Pensiero Profondo BLOG

Di recente sono venuto a conoscenza di questo nuovo termine: "cavallocacchisti".

E' stato coniato dal trainer Enrico Luciolli, che qui ci racconta come è nato:

«Nella difesa personale i cavallocacchisti sono quella tipologia di persone che intervengono non solo nel momento più stupido possibile per attuare una difesa ma lo fanno anche applicando delle tecniche che sono assolutamente idiote e che rischiano di metterti più in pericolo che altro.»

«Il termine deriva dall'idea di risolvere il problema di un cavallo che si è intrufolato in casa tua e che ti ha fatto la cacca sul tappeto, cercando di rimettere la cacca dentro al sedere del cavallo !»

«Nella difesa personale capita una cosa simile a questa: cioè le persone cercano di risolvere per esempio il problema di un potenziale aggressore che punta il coltello o la pistola addosso alla vittima insegnando alla vittima a reagire togliendo di mano l'arma all'aggressore.»

«In questo modo non solo stiamo reagendo nel momento più stupido possibile, ovvero quando l'altro ci ha già puntato l'arma contro, ma per di più lo facciamo facendo qualcosa di estremamente pericoloso.»

«Infatti come non riesco ad immaginare un cavallo che stia fermo mentre tu cerchi di rimettergli la cacca dentro, così non riesco ad immaginare un aggressore che, dopo essere arrivato in casa tua armato di tutto punto, quando tu provi a toccargli l'arma quello sta lì, bello rincoglionito, a farsi disarmare e a farsi pilotare come una marionetta solo perchè tu hai studiato la tua magica tecnica coreografica in palestra.»

Quanti CAVALLOCACCHISTI ci sono nella Cyber Security ?

Quanti presunti "Security Manager" pensano che sia realmente possibile affrontare i problemi di Cyber Security solo affidandosi a sofisticati strumenti da utilizzare in caso di attacchi ?

Perchè spendere così tante energie nella prevenzione degli incidenti di sicurezza, attraverso la continua ricerca e mitigazione delle vulnerabilità nell'infrastruttura IT ?
Perchè investire così tanto nella formazione per rendere tutte le persone consapevoli dei rischi per la sicurezza delle informazioni Aziendali ?
Perchè sprecare così tanto tempo e risorse nella impegnativa rilevazione ed analisi degli innumerevoli segnali premonitori contenuti nei file di LOG ?

Non serve una particolare preparazione: basta sapere usare gli strumenti giusti.
Non serve nemmeno una procedura per la gestione degli incidenti...

Riprendendo il paragone con i cavallocacchisti di cui parla Enrico Luciolli, per affrontare correttamente i problemi di Cyber Security  è necessario un cambio di paradigma.

Dice infatti Enrico Luciolli:
«Se io dovessi ragionare correttamente dovrei pormi la domanda non tanto come rimettere la cacca nel cavallo o come pulire il tappeto dopo che il cavallo ci ha cagato sopra (che già quello sarebbe un passo avanti in termini di intelligenza nella difesa personale) ma davvero il risultato migliore lo ottengo quando il cavallo riesco a tenerlo fuori di casa, quindi quando mi doto di tutta una serie di competenze per cui quando c'è un potenziale pericolo io lo riesco a comprendere da lontano.»

«Chi ragiona da cavallocacchista e pensa invece di poter risolvere il problema nel punto più stupido e nella maniera più stupida al giorno d'oggi sinceramente sta rischiando troppo.»

«Il problema è che il cavallocacchista trova tanto terreno fertile oggi nel promuovere le sue idee perché le persone sono sempre più alla ricerca di soluzioni facili e veloci e non vogliono ragionare in termini di sicurezza cercando di capire di cosa si devono dotare, di quali abilità servono davvero per contrastare il problema, ma pretendono di intervenire quando oramai è troppo tardi: quando il cavallo ha già fatto la cacca sul tappeto e vorrebbero appunto poi riuscirlo a fare con queste tecniche particolarmente assurde.»

Però i "cavallocacchisti" sono difficili da convincere...

Come tutti gli "...isti", anche i cavallocacchisti sono talmente convinti di avere ragione da ritenere che chi non la pensa come loro faccia parte di un "gomblotto": una cospirazione sapientemente ordita da chissà quali poteri forti che mirano ad ottenere la supremazia attraverso la mistificazione della verità.

Non si arrendono nemmeno davanti alla dimostrazione matematica che il "gomblotto" a cui stanno pensando è molto improbabile che possa davvero esistere:

La vera Sicurezza sta nella PREVENZIONE

Se dedicassimo sufficienti energie nella raccolta, rilevazione, classificazione ed analisi degli eventi di sicurezza che vengono continuamente registrati nei nostri sistemi informatici e nelle nostre infrastrutture di rete, saremmo in grado di individuare un potenziale pericolo ben prima che questo si trasformi in un incidente.

Potremmo così riuscire a tenere il cavallo fuori di casa nostra, evitando di essere poi costretti a pulire la cacca sul tappeto...

Ma, come anche i recenti disastri di origine naturale hanno dimostrato, la prevenzione non è il nostro forte. Lo dice anche Renzo Piano in un recente articolo sul Corriere della Sera:

Che fare ? Fate come Bill...

Cordialmente vostro,
Autostoppista Cyber Galattico.

Stanno lì, nel corridoio, pronte ad ogni nostro comando.
Fanno TUTTO ! Sono le Stampanti Multifunzione.

Sono ormai diventate un tradizionale punto di ritrovo tra i Colleghi di Ufficio.
C'è chi attende l'uscita del documento che ha inviato in stampa, chi deve mandare un Fax, chi vuole scannerizzare un documento cartaceo per archiviarlo sul PC.

Nell'attesa, si chiacchera come si fosse davanti alla macchinetta del caffè...

«Ciao ! E' già uscita la stampa del mio Foglio Excel con i dati del Budget ?»
«No, c'ero prima io... Sai, ho lanciato la stampa dell'inventario di Magazzino...»
«Saranno più di 40 pagine ! Mi sa che ti tocca aspettare un tot...»
«Vabbè, allora passo dopo...»
«Però se intanto esce il mio Foglio Excel del Budget me lo prendi ?»
«...sai, non vorrei che andasse perso come l'altra volta...»
«Pensa che poi l'ha trovato il Collega delle Vendite, in mezzo agli Ordini dei Clienti !»
«Scusate, mentre sta stampando posso scannerizzare un documento del Tribunale ?» «Sapete, devo mandare una copia elettronica di questa citazione all'Ufficio Legale...» «...com'è l'indirizzo mail ? ufficio.legale@nostrazienda.com, vero ?»
«Mi hanno detto che ci pensa la stampante a mandarlo via e-mail...»
«Aspetta, arriva Ugo, che sa bene come funzionano queste stampanti !»
«Ciao Ugo ! Ci puoi dire per favore quanti lavori ci sono ancora in coda ?»
«Sai, abbiamo tutti fretta...»
«Nessun problema !»
«Basta schiacciare qui e poi qua, ed ecco fatto: ci sono 6 stampe in memoria...»
«Queste sono di Aldo degli Acquisti, poi ci sono un paio di documenti Word del Marketing, una bozza del nuovo Ordine di Servizio da quelli del Personale, e poi...»
«...ma guarda !»
«Cristina, la Segretaria del Direttore ha mandato in stampa un album di figure da colorare: vedi il titolo del documento ? "Colora-la-Pimpa.docx"...»
«...sarà per sua figlia che va all'Asilo...»
«...meglio che il Direttore non lo sappia, altrimenti potrebbe arrabbiarsi con lei !»
«Guarda ! Ne ha mandato in stampa un altro anche la settimana scorsa...»
«E' meglio che le dica qualcosa, perchè tutte le stampe rimangono registrate in questo elenco e qualcuno poi potrebbe accorgersene...»

Fantastico, ma la SICUREZZA delle Informazioni  dov'è ?

Come può essere che quelli delle Vendite si siano ritrovati tra le mani i dati di Budget che l'Ufficio Amministrazione non aveva ancora discusso con la Direzione ?

Come può succedere che la copia scannerizzata di un Atto Giudiziario del Tribunale in cui si formulano accuse di responsabilità penali verso i Vertici dell'Azienda sia stata recapitata per errore alla mail di un Dipendente rancoroso, che non vede l'ora di mettere in piazza i problemi dell'Azienda ?

Come è possibile che «basta schiacciare qui e poi qua» per vedere tutto ciò che è stato inviato in stampa da chiunque ?

Non è che le Stampanti Multifunzione sono un bel grimaldello per i ladri di dati ?

Vediamo di approfondire...

Le Stampanti Multifunzione sono connesse in Rete

...e attraverso la rete possono anche inviare i documenti scannerizzati ad un indirizzo e-mail a piacere, oppure (se la rete è connessa anche al centralino telefonico) inviarli ad un numero di Fax.

Le Stampanti Multifunzione espongono servizi WEB

All'interno delle Stampanti Multifunzione è presente un WEB Server che può essere utilizzato dai Client in Rete per la gestione dei lavori e la configurazione dei parametri.

Dentro le Stampanti Multifunzione c'è un capiente Archivio

Tutti i documenti inviati in stampa sono memorizzati in un disco rigido all'interno della Stampante Multifunzione.

In questo modo la Stampante Multifunzione ha la possibilità di immagazzinare il lavoro da svolgere, senza intasare la rete mentre sta stampando.

Inoltre è possibile tenere traccia dei consumi (carta, inchiostro) relativi ad ogni lavoro, riferendoli all'utenza di chi ha lanciato ogni stampa. Così l'Amministrazione può ripartire puntualmente i relativi costi tra i diversi Reparti.

Accedendo (anche via rete) al Pannello di Controllo si può sapere tutto quello che la Stampante ha fatto. Si può anche sapere se è già ora di sostituire le cartucce o se si sono verificati guasti, in modo da organizzare per tempo l'intervento di un tecnico.
Occorre però tenere conto che - se non viene cancellata periodicamente - la "memoria" della Stampante può anche essere molto, ma molto lunga...

Cosa può andare storto ? Facciamo qualche esempio...

Dati giusti in mani sbagliate

Anna della Direzione Amministrazione, Finanza e Controllo lancia la stampa della bozza del Budget (un Foglio Excel), da discutere con la Direzione, ma non si reca subito a ritirarla quando esce...
Peccato che così la stampa finisca in mezzo ai fogli del Collega delle Vendite, che si trova in questo modo tra le mani informazioni "riservate", che non doveva conoscere.

Antonio dell'Ufficio Protocollo riceve dal Tribunale un Atto Giudiziario che deve essere scannerizzato per essere recapitato (in maniera confidenziale) all'Ufficio Legale...
Se però Antonio sbaglia a digitare sulla Stampante Multifunzione l'indirizzo e-mail dell'Ufficio Legale, il documento può finire per errore nella casella di posta di un Dipendente rancoroso, che non vede l'ora di mettere in piazza i problemi dell'Azienda.

