WannaCry… on the spilled milk ovvero: piangere sul latte versato serve, ma solo se si impara qualcosa

Se ci fosse una reale attenzione alla gestione della sicurezza, oggetti come Wannacry farebbero di certo molto meno danni. Ma i fatti ci dicono che le cose possono solo peggiorare se le istituzioni e i poteri forti non iniziano a fare qualcosa di concreto.
di Andrea Monti – Key4biz.it del 16 maggio 2017
Piangere sul latte versato a volte serve. O, meglio, servirebbe se così facendo si imparasse qualcosa. Non è il caso dell’ennesima infezione digital-virale, con i media generalisti e i soliti “esperti” che ripetono come un disco rotto le solite frasi fatte. Chi si ricorda di SQL Hell (2003, 14.000 sportelli di Poste Italiane bloccati), di I Love You (50 milioni di computer infettati nel “lontano” 2000) o di uno dei suoi predecessori altrettanto insidioso, Melissa (1999)? Nessuno, a quanto pare ma, curiosamente, andando a leggere le cronache dell’epoca troviamo tutti i cliché di genere riproposti ciecamente nel descrivere Wannacry: virus devastante, milioni di computer infettati in tutto il mondo, danni plurimiliardari, l’esperto dice di aggiornare i sistemi operativi e comprare l’antivirus. Voilà, il “pezzo” è fatto. E’ un’ informazione “quattrostagioni”, come quella calcistica, i cui commenti possono essere grandemente riciclati da una settimana all’altra, senza che nessuno se ne accorga e via andare.
L’aspetto interessante di questa banalizzazione è che nemmeno gli “esperti” che hanno commentato il caso del giorno si sono resi conto della gravità di quello che hanno detto.
Aggiornare il sistema operativo con le ultime contromisure significa che il sistema operativo in questione è difettoso. Ed è difettoso perchè è stato progettato e realizzato male (per capire leggete un classico: The Inmates are running the Asylum di Alan Cooper, tradotto in italiano con il titolo Il disagio tecnologico).
Una patch di sicurezza non è un “miglioramento” ma la correzione – e la confessione dell’esistenza – di un difetto. E, da che mondo è mondo, i difetti sono inadempimenti contrattuali che, se generano danni, obbligano al risarcimento. Obbligano chiunque tranne le software house, che trincerandosi dietro i famigerati “EULA” – End User License Agreement, ci dicono con grande chiarezza che il software non è garantito per nessun uso in particolare, e che lo prendiamo in licenza nelle condizioni in cui si trova. Come a dire: ti affitto la macchina, ma non ti garantisco che camminerà, che frenerà o che gli airbag si attivino al momento giusto.
Rovesciare sull’utente finale dei compiti che non dovrebbe svolgere è una applicazione della tecnica blame the user (prenditela con l’utente): un metodo di trasferimento del rischio (e dunque della responsabilità giuridica) dal produttore al consumatore diffuso anche al di fuori del mondo dell’informatica. Quanti hanno riflettuto, per esempio, sulle implicazioni dell’estensione delle funzionalità dei bancomat che ora consentono di compiere operazioni varie senza andare allo sportello? Avete mai pensato al fatto che fino a quando qualcosa accade all’interno di una filiale, la banca ha una qualche responsabilità, mentre se qualcuno vi tira una martellata in testa quando state depositando del contante tramite un ATM per strada il danno è tutto e soltanto vostro?
E’ (ancora) accettabile un approccio del genere in un mondo che dipende così tanto da due o tre società?
Discorso analogo vale per il consiglio di abbandonare versioni obsolete delle piattaforme che stiamo utilizzando.
Perché dovremmo farlo?
Perché – questioni di ammortamento fiscale e civilistico a parte – dovremmo spendere soldi e tempo per sostituire qualcosa che fa quello che ci serve?
E’ ammissibile che un produttore di software ci costringa a scelte del genere cessando unilateralmente di “supportare” (cioè di continuare a mettere pezze) il proprio prodotto, con ciò sostituendosi alle scelte di pianificazione di un’azienda o di un’istituzione pubblica?
E infine: antivirus o non antivirus, oggetti come Wannacry si animano se l’utente li evoca. E’ vero che, una volta attivato, Wannacry si mette a cercare altri computer da infettare, ma è anche vero che il “momento zero” è quello in cui qualcuno si fa scappare il click sul file sbagliato. E una volta versato il latte, c’è poco da recriminare: per riavere indietro il proprio patrimonio digitale bisogna pagare il riscatto. Traslare nei casi di ransomware l’approccio delle procure della Repubblica nei casi di sequestri di persona – non cedere al ricatto – è semplicemente inefficiente. Questioni etiche a parte, se non ci sono alternative, cioè se non ci sono backup o se non ci sono soluzioni tecniche per aggirare la cifratura e se il danno da perdita dei dati supera quello del prezzo del riscatto la scelta è praticamente obbligata.
Ma anche in questo caso l’utente ha una responsabilità relativa perché, specie in un contesto aziendale, è escluso dalle scelte infrastrutturali e da quelle di gestione della sicurezza. Per cui si trova a subire le conseguenze della “competenza” di manager e venditori che di tutto si preoccupano tranne che di proteggere sul serio la propria azienda (i primi) e il loro cliente (i secondi).
A che livello di resilienza è stata progettata la rete? Sono stati adottati dei criteri per bloccare attività anomale, o interromperle quando viene superata una certa soglia? Esiste un monitoraggio continuo di ciò che passa sul network?
Se ci fosse una reale attenzione alla gestione della (in)sicurezza, oggetti come Wannacry farebbero di certo molto meno danni. Ma i fatti ci dicono che le cose possono solo peggiorare.
E, per favore, risparmiatemi la solfa che con il GDPR e la direttiva NIS le cose cambieranno. Non è ora di andare a letto, e il momento delle favole della buonanotte è passato da tempo.

Possibly Related Posts: