Hyppönen, Kaspersky, Schneier: Security guru on the cloud

A cura di Andrea Lawendel

Pubblicato il 14-07-2009 0:00

Data Manager ha parlato con tre dei più autorevoli personaggi del mondo della crittografia, della sicurezza perimetrale e della lotta al codice maligno mettendoli a confronto sulle nuove tematiche relative alla tutela delle risorse e delle informazioni aziendali sotto la spinta della virtualizzazione e della mobilità. Quale dev'essere il ruolo del Cio e quali le responsabilità degli utilizzatori finali? La parola ai visionari tecnologici di BT, Kaspersky Lab e F-Secure

Come sta cambiando il mondo della sicurezza informatica in un contesto tecnologico dominato dalla pervasività della rete e dalla disseminazione capillare delle informazioni? In questa speciale serie di conversazioni con tre figure di spicco dell’ambiente della It security, Bruce Schneier, Eugene Kaspersky e Mikko Hyppönen, Data Manager crede di aver identificato due fenomeni, due tendenze che sembrano in questo momento dettare il passo a chi sviluppa, gestisce, implementa e “utilizza” prodotti e servizi di sicurezza.

Da un lato c’è l’enorme questione sollevata dalla spinta verso la virtualizzazione delle risorse, dal movimento di implosione che vede le vecchie “infrastrutture aziendali” convergere in misura crescente in data center in cui tutto diventa gestito, dallo spazio attrezzato che accoglie i server aziendali, all’uso di applicativi e servizi che vengono erogati al cliente come se si trattasse di potenza elettrica, acqua o qualsiasi altra materia prima. La virtualizzazione e l’outsourcing, uniti alla crescente mobilità degli utilizzatori finali dell’informatica, i livelli di potenza e sofisticazione raggiunti da dispositivi come gli smartphone, determinano un cambiamento radicale nel modo di concepire un’architettura e i suoi punti di ingresso e di uscita.

Da un’altra parte gli esperti ci mettono in guardia ogni giorno sul mutamento qualitativo delle minacce che possono compromettere le infrastrutture e i dati. Nei primi anni dell’era della microinformatica e successivamente, quando l’informatica client server impose il concetto di rete locale, i virus informatici e le imprese degli hacker, i pirati del computer, erano una pura dimostrazione di maestria, un gioco un po’ maligno e sicuramente dannoso, ma ancora limitato a una sfera giovanilista e ludica. Tutto questo spirito, a suo modo romantico, è stato spazzato via da una nuova generazione di veri e propri criminali informatici che si prefiggono precisi obiettivi di arricchimento personale. Attaccare una rete di computer, un sito Web aziendale, oggi è un’operazione organizzata e portata avanti quasi come la rapina al caveau di una banca. Con strumenti tecnici e logistici, trucchi di “ingegneria sociale”, accorgimenti studiati a tavolino dispiegati per entrare in possesso di informazioni utili per ottenere denaro, vuoi accedendo in veste di persone non autorizzate a dati bancari e strumenti di pagamento online, vuoi ricattando il legittimo proprietario dei dati o rivendendo questi ultimi a un suo concorrente.

Di questi problemi Data Manager ha quindi dibattuto con tre innovatori e pionieri della sicurezza di levatura mondiale. Tre esperti che hanno saputo distillare la loro indiscussa capacità tecnica in abilità imprenditoriale. Le loro non sono semplici opinioni perché personaggi come Schneier, Kaspersky e Hyppönen sono in grado di influire su dove andrà la sicurezza informatica nei prossimi anni. Cerchiamo di scrutare l’orizzonte insieme a loro.

