A causa del continuo ricorso a potenti computer che aiutano le aziende nella lorogestione e nel mantenimento delle informazioni del proprio personale, le industrie hanno potuto creare una pratica molto importante, e cioè quella di rendere sicuri le loro reti ed i loro computer. Gli Enterprise hanno stimolato la conoscenza e l'abilità degli esperti sulla sicurezza, e conseguentemente a verificare propriamente i sistemi e adattare le soluzioni per far fronte ai requisiti operativi dell'organizzazione. A causa di queste organizzazioni, che sono di natura molto dinamiche, e che consentono l'accesso ai propri dipendenti alle risorse IT sia in modo remoto che in modo locale, la necessità di avere degli ambienti informatici sicuri è diventata sempre più sentita.
Sfortunatamente, molte organizzazioni (così come anche singoli utenti) considerano il fattore sicurezza come secondario, un processo che si può trascurare in favore dell'aumento della potenza, della produttività, e delle considerazioni di carattere finanziario. Una implementazione idonea della sicurezza, viene spesso intrapresa postmortem — cioè dopo il verificarsi di una intrusione da parte di un utente non autorizzato. Gli esperti nel campo della sicurezza, concordano che le misure più idonee sono quelle prese prima del collegamento ad una rete non sicura, come ad esempio Internet, tale provvedimento aiuta in modo efficace a contrastare i tentativi d'intrusione.
La sicurezza è un termine generale che copre una vasta area informatica e di elaborazione delle informazioni. Le industrie che dipendono da sistemi computerizzati e di rete, per poter condurre operazioni commerciali giornaliere e per poter accedere a informazioni importanti, considerano i propri dati tra i beni più importanti in loro possesso. Numerosi termini sono entrati a far parte del vocabolario commerciale, come ad esempio total cost of ownership (TCO) 'costo totale di proprietà' e 'qualità del servizio' quality of service (QoS). Con questi termini le industrie riescono a calcolaremolti aspetti come ad esempio l'integrità dei dati e l'alta disponibilità, come parte dei costi di gestione e di programmazione. In alcune industrie, come quelle elettroniche, la disponibilità e la sicurezza dei dati, può rappresentare la differenza tra successo e fallimento.
Molti lettori possono ricordare il film "Wargames," con Matthew Broderick che interpreta uno studente di scuola superiore che riesce a introdursi nel supercomputer del Dipartimento di Sicurezza degli Stati Uniti d'America (DoD), causando inavvertitamente una minaccia di guerra nucleare. In questo film, Broderick usa il suo modem per collegarsi con il computer del DoD (chiamato WOPR) giocando con il software del calcolatore, controllandomissili nucleari. Il film fu lanciato durante la "guerra fredda" tra la ex Unione Sovietica e gli Stati Uniti, e fu considerato nel 1983 un gran successo. La popolarità di questo film, ha ispirato migliaia di individui e gruppi, ad usare alcuni dei metodi usati dal giovane protagonista, per neutralizzare sistemi ristretti, incluso il war dialing — un metodo di ricerca dei numeri di telefono per collegamenti di modem analogico,in un codice di area definita e una combinazione del prefisso telefonico.
Dopo più di dieci anni, di cui quattro inerenti ad una battaglia legale tra il Federal Bureau of Investigation (FBI) e il sussidio degli informatici, Kevin Mitnick considerato un 'computer cracker', fu arrestato e condannato a causa di 25 infrazioni inerenti a frode nell'accesso informatico, causando una perdita di 80 Milioni di dollari in beni e source code da parte della Nokia, NEC, Sun Microsystems, Novell, Fujitsu, e Motorola. In quei tempi, l'FBI ha considerato tale operazione, come il crimine più grande effettuato da un singolo utente nella storia degli Stati Uniti. Kevin Mitnick fu condannato per il suo crimine a 68 mesi, dei quali ne ha scontato 60 prima di essere rilasciato il 21 Gennaio 2000. In aggiunta, egli fu interdetto dall'uso dei computer fino al 2003. Gli investigatori hanno dichiarato che Mitnick era un esperto in social engineering — usando esseri umani per poter accedere alle password e all'uso dei sistemi, utilizzando delle credenziali falsificate.
La sicurezza delle informazioni si è evoluta con gli anni, questo a causa dell'aumento della dipendenza delle reti pubbliche nel rilasciare informazioni personali, di carattere finanziario e di altre informazioni riservate. Vi sono numerosi esempi, come nel caso di Mitnick e Vladamir Levin, (consultare la Sezione 1.1.2 per maggiori informazioni) che hanno portato molte organizzazioni a rivedere la loro politica sulla gestione della trasmissione ed emissione di dati importanti. La popolarità di Internet ha comportato un maggiore sforzo nell'intensificare lo sviluppo della sicurezza dei dati.
Sempre più utenti usano il proprio personal computer per ottenere accesso alle risorse offerte da Internet. Dalla ricerca delle informazioni, alla posta elettronica e alle operazioni di carattere commerciale, Internet è stato definito come uno dei mezzi più importanti sviluppati nel ventesimo secolo.
Internet e i protocolli che lo hanno preceduto, tuttavia, sono stati sviluppati come sistemi fidati. Cioè, il protocollo Internet non è stato creato per essere nel suo insieme sicuro. Non vi sono alcuni standard di sucurezza approvati, creati all'interno delle comunicazioni TCP/IP, lasciando la possibilità di una intrusione da parte di potenziali aggressori o da parte di alcuni processi. Gli sviluppi moderni hanno fatto di Internet un sistema più sicuro, purtroppo però si verificano ancora diversi incidenti che aumentano la nostra considerazione nel fatto che niente è completamente sicuro.
Diversi eventi chiave hanno contribuito alla nascita e allo sviluppo della sicurezza del computer. Di seguito vengono riportati alcuni degli eventi più importanti che hanno richiesto una maggiore attenzione sulla sicurezza delle informazioni e del computer, e sulla sua importanza oggi.
Gli studenti del Massachusetts Institute of Technology (MIT) provenienti dal Tech Model Railroad Club (TMRC), iniziano l'esplorazione e la programmazione del sistema principale PDP-1 della propria scuola. Il gruppo usa il termine "hacker" nel contesto conosciuto oggi.
Il DoD crea l'Advanced Research Projects Agency Network (ARPANet), il quale diventa molto diffuso nella ricerca e nei cicli accademici come condotto per gli scambi elettronici di dati e delle informazioni. Questo spiana la strada alla creazione della rete conosciuta oggi come Internet.
Ken Thompson sviluppa il sistema operativo UNIX, ampiamente riconosciuto come il sistema operativo più "hacker-friendly" a causa dei suoi strumenti di sviluppo e di compiler facilmente accessibili, e per il suo appoggio alla comunità. Nello stesso periodo, Dennis Ritchie sviluppa il linguaggio di programmazione C, discutibilmente il linguaggio hacking più conosciuto nella storia del computer.
Bolt, Beranek, e Newman, una società appaltatrice per lo sviluppo e la ricerca informatica, sviluppa il protocollo Telnet, una estensione pubblica di ARPANet. Questo passo favorisce l'uso pubblico dei dati di rete, ristretti una volta ai soli appaltatori di governo e ai ricercatori accademici. Telnet, secondo alcuni ricercatori sulla sicurezza, è anche il protocollo più insicuro per reti pubbliche.
Steve Jobs e Steve Wozniak fondano Apple Computer e iniziano il marketing del Personal Computer (PC). Il PC rappresenta il trampolino per diversi utenti 'maliziosi' per imparare 'l'arte' di introdursi nei sistemi in modo remoto usando un comune hardware di comunicazione PC come modem analogici e war dialer.
Jim Ellis e Tom Truscott creano USENET, un sistema di tipo bulletin-board per comunicazioni elettroniche tra gli utenti. USENET diventa subito uno dei forum più usati per lo scambio d'idee nel campo informatico, delle trasmissioni e naturalmente del cracking.
IBM sviluppa e mette in commercio PC basati sul microprocessore Intel 8086, un'architettura relativamente poco costosa, che porta l'informatica dall'ufficio a casa. Ciò serve a facilitare l'accesso al PC, considerandolo come uno strumento comune e accessibile, ragionevolmente potente e facile da usare, portando ad una proliferazione di tale hardware nelle case e negli uffici di utenti maliziosi.
Il Transmission Control Protocol, sviluppato da Vint Cerf, è diviso in due parti separate. Da questa divisione è nato Internet Protocol, e il protocollo TCP/IP combinato diventa lo standard per tutte le comunicazioni Internet di oggi.
