Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

sabato 18 aprile 2015

Il Deep Web spiegato a mia nonna

Era un po' che avevo voglia di scrivere due righe su questo argomento e di recente le mie letture hanno risvegliato l'esigenza di spiegare, con parole povere, cos'è il Deep Web (o web profondo, darkweb, web oscuro, etc.). Per lavoro, occupandomi di sicurezza informatica, sono portato a conoscere alcuni argomenti come questo. Almeno in minima parte e seppur non condividendo, da ferreo sostenitore della legalità anche in un mondo pseudoanarchico come quello informatico, la maggior parte dei contenuti che vi è possibile trovare all'interno.

Molto spesso anche i più informati ignorano cosa ci sia dietro e quanto sia pericolosa quella zona dove tutto è concesso e, man mano che ci si spinge oltre, tutto è illegale. Non è inusuale parlare di sicurezza informatica e vedere facce stupite quando si affrontano le tematiche relative al mercato nero della compravendita di server o computer compromessi. La domanda che sorge spesso spontanea è "si, ok, ma dove avviene?".



Percezione comune

Nell'immaginario comune il web è a dir poco sterminato. E' sufficiente cercare qualsiasi cosa con google per rendersi conto dei milioni di risultati che questo comporta. Ora immaginate per un attimo che (da una recente statistica) google e tutti i motori di ricerca riescano a raccogliere appena il 4% dei siti (l'immagine sotto è decisamente ottimistica).




Immaginate, ora, che una parte di server web sia stata volontariamente fatta rimanere all'oscuro e nell'anonimato. E immaginate quanto questo sia in contrasto con ciò che vediamo quotidianamente: profilazione, pubblicità mirata, informazioni riservate nelle mani di grandi gruppi (facebook e google, per dirne una).


Il Deep Web: strati e profondità

Molto spesso il deep web viene considerato come un oceano o, meglio, come un iceberg. Ciò che sbuca è il visibile e, man mano che ci si addentra in profondità, l'ambiente diventa sempre più ostile, sempre più opaco.


Diamo una misura al nostro iceberg, diciamo 3000mt. di profondità.


In superficie c'è Google, c'è Facebook, Twitter, il sito di ricette di cucina e quello dell'azienda di commercio online. Tutto ciò che è classificabile con un motore di ricerca è lì, per essere consultato. Anzi, si spendono un mucchio di soldi per ottimizzare il proprio sito affinchè compaia in alto nelle ricerche di google.

Poi c'è un limbo subito sotto la superficie, diciamo 100 mt sotto. In questo limbo molti accedono, ma senza alcuna precauzione. Si scaricano torrent, video coperti da copyright e ci si vede la partita in streaming. Lo si fa più che altro perchè ci si ritrova per necessità e perchè si è trovato il link giusto. Sempre da google (tenete a mente questo particolare, non è da poco). I più smanettoni si fermano qui pensando che questo sia il "dark web". Bhè, probabilmente non siamo arrivati nemmeno al 10%.



Continuiamo il nostro viaggio, scendiamo a 500 mt. Ora non possiamo più andare in apnea. Abbiamo bisogno di un'attrezzatura adeguata, la vita è pericolosa a queste profondità. La nostra attrezzatura si chiama Tor. Tor è un sistema di anonimizzazione, il più famoso, in grado di far rimbalzare la nostra connessione su svariati nodi, facendone perdere le tracce. Ad oggi, pare che quasi metà della rete Tor sia stata compromessa dall'NSA, ma non vi è certezza. Rimane, comunque, un metodo rapido e veloce per diventare anonimi.


Da questo momento in poi, i motori di ricerca convenzionali non riescono più a catalogare nulla e chi si trova qui, del resto, non vuole essere catalogato, se non da motori di ricerca specialistici. Per cercare qualcosa, bisogna andare su Grams (il nome, letteralmente "grammi", la dice lunga sulla tipologia di richiesta in cui il motore di ricerca è specializzato),  Torch e motori "particolari", in cui si entra solo se il proprietario del sito lo ha voluto. Motori, tra l'altro, che hanno politiche molto diverse sulla raccolta delle informazioni degli utenti. Qui ognuno tende a farsi i fatti suoi.

Da qui in poi, inoltre, il web diventa scarno, le immagini rarefatte. Sembra di essere tornati indietro di un decennio. C'è un motivo: l'anonimato comporta una serie di rimbalzi che abbassano di molto la banda a disposizione. Se un'immagine non serve, non va messa. Qui non si punta all'estetica, ma alla sostanza.

Ovviamente, da qui in poi, scordatevi tutti i vincoli legali che ha il web tradizionale. Sito collegato alla persona fisica o giuridica, leggi che regolamentano il commercio online, tracciabilità finanziaria.. roba da farsi una risata. Da questo momento in poi inizia il far west. Non esistono regole. E per fare questo serve una moneta libera da vincoli: il bitcoin. Ma questa è un'altra storia...


Con il nostro sommergibile siamo arrivati a 2000 mt. Nessuno sa nulla di nessuno, qui puoi accedere a quanto più viscido possa produrre la razza umana. Se ci sei arrivato "in chiaro", sei un pazzo e stai rischiando grosso, e seriamente. Non come aver venduto l'iPad guasto per funzionante ad un tipo su Subito.it, qui la faccenda si fa seria.

Se sei qui, allora teoricamente parrebbe tu possa:
  • accedere a pornografia illegale
  • comprare e vendere armi
  • comprare e vendere droga o farmaci
  • assoldare un killer (pare che i prezzi si aggirino intorno ai 12.000 dollari in america e 10.000 euro in europa, previa approvazione)
  • vendere e comprare botnet, computer e server compromessi
  • vendere e comprare qualsiasi cosa normalmente non vendibile
  • accedere a materiale normalmente censurato (vivisezioni, cadaveri, documenti riservati, c'è di tutto)
  • acquistare carte di credito clonate
  • acquistare moneta e titoli falsificati
  • accedere a forum decisamente illegali e di organizzazione di attività criminose
Intendiamoci, qui tutto è ofuscato, opaco. Nessuno vi saprà dire quanto sia vero o falso. Nessuno può garantire che il vostro acquisto venga poi onorato. Avvalersi del diritto di recesso sembra essere alquanto difficile a queste profondità.


Se vuoi qualcosa, devi conoscere i siti giusti, probabilmente devono averteli comunicati le persone giuste e comunque rassegnati, qui tutto cambia in fretta. Un sito oggi raggiungibile ad un indirizzo (scordatevi i link comodi, questi sono perlopiù stringhe di caratteri), domani non lo può essere più.




Scendendo tra i 2000 ed i 3000mt i server utilizzeranno la rete onion per rendere anonimi e non tracciabili i loro servizi. I link in genere terminano per .onion. In questa fascia non ci capiti per caso e le informazioni non le trovi attraverso un motore di ricerca. Sostanzialmente nulla è legale qui.


Conclusioni

C'è poco da dire, il web è sterminato. E' una città. E come ogni città, ha dei vicoli bui che è meglio non percorrere. Dei vicoli dove sai bene prima di entrarci che potresti uscirci molto male.
E' uno dei motivi per cui, volontariamente, questo articolo vuole avere esclusivamente carattere informativo, non tecnico. Parla in maniera superficiale e banale di un argomento invece estremamente vasto. E se mi permetti un cosiglio (considerando il titolo di questo articolo probabilmente non hai dimestichezza con il deep web, altrimenti non l'avresti letto), se puoi, evita di giocare con il fuoco. Perchè ci si può anche bruciare. C'è chi paragona uno sprovveduto che naviga nel deep web ad un turista con un vistoso Rolex al polso mentre gira per vicoli malfamati.

Pubblicato da
Etichette: ,

mercoledì 8 aprile 2015

Utilizzo di un Antivirus in un contesto aziendale

Differenze

L'utilizzo di un antivirus in un contesto aziendale differisce di molto rispetto ad un uso esclusivamente domestico. Salvo rare eccezioni, difatti, gli antivirus free non sono consentiti ad uso commerciale. Quindi utilizzare un antivirus free su una macchina aziendale equivale a non avere affatto la licenza, esponendoci ad una violazione della stessa. Gli antivirus free, inoltre, solitamente non possono essere installati sui server. Non che questo serva sempre (anzi), ma comunque è un aspetto da tenere in considerazione.

Quali caratteristiche deve possedere un antivirus aziendale?
  • Innanzitutto deve disporre di una console centralizzata in grado di monitorare i dispositivi connessi.
  • In secondo luogo, è opportuno che un server centrale distribuisca gli aggiornamenti ai client, evitando quindi che le stesse definizioni vengano scaricate decine, a volte centinaia, di volte generando del traffico superfluo.

Diamo uno sguardo

Intendiamoci, lungi da me esprimere delle opinioni sull'affidabilità o sulla bontà dei vari motori antivirus. Lo scopo di questo articolo non è definire chi sia il migliore, ma dare uno sguardo agli strumenti in grado di gestire più macchine contemporaneamente.
Personalmente ritengo che sia estremamente difficile stabilire una classifica dell'efficacia di un antivirus, per vari motivi. Primo: la situazione è estremamente variabile ed una considerazione fatta oggi può già non valere più tra una settimana. Secondo: semplicemente alcuni antivirus rilevano dei virus che altri non rilevano, e viceversa. E ritengo che la situazione sia tutto sommato estremamente equilibrata. Manca, sostanzialmente, un parametro di valutazione. Anche il numero di signature è irrilevante, perchè un numero inferiore può anche corrispondere ad una maggiore capacità di rilevare un virus trovando la sua "radice" (molti virus sono piccole modifiche di virus già esistenti).


