Eventi/ Il laboratorio sulla sicurezza di Microsoft

Quattro chiacchiere con gli esperti di sicurezza Microsoft, per conoscere il programma di protezione strategico e discutere del domani


Milano – Lo scorso ottobre Microsoft ha annunciato lo ?Strategic Technology Protection Program?, un’iniziativa nata per aiutare i propri clienti ad essere e restare sicuri su Internet e sui loro network interni. Questo programma sta generando, da parte di Microsoft, una mobilitazione senza precedenti di risorse e personale, traducendosi dunque in uno sforzo notevolissimo per il big di Redmond. Come ha scritto di recente Brian Valentine, Senior Vice President della Windows division, ?in qualità di leader del settore, Microsoft si sente in obbligo di garantire la sicurezza informatica dei propri clienti?.

E? all?interno di questa iniziativa che qualche giorno fa Microsoft Italia ha organizzato un ?Laboratorio Tecnico sulla sicurezza? che aveva fondamentalmente lo scopo di mostrare come creare e gestire sistemi informativi sicuri basati su prodotti Microsoft. Terreno tradizionalmente molto “caldo” per l’azienda.

L?intervento di apertura è stato di Marco Agnoli, Industry Business Development Manager e Responsabile attività Sicurezza di Microsoft Italia, che ha mostrato alcuni dati di Computer Security Institute (CSI) dai quali risulta che, a conferma di quanto rilevato dai maggiori osservatori di sicurezza, non sono gli attacchi esterni i più diffusi, ma quelli provenienti dall?interno, anche se la percentuale dei primi lo scorso anno è salita al 40%, con una crescita del 25% rispetto al 2000.

L?obiettivo più difficile da raggiungere nell?implementazione di una buona politica della sicurezza, secondo Agnoli, è trovare un buon compromesso tra semplicità, privacy e controllo a livello di back-end, mentre a livello di front-end c?è la necessità di formare e responsabilizzare gli utenti perché non abbiano dei comportamenti ?sprovveduti?. Tuttavia a monte di tutto questo, ci deve essere la volontà e la disponibilità da parte dell?azienda di destinare parte del suo budget alla sicurezza, una spesa che in genere non viene considerata un investimento fino a che non si subisce un attacco.

Un recente studio del CSI mostra che lo scorso anno i danni causati da problemi nella sicurezza hanno provocato alle aziende perdite per 377 milioni di dollari. Dallo studio emerge anche il preoccupante dato secondo cui due terzi delle aziende di tutto il mondo sarebbero state colpite da virus (worm, troiani, ecc.) e che il 15% dei siti business ha subito attacchi DoS.

Un altro recente studio del Gartner Group prevede che l?attenzione delle aziende verso la sicurezza crescerà notevolmente dei prossimi anni e che questo tipo di investimenti, da parte delle imprese americane, passerà dai 3.7 miliardi dollari del 2000 ai 9.3 miliardi del 2005. Agnoli ha infine osservato che secondo i dati di SecurityFocus Bugtraq nel 2001 il 28% delle vulnerabilità hanno interessato la distribuzione Linux Red Hat 7.0, il 24% Solaris 8 ed il 24% Windows 2000.

Agnoli ha spiegato che la strategia di Microsoft per dimostrare la propria competenza nel campo della sicurezza è stata sviluppata su due fronti: da una parte ha messo a disposizione il proprio know-how (creando un?area sulla sicurezza sul proprio sito web, organizzando seminari sulla sicurezza o collaborando con i system integrator); dall?altro ha sviluppato tecnologie e strumenti adeguati per migliorare la sicurezza dei propri prodotti.

Agnoli ha poi voluto sottolineare come l?interesse di Microsoft per la sicurezza non sia una novità: in contemporanea con lo sviluppo di Windows 2000 nacque infatti la Secure Windows Iniziative, una task force che ha coinvolto personale Microsoft di tutto il mondo specializzato nella sicurezza. Ed è proprio a questo team che si deve la creazione e l?aggiornamento di vari tools per la sicurezza di cui Punto Informatico si è già occupato, come:
– IIS lockdown tool: consente agli amministratori di blindare immediatamente i server IIS 4.0 e 5.0 chiudendo tutte le porte e i servizi opzionali, lasciando all?amministratore la responsabilità di decidere se e quando attivarli (questo tool sarà integrato in IIS 6.0)
– URLScan: filtra le richieste di accesso ai web server, escludendo quelle sospette (lunghezza eccessiva o caratteri insoliti nelle URL). (Integrato in IIS 6.0)
– HFNetCHK: eseguibile a riga di comando che verifica lo stato delle patch di tutti i computer da rete da una posizione centrale.
– Microsoft Personal Security Advisor: applicazione web che visualizza lo status di una macchina e consiglia gli eventuali aggiornamenti da installare.

