La sicurezza ha il suo fondamento nella fiducia, ma la fiducia e il controllo sulla fonte della fiducia vanno di pari passo. Cosa accade, infatti, quando una carenza nel controllo delle tecnologie sulle quali fondiamo la nostra fiducia comporta che non puoi più fidarti?

Prendiamo in esame, ad esempio, l’affidamento che facciamo su certificati digitali, chiavi crittografiche e le varie tecnologie correlate, che una volta erano considerate come intrinsecamente affidabili: diversi casi hanno ormai evidenziato la facilità con la quale dei malintenzionati possono usurparne il controllo e ci hanno messo di fronte alla cruda realtà, ovvero che le chiavi crittografiche possono essere sottratte e i certificati digitali falsificati. Consideriamo, quindi, l’abbondanza di attacchi avvenuti negli ultimi due anni, fino al più recente in cui criminali hanno emesso certificati digitali non autorizzati ma, di fatto, assolutamente legittimi a nome nientemeno che di Google, mediante la compromissione di una Certification Authority (CA) in Turchia. Altre CA e relativi certificati digitali sono stati compromessi negli Stati Uniti e in Europa con modalità analoghe.

Ciò nonostante, chiavi crittografiche e certificati digitali restano comunque un’eccellente soluzione per la protezione dei dati e la messa in sicurezza dei sistemi, infatti il vero problema sta nella loro gestione o, più precisamente, nelle relative carenze.

La gente ha ceduto la responsabilità di salvaguardare la fiducia a processi automatici, attraverso i quali milioni di sistemi si fidano automaticamente di determinati certificati e chiavi crittografiche, in quanto emessi da CA accreditate e riconosciute. Certificati e chiavi sono coinvolti nei processi di archiviazione, trasferimento e cifratura dei dati, nei meccanismi di colloquio fra server applicativi e database, nelle connessioni wireless fra dispositivi mobili e reti aziendali, nonché nelle interazioni con e fra i posti di lavoro.

L’operatività di aziende ed enti governativi dipende da pochi kilobyte di cifratura e la crittografia è un meccanismo piuttosto solido, ma i problemi sperimentati recentemente da servizi di cloud computing come Azure e le nuove minacce del settore hanno drammaticamente evidenziato i problemi legati alla gestione di certificati e chiavi crittografiche.

Basti considerare quanto e come viene influenzata la sicurezza dell’azienda in caso di compromissione di una CA.

Se si usano certificati falsificati o compromessi, non diventa di conseguenza sospetta tutta l’intera infrastruttura di sicurezza? Ancora più importante, con quale rapidità è possibile trovare una soluzione al problema, assumendo che si sia in grado di rilevarlo? I sistemi sono in grado di comprendere automaticamente che non possono fidarsi dei certificati compromessi? E sono in grado di ottenere automaticamente dei certificati legittimi per sostituire quelli firmati da una CA illegittima?

La risposta è no, queste operazioni richiedono l’intervento della struttura IT. Ma, generalmente, il tipico manager IT è forse a conoscenza del fatto che i certificati digitali emessi dalla tale CA non sono più affidabili? Saprebbe egli individuare quali certificati e quali sistemi potrebbero essere affetti dalla compromissione? Si, ma solo se, oltre ad apprendere dell’avvenuta compromissione (fatto di per sé tutt’altro che scontato), egli conosce perfettamente tutti i sistemi e i meccanismi aziendali coinvolti nei processi di crittografia, una conoscenza che richiede precise tecniche di monitoraggio e gestione per essere sviluppata, e non la semplice fiducia nella sola tecnologia crittografica.

Di conseguenza, una carenza di consapevolezza che si estenda dai meccanismi di trust fino ai manager IT è assolutamente in grado di minacciare l’azienda, sottoponendola ad un rischio rilevante di arresto o compromissione dell’operatività di business. Il governo olandese e migliaia di aziende in Europa hanno dovuto subire una vera e propria crisi a fronte della compromissione della CA DigiNotar avvenuta nel 2011. DigiNotar, in particolare, ha dovuto successivamente dichiarare in bancarotta. Sono quindi diverse le evidenze che dimostrano come certificati digitali e chiavi crittografiche non correttamente gestiti rappresentano un serio rischio di sicurezza, un vero e proprio incubo per l’operatività di business, nonché un’incombente minaccia di mancata conformità per quasi tutte le aziende e gli enti governativi.

È importante notare come la perdita di fiducia non vada attribuita esclusivamente all’attività di scellerati criminali che si traducono nella compromissione dei sistemi. McAfee, ad esempio, ha recentemente revocato per errore un certificato digitale, provocando automaticamente una compromissione della fiducia, poiché gli utenti di dispositivi Mac non erano più in grado di accertarsi se un’applicazione fosse affidabile o meno. In questo caso, la fiducia è stata compromessa in seguito ad un semplice errore umano.

