Il commento di oggi

Aggiornato il 08/08/2000

Il "commento di oggi" è uno spazio in cui di volta in volta metto dei commenti su aspetti tecnici o avvenimenti interessanti nel campo della sicurezza. Inutile dire che si tratta di opinioni derivate dalla mia esperienza personale. Siete liberi di mandare risposte e critiche, che eventualmente pubblicherò. Per quanto si chiami Commento di oggi, l'aggiornamento è tutt'altro che quotidiano.

Commenti precedenti

Certificazioni, certificazioni e ancora certificazioni

Delle tante certificazioni di moda adesso, mi interessa parlare di quelle relative alle caratteristiche di sicurezza dei sistemi. In generale, chi richiede che un prodotto sia certificato cerca una terza parte fidata che gli garantisca alcune caratteristiche di quel prodotto. Il ricorso alla terza parte fidata è dovuto generalmente all'impossibilità di fare la valutazione in proprio, per mancanza di tempo, competenze o altre risorse, e quindi si cerca qualcuno affidabile che faccia la valutazione per noi. Dal punto di vista di un ente o di un'azienda, ci si può trovare a richiedere una certificazione per soddisfare proprie esigenze, o per soddisfare qualche tipo di norma: in questo secondo caso, è chi ha emanato la norma che è interessato alla certificazione e che sceglie sia le caratteristiche da valutare che la terza parte fidata, mentre all'azienda interesserà generalmente solo soddisfare la norma. A metà degli anni ottanta sono stati pubblicati i Trusted Security Evaluation Criteria (TCSEC), meglio noti come Orange Book, dal colore della copertina. Facevano parte di un'intera serie di pubblicazioni, nota anche come Rainbow Series per la varietà di colori delle copertine, comprendenti essenzialmente approfondimenti e usi specifici dell'Orange Book; ad esempio il Red Book è intitolato "Trusted Network Interoperation". L'obbiettivo dei criteri era la valutazione delle caratteristiche di sicurezza di sistemi che dovessero essere utilizzati dal Dipartimento della Difesa USA e in altri contesti analoghi, e la valutazione dei sistemi in certe categorie era un requisito per le aziende che volessero fornire quei sistemi al Governo USA. In questo caso quindi, chi era interessato alla valutazione era il Governo USA, mentre i produttori erano interessati solo al rispetto della norma. Non intendo descrivere nel dettaglio quelli che secondo me sono pregi e difetti del TCSEC, ma vorrei sottolineare alcune caratteristiche sulle quali tornerò nel seguito: - ad essere valutato era un intero sistema, con una precisa configurazione hardware e software; famoso è stato il marketing intorno al fatto che WindowsNT fosse "valutato C2", mentre ad essere valutata era una precisa configurazione di NT 3.51, senza funzionalità di rete; qualsiasi modifica a quella configurazione, compresa l'attivazione delle funzionalità di rete, annullava la valutazione; - l'insieme di caratteristiche in base alle quali era valutato il sistema erano adatte alle esigenze del DoD, e generalmente mal si adattavano alle esigenze di aziende o enti civili; questo è stato probabilmente uno dei principali motivi di insuccesso dell'ITSEC fuori dalle gare di appalto per il DoD e dintorni; - il processo di valutazione era ed è lungo e costoso; un produttore doveva avere ottimi motivi per iniziarlo; spesso i prodotti venivano pubblicizzati come "in corso di valutazione", sottintendendo che la valutazione fosse questione di tempo, mentre invece magari non sarebbe neppure stata conclusa; - il processo di certificazione era ed è lungo e costoso; una volta ottenuta una valutazione, era difficile che un produttore richiedesse una nuova valutazione in seguito ad aggiornamenti, patch, cambi di versione eccetera; ho sentito (ovviamente voci incontrollate) che pare che il DoD abbia a lungo sorvolato sul fatto che la valutazione era stata data a un NT 3.51 su un certo hardware, mentre quelli che usavano erano NT 4.0 su tutt'altro hardware... - il processo di valutazione era lungo e costoso; quindi i produttori di computer tentavano di rivendere le stesse valutazioni nel privato, anche se le esigenze erano diverse; del resto, se un sistema andava bene per il DoD, "era sicuro"... il concetto di valutazione rispetto alle esigenze specifiche, al valutazione era ridotta a un bollino di qualità; del resto dato che spesso un commerciale che parla con un