I falsi miti sulla sicurezza

Computer Programming n.ro 61 del 07-11-97

di Andrea Monti

di Andrea Monti

Il tormentone del 1997 è sicuramente quello della sicurezza. Non si parla d’altro. Sicurezza delle reti, sicurezza dei dati, sicurezza della sicurezza… potrebbe essere in effetti un settore interessante, peccato che le cose girano come sempre cioè all’italiana e quindi uno sviluppatore che volesse seriamente provare ad occuparsi della cosa potrebbe rischiare di dover cambiare mestiere. Nel frattempo qualcuno si sta impegnando per chiudere la Rete… tutti a casa?

Ogni categoria professionale ha un Santo protettore che – se non è impegnato in qualche empireo gioco di potere – sovrintende alla gestione delle richieste che gli giungono dai fedeli più disparati.

Con una discriminazione inaccettabile, tuttavia, i commercianti di sicurezza informatica sono stati privati per anni di questo fondamentale strumento di lavoro.

Per i venditori di sicurezza (quindi propagandisti di insicurezza) è giunta provvidenziale la grazia dell’Unione Europea che si è inventata quell’astrusità giuridica che risponde al nome (anzi al numero) di legge 675/96.

Ringalluzziti da questa manna piovuta da Bruxelles, branchi di esperti di security – più o meno di improvvisati – si lanciano in spericolate quanto maldestre acrobazie giuridiche per cercare di far dire alla legge quello che interessa loro.

Sarebbe come se il sottoscritto intervenisse in un convegno di programmatori per insegnare loro l’uso corretto di $myobj (non mi chiedete che roba è, la ho copiata paro paro da un libro sul PERL J).

Ecco dunque che vi troverete sommersi di firewall, di circuit gateway, di reverse proxy ftp, procedure di autenticazione, controllo degli accessi per proteggere… un sito Internet.

Un dubbio

Ma dico siamo pazzi?

Spendere decine di milioni per baracconi tecnologici obsolescenti che devono andare a proteggere una home-page o un indirizzo di e-mail? Qualcuno vorrà avere il coraggio di dire che tutto ciò non ha alcun senso, che sull’Italia di Internet non c’è nulla da proteggere (almeno da qui ai prossimi anni)? Il numero degli utenti italiani è ancora scandalosamente basso (non entro nel merito del perché) mentre il commercio elettronico è una chimera che al momento serve solo a vendere programmi farraginosi e hardware complicato

Si ma ci sono gli hacker! Tuona qualche disinteressato commerciante.

Oramai mi sono convinto che si tratta di un bufala colossale.

L’intrusione alla Banca d’Italia si è rivelata poco più che lo scherzo di un adolescente entrato in un web server del tutto isolato dai dati importanti e non credo che il peggiore atto di pirateria possa avere effetti così devastanti che un buon backup non possa annullare. E sul fatto degli Hacker dovremmo deciderci una volta per tutte a parlarne senza peli sulla lingua.

Esistono sul serio?

Sono parte di un progetto destabilizzante?

Mangiano i bambini anche senza condirli con un pò di silicio?

Fatevi un giro sul sito del Chaos Computer Club (http://www.ccc.de) per vedere cosa hanno scoperto in relazione ad ACTIVE-X… potreste rimanere sorpresi. Un consiglio personale. Fate attenzione – se non lo sapete già – ad inviare file in formato word95 per posta elettronica, perché questo simpatico programma in modo casuale prende dei pezzi di dati da vostro hard-disk e li sbatte dentro il documento. Se provate ad aprire con un editor di testo un file .doc potreste rimanere sorpresi. Non chiedetemi come succede – non sono io il tecnico – però provate a pensare quante informazioni si potrebbero involontariamente portare a conoscenza praticamente di chiunque, altro che firewall!

Il problema reale e concreto della sicurezza è uno solo: assenza di cultura, o se preferite un termine meno pesante, di sensibilità.

Forse è banale notare che non ha senso montare un porta blindata se poi si lasciano le chiavi sotto lo zerbino, eppure sono convinto che chiunque di voi abbia avuto rapporti di lavoro con qualche azienda deve essere rimasto spesso di stucco vendendo quanto sarebbe stato facile sottrarre dati o fare qualsiasi altra cosa.

L’altra faccia della medaglia

Vogliamo parlare invece dei dipendenti infedeli, dei casi che le aziende non denunciano per non perdere di immagine o delle politiche ballerine di accounting e di cultura spicciola (e inesistente) della sicurezza, ma soprattutto della responsabilità delle case che mettono i commercio software e sistemi operativi insicuri e praticamente inutilizzabili (l’ultimo service pack per NT4.0 è di TRENTA MEGA o giù di lì)?

In un convegno al quale ho partecipato, dopo che erano state magnificate le doti di certi prodotti che ti blindano il sito manco fosse il Pentagono (e poi si fa bucare lo stesso) è intervenuta una persona – non ero io, giuro J – che in quattro parole ha fatto cadere il castello di carta: ha parlato di trashing, di social engineering di cose banali forse, ma che funzionano e bene, alla faccia di qualsiasi muro digitale.

