NEWS CYBER SECURITY - Difesa
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Torna alla copertina Editoriale Tra le attività comunemente intraprese nel quotidiano, emerge, senza alcun dubbio, l’uti- lizzo del web. Lo facciamo attraverso gli smartphone o i tablets di ultima generazione mentre siamo in viaggio o ci spostiamo in città oppure utilizzando il computer del nostro ufficio per esigenze di lavoro, da casa per svago o per fare acquisti on-line. L’utilizzo del web è diventato molto comune, soprattutto per la grande vastità di servizi che vengono resi disponibili agli utilizzatori del web, tra cui l’e-banking, la posta elettronica ecc.. Ma ci siamo mai chiesti cosa c’è alla base del web? Ci siamo mai chiesti quali rischi si pos- sono correre nell’utilizzo del web, se non vengono applicate alcune basilari regole di sicu- rezza? In questo numero del Cyber Security News, da come si evince, parleremo del web e dare- mo un breve cenno storico relativo alla sua nascita e la sua applicazione attraverso inter- net. Vedremo la sua evoluzione e come non sempre i portali o le singole pagine web che vengono visualizzati sono affidabili. Al termine, come di consueto, saranno fornite alcune raccomandazioni su come navigare con una certa sicurezza, specialmente quando si naviga dalla propria postazione di lavo- ro, in ufficio, dove anche se sono implementate le dovute misure di sicurezza, un errato utilizzo di questo strumento potrebbe mettere in pericolo i nostri dati e la nostra organiz- zazione.
Torna alla copertina BREVE STORIA DI INTERNET Nel lontano 1957, con il lancio in orbita del primo satellite artificiale, Sputnik 1, aveva inizio l’era spaziale. Apparentemente questo evento ha poco a che vedere con la nascita di internet, invece fu proprio quello il pretesto per la realizzazione del primo progetto di una rete di dati. Il presidente americano, Dwight David Eisenhower, dopo il lancio nello spazio dello Sputnik sovietico e preoccupato del fatto che gli Stati Uniti potessero perdere la propria suprema- zia scientifica, tecnologica, militare ed economica, ebbe l’idea di collegare fra di loro i migliori scienziati americani semplifi- cando lo scambio di informazioni fra i vari centri di calcolo sparsi negli Stati Uniti. Così nominò il rettore del M.I.T., Ja- mes Killian, capo del progetto ARPA (Advanced Project, Research Agency) per contrastare lo “schieramento” di scienziati messi in campo dalla Russia. Ovviamente sviluppare questo progetto richiedeva tempo, competenze e collaborazione a tutti i livelli, tra aziende, militari e accademici, e questi ultimi furono quelli che alla fine teorizzarono la rete delle reti e ne svilupparono la tecnologia. Così, dopo anni di lavoro e di studi, il 29 Ottobre 1969 venne realizzato il primo collegamento tra i computer dell’Università della California (UCLA) e lo Stanford Research Institute di Palo Al- to ed entro la fine dell’anno vennero aggiunti altri due nodi, l’Università della California (UCSB) e quella dello Utah. Era così nata ARPANET. Negli anni successivi la rete cominciò ad espandersi e sul finire del 1974 si era superato il nu- mero di 50 I.M.P. (Interface Message Processors, ossia gli odierni router). Nel 1975 ARPANET viene dichiarata operativa e il suo controllo passò nelle mani del Diparti- mento della Difesa americano. Nel 1983, per snellire la struttura operativa, il Dipartimento della Difesa degli Stati Uniti decise di creare una sottorete di ARPANET (MILNET) utilizzata esclusivamente per comunicazioni di natura militare e la struttura di ARPANET si ridusse così da 113 a 68 nodi. Ma è proprio da quei 68 nodi che prese origine quello che oggi tutti conosciamo come Internet.