File protetti che non sono più protetti

I File che contengono importanti informazioni Aziendali sono memorizzati sui File Server e l'accesso a questi File è controllato attraverso apposite Access Control List (ACL) configurate secondo il Principio del Minimo Privilegio.
Tutto questo certosino lavoro di messa a punto di regole di controllo degli accessi ai File può essere vanificato se una copia di tutti i File stampati rimane memorizzata all'interno del disco della Stampante Multifunzione (dove queste regole di controllo accessi purtroppo non esistono).

Mail "anonime"

Tramite la funzionalità "Scan-to-mail" Enrico può scannerizzare un documento e la Stampante provvede ad inviarlo all'indirizzo e-mail che viene inserito.
La mail risulta però inviata dalla casella di posta della Stampante e non da quella di Enrico...
Questo dà la possibilità ad Enrico (e a chiunque altro in Azienda) di inviare mail "anonime" come questa:

Come se non bastasse...

Un attaccante connesso alla Rete Locale dell'Azienda potrebbe utilizzare degli strumenti di HACKING come ad esempio il Printer Exploitation Toolkit per interagire in modo improprio con la Stampante:

effettuando una serie di operazioni malevole sulla Stampante Multifunzione, come queste:

Mandare in TILT la Stampante lanciando un PostScript loop infinito

Dopo aver lanciato il comando "hang" la Stampante non può più essere utilizzata in quanto lo script malevolo impegna tutte le sue risorse nella esecuzione di un ciclo infinito di istruzioni inutili.
E' necessario spegnere e riaccendere la Stampante per poterla nuovamente utilizzare.

Sfruttare il disco interno della Stampante come REPOSITORY di file malevoli

Tramite il comando "put" è possibile per l'attaccante memorizzare un file arbitrario sul disco installato all'interno della Stampante.
Questo file può ad esempio contenere un MALWARE...

Cosa fare ?

Per evitare tutti questi problemi è necessario adottare alcuni accorgimenti per configurare le Stampanti Multifunzione sulle Rete Aziendale in modo SICURO.

Prevedere una Rete SEGREGATA per le Stampanti

Le Stampanti Multifunzione sono gestite dal Printer Server. I Client che debbono stampare un documento non lo inviano direttamente alla stampante, ma al Printer Server che si incarica poi di pilotare le stampe.

Se si connettono le Stampanti Multifunzione ad una VLAN segregata dal resto della Rete Aziendale non è più possibile per un Client malevolo accedere all'interfaccia di rete della stampante e quindi gli strumenti di HACKING che abbiamo visto prima non funzionano.

Prevedere l'AUTENTICAZIONE degli Utenti sulle Stampanti

Gli Utenti utilizzano il BADGE Aziendale per autenticarsi quando hanno necessità di utilizzare i servizi forniti dalle Stampanti Multifunzione.

In questo modo:

• il documento che è stato inviato in stampa può essere stampato solo in presenza dell'utente (funzione "pull printing"), eliminando così il problema delle "stampe-che-si-perdono" e migliorando il livello di sicurezza delle informazioni stampate;
• l'invio tramite e-mail di un documento scannerizzato sulla stampante può essere effettuato in modo sicuro, ad esempio prevedendo che possa essere inviato solo alla casella di posta dell'utente (funzione "send to me"), risolvendo così il problema delle "mail anonime".

"Hardenizzare" la configurazione delle Stampanti

Le Stampanti Multifunzione sono a tutti gli effetti dei Computer, per questo il Dipartimento IT deve provvedere non solo alla loro installazione ma anche alla loro configurazione SICURA.

Gli aspetti di cui tenere conto sono:

• Modifica delle Password di DEFAULT configurate per accedere alla Console di Gestione della Stampante;
• Disabilitazione dei servizi di rete non necessari;
• Utilizzo di protocolli di rete SICURI;
• Minimizzazione delle informazioni memorizzate localmente sul disco della Stampante (es. cancellazione dei Files già stampati dalla memoria del disco);
• Minimizzazione delle informazioni visualizzabili da Utenti non Amministratori sul display della Stampante (es. i dati di dettaglio relativi alla coda di stampa, i dati di configurazione, l'elenco dei lavori svolti e dei relativi Utenti che li hanno richiesti, ecc.).

Per tutto il resto, rivolgetevi all'Help Desk...

Ah, e ricordatevi che è meglio evitare di caricare la CARTA INFESTATA sulle Stampanti Multifunzione eh ?

Cordialmente vostro,
Autostoppista Cyber Galattico.

CAPTCHA è un acronimo che sta per "Completely Automated Public Turing test to tell Computers and Humans Apart", ovvero "Test di Turing pubblico e completamente automatico per distinguere i Computer dagli Umani"

il CAPTCHA è una forma particolare del test che Alan Turing formulò nel 1950 per determinare se una macchina fosse "in grado di pensare".

Viene soventemente utilizzato nei Siti WEB dove l'utente deve inserire dati identificativi o che servono per richiedere alcuni servizi.

Lo scopo è quello di impedire che sistemi automatici vengano utilizzati per abusare del sito. Se il test CAPTCHA viene superato, allora è altamente probabile che chi sta usando il sito sia realmente una persona e non un programma malevolo che sta tentando di abusare dei servizi offerti dal sito stesso.

Sappiamo distinguere i Computer dagli Umani ?

Da quando, nella prima metà del 900, è stato coniato il termine ROBOT per indicare un essere artificiale (un automa o un androide), che replichi e somigli a un uomo è nata la preoccupazione che i robot possano competere con l'uomo, sino a ribellarsi ad esso o addirittura sterminarlo.

Anche per questo i robot sono stati spesso in passato rappresentati dalla fantascienza in modo da risultare facilmente distinguibili dagli umani nell'aspetto, nel comportamento e soprattutto nella voce.

Robby, il robot del film di fantascienza "il Pianeta Proibito" del 1956, pur avendo fattezze antropomorfe non somigliava affatto ad un umano. Inoltre ogni sua frase era preceduta da un ticchettìo che ricordava una calcolatrice meccanica, a significare che il robot aveva necessità di elaborare la frase prima di pronunciarla:

Anche Twiky, il robot della serie televisiva "Buck Rogers nel 25° secolo" del 1979 si presentava in modo alquanto diverso da un umanoide, e quando parlava emetteva sempre uno strano gorgoglìo:

Nei primi anni '80 però sono comparse sullo schermo nuove tipologie di robot "umanoidi" che risultavano completamente indistinguibili dagli umani, come il replicante Roy Batty nel film "Blade Runner" del 1982:

...per arrivare poi ad Andrew Martin ("l'Uomo Bicentenario" - 1999) che, nel desiderio di avvicinarsi sempre più all'essere umano, elabora un progetto per modificare il suo aspetto con organi e protesi umani, sino ad implementare su di sè una radicale "miglioria" per diventare a tutti gli effetti un essere umano ed essere finalmente riconosciuto come tale: quella di invecchiare e morire.

Siamo circondati da Computer...

Non è più fantascienza: oggi i Computer fanno parte integrante della nostra vita.

Parliamo abitualmente con loro...

...e "loro" ci ascoltano ! (a volte anche quando non vorremmo...):

Perfino nei più comuni elettrodomestici è ormai presente un Computer:

Ci siamo talmente abituati, che ormai non ci facciamo neanche più caso...

Debbo dire però che - nonostante tutto questo - fino ad ora siamo bene o male riusciti a distinguere tra "noi" (Umani) e "loro" (i Computer)...

Fino ad ora...

Oggi - grazie all'Intelligenza Artificiale - siamo ormai vicini ad un punto di svolta, oltre il quale potrebbe essere difficile - se non impossibile - capire se siamo di fronte ad un Umano o ad un Computer che sta imitando un Umano.

Mi era già capitato di avere qualche dubbio quando, alcuni mesi fa, mi trovavo impegnato in una conversazione via chat con un servizio di Assistenza Clienti...
Ad un certo punto non ho potuto fare a meno di scrivere: "...potresti per favore togliermi una curiosità ? Sto chattando con un CHATBOT o con una Persona ?"
La risposta è arrivata subito: "...sono donna, no CHATBOT !".
Confesso però che sono ancora dubbioso: possibile che un CHATBOT possa essere programmato per ammettere di esserlo, se per caso gli viene chiesto ? Mah !

...e adesso ?

Quello che il CEO di Google, Sundar Pichai, ha mostrato alla Google I/O Conference dell'anno scorso è veramente sconvolgente !

Nell'ambito della sessione principale della Conferenza è stata presentata la dimostrazione di una nuova funzionalità che sta per essere introdotta nell'Assistente Vocale di Google: si chiama Duplex.

Duplex è un’intelligenza artificiale che può essere in grado di effettuare chiamate telefoniche, parlando al nostro posto, per svolgere semplici compiti come ad esempio fissare appuntamenti.
Il bello è che le conversazioni di Duplex sembrano del tutto naturali, dato che la voce virtuale è spontanea e il parlato include interiezioni, pause dubitative e (quando necessario) richieste di ripetere alcune informazioni, proprio come avviene fra due persone che parlano al telefono. Per ottenere questi risultati, gli sviluppatori hanno migliorato la capacità del sistema di comprendere le richieste, di interagire, di scegliere i tempi giusti (la coordinazione: ovvero la capacità di inserire pause e rispondere a tono quando necessario) e il linguaggio.

Il CEO di Google Sundar Pichai ha spiegato che quello che avremmo ascoltato era la registrazione di una vera telefonata fatta ad una parrucchiera che non sapeva di far parte di un esperimento e che stava parlando con un Computer.
Ha lanciato Duplex chiedendo a Google Assistant di prenotare un appuntamento per martedì mattina. L'intelligenza artificiale ha fatto il resto:

(Parrucchiera) “Ciao, come posso esserti utile ?”;
(Duplex) “Ciao, chiamo per prenotare un taglio di capelli per una cliente”;
(Duplex) “per martedì 3 maggio”;
(Parrucchiera) “Bene, dammi un secondo”;
(Duplex) “Mm-hmm”;
(Parrucchiera) “Perfetto. A che ora ?”;
(Duplex) “Per mezzogiorno”...

E' così convincente che si fa fatica a distinguere chi sia la Parrucchiera che risponde al telefono e chi (o cosa) sia l'AI Duplex.
È senza dubbio la più straordinaria conversazione uomo-computer che io abbia mai ascoltato e la cosa più vicina ad una Intelligenza Artificiale in grado di passare il test di Turing.