manager è una persona che non sa cosa vende che parla con una che non sa cosa compra (le loro competenze sono altre), spesso entrambi erano soddisfatti di offrire o ricevere un bollino di questo genere; Comunque, la diffusione del TCSEC in ambiente civile è sempre stata limitata. All'inizio degli anni novanta in Europa è nato l'ITSEC, recependo e rialaborando altri standard precedenti. ITSEC è nato con l'intenzione, fra l'altro, di rendere più interessante e utilizzabile la certificazione in ambienti civili. Oltre a molti miglioramenti, dovuti alle esperienze precedenti ed agli anni trascorsi fra i due standard, l'ITSEC introduce due novità fondamentali: - non c'è più un insieme predefinito di caratteristiche in base alle quali valutare i sistemi: è possibile definire insiemi di caratteristiche in base ad esigenze specifiche e poi valutare i sistemi in base a quelle caratteristiche; idealmente, ogni organizzazione potrebbe definire le proprie ed ottenere una valutazione, anche di sistemi prodotti da altri; - non si valuta più necessariamente l'intero sistema, ma è possibile valutare singoli prodotti: un sistema operativo, un word processor, una smart card. In appendice agli standard, come caso particolare di esempio e per compatibilità, sono riportate delle classi di valutazione equivalenti a quelle del TCSEC. Ci si aspettavano grandi miglioramenti dall'uso dell'ITSEC, invece... - il processo di valutazione è forse meno lungo, ma comunque costoso; chiedere una valutazione è una scelta da ponderare; - definire quali sono le proprie esigenze, e poi individuare dei prodotti che possano soddisfarle è un processo difficile: il privato che arrivasse realmentein fondo a un simile processo probabilmente a quel punto avrebbe già fatto il lavoro del certificatore, e quindi perchè affrontare il costo di una valutazione? Se il lavoro non è altrettanto approfondito invece, richia di chiedere la valutazione di un prodotto che alla fine non supera l'esame, restando senza soldi e senza prodotto valutato - in pratica, a parte le classi "esemplificative" dell'appendice pochissime altre sono state definite: quasi tutte le valutazioni continuano ad essere fatte, in sostanza, rispetto alle esigenze del DoD USA di quindici anni fa. L'unica differenza è che adesso si può valutare realmente Windows NT4.0 indipendentemente dall'hardware (ma non dalla configurazione); - per la valutazione è richiesto l'accesso ai dettagli del prodotto, quindi ad esempio ai sorgenti: in pratica, sono ancora i soli produttori che richiedono alle terze parti la valutazione dei loro prodotti, e lo fanno in base alle solite classi del TCSEC, salvo casi particolari, perchè tanto per il marketing la cosa è più che sufficente; - problema fondamentale: usare un sistema operativo valutato secondo certe caratteristiche, su un hardware valutato secondo le stesse caratteristiche, e con sopra un applicativo valutato secondo le stesse caratteristiche, non porta a un sistema valutato secondo quelle caratteristiche, perchè i diversi componenti potrebbero interagire in modi inaspettati; in pratica, per avere un sistema valutato, che è quello che in fondo può interessare all'utente finale, continuerebbe ad essere necessaria la valutazione del sistema nel suo complesso. Anche l'ITSEC non ha avuto un grande successo, nonostante il maggiore interesse per la sicurezza e l'esigenza sentita di criteri oggettivi per valutare la sicurezza di reti e sistemi. Ci sono comunque casi particolari, come la normativa italiana sulla firma digitale, che però rientra nel caso "norma da rispettare". Adesso sono usciti i Common Criteria, criteri armonizzati fra USA ed Europa. Dovrebbero permettere un'unica valutazione valida in Europa come negli USA (problema che si pone sostanzialmente solo per gli usi normativi, un privato si può comunque far valutare da chi gli pare) ed introdurre alcuni ulteriori miglioramenti. Io dubito che possano cambiare sostanzialmente qualcuno dei problemi che ho descritto. Nel settembre del 1998 è stata pubblicata la versione rivista dell' "U.S. Government Application-Level Firewall Protection Profile for Low-Risk Environments" per i Common Criteria. In pratica, un Protection Profile (il nuovo termine per l'insieme di caratteristiche in base alle quali effettuare la valutazione) per firewall a livello applicativo. Siccome la valutazione oggettiva di