6.1 Assunzioni errate

Esistono poi alcuni errori che è facile commettere o miti che è bene sfatare prima di fare delle assunzioni errate a proposito della propria rete. Tenete quindi ben presente che in una rete:

• tutti i dati possono essere falsificati -- una ``scheda di rete'' non è altro che un dispositivo fatto per scrivere su di una rete, un po' come una testina è in grado di scrivere su dei dischi magnetici. I pacchetti non sono altro che dati che vengono scritti su di una rete, e possono essere quindi falsificati o inventati di sana pianta. Nessuno mi impedisce di ``scrivere'' con la mia scheda di rete dei pacchetti che indicano come mittente il computer di qualcun altro o delle informazioni assolutamente insensate. Scrivete quindi sempre delle regole che vietino o consentano anche ciò che può sembrare ovvio. Per esempio, se avete una intefaccia collegata alla rete 10.0.0.0/8, potreste scrivere come prima regola ``vieta tutto ciò che viene dalla determinata scheda di rete ma che non ha 10.0.0.0/8 come indirizzo del mittente''. Può sembrare stupido, ma questo vi potrebbe evitare un sacco di problemi. Cosa succederebbe ad esempio se riceveste dei pacchetti provenienti da 127.0.0.1? Con queste regole verrebbero immediatamente scartati, ma senza (e con l'rp_filter disabilitato, vedi prossima sezione) è difficile valutare cosa succederebbe (soprattutto su sistemi non linux -- 127.0.0.1 è un indirizzo di loopback).
• un computer collegato ad una lan è in grado di vedere tutto il traffico in transito dalla rete -- se foo è collegato allo stesso switch di bar, foo sarà in grado di vedere (sniffare, da ``fare sniffing'') tutto il traffico generato o ricevuto da bar, a partire dalle email fino ad arrivare alle password per accedere ai siti ftp preferiti. E' credenza comune che gli switch siano più sicuri degli hub e che non consentano questo tipo di operazioni. Si tratta però di un'assunzione il più delle volte errata. Per maggiori informazioni vi consiglio di dare un'occhiata alla sezione dedicata agli switch.
• è possibile fare hijacking e spoofing -- spoofing consiste nel fingersi qualcun altro. In una rete locale, è possibile fare spoofing molto facilmente, per esempio con quello che viene definito ``arp spoofing''. Anche volendo utilizzare tecniche di spoofing più ``classiche'' basate sul protocollo tcp e ip non esistono molti problemi: su una rete locale, potendo vedere i pacchetti, non c'È bisogno di indovinare alcun parametro, e non è quindi necessario utilizzare tecniche di ``blind spoofing'', notoriamente più complesse. L'hijacking consiste invece nel ``dirottare'' le connessioni di qualcun altro, dopo che sono state stabilite. L'utilità dell'hijacking si dimostra ad esempio con protocolli non cifrati dove l'autenticazione viene effettuata in modo sicuro. Facendo sniffing non sarebbe possibile rubare la password, mentre utilizzando l'hijacking si potrebbe rubare la connessione dopo che l'amministratore (o il nostro bersaglio) ha effettuato il login con successo, evitando il problema di aver bisogno di una password.
• il protocollo udp è insicuro -- se il tcp fa uso di syn e ack per verificare e rendere le connessioni più sicure e affidabili, l'udp non fa uso di nessuno di questi sistemi. E' quindi estremamente facile falsificare delle trasmissioni udp, anche al di fuori di una lan.
• il dns non è sicuro -- Il protocollo dns fa uso del protocollo udp. E' quindi difficile considerarlo un protocollo sicuro (nonostante qualche precauzione venga presa), soprattutto in una lan, dove è estremamente facile falsificare dei pacchetti. In più spesso si parte dall'assunzione che se la comunicazione tra client e dns è sicura allora i dati forniti dal dns sono corretti. Anche in questo caso esistono delle tecniche (usate per lo più in passato o con software dns di pessima qualità - compresi quelli inclusi in alcuni sistemi operativi) che consentono di inserire nel dns informazioni false (cache poisoning). Infine, l'amministratore del vostro dns (o qualcuno in grado di gestire il dns da voi utilizzato), può modificare quasi a piacimento le associazioni tra nomi di dominio ed indirizzi ip forniti da tale dns. Non si dovrebbe quindi mai fare affidamento sull'autenticità e correttezza delle informazioni fornite da un dns.
• tutti i dati, se non cifrati, possono essere intercettati e letti da chiunque si trovi tra il mittente e il destinatario
• se un protocollo è cifrato, non è detto che sia sicuro -- un problema di internet e delle reti in generale non è soltanto il fatto che i dati possono essere facilmente intercettati. Anche ipotizzando che tutte le connessioni fossero cifrate, si creerebbe un problema di autenticazione. Per fare un esempio, se A deve mandare dei dati a B in maniera sicura, può creare un canale cifrato da A a B. Ma come fa A ad essere veramente sicura dell'identità di B? Se io fossi C, interessato ai dati trasmessi, potrei fingermi B (con tecniche di spoofing o simili). In questo caso, la connessione tra A e B sarebbe ancora cifrata, ma i dati arriverebbero in realtà a C. Il problema, in questo caso, è l'autenticazione del server. Esistono diverse soluzioni per questo problema. Con ssh, è consigliabile utilizzare sempre crittografia asimmetrica (le famose chiavi di ssh) anziché digitare le password e verificare sempre il ``fingerprint'', un numero che rappresenta la chiave del computer remoto e mostrato ad ogni connessione.