Del resto, lo stesso Alan Turing aveva a suo tempo ipotizzato che negli anni 2000 i Computer sarebbero stati in grado di ingannare gli esseri Umani, facendo loro credere di conversare con altri Umani, almeno nel 30% dei casi.
Aveva ragione. Nel 2014, un CHATBOT di nome Eugene Goostman è riuscito ad impersonare con successo un esperto programmatore durante lunghe chat testuali con Umani ignari.

Turing però non aveva preso in considerazione i sistemi basati su interazioni vocali che, per ovvie ragioni legate alla complessità della lingua parlata rispetto allo scritto, sono intrinsecamente meno abili ad ingannare gli Umani.
Provate a conversare per un pò con il vostro assistente vocale preferito e scoprirete ben presto i suoi limiti...

L'Assistente di Google, potenziato con l'Intelligenza Artificiale di Duplex, invece sembra proprio una giovane assistente femminile che pianifica attentamente un taglio di capelli per il suo capo.
Oltre alla cadenza naturale, Duplex ha aggiunto al discorso interiezioni (“Mm-hmm”), ritardi e pause che si verificano naturalmente quando le persone parlano. Il risultato è una voce perfettamente Umana prodotta interamente da un Computer !

I Computer con Intelligenza Artificiale ci soppianteranno ?

Forse no.

Per ora (fortunatamente) siamo ancora i soli a riuscire a superare con successo il test di Turing...

Cordialmente vostro,
Autostoppista Cyber Galattico.

Abbiamo provato a mettere una sentinella a guardia dell'accesso della Rete Aziendale, implementando due diverse soluzioni di Network Access Control (NAC).

Ecco come è andata...

La soluzione NAC 802.1x

La sperimentazione di una soluzione NAC 802.1x richiede interventi di configurazione sugli apparati di rete, sui Client che si connettono e sull'infrastruttura di Autenticazione.

Per questo motivo si è scelto di allestire all'interno di un Laboratorio un apposito ambiente di Rete il più possibile simile all'attuale ambiente di Rete Aziendale, in cui poter effettuare tutte le modifiche e le prove necessarie.

Architettura Laboratorio NAC 802.1x

La rete locale del Laboratorio è stata interconnessa con la Rete Dati Aziendale e con la Rete VoIP Aziendale, in modo da poter utilizzare l'infrastruttura di Autenticazione esistente (DB Account utenti e Certificate Authority) e per utilizzare le funzionalità di configurazione (TFTP Server) e di servizio (Centralino) della telefonia VoIP Aziendale.

All'interno della rete locale del Laboratorio sono stati installati i dispositivi necessari a riprodurre le  principali casistiche di connessione di rete da sottoporre a test:

• Un PC Aziendale connesso in cascata ad un telefono VoIP (configurazione standard di una generica postazione di lavoro Aziendale);
• Una Stampante di rete (che può anche non essere in grado di supportare nativamente l'autenticazione 802.1x);
• Un PC Aziendale connesso direttamente in rete;
• Un Adattatore per Telefoni Analogici (ATA) dietro il quale può essere connesso un dispositivo telefonico analogico (ad es. un FAX), ed anche un PC.

All'interno della rete locale del Laboratorio è inoltre stato predisposto un Server RADIUS che svolge il ruolo di autenticatore:

• in modo "diretto" per quei dispositivi che non sono in grado di supportare nativamente l'autenticazione 802.1x (es. i telefoni VoIP, le Stampanti di rete, gli ATA);
• in modo "mediato" (come PROXY verso l'infrastruttura di Autenticazione Aziendale) per tutti gli altri dispositivi.

Le prove effettuate

I test hanno visto coinvolte diverse marche e modelli di SWITCH utilizzati nelle Reti Aziendali. La configurazione degli SWITCH è stata opportunamente modificata per attivare i meccanismi di autenticazione 802.1x sulle porte di rete. Allo stesso modo sono state abilitate sui PC le funzionalità di autenticazione di rete 802.1x utilizzando come credenziali i certificati utente rilasciati dalla Certificate Authority (CA) Aziendale.

All'interno di ogni SWITCH sono state configurate differenti VLAN:

La strategia di utilizzo delle VLAN implementata nel Laboratorio NAC si è basata sui seguenti presupposti:

• La VLAN configurata "in access" di default sulle porte degli SWITCH non può essere la Rete Dati Aziendale, per evitare accessi alla Rete Aziendale da parte di Client non autorizzati;
• Un Client avrà accesso alla Rete Dati Aziendale solamente in modo dinamico (grazie agli attributi passati via RADIUS), in seguito al superamento  di una fase di autenticazione;
• I Client che non superano la fase di autenticazione devono avere accesso unicamente alla VLAN GUEST (o di quarantena);
  
• La VLAN configurata "in access" di default deve comunque consentire il provisioning dei file di configurazione per gli apparati VoIP (tramite TFTP Server).

I test condotti nel Laboratorio hanno avuto come obiettivo la verifica del comportamento dell’infrastruttura di rete LAN a fronte di diverse casistiche.
I principi generali che hanno guidato l’individuazione dei vari casi di test e la definizione del comportamento atteso sono:

• Solo DATA-DEVICE autorizzati devono poter operare a pieno titolo sulla Rete Dati Aziendale, ottenendo accesso alla relativa VLAN configurata sullo SWITCH di accesso:
  1. PC dotati di un Certificato Utente X.509 emesso dalla CA Aziendale;
  2.  Stampanti di rete che non supportano l’autenticazione 802.1x;
  3.  Stampanti di rete che supportano l’autenticazione 802.1x.
• Solo VOICE-DEVICE autorizzati devono poter operare a pieno titolo sulla rete Rete VoIP Aziendale, ottenendo accesso alla relativa VLAN configurata sullo SWITCH di accesso:
  1. Telefoni VoIP;
  2. Adattatori ATA (Analog Telephone Adapter).

I risultati ottenuti

La soluzione NAC 802.1x sperimentata in Laboratorio ha mostrato che è effettivamente possibile realizzare un efficace controllo dell'accesso dei dispositivi alla Rete Aziendale per tutti gli scenari di utilizzo previsti, attribuendo dinamicamente le VLAN ai dispositivi che si connettono e subordinando l'accesso ad un processo di autenticazione.

E' stato relativamente semplice utilizzare i Certificati Utente emessi dalla CA Aziendale come meccanismo di autenticazione per l'accesso alla Rete. Per contro, tale scelta impone di subordinare l'implementazione della soluzione NAC 802.1x al rilascio massivo di Certificati per tutti gli Utenti Aziendali (oggi questi Certificati sono rilasciati solo per gli utenti abilitati all'accesso remoto tramite VPN).

L'implementazione della soluzione NAC 802.1x richiede l'applicazione di sostanziali modifiche alla configurazione attuale degli SWITCH di accesso. Non è necessario che tali modifiche siano applicate a tappeto su tutti gli SWITCH della Rete Aziendale perchè la soluzione sia operativa. E' possibile prevedere una implementazione "per gradi" (es. Sede per Sede), facilitando così il compito dei tecnici.

L'aspetto più critico della soluzione NAC 802.1x riguarda l'effettiva compatibilità degli SWITCH con i meccanismi di autenticazione e controllo previsti. Solo i modelli più recenti sono risultati pienamente compatibili.

Per implementare la soluzione NAC 802.1x diventa pertanto necessario procedere alla graduale e completa sostituzione di tutti gli SWITCH non compatibili attualmente installati in produzione, con un notevole impatto economico.

Una ultima osservazione riguarda l'autenticazione dei dispositivi che non supportano nativamente lo standard IEEE 802.1x.

Per consentire a tali dispositivi di essere comunque riconosciuti ed abilitati all'accesso alla Rete Aziendale è necessario configurare per essi una apposita regola di "bypass" dei meccanismi di autenticazione (MAB - MAC Authentication Bypass) basata sull'indirizzo fisico (MAC) della loro scheda di rete.

Quindi l'implementazione della soluzione NAC 802.1x richiede preventivamente il censimento del MAC Address di tutti i dispositivi (es. Stampanti di Rete, Telefoni VoIP, Adattatori per Telefono Analogici) che non supportano nativamente l'autenticazione 802.1x ma che devono essere connessi alla Rete Aziendale.

Poichè è possibile per un eventuale attaccante "falsificare" l'indirizzo MAC della scheda di rete, allo scopo di autenticarsi sfruttando l'indirizzo di un dispositivo Aziendale autorizzato, è inoltre necessario prevedere una soluzione in grado di contrastare gli effetti di un possibile attacco basato su tecniche di “MAC spoofing” (ad esempio autorizzando i dispositivi che si autenticano tramite MAC address all’accesso a VLAN segregate dal resto della Rete Dati Aziendale).

La soluzione "Next Generation NAC"

A differenza della soluzione precedente, la soluzione "Next Generation NAC" non richiede particolari modifiche sugli apparati di rete, se non la configurazione per la NAC appliance di alcune "mirror ports" da cui poter osservare il traffico di rete e l'abilitazione dell'accesso alle interfacce di "management" degli SWITCH.

Per questo motivo si è scelto di testare la soluzione direttamente in ambiente di produzione.

Architettura Ambiente di test "Next Generation NAC"

All'interno di un segmento della Rete Aziendale è stata installata una NG-NAC Appliance che è stata connessa alle "mirror ports" sui Router di accesso, in modo da consentirle di analizzare tutto il traffico di rete. L'interfaccia di gestione attraverso cui l'Appliance interagisce con gli apparati di rete è stata connessa alla Rete di MANAGEMENT degli apparati stessi ed è stata abilitata all'accesso sia in lettura che in scrittura dati tramite il protocollo SNMP.

Le prove effettuate

Dopo l'accensione e la configurazione dell'Appliance, le prime verifiche hanno riguardato la completezza e la reattività dei seguenti processi attuati della sonda NG-NAC:

• Individuazione dei dispositivi connessi alla rete;
• Classificazione dei dispositivi in base alla tipologia e all'utilizzo osservato;
• Individuazione dell’identità utente per i dispositivi legati in maniera univoca ad utenti finali.

Sono quindi state testate le seguenti azioni previste a fronte delle "policy" configurate :

• Attribuzione dinamica della VLAN in base al profilo utente;
• Blocco temporaneo della porta cablata cui è connesso un dispositivo non autorizzato;
• Redirezione del traffico Web su una apposita pagina di registrazione per richiedere l'autorizzazione all’accesso (Captive Portal per Ospiti).

I risultati ottenuti

Individuazione dei dispositivi connessi alla rete

I test effettuati hanno mostrato che, nella configurazione implementata, la sonda NG-NAC è stata in grado di individuare sostanzialmente tutti i dispositivi connessi alla rete, in tutti gli scenari d’uso (anche quando più dispositivi sono connessi dietro ad un'unica porta switch). Le informazioni essenziali recuperate dalla sonda per ciascun dispositivo sono:

• Indirizzo IP;
• Indirizzo MAC;
• Porta switch;
• Nome Netbios (se disponibile).

