Registrati | Recupera password
Home
Approfondimenti
Reinventare la sicurezza

Reinventare la sicurezza

0

Prevenire il ‘terrorismo’ hi-tech

I terrorismi

Un’altra, meno simpatica, rincorsa, che in queste settimane sta affannando decine di società, è quella per l’instaurazione di meccanismi di prevenzione contro il terrorismo, anche sul versante informatico e hi-tech. Devo ammettere che la cosa mi lascia perplesso.

Se da un lato i terribili eventi dell’11 settembre hanno giustamente innalzato l’attenzione sui temi della sicurezza in generale, dall’altro mi sento di gettare acqua sul fuoco dell’emergenza telematica. Dall’11 settembre a oggi, nessuno degli attacchi subiti dagli USA ha richiesto o coinvolto tecnologia informatica, se si esclude il possibile (ma non dimostrato) utilizzo di software di crittografia da parte degli attentatori.

Per citare una battuta che ho scambiato con Richard Power (il direttore editoriale del Computer Security Institute) in occasione di un recente convegno a Milano, “sarebbe molto bello se riuscissimo a convincere i terroristi a fare attentati telematici: per i sistemi informativi esistono le procedure di disaster recovery, per le persone no”.

Tuttavia, con tutti gli scetticismi e i distinguo del caso, è certamente d’uopo rivedere le nostre tecnologie e le nostre procedure con standard più elevati di sicurezza, spronati non solo dal desiderio di difendere noi stessi, ma anche da quello di evitare che i nostri sistemi vengano compromessi e utilizzati come punti di partenza per possibili attentati telematici.

Tenendo presente la disciplina militare della sicurezza (e non iniziate tutti a strapparvi i capelli pensando ai sistemi ITSEC-compliant) uno dei principi chiave è il ‘divide et impera’. Facciamo in modo che gli attacchi creino il minimo danno possibile partizionando i poteri amministrativi e le risorse.

Se un impiegato dell’help desk deve poter resettare le password, è del tutto inutile dargli un account con i privilegi di root (o di Administrator) che lo mette a rischio di creare danni immensi, e che nel caso capiti nelle mani sbagliate, espone tutto il vostro sistema. Assegnategli solo la capacità di creare le password.

Per fare questo tipo di cose non servono sistemi complicatissimi come i ‘trusted operating system’, con cui ho avuto delle brutte esperienze), sarebbe come sparare alle mosche con un cannone. Basta per esempio il pacchetto SUDO per Unix (http://www.courtesan.com/sudo) che consente di attribuire a utenti o gruppi la capacità di eseguire determinati programmi con i privilegi di root senza avere un account di root.

Ma a cosa serve tutta la sicurezza informatica del mondo quando manca l’approccio mentale adatto? Alcune settimane fa, in piena paranoia per l’inizio dei bombardamenti in Afghanistan, mi sono imbarcato per Roma con una carta di imbarco emessa ’senza nome’. Non so per quale motivo, probabilmente era un biglietto fatto all’ultimo minuto. Fatto sta che la giovane hostess al check-in non mi ha chiesto neppure un documento, fidandosi della mia parola. Devo ammettere che non ho volato tranquillo.

1. La rincorsa di FastWeb
2. Prevenire il ‘terrorismo’ hi-tech

Bookmark and Share

0
commenti a questo articolo

    Aggiungi un tuo commento...

    Per inserire un commento è necessario registrarsi e eseguire il Login