martedì 7 dicembre 2010

Security vs. Obscurity

Quando si tratta di IT Security, spesso si sottintende un aspetto: non tutte le informazioni (per es. sulla topologia della rete interna, sul tipo, quantità e localizzazione dei vari dispositivi di sicurezza) vengono rese note. Di norma, neanche agli utenti interni, talvolta nemmeno ai sistemisti che non siano incaricati della gestione della sicurezza IT.

Questi comportamenti fanno parte del "lato oscuro" nella gestione della Sicurezza IT. Certamente, tenere nascosti o comunque non divulgare questi dettagli aiuta gli addetti alla IT-SEC a sentirsi più protetti. In realtà, più si utilizzano tecniche di "obscurity" e maggiormente si mettono alla prova gli skill degli eventuali "nemici" nel campo del "discovery" (della reale configurazione di sicurezza).

Possiamo dire, usando un'immagine colorita, che la "Security by Obscurity" tiene alla larga i "ladri di polli", ma difficilmente spaventa gli "Arsenio Lupin", cioè i professionisti ben attrezzati. Una delle conseguenze di questa semplice osservazione è che le nostre infrastrutture IT saranno violate più raramente, ma quando ciò avverrà saremo quasi certi di avere di fronte "nemici" molto preparati tecnicamente (e anche organizzativamente).

Idealmente parlando, si potrebbero pubblicare i dettagli relativi agli accorgimenti di sicurezza attivi e passivi utilizzati (firewall, IDS/IPS, proxy, DMZ, sezionamenti di rete, e chi più ne sa più ne metta), e magari anche le relative configurazioni (non le credenziali di accesso!), senza compromettere di molto la sicurezza generale delle infrastrutture IT.

Stando alle statistiche, fanno più male alla sicurezza IT quegli utenti che con la loro workstation visitano siti di dubbia natura (che spesso ospitano fantastici "cavalli di troia" perfettamente invisibili), oppure quei sistemisti che configurano credenziali di accesso "deboli" su sistemi critici (es.: password "di fabbrica" sugli apparati di rete, accesso wireless non opportunamente protetto), rispetto a uno schema di rete interna caduto in mani "nemiche".

Anche le varie tecniche per evitare di diffondere "troppe" informazioni (per esempio) sulla versione del Web Server o del CMS utilizzato sono ben poca cosa di fronte a Browser non aggiornati e pieni di "bugs" che spifferano in Internet molteplici appetibili informazioni della loro stessa esistenza.

Ovviamente, sono partito da un discorso estremo per arrivare ad affermare un concetto: la Sicurezza IT non può basarsi soltanto sulla mancanza di informazione. Anzi, non può basarsi affatto sulla mancanza di informazione. La riservatezza, se così vogliamo chiamarla, dovrebbe solo andare a completare tutte quelle misure (policy, adozione di strumenti tecnici efficaci, auditing interno e "indipendente", revisioni e controlli ripetuti e periodici, allarmi e risorse atte a gestire le emergenze, "incident response & mitigation") che si trovano alla base della Sicurezza di ogni Sistema complesso.