CERT

I CERT (Computer Emergency Response Team) sono organizzazioni, gestite e finanziate generalmente da Università o Enti Governativi, incaricate di raccogliere e gestire le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software che provengono dalla comunità degli utenti.

Significato del nome

[modifica | modifica wikitesto]

L'acronimo inglese CERT sta per "Computer Emergency Response Team", ovvero squadra per la risposta ad emergenze informatiche.

Un'altra sigla usata per identificare questi gruppi era CSIRT (“Computer Security Incident Response Team”), ovvero squadre preposte a rispondere in caso di incidenti informatici.

CERT era in origine il nome del CSIRT istituito nel 1988 presso il SEI, l'Istituto di Ingegneria del Software della Carnegie Mellon University di Pittsburgh, Pennsylvania.

Nel tempo si è passati a generalizzare questa sigla, per mostrare come i CERT siano squadre chiamate a gestire qualunque tipo di emergenza informatica, non solo quelle legate agli incidenti.

Oggi l'acronimo viene inteso anche come "Computer Emergency Readiness Team", con l'intento di sottolineare l'attenzione volta alla prevenzione dei rischi.

Storia dei CERT

[modifica | modifica wikitesto]

Il 2 novembre 1988 uno studente di informatica della Cornell University, Robert Morris, rilascia un programma in grado di auto-replicarsi infinite volte e diffondersi da un computer all'altro viaggiando sulla rete Internet. Questo programma è in grado di sfruttare le vulnerabilità dei sistemi in cui si insedia, scavalcando facilmente i loro meccanismi di autenticazione. Il “Morris worm” quella sera riesce a bloccare circa il 10% dei computer connessi in rete.

Poco tempo dopo la DARPA commissiona al SEI la creazione di un centro che coordini in modo veloce ed efficace la comunicazione tra gli esperti durante le emergenze, allo scopo di assistere gli utenti della rete in caso di incidente informatico, prevenire eventuali incidenti futuri e promuovere una cultura a livello internazionale sulla sicurezza informatica. Questo centro è oggi conosciuto come CERT/CC (CERT Coordination Center).

Attività svolte dai CERT

[modifica | modifica wikitesto]

I CERT si pongono come un punto di riferimento per gli utenti della rete, in grado di aiutarli a risolvere qualunque problema legato alla sicurezza informatica.

Di norma un CERT è composto da persone specializzate in diversi ambiti, per esempio amministratori di rete, amministratori di sistema ed esperti in sicurezza informatica.

Essi sono a conoscenza di come dovrebbero apparire, in condizioni normali, i settori di loro competenza, e dunque sono in grado di accorgersi immediatamente dell'eventuale verificarsi di un'anomalia.

I compiti fondamentali di un CERT consistono nel rispondere alle segnalazioni degli utenti vittime di incidenti informatici e nell'analizzare i sistemi hardware e software per individuarvi eventuali vulnerabilità.

La rapida evoluzione che Internet ha avuto negli anni recenti ha portato, tra le tante conseguenze, un'altrettanto rapida evoluzione delle tecniche di intrusione. Ciò ha contribuito ad accrescere le funzioni dei CERT, le cui competenze sono oggi suddivise in vari settori.

Assistenza tecnica

[modifica | modifica wikitesto]

L'assistenza tecnica da parte di un CERT può avvenire in due modi: da un lato come assistenza diretta, attuando piani immediati di incident response in caso di segnalazioni da parte di uno o più utenti. Dall'altro tramite la massiccia diffusione di informazioni contenenti, per esempio, le contromisure adeguate per i tipi più comuni di incidente, allo scopo di far acquisire agli utenti la consapevolezza del problema della sicurezza e stimolarli ad auto-proteggersi.

Ricerca e sviluppo

[modifica | modifica wikitesto]

L'attività di ricerca e sviluppo dei CERT consiste in un monitoraggio costante dei sistemi informatici, dei programmi applicativi e della rete, allo scopo di analizzare il loro stato di sicurezza e il loro livello di sensibilità a potenziali attacchi. Sulla base delle informazioni ottenute il CERT attua piani di realizzazione e implementazione di tecnologie utili a correggere le vulnerabilità, a resistere agli attacchi e a prevenire minacce future.