Basata sullo sviluppo nell'area di phreaking, o esplorando ed effettuando un hacking del sistema telefonico, nasce la rivista 2600: The Hacker Quarterly che inizia la discussione di argomenti del tipo come infiltrarsi in un computer e computer network, per un pubblico molto numeroso.
La banda 414 (così chiamata a causa del numero civico dove i componenti abitavano e portarono a termine il loro tentativo di hacking) viene sgominata dalle autorità, dopo nove giorni di cracking, dove i componenti sono riusciti a intridursi nei sistemi, da località top-secret come ad esempio il Los Alamos National Laboratory, un centro di ricerca sulle armi nucleari.
La Legione delle avversità 'Legion of Doom' e il Chaos Computer Club rappresentano due gruppi cracker che iniziarono a sfruttare le vulnerabilità dei computer e dei dati elettronici delle reti.
Fu approvata dal congresso la legge contro le frodi informatiche, la Computer fraud e Abuse Act del 1986, basata sullo sfruttamento informatico di Ian Murphy, conosciuto anche come Captain Zap, il quale riuscì ad introdursi nei sistemi informatici militari, e a rubare informazioni dai database, riuscendo anche ad usare alcuni centralini telefonici del governo, per poter effettuare chiamate telefoniche.
In base alla Computer Fraud e Abuse Act, la corte riuscì a condannare Robert Morris, appena laureato, per aver rilasciato il Morris Worm 'verme di Morris' su oltre 6000 computer collegati a Internet. Il secondo caso più eclatante affrontato grazie a questa legge, fu quello di Herbert Zinn, uno studente di scuola superiore che riuscì ad introdursi e ad usare impropriamente, sistemi appartenenti a AT&T e al DoD.
In base alle preoccupazioni che un caso Morris Worm si potesse ripetere, viene creato il Computer Emergency Response Team (CERT), per allertare gli utenti di computer.
Clifford Stoll scrive The Cuckoo's Egg, basato sulla sua investigazione sui cracker che sono riusciti a introdursi nel suo sistema.
ARPANet viene sospesa. Il traffico dalla suddetta rete viene trasferito su Internet.
Linus Torvalds sviluppa il kernel di Linux per l'uso con i sistemi operativi GNU, lo sviluppo ed il successo di Linux, è dovuto alla collaborazione di utenti e di sviluppatori in comunicazione tramite Internet. A causa delle sue radici in UNIX, Linux è molto diffuso tra gli hacker e gli amministratori, che lo trovano molto utile per la costruzione di alternative sicure, alla consuetudine nell'uso da parte dei server di sistemi operativi privati (closed-source).
Viene creato il web brouser grafico, causando un aumento della domanda per un accesso pubblico di Internet.
Vladimir Levin con alcuni complici, riesce a trasferire illegalmente 10 Milioni di dollari in diversi conti, infiltrandosi nel database centrale della CitiBank. Levin viene arrestato dalla Interpol, che recupera quasi l'intera somma.
Forse il più rappresentativo degli hacker è Kevin Mitnick, il quale è riuscito ad introdursi in diversi sistemi corporativi, riuscendo ad impadronirsi di tutte le informazioni personali di celebrità, oltre 20000 carte di credito e source code per proprietari di software. Venne arrestato per frode e condannato a cinque anni di reclusione.
Kevin Poulsen con un complice ancora sconosciuto, riuscì a manipolare i sistemi telefonici di una stazione radio, riuscendo a vincere diverse auto e premi in denaro. Fu arrestato per frode e condannato a cinque anni di reclusione.
Molte storie relative alle azioni di hacking e phreaking divennero leggenda, e molti di questi crackers partecipano al convegno DefCon annuale per celebrare il cracking,scambiandosi idee in merito.
Uno studente israeliano di diciannove anni viene arrestato e imprigionato per aver coordinato numerose violazioni dei sistemi governativi degli Stati Uniti durante il conflitto del Golfo Persico. Alti esponenti militari lo chiamarono "l'attacco più organizzato e sistematico" dei sistemi governativi nella storia degli Stati Uniti.
L'Attorney General degli Stati Uniti Janet Reno, per contrastare l'aumento delle violazioni sulla sicurezza nei sistemi governativi, stabilisce il National Infrastructure Protection Center.
