Summary of “Measuring Security Practices and How They Impact Security”
1. UNIVERSITÀ DEGLI STUDI DI TRIESTE
Dipartimento di Ingegneria e Architettura
Corso di Studi in Ingegneria Elettronica e Informatica
Summary of “Measuring Security Practices
and How They Impact Security”
Tesi di Laurea Triennale
Laureando:
Cristian FALVO
Relatore:
prof. Alberto BARTOLI
ANNO ACCADEMICO 2019/2020
2. Sommario
Introduzione .........................................................................................................................................3
Metodo di raccolta dati ........................................................................................................................3
Risultati sulle pratiche di sicurezza......................................................................................................4
Sistema operativo .............................................................................................................................4
Aggiornamento software..................................................................................................................4
Siti affidabili.....................................................................................................................................5
HTTPS..............................................................................................................................................5
Antivirus...........................................................................................................................................5
Altri software....................................................................................................................................6
Impatto della “best practice”................................................................................................................6
Conclusione..........................................................................................................................................6
Riferimenti ...........................................................................................................................................7
3. Introduzione
La sicurezza in ambito informatico è una disciplina che, più di altre, richiede il coinvolgimento attivo
degli utenti finali. Affinché essa sia efficace, è richiesta una combinazione di strumenti tecnologici
specializzati e di una serie di opportuni comportamenti da parte degli utenti stessi. Ciò comporta una
serie di scelte legate alla sicurezza, che sono raccolte sotto il nome di “best practice”, “buona pratica”;
è interesse degli esperti del settore veicolare al pubblico quali siano queste pratiche da adottare, e fare
in modo che esse siano adottate.
Purtroppo, però, la validità e l’efficacia di questi suggerimenti non sono ben chiare: innanzi tutto,
esistono poche informazioni su quali delle indicazioni fornite siano effettivamente messe in atto dagli
utenti; è poco noto, inoltre, se e quanto tali indicazioni garantiscano effettivamente sicurezza, quando
sono messe in atto.
Questo studio si propone fare luce su questi due temi, svolgendo un’analisi delle pratiche di sicurezza
utilizzate da un ampio gruppo di utenti, studenti di un campus universitario, in un lasso di tempo
prolungato, sei mesi, concentrando l’analisi su laptop e desktop. In particolare, esso si propone di
produrre dati statistici misurabili sui comportamenti (sia positivi che negativi) in relazione alla
sicurezza informatica e l’effetto che questi hanno nei casi di effettiva compromissione di una
macchina.
Metodo di raccolta dati
Per la raccolta dati è stato scelto un metodo passivo, ovvero raccolta e successiva analisi di tutto il
traffico dei dispositivi appartenenti alla network del campus. Più nello specifico è stato implementato
un sistema composto di tre fasi che, prendendo in input il traffico vero e proprio, ha prodotto delle
“feature”, caratteristiche, associate ad ogni dispositivo.
Nella prima fase vengono raccolti e resi anonimi i dati, e vengono estratte le parti rilevanti del traffico
sotto forma di log. Nella fase successiva vengono fatte tutte le associazioni possibili tra indirizzi IP,
indirizzi MAC (per i dispositivi nella network) e nomi di dominio (per i server remoti). Ciò è
necessario in quanto gli indirizzi IP dei nodi nella network sono gestiti con DHCP, mentre gli indirizzi
IP remoti devono essere associati alle risoluzioni DNS, anche in relazione al tempo. Inoltre, in questo
momento sono estratti gli User Agent dagli header delle connessioni HTTP. Nell’ultima fase i log
vengono processati per estrarre informazioni su software in uso, traffico e per individuare i casi di
compromissione (ovvero, attacchi informatici che hanno avuto successo). Nell’arco dei sei mesi di
raccolta dati sono stati processati 758TB di dati.
L’insieme dei dispositivi rilevati viene successivamente filtrato per separare laptop e desktop, oggetto
dello studio, dagli altri dispositivi (IoT, smartphone, console…) e contestualmente viene identificato
il sistema operativo per ogni macchina. A seguito di quest’operazione, emergono 15291 PC.
Gli autori dello studio osservano delle possibili limitazioni legate al contesto in analisi: trattandosi di
un campus universitario, occupato da studenti, i comportamenti che si analizzano sono limitati
dall’omogeneità della popolazione; non è da escludere che, a parità di metodo, gruppi di utenti diversi
producano risultati diversi.
4. Risultati sulle pratiche di sicurezza
I risultati dello studio descrivono quantitativamente e in dettaglio le abitudini degli utenti in relazione
alla sicurezza, ed inoltre confrontano i comportamenti dei dispositivi che hanno riportato una
compromissione con quelli dei dispositivi che non ne hanno riportate. A questo riguardo, un dato
importante e di carattere generale è il numero di dispositivi compromessi nel periodo analizzato: 682,
corrispondenti al 4.5% della popolazione studiata.
L’analisi dei risultati è suddivisa su più aspetti della “best practice”: sistema operativo,
aggiornamento software, navigazione su siti fidati, uso di HTTPS e altri software utilizzati.
Sistema operativo
Il SO (Sistema Operativo) in uso su un sistema
è un fattore di rischio: i SO più diffusi sono
anche quelli più attaccati. La distribuzione,
mostrata in Figura 1, è divisa quasi equamente
tra Windows e Mac OS, più un numero esiguo
di sistemi con ChromeOS e Linux. La
distribuzione dei dispositivi compromessi
mostra un risultato decisamente diverso, con i
sistemi Windows che rappresentano il 79%
del totale (538 casi). Ciò significa che i
sistemi Windows hanno una probabilità
maggiore della media (7% contro 4.5%) di
essere attaccati con successo.
Aggiornamento software
La “best practice” sicuramente più sostenuta dagli esperti è tenere il sistema e i software aggiornati.
Lo studio analizza i pattern di aggiornamento dei SO, dei browser, e di Adobe Flash player.
L’analisi sull’aggiornamento dei sistemi operativi si concentra su MacOS e Windows; si osserva fin
da subito che i sistemi Windows sono allo stesso tempo maggiormente colpiti dagli attacchi e più
diligenti nell’applicare le patch, se confrontati con i sistemi MacOS. Più in particolare, se l’84% dei
dispositivi Windows ha installato almeno un update nel periodo analizzato, solo il 29% dei Mac ha
fatto lo stesso; inoltre, la distanza tra il rilascio di un aggiornamento e la sua installazione è in media
di 2.5 giorni per i sistemi Windows, e 16 giorni per i sistemi MacOS.
Per quanto riguarda i browser, l’analisi mostra un risultato simile ad uno precedente: i sistemi
compromessi effettuano l’aggiornamento ad una nuova versione prima della controparte. Si osserva
inoltre che gli incidenti di sicurezza cambiano le abitudini degli utenti: sui dispositivi che usano
Chrome, il tempo medio per aggiornare il browser è passato da 19 a 14 giorni in seguito all’incidente.
In ultimo, Adobe Flash player è un software molto diffuso, nonché comunemente considerato un
software rischioso dal punto di vista della sicurezza. Anche in questo caso si osservano risultati
inattesi: i dispositivi compromessi, in media, aggiornano più tempestivamente il software di quelli
non compromessi, e i dispositivi con Flash non aggiornato hanno subito meno attacchi di quelli con
Flash aggiornato (4.8% contro 8.1%). In generale, nel caso di sistemi Windows, la percentuale di
incidenti non varia sensibilmente in presenza o assenza di Flash player; questo rappresenta un
Figura 1: classificazione dei SO dei dispositivi analizzati:
numero totale di dispositivi e di dispositivi compromessi
5. successo nella gestione della sicurezza del software, in quanto non è un fattore di rischio
particolarmente rilevante.
Siti affidabili
Per quanto riguarda le buone pratiche di
navigazione web, “visitare siti noti e
affidabili” e “usare sempre HTTPS quando
possibile” sono le più consigliate.
Per l’analisi dei domini visitati lo studio si è
basato sulla classificazione dei domini
dell’IAB (International Advertising Bureau),
che distingue tra 404 categorie di domini. Si
osserva come i dispositivi non compromessi
visitano maggiormente contenuti di business,
pubblicità e marketing, mentre i dispositivi
compromessi visitano più domini legati a
videogiochi e hobby, nonché domini “non
categorizzati”, di sicurezza informatica e di
contenuti illegali.
