Milano – Lo scorso ottobre Microsoft ha annunciato lo ?Strategic Technology Protection Program?, un’iniziativa nata per aiutare i propri clienti ad essere e restare sicuri su Internet e sui loro network interni. Questo programma sta generando, da parte di Microsoft, una mobilitazione senza precedenti di risorse e personale, traducendosi dunque in uno sforzo notevolissimo per il big di Redmond. Come ha scritto di recente Brian Valentine, Senior Vice President della Windows division, ?in qualità di leader del settore, Microsoft si sente in obbligo di garantire la sicurezza informatica dei propri clienti?.
E? all?interno di questa iniziativa che qualche giorno fa Microsoft Italia ha organizzato un ?Laboratorio Tecnico sulla sicurezza? che aveva fondamentalmente lo scopo di mostrare come creare e gestire sistemi informativi sicuri basati su prodotti Microsoft. Terreno tradizionalmente molto “caldo” per l’azienda.
L?intervento di apertura è stato di Marco Agnoli, Industry Business Development Manager e Responsabile attività Sicurezza di Microsoft Italia, che ha mostrato alcuni dati di Computer Security Institute (CSI) dai quali risulta che, a conferma di quanto rilevato dai maggiori osservatori di sicurezza, non sono gli attacchi esterni i più diffusi, ma quelli provenienti dall?interno, anche se la percentuale dei primi lo scorso anno è salita al 40%, con una crescita del 25% rispetto al 2000.
L?obiettivo più difficile da raggiungere nell?implementazione di una buona politica della sicurezza, secondo Agnoli, è trovare un buon compromesso tra semplicità, privacy e controllo a livello di back-end, mentre a livello di front-end c?è la necessità di formare e responsabilizzare gli utenti perché non abbiano dei comportamenti ?sprovveduti?. Tuttavia a monte di tutto questo, ci deve essere la volontà e la disponibilità da parte dell?azienda di destinare parte del suo budget alla sicurezza, una spesa che in genere non viene considerata un investimento fino a che non si subisce un attacco.
Un recente studio del CSI mostra che lo scorso anno i danni causati da problemi nella sicurezza hanno provocato alle aziende perdite per 377 milioni di dollari. Dallo studio emerge anche il preoccupante dato secondo cui due terzi delle aziende di tutto il mondo sarebbero state colpite da virus (worm, troiani, ecc.) e che il 15% dei siti business ha subito attacchi DoS.
Un altro recente studio del Gartner Group prevede che l?attenzione delle aziende verso la sicurezza crescerà notevolmente dei prossimi anni e che questo tipo di investimenti, da parte delle imprese americane, passerà dai 3.7 miliardi dollari del 2000 ai 9.3 miliardi del 2005. Agnoli ha infine osservato che secondo i dati di SecurityFocus Bugtraq nel 2001 il 28% delle vulnerabilità hanno interessato la distribuzione Linux Red Hat 7.0, il 24% Solaris 8 ed il 24% Windows 2000.
Agnoli ha spiegato che la strategia di Microsoft per dimostrare la propria competenza nel campo della sicurezza è stata sviluppata su due fronti: da una parte ha messo a disposizione il proprio know-how (creando un?area sulla sicurezza sul proprio sito web, organizzando seminari sulla sicurezza o collaborando con i system integrator); dall?altro ha sviluppato tecnologie e strumenti adeguati per migliorare la sicurezza dei propri prodotti.
Agnoli ha poi voluto sottolineare come l?interesse di Microsoft per la sicurezza non sia una novità: in contemporanea con lo sviluppo di Windows 2000 nacque infatti la Secure Windows Iniziative, una task force che ha coinvolto personale Microsoft di tutto il mondo specializzato nella sicurezza. Ed è proprio a questo team che si deve la creazione e l?aggiornamento di vari tools per la sicurezza di cui Punto Informatico si è già occupato, come:
– IIS lockdown tool: consente agli amministratori di blindare immediatamente i server IIS 4.0 e 5.0 chiudendo tutte le porte e i servizi opzionali, lasciando all?amministratore la responsabilità di decidere se e quando attivarli (questo tool sarà integrato in IIS 6.0)
– URLScan: filtra le richieste di accesso ai web server, escludendo quelle sospette (lunghezza eccessiva o caratteri insoliti nelle URL). (Integrato in IIS 6.0)
– HFNetCHK: eseguibile a riga di comando che verifica lo stato delle patch di tutti i computer da rete da una posizione centrale.
– Microsoft Personal Security Advisor: applicazione web che visualizza lo status di una macchina e consiglia gli eventuali aggiornamenti da installare.
Parlando di patch è poi emerso il frequente problema dei tempi necessari per la loro localizzazione, che nel migliore dei casi (ovvero quando non bisogna attendere il rilascio del Service Pack) arriva anche a 2-3 settimane. Gianluca Zanelotto, Product Manager Internet Servers di Microsoft Italia, sostiene che questi ritardi sono necessari perché anche se la patch non deve essere tradotta, va comunque adeguatamente testata in associazione con i prodotti localizzati in italiano. Microsoft consiglia l?adozione dei prodotti lato server in lingua inglese proprio per evitare questi ritardi. Zanelotto ha poi sottolineato come in genere sono le piccole e medie imprese a richiedere la localizzazione dei prodotti.
Mario Esposito, Senior Technical Specialist, ha poi illustrato i software e le tecnologie messi a disposizione da Microsoft per consentire ai propri clienti di lavorare in un ambiente sicuro.
