così
critica? Come lo si è fatto? Lo
abbiamo chiesto a Sergio Eufemi,
responsabile di business continuity
e recovery services per l’area Sud
Europa di IBM Global Services.
Diario di un security manager
TCP in fallo? Tanto fumo e poco arrosto
di Stefano Zanero (fondatore e responsabile tecnico di Securenetwork)
A dare retta alla stampa e ai suoi catastrofismi, ormai saremmo alla decima o
alla quindicesima Internet, considerando il numero di volte in cui la grande rete
è stata data per spacciata negli ultimi anni. Il fatto che tutto sommato, con le
sue lentezze a volte esasperanti e i suoi problemi, Internet sia ancora in piedi,
dovrebbe forse convincere chi ne ha dichiarato con tanta enfasi la fine di
rivolgere la propria attenzione a problemi più concreti e pressanti. Invece si
insiste, e insistendo si finisce con fare del male alla credibilità della
comunicazione negli ambiti che riguardano le tecnologie. Di recente, all'evento
internazionale CanSecWest di Vancouver in Canada (vedi
www.cansecwest.com), la caccia alle bufale è diventato un passatempo per
molti degli esperti convenuti, e molte risate hanno accolto i titoli di giornale e i
commenti di presunti 'esperti' che hanno predetto ogni sorta di conseguenze
per le vulnerabilità annunciate da Paul 'Tony' Watson, un ricercatore di
sicurezza americano.
Paul ha iniziato la sua presentazione con una slide che riportava il commento
più divertente, di un ignoto 'esperto di sicurezza' che spiegava compìto come
questa vulnerabilità fosse una specie di enorme tunnel che attraverso le reti
arriva fino al computer degli utenti, mettendone a repentaglio i dati personali.
Chiaramente non era vero niente, però questo sui giornali non l'ho mica letto.
Sarebbe stato sufficiente attendere la presentazione di Watson (o, perché no,
mandargli una e-mail) per avere dettagli sufficienti a capire cosa era vero da
cosa non lo era. Ma probabilmente, a quel punto, la notizia sarebbe apparsa di
così poca comprensibilità e significatività per il pubblico medio da non essere
più degna di pubblicazione.
Il nocciolo del problema
Sostanzialmente, ciò che accade lo potete scoprire direttamente navigando
sull'advisory (http://www.uniras.gov.uk/vuls/2004/236929/index.htm). Nelle
connessioni TCP un pacchetto viene accettato solo se cade tra il
precedente ACK e ACK+CWND-1, dove CWND è il valore della connection
window.
Il problema evidenziato da Watson è che, accettando un pacchetto RST che
abbia nel campo SYN qualsiasi valore incluso in quella finestra, si ottiene un
risultato anomalo, cioè di semplificare di molto le probabilità per un aggressore
di riuscire a resettare una connessione mediante spoofing. Questo presenta dei
problemi evidenti, in particolare nei casi in cui ci sia una connessione TCP di
lunga durata tra due punti fissi conoscibili (porta e IP sorgente, porta e IP
destinazione). Per esempio, questo è il caso delle sessioni BGP, in cui la porta
e l'IP di destinazione sono noti, l'IP sorgente anche, manca solo la porta
sorgente. Purtroppo, si verifica che per il modo in cui molti sistemi generano le
porte (cioè non casuale) anche questo parametro può essere indovinato.
Tuttavia BGP è lungi dall'essere l'unico protocollo colpito: è solo uno dei più
semplici e ovvi bersagli di questa tecnica. Le soluzioni? Finché non viene
risolto il problema di base delle implementazioni TCP, usare il graceful-restart
delle sessioni BGP per non sovraccaricare i router ed eventualmente usare
forme di autenticazione come MD5 (non è una cattiva idea, comunque).