Newyorkese di origine, oggi Bruce Schneier vive nel Midwest, nel Minnesota. Deve la sua fama di “guru” internazionale della sicurezza alla sua attività nel campo della crittografia, disciplina su cui ha scritto diverse pubblicazioni e un libro testo di riferimento nelle università, Applied Cryptography. Ha fondato nel 1999 Counterpane Internet Security, tra le prime realtà della sicurezza come servizio gestito. Nel 2006 Counterpane è stata acquisita da BT (www.bt.com) e oggi Schneier, che nel frattempo ha pubblicato testi acclamati come Secrets and Lies, Beyond Fear e Schneier on security, è il chief security technology officer del grande operatore britannico.

Acuto e di pochissime parole, Schneier è viceversa un prolifico blogger e la sua newsletter elettronica sulla crittografia e la sicurezza non solo informatica, Crypto-Gram, vanta 150mila iscritti.

Il responsabile dei Laboratori di Ricerca di F-Secure (www.f-secure.com) lavora per questa azienda finlandese specializzata in soluzioni antivirus, una delle più importanti del settore, fin dal 1991, quando, giovane universitario, venne assunto in qualità di analista. In quasi vent’anni Hyppönen ha conquistato una fama internazionale come cacciatore di virus informatici e nel suo carniere sono finite diverse prede, con nomi ancora temibili. Nel 2003 fu la volta di Sobig.F, l’anno dopo di un contagio ancora più famoso, quello di Sasser. E’ forse uno dei pochi specialisti di malware a essersi meritato un profilo personale su Vanity Fair.

Abita, insieme alla moglie, due figlie e una piccola comunità di renne su un’isoletta nei dintorni di Helsinki e ha una stranissima passione: è orgoglioso collezionista di videogiochi da bar e flipper, tutti rigorosamente funzionanti.

Implacabile nella lotta alla criminalità informatica e irrefrenabile negli eventi sociali organizzati per festeggiare le tappe della rapida espansione della sua software house internazionale (e prima sul mercato russo), Eugene Kaspersky ha saputo coniugare la maestria imprenditoriale alla grande preparazione teorica di genio precoce della matematica. Una passione coltivata fin da giovane studente delle medie che lo ha portato poi a perfezionarsi in materie complesse come la crittografia. La sua esperienza con i virus informatici risale ai primissimi anni del personal computer e le tecnologie dei Kaspersky Labs (www.kaspersky.com), fondati nel 1997, si basano proprio sulle tecnologie che Kaspersky aveva messo a punto per difendere la rete dell’istituto di ricerche per cui lavorava. Da allora, la crescita della sua azienda, in termini economici, di “head count” e popolarità, è stata continua. Sul piano tecnologico, gli algoritmi di protezione antivirus Kaspersky continuano a essere tra i più avanzati, tanto da generare un solido fatturato anche in termini di licenze concesse a sviluppatori terze parti.

Data Manager ha incontrato Bruce Schneier a Milano, in occasione di una giornata sull’outsourcing organizzata dal suo nuovo “datore di lavoro”, British Telecom. L’operatore globale ha rilevato Counterpane Security qualche anno fa e oggi Schneier lavora come chief security technology officer. A Milano, una delle tappe di un lungo tour europeo, è arrivato insieme al suo collega Ray Stanton, il responsabile mondiale della “practice” di BT focalizzata su sicurezza, business continuity e governance, un altro grande esperto di sicurezza in campo Ict.