I satelliti di comunicazione britannici, vengono sequestrati da aggressori sconoisciuti. Il governo britannico riesce a riprendere il controllo dei satelliti.
Nel Febbraio 2000, un attacco del tipo Distributed Denial of Service (DDoS) fu introdotto in diversi siti Internet maggiormente trafficati. Gli attacchi furono portati su yahoo.com, cnn.com, amazon.com, fbi.gov, e diversi altri siti non raggiungibili da utenti normali, dato che esso blocca i router per diverse ore a causa di un gran numero byte ICMP per il trasferimento dei pacchetti, chiamato anche ping flood. L'attacco fu effettuato da un solo aggressore, usando programmi specialmente creati per la ricerca di punti deboli sui server della rete, installando applicazioni client chiamati trojans sui server stessi, innondando i siti scelti rendendoli non disponibili. Molti hanno criticato il funzionamento dei router e dei protocolli in quanto essi accettano qualsiasi pachetto inviato non curandosi del loro scopo.
Tutto ciò ci catapulta nel nuovo millennio, un periodo in cui 400 milioni di persone usano o hanno usato Internet. Allo stesso tempo:
In media giornaliera, ci sono circa 225 incidenti gravi inerenti la violazione della sicurezza, riportati al CERT Coordination Center at Carnegie Mellon University [source: http://www.cert.org]
Nel 2002, il numero di incidenti riportati al CERT è salito a 82,094, da 52,658 nel 2001. Mentre solo nel primo quarto del 2003,gli incidenti sono 42,586. [fonte: http://www.cert.org]
L'impatto economico mondiale dei tre virus Internet più pericolosi degli ultimi due anni, è stato estimato a 13.2 Bilioni di dollari [fonte: http://www.newsfactor.com/perl/story/16407.html]
La sicurezza del computer è diventata una spesa quantificabile e giustificabile per tutti i budget informatici. Organizzazioni che richiedono un'alta disponibilità e una integrità dati, necessitano di amministratori del sistema, di sviluppatori e di ingegneri, in grado di assicurare un'affidabilità sette giorni su sette, ventiquattro ore su ventiquattro, dei loro servizi, sistemi e delle informazioni. L'essere vittima di attacchi coordinati, e di utenti maliziosi, può conseguirne in un insuccesso dell'intera organizzazione.
Sfortunatamente, la sicurezza di una rete o di un sistema può essere un orgomento molto difficile da affrontare, in quanto esso richiede una conoscenza articolata di come una organizzazione trasmette, manipola, e usa le proprie informazioni. Capire come una organizzazione (e le persone che la compongono) conduce il proprio lavoro, è essenziale per poter implementare un programma di sicurezza adeguato.
Le imprese in ogni campo si affidano alle regole implementate da grandi corporazioni come l'American Medical Association (AMA) o l'Institute of Electrical and Electronics Engineers (IEEE). Gli stessi ideali vengono usati per garantire la sicurezza delle informazioni. Molti consulenti sulla sicurezza e molti rivenditori, fanno riferimento al modello di sicurezza rappresentato dalla CIA o Confidentiality, Integrity, and Availability. Questo modello, è una componente accettata generalmente e usata per assegnare un livello di rischio alle informazioni sensibili, stabilendo una policy di sicurezza. Di seguito viene riportato il modello CIA in modo più dettagliato:
Riservatezza — Informazioni sensibili che devono essere disponibili solo a determinati individui. La trasmissione non autorizzata e il suo uso, deve essere ristretto. Per esempio, la riservatezza delle informazioni, assicurano che la informazioni personali o finanziarie di un cliente, non vengano possedute da personale non autorizzato e usate a scopo di lucro, come ad esempio il furto d'identità o la frode finanziaria.
Integrità — Le informazioni non dovrebbero essere alterate in modo da renderle incomplete o incorrette. Gli utenti non autorizzati dovrebbero essere ristretti dalla possibilità di modificare o distruggere informazioni sensibili.
Disponibilità — Le informazioni dovrebbero essere accessibili a utenti autorizzati ogni qualvolta sia necessario. La disponibilità rappresenta la garanzia che le informazioni possano essere ottenute con un accordo, in base alla frequenza e in modo illimitato. Questo viene misurato in termini di percentuale e accettato in modo formale nel Service Level Agreements (SLA), usato dai provider del servizio di rete e dai loro client enterprise.