On 07/05/2012 10:55 AM, Marcello 'R.D.O.' Magnifico wrote:
>> Sto cercando in giro per la rete, l'unico riferimento che ho trovato
>> è stato il decreto legislativo 196/03, allegato B, comma 16
>>
>> che:
>> - *non specifica* quale tipo di software debba essere installato
>
> Fa riferimento ad una protezione per i programmi citati al 615 quinquies
> c.p. Tale articolo utilizza una definizione generica di malware;
> categoria nella quale compaiono anche i virus.
Perdona, ma che ci azzecca il 615 cp con privacy e trattamento dei dati
personali?
> "1. Chiunque diffonde, comunica o consegna un programma informatico da
> lui stesso o da altri redatto, avente per scopo o per effetto il
> danneggiamento di un sistema informatico o telematico, dei dati o dei
> programmi in esso contenuti o ad esso pertinenti, ovvero
> l'interruzione, totale o parziale, o l'alterazione del suo
> funzionamento, e' punito [...]"
Il che, secondo quella che era l'interpretazione che andava per la
maggiore, stava a significare: "chiunque produca un malware o lo
diffonda intenzionalmente è punito ...".
Difatti tale articolo è stato modificato con la legge 18 marzo 2008, n.
48. in una forma che meglio esplicita il concetto e toglie l'ambiguità
che vi era insita nella precedente formulazione, in cui anche la
diffusione accidentale e involontaria poteva essere fatta rientrare nel
caso:
«Chiunque, allo scopo di danneggiare illecitamente un sistema
informatico o telematico, le informazioni, i dati o i programmi
in esso contenuti o ad esso pertinenti ovvero di favorire
l’interruzione, totale o parziale, o l’alterazione del suo
funzionamento, si procura, produce, riproduce, importa, diffonde,
comunica, consegna o, comunque, mette a disposizione di altri
apparecchiature, dispositivi o programmi informatici, è punito con
la reclusione fino a due anni e con la multa sino a euro 10.329.»
Da notare che in questa nuova formulazione vi sono comunque ambiguità;
se pubblico sul mio sito una copia di Metasploit e qualcuno dopo averlo
scaricato attacca un sito, sono perseguibile anch'io?
In ogni caso non si intuisce come l'antivirus si inserisca nel discorso
affrontato dal 615 quinques.
> Dovunque ho avuto a che fare con questa problematica, l'antivirus e'
> considerato misura minima di protezione, indipendentemente dallo scopo
> della macchina.
Rabbrividiamo... quindi se uno seguisse quest'assurda interpretazione un
antivirus andrebbe installato anche su un firewall, su un mainframe, su
un router, su una CA isolata da Internet, ... insomma secondo questa
visione dovremmo sostanzialmente inficiare la sicurezza di
un'infrastruttura (perché ovviamente installare un antivirus su una CA
fatta seriamente ne inficerebbe la sicurezza) oppure influire
negativamente sul funzionamento di un'apparato (p.es. un router basato
su openwrt che ha risorse limitate) perché qualcuno dice che l'antivirus
sia una misura si sicurezza minima.
Ritenere un antivirus una misura di sicurezza minima è come ritenere che
i dischi dei freni da 300mm (esatti) di diametro rappresentino una
misura di sicurezza minima per un veicolo. E' vero che per una vasta
categoria di veicoli sarebbe una misura indicata, ma se monti quei
dischi su un camion alla prima frenata vai dritto, se li monti su un
apecar sono più grandi del cerchione e toccano terra, se li monti su una
bicicletta pesano di più della bici stessa. Ogni veicolo ha le proprie
esigenze, e così ogni apparato ed ogni infrastruttura ha le proprie
esigenze in termini di sicurezza.
L'antivirus è indicato, e quindi considerabile "misura minima", per PC
desktop Windows o per server Windows tradizionali che erogano servizi di
file server, printer server web, ecc. E' indispensabile sul percorso
della posta elettronica, sul server MTA o su server di destinazione, è
altissimamente consigliato su eventuali proxy per la navigazione.
E' valutabile la sua installazione anche su desktop e server MacOSX e
Linux che erogano servizi o che sono usati dagli utenti per la
navigazione o comunque per comunicare con il mondo esterno, ma in questo
caso non è da considerare misura minima ma cautela aggiuntiva dato che
vi sono strumenti più indicati.
E' da valutare anche per terminali mobili come telefoni e tablet Android
o iPhone/iPad dove le minacce che possono essere intercettate da
software antivirus sono in continua crescita.
In (quasi) tutti gli altri casi l'antivirus è una misura di sicurezza
tendenzialmente inutile quando non addirittura dannosa.... rappresenta
una rete di protezione caduta massi installata in un deserto sabbioso.
Su un router o un firewall configurati correttamente l'antivirus non
serve a NULLA, occupa solo risorse senza lavorare, dal momento che virus
e malware non rappresentano una minaccia per quel tipo di macchine;
spesso addirittura usano architetture hardware per i quali non esistono
virus in the wild. E se la categoria di malware intercettata dagli
antivirus rappresentasse una minaccia per quei sistemi significherebbe
che sono state disattese le reali misure minime di sicurezza per quel
tipo di macchina, come p.es. la limitazione dell'accesso di management,
il blocco delle porte e dei dispositivi non utilizzati, l'impostazione
di un'autenticazione sicura, la sicurezza fisica dell'apparato, ecc.ecc.
Su un web server l'antivirus è sostanzialmente inutile; per esempio un
sistema di integrity check ben configurato può garantire di scoprire
eventuali intrusioni o minacce in tempo reale, laddove un antivirus
potrebbe necessitare di un giorno solo per l'aggiornamento delle firme e
nel frattempo potrebbe venir disattivato dal malware stesso diventando
un inutile orpello. Piuttosto potrebbe essere molto utile un NIDS,
magari anomaly based, un HIDS che analizzi i log, ecc.ecc.
Sulla CA isolata dal resto del mondo, connessa ad un'altra macchina
tramite un canale seriale usato solo per firmare i certificati, sono
totalmente inutili se non addirittura dannosi tutti i software
aggiuntivi non indispensabili e anche eventuali aggiornamenti che non
siano del mero demone di firma o del driver della seriale. Le esigenze
di sicurezza fisica in questo caso sono predominanti dato che è
l'architettura stessa a garantire il massimo possibile della sicurezza
"logica".
Quindi ritenere l'antivirus una misura di sicurezza minima per qualsiasi
macchina denota solo incompetenza nell'ambito della sicurezza informatica.
Affidarsi a persone incompetenti è il primo passo per inficiare la
sicurezza complessiva di tutta l'infrastruttura, perché faranno
focalizzare l'attenzione sulle cose inutili mentre trascureranno le cose
realmente importanti. L'antivirus DEVE esserci, il firewall DEVE
esserci, ecc.ecc. e poi si riscontra come una vastissima parte delle
infezioni affliggano macchine con antivirus e installate dietro a
firewall. Perché un antivirus da solo, dietro ad un firewall non
correttamente configurato e gestito non servono a NULLA se non ad
ingenerare un falso senso di sicurezza e ad arricchire un consulente
incompetente.
--
Flavio Visentin
GPG Key: http://www.zipman.it/gpgkey.asc
There are only 10 types of people in this world:
those who understand binary, and those who don't.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