Torna alla copertina LA NASCITA DEI SITI WEB Dal primo collegamento tra computer, effettuato nel 1969, bisognò aspettare ancora qualche decennio, prima che internet prendesse piede e mostrasse tutte le sue potenzialità. La vera esplosione di internet si ebbe agli inizi degli anni ‘90, quando la rete di computer colle- gati tra loro cominciava già ad assumere una certa importanza e presso il CERN di Ginevra si muovevano i passi necessari per lo sfruttamento della rete. Così il 6 agosto 1991 nasceva il primo sito web della storia: era info.cern.ch, messo online dal CERN. L’idea di realizzare una rete aveva già due anni. Era stato l’informatico Tim Berners-Lee a realizzare un documento in cui teorizzava il World Wide Web. La scelta del tema per la prima pagina virtuale della storia fu molto semplice: le istruzioni su come creare dei propri siti sul neonato World Wide Web. Il W.W.W. , a differenza delle prime comunicazioni su Internet , in cui i dati erano esclusivamen- te testuali, ha reso possibile la visualizzazione di immagini, video e suoni. Altro grande vantag- gio introdotto dal Web è la facilità di utilizzo dello stesso. In passato, infatti, per poter accedere a risorse Internet o per trasmettere informazioni era necessario utilizzare comandi poco intuiti- vi e molto complessi, e quasi sempre questi comandi dovevano essere inseriti manualmente tramite tastiera. Oggi un qualsiasi utente può raggiungere qualsiasi informazione semplicemen- te “facendo click” sui link presenti all’interno delle pagine web. Le infrastrutture di Internet si sono via via espanse in tutto il pianeta e oggi chiunque può sfo- gliare giornali elettronici, ascoltare musica e vedere video trasmessi online, comunicare via au- dio e video in tempo reale con altri utenti sparsi per il globo. Le caratteristiche fisiche infrastrutturali di Internet sono in continua evoluzione e le attività che si possono svolgere sono molteplici: invio di e-mail, acquisti on-line, transazioni bancarie sono una piccola parte di quello che avviene sulla rete attraverso i siti web. Ma gli utenti, sono tutti in grado di svolgere queste attività in sicurezza? Sono consapevoli dei rischi a cui possono anda- re incontro? IL PRIMO SITO WEB DELLA STORIA, MESSO ON-LINE DAL CERN IL 6 AGOSTO 1991.
Torna alla copertina IL MONDO WEB Il Web è un sistema di documenti in formato iper- testuale messi in relazione attraverso collega- menti (link) e accessibili mediante Internet. Per mezzo di un applicativo che prende il nome di web browser, istallato su una macchina client (che può essere un personal computer o uno schermo televisivo, un tablet, uno smartphone ecc...), l’utente può scaricare (download) dai web server e navigare (sfogliare) interattivamente attraverso link i repertori ipertestuali organizzati in pagine web, che contengono testo, immagi- ni, video e altri formati multimediali (suoni, animazioni, immagini ecc.). La differenza tra la prima pagina web, realizzata nel 1991 dal CERN, e quelle odierne, è eviden- tissima, sia nell’aspetto grafico che in quello funzionale. Gli anni immediatamente successivi alla nascita del World Wide Web (W.W.W.), sono stati ca- ratterizzati da una velocissima evoluzione tecnologica e, con l’aumentare delle dimensioni di internet, il web ottenne ampio successo ed una crescita esponenziale sia per diffusione che per i contenuti disponibili. Ovviamente i primi siti web, anche se graficamente sempre più evoluti, erano composti da pa- gine statiche, improntate soltanto sui contenuti. Erano dei siti molto semplici con testi, imma- gini e video, e le varie pagine erano collegate fra loro attraverso collegamenti ipertestuali. L’utilizzo che ne veniva fatto era di semplice informazione in quanto non era possibile interagi- re con il contenuto. Questo era il cosiddetto web 1.0. Ma era evidente che le potenzialità di questa tecnologia erano superiori all’uso che se ne stava facendo, ed i ricercatori, spinti da questa certezza, cercarono nuove soluzioni fino a sviluppare nuove tecnologie che resero possibile l’interazione tra l’utente ed i contenuti della pagina web. Era nato il web 2.0, un web dinamico, dove chiunque ha la possibilità di condividere informa- zioni, commenti, idee, attraverso i blog, i social networks e può contribuire alla creazione di contenuti e all’ampliamento, in maniera esponenziale, del web… Anche questa “versione” del web è ormai superata, siamo già al web 3.0, una struttura in conti- nua evoluzione che si basa su una sorta di “intelligenza artificiale” capace anche, grazie ai so- cial, di influenzare la realtà come mai era successo in precedenza. Un web semantico, dove le ricerche saranno sempre più raffinate e basate sulla presenza, nei documenti, di parole chiave, collegamenti ipertestuali ecc… Ma c’è un problema in tutto questo, un problema a cui l’utente medio non da il giusto peso e la relativa importanza; il problema della sicurezza. Il web è un mezzo troppo potente e appetibile, e diversi “malintenzionati cibernetici” lo sfrutta- no a scopo di lucro. Chi utilizza il web, deve tenere in mente che cadere nella trappola dei cri- minali informatici non è difficile, basta visitare un sito web sbagliato, inserire dei dati personali, visionare un video o, semplicemente, passare con il mouse sopra un’immagine, per essere in- fettati da un malware. Inoltre, “postare” delle immagini sui social network, magari pensando che possano essere visibili a un numero limitato e specifico di “amici”, talvolta, ci fa trovare nella condizione di avere una foto o un video privato, oramai diventata di pubblico dominio.
