Last Updated on November 28, 2010

Il titolo di questo post richiama indirettamente una curiosa teoria matematica alla base del social networking. Secondo questa teoria, originata da un racconto di Frigyes Karinthy, ciascuno di noi è separato da qualsiasi altro abitante di questo pianeta da una catena composta al massimo da 5 individui che si conoscono sequenzialmente. Il mondo è in realtà molto più piccolo di come appare ai nostri occhi, e da qui deriva il nome di “Small World” con cui la teoria è nota, che sintetizza i “sei gradi di separazione” che ci dividono dall’aborigeno di guzzantiana memoria. Sebbene vi siano non pochi critici, la teoria è stata confermata da diversi esperimenti, uno dei quali ha avuto come protagonista addirittura il buon Kevin Bacon (effettivamente ora che ci penso è meglio come scienziato che attore). L’associazione di Kevin Bacon a questa teoria è talmente stretta che è stato definito il numero di Bacon: presi due attori, il numero di Bacon (sempre minore di 6) indica la distanza che li separa secondo una metrica in cui ogni nodo indica un film in cui gli attori della catena che li separa hanno lavorato assieme.

Per quanto incredibile in apparenza, a questo link si possono effettuare gli accostamenti più improbabili di attori calcolando il loro numero di Bacon.

Naturalmente il parallelismo tra lo “small world” e la madre di tutte le reti è immediato: basta semplicemente associare un nodo del modello ad un router, un server, o comunque un dispositivo che metta in comunicazione diversi punti finali e si ottiene  lo stesso risultato di una rete di amicizie, siano essere reali o virtuali.

La teoria, in voga nei primi anni 2000 è tornata in auge grazie al social network, ai modelli di interazione tipici del Web 2.0 e all’aumento del potere computazionale, tutti fattori che hanno consentito di immagazzinare (e correlare)  quantità immani di dati relativi ad abitudini degli utenti di Internet (alla faccia della privacy).

La possibilità di correlare queste moli enormi di dati ha consentito di correggere un aspetto fondamentale della teoria: come nel mondo reale vi sono individui che possono accorciare la catena dei “sei nodi di separazione”, poiché  particolarmente in vista e in grado quindi di arrivare al target prima del numero di nodi previsti dalla teoria (grazie ad esempio ad un giro di conoscenze molto ampio), allo stesso modo all’interno della Rete i nodi di interscambio non hanno tutti lo stesso peso. Ci sono difatti elementi che per posizione, esposizione o altre caratteristiche, hanno un impatto maggiore sulle comunicazioni e sul flusso delle informazioni. La Rete delle Reti sarà pure democratica per gli utenti, ma è profondamente aristocratrica per quanto concerne i mezzi di trasmissione in quanto alcuni punti sono più importanti di altri.

Se si estende il concetto nell’ambito dell’Information Security, se ne deduce che l’impatto conseguente alla compromissione di alcuni nodi di scambio con malware o altri tipi di attacchi informatici varia a seconda della posizione del nodo nel reticolo dello “small world”. D’altro canto se pensiamo al mondo reale se si vuole diffondere una idea o una notizia in modo efficace, occorre scegliere un promotore o un portavoce influente, bene in vista, che sia in grado di far arrivare il messaggio nel modo giusto, al pubblico più vasto e nel minor tempo possibile.

Sia gli antivirus che i sistemi IDS sono esempi di dispositivi di sicurezza che fanno uso di diversi algoritmi: statici basati su impronte, pattern o signature, oppure dinamici, basati su analisi comportamentali, rilevazioni di anomalie, oppure facenti uso di metodi di calcolo euristici. In tutti i casi l’obiettivo è quello di ridurre la zona grigia che separe un file (o un evento) sicuramente “buono” da un file (o un evento) sicuramente “cattivo”.

Per ridurre questo “gap” accorre in nostro aiuto un aspetto della teoria dello “small world”, che risulta utilissimo se applicato all’Information Security”: la predittività del modello. Come nel mondo reale è possibile modellare la diffusione delle informazioni, allo stesso modo nella Rete, conoscendo l’ubicazione dei nodi “aristocrartici” (ovvero i punti nel reticolo con il maggiore flusso di informazioni) e la loro interazione con il mondo circostante, è in linea teorica possibile prevedere l’evoluzione di una minaccia informatica, “semplicemente” monitorando e correlando le informazioni dalla rete di nodi focali posti all’interno del reticolo dello “Small World”.

L’idea di una rete globale di monitoraggio non è nuova ed è già utilizzata, ad esempio, da diversi produttori di sistemi IDS e antivirus: alcune tecnologie sono in grado di mettere a disposizione i dati raccolti all’interno di una rete di distribuzione globale. Chiaramente lo scopo consiste nel far attingere altri sistemi della stessa tecnologia dalla stessa base dati per tentare di classificare eventi anomali che non è stato possibile identificare con certezza. Un metodo analogo che fa sempre uso della distribuzione (ma è comunque statico) è quello utilizzato dai filtri o liste di reputazione utilizzate per bloccare alla radice le sorgenti di spam.

Se da un lato questo approccio è sicuramente utile per monitorare l’evoluzione di una minaccia e contenerla, il suo limite principale consiste nell’agire a posteriori, non essere predittivo e non essere in grado di arrivare al livello della sorgente (una volta che un dispositivo IDS rileva un evento anomalo, significa che la minaccia è gia in transito).

Questo è il motivo per cui diversi produttori di software di protezione degli endpoint (quelli che una volta si chiamavano comunemente “antivirus”) stanno brevettando tecnologie che affiancano agli usuali algoritmi basati su signature o euristici, tecniche di rilevazione in grado di identificare un file infetto in base al suo comportamento all’interno dello small world. La tecnica usa lo stesso punto di partenza degli algoritmi di classificazione citati in precedenza: vengono raccolte in un immenso database tutte le informazioni relative ai file anomali “raccimolate” dagli endpoint in cui è installato l’antivirus. Queste informazioni sono disponibili per il motore anti-malware prima che questo inizi la scansione (e non durante la scansione ad esempio per la effettuare la classificazione dinamica di un falso negativo).

Rispetto ai metodi tradizionali la novità sta nel fatto che i dati sono disponibili prima di iniziare la scansione. Questo perché l’obiettivo non risiede tanto nel consultare la base dati per determinare se un file sospetto è infetto o meno, quanto quello di fare in modo che l’antivirus sappia già che un file è infetto in base a caratteristiche dinamiche note a priori dal motore di scansione (tra cui ricade l’interazione del file con il mondo circostante) Ai più attenti non sarà nemmeno sfuggito il fatto che le informazioni utilizzate per gli algoritmi predittivi risiedono nel cloud e di conseguenza anche in queste funzioni innovative entre prepotentemente un modello di sicurezza originato dalla nuvola.

L’obiettivo finale della teoria del “piccolo mondo moderno” è quello di modellare con una equazione matematica l’evoluzione di diversi sistemi complessi presenti in natura, tra cui la stessa evoluzione dei virus informatici. Chissà che un giorno i motori di scansione non siano in grado di applicare il modello per prevedere esattamente l’evoluzione di un outbreak e fermarlo direttamente alla radice. E’ possibile, nel frattempo possiamo ingannare l’attesa guardando qualche film interpretato dal buon Kevin (Mystic River è sicuramente il migliore).