Mamma, ho preso il pirata…

• 28 marzo, 2003
• Stampa
• Invia a un amico
• 0

di Stefano Zanero
Le altre puntate

Prima o poi si arriva al regolamento dei conti. Dopo aver protetto e difeso la rete in ogni modo possibile, averla osservata con inquietudine per mesi in cerca delle minime tracce lasciate da un fantomatico attacco, arriva il momento in cui quelle tracce le trovi sul serio, e devi agire in fretta con in mente due fondamentali obiettivi: ripristinare il servizio rafforzando le difese; individuare l’aggressore, eventualmente denunciando l’accaduto all’autorità giudiziaria. Chiaramente, per non impedire ogni tipo d’indagine, la giustissima preoccupazione di ripristinare i servizi nel più breve tempo possibile deve lasciare spazio alla ‘raccolta delle prove’.

Per affrontare questo complesso problema mi sono documentato e ho chiesto lumi a Dario Forte, Information Security Analyst ed esperto in materia, innanzitutto per capire su quali log una azienda dovrebbe poter contare e quali può inoltre permettersi di conservare in relazione con la spinosa questione della tutela della privacy. La risposta non è stata univoca. Non si può certo ‘loggare’ tutto ciò che attraversa la rete, per evidenti ragioni di prestazioni. Solitamente si fa logging a livello di rete sui segmenti a rischio e con obiettivi precisi. È quindi chiaro che la predisposizione dei punti di acquisizione deve essere preventiva.

Per quanto riguarda le implicazioni della legge 675/96, ci sono stati dei pronunciamenti dell’autorità garante, ma le cose non sono così semplici, come molti cercano di far credere. Il logging, ai fini dell’intrusion detection, è lecito, se preventivamente notificato agli utenti e se per la conservazione/ acquisizione dei dati sono state poste in essere particolari attenzioni. Inoltre, per il tipo di strutturazione del traffico di competenza, non esistono implicazioni per i log acquisiti ai fini dell’intrusion analysis.

In altre parole la chiave sta nell’informare i dipendenti e nello strutturare la raccolta dei dati in modo da poter estrarre le informazioni utili, in caso di eventi di intrusione. Ciò che è connesso e correlato con l’evento – e quindi utile ai fini della protezione della rete aziendale -, non è influenzato dai requisiti della legge sulla privacy.

Mi incuriosiva anche la possibilità di usare come prova componenti estremamente labili come i log: che sono dei file di testo. Dario giustamente nota: “Tutto può essere falsificato. Va detto però che questi sono luoghi comuni presi come paravento da parte di chi tenta di smontare l’impianto accusatorio. In presenza di una buona installazione e soprattutto di una correlazione ben strutturata non c’è congettura sulla falsificazione che tenga”.

In altre parole, i log di una singola macchina sono certamente una prova labile. Ma laddove convergano i log della macchina, i log di un ISP, e altri tipi di prove informatiche acquisite nel corso di un’indagine giudiziaria, anche in campo informatico può essere costruita l’evidenza probatoria.
Personalmente resto molto scettico sul fatto che la magistratura sia oggi tecnicamente preparata per questo tipo di disamina delle prove telematiche. Per rassicurare coloro che pensano di fare denuncia, mi sono informato su alcuni luoghi comuni che parlano di agenti impegnati ad asportare intere macchine critiche: “Di solito si asporta il tutto solo in extrema ratio e, nel caso di computer forensics, di norma si prelevano solo i dischi”, spiega Dario. Anche su questi chiedo come venga garantita l’integrità: “Il dump con hashing è fortemente consigliato. Personalmente ho gestito vari incidenti su target definiti critici; comunque sia, quando c’è correlazione tra gli eventi, il problema dell’integrità assume un valore meno rilevante”.

Infine, tornando su un tema che mi sta particolarmente a cuore, quello della competenza investigativa, chiedo a Dario chi si occupa dell’effettiva analisi del materiale, e della stesura dei rapporti per i magistrati che, in genere, non sono esperti di informatica. “Le metodiche sono fissate di fatto dalle best practices internazionali – spiega Dario -. Per quanto riguarda l’ordinamento giuridico italiano, è fondamentale che l’accertamento possa essere ripetibile in qualsiasi momento (tranne che in alcuni casi di incidente probatorio). Di solito la polizia giudiziaria interviene sulle fonti di prova fornite da chi denuncia il fatto, se ne ha le capacità. In alternativa ci si appoggia a un consulente tecnico, se l’Autorità Giudiziaria lo ritiene opportuno. Questa è una fase molto delicata in quanto, in mancanza di una specifica professionalità da parte dell’organo accertatore, si corre il serio rischio di fare degli errori”.

E il mio dubbio resta aperto. Questa professionalità da chi viene accertata, e come? E subito sogno un albo professionale e un ordine per gli specialisti di sicurezza informatica, come esiste per gli Ingegneri o per i Medici.

0

commenti a questo articolo