Negli annali della security si incontra molto presto il concetto di firewall. chiunque di noi sia cresciuto in questo ambiente ha sicuramente letto “bulding internet firewalls” (chi non lo ha fatto si vergogni e veda di procurarsi immediatamente il volumazzo in questionehttp://rcm.amazon.com/e/cm?t=portadiferro-20&o=1&p=8&l=bpl&asins=1565928717&fc1=000000&IS2=1<1=_blank&m=amazon&lc1=0000FF&bc1=000000&bg1=FFFFFF&f=ifr).
Per anni il firewall è stata la panacea della security, da li arrivava il male e da li occorreva proteggersi.
Il perimetro della security però è cambiato col passare del tempo.
i maggiori cambiamenti che si sono presentati sono legati da un lato al moltiplicarsi dei device capaci di connettersi ad internet ed alla loro delocalizzazione; dall’ altro dal cambiamento di uso degli strumenti informatici e la loro incredibile pervasività nei contesti tanto aziendali quanto personali.
Contemporaneamente si è sviluppato un ecosistema criminale il cui obiettivo è, come ovvio aspettarsi da attività illecite, sfruttare questa situazione per produrre in maniera efficace ed efficiente flussi di denaro. per rendersi conto di cosa parliamo considerate che oggi come oggi il crimine informatico inteso nella sua accezione più estesa, rende alle organizzazioni criminali più dello spaccio di droga.
Per capire se e come difendersi diventa quindi necessario avere almeno in termini generici, una chiara visione di cosa sia il mondo dell’IT attuale quali siano gli asset che vanno protetti, perché, da chi e da cosa.
lo scopo che ci si prefigge qui, quindi, è di dare una introduzione ai tre aspetti citati sopra:
- il nuovo perimetro della rete
- il nuovo uso degli strumenti informatici
- l’ecosistema criminale
Le nuove Reti
Volendo fare un poco di storia dell’informatica, tutti sicuramente ricordano come vi sia stato, a partire dagli anni 80 in poi, il passaggio veloce dalla vecchia informatica concentrata alla nuova informatica distribuita.
La chiave di volta è stata sicuramente la introduzione del personal computer che ha introdotto la delocalizzazione delle capacità di calcolo e spostato l’effort dal mainframe centralizzato al pc locale.
Questo processo tra alti e bassi, ripensamenti e cambi di rotta parziali, ‘e’ andato avanti incessantemente sono ai giorni nostri.
I momenti di rottura più grossi in questa storia tutt’altro che lineare (la legge di Moore non vale solo per la capacità di calcolo dei processori) sono stati fondamentalmente 3, rigorosamente non in ordine cronologico:
- l’introduzione dei portatili
- internet e la banda larga
- gli smartphone
Questi 3 elementi hanno dato il la ad una crescita inarrestabile della informatica distribuita rendendo impossibile il ritorno alla soluzione centralizzata.
Fondamentalmente quello che questi 3 momenti di rottura hanno portato è stata la possibilità di delocalizzare non solo l’elaborazione in termini di device (il cardine della informatica distribuita) ma di delocalizzare anche il sito di elaborazione spostando il device in grado di elaborare informazioni dalla scrivania dell’ufficio a ovunque si è connessi.
In questo senso la crescente capacità di calcolo dei portatili e la durata delle batterie da un lato, la possibilità di distribuire non solo dati statici ma dati dinamici e capacità di elaborazione attraverso web services dall’altro, ha reso lo scambio di informazioni e di applicazioni estremamente facile ed efficace.
La introduzione di smartdevice, quali gli smartphone, ha poi dato una accelerazione a questo trend con un occhio particolare all’accesso alla posta elettronica allargando la base di uso della connettività dal tradizionale canale fornito da un provider di accesso ai fornitori di fonia cellulare.
Come ogni circolo virtuoso i tre aspetti si sono autoalimentati a vicenda, ed oggi come oggi collegarsi ad internet per accedere ad informazioni anche aziendali (magari via vpn ssl) diventa fattibile ovunque basta che ci sia una copertura con almeno uno degli attori di connettività: provider telefonico, ISP o provider di fonia cellulare.
Contestualmente è aumentata la fame di banda consumata, a seguito delle esigenze di trasferimento dati sempre crescenti.
Digital Divide è il termine che è stato coniato per identificare chi, in una società sempre più connessa, non dispone di sufficiente banda. Chi avrebbe pensato al Digital Divide solo 10 anni fa?
