La Sicurezza è (solo) un Processo?

Adoro quando mi danno del dilettante. Mi sembra di tornar giovane, di non avere più 47 anni e di non averne passati circa 20 davanti alla tastiera. Di conseguenza, ringrazio sentitamente Marco Marcoaldi per il titolo del suo commento al mio articolo sulla Sicurezza dell’Open Source su Punto Informatico di oggi.

Marco, giustamente, fa notare che la sicurezza è un processo, non un prodotto. Non può saperlo (perché non mi conosce) ma con me sfonda una porta aperta su questo punto.

Il problema è che non è possibile implementare un processo di qualità senza gli strumenti adeguati.

La gestione delle utenze

Come ho già spiegato nel mio articolo, la strategia (o la “policy”) di Microsoft è stata, per molti anni, quella di permettere al proprietario del computer di usare l’utenza “amministratore” anche per i compiti quotidiani. La gestione di utenze separate, con potenzialità diverse, è presente in Windows dai tempi di NT (1998) ma non è stata quasi mai pubblicizzata, non è stato quasi mai “suggerito” l’uso di questa feature durante l’installazione e, fino a XP o Vista, non ne è stato reso obbligatorio l’uso. In buona sostanza, Microsoft non sembra avere in simpatia questo fondamentale elemento di sicurezza forse perché, come qualunque feature di sicurezza, è in contrasto con la semplicità d’uso del sistema.

Come se non bastasse, su Windows (e praticamente solo su Windows) è possibile assegnare con facilità a qualunque utenza le prerogative tipiche di un amministratore di sistema. Il risultato finale è che ci possono essere più amministratori sulla stessa macchina e che non è sempre facile capire a colpo d’occhio cosa può fare e cosa non può fare una certa utenza.

L’accesso a “root” (o ad “administrator”)

La situazione sarebbe già grave così ma Microsoft e diversi altri produttori di software di questo ambiente sono riusciti a fare di peggio: alcune applicazioni “utente” girano solo se ci si collega con una utenza di tipo “amministratore”. Ho già visto diversi programmi comportarsi in questo modo. Alcuni sono dei “trappoli” per il P2P ma altri sono normalissimi programmi di masterizzazione, programmi di grafica e roba simile. Posso capire che l’hardware richieda un driver che gira con i privilegi di “root” ma… insomma, su Unix ci sono anche setuid o sudo per queste cose!

Adesso, ditemi, come si fa ad implementare il “processo” di sicurezza di cui parla (sempre giustamente) Marco nel suo commento se si è costretti a far usare l’utenza “administrator” all’utente per il suo lavoro quotidiano?

La gestione degli interpreti di linguaggio

Onestamente, mi è successo solo su Windows di dover cercare per mezz’ora la scheda di controllo da cui si può disabilitare una funzionalità potenzialmente pericolosa di un programma. Solo su Windows mi è capitato di non riuscire a trovarla (e di scoprire che non c’era proprio!). Solo su Windows mi è successo di vedere che il parametro in questione veniva settato nuovamente su “on” da un aggiornamento del sistema operativo o dalla installazione di un nuovo programma, senza nemmeno che l’utente ne venisse informato. Mi è successo, tra gli altri, con l’interprete Visual Basic di MS Office, con l’interprete di Macro di Word e con la preview HTML di Outlook.

E torniamo al punto di prima: come faccio ad implementare un “processo” di sicurezza se qualcun altro, fuori dal mio controllo, si permette di modificare la configurazione della macchina senza la mia autorizzazione e senza nemmeno avvertirmi?

La resistenza al malware

Linux, BSD e Mac OS X sono sostanzialmente insensibili ai virus e ad ogni altra forma di malware. Windows no. La diretta conseguenza di questo è che la sicurezza del sistema dipende in modo cruciale dall’antivirus (che è un prodotto, non un processo).

Io però non ho alcun controllo sullo sviluppo dell’antivirus e sulla sua qualità. Come per qualunque programma, anche questo prodotto cruciale può essere messo fuori uso dall’utente, da un malfunzionamento del sistema o da un malfunzionamento della rete. Infatti, non sono rari casi di questo genere, anche su macchine “ben tenute”. Come se non bastasse, con l’avvento di Windows Vista molti antivirus, come Norton Internet Security Suite, hanno avuto seri problemi di funzionamento e di aggiornamento. Infine, per ammissione degli stessi sviluppatori, molti malware, anche pericolosi, non sono tuttora rilevabili dagli antivirus esistenti.

Quindi, noi poveri Cristi della security, quale c…o di sicurezza dovremmo implementare se non possiamo contare su questo prodotto fondamentale per l’intero processo?

Anche togliendo il software applicativo “sensibile” ai virus ed al malware (che poi è quasi tutto il software di Microsoft), restano comunque Internet Explorer e Windows stesso da rendere insensibili alle infezioni.

Con cosa li difendiamo?

In un mondo perfetto

In un mondo perfetto, l’utenza di amministrazione delle macchine sarebbe sotto il controllo diretto ed esclusivo degli amministratori di sistema, come giustamente fa notare Marco.

In un mondo perfetto, sarebbe possibile fare quello che giustamente consiglia Marco:

“Segmentare la rete ! IDS sulle LAN, IPS sulla Wan, Antivirus aggiornati, patch distribuite con tool automatici di aggiornamenti (Gfi vi dice qualcosa), tool di monitoring, e postazioni in kiosk mode precotta con tutto quello che ti serve per svolgere il tuo lavoro !”