Torna alla copertina I principi su cui si basa l’intera comunicazione e la trasmissione dei dati sulla rete Internet sono i protocolli, ovvero un insieme di regole che definiscono le modalità di comunicazione tra una o più entità (es: server, computer, smartphone) . In particolare, i protocolli relativi al W.W.W. so- no l’http (Hyper Text Transfer Protocol) e https (HTTP Secure), che furono sviluppati tra il 1984 e il 1989. Ma quali sono le differenze tra i due? Fermo restando il loro compito principale, cioè permettere la comunicazione e lo scambio di dati all’interno del modello client-server, il protocollo https è stato progettato per rendere più sicuro ed affidabile lo scambio di informazioni tra due nodi del w.w.w. con l’intenzione di prevenire attacchi del tipo “man in the middle” (una tipologia di attacco dove una terza entità si immette nella linea di comunicazione tra client e server in modo da intercettare le informazioni che ven- gono scambiate tra i due nodi). Per ottenere questo risultato, lo https garantisce l’identificazione del sito web che si sta visitan- do e del server web che lo ospita e, inoltre, provvede alla crittografia bidirezionale della comuni- cazione a livello applicativo, proteggendo l'utente dal pericolo di essere intercettato o di visitare siti manomessi. Questo protocollo è stato utilizzato per proteggere transazioni economiche e fi- nanziarie telematiche, servizi di posta elettronica e per proteggere lo scambio di informazioni sensibili. Tra la fine del decennio passato e l'inizio del decennio attuale, lo https ha trovato appli- cazione sempre più ampia, arrivando a certificare l'autenticità di siti web di qualsiasi genere. La differenza principale tra i due protocolli è nella crittografia. Mentre con http tutte le comuni- cazioni avvengono in “chiaro”, quindi “leggibili” da chiunque riesca ad intercettare il flusso di scambio dati, lo https crea un canale di comunicazione sicuro al di sopra di una rete di comunica- zione non sicura utilizzando, per l'appunto, la crittografia. Stabilire se una pagina o un portale web sfruttano il protocollo http piuttosto che quello https sembrerebbe relativamente semplice, basta leggere la barra dell’indirizzo del sito in questione e se, prima del nome del sito, appare il simbolo del lucchetto verde chiuso e le scritte “Sicuro” “https” il sito o il portale sul quale si vuole accedere DOVREBBE essere sicuro. Perché il “dovrebbe”? Perché è d’obbligo il condizionale? Semplicemente perché l’attività dei criminali informatici va di pari passo, anzi qualche volta è an- che un po’ più avanti, con l’implementazione delle misure di sicurezza. Più avanti vedremo che “il colore verde”, non è sempre sinonimo di sicurezza garantita.
Torna alla copertina L’UTILIZZO DEI COOKIES Nell’articolo precedente abbiamo visto alcuni protocolli per la navigazione web, ovvero l’http e l’https, ma questi, sono solo alcuni degli elementi che caratterizzano il World Wide Web. Quando ci colleghiamo a un sito il browser preleva automaticamente tutti gli elementi che compongono le pagine visualizzate e li salva in una cartella, sul disco fisso, che costituisce la cosiddetta “cache”. Il quantitativo di spazio occupato viene giustificato dalla maggiore velocità di carica- mento dei siti su cui si accede frequentemente, infatti, ogniqualvolta viene richiesta la visualizza- zione di un elemento contenuto in una pagina, il browser verifica preventivamente se è presente nella cache. Oltre alla cache, il browser Internet memorizza, sul disco fisso, anche i “Cookie”, ovvero quei file di testo, di dimensioni estremamente compatte, la cui creazione è frequentemente richiesta da parte di un'applicazione web o di un normale sito Internet. I cookie http sono una sorta di getto- ne identificativo, usato dai server web per poter riconoscere i browser durante le comunicazioni con il protocollo http usato per la navigazione web. Ma a cosa servono i Cookie? I Cookie sono usati per differen- ti finalità: esecuzione di auten- ticazioni su siti web; monito- raggio di sessioni; memorizza- zione di informazioni su speci- fiche configurazioni riguardan- ti gli utenti che accedono al server; memorizzazione delle preferenze e/o degli interessi personali, ecc.. Conseguentemente, troviamo diverse tipologie