Articoli di approfondimento - Lotta contro la criminalità informatica per un futuro più sicuro
In qualunque momento, circa 150.000 virus e altri tipi di codici nocivi circolano in internet, infettando i computer di oltre un milione di persone al giorno. Gli sviluppatori di software anti-virus McAfee contano 75 milioni di pezzi unici di codice malware nocivo e secondo le loro stime le botnet che emettono spam rappresentano un terzo di tutte le email inviate ogni giorno. Mentre un privato potrebbe trovarsi a pagare un centinaio di euro per far ripulire il proprio computer o recuperare i dati perduti a causa di un virus, globalmente l'impatto finanziario sui cittadini, le aziende e gli stati è enorme: una stima fatta da McAfee calcola che il costo mondiale della criminalità informatica raggiunge 1 trilione di dollari USA ogni anno in perdita di tempo, perdita di opportunità di affari e per le spese di risoluzione di problemi. Data la sempre crescente dipendenza da internet per le aziende e le comunicazioni, la criminalità informatica è un problema globale sempre più importante che nessuna azienda o paese può affrontare da solo. Pertanto, in Europa una serie di organizzazioni - dalla Commissione europea e i governi nazionali, alle PMI e le università - sta mettendo insieme le proprie risorse e quelle di altre organizzazioni di tutto il mondo per sviluppare strategie, politiche e tecnologie per combattere questa piaga. La Commissione europea intende pubblicare "Una strategia europea per la sicurezza informatica", che si concentra sulla preparazione, la prevenzione e la reazione, nel prossimo futuro, ed è stata costituita una Squadra di pronto intervento informatico (CERT-EU). Allo stesso tempo, sono stati stanziati finanziamenti dell'UE per una serie di progetti pan-europei che mirano a migliorare la sicurezza informatica. Negli ultimi due anni la Commissione europea ha contribuito con 2,5 milioni di euro alla creazione di Syssec (1), una "Rete di eccellenza" europea costruita sul concetto secondo il quale prevenire è meglio che curare. La rete di eccellenza si occupa di sviluppare soluzioni per prevedere le minacce e le vulnerabilità prima che accadano, permettendo alle potenziali vittime di attacchi intormatici di costruire le loro difese prima che la minaccia si materializzi. Il progetto ha istituito un "Centro di eccellenza virtuale" per consolidare la comunità di ricerca sulla sicurezza dei sistemi in Europa e permettere la ricerca collaborativa e sta lavorando su un piano d'azione di ricerca e una serie di iniziative di formazione sulla sicurezza informatica. La "Rete di eccellenza" SysSec ha adottato un metodo diverso per la sicurezza informatica: invece di cercare di scovare gli aggressori ad attacco compiuto, SysSec studia le minacce e le vulnerabilità emergenti prima che l'attacco avvenga. Gli obiettivi principali della rete sono di stabilire un piano d'azione per affrontare le minacce e costruire un'infrastruttura che migliori la formazione sulla sicurezza dei sistemi - per fornire le competenze necessarie per contrastare queste minacce," osservano in un articolo sul progetto Evangelos Markatos, coordinatore del progetto, e Herbert Bos, un ricercatore di Syssec. Sicurezza sin dalla progettazione Mentre Syssec ha assunto un approccio globale per prevedere le minacce, un'altra rete di eccellenza finanziata dall'UE, Nessos (2), si occupa di promuovere la progettazione e lo sviluppo di software e sistemi sicuri per l'"Internet del futuro". Lo scopo è assicurare che ingegneri e sviluppatori si occupino di sicurezza nelle primissime fasi dell'analisi e della progettazione dei sistemi; il team si sta occupando di sei campi fondamentali: requisiti di sicurezza per i servizi dell'Internet del futuro, creare architetture di servizio sicure e una progettazione di servizi sicura, supportare gli ambienti di programmazione per servizi sicuri e componibili, permettere una certezza di sicurezza, stabilire un