Esiste la sicurezza totale? No, come ben sanno gli amministratori di rete più esperti. Quello della gestione di un sistema complesso come una rete locale è un problema complesso, che sfocia secondo molti nell’arte (e talvolta nella poesia) vera e propria. Il numero di variabili in gioco è enorme, la modalità di approccio delle problematiche estremamente complessa, i risultati spesso problematici.
Come si può dominare questa complessità ? Quali strumenti di conoscenza sono a disposizione per non finire per chiudersi in un paradosso noto in ambito della sicurezza per i suoi effetti radicali? Se l’unica macchina sicura è quella spenta (e anche lì, in realtà , se ne potrebbe discutere), di sicuro è anche quella meno utile di tutte… E allora? Come sopravvivere e prosperare in un mondo (virtuale) che è sempre più insicuro?
Chris McNab ha appena pubblicato con O’Reilly un libro di certo non adatto a tutti e oltretutto disponibile solo in inglese. Nella serie “Know Your Network”, il libro Network Security Assessment presenta il meglio dell’esperienza maturato nel corso della vita professionale di questo esperto di sicurezza britannico (responsabile tecnico di Matta, gruppo di consulenza indipendente).
Chiariamo subito che il libro non è adatto a tutti perché richiede degli skill tecnologici che non sono esattamente quelli dell’amatore e anche delle necessità (quelle di amministrare un sistema) che la gran maggioranza delle persone non hanno. Tolto questo, per quei pochi che rimane McNab ha scritto una specie di Bibbia della sicurezza. Per chi infatti è necessario questo testo pubblicato da O’Reilly, amministratori ed esperti di sicurezza, professionisti e consulenti, l’inglese, il costo, il dettaglio tecnico e la lunghezza non sono un problema. Anzi, costituiscono tutti gli elementi che danno valore al libro.
La parola chiave è “assessment”, cioè valutazione. Con questo tipo di approccio, all’interno di un settore tecnologico ben circoscritto (quello delle reti basate sul protocollo IP) McNab sviluppa una serie di procedure e analisi di casi concreti, sviscerando una dopo l’altra le tecnologie presenti nel mondo Unix, Linux e Windows con i problemi e i “bachi” che queste si portano dietro. Non sono poche e i problemi non sono banali. Soprattutto, se pensate che l’implementazione attuale di una rete vicina a voi sia sicura, non immaginate neanche le sorprese alle quali andrete incontro applicando i metodi e le logiche di questo libro.
Ma cosa vuol dire utilizzare un approccio basato sulla valutazione? Quali sono i parametri che un sistemista deve considerate per “valutare” la sicurezza di una rete e soprattutto con quale logica sottostante? La chiave è nel passato di McNab, che ha scoperto il computer una quindicina di anni fa nel modo migliore, cioè come un giovane hacker. E come tale ha ragionato a lungo, prima di “crescere” e diventare un tecnico della consulenza, con la testa di chi si trova dall’altra parte del cavo di rete: il potenziale pericolo per la sicurezza.
Fare una valutazione della sicurezza della rete vuol dire, in questo caso, essere in grado di penetrarla. E molto di più. A differenza dei singoli “penetration test”, l’assessment comporta un più generale ragionamento di carattere sistematico. Per mettere ordine in quella pletora di strumenti che possono essere utilizzati all’uopo, infatti, occorre conoscere non solo il funzionamento delle tecnologie ma anche gli applicativi e i protocolli, la loro storia, le idiosincrasie delle singole versioni. Tra una edizione e l’altra di un server IIS di Microsoft, infatti, non c’è solo una questione di differenti “buchi” di sicurezza, ma anche di eredità che il percorso di aggiornamento del server stesso può o non può portarsi dietro.
In un certo senso il lato più affascinante di questo libro è scoprire non solo la complessità ma anche la fatica mentale del ragionamento a contrario che un “violatore” è costretto a fare rispetto a un amministratore di sistema. Ci sono ipotesi da prendere in considerazione, analisi da portare avanti, tentativi e “assaggi” per vedere come risponde una macchina, una rete e un sistema di sicurezza, sino al momento in cui le informazioni accumulate non consentono di iniziare a tracciare il modello della cassaforte che si vuole forzare.
