La scandalosa banalità del caso Occhionero

Un “phishing qualsiasi” balza agli onori della cronaca. Il re è sempre più nudo e nessuno se ne preoccupa
di Andrea Monti – PC Professionale online del 17 gennaio 2017
Il caso Occhionero è, nella sua scandalosa banalità, la prova provata che la sicurezza informatica è come il barile di alici comprato e rivenduto in un circuito di commercianti ebrei, con il prezzo maggiorato a ogni transazione. Quando l’ultimo del giro vende il barile di alici a un irlandese, riceve subito una protesta essendo il pesce totalmente marcito. Al che, il venditore risponde: “ma perché, lo hai aperto?”

Sarà una deformazione professionale, ma non “getto sentenze” sui protagonisti di questa storia. A parte l’ordinanza che applica la misura cautelare (ampiamente disponibile online) non ho altre informazioni che posso utilizzare liberamente per esprimere un’opinione sul merito della vicenda e quindi preferisco tacere.

Posso, però, fare qualche considerazione sul circo Barnum dell’informazione che, con puntualità svizzera, si è animato alla notizia dell’ennesimo caso di phishing riproponendo un copione fatto di cliché e luoghi comuni. Nessuno che si sia domandato perché non fanno più notizia gli attacchi di phishing sempre più sofisticati sferrati contro le banche, mentre finisce in prima pagina il caso Occhionero.

Certo, si potrebbe rispondere, il caso Occhionero merita il dovuto risalto perché è un’azione di spionaggio a danno dei “potenti”, mica un’operazione truffaldina di qualche delinquente balcanico che ruba i risparmi a studenti e casalinghe mandando in giro qualche virus che ruba password e codici utente.

Già, dal punto di vista dei “media”, chi danneggia concretamente la vita di tante persone è “niente”, mentre fa notizia qualcuno che si fa i fatti altrui utilizzando gli immancabili “sofisticatissimi strumenti informatici” immancabilmente comprati nel “deep purple” ah, no, quelli sono la rockband, volevo dire “deep web”.

Ma non c’è veramente niente di nuovo nel caso Occhionero. Mi sembra di tornare ai tempi del caso Telecom-SISMI – siamo al 2006 – pure caratterizzato dall’uso di un virus chiamato “l’animalo” che, allegato a una mail, sottrasse dal portatile dell’amministratore delegato di un gruppo editoriale il piano industriale dell’azienda.

Undici anni e, con qualche minima variazione sul tema, suona ancora la stessa canzone: “una mail, un virus allegato, un account o un file rubato”.

Eppure, quando sempre lo stesso circo Barnum – politica compresa – si occupò della vicenda Telecom-SISMI si disse che fatti del genere non si sarebbero mai più dovuti ripetere, che bisognava mettere la sicurezza dell’informazione al centro dell’agenda, che bisognava cambiare mentalità e smettere di considerare la protezione dei sistemi informativi come un “costo secco”.

Discorsi che sento fare, sempre uguali da almeno vent’anni, senza che sia cambiato nulla, se non il listino dei prodotti “security oriented”, le facce dei venditori e il nome di qualche relatore nei soliti “convegni di genere” dove si continua a vendere ossessivamente la solita “sicurezza di carta”, fra paraonia e scaramanzia. Si perché la storia dimostra che l’approccio alla sicurezza informatica è analogo a quello riservato ad altri ambiti dove la sorte – pardon, la statistica – la fa da pardona.

Cade un aereo? Per fortuna non c’ero io sopra. Scoppia una bomba e qualcuno muore? Pazienza, come cantavano i Negrita in Radio Conga, siamo in tanti. Mi hanno rubato un miliardo di account? Business as usual.

Per dirla in romanesco, a chi je tocca, nun se ‘ngrugna – non se la prenda quello a cui “tocca”. E dunque avanti così, mentre la notizia del caso Occhionero perde spinta e posizionamento sulle pagine dei giornali, fino a quando cadrà finalmente nel dimenticatoio e poi – grazie al “diritto all’oblio” – scomparirà dagli indici di Google. Ma solo fino alla prossima reincarnazione di una vicenda che, nel suo nucleo, è sempre uguale a se stessa.

Così, grazie al rapido decadimento della memoria a breve termine, non scopriremo mai l’identità – o quantomeno la qualifica – dei soggetti istituzionali che sono stati così superficiali e disattenti dal cadere nella trappola di un banale phishing, senza nemmeno accorgersene nei giorni successivi. Così come non sapremo mai quali “segreti” sono stati carpiti per loro esclusiva responsabilità. E, ovviamente, nemmeno sapremo quali punizioni sono state irrogate a questi soggetti che hanno messo a rischio informazioni critiche per la sopravvivenza dello Stato.

Ma non vi preoccupate: è già pronto un tavolo di confronto ai massimi livelli per analizzare la problematica da ogni punto di vista, per fornire una risposta efficiente alla richiesta di sicurezza informatica in un contesto in cui le cyberminacce hanno assunto una rilevanza che va oltre gli scenari ai quali siamo tradizionalmente abituati, blah, blah, blah.

E i delinquenti (veri) nel frattempo sentitamente rigraziano.

Possibly Related Posts: