Inviati del 27 ottobre 1997

Cert-it

di Michele Alberico

Il primo novembre 1996 chi si fosse collegato al sito Internet della CIA al posto della consueta pagina di accoglienza, questa, avrebbe trovato qualcosa di diverso. Un gruppo Hacker dal nome roboante Power Through Resistance riuscì a penetrare nel server web della Central Intelligence Agency e a sostituire la pagina di accesso al sito con...

...quest'altra intitolata Central Stupidity Agency. Il fatto ebbe un certo rilievo ma non provocò gravi conseguenze dal momento che era stato violato solo un computer periferico della rete della CIA e nessuna informazione vitale era stata sottratta.Nel marzo 1997 avvenne il più grande attacco contro dei server internet dal worm del 1988.

Utilizzando un bug, un difetto del più noto programma di gestione per i gruppi di discussione, i newsgruop delle vere e proprie bacheche planetarie in cui utenti di tutte le parti del mondo dibattono dei temi più diversi, un hacker o un gruppo di hacker riuscì a penetrare molti di quei sistemi cancellando accessi e password e mandando in tilt le trasmissioni per parecchi giorni.

A parte questi due episodi la necessità di un organismo specificamente dedicato alla lotta contro le intrusioni informatiche divenne chiara già con l'incidente del 1988 quando un programmino chiamato Worm con la sua capacità di espandersi a macchia d'olio mise in ginocchio la quasi totalità della costola da cui nacque la rete come la conosciamo oggi, cioè la vecchia rete ARPANET.

Con lo scopo di promuovere attività di prevenzione e di fornire assistenza nel caso di intrusioni informatiche nacque così nel novembre del 1990 il FIRST Forum per squadre di sicurezza in risposta agli incidenti informatici di cui questo che vedete è il sito Internet.

Il FIRST è ad oggi la più grande struttura internazionale che si occupa del problema della gestione di incidenti informatici in tutti i suoi aspetti. I membri del FIRST sono gruppi qualificati scelti attraverso una selezione che ne verifica le attitudini. Attualmente fanno parte del FIRST circa 60 gruppi di tutte le parti del mondo. Il solo organismo che nel nostro paese è stato ammesso nel FIRST è questo: il CERT-IT Computer Emergency Response Team Italiano.

Nato nel 1994 per impulso di un gruppo di studiosi appartenenti allo staff tecnico del Dipartimento di Scienze dell'informazione di Milano e finanziato fino al 1996 dalla stessa università di Milano, il CERT-IT vive oggi senza alcun finanziamento pubblico grazie al lavoro di consulenza che svolge per conto di strutture pubbliche e private.

Abbiamo incontrato il coordinatore del gruppo, il professor Danilo Bruschi professore associato di Architettura degli elaboratori all'università di Milano e gli abbiamo chiesto in cosa consiste esattamente il lavoro del CERT-IT.

Il lavoro di archiviazione svolto dal CERT-IT costituisce la base per una risposta rapida ed efficiente ad una intrusione. Ogni evento viene catalogato presso un archivio internazionale con un identificativo univoco al quale viene poi collegata una descrizione nel dettaglio del problema e un ventaglio di possibili soluzioni.

Naturalmente chi lavora al CERT-IT maneggia informazioni molto delicate. Pensate cosa succederebbe se si scoprisse che il sistema di una banca è stato violato, il giorno dopo tutti i correntisti chiuderebbero ogni rapporto con quell'istituto. Come vengono allora studiati i casi di intrusione? Lo abbiamo chiesto ancora una volta al professor Bruschi.

Questo è il sito simbolo del movimento hacker, il sito della rivista 2600. Il numero sta ad indicare la particolare frequenza con la quale si riusciva a far saltare i telefoni pubblici americani per parlare gratuitamente. Perché siamo qui?

Perché in fondo i collaboratori del CERT svolgono nella prassi più o meno lo stesso lavoro degli hacker con due gravi handicap: il primo deriva dal fatto che non possono attaccare sistemi ma solo simulare attacchi per rilevare difetti di programmazione, il secondo che non dispongono di tutta quella rete di informazioni underground che gli hacker custodiscono tanto gelosamente.

Ma quali sono le più diffuse tipologie di attacco ad un sistema collegato in rete? Ce lo facciamo spiegare da Michele Sensalari e Roberto Banfi due tra i più attivi collaboratori del CERT Italiano.

Tutto questo non è facile allarmismo i rischi ci sono tanto più se consideriamo che dalle statistiche elaborate dal CERT-IT sugli attacchi avvenuti nel nostro paese emerge un dato significativo. La quasi totalità delle 200 intrusioni avvenute dall'inizio dell'anno ad oggi proviene dall'estero ed è in massima parte dovuta alla insufficiente preparazione dei nostri amministratori di sistema.

• 2600 The Hacker Quarterly: http://www.2600.com
• Questionario Post Attack
• CERT-IT Homepage: http://security.dsi.unimi.it/
• FIRST Team Contact Information: http://www.first.org/team-info/
• Forum of Incident Response and Security Teams: http://www.first.org
• Welcome to the Central Stupidity Agency: http://www.2600.com/cia/p_2.html
• Forum of Incident Response and Security Teams
• Wired News