Parlando di patch è poi emerso il frequente problema dei tempi necessari per la loro localizzazione, che nel migliore dei casi (ovvero quando non bisogna attendere il rilascio del Service Pack) arriva anche a 2-3 settimane. Gianluca Zanelotto, Product Manager Internet Servers di Microsoft Italia, sostiene che questi ritardi sono necessari perché anche se la patch non deve essere tradotta, va comunque adeguatamente testata in associazione con i prodotti localizzati in italiano. Microsoft consiglia l?adozione dei prodotti lato server in lingua inglese proprio per evitare questi ritardi. Zanelotto ha poi sottolineato come in genere sono le piccole e medie imprese a richiedere la localizzazione dei prodotti.

Mario Esposito, Senior Technical Specialist, ha poi illustrato i software e le tecnologie messi a disposizione da Microsoft per consentire ai propri clienti di lavorare in un ambiente sicuro.
Windows 2000, che a differenza di Windows NT 4.0 è stato sviluppato tenendo conto della connettività ad Internet, supporta una serie di protocolli e di meccanismi di autenticazione e crittazione dei dati, fra cui Kerberos e IPSec, che proteggono le informazioni da inviare sulla rete, certificano l?identità degli altri interlocutori e forniscono uno standard con il quale piattaforme diverse possono dialogare in modo protetto.

Esposito ha dimostrato alcune delle tecniche di hacking più diffuse, fra cui il port-scanning, l?eavesdropping (tecnica di sniffing che consente di intercettare le informazioni che viaggiano sulla rete come login, password o dati sensibili) o il masquerading (mascheramento della propria identità allo scopo di ottenere delle informazioni) utilizzate in genere dagli assalitori per modificare le informazioni od ottenere l?accesso abusivo ai sistemi.

Per molti esperti della sicurezza le principali lacune di Windows NT, a livello archietturale, erano date dall?assenza di strumenti per la sicurezza centralizzata: ovvero, se un amministratore eseguiva delle modifiche alle impostazioni sulla sicurezza di più computer, ciò doveva essere fatto manualmente su ogni singola macchina. Windows NT obbligava gli amministratori ad utilizzare tool differenti per configurare le policy di sicurezza (ad esempio per impostare una auditing policy doveva essere usato User Manager for Domains, mentre per abilitarla su di una specifica macchina bisognava usare Windows Explorer e il Registry Editor) e non forniva nessun servizio di directory che agisse come autorità centrale per coordinare le identità e le relazioni tra la varie entità presenti nelle LAN.

Le risposte di Microsoft a queste problematiche sono state l?Active Directory (AD) e le Group Policy (GP) introdotte con Windows 2000. L?Active Directory permette da un lato all?utente di accedere alle risorse di rete usando i nomi e gli attributi degli oggetti e dall?altro all?amministratore di verificare l?identità dell?utente e decidere a quali risorse di rete possa accedere tramite le Access Control List (ACL). Un esempio pratico è l?accesso ad una stampante di rete: su NT 4.0 doveva essere conosciuto l?intero path di rete, mentre su Windows 2000 basta chiedere di trovare la stampante di rete più vicina.

Apriamo una piccola parentesi sulle ACL. Questa tecnologia non solo è fruibile all?interno di una LAN, ma anche all?interno del un singolo PC, purché sia presente un sistema operativo che la supporti come Windows NT 4.0, Windows 2000 o Windows XP Pro: nessuna delle varie versioni di Windows 9.x o Windows XP Home la integra. Il che vuol dire che nei sistemi consumer, un?applicazione maliziosa potrebbe inviare un messaggio di terminazione ad una antivirus o ad un programma per la protezione, senza che venga verificato se tale applicazione è legittimata a farlo, lasciando così il sistema totalmente indifeso.