Molti CERT organizzano dei corsi di formazione destinati ad amministratori di rete e di sistema e a personale tecnico in generale, allo scopo di istruirli nella creazione e gestione di un proprio team: durante questi corsi viene testata la loro capacità sia di analizzare le minacce alla sicurezza e attuare nei loro confronti una risposta adeguata, sia di realizzare e implementare forme di auto-protezione.

I CERT possono svolgere in questo senso un'attività di supporto sia nella creazione di nuovi team, sia nel miglioramento della funzionalità di quelli già esistenti.

L'attività di formazione dei CERT non si limita al profilo tecnico, ma ha anche lo scopo, tramite la cooperazione con i principali media, di instaurare in ciascun utente della rete una situational awareness (consapevolezza della situazione) riguardo al problema della sicurezza.

Le attività di assistenza tecnica svolte dai CERT consentono loro di raccogliere informazioni sugli incidenti cui rispondono, per esempio quale vulnerabilità è stata sfruttata, quale tipo di attacco è stato portato a termine, quali danni ha provocato nel sistema e in che modo si è riusciti a risolvere il problema.

I CERT raccolgono le informazioni in loro possesso, verificando che siano corrette e il più possibile aggiornate, e le organizzano sotto forma di articoli, bollettini o newsletter, per poi renderle disponibili agli utenti pubblicandole periodicamente on-line.

Queste informazioni permettono tra l'altro di organizzare, sotto forma di indagine statistica, sia le principali vulnerabilità dei sistemi, sia le più comuni tipologie di attacco e la loro frequenza, sia le possibili contromisure da adottare in ogni circostanza. In questo modo il CERT è in grado di capire se un'emergenza che gli viene segnalata possiede caratteristiche già note o ancora sconosciute; se si verifica il secondo caso, il CERT ha il compito di diffondere le informazioni riguardanti il nuovo tipo di emergenza e le contromisure necessarie per fronteggiarla o prevenirla.

Vulnerabilità

[modifica | modifica wikitesto]

È la possibilità di sfruttare un difetto nel software, oppure una configurazione particolare nei sistemi di sicurezza, allo scopo di accedere a particolari risorse informatiche (ovvero ai dati contenuti nei computer, oppure alle loro capacità di calcolo), senza averne l'autorizzazione.

Le vulnerabilità possono derivare da imperfezioni nel software che consentono di forzarne un malfunzionamento a fronte di particolari configurazioni nei dati di ingresso; tali malfunzionamenti possono semplicemente causare un disservizio agli utenti "legittimi" del sistema, oppure consentire l'acquisizione di privilegi non previsti. Altre vulnerabilità derivano dalla possibilità di forzare i sistemi di autenticazione, oppure dalla possibilità di sfruttare configurazioni errate o incomplete dei sistemi di sicurezza.

I CERT analizzano i diversi sistemi informatici e programmi applicativi allo scopo di rilevare in essi eventuali vulnerabilità, per poi comunicarle ai produttori e cooperare con loro per correggerle.

L'obiettivo dei CERT è realizzare sistemi capaci di resistere alle emergenze informatiche e che, in caso di incidente, possano minimizzarne i danni e garantire agli utenti la continuità dei propri servizi fondamentali.

Con questo termine si identifica generalmente un tentativo, riuscito o no, di sfruttare una o più vulnerabilità allo scopo di penetrare i sistemi attaccati, o condizionarne il funzionamento.

Gli incidenti possono essere causati da individui, da virus o altri programmi maliziosi, o da difetti del software che si manifestano in particolari condizioni di funzionamento.

La gestione degli incidenti è importante per la sicurezza informatica perché, anche se oggi vengono realizzate applicazioni sempre più avanzate, nessuna di queste è immune da violazioni.

I CERT si occupano di incident response ogni volta in cui la sicurezza di un sistema risulta compromessa. L'incident response consiste in una serie di comportamenti finalizzati a minimizzare gli effetti di una violazione, a garantire l'integrità dei dati e delle risorse del sistema, e a tentare di prevenire violazioni future.

