Skip to main content

Come gestire il cyberspazio e il dovere della sicurezza. L’analisi di Valori

I governi sono tenuti a proteggere le proprie risorse e infrastrutture nazionali contro le minacce straniere e interne, per salvaguardare la stabilità della centralità dell’uomo, dei sistemi politici e ad assicurare servizi moderni ai civili. L’analisi di Giancarlo Elia Valori

Al di là delle concezioni sull’etica che riguardano il futuro prossimo, è bene anche concentrarci sul presente. I governi sono tenuti a proteggere le proprie risorse e infrastrutture nazionali contro le minacce straniere e interne, per salvaguardare la stabilità della centralità dell’uomo, dei sistemi politici e ad assicurare servizi moderni ai civili. Basti dire il caos venutosi a creare tempo addietro alla Regione Lazio per le ben note questioni sanitarie.

Gli esecutivi devono svolgere un ruolo chiave nello sviluppo e guidare l’ecosistema locale, ma questo sforzo nazionale deve coinvolgere molti altre parti interessate: imprese locali, imprenditori, compagnie multinazionali, investitori locali e stranieri, agenzie statali, ministeri e accademici, persone operanti nell’istruzione, istituzioni professionali e pubblico in generale. Inoltre, la sicurezza informatica è un’opportunità nazionale per lo sviluppo dell’economia locale e per posizionare un qualsiasi Paese nell’arena internazionale come luogo sicuro per sviluppare relazioni economiche fra gli Stati e le aziende; e dicasi pure la sua importanza e come hub informatico regionale.

La cyberstrategia consiste, quindi, nel dare priorità alle attività informatiche operative al fine di ottimizzare e monitorare l’eccessivo sviluppo dell’intelligenza informatica che potrebbe prendere un domani pieghe tali da essere ingovernabile. Per questo occorrono investimenti nelle tecnologie, sviluppo delle capacità locali e allocazione di risorse e concentrazione. Ossia il fornire servizi di consulenza strategica a enti governativi che stanno cercando di far progredire la sicurezza informatica a livello strategico e operativo.

Per cui è necessario collaborare con i governi per sviluppare le loro capacità strategiche e operative nella sicurezza informatica, a livello nazionale o settoriale. Al che fornire progetti informatici completi che combinano difesa informatica e sviluppo di un ecosistema informatico locale, basato sui modelli collaudati da diversi Paesi del mondo, quali Repubblica Popolare Cinese, Israele, Stati Uniti d’America, ecc.

Occorre specializzarsi nella creazione di Cyber Unit e Cyber Center (SOC & Fusion Center) e nello sviluppo di Cyber Eco-System e Cyber Strategy. Ciò significa fornire diverse soluzioni informatiche, servizi e know how alle imprese in diversi settori: finanziario, industriale, energetico, sanitario, tecnologico e molti altri.

La stabilità dei servizi di sicurezza OT (tecnologia operativa) e consulenza strategica alle imprese nei settori dell’energia, della produzione, della sicurezza, della medicina, dei trasporti, delle infrastrutture critiche e altro ancora creano i presupposti di difesa del cyberspazio. Come pure aiutare le organizzazioni basate su OT a integrare la sicurezza informatica nei loro processi e prodotti. Progettare, sviluppare e fornire tecnologie e soluzioni avanzate per la protezione di risorse critiche in ambienti OT, quali ICS, SCADA, IIoT, loT, PLC, ecc.

A questo proposito è basilare la necessità che si creino scuole informatiche professionali in tutto il mondo che insegnino il significato del cyberspazio, e non di certo a come usare Word e altri semplici programmi per ufficio. L’ampliamento e la creazione di università e istituti della conoscenza informatica sono un punto di partenza da cui si varano collaborazioni con organizzazioni che cercano di creare la propria scuola cibernetica o con organizzazioni accademiche o educative che offrono formazione cibernetica ai propri studenti.

Il fornire soluzioni complete per le scuole informatiche, consente la formazione di professionisti informatici e nuove reclute in tutti i ruoli informatici, in maniera che l’hacker non resti l’unico depositario della verità digitale. La formazione avanzata è un solido punto di partenza per le organizzazioni che cercano di formare i propri professionisti informatici. Professionisti che sappiano destreggiarsi e dominare schemi quali Cyber Defender, Cyber Warrior, Cyber Manager, SOC Analyst, Digital Forensics, Basic Training e altro ancora, anche attraverso l’uso della simulazione.