Tali informazioni sono state recuperate dalla sonda utilizzando un mix di tecniche, tra loro complementari:

• Tramite analisi passiva del traffico di rete osservato sulle porte in mirroring;
• Tramite ricezione di trap SNMP dagli SWITCH;
• Tramite interrogazione attiva degli SWITCH attraverso l'interfaccia a riga di comando (CLI) e SNMP;
• Tramite scansione attiva (NMAP) dei dispositivi individuati;
• Tramite connessione attiva (WMI) ai dispositivi Windows a Dominio individuati;
• Tramite ricezione di informazioni da parte di agenti eventualmente installati sui dispositivi.

Le informazioni recuperate tramite analisi passiva del traffico e tramite l’agente installato sul dispositivo vengono rese disponibili sulla console di gestione della sonda con latenze molto ridotte (dell’ordine di pochi secondi).
Le informazioni recuperate invece interagendo direttamente con gli SWITCH vengono rese disponibili con una latenza superiore (dell’ordine di qualche minuto).

Classificazione dei dispositivi connessi alla rete

I test effettuati hanno mostrato che, nella configurazione implementata, la sonda NG-NAC è stata generalmente(*) in grado di classificare correttamente la maggior parte dei dispositivi connessi alla rete in tutti gli scenari d’uso (anche quando più dispositivi sono connessi dietro ad un'unica porta switch). La classificazione base è stata:

• PC Windows a Dominio;
• PC Windows non a Dominio;
• PC Linux (*);
• Telefoni VOIP;
• Stampanti;
• Altri dispositivi.

(*) Nota: Senza l’installazione dell’agente, molti PC Linux non vengono classificati come tali, ma erroneamente inseriti nella categoria “altri dispositivi”.

Individuazione dell’identità degli utenti connessi

I test effettuati hanno mostrato che, nella configurazione implementata, la sonda NG-NAC è stata in grado di recuperare (con un mix di tecniche) l’identità degli utenti che stanno utilizzando i dispositivi connessi. Le tecniche utilizzate sono:

• Per i dispositivi Windows a Dominio, tramite connessione via WMI (utilizzando una utenza di servizio) ed esecuzione di Script Visual Basic (VBScript);
• Per tutti i dispositivi Windows e Linux, tramite colloquio tra agente preinstallato e sonda;
• Per PC non a Dominio sprovvisti di agente, tramite redirezione del traffico Web su una apposita pagina di Login del Captive Portal.

Attivazione delle azioni previste dalle "Security Policy"

I test effettuati hanno mostrato che, nella configurazione implementata, la sonda NG-NAC è stata in grado di applicare tutte le azioni previste dalle "security policy":

• Attribuzione dinamica della VLAN in base al profilo utente;
• Blocco della porta cablata cui è connesso un dispositivo non autorizzato;
• Redirezione del traffico Web sulla pagina di Login di un Captive Portal.

Una volta bloccata la porta relativa ad un dispositivo non autorizzato campione, la sonda è stata configurata per forzarne automaticamente la riabilitazione dopo un intervallo temporale prestabilito. Putroppo nelle prove effettuate non si è riusciti ad ottenere il comportamento atteso (la porta è rimasta bloccata).

La redirezione del traffico Web di un PC può avvenire solo per quei dispositivi di cui la sonda è in grado di effettuare l'esame del traffico Web. La redirezione ha quindi successo solo in presenza di traffico HTTP (non riesce in caso di traffico HTTPS).

Conclusioni

La soluzione standard per conseguire l'obiettivo di controllare l'accesso alla Rete Aziendale sarebbe quella di adottare un approccio basato sullo standard IEEE 802.1x, secondo una logica che subordina l’ammissione del dispositivo alla Rete Aziendale alla verifica delle credenziali di accesso dell’utente.

Le prove svolte in Laboratorio hanno però mostrato che la soluzione 802.1x richiede la sostituzione e la riconfigurazione di buona parte degli apparati di rete esistenti per essere pienamente implementata.

La soluzione Next Generation NAC, si basa invece su un approccio diverso, che prevede la regolamentazione dell’accesso alla rete successivamente alla connessione del dispositivo alla stessa.

Le prove effettuate nell'ambiente di test hanno dimostrato che è possibile implementare un set di azioni automatiche di riconfigurazione dinamica delle connessioni di rete in base alle caratteristiche del dispositivo (tra cui il differente profilo dell’utente che lo utilizza) senza dover sostituire gli apparati di rete.

Non è infine da sottovalutare l'elevata utilità della Console di Gestione della sonda NG-NAC, su cui sono mostrate in tempo reale le informazioni relative a tutti i dispositivi connessi. La disponibilità di tali informazioni può rendere più semplice ed efficace l'assistenza agli Utenti da parte degli Operatori del Dipartimento IT, in caso di problemi legati alla connettività di rete.

La soluzione Next Generation NAC presenta in particolare i seguenti vantaggi:

• minimo impatto sulla rete: può essere attivata senza dover sostituire gli apparati di rete,
• minimo impatto sugli utenti: prevede l’autenticazione alla rete mediante le stesse credenziali già utilizzate per regolare l’accesso agli altri servizi informatici aziendali (quali posta elettronica, navigazione web, accesso a file server, etc.etc.),
• maggiore controllo sull’utilizzo della rete: permette il monitoraggio estensivo di tutti i dispositivi connessi alla rete,
• miglioramento della sicurezza di rete: consente l’accesso alla rete solo agli utenti autorizzati.

pertanto...

Cordialmente vostro,
Autostoppista Cyber Galattico.

Una sentinella a guardia della Rete Aziendale

Come abbiamo visto, la Rete LAN Aziendale non è nativamente dotata di meccanismi di controllo in grado di garantire che solo dispositivi ed utenti espressamente autorizzati possano accedervi.
Questo è un problema in quanto, in assenza di un controllo di accesso, possono essere connessi alla rete anche dispositivi in grado di intercettare le comunicazioni e rubare informazioni Aziendali (come è successo alla NASA).

Occorre mettere una «sentinella» a guardia della Rete Aziendale, che:

• faccia passare gli amici
  cioè i Dipendenti che utilizzano i dispositivi (PC e Notebook) Aziendali per svolgere il loro lavoro e gli eventuali Collaboratori Esterni che lavorano all'interno dell'Azienda per un periodo di tempo stabilito, utilizzando anche dispositivi di loro proprietà per accedere in rete.
  Tra gli "amici" vanno annoverati anche i dispositivi come le stampanti di rete, gli orologi marcatempo, i telefoni VoIP e tutti gli altri dispositivi la cui connessione in rete è stata esplicitamente autorizzata dal Dipartimento IT.

• respinga i nemici
  cioè gli attaccanti e gli spioni che tentano di connettersi in rete allo scopo di carpire informazioni o creare danni.
  Tra i "nemici" vanno annoverati anche gli apparati di rete, gli SWITCH da tavolo e gli altri dispositivi elettronici (come ad esempio le schede Raspberry Pi) la cui connessione in rete non è stata esplicitamente autorizzata dal Dipartimento IT e la cui presenza in rete potrebbe creare problemi e disservizi.

• trattenga in un'area apposita gli eventuali Ospiti
  che hanno necessità di usufruire di alcuni servizi di connettività dell'Azienda (ad esempio per effettuare stampe o per connettersi a Internet), ma non debbono poter interagire con tutti gli altri Sistemi Aziendali.

Il Network Access Control (NAC)

Il Network Access Control ha lo scopo di fare esattamente ciò che implica il nome: controllare l'accesso a una rete di computer attraverso un insieme di regole che devono essere soddisfatte affinchè la connessione logica sia abilitata e fornisca i servizi di comunicazione richiesti.

In senso lato, il NAC rappresenta una vasta categoria di prodotti e soluzioni per la sicurezza delle reti la cui definizione è allo stesso tempo in evoluzione e controversa.

Senza addentrarci nella complessità di tutte le funzionalità che vanno sotto questo nome, nel seguito esamineremo come - attraverso il NAC - è effettivamente possibile realizzare una «sentinella» in grado di implementare le tre regole di accesso fin qui descritte, ossia:

• far passare gli amici;
• respingere i nemici;
• trattenere in un'area apposita gli Ospiti.

NAC 802.1x e "Next Generation NAC"

Una prima importante distinzione va fatta con riferimento alle modalità tecniche utilizzate per l'implementazione della soluzione NAC.

NAC 802.1x

Lo standard IEEE 802.1x fornisce un meccanismo di autenticazione ai dispositivi che vogliono collegarsi tramite uno SWITCH o un access point WiFi ad una rete LAN o WLAN, stabilendo un collegamento punto a punto e impedendo collegamenti non autorizzati alla rete locale. Viene di norma utilizzato nelle reti locali wireless per gestire le connessioni agli access point, ma è possibile implementarlo anche per le reti cablate.

Nel NAC 802.1x il ruolo di "autenticatore" viene svolto dallo SWITCH di rete.

Le porte di accesso dello SWITCH sono inizialmente configurate in modo da bloccare ogni tipologia di traffico, lasciando passare solo le richieste di autenticazione provenienti dai Client (Supplicant) e dirette al RADIUS Server, secondo il protocollo EAP-Over-Lan (EAPOL).
Solo dopo che l'autenticazione è avvenuta con successo, la porta di accesso dello SWITCH viene configurata in modo da lasciar passare tutto il traffico verso la rete.
Per l'autenticazione possono essere utilizzati diversi metodi: USERNAME e PASSWORD oppure Certificati Digitali.
In funzione dei parametri legati all'identità del richiedente è possibile configurare l'accesso ad una determinata "Virtual LAN" (VLAN): ad esempio alla VLAN "Ospiti", segregata dal resto della Rete Aziendale, per gli utenti riconosciuti come tali.
Per i dispositivi che non sono in grado di autenticarsi secondo lo standard 802.1x, ma devono comunque poter lavorare in rete (ad esempio le stampanti di rete, i marcatempo, i telefoni VoIP) è possibile impostare una abilitazione specifica ("MAC Authentication Bypass") basata sull'indirizzo della scheda di rete (MAC Address) del dispositivo.

Next Generation NAC

Molti vendor rendono oggi disponibili soluzioni tecniche di "Next Generation NAC". Tali soluzioni sono state sviluppate sia per superare alcune limitazioni del NAC "tradizionale" (il controllo di accesso 802.1x funziona solo con i dispositivi che supportano tale standard) che per estenderne le funzionalità ben oltre il semplice controllo di accesso alla rete.