di Cookie: di profilazione, tecnici, per l'analisi delle prestazioni, di sessione. I “Session Cookie” sono di fondamentale importanza per il corretto funzionamento dei negozi online (ad esempio, per i prodotti inseriti nel "carrello della spesa", che vengono temporaneamente memorizzati), per conservare il login in un'area privata di un sito web, in un forum, o su una qualunque applicazio- ne web che richieda qualsiasi forma di autenticazione. In considerazione dell’importanza che i citati Cookie rivestono all’interno di una sessione di navigazione nell’area privata di un sito web, questi possono essere oggetto di potenziali attacchi mirati ad ottenere a vario modo il cosiddetto “Session Cookie” di un determinato utente. In tale quadro, sono stati introdotti i Secure Cookie, ovvero dei Cookie con il “Secure flag”, che può essere trasmesso solo su una connessione critto- grafata di tipo https . Ciò limita, di fatto, la probabilità di essere esposti al furto di Cookie per il tramite di attacchi di tipo sniffing. Ad ogni buon conto, nonostante l’adozione di tali “misure” di sicurezza, si suggerisce di non “memorizzare” in alcun modo le proprie credenziali di accesso ed i dati relativi alla propria carta di credito all’interno di un browser web, che se da un lato “velocizzano” la navigazione web e la possibilità di fare acquisti online, dall’altro, ci espongono maggiormente all’eventualità di un attacco informatico.
Torna alla copertina ALCUNI ESEMPI DI ATTACCO DIFFUSI NEL WEB (fonte wikipedia) Clickjacking Il clickjacking è una tecnica di attacco informatico fraudolenta in cui, durante una normale navigazione web, l'utente “clicca” con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realtà il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto, che può portare alle più svariate conse- guenze: dal semplice invio di spam, al download di un file, fino all’installazione di un malware. Esistono due tecniche per eseguire il clickjacking: la prima, è possibile a causa di una caratteristica, apparentemente innocua, del linguaggio HTML, con cui le ”pagine web “possono essere usate per compiere azioni non previste. Si basa su Javascript, in- fatti nel momento del clic dell'utente c'è un gestore dell'evento che fa eseguire una determinata azio- ne agli attaccanti basta passare come parametri quello che gli serve; la seconda, chiamata IFrame (Inner Frame), consiste nel creare una pagina trasparente sovrapposta alla pagina web reale. In questo modo, quando l'utente crede di cliccare sulla pagina desiderata, va ad attivare inconsapevolmente qualche azione malevola voluta da un attaccante. In questa forma di attacco, l’utente non è in grado di riconoscere la differenza tra la pagina reale e la pagina ingannevole, perciò può cadere nella trappola senza cognizione delle proprie azioni. Invalido Re-indirizzamento ed inoltro Molti siti web, utilizzano il reindirizzamento o l’inol- tro di una determinata richiesta/azione dell’utente a diverse “componenti” del sito web. Ad esempio, su un sito e-commerce, dopo aver posto tutti gli articoli nel nostro carrello, veniamo reindirizzati sul sito web della banca dove effettueremo il paga- mento con la nostra carta di credito su un POS vir- tuale. Tale “destinazione”, POS virtuale, viene raggiunta per il tramite di un link. Degli attaccanti, non fanno altro che andare a modificare il link di tale reindirizzamento, portando l’utente al “non reale” sito web della banca, ma su un sito web similare creato appositamente per “rubare” denaro e dati della carta di credito dello sfortunato ac- quirente. Altri hacker, invece, possono indurre le vittime a cliccare su link malevoli, modificare la “redirect URL” della richiesta, reindirizza- re la vittima verso siti malevoli che effettuano phishing. Pertanto, bi- sogna essere cauti nella navigazione di siti web sconosciuti e destare particolare attenzione ai link su cui verremo reindirizzati per i paga- menti on-line. OWASP Per ulteriori tipologie di rischi connessi alla navigazione web, invitia- mo il lettore a cliccare sul documento rilasciato dall’Open Web Appli- cation Security Project (OWASP), trattasi di una comunità open che consente ad individui/organizzazioni di utilizzare, sviluppare, com- prare e mantenere applicazioni di cui ci si può fidare.