Le possibili soluzioni
Come si risolve il problema del TCP? Secondo Cisco e altri vendor (vedi
http://www.ietf.org/Internet-drafts/draft-ietf-tcpm-tcpsecure-00.txt), riscrivendo
gli RFC del TCP. Secondo Watson e altri esperti, basta interpretare l'RFC
esistente, accettando un RST solo se cade sul limite di una finestra, e non
in mezzo, e ignorandolo altrimenti. La proposta di riscrittura degli RFC ha
suscitato un vespaio in quanto uno dei punti del draft vìola lo spirito
fondamentale della macchina a stati del protocollo TCP (in pratica, si
suggerisce di rispondere agli RST disallineati con un ACK).
Inoltre, sono stati evidenziati problemi molto simili a quello sollevato da Watson
per la ricezione di SYN all'interno della finestra di connessione, a cui il
protocollo imporrebbe di rispondere con un RST. In questo modo si potrebbe
ingannare uno dei peer della connessione e convincerlo a chiuderla. In questo
caso, invece, non è possibile risolvere l'ambiguità senza modificare in qualche
modo il protocollo.
I motivi del trasferimento
Pagina 11 di 3
"Un centro dedicato al disaster recovery e alla business continuity non deve stare assieme ad
attività differenti", esordisce Eufemi, precisando la condizione non ottimale del vecchio centro
di Segrate, presso la sede IBM. "I requisiti di sicurezza adottati dopo l’11 settembre richiedono
di separare le persone dai sistemi per ridurre il livello di rischio. Per questo aveva senso
trasferire il centro in una struttura dedicata e più efficiente (benché aggiornato il centro di
Segrate era stato concepito negli Anni ‘80, ndr)". IBM ha preso in affitto un’area di due
piani presso il data center di I.net a Settimo Milanese: "Una struttura attrezzata delle
fondamentali infrastrutture di alimentazione, condizionamento e sicurezza a livello dei nostri
migliori centri europei, regolata da precisi livelli di servizio. Le macchine, la connettività, i
servizi di gestione del centro e quelli consulenziali ai clienti sono forniti direttamente da IBM".
L’organizzazione del centro
Tra le componenti chiave del nuovo centro c’è l’infrastruttura di rete e dei sistemi, impostata
secondo i criteri dell’on demand. "La connettività one-to-one e one-to-many dei centri di
calcolo tradizionali non è adatta alle esigenze del disaster recovery - spiega Eufemi -, che
richiede riconfigurazioni in tempi ridottissimi per rispondere alle esigenze di test o d’emergenza
dei clienti". Questo ha significato per IBM
rivedere tutta la connettività, creando una
La nuova sede di IBM a Segrate
rete any-to-any che consente di variare
capacità e configurazioni. "La realizzazione
IBM Italia ha inaugurato ufficialmente, a Segrate, il suo
ha richiesto l’impiego di circa 100 km di
nuovo headquarter. Il nuovo complesso comprende
fibra ottica per piano, reti fabric LAN e SAN
quattro differenti palazzi per 37mila metri quadri di
superficie, 3.500 punti cablati, 460 Km di cavi posati e
che,
nell’emergenza,
assumono
le
430 nuovi alberi piantati per ospitare 2.300 dipendenti.
configurazioni
più
opportune".
Alle
Un ambiente che il presidente e a.d. di IBM Italia Andrea
connessioni locali si aggiungono quelle
Pontremoli ha detto esser stato pensato "per sostenere un
geografiche: "Presso il centro si attestano
modello di lavoro improntato alla condivisione della
conoscenza, alla stretta collaborazione e
le connessioni dei differenti carrier scelti da
all’apprendimento continuo”.
IBM e dai clienti: sia per le attività di
All’headquarter si accede da quattro porte che originano
mirroring, sia per sostenere i carichi in
quattro strade confluenti in una grande corte dove sta il
caso di guasto", precisa Eufemi. Ci sono
Forum, cuore tecnologico dedicato ai clienti e ai business
partner con un auditorium da 300 posti a sedere.
inoltre le connessioni point-to-point in fibra
ottica tra centri, con percorsi ridondati e
capacità di banda dell’ordine dei gigabit.