La prima domanda riguarda proprio le novità che l’informatica della nuvola ha determinato nel settore della sicurezza e della tutela di dati e delle connessioni alla rete. Quando il concetto di “endpoint” si fa così labile, come ci si deve comportare? «In realtà se osserviamo le cose da una prospettiva storica - risponde Schneier -, Internet non rappresenta un cambiamento così radicale. La storia dell’informatica è passata da una forte concentrazione a una forte distribuzione delle risorse e oggi a un nuovo accentramento soprattutto in funzione di una variabile: il costo della potenza computazionale rispetto a quello delle comunicazioni. Oggi sentiamo parlare di cloud computing, ma che cos’era negli anni Sessanta l’informatica dei mainframe se non cloud computing?». Schneier aggiunge che in un contesto in cui le aziende di grandi, medie e, sempre più spesso, piccole dimensioni abbandonano il concetto di rete locale per delegare la gestione, spesso la proprietà delle risorse hardware a un fornitore terzo, o come si dice “in outsourcing”, la sicurezza rimane fondamentalmente «una questione di fiducia nei confronti dei fornitori. Il cloud computing non ha fatto altro che introdurre un ulteriore livello di fiducia», sottolinea l’esperto. Non è una differenza da poco perché affidarsi alla nuvola significa in buona sostanza delegare all’esterno barriere di protezione che in passato venivano gestite internamente, dai responsabili tecnici della rete. «La vera differenza a mio parere è la perdita di controllo sull’interfaccia, l’impossibilità di introdurre tu stesso delle ridondanze».

Tutto questo ha un forte impatto anche culturale sulla figura del Cio, del responsabile tecnologico di una infrastruttura aziendale, il cui ruolo «subisce una trasformazione da un ruolo di dimensionamento e implementazione delle infrastrutture a quello di chi deve piuttosto definire dei requisiti, delle priorità di servizio e deve di conseguenza garantire una soluzione puntuale. Sul piano della sicurezza si tratta quindi non di individuare il modo migliore per proteggere i tuoi dati e l’infrastruttura, ma nel saper stabilire la giusta scala dei valori, decidere prima e con precisione che cosa proteggere e quale priorità dare, per poi stabilire con gli outsourcer dei livelli di servizio adeguati a queste scale di valore».

La nuova tendenza all’accentramento e alla virtualizzazione dell’hardware lascia secondo Schneier un’altra profonda impronta sul mercato dei prodotti e dei servizi di sicurezza. «Anche questa è una grande differenza rispetto al recente passato in cui le società specializzate si rivolgevano direttamente al cliente. Ora sempre più spesso il fornitore si rivolge piuttosto al grande outsourcer», a chi cioè controlla veramente le infrastrutture. Con quali conseguenze? «Io sento spesso dire che l’era della sicurezza informatica è finita, che non ha più senso parlare di mercato, ma non è vero, ci sarà sempre bisogno di tecnologia, di nuove idee, di nuove iniziative».

Il problema che Schneier dice di porsi molto spesso è il livello di complessità raggiunto dai prodotti che circolano sul mercato della sicurezza. «E’ un grosso problema perché chi vende sicurezza oggi fa sempre più fatica a spiegare che cosa sta vendendo. In un qualsiasi mercato è fondamentale che venditore e acquirente possano dialogare, conversare su una base di argomenti condivisi. In mancanza di tale dialogo il mercato si spegne. Oggi ci sono in giro ottimi prodotti di sicurezza che non arrivano al mercato perché è obiettivamente difficile spiegare ciò che fanno, perché l’utente medio non è in grado di capire le spiegazioni di chi vende». Un paradosso davvero pericoloso, prosegue Schneier, nel settore dell’Information technology. «Pensandoci bene, quello dell’It continua a essere l’unico mercato in cui gli acquirenti comperano prodotti che funzionano male o in misura solo parziale per poi ritornare sul mercato e procurarsi i pezzi che gli mancano». Schneier fa l’esempio del problema delle vulnerabilità dei grandi sistemi operativi, le varie falle che devono essere individuate e riparate in un costante braccio di ferro tra tecnici della sicurezza e hacker. «Immagini che cosa accadrebbe se l’acquirente di un’automobile dovesse andare dal concessionario e questo gli dicesse: “ecco la sua vettura, ma si ricordi di passare subito dal venditore di freni perché se no rischia di non potersi fermare”. Con l’informatica è proprio così, è come comperare l’auto e solo successivamente anche il freno».