  Con protocolli come l'http, l'ftp, o la posta elettronica (sia pop che imap e smtp), è possibile fare uso di ``certificati'' emessi da particolari autorità (autorità che si fanno garanti della identità dell'utilizzatore del certificato) che provino l'identità del server.

  In Italia purtroppo, per risparmiare qualche euro, si è instaurata la pratica di generare da sé i propri certificati senza utilizzare quelli emessi da particolari autorità anche in strutture che per dimensioni, per necessità, e per competenze tecniche dovrebbero per lo meno porsi qualche problema (parlo di università, enti pubblici, e di alcune strutture che costituiscono lo scheletro di internet in Italia). Vorrei pertanto approfittare di questo documento per evidenziare che se un certificato non è emesso da una autorità riconosciuta o da un'autorità terza di cui avete ottenuto i certificati in maniera sicura (non scaricandoli da internet), la validità del certificato stesso dovrebbe essere considerata nulla. Non ignorate quindi la finestrella di IE o Mozilla che vi si presenta davanti dicendo che il certificato del sito non è valido: chiunque potrebbe aver generato tale certificato (man 1 openssl) ed essersi messo in mezzo tra voi ed il vostro sito. Non siate tolleranti e mandate email all'amministratore di tale rete finché non avrà acquistato un valido certificato!

  Protocolli di autenticazione come kerberos invece, partono dal principio che non è solo l'utente a dover provare la sua identità ma anche il server remoto. In questo caso, se il server non è chi dichiara di essere non sarà in grado di decifrare i dati dell'utente stesso.

• un firewall non è in grado di garantirvi la sicurezza -- se sulla vostra rete usate sistemi operativi notoriamente insicuri, potreste trovarvi facilmente dei troiani (virus particolari) installati che consentono a terzi di controllare i vostri computer da remoto, senza che il vostro firewall possa farci nulla. Una politica di sicurezza deve quindi comprendere molto più di un singolo firewall.
• un sistema non è sicuro solo se non possono rubarvi dati -- per esempio, potreste trovarvi nelle condizioni di avere un servizio critico per la vostra azienda offerto da una macchina estremamente sicura. Cosa succederebbe però se un attaccante riuscisse a sovraccaricarla di lavoro fino a bloccarla, pur senza riuscire ad entrarvici? Vi posso garantire che il vostro boss non sarebbe affatto felice... In alcuni ambiti poi, un'interruzione di servizio potrebbe portare molti più danni di quanti potrebbe causarne un'intrusione.
• esiste sempre qualcuno più bravo, più competente o più furbo di voi -- per quante difese possiate approntare, esisterà sempre quel bug di cui non siete a conoscenza o quella persona in grado di ``bucare'' il vostro sistema. Se avrete usato per bene le carte a vostra disposizione, sarà per lui una dura partita ed il più delle volte mollerà prima di raggiungere l'obiettivo. Sarete inoltre in grado di rendervi conto di quello che sta succedendo e dei problemi che si sono venuti a creare.
• non fidatevi -- sebbene possa sembrare un'osservazione faziosa e quasi paranoica, ricordatevi che avere il codice sorgente dei programmi che state utilizzando vi mette direttamente nelle condizioni di poter verificare l'assenza di backdoor (porte sul retro, accessi lasciati dai programmatori) o l'assenza di bug ed errori che potrebbero compromettere la sicurezza della vostra rete.

  Mettere a disposizione il codice sorgente di un determinato prodotto può quindi essere considerato come un atto di fiducia nei vostri confronti e costituire garanzia del buon operato dei programmatori coinvolti, che dimostrano di non aver nulla da nascondere né a voi ``clienti'' né ad eventuali attaccanti. Una cassaforte non dovrebbe essere considerata sicura perchè il suo meccanismo è tenuto segreto (un meccanismo si può sempre studiare), ma perchè pur rendendone pubblico il funzionamento nessuno è in grado di aprirla se non utilizzando la combinazione impostata.

  Quando comprate un apparecchio come uno switch, un router o un firewall, provate a cercare sul sito del produttore le procedure indicate per il recupero delle password dimenticate: alcune volte vi verrà detto di rendere l'apparecchiatura raggiungibile tramite internet e di contattare il servizio di assistenza (non è uno scherzo). Questo dovrebbe dirla lunga sull'assenza di backdoor e sulla sicurezza del prodotto.

  Infine, se la vostra preoccupazione maggiore è la sicurezza, ricordatevi che spesso questo non è l'interesse maggiore di chi vi vende un prodotto (e non sta a me ricordarvi che viviamo in un mondo dove l'economia è basata sul marketing e sulla massimizzazione dei guadagni). Non accontentatevi di belle parole o pubblicità accattivanti: se vi verrà rilasciato il codice sorgente sarete in grado di verificare in prima persona la qualità del prodotto.

Le solite raccomandazioni, ormai, credo che siano superflue: non scambiate mail con password (è molto più facile falsificare una mail che non intercettare una comunicazione), scegliete password che non siano contenute in un dizionario e che contengano caratteri maiuscoli e minuscoli, cifre e simboli, utilizzate tecnologie di firma digitale e verificate l'identità delle persone che vi richiedono informazioni sensibili, magari richiamandole per telefono o utilizzando qualche sorta di Web Of Trust.