Il nuovo data center è suddiviso in moduli,
ognuno disegnato come insieme completo. "Abbiamo moduli legati alla tecnologia - precisa
Eufemi -: Unix, mainframe (con una configurazione minima in grado di soddisfare le esigenze
di clienti medio-grandi, ndr), Wintel e con sistemi multivendor, oltre a moduli specializzati per
cliente. In virtu della connettività any-to-any, i moduli sono ‘agganciabili’ fra loro a seconda
delle esigenze attraverso la console o, in via remota, da web". Le risorse dei moduli possono
essere dedicate, oppure essere condivise tra più clienti. "Nel secondo caso i costi sono inferiori.
Lo storage è l’unica componente che ha senso mantenere dedicata: per motivi tecnici e di
sicurezza", precisa Eufemi.
La continuità prima di tutto
Un aspetto cruciale del trasferimento era per IBM limitare al minimo i problemi per gli utenti.
"Le soluzioni adottate sono state diverse a seconda dei livelli di servizio contrattuali - spiega
Eufemi -. Da una parte i clienti con cui abbiamo impegni di ripristino entro 24 o 48 ore e con
dati presenti solo in fase di dest o d’emergenza. Dall’altra utenti con dati di produzione in
mirror presso il centro o sistemi con bilanciamento dei carichi con il sito principale". Per le
utenze meno critiche IBM ha provveduto a un trasloco parziale di risorse durante un
week end, mantenendo attivo il 50% delle risorse sia nel vecchio sia nel nuovo
centro. "In caso di disastro durante il trasferimento avremmo avuto comunque in ogni centro
risorse a sufficienza per le esigenze del maggiore dei clienti" - precisa Eufemi -. Questo ha
richiesto circa una settimana. Nella seconda settimana sono stati spostati i clienti più critici che
avevano sistemi attivi. "In alcuni casi si è clonato l’ambiente cliente nel nuovo centro tranne lo
storage: aggiornato fino all’ultimo momento. Durante il week-end quest’ultimo componente è
Pagina 12 di 3
stato trasferito nel nuovo centro, limitando i tempi di fermo dell’attività di mirroring a qualche
ora. Con altri clienti abbiamo duplicato anche lo storage usando tecniche di mirroring locale e
spostato lo storage-copia nel nuovo centro. Una volta reso operativo il nuovo centro, testato e
aggiornato lo storage, le macchine a Segrate sono state spente". Nel trasloco gli utenti hanno
avuto momenti più o meno lunghi di esposizione al rischio. Nel caso di disastri concomitanti
con il trasloco, "un caso possibile ma non probabile, avremmo potuto contare sull’assistenza
degli altri centri europei della rete BCRS", conclude Eufemi.
L'Italia? Non è a prova di disastro
I risultati di uno studio sul disaster recovery condotto nel nostro Paese per conto di
Veritas Software su un campione di aziende con più di 500 dipendenti
Veritas Software ha rilasciato oggi i risultati di un’indagine sul tema del disaster recovery
condotto da una società di ricerche indipendente, Dynamic Markets, su un campione di 54 IT
manager di aziende italiane con più di 500 dipendenti. Lo studio, giunto quest’anno alla sua
terza edizione, è stato stilato sulla base di interviste effettuate nel mese di agosto.
Dallo studio emerge, in sommi capi, che la percezione dell’importanza di un piano aziendale di
disaster recovery (da qui in avanti DR) è cresciuta tra le aziende italiane negli ultimi anni.
Tuttavia, sottolineano Veritas e Dynamic Markets, le imprese del nostro Paese sono
ancora per la maggior parte impreparate ad affrontare situazioni di pericolo come gli
incendi. Inoltre, hanno la ‘cattiva abitudine’ di non aggiornare o peggio testare con una certa
frequenza i propri piani di DR, e non adeguano quest’ultimi ai continui cambiamenti dell’IT. In
particolare, un primo significativo dato, che esprime una certa approssimazione nella
definizione dei piani di DR, è che ben il 48% delle aziende italiane interpellate ha ammesso di
essere stata costretta a rivedere la propria strategia di disaster recovery in seguito a un
attacco di virus, con il 43% che vi è stata invece indotta dal verificarsi di un evento disastroso.