L’informatica e l’uso che facciamo del computer, avverte ancora Schneier, hanno subito in questi anni un grande processo di maturazione. Tutti noi siamo diventati individualmente più fluenti nell’uso delle tecnologie, dei suoi strumenti di base. Sedersi al computer, utilizzare un programma di videoscrittura, è diventato un gesto naturale per molti di noi, esattamente come sedersi di fronte al volante e guidare. Arrivati a un simile livello di confidenza è giusto che gli utenti finali scelgano che qualcun altro si occupi di determinati dettagli. Così come ci si aspetta che il fabbricante di automobili sappia fornire una vettura sicura e dotata di freni, anche dal computer e dal fornitore di servizi in outsourcing ci si aspetta una analoga “compliance”. Ma se tutti sanno più o meno che cosa vogliono dire quando chiedono una automobile sicura, sostiene ancora Schneier, manca una definizione altrettanto precisa di quello che intendiamo per informatica sicura e su questo cammino verso un insieme di regole comuni c’è ancora molta strada da fare.

Schneier, che si dice appassionato studioso di “economia comportamentale”, cioè delle dinamiche motivazionali che regolano il comportamento di chi acquista prodotti tecnologici, afferma che esistono due diverse spinte in chi decide di acquistare qualcosa (nel nostro caso una tecnologia di sicurezza). «Una è l’avidità, il desiderio di possedere qualcosa. L’altra più semplicemente la paura di perdere qualcos’altro. Ma al tempo stesso gli studiosi di psicologia evolutiva ci dicono che come specie siamo predisposti a rischiare molto piuttosto che sacrificare nell’immediato il poco di cui disponiamo. La sicurezza fino a oggi è stato il classico acquisto dettato dalla paura, ma chi si accontenta di poco non spende per proteggersi contro i rischi. Sono convinto che per la sicurezza informatica occorra spostare l’asse motivazionale verso l’acquisto per desiderio».

Nell’attuale scenario di informatica come utilità, il segreto consiste dunque nell’imporre un concetto culturale analogo a quello che ci spinge ad affidarci a risorse che funzionano. In materia di sicurezza, la famosa nuvola deve essere intrinsecamente sicura, grazie al lavoro, al positivo dialogo che si instaura tra i fornitori di soluzioni di sicurezza e gli outsourcer che implementano e gestiscono le infrastrutture. Gli utilizzatori di queste ultime non devono essere competenti sul piano tecnico, avverte in conclusione Schneier: devono esserlo su quello sociale. «La sicurezza dell’informatica non è di per sé uno strumento di competitività. E’ importante per una azienda, ovviamente, ma più per una questione sociale. Quello che voglio dire è che l’informatica è di per sé uno strumento che deve funzionare ed essere sicuro, ma il vero vantaggio competitivo viene dal saperlo utilizzare bene. Non mi serve poter mandare un messaggio di posta elettronica ai clienti se il messaggio non è quello giusto».

Virtualizzazione o no, il punto di partenza resta quello dell’estrema serietà della minaccia rappresentata dagli attacchi a reti aziendali e data center

Abbiamo chiesto a Mikko Hyppönen dove si devono costruire le barriere protettive quando il data center aziendale è esternalizzato e virtualizzato, se gli endpoint diventano mobili e i confini dello spazio di lavoro indistinti. «In molti casi - dice l’esperto finlandese riprendendo i concetti di sicurezza gestita di cui ha parlato Bruce Schneier - le soluzioni di cloud computing liberano completamente l’utente dalle preoccupazioni relative alla sicurezza e le trasferiscono nelle mani del service provider. Se la sua azienda utilizza gli applicativi di Crm di Salesforce.com, per esempio, non resta molto da fare in materia di salvaguardia e backup dei dati. La responsabilità è tutta di Salesforce».

Eppure, in una certa misura il cloud computing è anche un fattore di cambiamento nel modo di affrontare il malware in uno scontro che, ovviamente, tende anch’esso a spostarsi nella nuvola.