Prima di spiegare quale sia il ruolo delle GP nella sicurezza di Windows 2000, è bene illustrare le differenze fra un dominio NT 4.0 ed uno Windows 2000. In NT 4.0, dove la rete logica rispecchia quasi uno a uno la struttura fisica del network e i processi logici di business vengono soddisfatti lavorando sui gruppi e sui global account, l’attività di dominio è suddivisa in Primary Domain Controller e Backup Domain Controller. Se un PDC cade, uno o più BDC continuano a soddisfare richieste di autenticazione e controllo delle ACL. Invece nei domini Windows 2000, la rete logica è completamente disaccoppiata dalla rete fisica e i processi di business sono soddisfatti creando relazioni gerarchiche e intercosse (tramite gli alberi e le foreste dell?Active Directory). Tutte le componenti della rete (utenti e risorse) sono soggette a policy distribuibili a cascata. Ogni domain controller è l’entry point di un albero della gerarchia logica della rete fisica. Tanti DC costituiscono le foreste. Alberi e foreste si mantengono aggiornati per mezzo di attività di replica automatiche che per le normali operazioni avvengono ogni 15 minuti, mentre per quelle più critiche (creazione/rimozione di un utente) avvengono in tempo reale.

Con le GP, Microsoft sostiene che l?amministratore ha finalmente a propria disposizione un unico strumento per gestire le politiche sulla sicurezza, configurare/installare le applicazioni all?interno della rete e gestire i domini in modo centralizzato. Per esempio, accedendo alle GP tramite Microsoft Management Console, si può decidere se la lunghezza della password deve essere di almeno 7 caratteri, se deve contenere numeri o caratteri insoliti come ?,? o ?!?, oppure se e come l?utente può installare/configurare le applicazioni (cliccando sull?icona inizia l?installazione oppure quello più avanzato può installarla da solo scegliendo tra quelle messe a disposizione dall?amministratore) o ancora a quale gruppo di utenti dare maggiore ampiezza di banda per la connessione ad Internet.

In risposta alle tante aziende che hanno richiesto un firewall per proteggersi dall?esterno, Microsoft ha poi sviluppato ISA, il suo primo prodotto completamente chiuso: di norma le Internet Application della Microsoft (come gli IIS) hanno tutte le opzioni e le porte abilitate, qui invece è l?amministratore che deve aprire le porte ed i servizi. Tra le funzionalità più interessanti di ISA, che supporta il linguaggio di script WMI, c?è il Dual-hop SSL ovvero la doppia certificazione: l?utente quando prova ad accedere ad un webserver protetto da ISA, riceve da questi un certificato e, successivamente ISA genera un secondo certificato con il quale chiede accesso al web server.

Giovanni Fleres
con la collaborazione di Alessandro Rontani

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    ...paura di cosa??
    Qualcuno di voi fa' qualcosa nella vita di cui si vergogna?Per caso far sapere alla banca chi sono o scriversi in fronte nome e cognome è una cosa di cui vergognarsi?Io non devo rendere conto a nessuno per le mie scelte, faccio tutto quel che faccio perchè ne sono convinto e non mi interessa ne mi preoccupa dare visibilità della mia identità a istituti bancari, enti pubblici, forze di polizia o chi unque altro mi dia garanzia certa di non farne un uso da me non esplicitamente autorizzato.Soltanto un uso da me non autorizzato mi darebbe molto fastidio e potrebbe ledermi, quindi voglio poter decidere!Poi sarebbe molto più facile che le banche archiviassero solo le impronte dei delinquenti e confrontassero all'ingresso se la mia è compresa o no, senza necessità di archiviarla.Grazie
    • Anonimo scrive:
      Re: ...paura di cosa??
      Non è questione di paura, ma di riservatezza.Perchè devo far sapere alla banca o a cicciopasticcio dove sono stato il tal giorno, alla tale ora, perchè ero nel tal posto... perchè devo dar modo a chiunque di poter stabilire che cosa ho fatto in un pomeriggio qualsiasi di febbraio?A me non va.E poi se non ho le mani perchè le ho perse magari in guerra o sul lavoro? Ti sembra rispettoso nei confronti di soggetti di questo tipo? No dimmi tu... cmq, liberissimo di farsi schedare [perchè è di questo che si tratta, se non l'avessi intuito] da istituti di credito e compagnia, ma per lo meno che si consenta ANCHE E SOPRATTUTTO un accesso alternativo. Senza contare che nessuno mi garantisce che la banca o chiunque altro [dipendenti o meno] faccia un uso corretto delle informazioni ottenute su di me [ah già.. la privacy.. ceeeerto..].E, paranoie a parte, vogliamo forse non parlare del non poco trascurabile rischio di farci amputare dal criminale di turno le falangi solo per poter accedere in banca al posto nostro?Mah... scriviti pure in fronte nome e cognome, ma almeno che altri abbiano la possibilità di non farlo.... please..
  • Anonimo scrive:
    Nella banca il dito...
    ..e ai bar non ci pensiamo? Le stazioni? il metro? le discoteche? e Lo stadio?Ho un'idea!!! Facciamoci trapiantare un biochip alla nascita...evitiamo tanti problemi agli istituti bancari! Aiutiamoli!
    • Anonimo scrive:
      Re: Nella banca il dito...
      tranquillo fra 50 anni nascerano direttamente col marchio BioChip InSiDe...;-0)ricordate gattaca ??? e poi pensavamo che hitler che voleva fare una cosa simile era pazzo...;-0)il mondo va proprio a fanc...- Scritto da: gs
      ..e ai bar non ci pensiamo? Le stazioni? il
      metro? le discoteche? e Lo stadio?