Premessa:
Ho avuto modo di lavorare con le console elencate di seguito, non ho citato altri antivirus semplicemente perchè non li ho utilizzati in scenari professionali oppure li utilizzo da troppo poco tempo per trarne delle, seppur banali, conclusioni. 
Non disponendo di sfere di cristallo in grado di prevedere il futuro successivo alla stesura di questo articolo, vi consiglio sempre, in caso di prodotti gratuiti, di rileggere le condizioni contrattuali degli stessi.


AVG Business

Un ottimo prodotto, semplice da installare e semplice da distribuire. La console è intuitiva e l'antivirus snello, completo e soprattutto molto automatizzato.

- Ha una console centralizzata di gestione
- Distribuisce gli aggiornamenti ai client
- Gestisce device MAC e Windows




Sophos EndPoint Protection

Sophos è un prodotto di fascia enterprise. Molto complesso da installare e difficile da distribuire se si hanno sedi remote non connesse in VPN (è necessario creare un server di distribuzione, e l'operazione non è proprio immediata). Ha funzionalità estese e, nella sua licenza EndPoint, è in grado di effettuare operazioni particolarmente utili (content filtering, blocco dei supporti di memorizzazione USB e masterizzatori, crittografia del disco, etc..).

- Ha una console centralizzata di gestione
- Distribuisce gli aggiornamenti ai client
- In licenza EndPoint consente una serie di funzioni aggiuntive
- Gestisce device MAC e Windows

In un caso mi è capitato di segnalare un virus non rilevato (e ignoto a tutti gli antivirus, a detta di VirusTotal https://www.virustotal.com/it/ ). Ci hanno lavorato di notte (la sede è Americana) ed il giorno dopo era l'unico antivirus in grado di bloccare la minaccia. Del resto è l'antivirus utilizzato da quasi ogni istituto governativo USA.

Degno di nota è il supporto Italiano, competente ed immediatamente disponibile.




Avast! Business

Avast ha di recente cambiato la sua politica commerciale ed è, ad oggi, uno dei pochissimi antivirus free ad uso aziendale. Le funzioni sono certamente limitate (salvo passare alla versione premium) ma indubbiamente si tratta di una soluzione "low cost" (anzi, zero cost) perfettamente in regola.

- Ha una console centralizzata di gestione, via web (quindi semplicissima da gestire e non richiede installazione lato server, tuttavia la comunicazione con i client non è immediata)
- NON distribuisce gli aggiornamenti, i client continuano ad aggiornarsi autonomamente
- La versione Premium ha funzionalità estremamente interessanti (tra cui la crittografia in caso di hotspot pubblico, etc..)
- Gestisce device MAC e Windows

A breve rilasceranno la versione mobile, completando la soluzione già di per se interessante.


https://www.avast.com/avast-for-business



Altri Antivirus

Immunet

Immunet è una soluzione standalone, non dispone di console centralizzata e di distribuzione degli aggiornamenti. Ha tuttavia un vantaggio interessante, ovvero la possibilità di essere installato come "second line of defense" (volendo parafrasare un termine tipico della sicurezza perimetrale). Non interferisce con gli antivirus già installati. Dispone, inoltre, di una vivace e collaborativa community.


ClamAV

Se le vostre email transitano da un server Linux, avete una ragionevole probabilità che le stesse siano passate da questo antivirus. E' sostanzialmente un must per i mailserver (vuoi perchè gratuito, vuoi perchè veloce, vuoi perchè molto seguito), ed esiste un porting anche per altri sistemi operativi. Non ha centralizzazione con console e distribuzione degli aggiornamenti (salvo non implementarla autonomamente) ma consente l'adozione di database extra spesso estremamente efficaci.




Conclusioni

Personalmente ritengo le tre alternative valide, pur coprendo segmenti ed esigenze diverse.

Di sicuro, se avete antivirus scaduti o free (ad uso esclusivamente domestico), passate alla versione gratuita di Avast Business. Almeno sarete in regola ed avrete un antivirus aggiornato. Le soluzioni standalone sono valide, ma potrebbero essere scomode da gestire con un numero di postazioni e server superiore ad una decina.


Pubblicato da
Etichette: ,
Iscriviti a: Post (Atom)