La gestione degli incidenti

La gestione degli incidenti, nata nell'ambito della Computer and Network Forensics, ed ancora in larga parte legata a questa disciplina, si è affermata in modo sostanziale da oltre un decennio e rappresenta una parte importante della sicurezza informatica visto che, anche a fronte dell'applicazione di controlli sempre più avanzati, ogni sistema rimane comunque esposto ad una possibile violazione. Nel caso ciò avvenga, è estremamente importante attivare delle procedure di risposta al fine di garantire il ripristino del sistema ed allo stesso tempo la raccolta di informazioni utili alla formazione delle fonti di prova.

Origini

Alle ore 18 EST (Eastern Standard Time) del 2 Novembre 1988, su uno o più sistemi connessi alla rete ARPANET, che ne conta circa 88.000, viene eseguito un programma. Siamo di fronte a quello che verrà poi ribattezzato come "Morris Worm", dal nome del suo creatore, uno studente presso la Cornell University.

Il programma raccoglie informazioni circa i sistemi, le reti e gli utenti dopo di che accede, replicandosi, ad altri sistemi utilizzando alcune vulnerabilità presenti negli stessi. La replicazione continua porta in breve all'esaurimento delle risorse ed al collasso dell'ospite. In breve, in 10% dei sistemi statunitensi connessi ad ARPANET smette di funzionare.

Alcune università americane procedono, praticamente in modo isolato, alla cattura ed alla successiva analisi di alcune copie del programma e dopo appena dodici ore rilasciano diverse procedure che consentono di interromperne la replica.

L'esperienza porta la DARPA (Defense Advanced Research Projects Agency), l'agenzia governativa preposta al controllo di ARPANET, a finanziare la costituzione del Computer Emergency Response Team (CERT ora CERT Coordination Center) presso il Software Engeneering Institute (SEI) della Carnegie Mellon University, con un solo compito, quello di essere in grado di coordinare una risposta ad un eventuale incidente.

Ad oggi, l'organizzazione del CERT/CC è costituita da tre gruppi con compiti diversi ma in stretta relazione tra loro:

• Operazioni: punto di contatto, assistenza tecnica telefonica, risposta all'incidente e gestione degli archivi delle vulnerabilità, pubblicazione di bollettini circa le vulnerabilità;

• Formazione: aiuto nella creazione di gruppi di risposta, formazione degli utenti, rilascio di documentazione tecnica e dei bollettini forniti dai produttori, organizzazione di seminari;

• Ricerca e sviluppo: creazione di sistemi sicuri, ricerca nel campo della sicurezza, sviluppo di strumenti per la sicurezza;

Coordinamento

Nel corso del tempo, sull'esempio del CERT/CC, vengono creati in tutto il mondo ed a qualsiasi livello, nuovi gruppi di risposta agli incidenti. Nel 1989 un nuovo worm chiamato "Wank worm" rende evidente la necessità di una collaborazione più stretta fra i diversi gruppi e nel 1990, sotto la spinta di 11 dei principali gruppi esistenti viene creata una nuova realtà no profit, il Forum of Incident Response and Security Teams (FIRST).

Gli obiettivi dell'organizzazione comprendono:

• incoraggiare la cooperazione tra i diversi costituenti del mondo della tecnologia dell'informazione di modo da offrire reali capacità di prevenzione, rilevamento e  ripristino da incidenti informatici;

• fornire i mezzi per la comunicazione di avvisi o consigli su potenziali minacce e situazioni emergenti dal punto di vista degli incidenti;

• facilitare le azioni e le attività dei membri nei campi della ricerca, della operatività, della condivisione delle informazioni e delle tecniche/strumenti.

La situazione italiana

In Italia, come riportato nel sito della European Network and Information Security Agency (ENISA) sono attivi diversi CERT, fra i quali:

• GovCERT.it: http://www.CNIPA.gov.it/
  Il CERT del Governo Italiano è stato istituito all’interno del CNIPA, con il compito di supportare e coordinare le attività dei singoli CERT-AM, unità per la prevenzione e la gestione degli incidenti informatici interne a ciascuna amministrazione;

• CERT-IT: http://security.dsi.unimi.it/
  E' stato creato nel Febbraio 1994 da un gruppo di persone appartenenti allo staff tecnico del Dipartimento di Scienze dell'Informazione dell'Università di Milano. Nel 1995 è entrato a far parte del FIRST;

• CERT-Difesa: http://www.cert.difesa.it/
  Il CERT-Difesa è un team creato presso lo Stato Maggiore Difesa in ottemperanza alla direttiva del Presidente del Consiglio dei Ministri sulla "Sicurezza Informatica e delle Comunicazioni". Il suo fine istituzionale è fornire assistenza agli utenti della Difesa nel campo della difesa delle reti telematiche, promuovendo nel contempo la divulgazione di informazione a scopo preventivo nel campo della sicurezza informatica;

• GARR-CERT: http://www.cert.garr.it/
  Scopo del servizio è la gestione degli incidenti in cui siano coinvolti enti collegati alla rete GARR;

La gestione dell'incidente

La gestione di un incidente informatico avviene generalmente attraverso le seguenti fasi:

• il soggetto vittima contatta il CERT utilizzando uno dei mezzi messi a disposizione (modulo web, posta elettronica, telefono, ecc.) e segnala l'incidente ed i suoi effetti, provvedendo ad inviare il materiale in suo possesso (eventuali file di log, avvisi IDS, ecc.);

• ricevuta la segnalazione, il CERT registra l'incidente, ne studia le caratteristiche, e se può risalire alle cause che lo hanno reso possibile cerca di individuare un modo per una loro eventuale rimozione;

• il soggetto vittima viene ricontattato dal CERT che comunica, se possibile, le informazioni necessarie per poter ripristinare la situazione rimuovendo le cause che hanno favorito l'incidente;

• l'incidente viene chiuso.

Riferimenti

• Howard, J., An Analysis of Security Incidents on the Internet 1989 - 1995, Carnegie Mellon University, 1997;
• Spafford, E., The Internet Worm Program: an Analysis, Purdue Technical Report CSD-TR-823, 1988;
• CERT Coordination Center - http://www.cert.org;
• Forum of Incident Response and Security Teams - http://www.first.org;
• Trusted Introducer for CSIRTs in Europe - http://www.ti.terena.nl/index.html;
• European CSIRT Network - http://www.ecsirt.org/