Riprendo a scrivere su questo blog dopo parecchio tempo e circa 86000 incredibili visite dopo. Il post su come installare MacOSX su un normale PC ha fatto (e continua a fare) faville garantendo una visibilità decisamente inaspettata.

L’argomento per cui torno a scrivere è la sicurezza informatica, la solita passione.

Ultimamente mi sta a cuore per motivi particolari che ora non starò a descrivere, ma ho una riflessione sul mercato che voglio scrivere e condividere.

Sono 20 anni che termini come DoS, cracking e compagnia bella ci accompagnano praticamente tutti i giorni. In particolare negli ultimi tempi sono stati prima i ragazzi di Anonymous, poi quelli di LulzSec a garantirci ore di assoluto interesse verso un campo che, a parte tra gli specialisti, non riscuote poi tutta l’attenzione che si meriterebbe. Così, salito alla ribalta delle cronache, il nostro settore ha destato l’attenzione di tutti quei giornalisti di tv e giornali ansiosi di fare notizia, pur non sapendo nulla o quasi al riguardo. Una volta appurato però che non erano certo notizie o scoop che gli sarebbero valsi il premio Pulitzer o la sedia da anchorman hanno ben pensato di dimenticarsi tutte le vicende in fretta e furia.

Diverso è stato, fortunatamente, il discorso per i giornalisti che operano online e che con l’online ci vivono. Buona parte di loro si è interessata attivamente al problema dedicandogli quantomeno un misero spazio o una menzione. Poco, ma almeno l’intenzione c’era.

Così, a parte i defacciamenti più clamorosi, è passato quasi in sordina il mese e mezzo che il PlayStation Network ha passato offline, non si è praticamente parlato del massiccio leak di informazioni personali dai database di alcune università italiane, né tantomeno ho notato servizi sul defacciamento, clamoroso a dir poco, del sito di Vitrociset (l’azienda che si occupa delle mansioni della Polizia Postale, mica dei poveretti).

Aldilà della delusione nel non vedere minimamente riportate queste notizie che, senza prese di posizione di parte, ritengo estremamente importanti, ciò che mi ha colpito è stato l’atteggiamento ancora ostinatamente chiuso di tutti. Ovunque abbia letto, o quasi, si è parlato di un impellente bisogno di rinforzare le difese tecnologiche delle infrastrutture, di necessità immediate di riprogettazioni delle strutture e altre stupidaggini annesse.

Ciò che sembra essere passato sotto gli occhi di tutti è il modo in cui questi soggetti hanno avuto accesso ai portali di cui hanno preso il controllo. Maghi dell’hacking? Geni del cracking? Mesi di pianificazione e decodifica di password?

No. Esercizi di astuzia e psicologia. Nulla di più, nulla di meno. Come teorizzato da tutti i più grandi esperti di sicurezza informatica (per giustizia divina cito solo Kevin Mitnick, che può essere considerato una delle figure più prominenti del settore), l’anello debole dei sistemi informatici sono sempre gli esseri umani.

Che senso ha costruire reti impenetrabili, spostare fisicamente e rendere inaccessibili, a meno di salti mortali, server nascosti e dozzine di queste strampalate idee se poi l’amministratore di rete o chi per lui usa come password i nomi dei suoi figli? Che senso ha costruire fortezze inarrivabili e irraggiungibili (che rendono le gestioni tremendamente complicate se si verifica un imprevisto) se persino i form di login sono costruiti alla mentula canis (per chi non avesse studiato il latino o si accontenta di linguaggio popolare, legga “alla cazzo di cane”)?

Uriel, giusto un mese fa, tirava fuori un discorso assolutamente meritevole di attenzione al riguardo.

La somma dei tre atteggiamenti di cui sopra , di fatto, fa si’ che su internet , almeno nel mondo dei privati:
  • Il 70% dei sistemi e’ aperto come una cozza gia’ agli script kiddies, cioe’ a gente che non sa cosa fa ma scarica e si scambia degli script per la rete. Nella classificazione del DoD americano, da 0 a 0.9.
  • L’80% dei sistemi e’ aperto come una cozza gia’ agli hacker di livello mediocre. Nella classificazione del DoD americano, da 0.9 a 1.5
  • Il 95% dei sistemi e’ aperto come una cozza gia’ ad un hacker che comincia a sapere cosa fa. Nella classificazione del DoD, da 1.5 a 2.2. (dal 2.2 in poi, sino a 5,  dipende da caso a caso).

E’ questa la realtà. Che ogni anno, ogni mese, ogni giorno vengono spesi tantissimi soldi inutili in massimi (?) esperti della sicurezza che sono in grado di costruirti reti che quanto a livello di sicurezza fanno impallidire anche Alcatraz e Sing Sing, quando la debolezza è un altra, ovvero che la gente non sa quello che fa. La gente che con quelle infrastrutture deve lavorarci ogni giorno, siano essi sistemi di gestione di una centrale nucleare o del blog aziendale, non ha idea del pericolo a cui espone la propria azienda ogni giorno.

Sono sistemi in cui mi basta trovare una password (ovviamente unica per tutti i servizi online, nella maggior parte delle persone) e ho già fatto l’80% del lavoro. Mi basta una telefonata, una mediocre interpretazione e ho le informazioni di cui necessito. La gente non sa, figuriamoci se sospetta.

I sistemi sono generalmente costruiti per difendersi dall’esterno, non certo dall’interno. Come difendi il caveau di una banca se i ladri sono già dentro alla chiusura, con tutti gli strumenti, le telecamere spente e tutto il tempo necessario? Semplice: non lo difendi.

Ecco perché si torna al discorso che, ora come ora, l’informatica non è per tutti. Che bisogna investire in costi di formazione per il personale, che bisogna sensibilizzare tutti su questo discorso.

Le recenti mosse (sagge) del governo prevedono finalmente una sorta di e-gov anche da noi, con buona parte dei servizi amministrativi offerti online. Lo ripeto di nuovo: finalmente. Non colmerà le lacune che ci separano da paesi ben più organizzati e avanzati di noi, ma almeno mi permetteranno di non fare 3 ore di fila per chiedere un banalissimo servizio che potevo fare anche da solo in comune.

L’unico problema è la massa di ignoranti (leggasi: impiegati statali) messi lì non si sa come (o meglio, si sa ma non si dice) che avrà accesso alle parti amministrative di questi servizi. Per come la vedo io, comunque, non avranno affatto accesso ai servizi online, ma avranno molto più tempo per stare su Facebook e fare i cazzi loro.

Che gli venga almeno insegnato a non danneggiare tutti, solo per il loro gusto di farsi i cazzi propri al lavoro.