Le nuove reti che sono nate sono quindi reti in cui vi sono miriadi di device eterogenei che sono in grado di scambiare informazioni attraverso alcuni canali “pseudostandard” quali la posta elettronica ed il web browsing. il risultato è che le tradizionali definizioni di perimetro sono oggi come oggi non più compatibili con la realtà delle nostre strutture di rete. Servizi “esterni” al nostro perimetro aziendale sono sempre più comuni, si pensi alla gestione della posta e servizi come rim o goodlink, o ai classici crm come salesforce; gli utenti sono sempre più fuori: la fonia stessa si e’ liberata dai lacci della localizzazione geografica con la fonia IP e la videoconferenza, webex o raindance docet.
Il nuovo uso delle reti
Aumenta la connettività e la capacità elaborativa ma noi ce ne facciamo?
Fondamentalmente abbiamo spostato il nostro modo di comunicare sui canali che funzionano meglio: quasi tutta la comunicazione oggi come oggi avviene attraverso la posta elettronica.
Cosi come avviene attraverso il web il reperimento delle informazioni extra aziendali (e sempre più spesso anche aziendali, con intranet ed extranet).
Il risultato di questo spostamento è che oggi come oggi oltre il 70% della proprietà intellettuale risiede nei nostri archivi di posta.
Dove risiedono i dati aziendali
Volendo mappare dove risiedono i dati aziendali oggi, si evince che sono distribuiti principalmente in 4 aree:
- Su server interni quali i mail server, i database servers, i file servers
- I desktoplaptop tipicamente sotto forma di documenti su file systems e archivi di posta locali, come i pst files di outlook
- Su servizi online, si pensi ai server ftp, i servizi online di crm, i motori di ricerca, l’online banking e cosi via
- In contenitori più tradizionali, come ad esempio gli archivi cartacei.
l’ordine in questo caso rappresenta l’ordine di importanza degli archivi. La presenza del cartaceo, se si esclude la pubblica amministrazione con la sua atavica arretratezza in termini di introduzione di nuove tecnologie, pur rimanendo e’ sempre meno presente, e soprattutto meno “essenziale” nelle operazioni di business operation.
contestualmente alla distribuzione dei dati su questi archivi va considerato come i dati e le infromazioni ad essi correlati sono trasportate trasmesse o ricevute.
La immagine seguente illustra i canali in termini di importanza seguendo un senso di rotazione orario:
come si vede i due canali principali di comunicazione sono la Posta Elettronica ed il Web.
Il motivo di questo spostamento è legato ai fattori che venivano descritti in precedenza, ma anche ad una caratteristica interessante: entrambi i media (posta e web browsing) hanno punti in comune che li rendono sinergici:
HTML
Innanzi tutto entrambi condividono un metalinguaggio descrittivo quale HTML.
Infatti sia la posta che le pagine web usano l’ HTML per il rendering della pagina in quanto questo permette da un lato la possibilità di introdurre contenuti di tipo “rich” (grafica e quant’altro), dall’altro di essere host di applicazioni dinamiche che utilizzano protocolli di livello superiore (si pensi a java piuttosto che flash o xml).
RFC, facilità e Standardizzazione
Entrambi i meccanismi di comunicazione si appoggiano a standard consolidati, molto conosciuti e quindi di facile implementazione. I protocolli sono stati disegnati (SMTP per la posta e HTTP per il web) per un ambiente distribuito e si appoggiano alle strutture native di internet, come la risoluzione DNS per l’identificazione di Host mittenti e destinatari.
Utilizzano Well Known Port (25 per la posta e 80443 per il web) che di fatto sono “sempre” aperte al traffico
Consentono di incapsulare contenuti e risorse sui loro canali.
In particolare con la introduzione del protocollo mime la posta ha “imparato” a trasportare dati in formato non testuale (da qui la possibilità di inviare attachment di qualsiasi tipo o di fornire il layout in HTML) mentre l’HTTP da sempre ha consentito di incapsulare all’interno del protocollo altri protocolli.
In compenso l’HTTP che condividono i due media consente, sin dall’introduzione dei frame e dei css, la composizione di layout composte da oggetti anche dinamici e provenienti da sorgenti eterogenee e diverse anche geograficamente, presentandole come una risorsa unica e coerente.