Queste soluzioni non richiedono alcun ruolo attivo degli SWITCH nel processo di autenticazione (lo SWITCH non deve più svolgere il ruolo di "autenticatore") ma delegano invece tali funzioni a dispositivi dedicati (NAC appliance) in grado di:

• analizzare attraverso apposite "mirror ports" tutto il traffico di rete generato dai dispositivi che si connettono;
• identificare e classificare i dispositivi connessi in rete, in base alle varie tipologie di traffico che generano;
• interagire con gli apparati di rete (SWITCH) attraverso le interfacce di "management",  modificando dinamicamente la configurazione delle porte di accesso, in funzione di "policy" appositamente configurate.

Alcune particolarità degli scenari di implementazione

La scelta di una soluzione NAC deve necessariamente tenere conto di alcuni vincoli imposti dal modo in cui la Rete Locale Aziendale è stata implementata nella realtà.

Natura, tipologia e configurazione degli SWITCH di rete

La realizzazione e l'evoluzione nel tempo dell'architettura della Rete Locale Aziendale ha certamente portato ad una configurazione piuttosto eterogenea, con la contemporanea presenza di differenti marche e modelli di SWITCH e l'implementazione di diverse configurazioni, in funzione delle necessità operative delle varie aree Aziendali.

La soluzione NAC dovrà pertanto:

• essere compatibile con le varie tipologie di SWITCH già presenti in Azienda, evitando se possibile di richiedere la sostituzione massiva degli apparati esistenti;
• minimizzare l'impatto sulle prestazioni nell'accesso alla rete da parte degli utenti autorizzati, evitando se possibile di introdurre ritardi a causa del processo di autenticazione e controllo di accesso;
• garantire il funzionamento della rete anche in caso di guasto dei componenti che fanno parte della soluzione NAC,  prevedendo se possibile in tal caso una modalità di accesso "non autenticata".

SWITCH da tavolo ("moltiplicatori di porte di rete")

Nelle reti Aziendali è molto frequente rilevare la presenza di SWITCH "da tavolo", che generalmente vengono installati dagli stessi utenti per poter disporre di  porte di accesso aggiuntive rispetto a quelle già installate negli uffici.
Di solito questi SWITCH si trovano nelle Sale Riunioni e vengono utilizzati per consentire a tutti i partecipanti di collegare il PC portatile alla rete locale, durante la riunione, per consultare dati e documenti nell'ambito dell'incontro.

Si tratta di dispositivi che non prevedono una interfaccia di gestione (quindi non compatibili con le soluzioni "Next Generation NAC") e che sono utilizzati come semplici "moltiplicatori di porte di rete".
Poichè il controllo di accesso alla rete viene effettuato solo sulle porte direttamente connesse agli SWITCH centrali, la presenza di questi moltiplicatori di porte può essere una seria minaccia per il NAC, in quanto è sufficiente che uno solo dei dispositivi connessi allo SWITCH da tavolo sia autorizzato a connettersi in rete per abilitare alla connessione anche tutti i restanti dispositivi (autorizzati o no) a lui collegati.

La soluzione NAC dovrà pertanto:

• identificare la presenza di questi "moltiplicatori di porte";
• bloccare di conseguenza la porta di accesso sullo SWITCH centrale;
• mantenere il blocco sino alla eventuale rimozione dello SWITCH da tavolo.

PC connessi "in cascata" ai telefoni VoIP

Nelle reti Aziendali è frequente l'utilizzo di una sola porta di rete per connettere simultaneamente un telefono VoIP ed un PC.
In questo caso all'interno del telefono VoIP è presente un piccolo SWITCH con una porta principale da collegare alla presa di rete ed una porta ausiliaria per collegare il PC "in cascata" al telefono.
In questo modo si risparmiano le prese di rete da installare negli uffici e si realizza un cablaggio più ordinato.

La soluzione NAC dovrà quindi:

• individuare la presenza simultanea sulla stessa porta dello SWITCH centrale di un "voice device" (il telefono VoIP) e di un "data device" (il PC);
• consentire la connessione simultanea di due dispositivi alla stessa porta dello SWITCH centrale, attraverso lo switch locale presente sul telefono, purchè si tratti di un "data device" connesso in cascata ad un "voice device";
• connettere ciascuno dei due dispositivi alla relativa VLAN di competenza ("voice VLAN", "data VLAN").

Stampanti di rete, marcatempo ed altri dispositivi "non 802.1x enabled"

Alla rete Aziendale sono solitamente connessi anche altri dispositivi, che possono non essere in grado di supportare alcun processo di autenticazione.

La soluzione NAC dovrà:

• identificare e classificare tali dispositivi;
• prevedere per essi appositi meccanismi di autenticazione alla connessione in rete, che siano compatibili con le loro caratteristiche (ad es. il "MAC Authentication Bypass").

La rete WiFi

Quasi tutte le realtà Aziendali sono ormai dotate di una infrastruttura di connessione Wireless, affiancata alla tradizionale infrastruttura basata su rete cablata.

E' opportuno che la soluzione NAC per la rete cablata sia in grado di integrarsi con l'architettura della rete WiFi, in termini di:

• interconnessione degli Access Point WiFi alla rete cablata;
• autenticazione all'accesso alla rete WiFi;
• gestione e controllo di accesso per Dipendenti, Collaboratori ed Ospiti;
• monitoraggio e controllo dei dispositivi connessi (sia alla rete WiFi che alla rete cablata).

Impatto sulla gestione

La scelta di una soluzione NAC deve infine fare i conti con l'attuale modalità di gestione, evitando per quanto possibile di introdurre nuovi processi e cercando di minimizzare l'impatto sulle attività e sui compiti attualmente svolti dai Sistemisti di Rete.

Processo di PROVISIONING per Dipendenti e Collaboratori 

Le attività necessarie per configurare l'abilitazione di accesso alla rete locale per i Dipendenti ed i Collaboratori Esterni dovrebbero poter essere ricondotte all'attuale processo di "provisioning", ovvero le operazioni di configurazione che gli Amministratori dei Sistemi e della Rete debbono svolgere ogni volta che è necessario generare e fornire agli utenti autorizzati le credenziali di identificazione.

Andrebbe evitato, per quanto possibile, l'impiego di un processo specifico per configurare le abilitazioni richieste dal NAC.

Processo di PROVISIONING per Consulenti ed Ospiti

Le attività inerenti l'abilitazione all'accesso in rete per Consulenti ed Ospiti dovrebbero essere supportate da un processo automatizzato (possibilmente gestito dalla soluzione NAC), che preveda:

• l'identificazione automatica del dispositivo che richiede l'autorizzazione ad accedere in rete;
• l'acquisizione - mediante un "Captive Portal" - dei dati identificativi del richiedente e delle ragioni per cui si richiede l'accesso;
• la creazione automatica di una identità logica da associare al richiedente e delle relative credenziali di accesso;
• la consegna di tali credenziali attraverso un canale alternativo sicuro (ad es. mediante un SMS).

Processi di Monitoraggio della Rete e Supporto agli Utenti

L'introduzione di una soluzione NAC dovrebbe facilitare le operazioni di monitoraggio della rete e di assistenza tecnica svolte dai Sistemisti di Rete.

La soluzione NAC dovrebbe rendere disponibile una console dove è riportata una mappa organizzata dei dispositivi connessi alla rete, del loro stato e delle loro caratteristiche.
Dovrebbero essere disponibili inoltre funzionalità di ricerca ed analisi dei guasti e dei problemi.

I risultati di una sperimentazione svolta in Laboratorio

Di questo parleremo nel prossimo articolo.

Restate sintonizzati.

Cordialmente vostro,
Autostoppista Cyber Galattico.

Succede...

Anche alle squadre di calcio più famose e blasonate succede ogni tanto di subire un gol "a porta vuota".
Forse se ne sente parlare poco, anche perchè fanno più notizia invece i casi in cui un attaccante riesce incredibilmente a sbagliare un tiro così facile...

Ma anche le Reti Aziendali beccano dei "gol a porta vuota" !

Il caso più recente è capitato nientemeno che al Jet Propulsion Laboratory della NASA, che si è trovato "in rete" una scheda Raspberry Pi attraverso la quale pare siano stati sottratti ben 500 Mbyte di dati nell'arco di 10 mesi:

Come può accadere ?

Facciamo un esperimento:

• prendete un qualunque PC portatile da casa e portatelo con voi in Ufficio;
• una volta in Ufficio, collegate il PC ad una qualsiasi delle prese di rete (se non ne trovate una libera o non avete con voi un cavetto di rete, scollegate temporaneamente un qualunque PC Aziendale che per il momento è inutilizzato);
• accendete il PC ed accedete a Windows con lo Username e la Password che usate a casa;
• una volta entrati nel PC, aprite una finestra di comandi (premendo i tasti  "Windows" e "R", e poi digitando "cmd.exe");

• nella finestra di comandi, digitate il comando "ipconfig" e vedete cosa viene fuori:

Posso scommettere che quasi nel 100% dei casi il risultato di questo semplice esperimento sarà molto simile a quello che vedete qui sopra, cioè che la vostra Rete Aziendale avrà "regalato" al vostro PC di casa un indirizzo IP (nell'esempio: 10.0.0.2).

Perchè "regalato" ?

Perchè per ottenere quell'indirizzo IP (ovvero per "entrare in rete") il PC di casa non ha dovuto chiedere alcun permesso, nè ottenere alcuna autorizzazione dai sistemi Aziendali preposti alla gestione della sicurezza della Rete della vostra Azienda !
E' bastato solo che il PC di casa dicesse alla Rete Aziendale:
"Ciao ! Sono un PC con una scheda di rete il cui MAC Address è 54-E1-AD-68-7A-D3. Mi servirebbe un indirizzo IP".
Questa richiesta è stata immediatamente ricevuta dal Server che ha il compito di gestire gli indirizzi IP di tutti i dispositivi connessi alla Rete (DHCP Server), il quale ha risposto con tutti i parametri necessari a configurare la scheda di rete del PC per consentirle di connettersi alla Rete Aziendale.

In pratica, il PC di casa è entrato in Rete a porta vuota !

...e adesso, cosa può succedere ?

Beh, il PC di casa non ha ovviamente le "chiavi" per entrare nei Sistemi Aziendali, quindi non è (almeno teoricamente) in grado di costituire una minaccia diretta.
Però è come avere uno sconosciuto nascosto nel corridoio che - anche se non può entrare in nessuna stanza perchè tutte le porte sono chiuse a chiave - può stare lì ad osservarci quando passiamo e (se vuole) farci anche paura.

Se poi questo "estraneo" ha le capacità e gli strumenti necessari, può anche tentare di origliare le nostre conversazioni private, ad esempio utilizzando le tecniche di ARP-Poisoning di cui vi ho parlato qui.

E' probabilmente in questo modo che i cyber criminali sono riusciti a sottrarre tutte quelle informazioni alla NASA !

