Vabbò, tradimenti e chiusure: i problemi della sicurezza informatica in Italia

Vabbò, tradimenti e chiusure: i problemi della sicurezza informatica in Italia
7 minuti di lettura

Non passa ormai giorno senza notizie di attacchi informatici. Argomento ancora poco comprensibile ai più, specialmente se abbinato poi a termini come ransomware, DDoS, malware, malspam. Quello che invece è ben comprensibile a tutti sono i danni provocati da questi attacchi.

Come ho scritto nell’articolo precedente, in questo ci sono spesso dietro motivazioni geopolitiche: ad esempio in questi giorni l’attacco/contrattacco Russia-Ucraina alle piattaforme di informazione e di logistica per favorire azioni militari; oppure qualche anno fa, lo spionaggio americano alle conversazioni telefoniche di Angela Merkel e alti vertici tedeschi. L’Informazione come “instrumentum regni”, parafrasando Machiavelli: il modo con cui al giorno d’oggi un Paese prevale su di un altro.

In tutto questo, qual è la conoscenza della Sicurezza Informatica in Italia? A parte alcune encomiabili eccezioni, la situazione è purtroppo spesso sconfortante. E visto che l’argomento non è preso sempre seriamente in Italia, provo a sintetizzare questa dannata leggerezza descrivendo quelle che qui chiamo le 4 fasi dei “Vabbò della Sicurezza”.

 

I 4 Vabbò della Sicurezza

Mi dispiace scriverlo, ma temo che questo sia il filo di pensiero di alcuni responsabili di Sicurezza Informatica in Italia, assunti negli anni ’80-’90 e che vivono ancora nel fasto e spensieratezza di quegli anni:

Il Vabbò della Derisione: “Eh vabbò, figuriamoci, mo chi mi attacca?”

Il Vabbò del Rifiuto: “Eh, mi stanno attaccando. Vabbò, ma tanto che ne sanno di come è fatta la mia infrastruttura? Figurati se lo scoprono.”

Il Vabbo’ dell’Incredulità: “Hanno visto come è fatta la mia infrastruttura. Vabbò, ma tanto che possono farmi ‘sti hacker?”

Il Vabbò della Resa: “Hanno pieno accesso ai miei dati. Vabbò, ma come hanno fatto?”

Beh, la realtà è che su questi 4 “Vabbò” un hacker ci costruisce su una carriera. Vi ricordate lo sfortunatamente celebre hack alla Regione Lazio, che disabilitò i servizi informatici laziali incluso quello per le vaccinazioni Covid-19? Bene. Succede poi che l’hacker finisca anche per sbeffeggiarti con un bel “Hello, Lazio!”.

Immagine ANSA dell’hack alla Regione Lazio

Oppure, come accaduto pochi giorni fa, ti costringe a sbraitare di fronte a una macchinetta dei biglietti di Trenitalia che non funziona.

 

Reazioni

Se le informazioni tecniche trapelate al pubblico sono corrette, i due casi che ho citato sopra (Regione Lazio e Trenitalia) sono vergognosi. Da licenziare immediatamente in tronco dirigenti e squadre responsabili: disastri simili non hanno un unico colpevole, ma sono il risultato di incuria e incompetenza di molti perpetrate in lunghi anni.

Ma dico io. Regione Lazio: a prescindere dal modo dozzinale con cui hanno violato i tuoi sistemi, come accidenti ti è calato in mente di mettere il backup dei tuoi dati online sulla stessa rete di produzione?  E la narrazione fantasiosa che ne è seguita (che prima parla di backup criptato dagli hacker, poi cancellato, poi magicamente ritrovato), mi fa sorgere il fortissimo sospetto che il riscatto sia stato pagato eccome. Spero di sbagliarmi, ma non sono il solo a pensarlo. Facendo un parallelo con la vita di tutti i giorni, la Regione Lazio ha praticamente lasciato le chiavi di casa nel buco della serratura, e quelle di scorta in bella vista sopra lo zerbino: benvenuti ladri.

E poi, altra cosa che noto spesso: ma come accidenti fai a non conoscere l’Inglese (come, da notizie tragicomiche che trapelano, pare essere il caso di Trenitalia)? È già fatto grave per chi lavora in Informatica nelle posizioni base / entry level. Figuriamoci poi per dirigenti e responsabili. Se chi si professasse esperto di Italianistica non avesse mai letto Dante, quale sarebbe la vostra reazione? Parimenti, se chi si occupa di Sicurezza Informatica non conosce l’Inglese ed è incapace di aggiornarsi davanti a sfide che vengono da tutto il mondo, cosa pensate possa succedere? Ve lo dico io: “Hello, Lazio!”; “Hello, Italia!”

E qui parlo di cose basilari. L’Abc. Non entro neanche nel merito delle competenze informatiche, quelle vere, in coding e sviluppo software, perché la conclusione è ovvia.

In tutto ciò, la classica reazione italiana è quella dei meme e degli sfottò. Ci si ride su. Nel caso del recente ransomware a Trenitalia (un ransomware, una cosa semplice da prevenire con sistemi decenti), i commenti sono del tipo “Attacco hacker a Trenitalia. Ora si spiega perché i treni stiano incredibilmente arrivando in orario”. A me invece questa vergogna ha fatto tornare in mente lo sfogo di Marcello Lippi molti anni fa quando allenava un’Inter di giocatori svogliati. Volgare sicuramente, ma giusto. Oggi, invece di chiedere giustamente teste, rimpiazzandole con persone capaci per avere finalmente un servizio degno, ci si limita solo a ridere e fare battute. Rabbia che si sublima in una risata. Riso amaro.

 

Spesa vs investimento

Ci tengo a rimarcare una cosa. Non c’è onta nel subire un attacco informatico: qualsiasi compagnia / ente di buone dimensioni o che gestisce informazioni di valore deve aspettarsi attenzioni indesiderate. È purtroppo la norma. Paradossalmente, questo è anche indice di importanza: una compagnia che non ha attacchi informatici vuol dire che è irrilevante.

 

Però c’è attacco e attacco

Penso a Stuxnet, che nel 2010 in Iran paralizzò siti industriali dediti al programma nucleare. Qui gli hacker che avevano costruito questo worm avevano sfruttato varie vulnerabilità zero-day di Windows fino addirittura a compromettere hardware e distruggere centrifughe per l’arricchimento dell’uranio. Si può essere d’accordo o meno con i fini, ma non si può negare che questo attacco sia stato un capolavoro di ingegneria. Così come si può disprezzare la vita dissoluta di un Caravaggio, ma allo stesso tempo si può rimanere incantati davanti ai suoi dipinti.

Penso poi all’attacco di Regione Lazio e Trenitalia, e mi viene invece lo sconforto. Un semplice ransomware, che poteva facilmente essere bloccato con difese minime. E invece gli hai spalancato le porte. Se sopra parlavo di Caravaggio, qua invece pensando ai sistemi di sicurezza messi in piedi da Regione Lazio e Trenitalia mi vengono in mente “opere”.

Immagine tratta dall’articolo di The Guardian sulle peggiori riparazioni artistiche di sempre

Se pensiamo alla Contabilità Aziendale, una delle lezioni più importanti è come classificare un esborso monetario: come spesa, oppure come investimento? Se pensiamo alla Sicurezza Informatica, il concetto è lo stesso. Se si continua a pensare che la Sicurezza Informatica sia una spesa da minimizzare, i risultati saranno sempre equivalenti agli obbrobri sopra. Se invece si cominciasse a fare un’analisi seria dei rischi e costi dovuti a una scarsa Sicurezza Informatica, si comprenderebbe bene che questa rappresenta invece un serio investimento per il futuro. Niente riscatti da pagare, nessun danno di immagine, architetture software moderne che come bell’effetto collaterale finiscono anche per rendere più motivato il dipendente che vi lavora e migliora il servizio al cliente. Non è questo un investimento da massimizzare?

 

Ingegneria Sociale e Tradimento

Sia ben chiaro. Molti degli attacchi informatici hanno un grado di sofisticazione tecnologica assai ridotto. La bravura di un hacker non è tanto quella tecnica, quanto quella di intelligence, ossia di scoprire informazioni: e questo un film cult come “Wargames” lo fa capire bene. Una catena è tanto forte quanto l’anello più debole, e quell’anello quasi sempre è rappresentato dalla persona umana. Per questo un hacker, per conseguire il suo obiettivo, fa molta “social engineering” (ingegneria sociale): studia le sue vittime, riesce ad adescarle ad esempio con phishing sempre più verosimile, e prosegue fino ad avere accesso ad account con privilegi sempre maggiori.

Da manuale è l’hack a Twitter del 2020, compiuto da Graham Ivan Clark, un teenager di 17 anni: “Mr. Clark (l’attaccante) convinse uno dei dipendenti di Twitter di essere un collega nel dipartimento di tecnologia e che aveva bisogno delle credenziali del dipendente per accedere al portale servizio clienti - afferma una dichiarazione sotto giuramento penale della Florida. Alla fine dell’attacco, gli hacker avevano violato 130 account e sollevato nuovi e significativi interrogativi sulla sicurezza di Twitter.”

Non c’è solo l’ingegneria sociale. Ci sono anche altre strategie “vecchia scuola” meno tecnologiche, ma molto efficaci e che a loro modo purtroppo raggiungono lo scopo. Una di queste è il tradimento del dipendente. Un “rogue employee” (come lo chiamano gli Americani) che può passare informazioni a un rivale. È questo il caso di Leonardo (ex Finmeccanica): colosso italiano in settori quali aerospazio, armamenti e cybersicurezza. Eppure qui alcuni dipendenti (tra cui addetti proprio alla cybersecurity) hanno trafugato dall’interno per anni segreti industriali e informazioni relative a velivoli civili e militari. Oppure, senza ricorrere ad enti esterni, un “rogue employee” può lucrare sulla compagnia stessa in base ai privilegi tecnologici in proprio possesso: un altro film cult come “Office Space” (in italiano “Impiegati... male!”) è a suo modo illuminante in questa scena.

Infine, un traditore nel senso letterale della parola. Questo pare essere il caso di Walter Biot, ufficiale della Marina Militare, arrestato con l’accusa di avere venduto segreti militari italiani ai russi. Caso che sinceramente, da Italiano, mi auguro verrà smentito negli appositi tribunali, ma che comunque lancia un serio avvertimento su questi rischi.

 

E allora?

In un mondo in cui - purtroppo - molte persone hanno un prezzo, fino anche a vendere il proprio Paese agli stranieri, c’è solo una strategia valida. Assumere che tutto sia pubblico.

Lo stesso Der Spiegel, nel caso dello spionaggio americano contro la Merkel, riporta che la cancelliera tedesca “ha spesso detto, tra il serio e il faceto, che lei opera con l’assunzione che le sue chiamate telefoniche siano monitorate”. Anche se lei aveva in mente attacchi dai nemici, e non da coloro considerati come alleati. Ripeto. Bisogna assumere che tutto sia pubblico. Come diceva Claude Shannon, il padre della Teoria dell’Informazione, “the enemy knows the system being used”: “il nemico conosce il sistema in uso”. Bisogna quindi partire sempre dal presupposto che il ladro sappia la planimetria della casa, in modo da organizzare le difese in maniera veramente efficace.

D’altronde, se passiamo nella sfera pop, gli esempi in questo non mancano. Fu proprio trafugando gli schemi tecnici della Morte Nera che l’Alleanza Ribelle scoprì e sfruttò la vulnerabilità fatale nel condotto di ventilazione. Se Darth Vader avesse creduto un po’ meno nella Forza e ascoltato un po’ di più Shannon, questo non sarebbe mai successo

Lo ripeto ancora. Bisogna assumere che tutto sia pubblico. Codice, infrastruttura, flussi. Ma allora, in cosa consiste la sicurezza? Lo spiega benissimo Auguste Kerckhoffs, un crittografo militare del 1800: il suo celebre principio afferma che la sicurezza di un sistema crittografico deve risiedere unicamente nella scelta delle chiavi; qualsiasi altra cosa, (incluso l’algoritmo stesso) deve essere considerato informazione pubblica.

La custodia delle chiavi crittografiche segrete riveste quindi un ruolo fondamentale, e il sistema deve essere comunque organizzato per garantire l’operatività quotidiana e il suo ripristino in caso di disastro o emergenza. Il tutto richiede un cambio drastico di prospettiva a livello umano. Comprendere che il modo migliore per difendersi sia aprirsi, e non tenere invece tutto nascosto nella convinzione (errata) che non succederà nulla: è un rovesciamento totale di una filosofia a cui molti erano abituati e che forniva un falso senso di sicurezza. E capisco che non sia semplice abituarsi.

 

Sicurezza aperta

“L’attacco è il segreto della difesa” è questo uno dei commenti nell’Arte della Guerra di Sun Tzu. Vuol dire che la proattività risulta molto più decisiva nello sconfiggere il nemico che non l’attendere passivamente un suo attacco a cui si può risultare impreparati.

Se trasliamo questa filosofia dall’ambito militare a quello civile informatico, vediamo che la difesa migliore di un sistema informatico consiste NON nel chiudersi a riccio (la cosiddetta “security through obscurity”, ossia sicurezza tramite segretezza), perché prima o poi il nemico verrà in possesso di quello che si teneva nascosto e sfrutterà le varie e molte debolezze. La difesa migliore consiste nel progettare il sistema informatico sin dall’inizio in maniera sicura (“security by design”) tenendo a mente che il nemico lo conosce o lo conoscerà alla perfezione (con l’eccezione delle chiavi crittografiche). A questo punto, ha pienamente senso condividere al pubblico codice software, design, algoritmi: essere totalmente trasparenti in modo da promuovere collaborazione attiva della comunità degli sviluppatori.

Forse pochi se ne rendono conto, ma ormai la stragrande maggioranza dei servizi che usiamo (Facebook, Amazon, Google) si basa su Linux: un sistema operativo totalmente aperto, che negli anni ha scalzato il dominio di Windows dal mondo server. Lo stesso Android, sistema su cui molti di voi staranno leggendo questo articolo, segue nelle sue componenti base questo principio di apertura.

Allo stesso tempo, vanno assolutamente create e incentivate iniziative di bug bounty. Ossia, ricompense alle persone che trovano bug, vulnerabilità e magari offrono soluzioni. D’altronde questo è alla base della cosiddetta Legge di Linus, che prende il nome proprio dal creatore di Linux, Linus Torvalds: “Dato un numero sufficiente di occhi, tutti i bug vengono a galla”.

Il “bug bounty” è un sistema di collaudata efficacia molto usato dalle grandi compagnie americane, ad esempio Facebook/Meta. Non lo è invece ancora affatto in Italia: vuoi perché ci si sente più sicuri tenendo tutto chiuso (sbaglio colossale come ho spiegato prima), vuoi per la dannata scarsa considerazione dell’Informatica in Italia. Pagare qualcuno a passare tempo al computer e strimpellare parole strane di codice? Per di più “ragazzini” (come spesso sono etichettati). Figuriamoci se ha importanza… Certo. Fino a quando non si viene salutati da un bel “Hello, Lazio!”.

Che dire a quel punto? Eh, vabbò…