firewall è un'esigenza piuttosto sentita, ho dato un'occhiata a questo profilo, come potrebbe darla qualcuno che dicesse "non sono un esperto di sicurezza, ma forse se un firewall può andare bene per gli ambienti a basso rischio del governo USA, può andare bene anche per la mia azienda"... La cosa che colpisce subito sono i continui riferimenti a servizi come telnet, ftp, rlogin, la mancanza sostanziale di riferimenti altrettanto espliciti al web ed i pochi riferimenti alla posta elettronica. Per di più in appendice sono riportati una serie di advisory in buona parte specifici per sistemi unix, e ovviamente non più aggiornati. Insomma, sembra l'antitesi di quello che serve a un'azienda, che generalmente non usa rlogin ma concentra molta della sua attenzione sul Web. Chi dovesse decidere una valutazione per il firewall della propria azienda difficilmente si riconoscerebbe in questo protection profile. Dovremo aspettarci che i produttori di firewall, oltre alla valutazione secondo questo Protection Profile che serve loro probabilmente per vendere al governo, si prendano il disturbo di cercare o definire un altro Protection Profile per le aziende? O piuttosto si riproporrà la solita scena del commerciale che cerca di rivendere anche alle aziende (in fondo è il suo lavoro) la certificazione già ottenuta? A parte questo, l'obsolescenza degli advisory citati in appendice mette in evidenza un altro problema fondamentale: sappiamo che un firewall installato e configurato due anni fa, e non più mantenuto, presenta probabilmente una serie di vulnerabilità dovute a tutto quello che può essere successo in due anni. Che valore può avere una valutazione fatta in base a esigenze, caratteristiche dei sostemi e conoscenze di due anni fa? Che valore può avere una valutazione fatta due anni, fa anche su un prodotto installato adesso? Il prodotto sarà stato aggiornato, magari la società produttrice nel frattempo è stata comprata e la qualità del processo produttivo è cambiata completamente: ci dobbiamo aspettare aggiornamenti annuali dei criteri, e sistemi rivalutati ogni anno? Naturalmente il processo di valutazione continua ad essere lungo e costoso... Sto dicendo che non ci sono speranze? Forse si, ma del resto si continuano ad installare e configurare sistemi e firewall che non hanno alcun genere di certificazione, e anche con buoni risultati. Forse è l'idea di una certificazione di questo genere che è debole. In molti campi hanno rinunciato a certificazioni specifiche, e si limitano a certificare la qualità del processo produttivo (iso9000 e dintorni), senza entrare nel merito delle funzionalità. Chissà, forse si potrebbe fare tesoro delle esperienze di altri. Non che consideri particolarmente valide le certificazioni di qualità, immagino che buona parte dei produttori di software abituati a fare beta testing sugli utenti abbiano tutte le certificazioni possibili, ma almeno il principio che c'è dietro ha un senso. Del resto, se dovessi mettere la certificazione di un sistema nell'ordine delle priorità per la sicurezza di una rete, anche fosse una certificazione valida, non sarebbe certo in cima alla lista: prima vengono una buona valutazione delle esigenze, la scelta e il rispetto delle procedure, l'architettura della rete e dell'eventuale firewall, la scelta degli strumenti adatti... Recentemente ho sentito parlare più volte dello standard BS7799. Così me ne sono procurato una copia, anzi per essere precisi mi sono procurato una copia dello standard AS/NZS4444, che è esattamente la stessa cosa ma in versione australiana, con il vantaggio che il documento costa circa un terzo ;) Il titolo è "Information security management", e si occupa proprio di questo. Tratta di politiche di sicurezza, sicurezza fisica e del personale, access control, gestione dei sistemi, business continuity... non cito niente perchè ha una gestione del copyright veramente da fanatici, e con le ultime trovate del legislatore italiano, la sola parola copyright mi fa venire la gastrite. Al di là del documento non ho ancora avuto occasione di vedere una certificazione reale, ma devo dire che se dovessi scegliere fra una rete con tutti i sistemi certificati secondo ITSEC e una che abbia anche solo seguito i principi del BS7799, anche senza averne la certificazione, a parità di altre condizioni probabilmente saprei quale considerare più sicura.