Messi di fronte all’ipotesi del verificarsi di un evento avverso, inoltre, il 52% degli intervistati
ha dichiarato di non essere in grado di indicare il tempo necessario per riprendere le proprie
normali attività di base, e il 48% quello necessario a tornare operativi al 100%.
Secondo lo studio tuttavia, come accennato, oggi le aziende italiane sono consapevoli
dell’importanza di disporre di un piano adeguato di disaster recovery: senza di esso,
ben il 76% degli intervistati si sentirebbe esposto a rischi. Una diretta dimostrazione di tutto
ciò è il fatto che la percentuale delle aziende (28%) che ha subito downtime non programmati
negli ultimi 12 mesi precedenti la ricerca è nettamente calata se paragonata al dato emerso
nel 2003 (46%).
In linea con i risultati emersi nella precedente indagine, nell’ultimo anno le cause più frequenti
che hanno portato le aziende ad implementare per la prima volta un piano di DR sono il timore
di attacchi esterni come i virus (48%), la paura di disastri naturali come incendi o allagamenti
(48%) e le minacce provocate dall’uomo, come guerre o atti terroristici (17%).
Per quanto concerne invece il luogo in cui vengono implementate le procedure di DR, il 70%
del campione (84% nel 2003) ha dichiarato che risiedono ancora all’interno del data center
principale. Infine, ancora una volta per quanto riguarda l’Italia, si registra uno scarso
coinvolgimento dei vertici aziendali nella definizione delle politiche di DR, anche se rispetto al
2003 i CIO e CTO coinvolti nei piani di DR siano cresciuti dal 2 al 19%.
Pagina 13 di 3
La protezione dei dati è la prima priorità dell'IT
Secondo i risultati della ricerca Storage Index, le aziende italiane investono in
disaster recovery
di Emiliano Brunetti
Interessanti i risultati che emergono dall'ultima edizione del semestrale Storage Index, studio
indipendente commissionato da Hitachi Data Systems. Quasi un terzo degli IT manager
interpellati (un campione di 690 direttori IT prevalentemente europei) si dimostra preoccupato
dai problemi di sicurezza informatica, mentre addirittura l'81% delle aziende intervistate ha
dichiarato che la protezione dei sistemi contro disastri naturali o errori umani resta ai primi
posti nella lista degli investimenti.
Il panorama, tuttavia, è frammentato. Come sempre emergono divisioni chiare tra i Paesi del
nordeuropa e l'area del sud, sia in termini di investimenti sia per quanto riguarda le aree
tecnologiche considerate prioritarie. In tutto questo, colpiscono alcuni dati italiani. Il 60% degli
intervistati italiani sostiene che la crescita del volume dei dati porterà a una domanda di nuova
capacità entro i prossimi 12 mesi. Una crescita che per il 44% degli intervistati si attesterà tra
il 31 e il 50% rispetto alle dimensioni dello storage attualmente in uso. Tuttavia, per il 33%
degli IT manager italiani raggiunti dallo studio il budget IT dedicato allo storage crescerà nei
prossimi anni meno del 5%.
Poco budget per tanto storage?
A prima vista sembra che gli IT manager italiani puntino al miracolo: aumentare del 50% la
capacità totale contenendo l'incremento di budget dedicato allo storage entro il 5%. Sarebbe
un risultato notevole. Tuttavia, secondo Giuliano Bettineschi, country manager di Hitachi Data
Systems Italia, le cose stanno un po' diversamente. "È la logica del fare di più con meno - ci ha
detto - che si sta estremizzando. Ormai il fenomeno della riduzione dei costi della tecnologia è
palese, soprattutto per lo storage: il costo per GB scende quasi del 40% su base annua. Allo
stesso tempo stiamo assistendo a una contrazione dei budget IT piuttosto marcata, in alcuni
Paesi, come il nostro, più che in altri. Chiaramente la sola riduzione di prezzo non basta per
raggiungere i numeri dichiarati dagli IT manager italiani, ma con opportune economie di scala,
come per esempio quelle consentite dal consolidamento, è possibile raggiungere risultati
simili".
