Per arginare il sempre più grave problema delle reti “botnet”, tutti i sistemi infetti dovrebbe essere “isolati” dalla rete Internet.
In occasione dell’evento berlinese ISSE 2010 (Information Security Solutions Europe), Scott Charney – Vice President for Trustworthy Computing in Microsoft – ha dichiarato che per arginare il sempre più grave problema delle reti “botnet“, tutti i sistemi infetti dovrebbe essere “isolati” dalla rete Internet.
Nel suo studio, intitolato “Difesa collettiva: applicazione alla Rete dei modelli per la salute pubblica” (ved. questo documento in formato PDF), Charney ha fatto esplicito riferimento ad una serie di esempi utilizzati nella sanità per proteggere il resto della popolazione dai rischi di infezione.
Secondo l’esponente di Microsoft, i governi e l’industria dovrebbero adottare schemi molto simili permettendo la connessione alla Rete solo ed esclusivamente ai sistemi che certamente non ospitano malware.
Il punto di vista illustrato da Charney guarda nella medesima direzione di una tecnologia che è già parte integrante delle più moderne versioni di Windows (da XP SP3 in poi): NAP (Network Access Potection) poggia sull’impiego di alcune regole che permettono di stabilire la configurazione o lo “stato di salute” del sistema. Tale tecnologia è stata originariamente pensata per le grandi realtà aziendali: NAP fornisce agli amministratori metodologie per l’accesso alle varie risorse presenti in rete locale sulla base di una policy correlata con l’identità di ogni singolo personal computer. L’amministratore può definire anche regole atte a stabilire un livello minimo di sicurezza per ogni client della rete. Ad esempio, è possibile impostare delle policy che controllino se sul sistema in uso siano stati applicati tutti gli aggiornamenti di sicurezza, se firewall ed antivirus siano abilitati ed aggiornati e così via. I computer che non dovessero soddisfare tali requisiti non potranno accedere alla rete od effettuare certi tipi di comunicazioni.
Lo stato di ogni client della rete può essere stabilito usando non solo tecnologie Microsoft ma anche prodotti di terze parti: l’architettura di NAP è infatti interoperabile.
La possibilità di impiegare NAP per controllare, su larga scala, la possibilità di accedere ad Internet è una questione che è rimasta da tempo aperta. Charney, però, vuole rilanciare l’approccio sottolineando la sempre più impellente necessità di realizzare una sorta di “quarantena” per i sistemi infetti.
I sistemi che non vengono mai aggiornati e che non rispondono a requisiti di base in materia di sicurezza, porgendo il fianco alle infezioni, possono rappresentare un problema per l’intero ecosistema della Rete. Le macchine “violate” sono infatti spesso utilizzate per inviare spam, generare traffico dati non necessario, sferrare attacchi distribuiti, sottrarre informazioni personali e così via. Per questo motivo, secondo Charney, l’esigenza di adottare una politica che consenta di “limitare i danni” è ormai divenuta sempre più pressante.