      Ho un'idea!!! Facciamoci trapiantare un
      biochip alla nascita...evitiamo tanti
      problemi agli istituti bancari! Aiutiamoli!
  • Anonimo scrive:
    Mai una volta!
    Come diceva il buon Vasco, abbiamo perso una buona occasione...Certo, perchè UNA VOLTA OGNI TANTO le palle ai delinquenti dovremmo anche cercare di rompergliele, anche se ciò va' a leggero scapito della nostra privacy.E quando dico leggero, è veramente così, in quanto le banche raccolgono sì in un database le impronte, ma in forma assolutamente anonima (avete mai visto un bancario che si mette a scrivere nome e cognome di chi entra dopo che gli ha preso le impronte?)La cosa sarebbe utile invece per scoraggiare un rapinatore che verrebbe praticamente PER CERTO individuato (se pregiudicato) o comunque schedato in qualche archivio.A chi fa' lo spiritoso sulla sicurezza, augurerei un giorno di trovarsi a guardare il buco nero di una pistola, magari in una banca, e poi ne riparliamo.
    • Anonimo scrive:
      Re: Mai una volta!

      Certo, perchè UNA VOLTA OGNI TANTO le palle
      ai delinquenti dovremmo anche cercare di
      rompergliele, anche se ciò va' a leggero
      scapito della nostra privacy.ah si sono i delinquenti che montano il rilevatore di impronte in banca...ma non diciamo buttanate...che poi quelli che montano sti dispositivi sono TUTTI delinquenti e un'altro discorso...
      E quando dico leggero, è veramente così, in
      quanto le banche raccolgono sì in un
      database le impronte, ma in forma
      assolutamente anonima (avete mai visto un
      bancario che si mette a scrivere nome e
      cognome di chi entra dopo che gli ha preso
      le impronte?)no, ci pensa il computer...ti fa un bel scanning faciale e lo assoccia all'impronta...e se un giorno si scoprise che questi apparecchi fanno male alla virilita sareti ancora accordo di metterli ???ma vaaaa
      La cosa sarebbe utile invece per scoraggiare
      un rapinatore che verrebbe praticamente PER
      CERTO individuato (se pregiudicato) o
      comunque schedato in qualche archivio.hahahhahaahahahahahahahahhahaahhahahahahahahhahaahahahahahhahahahaahahsai quant'e facile fregare una cosa del genere ???NON SERVE A UN CAZZOOO...e chi e riuscito a fregare le banche dovrebbe essere schedato per truffa agravatta...
      A chi fa' lo spiritoso sulla sicurezza,
      augurerei un giorno di trovarsi a guardare
      il buco nero di una pistola, magari in una
      banca, e poi ne riparliamo.io gliela infilo su per il *ul* per il solo fatto di averci provato a puntarmi la pistola adosso...ma siamo pazzi se partiva un colpo rimanevo tutto offesso...ma lo faccio diventare donna a quello...;-0)
  • Anonimo scrive:
    MA col cazzo!
    Si, mettete la crocetta, ma col cazzo che mi faccio scannare per andare in banca a pigliare i MIEI soldi!E' un precedente TOTALMENTE da combattere
  • Anonimo scrive:
    fra un po al supermercato faranno lo scanning...
    del portafogli...se hai meno di 100 euro intasca te lo scordi di entrare;-0)
Chiudi i commenti