Guidare la creazione e lo sviluppo dell’ecosistema di sicurezza informatica ad alto livello è un dovere degli Stati verso i cittadini che eleggono i propri ceti dirigenti. Come pure cercare e impiegare esperti di grande esperienza nelle diverse discipline della sicurezza, tra cui difesa informatica strategica, guerra informatica, intelligence informatica, ricerca e sviluppo e strategia informatica, e definizione delle politiche di formazione di tali branche di operatività.

Dopo aver esaminato i presupposti per la protezione del cyberspazio, è bene affrontare la struttura di alcuni rischi a cui sono sottoposti i sistemi istituzionali di rete. Una delle più caratteristiche operazione degli hacker si riferisce all’uso della tecnologia client/server per combinare più computer come piattaforma per lanciare attacchi DDoS (Distributed Denial of Service) contro uno o più obiettivi, aumentando così esponenzialmente i danni.

Di solito, un utente malintenzionato utilizza un account rubato per installare il programma master DDoS su un computer. Il programma master comunicherà con un gran numero di agenti in un determinato momento e i programmi agente sono stati installati su molti computer della rete. L’agente lancia un attacco quando riceve un’istruzione. Utilizzando la tecnologia client/server, il programma di controllo principale può attivare centinaia di programmi agente in pochi secondi.

Un DDoS utilizza un gruppo di macchine controllate per lanciare un attacco su un computer, sia esso server o client. Esso è così rapido e difficile da prevenire e quindi ha una maggiore distruttività. Se si dice che in passato gli amministratori di rete potevano adottare il metodo di filtraggio degli indirizzi IP contro DDoS, diventa più difficile prevenire tali azioni oggi. Come intraprendere misure per rispondere efficacemente?

Se l’utente è sotto attacco, la difesa sarà molto limitata. Se si è verificato un attacco catastrofico con una grande quantità di traffico che si è riversato sull’utente senza preparazione, è molto probabile che la rete resti paralizzata prima che l’utente si sia ripreso. Tuttavia, gli utenti possono ancora cogliere l’occasione per cercare una difesa. Di solito, gli hacker lanciano attacchi attraverso molti indirizzi IP falsi. In questo momento, se l’utente può distinguere quali sono gli IP reali e quali sono i falsi – e quindi capire da quali segmenti di rete provengono questi IP – egli può chiedere all’amministratore di rete di modificarli. E la macchina in primo luogo va spenta per cercare di eliminare l’attacco. Se si rileva che questi indirizzi IP provengono dall’esterno anziché dall’IP interno dell’azienda, è possibile adottare un metodo di indagine temporaneo per filtrare questi indirizzi IP sul server o sul router.

La soluzione sarebbe scoprire il percorso attraverso il quale passa l’attaccante e bloccarlo. Se gli hacker lanciano attacchi da determinate porte, gli utenti possono bloccare queste porte per prevenire le intrusioni. Dopo la chiusura della porta di uscita, tutti i computer non possono accedere a Internet. Un metodo più complesso consiste nel filtrare l’ICMP: Internet Control Message Protocol, un protocollo di servizio per reti a pacchetto che si occupa di trasmettere informazioni riguardanti malfunzionamenti, informazioni di controllo o messaggi tra i vari componenti di una rete di calcolatori. Sebbene non possa eliminare completamente l’intrusione durante l’attacco, filtrare l’ICMP può prevenire efficacemente l’intensificarsi della scala di aggressività e può anche ridurre il livello di danneggiamento costante in una certa misura.

L’attacco DDoS è il metodo di attacco più comunemente utilizzato dagli hacker e di seguito sono elencati alcuni metodi convenzionali per affrontarlo.

