Introduzione alla sicurezza fisica
giovedì 15 novembre 2007 by phoenix
La sicurezza informatica non si conquista solo con antivirus, firewall e software di sicurezza. Rendere sicuro un sistema informatico vuol dire proteggerlo non solo da attacchi portati dall' esterno (es. attraverso la rete) ma vuol dire anche proteggerlo da attacchi interni, portati per esempio da intrusori che spacciandosi per tecnici cercano di ottenere accesso fisico alle nostre macchine. Proteggere fisicamente una macchina vuol dire anche collocarla in un luogo adatto ed in condizioni ambientali controllate. Polvere, temperatura, picchi di tensione e interferenze tra cavi sono alcuni fattori che potrebbero portare al malfunzionamento delle nostre macchine o perfino alla perdita dei dati contenuti in esse. Per questo motivo bisogna proteggere fisicamente le macchine che noi riteniamo importanti e che possono contenere dati sensibili.
Vediamo adesso un esempio concreto in cui vi mostro alcune cose che migliorano la sicurezza fisica di una macchina. Come "macchina target" che vogliamo proteggere scegliamo un server aziendale:
1) il server deve essere collocato in un locale apposito che noi chiameremo "locale server".
2) gli accessi al locale server devono essere controllati e limitati mediante utilizzo di sistemi elettronici come scanner biometrici o badge. Tutti gli accessi devono essere memorizzati in un opportuno database.
3) l' area che circonda il locale server deve prevedere telecamere a circuito chiuso. In generale il sistema di videosorveglianza viene esteso a tutti i locali dell' azienda e quindi anche all' interno del locale server.
4) il locale server deve essere opportunamente climatizzato in modo tale da controllare temperatura ed umidità.
5) nel locale server deve essere installato un sistema anti-incendio.
6) deve essere assicurata continuità elettrica in caso di black-out (gruppi elettrogeni).
7) il locale server deve essere provvisto di sensori che effettuino il monitoraggio di opportuni parametri (ambientali e non) ed inviino messaggi di allerta tramite SMS o mail.
8) il server deve essere posto in un armadio rack con serratura (un rack può essere dotato di molti accessori che ne aumentano la sicurezza e l' affidabilità).
9) se il server non dovesse essere protetto in un armadio rack con serratura, bisogna limitare il numero di periferiche ad esso connesse. Mouse, tastiera, CD Rom e floppy possono essere un grande pericolo e quindi dovrebbero essere eliminati. Il controllo del server dovrebbe essere fatto da remoto.
10) i cavi elettrici dovrebbero essere canalizzati separatamente dai cavi che trasportano dati. Questo previene interferenze tra flusso elettrico e flusso dati.
Mi fermo qui con l' elenco altrimenti avrei continuato all' infinito...
Avete visto com'è affascinante la sicurezza informatica? Bisogna sempre ragionare su più livelli di sicurezza per proteggere opportunamente le proprie macchine. E in questo post non ho detto praticamente nulla! Questa doveva essere ed è stata solo una breve introduzione al vasto tema della sicurezza fisica. Prossimamente vedremo anche altri ambiti della sicurezza informatica che andranno a sfociare nel sociale e nella psicologia.
Vediamo adesso un esempio concreto in cui vi mostro alcune cose che migliorano la sicurezza fisica di una macchina. Come "macchina target" che vogliamo proteggere scegliamo un server aziendale:
1) il server deve essere collocato in un locale apposito che noi chiameremo "locale server".
2) gli accessi al locale server devono essere controllati e limitati mediante utilizzo di sistemi elettronici come scanner biometrici o badge. Tutti gli accessi devono essere memorizzati in un opportuno database.
3) l' area che circonda il locale server deve prevedere telecamere a circuito chiuso. In generale il sistema di videosorveglianza viene esteso a tutti i locali dell' azienda e quindi anche all' interno del locale server.
4) il locale server deve essere opportunamente climatizzato in modo tale da controllare temperatura ed umidità.
5) nel locale server deve essere installato un sistema anti-incendio.
6) deve essere assicurata continuità elettrica in caso di black-out (gruppi elettrogeni).
7) il locale server deve essere provvisto di sensori che effettuino il monitoraggio di opportuni parametri (ambientali e non) ed inviino messaggi di allerta tramite SMS o mail.
8) il server deve essere posto in un armadio rack con serratura (un rack può essere dotato di molti accessori che ne aumentano la sicurezza e l' affidabilità).
