Andrea Aparo
Esiste un pirata digitale veramente "furbo"? Viene il dubbio che ci sia, piuttosto, qualche stupido di troppo fra i responsabili dei sistemi informatici. Ecco, poi, una realtà deprimente: milioni di persone sono del tutto impreparate al buon uso del computer. Quasi sempre buchi e bachi che permettono indebite intrusioni sono il risultato di inaccettabili imperizie e catastrofiche ingenuità.
1.
Voi che andate a leggere queste righe di certo avete un
telefono cellulare.
Signore o signori, avete preso la briga e di certo il
gusto di cambiare il codice di accesso alla segreteria telefonica, il canonico
1234 con cui il servizio viene attivato? Vi vedo impallidire in molti. Se poi
qualcuno entra nella vostra segreteria telefonica e sente i messaggi che vi
hanno lasciato, magari anche quelli che è opportuno sentiate soltanto voi, non
prendetevela con il pirata di turno che illegalmente ha preso qualcosa che vi
appartiene. Prendetevela con voi stessi.
Già. Non esiste un pirata digitale
furbo. Esistono tanti responsabili di sistemi, informatici e non, stupidi.
Lettori esclusi, naturalmente. Affermazione forte, direte voi. Vediamo di
spiegarla.
Una volta c'erano dei bei sistemi informatici centralizzati.
Tecnici in camice bianco servivano macchine imponenti in sale asettiche, dove
gli unici rumori erano il ronzio dell'aria condizionata e il ticchettio delle
stampanti. Era un periodo feudale. Quanto più grande era la macchina, tanto più
importante il centro di elaborazione dati, tanto maggiore il prestigio. Erano
tanti castelli fortificati, circondati da fossati e altre barriere d'accesso. Il
comune mortale non poteva metterci piede. La sicurezza era garantita anche
perché non c'erano assalitori di sorta.
In un battito di ciglia il contesto
cambia drammaticamente. Inizia la corsa al Far West. Ondate successive di
pionieri percorrono le polverose piste della rete per conquistare i nuovi domini
del ciberspazio. Sono onesti lavoratori, alla ricerca di nuove opportunità di
mercato. Facile bersaglio per quelli dalle dita veloci, capaci di estrarre una
tastiera più velocemente di una sei colpi...
2.
La rete nasce e dipende dalla fiducia reciproca dei suoi
utenti. Miliardi e miliardi di bytes di informazioni viaggiano incessantemente
da un nodo all'altro della ragnatela globale accompagnati da una semplice
stretta di mano. Non tutti sanno che i messaggi di posta elettronica possono
essere letti da molte altre persone oltre al destinatario. Non sanno neanche che
possono essere modificati, manipolati al punto che nessun messaggio ricevuto
sulla rete può essere attribuito con certezza a chi lo ha inviato. Se ricevete
per sbaglio il gentile messaggio che la vostra compagna ha inviato a un altro,
forse non è detto che si sia sbagliata lei. Può essere stato lui perché non sa
come uscirne fuori... Se invece ricevete una mail particolarmente intrigante,
forse in quel momento qualche linea di codice nascosta nel messaggio sta
leggendo tutto quello che avete sul vostro pc per poi mandarlo a chissà chi,
chissà dove...
Gli impostori digitali possono commettere atti criminali o
completare transazioni. Possono perfino assumere la vostra identità e carpire
segreti a ignari colleghi e collaboratori.
3.
Nulla di nuovo sotto il sole. Ogni volta che c'è un territorio,
più o meno protetto, ci sono possibilità di trovare "scorciatoie". Una volta ci
si limitava al bracconaggio. Con la rete telefonica esistevano manovre
particolari. In Italia c'era quella denominata del "3 selvaggio". No, non scendo
nel dettaglio operativo. Basti sapere che all'epoca dei telefoni a gettone
consentiva di fare interminabili interurbane a costo zero. Quando si
riagganciava il gettone veniva restituito. Peccato che poi il telefono in
questione era definitivamente fuori uso. Negli Usa diventò famoso "Captain
Crunch" al secolo John Draper. Scoprì che una leggera modifica al fischietto
regalato dai cereali per la prima colazione produceva il suono a 2600 Hertz che
permetteva di sbloccare i sistemi di protezione delle linee interurbane della
At&t. Una storia di quarant'anni fa che continua a tutt'oggi.