Allora, com’è possibile proteggersi da compromissioni di fiducia in un mondo nel quale la fiducia viene imposta elettronicamente ed è tutto tranne che affidabile? È assolutamente necessario gestire la fiducia e, per giungere ad una corretta gestione, è altrettanto necessario iniziare con il comprendere come la fiducia viene delegata, assegnata e amministrata. I professionisti IT devono dapprima identificare dove e come sono archiviati i certificati e le chiavi crittografiche, chi se ne occupa, e come sono correttamente gestiti. Le risposte a questi quesiti consentono di determinare se la fiducia basata su chiavi e certificati è effettivamente una responsabilità per l’azienda oppure se sono gestiti in maniera ben ponderata.

Il NIST (National Institute of Standards and Technology) ha pubblicato delle linee guida (NIST SP 800-57 – Recommendation for Key Management, parts 1 & 2) per raccomandare che tutte le aziende effettuino il censimento di ciascun certificato in uso e siano preparate a rispondere alla pressoché inevitabile eventualità che una o più CA vengano compromesse in futuro. Se anche i criminali non creano danni a certificati e chiavi, sicuramente lo fanno gli errori e l’ignoranza. Ad esempio, migliaia di aziende ed enti governativi hanno già dovuto fronteggiare le difficoltà che derivano dal mancato aggiornamento di inventari, scadenze e politiche inerenti i certificati digitali. Un semplice foglio di calcolo poteva essere sufficiente tempo fa, quando gli amministratori dovevano censire solo una manciata di certificati digitali, ma oggi l’elenco è certamente cresciuto e comprende migliaia di chiavi, certificati e dispositivi crittografici. Gli amministratori che gestiscono i certificati sono poco consapevoli del fatto che questi prima o poi scadono e, quando un certificato scade, i sistemi smettono di funzionare. Per moltissime aziende, un arresto non programmato ed improvviso dei sistemi può essere estremamente dannoso per il business e costoso in termini di tempo e risorse.

La situazione è ancora più critica perché certificati e chiavi crittografiche sono sempre più diffusi, grazie anche al cloud computing. La società di ricerca Forrester prevede che la spesa per il cloud pubblico per il 2014 supererà i 75 miliardi di dollari a livello globale, ciò significa che una grande quantità di dati aziendali attraverserà il cloud e farà affidamento sui sistemi di sicurezza per la protezione. Se ci aggiungiamo il crescente tasso di adozione di dispositivi personali (i cosiddetti BYOD) e mobili in genere, un fenomeno che causa alle aziende la crescente impossibilità di amministrare e controllare i dispositivi utilizzati per accedere ai dati sensibili e critici, garantire adeguati livelli di sicurezza diventa sempre più complicato.

Le autorità preposte al controllo e alla regolamentazione del settore stanno recuperando terreno rispetto a questa carenza di controllo e stanno cominciando a pubblicare linee guida sul tema. Ad esempio, l’Information Commissioner’s Office (ICO) del Regno Unito nel suo testo “Guidance on the use of cloud computing” ha dichiarato che un solido e robusto processo di key management è assolutamente necessario per garantire il rispetto delle norme sulla privacy e la conformità con l’UK Data Protection Act. In caso di violazione dei dati, le autorità di regolamentazione sulla protezione dei dati si aspettano che le aziende siano in grado di dimostrare di avere il controllo su chiavi crittografiche e certificati digitali, compreso il monitoraggio degli accessi per fini di audit e la separazione dei ruoli. E in merito alle chiavi utilizzate per scopi che vanno dall’autenticazione SSH alla cloud encryption, gli ispettori pongono domande particolarmente toste e fanno fallire diversi audit.

Chiavi crittografiche e certificati digitali sono l’unico elemento comune di fiducia che collega ogni azienda al cloud computing e ai dispositivi mobili: guadagnando il completo controllo di chiavi e certificati aziendali sarà possibile riottenere il controllo sulla sicurezza. Sarà necessario adottare politiche di buon senso per portare finalmente ordine fra le tecnologie e le persone coinvolte nell’amministrazione di chiavi e certificati. Una volta che si sono identificate con certezza le tecnologie, le persone e le politiche, sarà possibile automatizzare i processi di gestione di chiavi e certificati, riprendendo finalmente il controllo degli elementi critici rappresentati da fiducia, privacy e continuità del business.

Fonte: Keeping Trust Under Control Is the Key to IT Security – Security Week

Ettore Guarnaccia