ciclo di sviluppo del software consapevole del rischio e dei costi e fornire casi di studio per futuri scenari di applicazione di internet. L'approccio sicurezza sin dalla progettazione è forse esemplificato meglio da un altro progetto. I ricercatori del progetto SecureChange provenienti da nove paesi europei hanno sviluppato la metodologia, le tecniche e gli strumenti per rendere tutto il ciclo di vita del software - dall'ingegneria dei requisiti, attraverso la progettazione, lo sviluppo, il collaudo e la verifica, fino all'istallazione e l'aggiornamento - più efficiente, più flessibile, più sicuro e molto meno costoso in termini di tempo e denaro. Il coordinatore di SecureChange, Fabio Massacci, descrive così il problema: "Avete un software sicuro, per esempio. Lo inviate al cliente e poi dovete aggiornarlo, magari per aggiungere nuove funzioni in modo da stare al passo con la concorrenza. Se ogni volta dovete cominciare da capo e verificare tutto il codice - anche se avete cambiato solo una piccola parte - vi trovate di fronte considerevoli costi in termini di tempo e di denaro." Ad esempio, un'analisi condotta dal team di SecureChange, che ha coperto cinque anni e sei aggiornamenti di versione del browser open source Firefox, ha constatato che solo circa un terzo del codice del software cambiava da una versione alla successiva. Inoltre, un numero significativo di vulnerabilità erano ereditate da ogni nuova versione dalla precedente, un fenomeno comune anche ad altri browser come Chrome e IE. Il bisogno di aggiornamenti veloci significa che c'è meno tempo di fare test e verifiche. L'approccio di SecureChange rende possibile testare solo le parti nuove e mantenere la sicurezza e l'integrità dell'intero sistema. Guardando verso l'Internet del futuro - nel quale gli utenti passeranno dai servizi statici di oggi a componenti e servizi coordinabili a seconda della disponibilità, della qualità e del prezzo - il progetto Aniketos (4) si sta occupando di portare sicurezza e affidabilità a questo ambiente eterogeneo. In un mondo del genere, le applicazioni saranno probabilmente composte da servizi multipli per molti diversi provider e gli utenti finali non avranno molti modi di assicurarsi che un particolare servizio o il fornitore del servizio offrano realmente il livello di sicurezza che dicono. Il team di Aniketos, che comprende grandi operatori industriali e istituti di ricerca, sta quindi sviluppando una nuova tecnologia, nuovi strumenti e servizi di ricerca per supportare la creazione del tempo di progettazione e il comportamento dinamico del tempo di esecuzione di servizi compositi sicuri, nonché metodi per analizzare, risolvere e condividere informazioni su come i pericoli e le vulnerabilità possono essere mitigati. Verso l'internet delle cose sicure Anche se per lo più la sicurezza informatica si è occupata finora di difendere i sistemi di calcolo, i software e i dispositivi tradizionali, come PC, server e database, il rapido sviluppo di nuove tecnologie come il calcolo integrato, l'"internet delle cose" (Internet of things o IoT) fatti di sensori e attuatori onnipresenti e mezzi di cloud computing comporta che anche l'approccio alla sicurezza informatica deve evolversi. Il "Trusted Computing", per esempio, è una tecnologia ben collaudata che usa software e hardware per verificare e implementare l'integrità e la sicurezza dei personal computer e adesso sta passando ai sistemi embedded. A differenza di un tradizionale PC o laptop, i sistemi embedded sono sistemi informatici progettati per lavorare nascosti (incorporati) all'interno delle apparecchiature e dei dispositivi di tutti i giorni. Trasmettono dati tra il telefono cellulare e la rete mobile, gestiscono la connessione Internet a casa e impediscono gli attacchi di rete, controllano i semafori sulla strada: si trovano negli aerei, nelle automobili e perfino nelle centrali elettriche. Dal momento che i sistemi embedded sono sempre più utilizzati