Sentiamo infatti che cosa ha da dire Eugene Kaspersky sulle conseguenze della virtualizzazione. «Inizialmente un software antivirus agiva effettuando la scansione di un programma prima di lanciarlo sul personal computer. Successivamente i prodotti antivirus si sono evoluti integrando nuove funzionalità, sistemi di monitoraggio real time, firewall, moduli anti-spam, aree di quarantena. Oggi il nostro settore ha intuito la necessità di implementare soluzioni ancora più innovative e una di queste è proprio la tecnologia “in the cloud”», sostiene l’esperto russo. Il concetto di virtualizzazione, secondo Kaspersky è stato utilizzato in passato, ma senza uscire dall’ambito dei laboratori di ricerca, come approccio che serviva a rendere più veloce l’analisi dei potenziali codici malevoli. Gradualmente, questo stesso approccio è stato implementato anche a livello del singolo Pc individuale, un passo molto importante verso un obiettivo che dopotutto è quello di impedire che il malware possa fare danni in macchine reali, non virtuali. «Le tecnologie del cloud computing vengono impiegate in modo molto diverso nell’industria del software di protezione - prosegue Kaspersky -. Non usiamo sistemi distribuiti, piuttosto mettiamo a disposizione una “nuvola” privata che diventa accessibile dai Pc dei singoli consumatori in modo da assicurare loro una risposta più immediata ai nuovi tipi di minaccia o per permetterci di effettuare statistiche o prendere delle decisioni basate sul comportamento dei file presenti a bordo di quei sistemi. La cloud security sta già diventando una realtà, Kaspersky Internet Security 2009 incorpora una tecnologia che raccoglie le segnalazioni di minacce che arrivano dagli altri utilizzatori di quel prodotto (ovviamente quelli che hanno acconsentito a fornire quelle informazioni). Grazie a questo modello i nostri tempi di reazione si sono ridotti a poche decine di secondi».

Il malware non è virtuale

Virtualizzazione o no, il punto di partenza resta quello dell’estrema serietà della minaccia rappresentata dal malware e dagli attacchi rivolti alle reti aziendali e ai grandi data center. Il codice maligno non è per niente virtuale. «Vorrei sottolineare la mole della problematica rappresentata oggi dal malware - precisa infatti Kaspersky -. Prima del 2007 il numero di nuovi campioni di codice maligno individuati da aziende come Kaspersky poteva attestarsi su qualche centinaio di migliaia per anno. Nel 2007 ne abbiamo contati due milioni, un dato che va confrontato con i 17 milioni di nuovi campioni di malware intercettati nel 2008. Un trend che conferma la serietà con cui i criminali informatici, che purtroppo si sono evoluti in un segmento di industria del crimine organizzato, prendono il loro “lavoro”. Un altro trend è la crescente complessità del malware. Il crimine informatico investe risorse di tempo e denaro per sviluppare virus ad alta tecnologia. Un investimento che li ripaga ampiamente».

Possiamo individuare oggi delle aree in cui vengono distillati codici più maligni e sofisticati di altri? «Intende dire se esiste una centrale, un cuore dell’eCrime? - risponde Hyppönen -. No, il centro è la stessa Internet e la questione assolutamente globale. Internet non ha confini, le bande specializzate in attacchi maligni traggono la loro origine dal crimine organizzato locale e alcune di queste bande sono esistite esclusivamente online. Questo costante attraversamento dei confini determina però una naturale divisione tra le varie giurisdizioni anticrimine. Alcune nazioni non dispongono di normative che vietano lo sviluppo di malware ed è quindi facile indovinare dove, geograficamente parlando, nascono molti virus». Se la portata del fenomeno è internazionale, è ancora possibile intervenire con una repressione su scala locale? «Secondo me sì, è possibile combattere l’eCrime localmente. Le polizie locali devono solo ricevere un’adeguata formazione e devono essere sostenute. Prenda per esempio la Finlandia. Abbiamo un tasso di criminalità informatica molto basso. Eppure il nostro ordinamento non prevede pene molto severe per chi commette un crimine informatico. Se le pene sono così miti perché non abbiamo un maggior numero di e-criminali? Perché le forze di polizia locale cercano di reprimere ogni tipo di crimine, incluso quello informatico. Il crimine è crimine e se lo combattiamo tende ad andarsene».