Non c'è
niente di nuovo. I responsabili dello sviluppo delle nuove tecnologie continuano
a fare sempre gli stessi errori. L'ho già detto e lo ripeto: non ci sono pirati
furbi, soltanto tecnici scemi. Si continua a pensare che il modo migliore per
accrescere la sicurezza di un sistema sia quello di tenere segrete le sue
vulnerabilità. Errore. I servizi segreti statunitensi hanno valutato che le
truffe telefoniche nel 1994 ammontavano a 2,5 miliardi di dollari. L'industria
parla di danni compresi fra il miliardo e i nove miliardi di dollari. Da allora
il volume del traffico non ha fatto che aumentare. Secondo il Cert (Computer
emergency response team), le intrusioni pure. Nel 1988 ci sono stati
soltanto sei rapporti di incidenti sulla rete; sono cresciuti a 773 nel 1992,
2573 nel 1996, 9859 nel 1999.
Ogni nuova tecnologia fa nascere nuove tecniche
truffaldine. Coi cellulari si è inventata la tecnica della clonazione. Si
riprogramma il numero seriale e il numero telefonico di un cellulare pirata con
quello di un cellulare onesto, e il gioco è fatto. No, non vi dico come.
4.
Poi è nata Internet. Anno 1969. All'inizio si chiamava Arpanet,
dove Arpa vuol dire Advanced research project agency del dipartimento
della Difesa americano. Nessuno si preoccupò degli aspetti di sicurezza. La rete
era usata solo da ricercatori che avevano una morale condivisa, dei
comportamenti non devianti, una stessa etica. Al crescere della dimensione della
rete, del suo traffico, le caratteristiche degli utenti cambiano. Pochi si
rendono conto della complessità del contratto sociale che consente alla rete di
esistere. Nel 1988 Robert T. Morris junior, studente alla Cornell University,
blocca la rete per un paio di giorni, dopo avere lanciato un programma
apparentemente innocuo. La vulnerabilità di Internet diventa l'argomento del
giorno. Non occorre essere intelligenti per entrare nei sistemi altrui. Basta
avere un pochino di pazienza. Basta monitorare il traffico di una macchina in
rete, aspettare che qualcuno acceda ai livelli privilegiati, tipicamente da
amministratore di sistema, leggere la sua password dalla memoria del computer e
il gioco è fatto. Non c'è cartella, documento, programma che non possa essere
copiato, modificato, distrutto. Ogni strumento che si usa in rete può essere un
grimaldello, se si sa come usarlo.
La tecnologia evolve così rapidamente che
molti non sanno neppure quali erano quelli che si usavano un po' di anni fa:
sono ancora validi, funzionano alla grande. Qualche nome: Gopher, Finger, Ftp,
Telnet. Gopher, ad esempio, - no, non vi dico cos'è, scopritelo da soli - ha dei
buchi di sicurezza tali che consente di accedere non solo alle cartelle
pubbliche ma anche a quelle riservate che si trovano su un computer. Gli
"esperti" dicono che è poco sicuro solo se non viene configurato correttamente.
Vero. Peccato che siano molto pochi quelli che sanno farlo. Quella della
configurazione sbagliata è una giustificazione classica. Funziona sempre e non
si sa mai di chi sia la colpa.
5.
C'è il problema della crescente complessità dei sistemi
operativi. Ce n'è uno, abbondantemente usato, che nel 1991 era costituito da tre
milioni di linee di codice, nel 1995 ne aveva 15 milioni e nel 2000 è arrivato
alla trionfale cifra di 50 milioni di linee. Il numero d'errori di solito non
cresce in modo lineare. Quanto più aumenta il numero totale delle linee di
codice, tanto più cresce la probabilità che ci siano bachi, buchi, crepe e
crepacci. Ce ne sono di tutti i tipi: errori nel pianificare i sistemi, negli
algoritmi, nei sistemi di protezione, nei sistemi operativi, negli applicativi.
Continuate la lista, è facile. Qualunque componente che abbia a che fare con
l'informatica, le telecomunicazioni e l'elettronica va bene.
Ciascun errore,
ciascun baco è, per i sistemi informatici, una vera porta di entrata non
controllata perché non si sa dove si trova, se non quando è troppo tardi poiché
qualcuno l'ha già varcata per fare danni. Quando se ne scopre una, chi produce
il software si preoccupa di chiuderla. Naturalmente informa tutti: sia gli
utenti onesti sia gli altri. Se non siete abbastanza solleciti a metterci la
toppa, esiste la seria possibilità che qualcun altro, non sempre animato da
buone intenzioni, la usi per infilarsi nel vostro sistema. Possono essere
dolori.
6.
Come proteggersi dai tanti pericoli. Una soluzione è quella di
non usare la rete. Difficilmente proponibile.
Se non si può fare a meno di
usarla, il primo livello di difesa è quello di conoscere e diffondere la cultura
della sicurezza. Sono troppi coloro i quali scrivono la propria password sul
personal computer per evitare di dimenticarla. Oppure usano il loro nome di
battesimo, la data di nascita, la targa della macchina, il nome dei figli o
quello dell'amante. Sapete qual è la password più usata in Italia secondo una
recente indagine? Pippo. E la seconda più in voga? Pippo1.