Nel mondo reale, non è così.

Come ho già detto, per far funzionare alcuni programmi (magari critici per la professione degli utenti), a volte è necessario far lavorare gli utenti con una utenza di amministrazione. Inoltre, non tutto il software disponibile prevede la gestione delle utenze. Windows 95, 98 ed ME non lo prevedono (o, più esattamente, non forzano il rispetto delle barriere). Purtroppo, di macchine con questi sistemi operativi ce ne sono ancora parecchie in giro (e vengono collegate alle LAN aziendali, con le conseguenze che si possono immaginare). Per intenderci: Windows Vista è installato solo sul 5% delle macchine che seguiamo. Il resto monta Windows NT, 2000 ed XP (quando si è fortunati).

Più in generale, la quasi totalità delle aziende italiane è piccola, molto piccola (da due a sei dipendenti). In queste aziende, gli strumenti disponibili e la mentalità non sono quelli di una grande azienda. C’è molto vecchio hardware e molto pessimo software. Gli utenti sono spesso analfabeti da un punto di vista informatico e non hanno tempo da perdere in queste cose. Implementare un “processo” di sicurezza è difficile perché si va ad interferire pesantemente con il processo produttivo dell’azienda.

Ogni intervento deve essere effettuato con la “azienda in corsa”, senza fermare le macchine e senza distrarre gli utenti. Non c’è fisicamente il tempo di fare corsi di formazione e non si possono fare interventi che blocchino le comunicazioni ed i sistemi per più di qualche ora. In queste condizioni, per esempio, è quasi impossibile cambiare il software (od il sistema operativo) usato per molte funzioni vitali per l’azienda, come la contabilità, il CRM o cose simili.

Come se non bastasse, i proprietari delle piccole aziende hanno la tendenza ad usare con estrema facilità tutto il potere di cui dispongono (per il fatto di tenere i cordoni della borsa). Questo vuol dire che non esitano un solo istante a sacrificare una parte, anche notevole, della sicurezza se questa crea un intralcio alla produzione. Non c’è modo di discutere con loro su questo punto. Semplicemente, non possono permettersi di fare altro e non sentono ragioni.

Una conseguenza di questo è che molti “manager” aziendali (che spesso sono gli stessi proprietari, i loro figli, i loro nipoti, le loro amanti, etc.) sfuggono completamente all’autorità del security officer e finiscono spesso per compromettere la sicurezza dell’intera azienda.

In queste condizioni, non si può avere l’atteggiamento mentale di Marco (peraltro sano e comprensibile):

“Me ne frego dell’utente !!!! Per far danni deve prendere a martellate il monitor !”

L’utente, infatti, è la persona che ti ha commissionato il lavoro ed è più che disposto ad interrompere il contratto se gli rompi le scatole oltre un certo punto.

La dipendenza da prodotti plug’n play per la sicurezza diventa quindi cruciale. Si preferisce cento volte un antivirus od un firewall, anche rozzo, ad un corso di formazione, anche breve, o ad una procedura che “finisca nei piedi” degli utenti.

Con tanti saluti alla logica della sicurezza come processo che ci hanno insegnato all’università…

Conclusioni

La teoria la conosciamo bene anche noi. Sappiamo che la sicurezza dovrebbe essere un processo. Sappiamo che la chiave di volta del successo in questo settore è la formazione degli utenti. Sappiamo anche che Windows e Linux sono equivalenti, se usati da una persona esperta.

Purtroppo, però, non è questo il mondo in cui siamo costretti a lavorare.

Siamo in pochi. Ci pagano malvolentieri (perché hanno pochi soldi) e dobbiamo ugualmente fornire un servizio decoroso, soprattutto quando si parla di sicurezza.

Con Linux, BSD e Mac OS X questo si può ancora fare. Con Windows no.

Alessandro Bottoni

alessandro.bottoni@infinito.it

Annunci
Comments
4 Responses to “La Sicurezza è (solo) un Processo?”
  1. Bob ha detto:

    Com’è che si dice? Ah, si: FUD

  2. emilator ha detto:

    Ancora una volta apprezzo quello che scrivi.
    Non sono un esperto di sicurezza informatica, ma mi riesce molto facile capire i punti analizzati (qui e su punto-informatico) ed essere dalla tua parte.

    Io dalla mia ho solo una certa conoscenza dei sistemi crittografici, dal punto di vista teorico (la matematica). Per quanto riguarda la crittografia, non c’è software proprietario/closed-source che tenga. Perchè mi dovrei fidare di un programma che mi deve proteggere, senza sapere se quanto viene eseguito è “accettabilmente sicuro” o meno? Dovrei mandare in vacca tutta la sicurezza garantita (o fortemente presunta tale) da un procedimento matematico studiato (oltre che da me) da persone di cui, in un certo senso, mi fido, affidandomi ad un software di cui posso sapere ben poco, a parte vederlo in azione? Infatti, anche per questo la risposta a PGP è stata GPG.
    L’open-source, anche per questo, è vincente, e non è un fatto trascurabile.

  3. closedclub ha detto:

    Cio Alex, mi avevi chiesto una risposta argomentata? L’ho appena pubblicata.

    Con simpatia, CSOE.

  4. Inspiria ha detto:

    Complimenti veramente un articolo ben scritto e che spiega in maniere molto semplice come la gran maggioranza di NOI vive la sicurezza su i nostri computer.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: