Sicurezza di server e applicazioni web
Data la larghissima diffusione del world wide web per l'offerta di servizi su Internet, non sorprende che server e applicazioni web siano uno degli obiettivi principali dei criminali informatici. D'altro canto, la complessità delle applicazioni web odierne, l'impreparazione degli sviluppatori di fronte a problematiche di sicurezza, i tempi di sviluppo sempre più stringenti, sono spesso causa di vulnerabilità che espongono i servizi web ad un ampio spettro di attacchi informatici, spesso eseguibili da remoto attraverso strumenti di comune uso, come, ad esempio, un normale browser. Alcuni degli attacchi più popolari sono ad esempio il Cross-Site Scripting, e l'SQL injection, che fanno leva su vulnerabilità (talvolta subdole) nella validazione/processamento degli input ricevuti dalla applicazione web. Ecco degli esempi di attacco reali su applicazione web Joomla:
Esistono naturalmente molte altre tipologie di attacchi contro sever e applicazioni web. Il principale meccanismo per proteggere server e applicazioni web è rappresentato dai cosiddetti web application firewall come modsecurity, che filtrano/bloccano il traffico web, rilevando dei pattern comuni tipici di attacchi noti.
Sfortunatamente, le applicazioni web possono essere estrememente diverse fra loro (diversi input, comportamento, output, interazione con altri sistemi). Ciò significa che per raggiungere un buon livello di sicurezza ogni applicazione web richiederebbe delle regole dedicate lato web application firewall, e questo, anche in funzione della complessità della applicazione stessa, è una operazione prona ad errori e dispendiosa in termini di tempo, anche per esperti di sicurezza informatica.
Il PRA Lab ha sviluppato SuStorID, uno strumento in grado di interagire con modsecurity per fornire una protezione avanzata contro attacchi web, con sforzo minimo. Il sistema, collezionando ed analizzando un campione del traffico in ingresso al server web, è in grado di modellare il traffico legittimo in maniera totalmente autonoma. Successivamente, è in grado di rilevare richieste web anomale che possono essere associate ad attacchi noti o "sconosciuti" contro i servizi web monitorati. Non solo: tramite il sistema è possibile stabilire delle regole di alto livello chiamate "Anomaly Templates", che in corrispondenza di una data anomalia possono stabilire delle azioni (tutte le azioni di modsecurity sono supportate) per la protezione automatica dei servizi web. Ultimo, ma non meno importante, esiste un dimostratore con licenza open source! La versione è scaricabile gratuitamente.
Sicurezza degli utenti Internet
Oggigiorno, gli utenti Internet devono scontrarsi contro una minaccia subdola ed estremamente pericolosa: le reti fast Flux. Tali reti sono delle vere e proprie botnet in grado di servire contenuti illeciti e ospitare siti web in maniera estremamente resistente ad attacchi da parte delle forze dell'ordine in ambito internazionale. In sostanza, ogni nodo di tali reti è un computer infetto (agente flux) raggiungibile tramite indirizzo IP pubblico, che fa da tramite per l'offerta di contenuti da parte di uno o più nodi centrali noti come mothership, anch'essi sotto il controllo di organizzazioni criminali. Tramite le reti fast flux vengono tipicamente allestiti siti web illegali che ospitano le tipologie più varie di truffe (es., attacchi phishing, scommesse on-line, farmacie on-line illegali).
Come mostra la figura precedente, un singolo nome di dominio può essere associato a migliaia di agenti flux sparsi per il mondo. Perciò rimuovere il malware da questi computer infetti non è praticamente possibile. Bloccare le connessioni verso tali in maniera generalizzata nodi è attualmente impossibile, perché richiederebbe (a) la rilevazione in real time di tali reti e (b) la collaborazione fra diversi ISP/gestori di rete su scala globale. Bloccare i domini fast flux è una soluzione insoddisfacente, perché centinaia di domini nuovi vengono registrati ogni giorno (es. attraverso l'utilizzo di carte di credito rubate).
Il PRA Lab e il GeorgiaTech hanno sviluppato Flux Buster, uno strumento di rilevazione di reti fast flux ad apprendimento automatico. Una caratteristica chiave è che le reti fast flux vengono rilevate tramite l'analisi di risposte DNS su larga scala (analisi di miliardi di messaggi DNS ogni giorno). Ciò permette di individuare le reti/domini fast flux indipendentemente dal modo in cui vengono pubblicizzati. Il sistema è in grado di individuare reti per lo più sconosciute a sistemi di protezione allo stato dell'arte quali ad esempio, Google Safebrowsing (sistema di protezione interrogato dai maggiori browsers come Firefox e Safari). Come conseguenza, l'output di Flux Buster può essere sfruttato per raggiungere un livello di sicurezza superiore a quello offerto dai browser/applicazioni utente allo stato dell'arte, o proteggere la rete gestita da un ISP tramite l'interazione a livello DNS con il sistema.
