CERT
Da Wikipedia, l'enciclopedia libera.
I CERT sono organizzazioni, finanziate generalmente da Università o Enti Governativi, incaricate di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software che provengono dalla comunità degli utenti.
Indice |
[modifica] Significato del nome
L'acronimo inglese CERT sta per "Computer Emergency Response Team", ovvero squadra per la risposta ad emergenze informatiche.
Un’altra sigla usata per identificare questi gruppi era CSIRT (“Computer Security Incident Response Team”), ovvero squadre preposte a rispondere in caso di incidenti informatici.
CERT era in origine il nome del CSIRT istituito nel 1988 presso il SEI, l’Istituto di Ingegneria del Software della Carnegie Mellon University di Pittsburgh, Pennsylvania.
Nel tempo si è passati a generalizzare questa sigla, per mostrare come i CERT siano squadre chiamate a gestire qualunque tipo di emergenza informatica, non solo quelle legate agli incidenti.
Oggi l’acronimo viene inteso anche come "Computer Emergency Readiness Team", con l'intento di sottolineare l'attenzione volta alla prevenzione dei rischi.
[modifica] Storia dei CERT
Il 2 novembre 1988 uno studente di informatica della Cornell University, Robert Morris, rilascia un programma in grado di auto-replicarsi infinite volte e diffondersi da un computer all’altro viaggiando sulla rete Arpanet. Questo programma è in grado di sfruttare le vulnerabilità dei sistemi in cui si insedia, scavalcando facilmente i loro meccanismi di autenticazione. Il “Morris worm” quella sera riesce a bloccare circa il 10% dei computer connessi in rete.
Poco tempo dopo la DARPA commissiona al SEI la creazione di un centro che coordini in modo veloce ed efficace la comunicazione tra gli esperti durante le emergenze, allo scopo di assistere gli utenti della rete in caso di incidente informatico, prevenire eventuali incidenti futuri e promuovere una cultura a livello internazionale sulla sicurezza informatica. Questo centro è oggi conosciuto come CERT/CC (CERT Coordination Center).
[modifica] Attività svolte dai CERT
I CERT si pongono come un punto di riferimento per gli utenti della rete, in grado di aiutarli a risolvere qualunque problema legato alla sicurezza informatica.
Di norma un CERT è composto da persone specializzate in diversi ambiti, per esempio amministratori di rete, amministratori di sistema ed esperti in sicurezza informatica.
Essi sono a conoscenza di come dovrebbero apparire, in condizioni normali, i settori di loro competenza, e dunque sono in grado di accorgersi immediatamente dell’eventuale verificarsi di un’anomalia.
I compiti fondamentali di un CERT consistono nel rispondere alle segnalazioni degli utenti vittime di incidenti informatici e nell’analizzare i sistemi hardware e software per individuarvi eventuali vulnerabilità.
La rapida evoluzione che Internet ha avuto negli anni recenti ha portato, tra le tante conseguenze, un’altrettanto rapida evoluzione delle tecniche di intrusione. Ciò ha contribuito ad accrescere le funzioni dei CERT, le cui competenze sono oggi suddivise in vari settori.
[modifica] Assistenza tecnica
L’assistenza tecnica da parte di un CERT può avvenire in due modi: da un lato come assistenza diretta, attuando piani immediati di incident response in caso di segnalazioni da parte di uno o più utenti. Dall’altro tramite la massiccia diffusione di informazioni contenenti, per esempio, le contromisure adeguate per i tipi più comuni di incidente, allo scopo di far acquisire agli utenti la consapevolezza del problema della sicurezza e stimolarli ad auto-proteggersi.
[modifica] Ricerca e sviluppo
L’attività di ricerca e sviluppo dei CERT consiste in un monitoraggio costante dei sistemi informatici, dei programmi applicativi e della rete, allo scopo di analizzare il loro stato di sicurezza e il loro livello di sensibilità a potenziali attacchi. Sulla base delle informazioni ottenute il CERT attua piani di realizzazione e implementazione di tecnologie utili a correggere le vulnerabilità, a resistere agli attacchi e a prevenire minacce future.
[modifica] Formazione
Molti CERT organizzano dei corsi di formazione destinati ad amministratori di rete e di sistema e a personale tecnico in generale, allo scopo di istruirli nella creazione e gestione di un proprio team: durante questi corsi viene testata la loro capacità sia di analizzare le minacce alla sicurezza e attuare nei loro confronti una risposta adeguata, sia di realizzare e implementare forme di auto-protezione.
I CERT possono svolgere in questo senso un’attività di supporto sia nella creazione di nuovi team, sia nel miglioramento della funzionalità di quelli già esistenti.
L’attività di formazione dei CERT non si limita al profilo tecnico, ma ha anche lo scopo, tramite la cooperazione con i principali media, di instaurare in ciascun utente della rete una situation awareness (consapevolezza della situazione) riguardo al problema della sicurezza.
[modifica] Informazione
Le attività di assistenza tecnica svolte dai CERT consentono loro di raccogliere informazioni sugli incidenti cui rispondono, per esempio quale vulnerabilità è stata sfruttata, quale tipo di attacco è stato portato a termine, quali danni ha provocato nel sistema e in che modo si è riusciti a risolvere il problema.
I CERT raccolgono le informazioni in loro possesso, verificando che siano corrette e il più possibile aggiornate, e le organizzano sotto forma di articoli, bollettini o newsletter, per poi renderle disponibili agli utenti pubblicandole periodicamente on-line.