Torna alla copertina SIAMO SICURI CHE CON IL VERDE SIAMO AL SICURO? Uno degli accorgimenti che bisogna adottare quando si visita un porta- le web, specialmente se offre servizi di posta elettronica, e-commerce, banking o semplicemente richiede i dati di log-in, è quello di controllare la barra degli indirizzi ed accertarsi che, prima dell’indicazione del no- me del sito, vi sia il simbolo del lucchetto verde chiuso e la parola “sicuro”. In questo caso il portale o la pagina web dovrebbe essere si- curo e i nostri dati o la nostra transazione dovrebbero rimanere pro- tetti. Bene questo concetto era pienamente valido fino a qualche anno fa; oggi, queste indicazio- ni, che comunque è sempre buona norma seguire, non corrispondono ad una sicurezza piena del sito. Il semplice fatto che vi siano i simboli e le diciture relative alla sicurezza, purtroppo non ne da la certezza. Questo perché ormai è diventato relativamente semplice e poco co- stoso, creare un sito fake con le caratteristiche di sicurezza del sito originale. Di seguito sono riportati due articoli, apparsi sul portale www.zeusnews.it, molto interessan- ti sull’argomento. Click sulle immagini per leggere le notizie complete
Torna alla copertina COME INDIVIDUARE UN SITO FALSO? Di seguito proponiamo alcuni accorgimenti e consigli tratti dal portale web “ebay”. Quanto riportato dai tecnici della sicurezza di uno dei più famosi portali di e-commerce, è assolu- tamente applicabile a tutti gli altri siti web. A seguire, un interessante articolo sui rischi a cui si può incorrere collegandosi ad un sito web attraverso un link.
STATO MAGGIORE AERONAUTICA Reparto Generale Sicurezza indirizzo E-mail: cert.am.cyberzine@aeronautica.difesa.it Torna alla CONCLUSIONI copertina L’argomento trattato questo mese, orientato sulla genuinità dei portali o delle singole pagine web, spinge il lettore ad assicurarsi, durante la navigazione, della bontà, in termini di sicurezza, della pagina visitata. Relativamente alla protezione dei sistemi, l’A.M. è sempre al passo con i tempi e lo testimonia, ad esempio, la recente l’implementazione del protocollo “https” sul Sistema SIDPAM2. Come si è potuto vedere, non sempre le indicazioni tipo “Sicuro”, “https”, “icona del lucchetto verde chiuso”, della pagina web sono sinonimi di autenticità. Il solo controllo visivo delle caratteristiche di si- curezza della pagina non è sufficiente, visto che è possibile acquistare un certificato di sicurezza e colle- garlo alla pagina web clonata di un sito affidabile. Di seguito si riportano alcuni consigli e suggerimenti da adottare e prendere in considerazione, quando si visitano dei siti web in cui è richiesta l’immissione di credenziali o dati personali: 1. Controllare l’indirizzo della pagina che si sta visitando: se all’interno dell’indirizzo è presente un nu- mero eccessivo di trattini o simboli, non è buon segno. Controllare sempre l’esattezza del nome del sito (es. Ryànair, oppure AN5A) e l’estensione del dominio utilizzato (es. .biz e .info non sono domi- ni molto credibili). 2. Osservare il tipo di connessione del sito: quelli con il protocollo https sono in genere più sicuri, tutta- via, un sito che sfrutta il protocollo https, potrebbe essere inaffidabile, perché perfettamente clona- to. 3. Controllare lo stato di sicurezza del sito attraverso la barra degli indirizzi del browser: il lucchetto verde chiuso da una certa garanzia di sicurezza. Facendo click sul simbolo del lucchetto è possibile controllare le caratteristiche di sicurezza della pagina (es. il tipo di crittografia utilizzata), verificare la validità del certificato di sicurezza, l’entità emittente il certificato e il nominativo dell’intestatario (in genere la compagnia/società del sito web che si sta visitando). 4. Assicurarsi che le pagine attraverso cui si effettuano delle transazioni di denaro (E-commerce) ab- biano implementato il protocollo https e che il certificato sia valido. 5. Fare attenzione alle pagine scritte in una lingua non corretta. Spesso i siti fake presentano errori di ortografia e grammaticali molto evidenti. Questi sono solo alcuni possibili suggerimenti da porre in atto, fermo restando che, nella navigazione web, l’utilizzatore deve porre sempre la massima attenzione e tenere in considerazione che i criminali informatici sono sempre in attività, escogitando sempre nuove tecniche per venire in possesso di dati e informazioni di interesse. Nello specifico, per quanto attiene alla navigazione web dalle Postazioni di Lavoro (PdL), è buona norma che l’utente si attenga alle succitate indicazioni, nonostante l’impiego di strumenti in grado di determinare/filtrare il traffico web.
Puoi anche leggere