in dispositivi che rimangono sempre accesi e sono sempre connessi a Internet, stanno diventando sempre più vulnerabili agli attacchi da parte degli hacker, da virus e da altri malware. Il progetto TECOM (5) ha contribuito a portare il Trusted Computing ai sistemi embedded, adattando la tecnologia originariamente sviluppata per i PC a funzionare su tutto, dagli smart phone ai contatori elettrici intelligenti. "La gamma di applicazioni per il TC nei sistemi embedded è enorme. In TECOM abbiamo costruito il quadro tecnologico che rende possibile l'implementazione di questa tecnologia e abbiamo mostrato come può funzionare," dice Klaus-Michael Koch, la cui azienda ha supervisionato il progetto TECOM. "Nei prossimi anni inizieremo a vederlo utilizzato in molti ambienti differenti." L'IoT va di pari passo con il cloud computing nel quale i dati sono distribuiti e istantaneamente accessibili ovunque e in qualunque momento. L'infrastruttura cloud quindi ha anche bisogno di essere sicura e affidabile proprio come le applicazioni e i servizi che vi funzionano sopra. Con lo scopo di costruire cloud affidabili, il progetto Tclouds (6) si sta occupando di raggiungere sicurezza, privacy ed elasticità in un modo che sia efficiente dal punto di vista dei costi, semplice e scalabile e che assicuri la continua espansione dell'infrastruttura cloud, delle risorse e dei servizi per molti anni a venire. Soluzione criptica Quando si tratta di rendere sicuri i dati, che siano nel cloud o sul proprio server di rete, la crittografia è la cosa più importante – ogni volta che si usa una carta di credito, si accede al proprio conto bancario online o si manda un email sicura, dietro le quinte ci sono gli algoritmi criptografici. Man mano però che i computer diventano più potenti, la velocità della rete aumenta e la conservazione dei dati cresce, i metodi attuali per proteggere le informazioni sono messi alla prova. Il progetto Ecrypt e il suo successore Ecrypt-II (7) si sono occupati di queste sfide. Una rete di eccellenza ha riunito 32 importanti istituti di ricerca, università e aziende, l'iniziativa ha sviluppato algoritmi crittografici, cifre e funzioni hash, ha studiato protocolli e metodi di implementazione e ha lavorato su algoritmi più solidi per il watermarking digitale. Tra i più importanti risultati del team ci sono otto nuovi algoritmi con la capacità di superare AES, l'Advanced Encryption Standard sviluppato da due ricercatori belgi negli anni 1990 e in seguito adottato dal governo degli Stati Uniti per proteggere le informazioni riservate. "I crittografi devono affrontare tre grandi problemi," dice Bart Preneel, il coordinatore del progetto: "Costi, velocità e sicurezza a lungo termine." Lo stesso si potrebbe dire per la sicurezza informatica in generale, ma questi problemi e molti altri saranno risolti nei prossimi anni dalla ricerca europea, aiutando tutti gli utenti di computer a essere al meno un passo più avanti di hacker, trojan e virus che infestano il mondo online di oggi. --- I progetti presentati in questo articolo sono stati sostenuti dal Settimo programma quadro (7° PQ ) per la ricerca. (1) Syssec: A European Network of Excellence in Managing Threats and Vulnerabilities in the Future Internet: Europe for the World (2) Nessos: Network of Excellence on Engineering Secure Future Internet Software Services and Systems (3) SecureChange: Security engineering for lifelong evolvable systems (4) Aniketos: Secure and Trustworthy Composite Services (5) TECOM: Trusted embedded computing (6) Tclouds: Trustworthy Clouds? Privacy and Resilience for Internet-scale Critical Infrastructure (7) Ecrypt-II: European network of excellence in cryptology - Phase II Link dei progetti su CORDIS: - 7° PQ su CORDIS: - Syssec su CORDIS - Nessos su CORDIS - SecureChange su CORDIS - TECOM su CORDIS - Aniketos su CORDIS - Tclouds su CORDIS - Ecrypt-II su CORDIS Altri link: - Sito web dell'Agenda digitale della Commissione europea