9) se il server non dovesse essere protetto in un armadio rack con serratura, bisogna limitare il numero di periferiche ad esso connesse. Mouse, tastiera, CD Rom e floppy possono essere un grande pericolo e quindi dovrebbero essere eliminati. Il controllo del server dovrebbe essere fatto da remoto.
10) i cavi elettrici dovrebbero essere canalizzati separatamente dai cavi che trasportano dati. Questo previene interferenze tra flusso elettrico e flusso dati.
Mi fermo qui con l' elenco altrimenti avrei continuato all' infinito...
Avete visto com'è affascinante la sicurezza informatica? Bisogna sempre ragionare su più livelli di sicurezza per proteggere opportunamente le proprie macchine. E in questo post non ho detto praticamente nulla! Questa doveva essere ed è stata solo una breve introduzione al vasto tema della sicurezza fisica. Prossimamente vedremo anche altri ambiti della sicurezza informatica che andranno a sfociare nel sociale e nella psicologia.
Categorie:
protezione server,
sicurezza fisica,
sicurezza informatica
|
|
|
Questo scenario si ha in soli 2 casi:
- o nel paese dell'utopia
- o nelle aziende grandi che gestiscono bene ma proprio bene il loro reparto IT
di sicuro questa dovrebbe essere la buona "abitudine" nella progettazione degli impianti ma poi la realtà può essere ben diversa. Non ti dico dove ho iniziato a lavorare adesso com'è la sala server... per non parlare della sicurezza all'accesso della sala e impianti... :)
molto interessante, in effetti a parte la sicurezza "digitale" è importante anche quella fisica.
Ricordo con piacere un bellissimo libro "the art of deception" del grande K Mitnick e tutta una serie di esempi esplicativi tesi a dimostrare la vulnerabilità fisica di certi sistemi organizzativi. Alle volte bucare un server non vuol dire garantirsi un accesso ad esso tramite la rete digitale ma appunto, trovare una falla organizzativa del sistema che la maggior parte delle volte non ha nulla a che vedere con il firewall in uso:)Ingegneria sociale, un argomento interessantissimo!
ciao!
@ Paso: le aziende serie lo fanno. E sono più che sicuro che i grandi "fornitori di servizi" seguono queste regole. Le medie-piccole imprese un po' per soldi un po' per "ignoranza", trascurano questi aspetti che non sono per niente secondari.
@ anonimo: alla fine del post ho infatti scritto che prossimamente tratterò proprio quegli aspetti della sicurezza che sfociano nel sociale e nella psicologia. Tra questi aspetti c'è sicuramente l' ingegneria sociale.
P.S.: il libro di Mitnick è uno di quei libri che dovrebbero far leggere agli addetti dei reparti di sicurezza delle nostre aziende.
Assolutamente d'accordo con te. io lavoro in una media impresa che tratta moltissimi dati sensibili nel campo aeronautico.
Le falle sono davvero tantissime ed il personale, genericamente parlando, non ha nessuna preparazione in questo senso.
Sono anche convinto che se andassi a fare 4 chiacchiere con il direttore generale circa la leggerezza con cui per esempio alcuni sarebbero disposti a fornire informazioni sensibili, mi riderebbe in faccia.
Il libro di Mitnick dovrebbe essere parte della formazione non solo degli addetti alla sicurezza, informatica e non, ma anche di più. Solo se si da una occhiata al sito web della mia azienda, che non cito per ovvii motivi, ci si rende conto che vengono fornite troppe informazioni, anche solo sulla struttura aziendale. Chi fa cosa, dove e per conto di chi.
La semplice lista dei numeri interni per esempio (non nel sito web ci mancherebbe) è di facile reperimento. Una receptionist che spende molto tempo a guardarsi le unghie e che non vede l'ora di liberarsi di una telefonata passandola senza filtrare; molti impiegati che ricevendo una richiesta con la giusta terminologia non farebbero fatica a passare informazioni delicate, ad un presunto operatore dell'help desk in grado di fargli bere che deve effettuare un test....o cose del genere. Gli esempi sono davvero tanti.
Certo, non è la NASA, non si conservano segreti internazionali e forse l'interesse ad infiltrarsi non è elevatissimo... ma restano sempre una miriade di altre motivazioni da parte di un perfetto chiunque che conosca un minimo di inside knowledge. ... per provocare veri disastri.
chi vivrà vedrà, sono convinto che prima o poi il concetto di sicurezza avrà la meritata considerazione, in ogni azienda che tratti dati sensibili.
Aspetto il tuo prox post.
ciao
Manca solo l'allagamento!
ciao :-)
(mi serva anche come prova)