- Home
- Servizi alla comunità
- Più che sicuri, CERT!
Più che sicuri, CERT!
| Carlo Volpe | servizi alla comunità
Virus, spam, attacchi DDOS: ogni giorno centinaia di rischi per la sicurezza informatica. A fronteggiarli insieme alla comunità GARR c’è il team del CERT
È uno degli assi strategici dell’Agenda Digitale e un tema che si arricchisce ogni giorno di nuove sfide: parliamo della sicurezza informatica. Al GARR, a volte vien data un po’ per scontata, vista la storica presenza del CERT. Si tratta di un servizio, a volte poco conosciuto, che è di fondamentale importanza per tutti gli utenti della rete. Per scoprire i suoi segreti abbiamo incontrato Roberto Cecchini, il responsabile del GARR-CERT.
Quali attività svolge il CERT?
Il CERT si occupa di prevenire e gestire gli incidenti di sicurezza informatica. Il servizio si rivolge per lo più ai tecnici che gestiscono le reti degli enti connessi a GARR, quelli che noi chiamiamo APM (Access Port Manager). Ovviamente, il beneficio di una rete affidabile e protetta ricade su tutti gli utenti. Tra le attività quotidiane, oltre all’assistenza nella gestione degli incidenti, c’è quella dell’informazione, cioè ricerchiamo e diffondiamo gli avvertimenti dei principali rischi in circolazione, aiutiamo gli utenti nel realizzare misure preventive per ridurre i rischi, stabiliamo i requisiti minimi di sicurezza per le macchine con accesso alla rete e ne verifichiamo il rispetto. Inoltre organizziamo corsi di aggiornamento tecnico.
Come si svolge la vostra giornata tipo?
Roberto Cecchini
GARR
Coordinatore del Servizio di Sicurezza GARR-CERT
Poiché i virus non hanno orari, le segnalazioni sono raccolte durante tutto l’arco delle 24 ore. Vengono consultate decine di fonti e si ricevono molti messaggi. La prima fase, che si svolge tra le 4 e le 7, è quella dell’elaborazione automatica delle segnalazioni del giorno precedente. Fino a un paio di anni fa, si riusciva a gestire tutto manualmente, ma con l’aumento dei virus abbiamo dovuto optare per una soluzione automatica. In questa fase le segnalazioni sono combinate e raggruppate per tipologia in modo da essere indirizzate ai giusti destinatari.
La giornata del nostro team inizia con il cosiddetto “triage”, proprio come nei centri di pronto soccorso, per assegnare le priorità ai vari incidenti informatici. Un’altra attività è quella dello studio e della ricerca attraverso la lettura di feed, di news, di mailing list per scoprire le ultime vulnerabilità e gli aggiornamenti particolarmente critici. Come si può immaginare, ogni giorno c’è tanto da studiare. Sulla base di ciò che emerge dalla ricerca si valuta la necessità, per gli eventi più rilevanti, di inviare un messaggio di segnalazione, il cosiddetto alert.
Come si è evoluto il CERT negli anni?
Il CERT è nato nel ‘99, all’inizio eravamo solo in due: io ed un altro collega, più un comitato di esperti al quale si poteva far ricorso. Oggi il nostro team è composto da nove persone, anche se non tutte a tempo pieno. Chiaramente questo è il risultato di un incremento notevole del problema. In passato, i virus erano scritti principalmente da ragazzi o programmatori che lo facevano per divertimento, con l’obiettivo di dare fastidio e, in qualche modo, volevano anche essere scoperti perché questo faceva parte del gioco. Oggi, il numero dei dispositivi connessi, dei programmi utilizzati e dei dati presenti in rete è enormemente aumentato, dunque la quantità e la pericolosità sono ben diverse. Inoltre è diventato un grande business. Di conseguenza, non è banale scoprire un virus prima che entri in azione, visto che molto spesso l’obiettivo di chi li progetta è quello di tenere sotto controllo, in maniera nascosta, il più alto numero di nodi.
Quali sono le specificità per le reti della ricerca?