L'importanza
dell'adeguamento
normativo
Il consolidamento, in effetti, permette di
raggiungere economie di scala notevoli e allo
stesso tempo può mettere l'azienda utente
nelle condizioni di rinnovare in parte il
proprio
parco
macchine
tagliando
di
conseguenza i costi di manutenzione (che
diventano piuttosto elevati dopo il 36esimo
mese: il rinnovamento potrebbe permettere
di fare di più a parità di costi di
manutenzione). Ma è di per sé un
investimento che in qualche modo deve
essere giustificato. Lo stimolo principale,
secondo Bettineschi, è l'adeguamento alle
regole "per soddisfare alcune richieste
emergenti". Sono le novità in fatto di
A qualcuno serve la virtualizzazione?
Tra le priorità tecnologiche in ambito di storage la
virtualizzazione resta il fanalino di coda, invariata rispetto
alle scorse edizioni della ricerca. è ancora presto per
dichiarare che si tratti di un flop tecnologico, ma il dato è
chiaro: al momento interessa poco. In realtà secondo
Hitachi Data Systems è un fattore che sta emergendo nei
grandi utenti. Vedere lo storage in modo virtuale, ovvere
essere in grado di offrire capacità a richiesta per fare
qualsiasi cosa senza preoccuparsi dei dettagli fisici del
collegamento è importante. Inoltre ora, secondo Giorgio
Bettineschi, country manager di Hitachi Data Systems
Italia, è diventato un problema sentito più dalle grandi
utenze che dalle piccole strutture, come invece accadeva
qualche tempo fa. Di conseguenza il settore della
virtualizzazione sta partendo soltanto ora, e secondo
Bettineschi potremmo assitere alla nascita di nuovi prodotti
nel breve periodo.
Pagina 14 di 3
corporate governance che ora, anche in Italia, sembra stiano diventando particolarmente
attuali. Dalla Sarbanes-Oxley a Basilea II, l'adeguamento è ritenuto molto importante dal 37%
delle aziende (il 6% in più rispetto alla ricerca condotta nella prima metà del 2003).
Aumento minore rispetto agli altri Paesi
In ogni caso il dato italiano resta lievemente in controtendenza: gli aumenti di budget
previsti dalle altre nazioni hanno un picco tra il 6 e il 10%. Un dato che, secondo
Bettineschi, non va letto come un possibile segnale di crescita per lo storage outsourcing in
Italia. "Stiamo assistendo - ci ha detto - a una serie di fenomeni per cui chi tempo fa ha scelto
l'outsourcing tradizionale ora sta tornando sui propri passi facendo insourcing di strutture e
personale, principalmente per controllare meglio e con minori costi di servizio alcuni parametri
fondamentali".
Fattori non del tutto tecnologici
Se per l'Italia c'è poca differenziazione tra le diverse aree tecnologiche di massima priorità per
gli investimenti, i restanti Paesi sembrano tutti decisamente indirizzati verso lo
storage management. "In effetti l'Italia ha un certo ritardo - ci ha spiegato Bettineschi rispetto ad altri Paesi europei. Un anno fa la maggior parte delle risposte era concentrata
nell'area della riduzione dei costi, mentre ora è più in voga il disaster recovery. In tutto ciò il
nostro Paese ha un ritardo legato alla PA: altre nazioni sono più avanti proprio perché le
Pubbliche Amministrazioni hanno investito stimolando il mercato".
Il mancato interesse dell'Italia per lo storage management, dunque, non vuol dire che la
maggior parte delle aziende italiane ha già soluzioni di questo tipo in casa. Al contrario, tutto
indica che le soluzioni di questo tipo siano veramente poche. "Diventerà una necessità - ci ha
detto Bettineschi - di questo siamo sicuri. Lo storage deve essere gestito e secondo noi senza
storage management non è possibile crescere in modo organico. Per gli ambienti medio grandi
è una necessità strutturale inevitabile". Che, tuttavia, non porterà subito a una crescita
marcata. "Le tecnologie ci sono ma le aziende - ha aggiunto Bettineschi - devono decidere le
priorità di investimento. E' necessario conoscere come sono fatti i propri dati, dove sono salvati e come vanno gestiti".