L'accesso alla Rete Aziendale non può essere "regalato" così !

In pratica, chiunque abbia accesso ai locali della nostra Azienda può connettere alla Rete Aziendale un PC o un altro dispositivo (come ad esempio il Raspberry Pi che i cyber criminali hanno installato nei Laboratori della NASA) senza che il Dipartimento IT ne sappia nulla !

Ci sono delle soluzioni per evitare tutto questo ?

Sì. Ad esempio nelle reti WiFi questo non succede, perchè per accedere alla rete WiFi è necessario come minimo conoscere la chiave di rete.
Inoltre la rete WiFi può essere facilmente configurata in modo da richiedere che l'utente si autentichi (ad es. con USERNAME e PASSWORD) prima di accedere.

Nelle reti CABLATE (che sono nate molto tempo prima delle reti WiFi) invece questi meccanismi di sicurezza non sono nativamente presenti.
Se non si implementano misure aggiuntive, il controllo di accesso alla rete cablata è delegato unicamente al controllo dell'accesso fisico ai locali dove sono presenti le prese di rete (es. gli Uffici) o dove sono presenti gli apparati di rete (es. i vani tecnici che contengono gli SWITCH  e i PATCH PANEL).

DHCP Enforcement

Dal momento che (come abbiamo visto) è il Server DHCP che "regala" l'accesso alla rete cablata a qualsiasi dispositivo lo chieda, sembrerebbe ovvio cercare la soluzione nella implementazione sul Server DHCP di meccanismi per fare in modo che sia il Server stesso a verificare in qualche modo l'identità di chi richiede l'accesso, prima di concederlo.

Questi meccanismi (che vanno sotto il nome di "DHCP Enforcement") risentono però di significative limitazioni:

• possono essere facilmente aggirati (l'utente che accede può impostare la configurazione della scheda di rete in modo statico - inserendo manualmente l'indirizzo IP e gli altri parametri necessari - evitando così che il PC debba rivolgersi al DHCP Server per accedere);
• richiedono di norma l'installazione di un apposito programma "agent" sul PC, per funzionare correttamente.

Ethernet Remote Annihilator

Tempo fa, qualche Amministratore di Rete particolarmente infastidito dalla continua presenza di dispositivi non autorizzati connessi alla rete cablata si è inventato una soluzione piuttosto drastica al problema...

L'Ethernet Remote Annihilator (letteralmente "disintegratore di schede di rete a distanza") è un apparecchio elettrico di semplice realizzazione ed uso, di cui vi riporto qui sotto lo schema costruttivo:

Una volta individuato il dispositivo indebitamente connesso alla rete, basta recarsi nel vano tecnico, staccare dal PATCH PANEL il cavo che collega la presa di rete allo SWITCH e connettere al suo posto l'Ethernet Remote Annihilator, avendo cura di inserire bene la spina Trifase.

Dopo aver sentito il botto provocato dall'esplosione della scheda di rete, si rimette tutto a posto come prima, portandosi via l'Ethernet Remote Annihilator che potrà quindi essere successivamente riutilizzato per ulteriori "interventi risolutivi" ;-D

Scherzi a parte...

La soluzione al problema si chiama NAC (Network Access Control).

Ne parleremo nel prossimo articolo.
Restate sintonizzati.

Cordialmente vostro,
Autostoppista Cyber Galattico.

Auguri di Buon Anniversario !

Per sempre vostro,
Autostoppista Cyber Galattico.

Le Security Policy hanno bisogno di ENFORCEMENT

Le Security Policy sono lo strumento con cui vengono formalizzate tutte le regole tecniche ed organizzative che si intende mettere in campo per garantire la sicurezza delle informazioni Aziendali.

Sono cioè un insieme di norme comportamentali e tecniche che debbono essere seguite nell'attuazione dei processi di Business, in modo da tutelare la Riservatezza, Integrità e Disponibilità delle informazioni Aziendali.

Per essere realmente efficace, una Security Policy dovrebbe:

• essere ben documentata attraverso un documento ufficiale, chiaro e facilmente comprensibile ai destinatari;
• essere ragionevole ed applicabile, cioè essere motivata dalla riduzione dei rischi per la sicurezza delle informazioni, e costituita da un insieme di misure effettivamente implementabili nel contesto Aziendale;
• essere conosciuta ed applicata, cioè essere adeguatamente diffusa ai destinatari che la debbono applicare e prevedere sanzioni in caso di mancata applicazione;
• essere (ove possibile) supportata da strumenti di ENFORCEMENT, cioè prevedere l'introduzione di strumenti tecnici ed organizzativi finalizzati a facilitarne l'applicazione e/o a scoraggiarne la mancata applicazione.

Ad esempio, la Policy che richiede l'impiego di password complesse per l'autenticazione è solitamente supportata da uno strumento automatico che verifica alcune caratteristiche della password scelta dall'utente e rifiuta l'inserimento di password che non rispettano determinate caratteristiche.

Cosa succede se l'ENFORCEMENT viene a mancare ?

Le Security Policy che non sono supportate da strumenti di ENFORCEMENT perdono purtroppo gran parte della loro efficacia, in quanto viene a mancare il "controllo proattivo" sulla loro effettiva applicazione.

E' il caso che mi è capitato con la Policy Aziendale sulla gestione delle informazioni, che prescrive che tutti i nuovi file creati dagli utenti sui propri Laptop siano sempre salvati sui Server, per proteggerne la DISPONIBILITA'.
Ve ne ho già parlato in questo articolo.

Con l'antivirus e con la cifratura del disco dei PC Portatili avevo in qualche modo risolto il problema della protezione della RISERVATEZZA e dell'INTEGRITA' dei dati Aziendali memorizzati sui Laptop, ma non avevo trovato nessuna soluzione per "forzare" gli utenti a copiare appena possibile sui Server i dati creati sul Laptop...

In caso di furto/smarrimento del Laptop o a causa di un RANSOMWARE quei dati sarebbero irrimediabilmente perduti.

Bisognava trovare un TOOL in grado di rilevare tutti i documenti nuovi o modificati presenti sul Laptop e di effettuarne automaticamente la copia sui Server, non appena il Laptop venisse nuovamente connesso alla rete Aziendale.

La svolta arriva proprio adesso...

Recentemente mi è capitato di incontrare un amico ed ex compagno di studi universitari, che mi racconta di un suo progetto relativo ad un programma software per gestire foto e documenti personali, invitandomi a provarlo e a suggerirgli eventuali estensioni e miglioramenti.

Provandolo, mi accorgo subito che il TOOL che stavo cercando si trova proprio qui dentro: basta solo potenziare ed automatizzare alcune funzionalità relative alla effettuazione delle copie di salvataggio dei file !

Grazie a questo fortuito incontro, oggi è disponibile questo software GRATUITO per uso personale (la licenza della versione estesa per uso Aziendale costa pochi euro...) che può fare ciò di cui avevo bisogno ed anche tanto altro...

Buon BACKUP a tutti !

Cordialmente vostro,
Autostoppista Cyber Galattico.

(*) "E' già Mercoledì, e io no" è il titolo di un libro di Alessandro Bergonzoni

Il 2° Martedì del mese Microsoft rilascia gli aggiornamenti...

...e il Mercoledì successivo gli Amminstratori del Dipartimento IT hanno gli incubi !

Molti di questi aggiornamenti sono aggiornamenti di sicurezza, fatti per correggere vulnerabilità che altrimenti potrebbero essere sfruttate per un attacco ai nostri sistemi.

Sul PC di casa siamo ormai abituati a vedere le notifiche che ci arrivano dal servizio di Windows Update quando gli aggiornamenti vengono automaticamente rilevati, scaricati ed installati. Ogni tanto (spesso) è necessario anche riavviare il PC per completare l'aggiornamento, e sappiamo bene che questo comporterà un certo tempo di attesa.
Dopo queste operazioni, il nostro PC dovrebbe ripartire tranquillamente e tutto dovrebbe funzionare di nuovo come prima (o meglio).

Il condizionale è d'obbligo, in quanto non è detto che tutto ritorni a funzionare come prima dopo un aggiornamento !

Ecco perchè, prima di effettuare aggiornamenti importanti sul PC, il servizio di Windows Update crea un punto di ripristino da cui è possibile far ripartire il tutto, nel caso qualcosa vada storto.
Di recente, Microsoft ha addirittura previsto la rimozione automatica degli aggiornamenti che causano problemi all'avvio del PC, per problemi hardware, danneggiamento dei file o per la presenza di software non compatibili.

...e per l'aggiornamento dei PC Aziendali ?

Di norma, l'installazione degli aggiornamenti sui PC Aziendali viene gestita e controllata centralmente dal Dipartimento IT tramite i servizi WSUS (Windows Server Update Services).

Un apposito Server Aziendale dedicato (WSUS Server) connesso a Internet riceve periodicamente tutti gli aggiornamenti rilasciati da Microsoft e li memorizza localmente.
Gli Amministratori del Dipartimento IT verificano e pianificano l'installazione degli aggiornamenti sui vari Gruppi di PC Aziendali, in base alle esigenze operative e tenendo conto delle diverse configurazioni specifiche di ogni Gruppo.

In questo modo:

• non è necessario che ogni PC Aziendale si scarichi i propri aggiornamenti da Internet - gli aggiornamenti vengono scaricati una volta sola sul Server WSUS;
• gli Amministratori del Dipartimento IT possono preventivamente verificare, su un campione di ogni Gruppo di PC, che l'installazione di questi aggiornamenti non provochi malfunzionamenti con le applicazioni Aziendali;
• l'installazione degli aggiornamenti sui PC Aziendali non richiede che gli Utenti possiedano privilegi di Amministratore - cosa che (come abbiamo visto) è meglio evitare.

Anche i Server Aziendali vanno aggiornati...

Applicare gli aggiornamenti di sicurezza ai Server Aziendali (soprattutto a quelli esposti su Internet) è ancora più importante dei PC !

Purtroppo, l'installazione degli aggiornamenti di sicurezza sui Server è condizionata da diversi fattori:

Impatto sui Servizi IT erogati

Bisogna assicurarsi che l'installazione degli aggiornamenti su ogni Server non abbia impatto sui Servizi IT che esso eroga. Il rischio è quello di trovarsi - dopo l'installazione degli aggiornamenti - con un Sistema che non è più in grado di svolgere correttamente il proprio compito all'interno dell'infrastruttura IT Aziendale, con la conseguenza di pesanti ripercussioni sul business.

Per questo motivo il Dipartimento IT dovrebbe sottoporre gli aggiornamenti ad una fase di TEST in un apposito ambiente allo scopo dedicato, prima del loro rilascio in Produzione. L'effettiva disponibilità di questo ambiente di TEST (che dovrebbe replicare piuttosto fedelmente l'ambiente di Produzione) e la complessità delle prove da effettuare (per avere una sufficiente garanzia di continuità dei Servizi IT) condizionano fortemente le tempistiche di aggiornamento dei Server in ambiente di Produzione.