Diversamente da altri settori, in cui è possibile l’uso di firewall o di filtri, per l’attività di un ricercatore o di un accademico è necessario garantire la massima libertà nell’uso della rete e dei suoi contenuti. La rete GARR quindi non pone filtri o limiti, anche se a livello locale ogni organizzazione può impostare i propri livelli di sicurezza permettendo o meno specifici protocolli. Il lavoro del CERT si ferma alle porte della singola organizzazione, anche se, quando ci viene chiesta una consulenza, la forniamo, nei limiti delle nostre competenze.
Test di vulnerabilità a disposizione degli utenti
SCARR è il servizio che permette di eseguire test di vulnerabilità sulle macchine della rete GARR. Ogni APM può effettuare scansioni Nessus o OpenVAS su singoli indirizzi o sottoreti ricevendo un rapporto dettagliato.
Cosa vuol dire far parte di un network internazionale?
Con le altre reti della ricerca c’è un’intensa attività di coordinamento e aggiornamento. In Europa, dentro l’organizzazione TERENA c’è il gruppo di lavoro TF-CSIRT (Computer Security Incident Response Teams) che permette la collaborazione, lo scambio di conoscenze e la creazione di standard e procedure comuni. Inoltre siamo accreditati presso l’organismo di certificazione Trusted Introducer che garantisce la qualità delle nostre procedure e, tramite esso, a livello mondiale lavoriamo in sinergia con il FIRST, il Forum sulla sicurezza informatica, che comprende circa 300 organizzazioni che operano nel settore ICT. Sempre a livello internazionale, sta crescendo per importanza il progetto ENISA, l’Agenzia per la sicurezza voluta dalla Commissione Europea, che si propone di aumentare la consapevolezza dei problemi legati alla cybersecurity attraverso lo scambio di buone pratiche, l’analisi di dati e la redazione di documenti su temi specifici. Per il futuro sarà sicuramente utile la creazione di un CERT europeo, anche per gestire il sistema degli alert evitando le duplicazioni attuali.
Ci sono consigli che si possono dare agli utenti per correre sempre meno rischi?
Per l’utente finale, la regola generale è quella di avere sempre molta accortezza. Bisogna avere un antivirus aggiornato ed essere attenti alla condivisione dei propri dati. Oggi, i casi più frequenti sono quelli di phishing, la truffa online che attraverso link fasulli consente di catturare dati riservati. Per evitarli, è importante verificare tramite i certificati i siti dove si inseriscono le proprie credenziali. Per gli APM invece, il consiglio è di verificare l’aggiornamento delle proprie macchine e lasciare attivi solo i servizi che realmente sono usati. Le ultime emergenze che abbiamo superato erano proprio legate a questi aspetti. Si è trattato di attacchi DRDoS (Distributed Reflected Denial of Service) che, a causa dell’elevato traffico che generano, comportano il blocco della macchina o sito web colpito. In questi casi, la rete GARR è usata come “riflettore”, sfruttando la vulnerabilità di macchine vecchie e non aggiornate. In questi incidenti, il “cattivo” di turno può inviare pochi pacchetti appositamente confezionati verso nodi mal configurati, ottenendo un effetto di amplificazione che va da 5 a 500 volte per ogni pacchetto spedito.
Quanto durano gli attacchi più pericolosi? In quanto tempo si riesce ad intervenire?
Gli attacchi DDoS devono essere risolti entro 5 ore. Viene immediatamente mandato l’allarme al tecnico della rete coinvolta e, se questi non interviene tempestivamente, il GARR-NOC, che gestisce la rete, provvede a filtrare e isolare il nodo interessato. Grazie alla costante azione di monitoraggio, il NOC è in grado di rivelare gli attacchi in corso e gli eventuali nodi colpiti e ogni 4-5 ore invia al CERT un rapporto, in base al quale si valuta come intervenire. Questi attacchi avvengono giornalmente, poi ci sono periodi particolarmente intensi, come nello scorso marzo-aprile, quando abbiamo osservato oltre 20 attacchi simultanei.
Quindi è fondamentale il monitoraggio della rete.
Assolutamente sì. Per vari motivi, chi gestisce la rete localmente potrebbe, in alcuni casi, neanche accorgersi dell’incidente, soprattutto perché la capacità di banda è molto alta e quindi il rallentamento può passare inosservato. La rete GARR non è quasi mai la diretta destinataria di attacchi, mentre è utilizzata per lo più come “riflettore” perché viene sfruttata la sua grande capacità di banda. Allo stesso tempo, però, l’utente spesso non subisce disservizi proprio grazie all’ampia disponibilità di banda che sopperisce al traffico degli attacchi e nasconde il problema.
