Trattandosi di argomenti ampiamente discussi anche altrove qui troverete soltanto dettagli specifici attinenti alla nostra situazione, per le informazioni generali ed introduttive alla sicurezza si rimanda ad altri documenti nella sezione finale.
Il primo e più importante passo per violare la sicurezza di una rete consiste nel guadagnare l'accesso ad un account. Se l'account ha privilegi di sistema è molto meglio, ma anche un account normale in mancanza di meglio è già un bel vantaggio.
Gli episodi più recenti di attacchi con gravi conseguenza (Università dell'Ohio, Max Plank Inst. di Bonn, verso il dicembre 1999) sono stati tutti effettuati, secondo le ricostruzioni successive, mediante l'accesso ad accounts locali.
Con il diffondersi delle procedure di sicurezza i siti che rimangono vulnerabili diventano sempre più appetibili. Esistono programmi (detti scanner) che hanno proprio lo scopo di provare sistematicamente tutti i nodi per identificare quelli più vulnerabili verso cui indirizzare gli attacchi.
Vengono seguite le indicazioni elaborate dai servizi ufficiali per la sicurezza della rete. In particolare il centro di gestione GARR ha un gruppo di lavoro dedicato ai problemi della sicurezza che, fra le altre cose, elabora proposte e fornisce consulenza circa le misure di sicurezza a vari livelli. Oltre a ciò vengono tenuti contatti informali con altri istituti con caratteristiche analoghe alle nostre per seguirne gli sviluppi.
Cerchiamo poi di attenerci ad una linea di comportamento intermedia fra le politiche di massima e minima restrizione di cui abbiamo notizia cercando di minimizzare l'impatto sulle abitudini degli utilizzatori.
Ogni possibile operazione di accesso alla rete può essere effettuata in molti modi diversi e usando diversi programmi e protocolli. Il primo sforzo da parte degli addetti al supporto è quello di supportare il massimo numero possibile di quelli diffusi, ma qualche volta è necessario fare alcune scelte.
Il principale criterio adottato nelle scelte, oltre a quello ovvio di garantire la sicurezza che si vuole ottenere, consiste nella disponibilità del programma/protocollo su tutte le piattaforme hardware/software utilizzate: Windows 95/98/NT, Unix/Linux e (in subordine) MacOS. Altri criteri comprendono: stabilità e maturità del programma/protocollo, facile reperibilità, generalità delle funzioni svolte. Capita e continuerà a capitare che sia necessario o opportuno cambiare idea, ad esempio in presenza di nuovi prodotti migliori. Questo è possibile, ma tenendo conto del punto successivo.
La situazione relativa alla sicurezza evolve piuttosto rapidamente. Il servizio di sicurezza del GARR che è l'organismo che controlla gli aspetti di sicurezza della rete scientifica in alcuni casi impone norme e restrizioni dettate dall'evidenziarsi di problemi non precedentemete previsti. È ragionevole aspettarsi che la situazione tenda a stabilizzarsi con il maturare delle tecnologie coinvolte.
telnet ed ftp sono programmi (e protocolli) nati prima che si ponessero i problemi di sicurezza. Entrambi prevedono l'accesso tramite un controllo di identità con username e password, le stringhe che vengono digitate in risposta al prompt vengono inviate tramite la rete al nodo con cui ci si sta collegando dentro un pacchetto di dati senza particolari accorgimenti. È assai facile per chiunque abbia un PC collegato alla rete intercettare il pacchetto e ricavarne le informazioni.
In due occasioni in passato abbiamo individuato su calcolatori della nostra LAN programmi di questo tipo (detti sniffer) in esecuzione.
Per motivi analoghi a quelli relativi a telnet ed ftp. Entrambi i protocolli comunicano con il server in modo non sicuro anche per lo scambio delle password.
È in corso di adozione uno standard per consentire l'uso di POP ed IMAP sopra un protocollo sicuro: il programma "Outlook Express" già lo consente, come pure l'ultima versione (ancora beta-test [2]) di "Netscape". L'accesso con questa modalità sarà mantenuto attivo.
È una possibilità che è in corso di valutazione. Essa presenta tuttavia alcune controindicazioni non trascurabili. Per adottarla, infatti, occorre attivare un computer specifico sul quale tenere una copia di tutti gli account per l'accesso alla posta elettronica e sulla quale sia disabilitato il login (altrimenti la conoscenza della password consentirebbe il login su una macchina di rete). Questo rende impossibile per ciascun utente gestire la propria password con evidenti problemi per la distribuzione delle password agli utilizzatori, gli eventuali cambiamenti, ecc.
Oltre a ciò resta il problema che la password per l'accesso alla posta rimarrebbe vulnerabile, il che se non costituirebbe più una minaccia per l'integrità dei sistemi in rete, rimarrebbe tuttavia una minaccia per la privatezza della casella di posta elettronica.
Per limitare l'impatto sulle abitudini degli utenti. Abbiamo considerato l'uso per l'accesso esterno potenzialmente più pericoloso, perché il pacchetto fa una strada più lunga e passa per reti a noi sconosciute, ma secondo logica dovrebbe essere impedito l'uso anche internamente alla nostra LAN. Per il momento, con una evidente scelta di compromesso, ci siamo limitati a sconsigliarlo.
Analogamente pensiamo che per il momento l'uso di IMAP e POP sulla rete locale sia un rischio da dover correre per evitare di imporre regole troppo severe.
Le misure relative alla sicurezza sono molteplici. In particolare:
Non è facile prevedere quello che accadrà in un settore cosí dinamico. Tuttavia riteniamo che rapidamente emergeranno applicazioni e protocolli standard che rendano assai più "trasparenti" le pratiche di sicurezza agli utilizzatori. Riteniamo che questo sia il momento di maggior caoticità e confidiamo che si riesca in tempi brevi (diciamo entro l'anno in corso) a consolidare queste pratiche, nel senso di una ampia disponibilità e diffusione dei programmi e dei protocolli.
Per quanto riguarda le novità ci aspettiamo che presto si presenteranno necessità connesse con la protezione crittografica della posta elettronica e con l'autenticazione dei corrispondenti.