Se la Computer Science è in realtà una complessa serie di astrazioni e di metodi per il ragionamento, il networking rende queste astrazioni e questi metodi dei problemi tridimensionali, sfaccettati, estremamente difficili da gestire in una ottica di creazione della struttura. Ribaltare il problema, andare cioè a vedere il modo in cui queste astrazioni e questi metodi possono essere “decodificati” dall’esterno, basandosi sugli elementi che il sistema stesso fornisce, sia alle domande dirette che nel modo in cui si presenta all’osservatore esterno, rappresenta un esercizio altrettanto difficile quanto è differente, perché richiede da un lato una costante attenzione al ragionamento più creativo, e dall’altro uno sforzo deduttivo non irrilevante.
La parola chiave, abbiamo detto, è valutazione (assessment). Il suo utilizzo è quello che permette di capire e dichiarare quali sono le aree toccate nel lavoro di analisi dell’autore: dopo aver definito le aree concettuali del Network Security Assessment come procedura e aver passato in revisione i principali tools a disposizione, si comincia con metodicità a toccare tutti gli ambiti, nessuno escluso. Dall’Internet hosting alla numerazione sul network, dalla scansione degli indirizzi Ip alla valutazione di una serie quasi interminabile di elementi: i servizi di informazione remota, i web services, i servizi di manutenzione remota, Ftp, i servizi di database, i servizi di networking di Windows, di email, Vpn, Rpc di Unix e i rischi a livello applicativo. Per ognuno di questi libri, sia le regole che le eccezioni alla sicurezza costituiscono costante motivo di attenzione. Ci sono problematicità che non vengono sottovalutate e nuovi aspetti sconosciuti ai più. Il limite pare essere solo la fantasia di chi costruisce le reti, una volta imparata la logica e apprezzata la storia di molti degli attori tecnologici in gioco.
McNab conclude il libro con una serie di “esempi di metodologie di valutazione”, che sono in realtà veri e propri viaggi nelle “insicurezze” delle reti altrui, analizza i tipi di messaggi caratteristici di Tcp, Udp e Icmp. Infine, propone una serie di fonti di informazione per quanto riguarda le vulnerabilità . In questo come nei capitoli precedenti il libro fa riferimento a una serie molto ampia di tools, prevalentemente per macchine Unix e Linux (c’è anche materiale per Mac Os X, ovviamente), che sono disponibili in mirroring anche sul sito di O’Reilly. Dal momento che l’approccio è quello di vedere se il giubbotto anti-proiettile resiste al colpo, si parla di pistole che possono essere utilizzate anche dai malintenzionati. In realtà non ci sono gli strumenti necessari a creare danni, ma in prevalenza quelli in grado di compiere le operazioni necessarie sia ai “cattivi” che agli amministratori (o più in genere agli esperti di sicurezza) per venire a ficcanasare sul network locale.
Il libro di Chris McNab, Network Security Assessment, di 380 pagine, è disponibile sul sito di O’Reilly a 39,95 dollari (ma su Amazon si può trovare attualmente a 27,17). Vale la pena dell’acquisto? Il pubblico non è certo quello generalista, l’opera non ha le caratteristiche adatte per essere definita “divulgazione” in senso classico. Però, anche se il lettore non amministra necessariamente una rete, può trovare degli elementi di spunto. Altrettanti per l’universitario che si specializzi in materie informatiche o voglia approfondire il settore in modo sistematico. Infine, l’appassionato lanciato verso un mondo che potrebbe diventare professionale o semplicemente abbia voglia di sperimentare nuove competenze in un ambito (il networking basato sul Tcp/Ip) oramai onnipresente intorno a noi. Infine, anche chi crede di avere il controllo e sapere, magari con la coscienza di “aver fatto” e il pensiero che il sapere si trovi sparso in rete, può qui invece condensare e far evolvere pensieri e idee mai cristallizzati prima. E magari fare un certo salto di qualità .
