9. Gestione degli incidenti e cooperazione per il tracciamento a ritroso

La gestione degli incidenti di sicurezza è complessa a causa delle implicazioni finanziarie e legali. Un incidente può esporre l'organizzazione a danni economici e responsabilità legali, poiché i reati informatici sono equiparati a quelli tradizionali. È essenziale bilanciare la mitigazione dei danni con la conformità legale.

9.1 Il tracciamento a ritroso

Il tracciamento analizza le tracce digitali per identificare le origini di un attacco, dimostrare responsabilità e ricostruire l'evento. Esistono due tipi di analisi:

• Analisi live: studio in tempo reale del traffico di rete (es. durante attacchi DoS).
• Analisi post mortem: studio a posteriori di evidenze come log e pacchetti catturati, spesso su richiesta giudiziaria.

Validazione dell'indirizzo IP:

Per verificare se un indirizzo IP è falsificato:

1. Si osserva il campo TTL nei pacchetti per determinare il numero di hop.
2. Si esegue un traceroute per ottenere l'hop count attuale.
3. Se i valori differiscono, l'IP potrebbe essere spoofato.

Altre verifiche includono:

• Validazione delle route tramite looking glass.
• Reverse query resolution per associare l'IP a un dominio.
• Controllo del mail relay con nslookup.
• Consultazione dei database dei Regional Internet Registry (RIR) tramite Whois per identificare i responsabili di un netblock.

9.2 Computer Security Incident Response Team (CSIRT)

I CSIRT sono team di esperti che coordinano la risposta agli incidenti e promuovono la cooperazione tra organizzazioni. Le loro funzioni includono:

• Coordinamento: supporto agli utenti e gestione di strumenti centralizzati (es. trouble ticketing).
• Interazione: con ISP, altri CSIRT e autorità per bloccare attacchi o scambiare informazioni.