A Eugene Kaspersky spetta il compito di spiegare come agiscono oggi gli hacker animati da intenti criminali. «Anni fa nel mondo del cybercrime c’erano solo alcuni “mestieri”: chi sviluppava il codice dei virus, chi organizzava gli attacchi Ddos, gli spammer. Nella maggior parte dei casi lavoravano tutti in proprio, non avevano bisogno di organizzazioni. Oggi nessuno lavora in proprio, sono tutti organizzati in gruppi, ciascuno con la propria specializzazione e ce ne sono molte che fruttano denaro ai criminali. Ci sono anche molte peculiarità a livello locale. In Russia e Ucraina esistono figure di intermediari tra i gruppi di cui dicevo prima, per esempio tra gli spammer e i clienti che ordinano i loro servizi. In Cina questi strati intermedi non esistono ancora». E quanto può fruttare questo insieme di attività illegali? «Valutare l’entità economica del cybercrime è praticamente impossibile. Basarsi su parametri come la quantità di acquisti non autorizzati fatti con carte di credito carpite con il phishing è inutile perché quella è solo la punta dell’iceberg. In Russia, secondo nostre ricerche, il fatturato degli spammer si aggira intorno ai 200 milioni di dollari».

Può la tecnologia da sola aiutarci a combattere un nemico tanto diffuso e capillare? Quanto conta il fattore umano? «Ha un impatto molto significativo nel campo della sicurezza informatica», ammette Kasperksy che riconosce come molto spesso il modo migliore di affrontare il malware è culturale più che tecnologico. «Anni fa eravamo sorpresi della velocità con cui si diffondevano i worm attraverso la posta elettronica. Oggi questo tipo di malware è quasi sparito. Ma secondo me non è merito delle tecnologie antivirus, ma del fatto che molti più utenti sono diventati più saggi, hanno imparato la lezione dalle passate epidemie». Ma la gente è curiosa e continua a ripetere gli stessi errori. Non è un caso se oggi i rischi maggiori, conclude Kaspersky, si annidano proprio nei cosiddetti social network, dove il rischio di infezione da malware è più alto di dieci volte rispetto a quello di un contagio da posta elettronica. «Ecco perché a un esperto di lotta antivirus non basta conoscere a fondo le strutture dei sistemi operativi, o risalire alle origini del malware. Non possiamo limitarci a studiare il virus, dobbiamo valutare un quadro molto più ampio e prevedere come si sviluppano le minacce, incluse quelle che ancora non esistono neppure!».

A proposito di minacce ancora futuribili, abbiamo chiesto a Mikko Hyppönen di fare una considerazione finale a proposito della mobilità, l’altra grande tendenza dell’industria dell’Information technology insieme alla virtualizzazione. Dopo i virus del personal computer avremo a che fare con più generici virus del dispositivo x? «Sì, in futuro forse avremo a che fare con dei “device virus”, anche se per il momento è più probabile che siano sviluppati a livello hobbystico, non professionale». Prendiamo per esempio, dice Hyppönen, un apparato che molti oggi utilizzano per facilitare la loro mobilità, in ufficio come nell’abitazione: il router Wi-Fi. «In teoria è possibile infettare il firmware di un router Wi-Fi e fare in modo che questo a sua volta propaghi l’infezione verso i suoi simili, saltando da un router all’altro. Ma un fatto del genere non diventerà un problema reale finché qualcuno non troverà il modo di trarre vantaggio o monetizzare questa forma di attacco. Insomma è il profitto economico a generare una vera e propria minaccia».