[Pluto-security] SecuITy@uniROMA1

[Giacomo Magnini]

Allora, come qualcuno mi ha chiesto, vi inoltro la relazione sulla 
conferenza circa la sicurezza tenutosi
presso il Dipartimento di Scienze dell'Informazione dell'Università La 
Sapienza di Roma il giorno 6 marzo.
La platea era molto eterogenea (professori, ricercatori, studenti, 
delegati di aziende, liberi professionisti,
alcune facce note del linuxday), e stimabile ben oltre le 200 persone 
attese e registrate per l'evento.
Mi sono sembrati tutti molto interessati ed in gran parte anche 
competenti in materia: credo che le
aspettative non siano andate deluse (IMHO).
Cerchero' di darvi qualche dettaglio tecnico in piu' quando possibile, 
ma perdonatemi se su alcuni
argomenti non potro' essere piu' specifico poiche' sono stato molto 
coinvolto dall'organizzazione e
non sono potuto essere presente a tutti gli interventi (ne' tantomeno a 
tutte le sessioni pratiche).
Entro qualche giorno dovreste trovare tutta la documentazione degli 
interventi sul sito ( http://www.dsi.uniroma1.it/SecuITy@uniROMA1 ), per 
cui perdonate la scarsita' di dettagli in questa sede!

Il primo intervento del Prof. Danilo Bruschi del Comitato Tecnico Nazionale
per la Sicurezza Informatica e delle Telecomuncazioni nella Pubblica
Amministrazione, rivisita in modo critico il fenomeno sicurezza in Internet
e più precisamente evidenzia il modo con cui la sicurezza viene concepita e
realizzata. Si sofferma sull'analisi dei più recenti sviluppi delle
tecnologie e delle tecniche di intrusione per cogliere indicazioni sulle
attività di ricerca da intraprendere.
(ndGM: un bellissimo intervento, dove si e' fatta la storia degli attacchi in rete,
partendo dal worm SUN fino al recente Slammer, e che indica le strade che si vogliono
percorrere per il futuro).

Successivamente il Dott Pierluigi Rotondo del laboratorio IBM di Roma,
discute una metodologia per valutare il grado di sicurezza di una rete
aziendale attraverso l'esecuzione di test di vulnerabilita'. Questo e' un
rilevante aspetto della sicurezza aziendale che paradossalmente si avvale
delle tecniche sviluppate dagli stessi hacker.
(ndGM: purtroppo non ho potuto seguire questo intervento che forse era il piu' interessante, aspetto una sessione privata da parte del dott. Rotondo! :) )

Il Dott. Libero Marconi di Verisign - Trust Italia espone il punto di vista
sui livelli di sicurezza fisica, logica ed organizzativa di una azienda per
garantire una assoluta fiducia alle transazioni commerciali su Internet.
(ndGM: in verita' l'intervento tendeva a dimostrare come viene messa in pratica e garantita all'interno della stessa Verisign la sicurezza . In breve per generare una chiave di certificazione servono circa 20 persone e l'apertura di 5 cassette di sicurezza di una cassaforte per ottenere i "pezzi" sufficienti!)

Il Dott. Marco Strano, Vice Questore Aggiunto della Polizia Postale e
Telematica, analizza gli aspetti psicologici ed investigativi delle
principali fattispecie criminose che hanno come oggetto la rete Internet.
Gli aspetti psicologici della figura dell'hacker sono intriganti e sollevano
interessanti questioni legate alla difficoltà dei soggetti nell'identificare
il limite che separa la realtà dal virtuale.
(ndGM: un buon intervento, ma le radici "psicologiche" del relatore erano un po' pesanti... Prima che polizziotto, il dott. Strano e' psicologo. Al di fuori del convegno abbiamo parlato di molte problematiche e mi sono ricreduto parecchio sulle capacita' della Polizia Postale [o come cavolo si chiama], che non si occupa solo di pedofilia, ma anche di truffe con bancomat/carte di credito/carte telefoniche, terrorismo nostrano e non, e anche di truffe legate alla sicurezza)

L'intervento dell'Avv. Andrea Monti illustra la sicurezza informatica in
riferimento al panorama giuridico vigente. L'assetto normativo della
sicurezza informatica e' tutto da scrivere se si confronta con quello che
accade nella realta' delle aziende e dei tribunali.
(ndGM: l'avv. Monti ha colto l'occasione per polemizzare un po' con la Polizia :), ma ha chiaramente indicato come la legge italiana, già lacunosa per i reati legati all'informatica, abbia anche il grave difetto di dover essere interpretata: anche in presenza di una buona legislazione, e' purtroppo tutto in mano ai giudici che quella legge devono interpretare, creando dei precedenti)

Nel pomeriggio ci sono alcune dimostrazioni pratiche di sistemi per la
difesa dalle intrusioni. Vengono presentati prodotti commerciali delle
aziende IBM e Verisign - Trust Italia ed anche sistemi sviluppati in ambito
di ricerca. Ad esempio, il sistema REMUS, sviluppato dal gruppo di ricerca
del Prof L.V. Mancini rappresenta l'ultima linea di difesa contro le
intrusioni. REMUS e' frutto di uno sforzo di ricerca pluriennale nel settore
ed il contenuto innovativo del progetto e' stato riconosciuto dalla
comunita' scientifica internazionale.
(ndGM: Verisign ha dimostrato quanto sia facile l'uso delle smart card per la firma digitale normale e/o a norma di legge, ed il dott. Marconi ha suscitato i mormorii del pubblico confondendo JavaScript e JVM, oltre a magnificare l'integrazione con Windows)
(ndGM: l'IBM, anzi Tivoli Systems,  ha presentato la soluzione Risk Management System versione 6 che si poggia su una pletora di sistemi diversi e disomogenei, specie di altri produttori)
(ndGM: REMUS l'ho presentato io, e le righe piu' sopra le ha scritte il mio Prof di tesi, quindi lascio a voi giudicare... :P )

Infine, alcuni membri del Linux User Group di Roma illustrano le tecniche di
intrusione digitale piu' comuni.
(ndGM: Andrea Bodei ha mostrato come e' semplice fare defacement usando versioni bacate di openSSL [tutte quelle precedenti alla 0.9.7b mi pare...] o sfruttando le estensioni FrontPage [tutto mostrato sotto VMWare! :) ]. Dopo e' passato a prendere il controllo di una Sun 7 messa a disposizione dal CNR di Roma tramite telnet senza l'ausilio di NESSUN programmino, solo usando 65 caratteri 'c'! :) )
(ndGM: il dott. Parisi ha mostrato come e' semplice sostituire il file delle password sfruttando i symlink ed ha mostrato alla folla su come sfruttare semplici strumenti [nmap e compagnia] per ottenere dati sufficienti per entrare su molti sistemi: ovviamente ha avvisato l'illegalita' del fatto e spiegato come evitare in parte certi problemi)

Saluti, Giacomo.

PS. Se qualcuno vuole dare un occhio a REMUS, il link giusto e' : ftp://ftp.iac.rm.cnr.it/pub/REMUS/


Commenti, flame e contributi sono ben accetti! :)))