Scarsa attitudine alla scurity
entrambi i protocolli sono stati pensati per essere efficienti ed efficaci, ma non sono stati implementati pensando alla security. questo ne ha indirettamente, però, decretato il successo rendendone facile l’implementazione, il deployment e l’uso.
Il fatto di demandare la sicurezza ai layer successivi en in particolare al livello applicativo (inteso non come layer della pila ISOOSI ma letteralmente al client di accesso, alla applicazione vera e propria) ha inoltre consentito lo sviluppo extra protocollare di contenuti, applicazioni e risorse molteplici rendendo sempre più ricco il contenuto informativo trasportabile.
Alcune considerazioni: What You Get is NOT What You See
Siccome stiamo comunque parlando di security non si posso omettere in questa descrizione alcune considerazioni in tal senso. Ho scritto al paragrafo precedente che il web browsing e la mail hanno una scrsa attitudine alla security. Uno dei principali motivi è legato al fatto che non esiste identità tra il rendering della pagina e la effettiva natura dei dati trasferiti.
Il fatto che una pagina web appaia come un unico coerente anche se composta da una moltitudine di sorgenti ,da sempre induce l’utente al tipico errore di considerare la pagine web come composta da un unico server.
Se da un lato questo semplifica la costruzione di oggetti dal contenuto informativo e capacità di delivery eccellenti (si pensi al fatto che i protocolli in questione sono unreliable e quindi affidano al browserserver di posta i meccanismi di tramissione retry e fault tolerance necessari a rendere il contenuto disponile) dall’altro espone queste sorgenti ad un possibile hacking.
Considerando che posta e web browsing sono il canale di maggior distribuzione delle informazioni (vedi sopra) risulta evidente come anche er una attività di tipo criminale questi canali diventino appetibili.
Vedremo nel prossimo post legato alla descrizione dell’ecosistema criminale come e perché questi canali vengono usati.
Riassumendo i primi due punti
Risulta evidente come vi sia stato e sia tutt’ora in atto, un cambio notevole delle nostre reti e dell’approccio informativo che abbiamo grazie ad esse.
La distribuzione delle capacità di calcolo su device sempre più piccoli e trasportabili, la maggiore disponibilità di banda e la disponibilità su internet di servizi sempre più sofisticati e di valore anche in ambito aziendale, oltre che personale, ha cambiato il modo in cui le reti sono percepite e si usano.
La commistione dell’uso dei canali di comunicazione web e mail in ambito privato ed aziendale ha inoltre ridotto ulteriormente la definizione del perimetro aziendale anche in termini di modalità di uso delle risorse. Web browsing, chat, posta e persino blog e siti di social networking servono sia all’uso personale che a quello aziendale. la presenza della mia azienda cisco sia su facebook , u;tube che su twitter ne è un esempio, cosi come la presenza di questo blog. Essere su facebook risponde quindi sia ad esigenze ludichepersonali che a precise esigenze di comunicazione aziendale, si pensi ad esempio alle possibilità di sviluppo di canali di viral marketing (per chi non le conoscesse, non si tratta di una forma di malware, ma di forme pubblicitarie basate sul passaparola).
I vecchi criteri di definizione e filtro del perimetro aziendale in termini di logistica, geografia, elementi costitutivi e funzioni di uso non risponde più alle esigenze correnti.
Il non voler accettare o vedere questi cambiamenti in atto è pericoloso perché espone la azienda ed il privato al rischio di essere tagliato fuori dai modelli di comunicazione corrente. e questo significa indirettamente incidere al cuore del business che fa della comunicazione il veicolo principale della generazione di business e quindi di revenue.
Attenzione che non si tratta di speculazioni arbitrarie di un amante di internet, ma del fatto che su questi canali si muovono miliardi di euro in maniera sia diretta che indiretta, esserne fuori significa non far parte di questo modello di crescita economica, e quindi confinare il proprio mercato al perimetro strettamente locale.
Dimostrazione ne sia che oramai non esiste azienda di un certo livello che non abbia una esposizione su internet sia in termini di presenza informativa (communication marketing) che di servizio al cliente (CRM) come supporto o definizione contatti.
Anche nel nostro paese, l’Italia, nonostante il Digital Divide che colpisce gran parte del territorio ed una diffusa arretratezza informatica che pervade tutti i livelli della vita pubblica, privata ed aziendale (diminuendo nei fatti sensibilmente la nostra competitività) tali segni sono evidenti ed il trend è inarrestabile.