#CybersecurityCafé

di Claudia Battista

La comunità scientifica ed accademica italiana ha avuto un ruolo pioneristico nell’uso e nello sviluppo delle reti telematiche. Con l’avvento del protocollo TCP/IP e l’introduzione degli indirizzi IP pubblici, che all’epoca erano considerati una risorsa praticamente inesauribile, moltissime istituzioni chiesero e ottennero l’assegnazione ampi blocchi di indirizzi IP. Numerose furono le classi B (65.536 indirizzi) assegnate in quegli anni da IANA a grandi università, istituzioni di ricerca e laboratori.

Ma il mondo sta cambiando: gli ultimi blocchi di indirizzi pubblici IPv4 sono stati ormai assegnati ai registrar nazionali, GARR LIR incluso, e oggi si raschia il fondo del barile degli indirizzi, in attesa del sempre annunciato e mai completamente decollato IPv6.

Per questo GARR vuole sensibilizzare l’intera comunità ad un uso sempre più attento di questa risorsa preziosa e invitare tutti ad evitare qualsiasi spreco. Vogliamo cominciare con gli indirizzi IP bloccati a seguito di un’azione di filtraggio su segnalazione del CERT. Da sempre, quando il CERT identifica un indirizzo IP che genera traffico malevolo o è coinvolto in qualche attività illecita chiede al referente tecnico locale (APM) di intervenire per mettere in sicurezza la macchina che ha generato l’incidente di sicurezza. Se l’APM non è in grado di risolvere il problema tempestivamente (da 4 ore a qualche giorno a seconda della gravità del caso) parte la richiesta al NOC di filtrare l’indirizzo coinvolto. Si incappa nel filtraggio quando l’atto malevolo ha conseguenze penali (pedofilia, phishing finanziario e altre nefandezze), quando c’è un DoS o DDoS in corso, quando la macchina genera scansioni o altri attacchi, o quando siamo davanti a un open mail relay.

Nel corso degli anni spesso gli APM non hanno comunicato al NOC o al CERT la risoluzione del problema (cioè la sanificazione della macchina oggetto del filtro) e l’IP incriminato è rimasto filtrato a tempo indeterminato. Si sono così accumulate diverse centinaia di indirizzi IP, dimenticati in una sorta di quarantena perenne. Un IP filtrato è infatti un IP perso, perché anche se riassegnato ad un PC “sano”, con esso non si può andare da nessuna parte.

Per questo stiamo rivedendo le procedure per la gestione e rimozione dei filtri sulla rete GARR e da qualche mese abbiamo messo in campo un nuovo strumento per monitorare lo stato degli IP filtrati, che di volta in volta sono inseriti in un apposito DB in modo da tenerne traccia e sapere da quanto tempo sono filtrati. Da ottobre 2018 gli IP filtrati (circa una trentina, appartenenti a numerose organizzazioni) sono tracciati in partenza: gli APM vengono quindi informati che hanno 3 mesi di tempo per risolvere la situazione sulla macchina incidentata e comunicarci il positivo esito, in modo da rimuovere il filtro, altrimenti si scalerà la richiesta ad APA e delegato. Per evitare che se ne possa perdere traccia per sbaglio, gli APM riceveranno comunque un report mensile, con l’elenco dei propri IP filtrati, la data di applicazione del filtro e un promemoria per l’intervento.

Per quanto riguarda le centinaia di indirizzi filtrati prima di ottobre 2018 coinvolgeremo gli APM delle istituzioni interessate per chiedere loro di intervenire sulle macchine che hanno originato gli incidenti di sicurezza, in modo da eliminarne la causa e liberare gli indirizzi IP bloccati e poterli nuovamente utilizzare. Le organizzazioni direttamente interessate riceveranno un messaggio con l’elenco degli IP filtrati e l’invito a dare un riscontro sul loro utilizzo.

Ci aspettiamo la piena collaborazione nell’azione di assestamento e di valorizzazione di questa preziosa risorsa. È infatti molto probabile che il problema sia stato risolto e semplicemente non ci sia stato comunicato, ad esempio perché alla macchina coinvolta e poi bonificata è stato assegnato un nuovo indirizzo, e che quindi il filtro sull’indirizzo oggetto della segnalazione non sia stato rimosso semplicemente a causa di questa mancata informazione.

Se alcuni IP sono rimasti filtrati a tempo indeterminato si tratta più che altro di una procrastinazione nata dall’abbondanza e, ora che l’abbondanza è finita, un promemoria a recuperare tutti gli IP per un nuovo impiego sarà un servizio utile per l’intera comunità.