  1. Filtrare tutti gli indirizzi IP RFC1918. L’indirizzo IP RFC1918 è l’indirizzo della rete interna, come 10.0.0.0, 192.168.0.0, 172.16.0.0., ecc. Essi non sono indirizzi IP fissi di un determinato segmento di rete, ma indirizzi IP locali riservati all’interno di Internet, che dovrebbero essere filtrati. Questo metodo serve a filtrare un gran numero di falsi IP interni durante l’attacco, e può anche mitigare gli attacchi DDoS.
  2. Usare molte macchine per resistere agli attacchi degli hacker. Questa è una fase di risposta ideale, se l’utente ha capacità e risorse sufficienti per consentire una difesa verso gli hacker che attaccano e continuano ad accedere e a impossessarsi delle risorse. E prima che l’utente venga attaccato fatalmente, l’hacker non ha molti mezzi per controllare molte macchine. Questo metodo richiede notevoli investimenti e la maggior parte delle apparecchiature è solitamente inattiva, il che non corrisponde al funzionamento effettivo dell’attuale rete di piccole e medie imprese.
  3. Sfruttare appieno le apparecchiature di rete per proteggere le risorse. Le cosiddette apparecchiature di rete si riferiscono ad hardware e software di bilanciamento del carico come router e firewall, che possono proteggere efficacemente la rete. Quando la rete è stata attaccata, il router è stato il primo a cedere, ma le altre macchine non ancora hanno collassato. Il router guasto tornerà alla normalità dopo essere stato riavviato e ripartirà rapidamente senza alcuna perdita. Se altri server collassano, i loro dati andranno persi e il loro riavvio è un processo lungo. In particolare, un’azienda utilizza apparecchiature di bilanciamento del carico in modo che quando un router viene attaccato e si blocca, l’altro funzionerà immediatamente. Riducendo così al massimo gli attacchi DDoS.
  4. Configurare il firewall. Il firewall stesso può resistere agli attacchi DDoS e ad altri. Quando viene scoperto un attacco, esso può essere diretto ad alcuni host sacrificali, che sono in grado proteggere l’host reale dall’attacco. Naturalmente, questi host sacrificali possono scegliere di rinviare a quelli non importanti o con sistemi con meno vulnerabilità di alcuni sistemi operativi e con un’eccellente protezione contro gli attacchi.
  5. Filtrare i servizi e le porte non necessari. Si possono utilizzare molto strumenti per filtrare servizi e porte non necessari, ovvero filtrare IP falsi sul router. Ad esempio, il Cef (Cisco Express Forwarding) di Cisco può confrontare e filtrare i pacchetti Source IP e Routing Table. L’apertura delle sole porte di servizio è diventata una pratica diffusa per molti server, ad esempio i server WWW aprono solo 80 porte e chiudono tutte le altre o utilizzano una strategia di blocco sul firewall.
  6. Limitate il traffico SYN/ICMP. L’utente deve configurare il traffico SYN/ICMP massimo sul router per limitare la larghezza di banda massima che i pacchetti SYN/ICMP possono occupare. In questo modo, quando c’è una grande quantità di traffico SYN/ICMP che supera il limite, significa che è non il normale accesso alla rete, ma c’è l’hacking. All’inizio, limitare il traffico SYN/ICMP era il modo migliore per prevenire il DDoS. Anche se l’effetto di questo metodo su DDoS non è attualmente molto adoperato, può ancora svolgere un certo ruolo.
  7. Scansionare regolarmente. È necessario scansionare regolarmente i nodi master di rete esistenti, verificare eventuali vulnerabilità di sicurezza e ripulire tempestivamente le nuove vulnerabilità. I computer dei nodi della dorsale sono le posizioni migliori da utilizzare per gli hacker perché hanno una larghezza di banda maggiore: quindi è molto importante rafforzare la sicurezza di questi host. Inoltre, tutti i computer collegati ai nodi principali della rete sono computer a livello di server, quindi la scansione regolare delle vulnerabilità diventa ancora più importante.
  8. Controllare la fonte del visitatore. Utilizzare dei software adatti per verificare se l’indirizzo IP del visitatore è vero; e questo farlo tramite la ricerca inversa del router: s’è falso, verrà bloccato. Molti attacchi di hacker spesso utilizzano – come abbiamo detto –indirizzi IP falsi per confondere gli utenti ed è difficile scoprire da dove provengano. Pertanto, l’uso – ad esempio – di Unicast Reverse Path Forwarding può ridurre la comparsa di indirizzi IP falsi e contribuire a migliorare la sicurezza della rete.

Come abbiamo visto, occorrono esperti che ne sappiamo di più degli hacker, ed è questo il dovere che Stati e governi hanno nei confronti delle proprie istituzioni, ma essenzialmente verso i cittadini.


×

Iscriviti alla newsletter