Si potrebbe pensare di abbreviare i tempi "saltando" la fase di TEST ed applicando gli aggiornamenti direttamente in Produzione, ma:

• si rischia di causare un DISASTRO

• il risultato che si ottiene, spesso non è all'altezza delle aspettative

Programmazione dei fermi di Sistema

In un mondo ideale, l'infrastruttura IT di una Azienda dovrebbe essere sempre disponibile (24 ore su 24 - 7 giorni su 7) in modo da consentire al business di operare sempre al 100% delle proprie capacità.

Questo però non è possibile, perchè:

• è necessario svolgere periodiche operazioni di manutenzione ordinaria sui Sistemi (come ad esempio la riorganizzazione di Basi Dati, i salvataggi ed eventuali ottimizzazioni / riconfigurazioni);
• è necessario procedere al rilascio in Produzione delle nuove funzionalità che vengono sviluppate nell'ambito dei numerosi progetti di innovazione (che spesso vanno a rimpiazzare o estendere Servizi già esistenti).

Per questo il Dipartimento IT stila solitamente un calendario di fermi programmati, appositamente studiato e concordato con il business,  in cui poter effettuare queste indispensabili operazioni.

Dal punto di vista del business le operazioni di manutenzione ordinaria e di rilascio delle nuove funzionalità sono considerate ad alta priorità in quanto indispensabili per il funzionamento e l'evoluzione dei Sistemi IT.
Invece le operazioni di installazione degli aggiornamenti di sicurezza sono considerate non prioritarie perchè tanto «i Sistemi funzionano lo stesso»...

Succede quindi che - specialmente in alcuni periodi perticolarmente "critici" per il business - nel calendario dei fermi programmati non si riesca a trovare spazio per l'installazione degli aggiornamenti di sicurezza.

Facciamo un pò di conti...

Proviamo a valutare una ipotesi sulla tempistica di installazione (T_inst - T₀) degli aggiornamenti di sicurezza ai Server di una generica Azienda di medie dimensioni.

T₀

Partiamo considerando come istante iniziale il momento il cui l'aggiornamento di sicurezza viene reso disponibile da Microsoft attraverso un Security Bulletin nell'ambito di uno dei "Patch Tuesday" programmati (il secondo Martedì di ogni mese), trascurando il fatto che:

• la vulnerabilità a cui si riferisce è certamente stata scoperta ben prima del rilascio dell'aggiornamento che la corregge;
• la vulnerabilità potrebbe già essere nota "in-the-wild", in quanto non è detto che chi l'ha scoperta faccia parte di quella ristretta schiera di ricercatori di sicurezza (white-hat) che rispettano il principio di "responsible disclosure";
• potrebbe essere già disponibile "in-the-wild" un exploit che sfrutta questa vulnerabilità;
• l'aggiornamento che risolve la vulnerabilità potrebbe essere disponibile già prima del suo rilascio, ma - per rispettare le tempistiche standard - ne viene programmato il rilascio nell'ambito del primo "Patch Tuesday" disponibile.

T₁ = T₀ + 3 mesi

All'interno del Dipartimento IT è solitamente presente una struttura funzionale che ha il compito di gestire, regolamentare e pianificare i cambiamenti che vanno effettuati all'infrastruttura IT.
Di solito questa struttura funzionale (denominata Change Control Board) è costituita da un Comitato di tecnici ed esperti che si riunisce periodicamente per valutare e pianificare le richieste di rilascio in Produzione di software e Sistemi IT.
Supponiamo che il Change Control Board si riunisca una volta al mese, ma che - per ottimizzare le valutazioni inerenti gli aggiornamenti di sicurezza - prenda in esame un gruppo di aggiornamenti relativo ad esempio agli ultimi 3 Security Bulletin rilasciati da Microsoft.
Tralasciando il tempo che intercorre tra il rilascio dell'ultimo Security Bulletin e la convocazione del Change Control Board possiamo quindi stimare che tra il rilascio del Security Bulletin più vecchio (T₀) e l'esame da parte del Change Control Board (T₁) siano trascorsi al massimo 3 mesi.

T₂ = T₁ + 2 mesi

Consideramo trascurabile il tempo necessario al Change Control Board per elaborare e sottoporre all'approvazione del business il Piano dei fermi di Sistema relativi alle richieste di cambiamento esaminate.
I cambiamenti approvati dal Change Control Board devono essere sottoposti ad una verifica in ambiente di TEST, per controllare che tutte le funzionalità che devono continuare ad essere attive non vengano in alcun modo compromesse dalla implementazione di questi cambiamenti.
Possiamo stimare che tra l'approvazione del Change Control Board (T₁) ed il completamento di tutte le verifiche sui cambiamenti che fanno parte di questo lotto di aggionamenti (T₂) siano necessari al massimo 60 giorni.

T_inst = T₂ + 1 mese

E' ora finalmente giunto il momento di rilasciare questo lotto di aggiornamenti (approvato e testato) in ambiente di Produzione.
Le attività di rilascio in Produzione non sono solitamente molto corpose, ma richiedono una scrupolosa preparazione preliminare che comprende l'effettuazione di salvataggi dell'ambiente prima della modifica e la predisposizione di un piano di ripristino, nel caso in cui le operazioni non vadano a buon fine.
E' possibile quindi stimare che tra l'OK al rilascio in Produzione (T₂) e il completamento dell'installazione (T_inst) possano trascorrere al massimo 30 giorni.

Risultato: T_inst - T₀ = 6 mesi

Questo vuol dire che (nel caso peggiore) per un periodo di 6 mesi i Sistemi resteranno esposti al rischio di un attacco che sfrutta una vulnerabilità nota, ma per cui è già da diverso tempo disponibile un aggiornamento di sicurezza !

Virtual Patching - una soluzione ?

Come porre rimedio a questo enorme e cronico ritardo nell'installazione degli aggiornamenti di sicurezza sui Server Aziendali ?
Si potrebbe tentare di ridurre un poco i tempi di TEST degli aggiornamenti e prevedere una pianificazione dei fermi di sistema un pò più frequente, ma anche facendo così la finestra temporale durante la quale i sistemi restano vulnerabili rimarrebbe comunque elevata.

Occorre cercare una soluzione alternativa che consenta di proteggere in qualche modo i sistemi vulnerabili dai possibili attacchi, in attesa del completamento dell'iter di installazione degli aggiornamenti.

Le soluzioni di Intrusion Prevention ci possono venire in aiuto in questo compito.

Un Intrusion Prevention System può intercettare ed analizzare in tempo reale il traffico di rete diretto ai Server, individuando e bloccando il traffico riconducibile ad un attacco che tenta di sfruttare le vulnerabilità non ancora corrette.

Questo tipo di funzionalità viene chiamata "Virtual Patching":

Una patch è una correzione che viene apportata ad una porzione del codice per eliminare una vulnerabilità di sicurezza. In genere una patch viene sviluppata e distribuita come sostituzione di uno o più elementi nel codice compilato. Una volta installata, la patch rende il sistema e/o l'applicazione immuni a tutti i vettori di attacco che tentano di sfruttare quella vulnerabilità.

 

Una patch virtuale invece non implementa correzioni, ma si limita ad analizzare e controllare il traffico diretto alle applicazioni ed ai sistemi per impedire che il traffico dannoso raggiunga l'applicazione vulnerabile. Una volta attivata, la patch virtuale impedisce che il vettore di attacco raggiunga la destinazione senza introdurre alcuna modifica nel sistema e/o nell'applicazione vulnerabile.

 

Questo approccio offre numerosi vantaggi rispetto alle patch convenzionali:

• Una patch virtuale può proteggere componenti mission-critical che devono rimanere online, quindi le operazioni non vengono interrotte come spesso invece accade con una patch convenzionale.
• Una patch virtuale riduce il rischio di un exploit rapidamente, fino a quando una patch efficace e permanente verrà testata e rilasciata in Produzione.
• Una patch virtuale può essere attivata e disattivata dinamicamente, secondo necessità, senza dover ricorrere a complesse operazioni di ripristino.
• Poiché il codice applicativo e le librerie di supporto non vengono modificati, è improbabile che una patch virtuale produca conflitti nel sistema.

Va comunque considerato che:

• Una patch virtuale potrebbe non affrontare tutti i possibili modi o tutte le possibili situazioni in cui un exploit può verificarsi a causa di una particolare vulnerabilità.
• La disponibilità di patch virtuali per ogni nuova vulnerabilità che viene scoperta è fortemente condizionata dal Fornitore della soluzione di Virtual Patching.
• Una volta che una patch virtuale è stata implementata e si è dimostrata efficace, un'organizzazione potrebbe sentirsi scarsamente motivata ad implementare una patch permanente.
• Mentre una patch virtuale può evitare una crisi immediata, non è probabile che offra altrettanti benefici a lungo termine come farebbe una patch permanente, perché la patch virtuale non può eliminare i difetti intrinseci in un programma applicativo.

Buon Mercoledì a tutti.

Cordialmente vostro,
Autostoppista Cyber Galattico.

Shadow IT è un termine spesso usato per descrivere sistemi e soluzioni IT implementati e usati all’interno delle organizzazioni senza l’approvazione esplicita dell’organizzazione stessa. È inoltre usato, con il termine “Stealth IT” (IT invisibile) per descrivere soluzioni specificate e implementate da reparti diversi da quello IT.

Lo Shadow IT è considerato da molti una importante fonte per l’innovazione ed anche come metodo per la realizzazione di prototipi per soluzioni IT future.

D’altra parte, le soluzioni che utilizzano lo Shadow IT non sono spesso in linea con la richiesta da parte delle organizzazioni di avere controllo, documentazione, sicurezza, affidabilità ecc., anche se queste problematiche di norma si ritrovano anche nelle soluzioni IT tradizionali.

Come succede ?

Di solito comincia con piccole soluzioni realizzate direttamente dagli stessi utenti, che approfittano della possibilità offerta dalla maggioranza della applicazioni aziendali "Enterprise" di effettuare piccole estrazioni di dati dal database centrale per scaricare i risultati localmente sul PC ed effettuare alcune semplici elaborazioni tramite Excel o Access.
In questo modo diventa possibile ottenere rapidamente la risposta ad una esigenza di approfondimento puntuale, che diversamente richiederebbe un certo impegno per essere realizzata dall'IT.