Una delle
tecniche più usate per avere accesso ai sistemi è quello della "Social
engineering". Mai capitato che un vostro collega vi chieda di farlo entrare sul
sistema con la vostra macchina perché la sua è fuori uso? Ovvio che si dice di
sì. Però non ditegli qual è la vostra password. Digitatela voi, chiedendogli di
girarsi dall'altra parte. Con un po' di allenamento è facile memorizzare la
sequenza di tasti che pigiate. D'altronde, non fate lo stesso con il codice del
Bancomat?
Se dovesse chiamarvi l'amministratore di sistema per chiedervi la
vostra password, ditegli che sarete felici di offrirgli anche un caffè se
passerà a salutarvi. Di persona.
State attenti anche a ciò che buttate nel
cestino. Non stampate i documenti riservati e confidenziali. Leggeteli sul
video. Sarà più scomodo ma certamente più sicuro.
Se qualcuno vi spedisce
"una delizia di programmino", non apritelo. Mai. Almeno non fatelo sulla vostra
macchina di produzione. Se poi siete proprio insanamente curiosi, trasferitelo
su un dischetto, andate su una macchina da quarantena, pronta per essere
infettata da qualsiasi cosa, tanto "basta riformattarla e tutto va bene", e
provate a vedere cosa accade.
7.
Il secondo livello di sicurezza sono i firewalls. Le porte
antincendio. Sono dei dispositivi che esaminano tutti i pacchetti di dati che
entrano e lasciano un certo sistema, in gergo di rete si chiama "dominio", che
limita le possibilità di andare in giro per la rete e anche il numero di servizi
di cui ci si può avvalere. Non vi proteggono però da attacchi basati
sull'"e-mail bombing" o dal "denial of service", dove il pirata blocca il vostro
sistema per eccesso di traffico. In altre parole provoca un ingorgo mostruoso di
pacchetti e nulla si muove più.
Riesce in qualche modo a proteggervi da
virus, vermi, cavalli di Troia e altre varie nefandezze informatiche.
I
virus. Entrano con la posta elettronica, con i floppy-disk, con i cd-rom
scaricando materiali dalla rete.
I virus informatici sono costituiti da una
sequenza d'istruzioni e non sono associati alla macchina in quanto tale, ma alle
istruzioni che tale macchina esegue. Si comportano in maniera analoga a ogni
virus biologico che incorpora materiale genetico particolare e lo utilizza per
replicarsi.
Nei virus informatici la sequenza di istruzioni viene utilizzata
dal virus stesso per replicarsi automaticamente. Il codice informatico è di
fatto funzionalmente identico al Dna che caratterizza i sistemi viventi.
Infatti, come i virus biologici sono in grado di replicarsi, anche quelli
informatici creano copie identiche o modificate di se stessi. Crescono di numero
di anno in anno, migliorano le loro capacità di riprodursi e di infettare
sistemi o reti a velocità sempre crescente. Sono stabili e "funzionano" su una
grande varietà di macchine e sotto diversi sistemi operativi. Molti sono in
grado di aggirare i meccanismi di difesa per nascondersi, replicarsi e infettare
sistemi o reti.
Sono nocivi, da evitare. Però giocano un ruolo importante.
Sono indispensabili per fare evolvere le difese immunitarie dei sistemi, per
accelerare e rendere più efficace la selezione naturale. E' meglio contrarre le
malattie esantematiche dell'infanzia quando si è piccoli. Una varicella presa da
grandi può fare disastri. L'importante con i virus è sapere che ci sono,
minimizzare le conseguenze di un contagio, evitare le epidemie.
8.
Il terzo livello, l'unico valido, è quello della crittografia.
Non soltanto garantisce la privacy ma assicura anche l'autenticità dell'identità
di chi spedisce informazioni. Peccato però che ci siano in ballo problemi enormi
dal punto di vista politico e di sicurezza degli Stati. Si può avere una
situazione in cui uno Stato non sia in grado di sapere cosa dicono i suoi
cittadini? In molti affermano che la privacy totale non può esistere se si vuole
conservare uno Stato democratico. Ci si chiede se la privacy è un diritto
assoluto o qualcosa che occorre guadagnarsi in base al proprio comportamento nel
tempo. Domande difficili, dalle risposte altamente imbarazzanti.
9.
La cultura della sicurezza è ovviamente una dimensione
"totale"; coinvolge infatti tutti e tutta l'organizzazione.
Domanda. Avete
già provveduto a predisporre un adeguato programma di sicurezza? Sapete che
cos'è?
Un programma di sicurezza prende le mosse dalla valutazione dei
rischi possibili. Per implementare un efficace sistema di protezione delle
proprie risorse è indispensabile identificare i pericoli da cui difendersi.
