<- SL - Intro - Indice Generale - Copertina - SL - Mailman ->

SecurITy@uniROMA1

di Giacomo Magnini

Lo scorso 6 marzo si è tenuto presso il Dipartimento di Scienze dell'Informazione dell'Università La Sapienza di Roma un convegno sulla sicurezza intitolato SecurITy@uniROMA1.
Vi hanno partecipato professori, ricercatori, studenti, delegati di aziende, liberi professionisti, semplici "smanettoni" ed i soliti inguaribili curiosi.

Si erano registrate circa 200 persone, ma la partecipazione effettiva è stata ben più alta, per nulla intimidita dalla lunghezza prevista (quasi 12 ore di full immersion).
La giornata era divisa in due parti: la mattina era dedicata agli interventi più "filosofici", mentre il pomeriggio era dedicato alla presentazione di prodotti tangibili e dimostrati dal vivo, oltre alla presentazione di alcune tecniche di intrusione.

Alle 9,15 il Prof. Luigi V. Mancini, presidente del Comitato Scientifico ed organizzatore principale dell'evento, ha introdotto la conferenza e gli oratori, mettendo in risalto quanto l'argomento sicurezza sia fondamentale al giorno d'oggi in molti campi, e quante sfumature esso assuma a seconda dei diversi ambiti di applicazione.

Il primo intervento, del Prof. Danilo Bruschi del Comitato Tecnico Nazionale per la Sicurezza Informatica e delle Telecomunicazioni nella Pubblica Amministrazione, rivisitava in modo critico il fenomeno sicurezza in Internet e più precisamente evidenziava il modo in cui la sicurezza viene concepita e realizzata. Si soffermava sull'analisi degli attacchi in rete, a partire dal worm SUn fino al recente Slammer, mettendo in risalto i più recenti sviluppi delle tecnologie e delle tecniche di intrusione per cogliere indicazioni sulle attività di ricerca da intraprendere.

Successivamente il Dott. Pierluigi Rotondo, del laboratorio Tivoli di Roma, discuteva una metodologia per valutare il grado di sicurezza di una rete aziendale attraverso l'esecuzione di test di vulnerabilità. Questo e' un aspetto rilevante della sicurezza aziendale che paradossalmente si avvale delle tecniche sviluppate dagli stessi hacker.

A seguire, il Dott. Libero Marconi di Verisign - Trust Italia esponeva il punto di vista sui livelli di sicurezza fisica, logica ed organizzativa di una azienda per garantire una assoluta fiducia alle transazioni commerciali su Internet.
Veniva spiegata dettagliatamente come viene messa in pratica e garantita all'interno della stessa Verisign la sicurezza: dal controllo sulle persone, passando per la sicurezza "fisica" dell'azienda, al controllo logico basato sulla differenziazione dei ruoli degli impiegati.

Il Dott. Marco Strano, Vice Questore Aggiunto della Polizia Postale e Telematica, analizzava gli aspetti psicologici ed investigativi delle principali fattispecie criminose che hanno come oggetto la rete Internet. Gli aspetti psicologici della figura dell'hacker sono intriganti e sollevano interessanti questioni legate alla difficoltà dei soggetti nell'identificare il limite che separa la realtà dal virtuale. Ciò comporta la pericolosità degli accessi non autorizzati a certe banche dati sensibili che per loro natura o origine non sono state messe subito in sicurezza.

L'intervento dell'Avv. Andrea Monti (noto per la collaborazione costante a Linux & C, tra le tante intraprese) illustrava la sicurezza informatica in riferimento al panorama giuridico vigente. L'assetto normativo della sicurezza informatica è tutto da scrivere se si confronta con quello che accade nella realtà delle aziende e dei tribunali. Inoltre, anche in presenza di una buona legislazione, si corre il rischio che l'interpretazione di essa data dai giudici ne infici la validità.

Dopo una breve e necessaria pausa pranzo, il Dott. Massimo Bernaschi, Dirigente Tecnologo dell'Istituto per le Applicazioni del Calcolo del CNR di Roma, ha introdotto la presentazione di alcune dimostrazioni pratiche di sistemi per la difesa dalle intrusioni. Verisign ha dimostrato quanto sia facile l'uso delle smart card per la firma digitale classica e/o a norma di legge, mettendo in risalto l'integrazione del prodotto con Windows. IBM, anzi Tivoli Systems, ha presentato la soluzione Risk Management System versione 6 che si poggia su una pletora di sistemi diversi e disomogenei, specie di altri produttori, al fine di semplificare ed accentrare la gestione della sicurezza all'interno di una azienda senza dover sacrificare il parco macchine installato.

Alcuni membri del Linux User Group di Roma hanno illustrato le tecniche di intrusione digitale piu' comuni: Andrea Bodei ha spiegato cos'è un defacement e mostrato come e' semplice effettuarlo usando versioni bacate di openSSL o sfruttando le cattive configurazioni di servizi telnet (su Solaris) o le estensioni FrontPage (mostrato sotto VMWare); il Dott. Parisi ha mostrato come è semplice sostituire il file delle password sfruttando i symlink ed ha mostrato alla platea come sfruttare semplici strumenti (nmap e compagnia) per ottenere dati necessari per entrare su molti sistemi: ovviamente ha sottolineato l'illegalità dell'azione e spiegato come evitare in parte certi problemi.

E' stato infine presentato il sistema REMUS, sviluppato dall'Università "La Sapienza" in collaborazione con lo IAC-CNR, che rappresenta un approccio diverso alla difesa contro le intrusioni. Aggiungendo al kernel Linux un Access Control Database e controllando solo un ristretto numero di system call "critiche" è possibile, senza alcuna modifica né al sistema esistente né alle applicazioni, innalzare le capacità di difesa del kernel dai tentativi di abuso.

Verso le 19,30 anche gli ultimi "irriducibili", soddisfatti dalle risposte degli oratori, hanno abbandonato il campo e la prevista sessione di attacchi da parte dei partecipanti ad alcune macchine preparate all'uopo è stata spostata a data da destinarsi. I partecipanti sono sembrati tutti molto interessati ed in gran parte anche competenti in materia: a testimonianza del buon livello di preparazione della platea, parecchi sono stati i mormorii sollevatisi quando sono stati confusi JavaScript e Java...
Credo che le aspettative non siano andate deluse, e visto il successo riscosso si sta già pensando al prossimo appuntamento.

Per chi volesse approfondire, tutta la documentazione degli interventi è disponibile (o lo sarà al più presto) sul sito:http://www.dsi.uniroma1.it/SecurITy@uniROMA1.

PS: se qualcuno volesse dare un'occhiata a REMUS il link giusto è: <http://remus.sourceforge.net.

<- SL - Intro - Indice Generale - Copertina - SL - Mailman ->