CONTATTACI 030 2076370 OPPURE info@netison.it

Qui ci vuole un proxy. Parola di Rocco!

Qui ci vuole un proxy. Parola di Rocco!

Tempo di lettura: 7 min

“Siamo a Defcon1”

Sul cellulare ho attivato una app per filtrare le chiamate. In questo modo riesco a gestire meglio questo utilissimo strumento di lavoro, che quando però continua a suonare davanti ad un cliente non è un bello spettacolo.

Ho creato una piccola whitelist per le emergenze famigliari ed aziendali mentre richiamo non appena posso chiunque altro mi abbia cercato.

Gli amici – come Cesare, il mio riferimento per centralini e cablaggi –  se hanno urgenza mi mandano un messaggio e, se posso, accellero la richiamata.

Due mattine fa ho ricevuto un SMS d’avviso, era Omar Saltafossi, mio amico imprenditore nel settore macchine per maglioni.

Dopo un paio di minuti un altro. E dopo cinque un altro con scritto “chiamami subito. Siamo a Defcon 1!”.

32785915 - excited businessman alone at night sitting at computer laptop watching porn or online gambling isolated on black

probabilmente non sta navigando dietro un proxy…

Per chi si ricorda War Games (altro ricordo anni ’80) la scala Defcon indica lo stato di allarme delle forze armate USA. La scala va da 5 ad 1, dove 1 indica – difatto – guerra in corso.

Intuisco la gravità della cosa ed approfittando di una pausa nel mio incontro, lo richiamo dopo pochi minuti.

“Cosa è successo? Un altro Cryptolocker? Hai lì la mia offerta per l’antivirus e l’antimalware con modulo antiransomware…” .

“Per quella ti arriva l’ordine domani da Ermes (il responsabile IT della Saltafossi). Ti chiamavo invece perché ho scoperto una cosa gravissima sui PC del magazzino!”.

Gli chiedo cosa avesse trovato di così sconvolgente e mi racconta che quella mattina stava facendo visitare l’azienda ad una delegazione di norvegesi che gli avevano chiesto, in modo inaspettato, di vedere anche il magazzino dei pezzi di ricambi.

Questa deviazione al tour non era prevista ma non ci sarebbero stati problemi. Omar va orgoglioso dell’ordine che c’è nel magazzino della sua azienda. Anche in quello dei ricambi.

Un imprenditore di successo…

Omar apre la porta dell’ufficio adiacente al magazzino dei pezzi di ricambio ed invita gli ospiti a precederlo. Il monitor 23’’ associato alla postazione del magazziniere è in bella vista. Omar segue la delegazione di tre norvegesi (due uomini ed una donna) e nota che tutti e tre piegano la testa verso sinistra intenti nel guardare il monitor del PC. Anche Omar si protende verso sinistra e capisce l’interesse dei norvegesi… sul monitor fa bella mostra di sé un campione dell’italianità nel mondo ed un imprenditore di successo:

Mister Siffredi, nome proprio Rocco.

Il pornostar non stava rilasciando un’intervista ma si stava esibendo in uno dei suoi film… sul PC del magazzino si stava infatti guardando bellamente YouPorn, uno dei più famosi siti web a luci rosse.

“Amazing, 4k resolution! It must be a premier account. Rocco is still one of my favourite…” commenta la signora norvegese. Si sa, nel nord Europa sono molto emancipati tant’è che i tre non sembrano scossi ma, al più, divertiti.

Dopo un attimo si apre la porta che dà sugli spogliatoi, dove ci sono anche i servizi igienici, il magazziniere guarda il monitor, incrocia lo sguardo divertito dei norvegesi e poi quello di Omar, non altrettanto divertito. Non sapendo cosa fare gira i tacchi e scappa via… accusa un malore e si mette in malattia. A questo punto – mi dice Omar-  sarà materia per Giovanna – il suo  avvocato giuslavorista.

 

E il firewall???

Al di là della figura con i norvegesi, Omar si domanda come fosse possibile che, con il loro firewall, si potesse accedere a You Porn.

“Hai ragione ad inca***rti – gli rispondo io – ma anche stavolta non è così semplice.

Il firewall non ha sbagliato è che tu vorresti che faccia una cosa che non gli compete esattamente”.

“Cioè?…” – Omar non capisce – “io metto un oggetto che fa sicurezza e la gente naviga dove caspita gli pare?”.

Inizia a dirmi che allora lui “chiude” Internet e che se, uno proprio vuole, lui metterà un PC in sala mensa da cui si potrà navigare e che lui ci metterrà davanti anche una videocamera per registrare il tutto e controllare dove navighino i suoi dipendenti.

Gli spiego allora che siamo ancora in Italia e che la videoregistrazione della navigazione web dei dipendenti in modo che venga poi visionata dal titolare è, probabilmente, in contrasto con qualche dozzina di articoli di legge.

Inoltre “chiudere” internet non è una soluzione.

Anche il magazziniere, ha bisogno di navigare in internet –  per accedere al sito degli spedizionieri e a Google Maps per calcolare il percorso per gli autisti,… – giusto per fare un paio d’esempi legati alla logistica.

“Detto questo – aggiungo io – è tuo sacrosanto diritto voler impedire che i tuoi dipendenti approfittino della tua buona fede ed abusino degli strumenti che la Saltafossi mette loro a disposizione”.