Il problema degli standard aperti
Il livello di fiducia sul fatto che standard aperti efficaci saranno sviluppati nei prossimi due anni
non è particolarmente confortante. I dati sono sostanzialmente invariati rispetto al 2002 e non
c'è molta differenza tra gli estremi della 'nessuna fiduca' e 'molta fiducia'. Sembrerebbe che gli
utenti siano ormai poco inclini a credere nelle promesse tecnologiche del futuro. Non è
d'accordo Bettineschi, secondo il quale "gli standard aperti, al contrario, definiscono come i
prodotti devono dialogare tra loro e dunque diventano un investimento che resta nel tempo,
indipendentemente dal fornitore". "Credo che il risultato della ricerca - ha aggiunto - denoti
consapevolezza su come stanno andando le cose. Ci sono associazioni che definiscono gli
standard e il dato secondo me è destinato a crescere. Ho assistito a diverse conferenze
quest'anno, dallo Storage Expo a quelle organizzate da SNIA, e sono tutte state seguite con
grande interesse e partecipazione dagli utenti. La necessità di avere standard aperti al 100%,
che mascherino il livello fisico dei dispositivi, mi sembra sia emersa chiaramente. Ci sono stati
passi in avanti enormi rispetto a due anni fa".
Pagina 15 di 3
GLOSSARIO
Cross-site scripting:
una categoria di attacchi in cui l’aggressore riesce a inserire e visualizzare del contenuto arbitrario (spesso contenente
form, o codice javascript) all’interno di un altro sito vittima, riuscendo pertanto a visualizzare ed eseguire tale
contenuto sul browser del navigatore come se esso provenisse dal sito vittima.
Phishing whitepaper:
Per informazioni più approfondite sulle tecniche del "phishing" e sulle possibili contromisure, vi suggerisco questo white
paper di NGS Software:
RFID (radio-frequency identification):
Dispositivo ricetrasmittente passivo, dotato di una piccola CPU e di una limitata quantità di memoria. Al contrario di
quanto avviene con le smart card, essi vengono alimentati e letti via radio da un lettore, quindi non devono essere a
contatto fisico con esso. Inoltre, possono essere anche molto piccoli, creando possibilità di impiego molto varie ed
estese.
Biometria:
Nell'articolo si fa riferimento ai problemi della biometria nell'identificazione. Normalmente si può usare la biometria per
autenticare una persona verso un database di 'feature' biometriche riconosciute. Tuttavia, se la feature viene inserita
sulla carta essa non ha più alcuna utilità, associando solo il proprietario della carta alla carta stessa, e non all'identità
su essa dichiarata.
Italian Crackdown:
11 maggio 1994, con l’operazione ‘Hardware I’ decine di nodi FidoNet e BBS italiane vengono devastati da una raffica
di sequestri. Gran parte del materiale sequestrato resta per anni nei magazzini della Guardia di Finanza. Le procure
coinvolte sono Torino e Pesaro, e fanno piovere accuse di associazione a delinquere per frode informatica, alterazione
di sistemi informatici o/e telematici, detenzione e diffusione abusiva di codici d’accesso a sistemi informatici o/e
telematici,
ecc.
Tutto
finirà
nel
nulla.
Si
legga
il
libro
di
Carlo
Gubitosa:
www.olografix.org/gubi/estate/itacrack/sommario.htm
Operazione Rootkit:
Qualcuno si ricorda della famosa e sbandierata ‘operazione Rootkit’, con cui la Guardia di Finanza due anni fa sgominò
una pericolosa banda di criminali informatici? Non risulta infatti che nessuno dei coinvolti sia stato in seguito
incriminato e processato.
Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito http://www.sanpaoloimprese.com/
Documento pubblicato su licenza di IDG Communications Italia
Copyright IDG Communications Italia
Pagina 16 di 3