Il continuo aumento delle minacce provenienti dal Web è un indice delle difficoltà che si incontrano nel proteggere applicazioni e sistemi operativi. Gli assalti sono sempre più articolati e agiscono contemporaneamente su più fronti, causando danni a più livelli
L’evoluzione delle tecnologie Ict non ha risparmiato quella delle tecniche di intrusione, che si sono sviluppate come ogni altro settore legato all’informatica. Le intrusioni provenienti dal Web non solo si sono moltiplicate per numero, ma anche per varietà e modalità e, in conseguenza di ciò, anche le conseguenze e il corrispondente danno economico per l’azienda hanno assunto connotazioni molto differenziate.
Il proliferare degli attacchi è una dimostrazione del fatto che le applicazioni commerciali e i sistemi operativi sono molto difficili da rendere sicuri. La tipica catena di eventi che caratterizza un attacco prevede un iniziale inserimento all’interno del mail server o del Web server aziendale per ottenere un processo di tipo “user” sulla macchina.
Questo rappresenta il punto di partenza, da cui scalare nell’accesso come utente a quello come amministratore. Una volta raggiunto questo livello, di solito, l’attaccante installa uno “sniffer” in grado di recuperare le password; conclusa questa fase avvia un attacco secondario indirizzato ad altri server più importanti facendo uso delle password di cui si è appropriato.
Le modalità di attacco provenienti dalla rete possono essere suddivise macroscopicamente in quattro categorie. La tipologia più “popolare” è rappresentata dagli attacchi connessi alla presenza di file che contengono programmi nocivi. Questi attacchi si indirizzano non solo alla rete, ma portano anche a compromettere la sicurezza di singoli computer. Parliamo di virus, worm e trojan horse, che sono in grado di replicarsi, propagarsi o essere diffusi inconsapevolmente dagli utenti di computer.
Una modalità di attacco meno nota agli utenti finali, ma più temuta dalle aziende online, riguarda gli attacchi di tipo Dos (Denial of service), che vengono condotti con l’esclusivo obiettivo di impedire che gli utenti di una rete possano utilizzare determinati servizi o di intralciare le normali attività operative, arrivando a rendere inutilizzabili per lunghi periodi singoli computer o intere reti. Noto è, per esempio, l’attacco Dos che coinvolse Yahoo nel febbraio del 2000, durante il quale il Web server del portale statunitense fu inondato da un volume enorme di richieste di dati che vennero interpretate come legittime e che bloccarono il portale per circa tre ore.
Un altro tipo di minaccia è quella che proviene dagli accessi non autorizzati di personale, sia interno sia esterno all’azienda (un impiegato malcontento, un fornitore esterno o un anonimo), condotti con il fine di acquisire l’accesso e il controllo di computer per esaminare, duplicare, sottrarre o distruggere informazioni e tecnologia senza autorizzazione.
Si tratta di attacchi condotti sfruttando le vulnerabilità della sicurezza nella rete, ma anche le “bad practice” del personale aziendale, che compromettono spesso il lavoro dei security manager.
La tipologia più recente di attacco provenienti dalla rete riguarda le cosiddette minacce miste o “blended”, progettate per sfruttare le vulnerabilità di tecnologie di sicurezza che operano in modo indipendente tra loro. Si tratta di una metodologia di attacco che sfrutta una molteplicità di sistemi diversi combinando le caratteristiche di virus, worm, trojan horse, con pratiche indirizzate a sfruttare vulnerabilità di server e di Internet per diffondere un attacco indirizzato a recuperare informazioni critiche o danneggiare l’azienda. Le minacce di questo tipo possono diffondersi rapidamente e causare danni generalizzati, come hanno dimostrato i tristemente noti Nimda e CodeRed.
Spesso ciò avviene con il contributo della superficialità degli amministratori di rete. Basti, per esempio, pensare che, nonostante le patch per inibire l’azione di CodeRed fossero già disponibili un mese prima dell’attivazione del virus, nelle prime nove ore è riuscito a contagiare ben 250mila server.
La valutazione dell’impatto economico che queste differenti tipologie di attacco determinano sull’azienda non è sempre di facile quantificazione. Le conseguenze indotte dagli attacchi provenienti dalla rete variano dall’interruzione delle attività al danno di immagine che compromette, a vari livelli, la posizione competitiva sul mercato dell’azienda interessata.
Proteggere il vero valore
Il danno primario è, comunque, legato alla sottrazione o alla distruzione di informazioni, che rappresentano una delle risorse di maggior valore per una società. La loro perdita può causare periodi di inattività, costi di ripristino e danni per il valore azionario, che possono arrivare a determinare un’insostenibile posizione competitiva sul mercato, fino al fallimento.
L’interruzione delle attività è solo parzialmente un danno di facile quantificazione economica. Accanto a perdite stimabili proporzionalmente al tempo di faildown dei sistemi, legate al volume delle transazioni, alla perdita di produttività e al tempo durante il quale il team di ripristino è distolto da altri compiti quotidiani, se ne aggiungono altre connesse alla possibile perdita di clienti o al vantaggio concesso ai propri competitor, meno facili da stimare. Altre conseguenze, meno evidenti, ma altrettanto disastrose per le aziende, riguardano la possibilità di essere esposte legalmente ed essere coinvolte in vertenze giudiziarie, poiché le società attaccate possono ritrovarsi citate in tribunale come imputati o testimoni chiave. Questo processo contribuisce a limitare la produttività degli impiegati e la liquidità aziendale, ma anche potenzialmente a turbare il normale andamento del mercato azionario.