Di norma, la gestione di un incidente informatico avviene in questo modo:

  1. un utente contatta il CERT (tramite telefono, e-mail o sito internet) segnalando l'incidente e i danni che ha provocato;
  2. il CERT analizza le caratteristiche dell'incidente, cercando di risalire alle cause che lo hanno provocato;
  3. il CERT ricontatta l'utente per comunicargli le informazioni necessarie a rimuovere le cause che hanno favorito l'incidente e a ripristinare correttamente la situazione;
  4. l'incidente viene risolto.

Principali organizzazioni

[modifica | modifica wikitesto]

Il Forum of Incident Response and Security Teams è un consorzio istituito nel 1990 grazie all'impulso di 11 CERT, e che oggi accorpa più di un centinaio di CERT di differenti nazionalità.

L'obiettivo di questa organizzazione è incoraggiare la cooperazione tra i diversi team tramite un mutuo scambio di informazioni, attività di ricerca congiunte e l'attuazione di strategie comuni di difesa in caso di attacchi su vasta scala.

L'Italia era rappresentata nel FIRST dal CERT-IT, primo CERT che fu fondato in Italia, nato nel 1994 presso il Dipartimento di Informatica e Comunicazione dell'Università degli Studi di Milano di cui è dirigente il professore Danilo Bruschi.

I CERT in Italia

[modifica | modifica wikitesto]

In Italia il GARR-CERT si occupa esclusivamente di emergenze informatiche sulla rete GARR.

A livello istituzionale è stato costituito, nella seconda metà del 2014, il CERT Nazionale Italia [1] la cui missione è dare supporto a cittadini ed imprese attraverso azioni di sensibilizzazione, di prevenzione e di coordinamento della risposta ad eventi cibernetici su vasta scala.

In ambito governativo opera anche il CERT-AGID [2], che ha sostituito il CERT-PA, ed è una struttura operante all'interno dell'Agenzia per l'Italia Digitale (AgID) preposta alla prevenzione e al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni. Esso è subentrato nelle competenze del CERT-SPC riguardo alla protezione dell'infrastruttura di comunicazione ed interoperazione della pubblica amministrazione italiana (Sistema Pubblico di Connettività: SPC). Nel 2021 per il coordinamento del settore è nata l'Agenzia per la cybersicurezza nazionale.

Sempre a livello istituzionale anche il Ministero della Difesa dispone di propri CERT, coordinati dal CERT-DIFESA, collocato presso il Comando Interforze per le Operazioni Cibernetiche dello Stato Maggiore della Difesa. La struttura è supportata da una struttura più operativa gestita dal Reparto C4. Anche le quattro forze armate dispongono di loro singoli CERT, che si coordinano con CERT-DIFESA.

Anche la Conferenza Episcopale Italiana è dotata di un proprio CERT.

I CERT si stanno diffondendo anche nel settore delle imprese: infatti alcune grandi aziende nazionali oggi dispongono di un proprio CERT. Anche il settore finanziario si sta muovendo attraverso la creazione di un CERT di Settore.

I CERT nel mondo

[modifica | modifica wikitesto]
  • US-CERT, è l'organismo appartenente al Department of Homeland Security (Dipartimento di Sicurezza Nazionale) del Governo federale degli Stati Uniti.
  • CERT/CC, è il centro "storico" di coordinamento dei CERT, della Carnegie Mellon University, che ha trasferito parte delle sue competenze all'US-CERT.
  • PICERT , CERT di PosteItaliane.
  • RUS-CERT, è l'unità gestita presso l'Università di Stoccarda (il sito è in lingua tedesca).
  • IT-CERT, è un'organizzazione senza scopo di lucro sponsorizzata principalmente dal Dipartimento di Informatica e Comunicazione (DICO) - Università degli Studi di Milano.

Altre organizzazioni

[modifica | modifica wikitesto]
  • Unità di analisi del crimine informatico opera all'interno della Polizia Postale italiana.
  • ISECOM Institute for Security and Open Methodologies è una comunità open source per lo studio delle metodologie di impianto della sicurezza, fra cui rientra anche la gestione degli incidenti informatici.