57282 Letture

Intervista a Zone Labs: sicurezza in Rete e firewall

IlSoftware.it: Nimda è stato uno dei virus worm che hanno causato più danni in tutto il mondo. Il worm si autospedisce via e-mail, va alla ricerca di condivisioni di rete, cerca di insediarsi su web server Microsoft IIS non adeguatamente "patchati". Nimda, quindi, è stato uno dei primi virus worm realmente pericolosi essendo in grado di infettare non solo i file in locale ma anche quelli presenti in rete locale od in remoto. Che cosa può fare un amministratore di rete per proteggersi da pericoli "sfaccettati" come Nimda?
Zone Labs: Il problema rappresentano da Nimda, estremamente sfaccettato, sfrutta le connessione di rete e le vulnerabilità di Windows. Nimda sfrutta tutta una serie di bug di sicurezza conosciuti all'interno di un unico pacchetto. Il risultato è un'enorme congestione della rete locale che rallenta drammaticamente i tempi di risposta della stessa. Quando Nimda raggiunse l'apice della sua diffusione, infatti, l'intera Rete Internet subì evidenti rallentamenti.

Rendere la propria rete immune ai problemi futuri, richiede in primo luogo la prevenzione dalle infezioni mettendo in quarantena le e-mail sospette, l'applicazione di tutte le patch necessarie per applicazioni e sistemi operativi, bloccare i tentativi di comunicazione in Rete di tutte le applicazioni sconosciute e la diffusione delle stesse.


L'approccio preventivo ("colpevole finché non ne è stata provata l'innocenza") nei confronti delle applicazioni che tentano di accedere alla Rete è una caratteristica distintiva dei prodotti per la sicurezza sviluppati da Zone Labs.


IlSoftware.it: Rendere sicura una rete da questo tipo di problemi, ad esempio da worm come Nimda, richiede, in primo luogo, la prevenzione delle infezioni. Ma quali sono i vostri suggerimenti a riguardo di questo punto-chiave?
Zone Labs: La prevenzione è proprio il punto focale. La maggior parte dei prodotti "profile-based" , come gli antivirus e i sistemi per l'identificazione di intrusioni (Intrusion Detection Systems), sono in grado di proteggere solo nei confronti di pericoli conosciuti.
I prodotti di Zone Labs sono in grado di proteggere il personal computer sia da problemi conosciuti che da quelli ancora sconosciuti: è possibile così bloccare nuovi virus prima che l'antivirus e i prodotti IDS siano in grado di riconoscerne l'esistenza.
Il punto di arrivo in fatto di sicurezza si basa su tre componenti: difesa di tutti i personal computer client, gestione centralizzati di policy di sicurezza, "rinforzo" di tali policy all'interno dell'azienda.

ZoneAlarm Pro offre un livello di sicurezza avanzato per i PC client mentre Zone Labs Integrity "rinforza" le policy di sicurezza in azienda ed assicura che solo i PC che montano versioni aggiornate del firewall aziendale ed adeguati antivirus siano in grado di connettersi, e di rimanere connessi, alla rete.


IlSoftware.it: Secondo voi, strumenti come MBSA (Microsoft Baseline Security Advisor), HFNetChk, Windows Update e Microsoft Personal Security Advisor, sono sufficienti per difendersi da nemici come Nimda? Cosa dire a riguardo dei buchi di sicurezza ancora sconosciuti?
Zone Labs: L'uso degli strumenti citati si riflette sul fatto che gli aggiornamenti applicati possono essere o non essere sufficienti - o comunque indicati - per l'uso su un personal computer individuale piuttosto che su quello di un'azienda. L'applicazione di patch ai vari software, specialmente in ambito enterprise, può avere diversi effetti: sia catastrofici che leggeri. E' necessario considerare che le modifiche più radicali all'interno di software "desktop" possono causare problemi di compatibilità o di funzionalità con applicazioni critiche di tipo enterprise. Le aziende di dimensioni più grandi sono quindi scettiche nell'esecuzione aggiornamenti automatici.