Galvanizzati da questi brillanti risultati, gli utenti si spingono ben presto sempre più oltre e - nel frattempo - cominciano a manifestarsi i primi problemi:

• le elaborazioni richiedono l'estrazione di una sempre più vasta mole di dati;
• si vengono a creare tanti "database paralleli" rispetto al database centrale;
• le informazioni memorizzate in questi database paralleli rischiano di non essere coerenti ed allineate con quelle memorizzate nel database centrale;
• l'affidabilità dei risultati ottenuti attraverso le elaborazioni locali dipende dalla capacità degli utenti che le hanno realizzate di comprendere e interpretare correttamente il significato dei dati e le relazioni che intercorrono tra essi.

Come se non bastasse, iniziano a verificarsi anche alcuni fenomeni "pericolosi":

• gli utenti fanno sempre più conto sui dati contenuti nei loro "database paralleli", rispetto ai dati contenuti nel database centrale;
• le esigenze di elaborazione diventano sempre più sofisticate e ormai non basta più qualche formula di Excel o una query di Access per ottenere le risposte che si cercano.

Le cose iniziano a farsi difficili e gli utenti iniziano ad implementare per conto proprio vere e proprie soluzioni IT in grado di far fronte alle loro esigenze, senza però coinvolgere il reparto IT Aziendale (che "ci metterebbe troppo tempo").

Entra in scena lo "Shadow IT"

...e in un batter d'occhio sulla rete Aziendale "spuntano" come funghi nuove applicazioni non gestite dal reparto IT.

Una stima effettuata da Gartner colloca la spesa per lo Shadow IT tra il 30% e il 40% della spesa totale per l'IT nelle grandi imprese.
Alcune stime di Everest Group si spingono oltre il 50%.
E' addirittura possibile che questi numeri siano solo una valutazione "per difetto" dell'effettiva estensione dell'ecosistema "Shadow IT", in quanto spesso si tratta di voci di spesa non direttamente riferibili all'IT aziendale.

In passato, quando l'aumento di complessità di una soluzione di Shadow IT superava certi limiti o quando nasceva la necessità di portarla a livello aziendale, veniva coinvolto il reparto IT in quanto era l'unico che disponesse delle necessarie risorse di elaborazione e di programmazione.

Ora non è più così: grazie alla vasta disponibilità di risorse di elaborazione e servizi informatici in Cloud, anche lo Shadow IT è oramai in grado di operare su vasta scala e con soluzioni software che possono essere adattate e gestite anche da personale non inquadrato nell'IT aziendale.

Ma lo Shadow IT è buono o cattivo ?

Dal punto di vista del Business, lo Shadow IT non è poi così male... Anzi !
Il suo principale punto di forza, rispetto all'IT tradizionale, sta nella capacità di rendere rapidamente disponibili soluzioni informatiche in grado di far fronte alle esigenze di innovazione continua provenienti dal mercato.
La sua principale debolezza invece riguarda la reale affidabilità di soluzioni informatiche realizzate in questo modo, soprattutto quando diventa necessario consolidare quella che era inizialmente una semplice sperimentazione in una soluzione valida per tutta l'Azienda.

Dal punto di vista del reparto IT invece, lo Shadow IT è un grosso problema...
E' molto difficile per il reparto IT riuscire a conciliare la presenza di soluzioni Shadow IT all'interno di una infrastruttura che - per poter svolgere il ruolo di "linfa vitale" di una organizzazione - deve necessariamente essere standardizzata e controllabile.
Ecco perchè di solito - quando diventa necessario consolidare quella che era inizialmente una semplice sperimentazione in una soluzione valida per tutta l'Azienda - si opta per una "riconversione" delle soluzioni Shadow IT attraverso un lungo e difficoltoso processo di reverse engineering.

...e dal punto di vista della Sicurezza ?
L'introduzione in Azienda dello Shadow IT porta potenzialmente con sè diversi problemi di sicurezza.
L'impiego di architetture IT non standard e la scarsa conoscenza delle security policy aziendali (unitamente al mancato apporto della esperienza del personale del reparto IT, il quale di solito non è coinvolto nel progetto) possono condurre facilmente alla implementazione di soluzioni Shadow IT non adeguate agli standard di sicurezza Aziendali.

Quindi il verdetto è...

Lo Shadow IT non è né buono, né cattivo: dipende dall'uso che se ne fa...

Spetta al Management Aziendale decidere se ed entro quali limiti consentire l'adozione di soluzioni Shadow IT, tenendo conto dei rischi che questa scelta può comportare, in termini di:

Vulnerabilità di sicurezza
Le infrastrutture IT decentralizzate e le piattaforme utilizzate per lo Shadow IT potrebbero non essere sicure come quelle gestite dal reparto IT. Lo Shadow IT in questo caso può essere facile preda di virus, malware e ransomware che possono rapidamente propagarsi anche alle restanti componenti dell'IT Aziendale.

Perdita di riservatezza e disponibilità dei dati
Il personale che gestisce lo Shadow IT potrebbe non essere adeguatamente istruito sulla corretta gestione dei dati: in questo caso può capitare che dati sensibili vengano per errore condivisi con persone non autorizzate oppure che il mancato backup dei dati abbia come conseguenza una perdita irreversibile, in caso di compromissione.

Incoerenza e duplicazione dei dati
I sistemi Shadow possono causare incoerenza nei dati Aziendali. Una cattiva organizzazione dei flussi informativi e dei file può portare a differenze tra i dati "ufficiali" e quelli utilizzati dallo Shadow IT, con la conseguenza che i risultati delle elaborazioni svolte tramite lo Shadow IT possono produrre risultati errati.

Spreco di tempo e risorse
Lo Shadow IT viene di norma gestito da personale non specializzato, che quindi può impiegare molto tempo a controllare la validità dei dati, a configurare i sistemi e a gestire diverse versioni di software e di dati. Per implementare lo Shadow IT spesso vengono utilizzate le infrastrutture IT Aziendali: in questo caso il carico di lavoro derivante dalle elaborazioni di Shadow IT può distogliere risorse alle altre elaborazioni Aziendali.

Come convivere con lo Shadow IT

Lo Shadow IT non è certamente il modo migliore di risolvere i problemi, ma in certi casi può essere un valido complemento dell'IT tradizionale per dare risposte rapide alle esigenze di innovazione.

Un bravo IT Security Manager dovrebbe trovare un modo per:
- contenere l'utilizzo indiscriminato dello Shadow IT,
- promuovere attivamente l'impiego di soluzioni basate sull'IT tradizionale,
ma anche per:
- convivere con lo Shadow IT consentendone l'utilizzo controllato,
- ridurre il più possibile i rischi di sicurezza derivanti dallo Shadow IT.

Per far questo occorre:

Ridurre i tempi di valutazione

Le esigenze di innovazione del Business hanno bisogno di risposte rapide.
Spesso però accade che il processo di valutazione di queste esigenze da parte dell'IT tradizionale richieda tempi troppo lunghi, perchè il reparto IT:
- le considera a bassa priorità
oppure:
- ha bisogno di effettuare valutazioni approfondite, prima di decidere in merito.
Per effettuare queste valutazioni di fattibilità, il reparto IT dovrebbe dedicare una struttura di "Demand Management"  dotata di adeguate competenze, in grado di svolgere questo delicato compito in modo affidabile, ma in tempi rapidi.

Razionalizzare i processi di implementazione

Spesso si ricorre allo Shadow IT perché è un percorso più rapido per ottenere il risultato desiderato. L'implementazione delle soluzioni già valutate ed approvate dal Demand IT non dovrebbero richiedere tempi lunghi per l'implementazione a causa di processi di sviluppo lenti ed obsoleti.
Per evitare che il reparto IT diventi un collo di bottiglia che rallenta l'innovazione tecnologica occorre innovare anche i processi di sviluppo IT, mettendoli in grado di seguire rapidamente l'evoluzione della tecnologia. Ad esempio è utile introdurre metodologie "agili" per lo sviluppo e la gestione dei progetti IT.

Stare al passo coi tempi

Il reparto IT dovrebbe mantenersi all'avanguardia, tenendosi sempre aggiornato sui più recenti sviluppi tecnologici, per non rischiare di essere colto alla sprovvista da una tecnologia nuova e dirompente che potrebbe rappresentare un elemento chiave per l'innovazione nel Business.
Questa attività richiede tempo (e forse anche denaro), ma è certamente meglio investire nell'aggiornamento continuo delle competenze piuttosto che sprecare energie nell'inseguimento di un numero sempre crescente di progetti "Shadow IT".

Rafforzare i controlli

Aprire le porte allo Shadow IT non significa rinunciare al controllo dell'IT Aziendale. Vi sono alcune situazioni in cui lo Shadow IT può creare problemi di conformità o di rispetto della regolamentazione vigente.
Occorre pertanto vigilare attentamente sui casi di Shadow IT ed intervenire tempestivamente qualora le regole e le policy aziendali corrano il rischio di essere pesantemente violate da progetti che non sono sotto il controllo del reparto IT.

Prevedere margini di flessibilità nel budget

Troppo spesso il budget del reparto IT è rigorosamente controllato, e vi è poca flessibilità in termini di ri-allocazione dei fondi da un'area già prevista verso un'area diversa ma potenzialmente emergente in quanto fortemente richiesta dal Business.
In genere i progetti Shadow IT non sono preventivati ​​in bilancio e richiedono quindi finanziamenti ad hoc. Se il budget del reparto IT prevede alcuni margini di flessibilità, è possibile trovare il modo di soddisfare le esigenze del Business senza essere costretti a ricorrere allo Shadow IT.

Partecipare attivamente alle iniziative di innovazione

L'IT aziendale non può limitarsi ad essere solo uno strumento attraverso il quale è possibile realizzare soluzioni e servizi innovativi richiesti dal mercato.
Nelle imprese più all'avanguardia l'IT svolge un ruolo trainante nell'innovazione, collaborando attivamente con le unità di Business nei processi di ricerca e sviluppo.
Sono finiti i giorni in cui l'IT poteva starsene lì, ad aspettare che arrivassero le richieste di nuovi progetti. Se non vuole rischiare di essere lasciata da parte e subire passivamente il fenomeno dello Shadow IT, deve fare uno sforzo per essere maggiormente coinvolta.

Approvare l'impiego dello Shadow IT per soluzioni prototipali

Quando si scopre l'esistenza di una soluzione Shadow IT,  spesso la prima reazione che viene in mente è quella di bloccarla immediatamente.
A meno che non si abbia già a disposizione una valida soluzione sostitutiva da mettere in campo come alternativa, può essere il caso di lasciar correre.
Ciò consente alle unità aziendali che utilizzano quella soluzione Shadow IT di continuare ad operare nel modo che hanno già scelto e contemporaneamente offre all'IT tradizionale la possibilità di esplorare una nuova tecnologia e valutarne l'efficacia sul campo.
Si tratta di considerare le iniziative Shadow IT come soluzioni transitorie, da utilizzare a breve termine, fino a quando non si riesce a trovare la migliore soluzione a lungo termine.