HTTPS
Per quanto riguarda l’utilizzo di HTTPS, va
osservato che spesso il suo uso non dipende
dall’utente, quanto dal sito visitato, nonché
dal SO e dal browser. Ciò detto, si osserva una
media di domini visitati con HTTPS rispetto ad HTTP del 77.6%, e i valori non si discostano
particolarmente al variare di sistema operativo e browser; inoltre, questo rapporto non sembra essere
nemmeno correlato con la distribuzione degli incidenti di sicurezza.
Una correlazione che appare in modo evidente
è quella tra quantità di traffico e
compromissione dei sistemi: come mostra il
grafico in figura 2, i dispositivi che hanno
subito un attacco visitano in media più domini
della controparte.
Antivirus
Gli antivirus sono anch’essi tra le soluzioni di sicurezza più diffuse, tanto che nel campus oggetto
dello studio esiste l’obbligo di averne uno installato per accedere ad Internet. Anche a causa di
quest’obbligo, oltre il 70% dei dispositivi usa un antivirus gratuito o preinstallato dal SO (Windows
Defender). Sebbene sia ovvio, è importante osservare che quasi tutti gli attacchi sono stati effettuati
con malware che gli antivirus non hanno individuato.
Tabella 1: tipi di contenuti visitati maggiormente da
dispositivi non compromessi e compromessi
Figura 2: Distribuzione del numero di domini diversi visitati
in media per settimana
6. Altri software
Dai dati raccolti sono estratte numerose informazioni sui
software utilizzati dai dispositivi; nella tabella 2 sono
mostrati i software maggiormente correlati con le
compromissioni, e il confronto della percentuale di
incidenti nei casi in cui il software è o non è installato.
Alcuni di questi dati indicano una correlazione forte tra il
software e il rischio di compromissione: Adobe AIR,
condivisione file P2P (Peer-to-Peer), Mozilla
Thunderbird e Tor; alcuni di questi (servizi P2P e Tor)
sono notoriamente associati ad un elevato rischio di
sicurezza.
Impatto della “best practice”
L’ultimo obiettivo che questo studio si pone è valutare l’impatto relativo delle caratteristiche
individuate precedentemente nei confronti degli incidenti di sicurezza. Le proprietà più influenti sono
estratte dall’insieme completo usando un modello di regressione logistica, e ordinate usando un
algoritmo di eliminazione “greedy”.
Effettuando un’analisi generale, si osserva che i
fattori maggiormente correlati alle compromissioni
sono quasi tutti legati ai comportamenti di
navigazione degli utenti, in modo pressoché
indipendente da altri fattori quali ad esempio il
sistema operativo in uso.
Questo aspetto è ulteriormente evidenziato
concentrando l’analisi sull’ora di tempo precedente
agli incidenti di sicurezza, che rappresenta un
momento chiave nei casi di compromissione. In
questo caso, tutti i fattori di maggiore impatto sono
categorie di siti visitati dagli utenti (secondo la
classificazione descritta precedentemente), come
mostrato dalla tabella 3.
Conclusione
I risultati di questo studio hanno permesso di comprendere l’estensione e l’effetto delle pratiche di
sicurezza, ed in particolare di quantificare il loro effetto in un contesto reale. I sistemi informatici
sono per loro natura estremamente complessi, ed analizzarne anche solo un aspetto è un processo
arduo: molti dei risultati ottenuti mostrano correlazioni tra proprietà di un sistema e rischio, ma non
permettono di dare una spiegazione del perché esistano queste correlazioni, ed in molti casi
richiederebbero un approfondimento dedicato. Il risultato di gran lunga più importante è però aver
elevato la “best practice” da un insieme di suggerimenti assoluti ad indicazioni informate e supportate
da evidenza scientifica.
Tabella 2: caratteristiche associate a
compromissioni. Il p-value è associato al test
chi quadrato.
Tabella 3: Maggiori fattori di rischio ad un'ora dalla
compromissione. I valori di AUC (Area Under Curve)
rappresentano, intuitivamente, l'impatto relativo della
caratteristica negli episodi di compromissione.
7. Riferimenti
DeKoven, L. F., Randall, A., Mirian, A., Akiwate, G., Blume, A., Saul, L. K., . . . Savage, S. (2019).
Measuring Security Practices and How They Impact Security. IMC '19: Proceedings of the
Internet Measurement Conference, 36–49. doi:https://doi.org/10.1145/3355369.3355571