Catalano non potrebbe esprimersi meglio, vero? La "valutazione del rischio" è un
processo organizzato volto a individuare le vulnerabilità.
Per ogni sistema,
indipendentemente dalla dimensione e dalla sua connettibilità o connessione,
occorre identificare le fonti di rischio potenziale, i "beni" vulnerabili e
dunque a rischio di perdita, i luoghi fisici dove si può incorrere nel
rischio.
Non trascurate nulla. Nonostante i miti e le leggende sui pirati
varii, la stragrande maggioranza dei casi di danni e intrusioni è da imputare a
impiegati insoddisfatti o truffaldini. Outsiders o impiegati che fanno uso
improprio o non autorizzato di servizi informatici o che si appropriano di
applicativi, dati, macchine. Poi ci sono i disastri naturali quali incendi,
alluvioni, cadute di corrente, interruzione delle comunicazioni; disastri non
naturali, come il rubinetto lasciato aperto nel locale bagni situato proprio
sopra la sala macchine...
La lista dei beni può essere molto, molto lunga:
locali fisici, sistemi fisici (Hw), personale, applicativi, dati, memorie di
massa, servizi, documentazione, reputazione. Già. Quanti di voi cambierebbero
banca se sapessero che i suoi sistemi sono stati piratati? Meditate, meditate.
Certo che tutto ciò costa, e non poco. Nel 1999, un'analisi effettuata su 327
aziende negli Usa ha concluso che il danno subito per furto di informazioni era
pari a 442 miliardi di dollari. La sottrazione di pc è costata 13 miliardi di
dollari. Le intrusioni nel sistema si sono portate via due miliardi di dollari.
Il conto è parecchio più lungo.
10.
Qualche piccolo suggerimento di verifiche da effettuare per
migliorare in modo semplice ma efficace i propri sistemi.
Occorre essere
certi che tutti i componenti, siano essi hardware o software, siano "fail safe".
Se si verifica un qualsiasi malfunzionamento o guasto, la sicurezza
dell'esercizio non diminuisce. Nel caso limite di un particolare computer sotto
attacco, è necessario avere sempre la possibilità di spegnerlo senza provocare
guai. Deve essere in ogni circostanza possibile ripristinare il sistema, nel
caso di guasti o di eventi, naturali o dolosi, allo stato in cui esso si trovava
prima del verificarsi dell'evento stesso, e ciò in un tempo ragionevole e
prefissato.
Ovviamente tutto questo deve valere tanto per la ferramenta
quanto per il software. A ogni livello, dal sistema operativo alle applicazioni
e ai relativi file di configurazione. Bisogna aggiornare in modo continuo tanto
l'hardware quanto il software, controllare la completa sincronizzazione dei
programmi, aggiornare le varie "patches" distribuite dal fornitore per chiudere
i vari "buchi" e bachi, man mano che vengono scoperti.
Periodicamente
occorre mettere alla prova il proprio sistema, simulando guasti, effettuando dei
test di penetrazione, sia interna che esterna, e bisogna essere certi che siano
adeguate le procedure per l'effettuazione delle operazioni di manutenzione e per
il trattamento dei supporti di memorizzazione obsoleti.
La responsabilità del funzionamento e della sicurezza del sistema deve essere
affidata a persone distinte e collocate nella struttura organizzativa in modo
tale che in alcun modo il responsabile dell'esercizio possa influire sulla
carriera/retribuzione del responsabile dei controlli interni di sicurezza.
Troppe volte controllore e controllato sono parenti stretti.
Le procedure per
l'accertamento della qualità delle verifiche effettuate dal responsabile dei
controlli interni di sicurezza sull'operato del team di gestione devono essere
adeguate. Non deve esserci la possibilità di inventare scuse, se qualcosa va
male, e deve essere sempre possibile individuare, inequivocabilmente, in un
apposito registro (lo si chiama "log file" in tecnichese), l'autore di una
qualsiasi operazione sul sistema.
Il log file non serve a nulla se non è
garantita nel tempo la sua integrità e disponibilità per il periodo
concordato.
Insomma, da fare ce n'è davvero, e anche tanto.
11.
Un ultima parola sugli hacker. La maggior parte di loro sono
molto bravi e fondamentalmente onesti. Si divertono e non sono mossi da
ideologie più o meno pericolose. Inutile punirli per ogni più piccola cosa, per
piccoli scherzi che danneggiano veramente solo l'ego del responsabile del
sistema. Occorre evitare che vadano alla macchia perché si sentono perseguitati.
Così nasce il terrorismo, di qualunque natura.
Per sapere chi sono, cosa
fanno, su cosa lavorano basta tenere aperto il dialogo, dargli spazi in cui
esercitarsi e giocare. Sono una risorsa preziosa. Ci aiutano a evolvere, a
migliorare.
Cerchiamo di non dimenticarlo. Mai.