Uno dei problemi più frequenti è il furto delle identità digitali. Cosa si può fare per limitare il rischio?
Un aiuto può venire dall’uso delle federazioni per l’identità digitale. Possedere un’unica identità digitale, rilasciata dalla propria organizzazione, limita il rischio che le proprie password vengano lasciate in giro per il web. Solitamente, infatti, gli utenti che accedono a servizi differenti tendono a scegliere sempre le stesse password, rendendo più alta la probabilità che esse vengano intercettate. Utilizzare un’unica identità per accedere una molteplicità di servizi invece fa sì che le credenziali siano conservate in un solo posto, che presumibilmente è protetto molto bene. Inoltre, se anche dovesse avvenire un furto di identità, utilizzando un sistema di autenticazione federato sarebbe più facile fare un controllo per verificare quando e in che modo l’identità è stata utilizzata in modo improprio. Inoltre potrebbe essere bloccata e modificata molto più velocemente proprio perché gestita da un solo ente.
I NUMERI
I dati mostrano l'aumento negli ultimi anni degli attacchi DoS. Dal 2012, il significativo aumento del numero dei virus è dovuto al fatto che sono state integrate le segnalazioni automatiche. Un dato costante riguarda la diffusione di materiale protetto da copyright, che ha rappresentato nel 2013 il 19% del totale.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
ANTIVIRUS PER SMARTPHONE: SERVONO VERAMENTE?risponde cecchini
-
FALSI MITI SULLA SICUREZZArisponde cecchini
-
Scuola digitale: collaborazione senza confinila voce della comunità
-
L'unione (in rete) fa la forzala voce della comunità
-
CNR :: Continua a crescere la Web Tv CNRla voce della comunità
-
INFN :: Cuore italiano per il nuovo acceleratore SESAME in Giordaniala voce della comunità
-
INAF :: Nuovo canale per l'informazione scientificala voce della comunità
-
ENEA :: Verso lo smart workingla voce della comunità
-
SISSA, Università di Trieste, Università di Udine :: Flash Forward 2: orientamento scolastico in retela voce della comunità
-
GARR-X: tutti pazzi per le VPNosservatorio della rete
-
Trento, la rete d'eccellenzaosservatorio della rete
-
LOLA: il conservatorio dà il La all’innovazioneosservatorio della rete
-
SWITCH: decolla la cloudla nuvola della ricerca e istruzione
-
Nuvola personalela nuvola della ricerca e istruzione
-
Ogni cosa è collegatainternazionale
-
Idee “made in Italy”internazionale
-
Spazio (europeo) alla collaborazioneinternazionale
-
Work in (GARR-X) progress!GARR-X Progress
-
I protagonisti della ricerca d'eccellenzaGARR-X Progress
-
La formazioneGARR-X Progress
-
Con IPv6 ecco l'Internet of (future) Thingsipv6
-
Internet nel 1986ieri, oggi, domani
-
Le reti della ricerca nella Internet Hall of Famepillole di rete
-
GARR e MIX per il nuovo punto di interscambio a Palermopillole di rete
-
Cinquecento in digitalepillole di rete
-
Nuovo presidente per l'Agenzia Spaziale Italianapillole di rete
-
Musica dallo spazio profondopillole di rete
-
Progress in Training: corsi sulle infrastrutture digitaliagenda
-
Tre giorni per la scuola “Smart Education & Technology days”agenda
-
e-IRG Workshop e meetingagenda
-
Workshop Tecnico GARRagenda
-
L'Aquila e Ancona: L'arrivo di GARR-X visto dall'APMosservatorio della rete
-
In prima linea in Europa con DARIAHcaffè scientifico
-
Navigando nel SITARcaffè scientifico
-
Italia protagonista con la cultura digitalecaffè scientifico
-
Più che sicuri, CERT!servizi alla comunità
-
il filo - 06/2014Editoriale
-
IPERION -CHcaffè scientifico
-
Roma ritorna al futurocaffè scientifico
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009