Windows 2000, che a differenza di Windows NT 4.0 è stato sviluppato tenendo conto della connettività ad Internet, supporta una serie di protocolli e di meccanismi di autenticazione e crittazione dei dati, fra cui Kerberos e IPSec, che proteggono le informazioni da inviare sulla rete, certificano l?identità degli altri interlocutori e forniscono uno standard con il quale piattaforme diverse possono dialogare in modo protetto.
Esposito ha dimostrato alcune delle tecniche di hacking più diffuse, fra cui il port-scanning, l?eavesdropping (tecnica di sniffing che consente di intercettare le informazioni che viaggiano sulla rete come login, password o dati sensibili) o il masquerading (mascheramento della propria identità allo scopo di ottenere delle informazioni) utilizzate in genere dagli assalitori per modificare le informazioni od ottenere l?accesso abusivo ai sistemi.
Per molti esperti della sicurezza le principali lacune di Windows NT, a livello archietturale, erano date dall?assenza di strumenti per la sicurezza centralizzata: ovvero, se un amministratore eseguiva delle modifiche alle impostazioni sulla sicurezza di più computer, ciò doveva essere fatto manualmente su ogni singola macchina. Windows NT obbligava gli amministratori ad utilizzare tool differenti per configurare le policy di sicurezza (ad esempio per impostare una auditing policy doveva essere usato User Manager for Domains, mentre per abilitarla su di una specifica macchina bisognava usare Windows Explorer e il Registry Editor) e non forniva nessun servizio di directory che agisse come autorità centrale per coordinare le identità e le relazioni tra la varie entità presenti nelle LAN.
Le risposte di Microsoft a queste problematiche sono state l?Active Directory (AD) e le Group Policy (GP) introdotte con Windows 2000. L?Active Directory permette da un lato all?utente di accedere alle risorse di rete usando i nomi e gli attributi degli oggetti e dall?altro all?amministratore di verificare l?identità dell?utente e decidere a quali risorse di rete possa accedere tramite le Access Control List (ACL). Un esempio pratico è l?accesso ad una stampante di rete: su NT 4.0 doveva essere conosciuto l?intero path di rete, mentre su Windows 2000 basta chiedere di trovare la stampante di rete più vicina.
Apriamo una piccola parentesi sulle ACL. Questa tecnologia non solo è fruibile all?interno di una LAN, ma anche all?interno del un singolo PC, purché sia presente un sistema operativo che la supporti come Windows NT 4.0, Windows 2000 o Windows XP Pro: nessuna delle varie versioni di Windows 9.x o Windows XP Home la integra. Il che vuol dire che nei sistemi consumer, un?applicazione maliziosa potrebbe inviare un messaggio di terminazione ad una antivirus o ad un programma per la protezione, senza che venga verificato se tale applicazione è legittimata a farlo, lasciando così il sistema totalmente indifeso.
Prima di spiegare quale sia il ruolo delle GP nella sicurezza di Windows 2000, è bene illustrare le differenze fra un dominio NT 4.0 ed uno Windows 2000. In NT 4.0, dove la rete logica rispecchia quasi uno a uno la struttura fisica del network e i processi logici di business vengono soddisfatti lavorando sui gruppi e sui global account, l’attività di dominio è suddivisa in Primary Domain Controller e Backup Domain Controller. Se un PDC cade, uno o più BDC continuano a soddisfare richieste di autenticazione e controllo delle ACL. Invece nei domini Windows 2000, la rete logica è completamente disaccoppiata dalla rete fisica e i processi di business sono soddisfatti creando relazioni gerarchiche e intercosse (tramite gli alberi e le foreste dell?Active Directory). Tutte le componenti della rete (utenti e risorse) sono soggette a policy distribuibili a cascata. Ogni domain controller è l’entry point di un albero della gerarchia logica della rete fisica. Tanti DC costituiscono le foreste. Alberi e foreste si mantengono aggiornati per mezzo di attività di replica automatiche che per le normali operazioni avvengono ogni 15 minuti, mentre per quelle più critiche (creazione/rimozione di un utente) avvengono in tempo reale.
Con le GP, Microsoft sostiene che l?amministratore ha finalmente a propria disposizione un unico strumento per gestire le politiche sulla sicurezza, configurare/installare le applicazioni all?interno della rete e gestire i domini in modo centralizzato. Per esempio, accedendo alle GP tramite Microsoft Management Console, si può decidere se la lunghezza della password deve essere di almeno 7 caratteri, se deve contenere numeri o caratteri insoliti come ?,? o ?!?, oppure se e come l?utente può installare/configurare le applicazioni (cliccando sull?icona inizia l?installazione oppure quello più avanzato può installarla da solo scegliendo tra quelle messe a disposizione dall?amministratore) o ancora a quale gruppo di utenti dare maggiore ampiezza di banda per la connessione ad Internet.
In risposta alle tante aziende che hanno richiesto un firewall per proteggersi dall?esterno, Microsoft ha poi sviluppato ISA, il suo primo prodotto completamente chiuso: di norma le Internet Application della Microsoft (come gli IIS) hanno tutte le opzioni e le porte abilitate, qui invece è l?amministratore che deve aprire le porte ed i servizi. Tra le funzionalità più interessanti di ISA, che supporta il linguaggio di script WMI, c?è il Dual-hop SSL ovvero la doppia certificazione: l?utente quando prova ad accedere ad un webserver protetto da ISA, riceve da questi un certificato e, successivamente ISA genera un secondo certificato con il quale chiede accesso al web server.
Giovanni Fleres
con la collaborazione di Alessandro Rontani
Ti potrebbe interessare
16 gen 2002