Queste informazioni permettono tra l’altro di organizzare, sotto forma di indagine statistica, sia le principali vulnerabilità dei sistemi, sia le più comuni tipologie di attacco e la loro frequenza, sia le possibili contromisure da adottare in ogni circostanza. In questo modo il CERT è in grado di capire se un’emergenza che gli viene segnalata possiede caratteristiche già note o ancora sconosciute; se si verifica il secondo caso, il CERT ha il compito di diffondere le informazioni riguardanti il nuovo tipo di emergenza e le contromisure necessarie per fronteggiarla o prevenirla.
[modifica] Concetti
[modifica] Vulnerabilità
È la possibilità di sfruttare un difetto nel software, oppure una configurazione particolare nei sistemi di sicurezza, allo scopo di accedere a particolari risorse informatiche (ovvero ai dati contenuti nei computer, oppure alle loro capacità di calcolo), senza averne l'autorizzazione.
Le vulnerabilità possono derivare da imperfezioni nel software che consentono di forzarne un malfunzionamento a fronte di particolari configurazioni nei dati di ingresso; tali malfunzionamenti possono semplicemente causare un disservizio agli utenti "legittimi" del sistema, oppure consentire l'acquisizione di privilegi non previsti. Altre vulnerabilità derivano dalla possibilità di forzare i sistemi di autenticazione, oppure dalla possibilità di sfruttare configurazioni errate o incomplete dei sistemi di sicurezza.
I CERT analizzano i diversi sistemi informatici e programmi applicativi allo scopo di rilevare in essi eventuali vulnerabilità, per poi comunicarle ai produttori e cooperare con loro per correggerle.
L’obiettivo dei CERT è realizzare sistemi capaci di resistere alle emergenze informatiche e che, in caso di incidente, possano minimizzarne i danni e garantire agli utenti la continuità dei propri servizi fondamentali.
[modifica] Incidente
Con questo termine si identifica generalmente un tentativo, riuscito o no, di sfruttare una o più vulnerabilità allo scopo di penetrare i sistemi attaccati, o condizionarne il funzionamento.
Gli incidenti possono essere causati da individui, da virus o altri programmi maliziosi, o da difetti del software che si manifestano in particolari condizioni di funzionamento.
La gestione degli incidenti è importante per la sicurezza informatica perchè, anche se oggi vengono realizzate applicazioni sempre più avanzate, nessuna di queste è immune da violazioni.
I CERT si occupano di incident response ogni volta in cui la sicurezza di un sistema risulta compromessa. L’incident response consiste in una serie di comportamenti finalizzati a minimizzare gli effetti di una violazione, a garantire l’integrità dei dati e delle risorse del sistema, e a tentare di prevenire violazioni future.
Di norma, la gestione di un incidente informatico avviene in questo modo: 1- un utente contatta il CERT (tramite telefono, e-mail o website) segnalando l’incidente e i danni che ha provocato; 2- il CERT analizza le caratteristiche dell’incidente, cercando di risalire alle cause che lo hanno provocato; 3- il CERT ricontatta l’utente per comunicargli le informazioni necessarie a rimuovere le cause che hanno favorito l’incidente e a ripristinare correttamente la situazione; 4- l’incidente viene risolto.
[modifica] Principali organizzazioni
[modifica] Il FIRST
Il Forum of Incident Response and Security Teams è un consorzio istituito nel 1990 grazie all’impulso di 11 CERT, e che oggi accorpa più di un centinaio di CERT di differenti nazionalità.
L’obiettivo di questa organizzazione è incoraggiare la cooperazione tra i diversi team tramite un mutuo scambio di informazioni, attività di ricerca congiunte e l’attuazione di strategie comuni di difesa in caso di attacchi su vasta scala.
L’Italia è rappresentata nel FIRST dal CERT-IT, principale CERT italiano, nato nel 1994 presso il Dipartimento di Informatica e Comunicazione dell’Università degli Studi di Milano.
[modifica] I CERT in Italia
Nel 2006 sono stati censiti più di 100 CERT in tutta Europa, di cui 9 in Italia.
Oltre al già citato CERT-IT, in Italia c’è il CERT GARR, che si occupa esclusivamente di emergenze informatiche sulla rete GARR.
A livello istituzionale il CERT principale è il CERT GOV, con sede presso il CNIPA. Dispongono di un proprio CERT anche il Ministero della Difesa e la Conferenza Episcopale Italiana.
I CERT si stanno diffondendo anche nel settore delle imprese: infatti alcune grandi aziende nazionali oggi dispongono di un proprio CERT.
[modifica] I CERT nel mondo
- US-CERT, è l'organismo appartenente al Department of Homeland Security (Dipartimento di Sicurezza Nazionale) del Governo federale degli Stati Uniti.
- CERT/CC, è il centro "storico" di coordinamento dei CERT, della Carnegie Mellon University, che ha trasferito parte delle sue competenze all'US-CERT.
- RUS-CERT, è l'unità gestita presso l'Università di Stoccarda (il sito è in lingua tedesca).
- SecurityNet acronimo del Servizio Antivirus e Prevenzione Computer Crime, è un network di centinaia di aziende, che ha l'obiettivo di raccolta e diffusione di informazioni legate alla sicurezza.
- IT-CERT, è un'organizzazione senza scopo di lucro sponsorizzata principalmente dal Dipartimento di Informatica e Comunicazione (DICO) - Università degli Studi di Milano.
[modifica] Altre organizzazioni
- IRItaly, è un progetto nato presso il Dipartimento di Tecnologie dell'Informazione dell'Università Statale di Milano, Polo Didattico e di Ricerca di Crema, con lo scopo di informare la comunità scientifica italiana, le aziende, sui temi dell'Incident Response.
- Unità di analisi del crimine informatico opera all'interno della Polizia Postale.
- ISECOM Institute for Security and Open Methodologies è una comunità open source per lo studio delle metodologie di impianto della sicurezza, fra cui rientra anche la gestione degli incidenti informatici.