IlSoftware.it: Quali sono le soluzioni che Zone Labs fornisce per la prevenzione e la risoluzione di problemi come quelli introdotti da Nimda?
Zone Labs: Come allegato e-mail, Nimda infetta gli utenti che semplicemente leggano o visualizzino in anteprima - mediante Microsoft Outlook o Outlook Express - il messaggio infetto. Non è necessario che l'allegato alla e-mail infetta venga aperto: il worm sfrutta una vulnerabilità di sicurezza presente in Microsoft Internet Explorer 5.01 e 5.5 (la stessa "cavalcata" dal virus BadTrans).
Questa falla di sicurezza in Explorer fa sì che un allegato possa essere eseguito senza l'autorizzazione dell'utente. Nimda sfrutta il bug per scaricarsi in modo automatico ed auto-eseguirsi allorquando un utente visiti una normale pagina web infettata dal virus. Nel mese di Marzo 2001, Microsoft ha rilasciato una patch per risolvere questa vulnerabilità ma molte aziende e molti utenti non hanno ancora provveduto ad installarla. Ciò comporta una conseguenza di notevole importanza: Nimda è in grado di infettare anche utenti più evoluti che tendono a non aprire allegati sospetti.


Usando Zone Labs Integrity, un amministratore può richiedere agli utenti della propria rete di aggiornare versioni vulnerabili dei vari software. Per esempio, l'amministratore può impostare una policy di sicurezza che identifichi automaticamente tutti gli utenti di Internet Explorer 5.01 e 5.5 all'interno della propria rete e li indirizzi ad una speciale pagina che spieghi il problema e li guidi nella procedura di aggiornamento del sistema.
Integrity è in grado di fornire la sua protezione multi-livello anche sul personal computer individuale. Ciò avviene mettendo a disposizione di livello di protezione di cui i normali antivirus non dispongono: MailSafe, controllo sulle applicazioni e desktop firewall.
MailSafe monitora tutte le e-mail in arrivo e mette in quarantena quelle potenzialmente dannose: è in grado, ad esempio, di riconoscere Nimda in tutte le sue forme (file eml e exe). MailSafe protegge il computer anche da altri tipi di file, come gli script vbs, e da molti altri sfruttati da gran parte dei virus. Il controllo sulle applicazioni impedisce che programmi "maligni" o comunque non autorizzati, possano guadagnare l'accesso ad Internet. Questa funzione, nel caso di Nimda, fa sì che il suo server SMTP integrato non possa spedire via Internet e-mail infette.
Il desktop firewall blocca i tentativi di connessione al computer perpetrati dall'esterno. In questo modo è possibile evitare che un hacker remoto possa connettersi all'account "guest" impostato sul proprio personal computer, visualizzare le connessioni di rete, accedere ai propri dati. Nel caso di Nimda il firewall pone fine ai tentativi di attacco DoS (Denial of Service) che accompagnano il virus.



IlSoftware.it: Il futuro di Zone Labs: potete informarci su quelli che saranno i vostri piani futuri?
Zone Labs: Continueremo a migliorare, ad aggiungere nuove caratteristiche e nuovi servizi ai nostri pluri-premiati software, sia sul versante consumer che su quello enterprise. Il nostro nuovo servizio AlertAdvisor (annunciato già il 6 Marzo 2002) è solo il primo dei vari servizi che intendiamo fornire nel prossimo futuro. Nel corso dei prossimi due anni, poi, il nostro obiettivo sarà quello dell'espansione a livello internazionale. Per esempio, lo scorso anno abbiamo aperto il nostro primo ufficio europeo a Francoforte e stiamo attualmente lavorando per tradurre nelle varie lingue i nostri prodotti.

Intervista a Zone Labs: sicurezza in Rete e firewall - IlSoftware.it - pag. 2