“Parole sante! Hai ragione! È li che voglio arrivare… ma come posso farlo senza “chiudere” tutta Internet?”.

Riprendo a spiegargli che i firewall presenti sul mercato sono fatti per essere “discreti” e non troppo impiccioni.

Quando apriamo una pagina web da un nostro computer il flusso dati viene suddiviso in tanti piccoli “pacchetti” (tecnicamente si chiamano “pacchetti IP”) ed ognuno trasporta un “pezzettino” di informazione. Tutti i “pezzettini” vengono riassemblati dal computer che riceve i dati e che ricostruisce l’informazione originale (sia essa una pagina web, un’immagine, un video,…).

Anche le immagini di Rocco sono state “spezzettate” in tanti pacchetti IP che poi sono stati riassemblati. A voi immaginare la maggior parte dei pacchetti a quale parte anatomica facessero riferimento,… ma questa è un’altra storia.

Ogni pacchetto è caratterizzato da un indirizzo mittente, da un indirizzo destinatario (chiamati “indirizzi IP”) e da un’informazione sul tipo di contenuto che trasporta (pagina web, email,…) e sono proprio queste le informazioni che vengono usate dai firewall moderni per capire se un pacchetto può attraversare il firewall ed essere consegnato, oppure no.

Potrei quindi “chiudere” tutte le comunicazioni da o per un certo indirizzo IP o quelle relative ad un certo tipo di traffico.

Il problema è che, in questo modo, non posso bloccare “YouPorn” perché  gli indirizzi IP a cui rispondono i suoi server sono tanti e cambiano di frequente ed il tipo di traffico (cioè il traffico web) non è diverso da quello usato per accedere alla pagina di DHL.

Per questa ragione poco fa ho detto che i firewall attuali (che fanno “packet inspection”) non sono troppo “impiccioni” perché si limitano ad ispezionare i pacchetti IP in base all’indirizzo di sorgente e destinazione ed al tipo di traffico ma NON entrano nel merito del contenuto.

È come se volessi che nella portineria della mia azienda bloccassero la consegna di pacchi provenienti dal servizio Amazon che contengono, per stare in tema, dei sex toys.

Basandosi solo sulle informazioni scritte sull’esterno del pacco e sul nome del servizio (in questo caso Amazon) non potrei farlo. Infatti i sex toys potrebbero provenire da mille indirizzi diversi ma essere sempre consegnati da Amazon.

Potrei decidere di bloccare TUTTI i pacchi che provengono da Amazon e/o quelli destinati ad una certa persona ma probabilmente creerei un problema più grande di quello che vorrei risolvere.

 

Ci vuole qualcosa di nuovo

A questo punto qualcuno di voi potrebbe pensare che, per fermare i sex toys, basterebbe APRIRE i pacchi e valutarne il contenuto. In questo modo si potrebbe bloccare esattamente il contenuto “incriminato” senza togliere Amazon in modo indiscriminato né bloccarlo completamente per un certo destinatario.

Buone notizie: questo può essere fatto anche con un tipo di dispositivo di sicurezza che si chiama “proxy”.

In realtà i proxy sono stati i primi dispositivi di sicurezza introdotti sul mercato ma sono stati poi superati in termini di prestazioni e di prezzo dai firewall packet inspection (che oggi rappresentano circa il 90% del mercato).

Il proxy fa proprio quello che serve alla Saltafossi: analizza il contenuto dei pacchetti e decide se è lecito o meno.

Possono essere definite diverse tipologie di utenti, quelli lasciati più liberi di navigare e quelli invece più “blindati”.

Le destinazioni possono essere anche categorizzate sfruttando alcune liste pubbliche che classificano i siti web a livello mondiale.

Si può quindi decidere di bloccare tutte le richieste verso i siti che rientrano nella categoria “giochi d’azzardo” mentre si può lasciare libero Facebook solo in pausa pranzo.

L’ufficio marketing può viceversa essere sempre libero di navigare sui social, indipendentemente dall’orario…

Tecnicamente si può quindi fare un po’ quello che si vuole, arrivando ad un livello di granularità veramente fine.

Bisogna però porre attenzione non solo agli aspetti tecnici ma anche a quelli normativi. L’introduzione di un proxy va infatti comunicata in azienda e bisogna porre attenzione a quali dati vengono conservati delle varie sessioni di navigazione degli uetnti.

Anche stavolta, ad un problema semplice corrisponde una risposta articolata.

Per mettere in sicurezza la navigazione Internet di un’impresa non basta quindi accendere un dispositivo, bisogna rivolgersi ad un’azienda specializzata, in grado di valutare quello che si vuole ottenere e mettere in pista la soluzione tecnica migliore, affiancata però da una consulenza normativa per evitare di finire “cornuti e mazziati” cioè venire multati per avere cercato di tutelare gli interessi della propria azienda.

La Saltafossi adotterà un proxy di questo tipo molto presto. Non sono però sicuro che lo imposteranno anche sul PC del magazzino: i norvegesi hanno confermato il primo ordine ma la signora ha chiesto anche il numero di cellulare del magazziniere …

0 Comments

Leave a reply

Your email address will not be published. Required fields are marked *

*

// SCRIPT PER READ MORE NEI TESTI DELLE TESTIMONIANZE