Insider Traders

Leggo su PI di oggi che un impiegato paranoico del Comune di San Francisco ha deliberatamente bloccato gli accessi alla rete cittadina (FiberWAN) e si rifiuta di fornire le password necessarie per sbloccarla (Vedi “Un informatico tiene in ostaggio San Francisco”).

Credo che valga la pena parlarne.

Una questione di fiducia

Ovviamente, tra il gestore di un servizio ed i tecnici che lavorano per lui deve esistere un rapporto di fiducia. Questo aspetto è tanto più importante quanto più delicato è il servizio. Secondo quanto riporta il San Francisco Gate, l’impiegato in questione percepisce uno stipendio di 127.000 US$ l’anno (Circa 95.000 euro lordi l’anno. In Italia sarebbero corrispondenti a circa 60.000 euro puliti l’anno, ovvero 5.000 euro a mese). Di conseguenza, sembra di capire che questa persona rivestisse un ruolo abbastanza critico per il Comune.

Non si capisce quindi come sia stato possibile assumere per un ruolo tanto critico una persona che, sempre da quelli che risulta dal SFG, era già stata in galera per furto e rapina aggravata.

Se si assume un ladro per garantire la sicurezza di casa, non ci si può seriamente aspettare che vada tutto liscio.

Oltre la fiducia

In generale, nelle aziende che trattano dati e servizi di una certa rilevanza, la affidabilità dei dipendenti viene considerata un elemento irrinunciabile. Non si assume nessuno se prima non si è assolutamente certi della sua totale affidabilità.

Tuttavia, si da anche per scontato che le cose possano cambiare con il tempo e che qualunque dipendente (anche di alto livello) possa “tradire”, per soldi o per altri motivi.

Il modo “standard” di affrontare questo rischio consiste nel distribuire i poteri tra più persone. Nelle banche, di solito, sia i caveau che i sistemi informatici sono accessibili solo dopo l’autorizzazione di almeno due persone diverse (con due diverse chiavi e/o due diverse password e/o due diversi riconoscimenti biometrici).

Inoltre, spesso viene mantenuta una backdoor “fisica” (accessibile solo con le opportune chiavi fisiche) per ogni evenienza. Dei dati critici viene fatto un backup quotidiano e vengono fatte delle simulazioni di restore. In buona sostanza, ci si premunisce contro l’azione distruttiva di un dipendente. Tutti i grandi sistemi (Unix, MVS, OS/400, etc.) dispongono delle feature hardware e software necessarie per questo genere di precauzioni ed il personale addetto viene istruito in modo da saperle usare.

Un ente di una certa dimensione, come il Comune di SF, che non mette in atto queste banali precauzioni non può davvero aspettarsi la nostra comprensione se una singola persona riesce a prendere il controllo di tutta la baracca.

L’accesso fisico alla macchina

Resta comunque il fatto che il personale tecnico del comune ha ancora accesso fisico al sistema. In linea di principio, quando si ha la possibilità di accedere fisicamente ad un sistema, è sempre possibile accedere ai dati che esso contiene. I dati di solito devono restare “puliti”, diversamente il sistema mostrerebbe dei malfunzionamenti evidenti e l’insider verrebbe subito scoperto. Di conseguenza, è sempre possibile ricreare un sistema funzionante a partire da essi.

Al limite, si staccano gli hard disk dal sistema, li si collega (in modo “passivo” o “slave”) ad un altro sistema e si trasferiscono i dati (ma non il software e/o le credenziali di accesso) su una serie di CD o DVD. Una volta rientrati in possesso dei dati, si reinstalla da zero il sistema operativo sull’hardware che era stato compromesso e si riconfigura tutta la baracca, fino a ricreare un nuovo sistema completamente funzionante e affidabile. A questo punto basta rimettere i dati dove dovevano stare e si può ricominciare a lavorare.

Ad essere esatti, questa drastica e complessa procedura non è quasi mai necessaria sui grandi sistemi per la banale ragione che i dati sono già disponibili all’interno dei backup. Basta fermare il sistema, reinstallare il software (sovrascrivendo le vecchie credenziali di accesso) e fare un restore dei dati (che potrebbe anche non essere necessario). Ovviamente, non si possono reinstallare le vecchie password, per cui resta comunque necessario riconfigurare tutti gli accessi (una procedura che può richiedere mesi). In molti casi, però, è possibile ritrovare un insieme di credenziali di accesso “pulite” e riutilizzabili nei backup più vecchi del sistema usato per l’autenticazione (spesso è un LDPA).

E se ha cifrato tutto?

L’unico modo di impedire l’accesso ai dati contenuti in un sistema, quando l’attaccante ha accesso fisico al sistema stesso, consiste nel cifrare i dati. In questo caso, è praticamente impossibile rientrare in possesso dei propri dati, anche avendo accesso fisico al dispositivo che li contiene.

Resta però possibile accedere ai dati non cifrati presenti nei vecchi backup, per cui resta possibile ricostruire il servizio, anche se si paga lo scotto di un “salto nel passato”.

Cifrare i dati di un sistema usato da molte persone però non è facile. Non si tratta certo di una operazione che passa inosservata: è necessario installare il software di cifra, stabilire le password, cifrare i dati, a volte è necessario modificare il software che accede ai dati dai sistemi esterni. Insomma: è una procedura ampia, complessa, non priva di rischi e che coinvolge moltissime persone. Non è qualcosa che si possa fare di nascosto durante la pausa pranzo.

Sarei quindi molto sorpreso dal fatto che i dati di SF fossero stati cifrati.

Conclusioni

Sono piuttosto sorpreso del fatto che un grande ente come il Comune di San Francisco sia riuscito ad assumere un delinquente conclamato per un compito da 127.000 US$ l’anno. Sono anche più sorpreso del fatto che non abbiano preso nessuna precauzione e che non siano ancora riusciti a scavalcare le password del delinquente in questione, eventualmente reinstallando l’intero sistema operativo.

Lascia sorpresi anche l’inettitudine delle figure di controllo. Secondo il SFG, la signora che avrebbe dovuto agire da security officer si è lasciata spaventare dal fatto che il delinquente ha iniziato a fotografarla e si è chiusa in ufficio. Ovviamente, per fare il security officer non basta la competenza tecnica: si deve avere anche la grinta necessaria per fronteggiare persone come questo delinquente.

Incredibilmente, sembra che questo criminale sia riuscito a resuscitare il sogno della “Tecnocrazia”: un mondo in cui chi dispone delle giuste competenze tecniche comanda gli altri. Questo sogno era stato definitivamente affossato negli anni ’70, quando ci si era resi conto del fatto che le decisioni (anche tecniche) che contano vengono sempre prese da chi stringe i cordoni della borsa.

Speriamo solo che i nostri gestori non incorrano negli stessi errori dei loro colleghi americani.

Alessandro Bottoni

alessandro.bottoni@infinito.it

Advertisements

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: