Come difendersi dagli HACKER
I pirati informatici possono attaccare in mille modi le aziende e la loro TESORERIA. Ecco le principali linee di difesa per un'efficace STRATEGIA DI SICUREZZA

di
Antonio Braghò e Francesco Cirillo
(Andaf)

Il ricorso ad applicazioni telematiche comporta una sempre maggiore attenzione alle problematiche relative alla sicurezza dei flussi di tesoreria. Dopo aver analizzato sul n. 3 di Bancaforte le esigenze di sicurezza nella esecuzione delle transazioni, in questo numero sono illustrati i principali tipi di attacco, le tecniche di difesa e gli elementi per la pianificazione di adeguate politiche di sicurezza

L’immagine di un computer che imputa freneticamente tutte le possibili password per forzare il blocco di login di un sistema è divenuta, probabilmente anche grazie al cinema, lo stereotipo dell'attacco a un sistema informativo. In realtà, numerosi sono i tipi di attacchi sferrati dagli hacker e quello ora descritto, denominato exhaustive search, è solo una delle modalità per forzare un sistema. Vari sono i motivi che spingono i pirati informatici ad attaccare i sistemi informativi: esibizionismo, vandalismo, ma anche vendita di informazioni riservate, un mercato, questo, in forte crescita.

GLI ATTACCHI DIRETTI...

Analizziamo i principali attacchi e le relative difese che hanno per oggetto i messaggi, nel nostro caso le transazioni relative ai flussi di tesoreria.

L'eavesdropping attack, l'attacco di chi origlia, consiste nel monitorare il traffico sulla rete ed è pertanto un attacco passivo. Chiunque possa accedere fisicamente al cablaggio di rete può, attraverso semplici software di utilità o uno sniffer hardware, sferrare questo tipo di attacco (vedi figura 1).
Nel caso in cui il messaggio non sia criptato, l'hacker può accedere direttamente alle informazioni contenute nel messaggio.
Risulta evidente che in tal caso la migliore difesa consiste nel criptare il messaggio. In questo caso l'hacker non potrà accedere alle informazioni contenute nel messaggio, a meno che non riesca a forzare il sistema criptografico. In alcuni casi l'hacker può non aver bisogno di conoscere il contenuto informativo del messaggio per sferrare comunque un attacco. Si consideri il seguente esempio: una tesoreria impartisce via rete un ordine di acquisto di valuta ad una banca. Il messaggio è criptato. L'hacker, pur non potendo accedere al contenuto della transazione, può comunque registrarla (vedi figura 2).
Successivamente l'hacker potrà rinviare quanto registrato alla banca. La banca riceverà il messaggio, provvederà a decriptarlo e ad eseguire l'ordine in esso contenuto.
È possibile contrastare tale attacco facendo sì che i messaggi cambino leggermente da una sessione all'altra. È possibile definire un generico protocollo di difesa basato su tale accorgimento: il destinatario genera un numero casuale e lo invia al mittente; quest'ultimo usa questo numero all’interno del messaggio che invia al destinatario che, a sua volta, ignora i messaggi che non indicano il predetto numero. Risulta chiaro che applicando questo pur semplice protocollo l'hacker non può rinviare con successo i messaggi registrati e il destinatario può monitorare l'attacco.Il man-in-the-middle attack si ha invece quando l'hacker si pone tra i partecipanti alla conversazione, impersonandoli entrambi. Questo è un attacco molto insidioso, in quanto chi invia informazioni riservate le invia all’impostore piuttosto che al vero destinatario. È un attacco da cui è più difficile difendersi, ma anche il più difficile da sferrare. Vista l'esistenza di un florido mercato di informazioni rubate, l'attacco può rendere molto. La struttura tipo di tale attacco prevede che l'hacker impersoni il destinatario al mittente e il mittente al destinatario, come mostrato in figura 3.
Affinché questo tipo di attacco abbia successo nel caso di algoritmi asimmetrici, l'hacker deve riuscire in qualche modo a far credere che la sua chiave pubblica sia quella del destinatario. In questo caso il mittente cripta inconsapevolmente i messaggi con la chiave pubblica dell'hacker e glieli invia. L'hacker decripta i messaggi con la sua chiave privata e, al fine di non essere scoperto, cripta il messaggio con la chiave pubblica del vero destinatario e glielo invia. A questo punto il mittente crede di comunicare col destinatario e quest'ultimo crede di comunicare col mittente. Tra loro l'hacker, che controlla, registra e, se vuole, modifica i dati che passano. Risulta chiaro che, in questo tipo di attacco, l'hacker sfrutta uno dei punti deboli dei sistemi di criptografia a chiave pubblica e cioè il problema relativo alla distribuzione delle chiavi pubbliche e, più generalmente, al legame tra una copia di chiavi e il suo proprietario. Una possibile soluzione del problema è quella dell'emissione di certificati digitali.

...E QUELLI INDIRETTI

Esistono tipi di attacchi che, pur non prevedendo un'azione diretta, incidono in modo determinante sulla sicurezza delle transazioni. Si consideri il seguente caso. La tesoreria di un'impresa deve effettuare un pagamento o urgentemente acquistare derivati per proteggersi dai rischi di mercato. Si prepara ad eseguire le transazioni, ma i computer o la rete interna sono fuori uso. Dall'esterno gli hacker bombardano i server dell'impresa con richieste insignificanti, bloccando i processori ed esaurendo l'ampiezza di banda di rete. Inviano migliaia di e-mail riempiendo i dischi di file spazzatura. Accedono alle risorse della tesoreria danneggiandole. Inoltre, con tecniche di spoofing, si rendono invisibili facendo sembrare che l'attacco sferrato dall'esterno provenga da un computer della rete interna.

Questo è lo scenario di un attacco possibile che, senza agire direttamente sulle transazioni, incide sul relativo sistema di sicurezza, producendo un grave danno all'impresa. Al fine di realizzare questo tipo di attacco, gli hacker sfruttano:

  • bug di programmazione degli applicativi, dei protocolli di comunicazione, dei servizi di rete, ecc.;

  • errate configurazioni del software installato;

  • informazioni raccolte relativamente a password, architetture di rete, protocolli e software utilizzati, ecc.

Di qui la necessità di non fare uscire dall'azienda informazioni anche ritenute a volte insignificanti. Importante è il ruolo dell'amministratore, il quale deve, attraverso la pianificazione di una adeguata politica di sicurezza, cercare di mantenere la massima riservatezza su qualsiasi tipo di informazione, ma fondamentale è l'esistenza all'interno dell'azienda di una generale educazione alla sicurezza. La consapevolezza che la password di uno può servire per forzare l'intero sistema di sicurezza è di certo condizione necessaria, anche se non sufficiente, per provvedere alla sicurezza dell'azienda.

Risulta evidente che l'esposizione a questo tipo di attacco aumenta nel caso in cui la rete interna sia connessa ad Internet. La connessione alla Rete delle reti infatti se, da una parte, consente alle aziende di comunicare a livello globale a costi contenuti e con grande facilità, dall'altra, espone l'azienda a milioni di potenziali hacker.

Una soluzione possibile è quella di concentrare gli sforzi per il mantenimento della sicurezza nel punto di contatto tra la rete interna e quella esterna (ad esempio Internet). A tal fine, generalmente, si decide di impiegare un firewall (vedi figura 4).

Esistono diversi modelli di firewall a seconda delle funzioni da svolgere (filtering, proxying, tunnelling). L'applicazione di un firewall consente, nel caso di connessione con Internet, di bloccare tutte le connessioni in entrata, tranne quelle dirette ai servizi che si intendono fornire, ad esempio server Web e server ftp.

UN SISTEMA DI SICUREZZA

Non è possibile ipotizzare l'esistenza di un sistema di sicurezza valido per ogni tipo di impresa. La pianificazione delle politiche e degli strumenti da impiegare per la gestione della sicurezza dei flussi di tesoreria dipende direttamente dalla struttura organizzativa e dalla distribuzione geografica dell'impresa, da quali rischi essa intende difendersi e da quanto è disposta ad investire nella sicurezza.

E’ però possibile delineare, in generale, le principali linee di difesa per una efficace strategia di sicurezza:

  • resistenza passiva. Consiste nell'eliminare l'oggetto del possibile attacco. Si sostanzia essenzialmente nella pianificazione della politica di sicurezza aziendale (definizione di una politica di accesso alle risorse, regole di assegnazione di nuovi identificatori di utente, ecc.);

  • resistenza attiva. Consiste nella costruzione di difese ai metodi di attacco conosciuti. Si sostanzia nella scelta e nell'implementazione del modello di firewall, dei sistemi di criptografia e di autenticazione;

  • monitoraggio e logging. Consentono di rilevare e registrare in tempo reale le attività sospette sulla rete;

  • procedure di ripristino. Definiscono le modalità di ripristino del sistema da attivarsi dopo aver subito un attacco.

(Ndr: ripreso dalla rivista Bancaforte dell'ABI del bimestre luglio-agosto 1998)