Non c’è nessuna legge né tantomeno sussiste una qualche ragione sanitaria o terapeutica per la quale qualcuno deva imperativamente entrare in Rete (mai fatto caso che le parole “entrare in Rete” non hanno senso?) e se proprio decide di farlo, che sia conscio di quello che si può e di quello che non si può fare.

Il punto è che si cerca di usare Internet per delle cose per le quali non era stata concepita.

Altro discorso è quello delle reti proprietarie di grosse aziende… lì il problema è certamente più serio, ed infatti non credo che questi soggetti siano aggredibili così facilmente. Se poi dovesse essere il contrario allora peggio per loro, ma forse non hanno fatto in tempo a rintracciare il rappresentante che doveva vendere loro l’ultimo firewall, in quanto impegnato a cercare di affibbiarne uno al noto provider lacucina.it (ogni riferimento a nomi reali è assolutamente casuale).

 

La Pubblica Amministrazione digitale

Piuttosto nessuno parla, e questo è un problema drammaticamente reale, di quello che sta accadendo nella pubblica amministrazione. I progetti di informatizzazione vanno avanti e forse fra qualche anno vedremo in piedi la rete unitaria… provate a pensare alla miriade di impiegati, uscieri, quadri, funzionari, dirigenti che dovranno utilizzare le macchine: il fattore umano è destinato a diventare sempre di più l’elemento critico in un megasistema come quello che si profila all’orizzonte.

L’atteggiamento tipico delle persone nei confronti della macchine è arcinoto:”computer..io?? guardi sono assolutamente negato!” e magari gli stessi soggetti mettono le mani sulla banca dati dell’anagrafe tributaria, sulle nostre bollette del telefono e via discorrendo. Quanto pensate sia utile avere un’infrastruttura hardware-software potentissima se poi l’interfaccia umano è così poco computer-friendly?

Quanto è bella l’informatica, la Rete risolverà tutti i problemi di comunicazione, la Pubblica Amministrazione si sta dotando delle apparecchiature più moderne… quante volte abbiamo sentito questo ritornello… ma nei fatti?

L’AIPA (Autorità per l’Informatica nella Pubblica Amministrazione) sta facendo il possibile, sommersa com’è da compiti onerosi e da una situazione di fatto negli uffici pubblici che la fa somigliare a Fort Alamo, fatto stà che ancora non ci sono standard in materia di sicurezza, e quindi nessuno può dire di aver realizzato un pacchetto che risponda ai requisiti di legge. Ci si arriverà, certo, ma fra quanto?

Molte domande, troppe, destinate però a rimanere senza risposta finché questa benedetta legge sulla riservatezza non sarà definitivamente attuata dai vari provvedimenti complementari, uno dei quali proprio in materia di sicurezza.

Bene, potrebbe dire qualcuno, allora basta aspettare un pò e ci sarà finalmente chiarezza.

Io lo spero, anche se all’orizzonte non si profila nulla di buono.

Un decreto legislativo ha già corretto una parte della legge, rimettendo in discussione parecchie cose, e ora se ne attendono a breve altri due e nel frattempo? Nel frattempo signori… pregate.

Off topic… nemmeno tanto

Permettetemi una breve digressione sulla legge Frankenstein (visto che la L.675/96 subirà tante di quelle revisioni al cui confronto la creatura di Mary Shelley sarà una specie di Dio greco).

Vorrei tentare di valutare che impatto può avere questa legge sui prodotti attualmente in commercio per quanto riguarda il problema della sicurezza.

Come spero sappiate – avendovi tediato fino all’inverosimile sul punto – si è obbligati ad adottare tutte le misure di sicurezza disponibili allo stato dell’arte per scongiurare la modificazione accidentale dei dati o l’abusiva comunicazione o diffusione degli stessi. Omettere di adottare queste misure implica una sanzione penale fino a due anni.

E’ il meno. Pensate alle richieste di risarcimento danni che un cliente potrebbe avanzare perché il programma che gli avete venduto non è a norma di legge…

Queste le premesse, ora provate ad applicare questa affermazione ai sistemi operativi attualmente in commercio: quanti possono offrire le garanzie richieste dalla legge? Nessuno o quasi.

Quanti clienti acquisterebbero un’applicazione sviluppata in un ambiente fuorilegge? Nessuno o quasi.

Quanti programmatori potrebbero sopravvivere ad una situazione del genere? Nessuno o quasi.

Fortunatamente questi aspetti non sono stati ancora presi in considerazione, ma credo che sia solo una questione di tempo.

Per non dare l’impressione di essere irragionevolmente critico nei confronti di Frankenstein…ops! della legge vorrei chiudere con qualche consiglio su uno degli indubbi lati positivi della 675.

Scrivete a quelli che vi inondano di offerte non richieste o a coloro che sospettate possedere i vostri dati una letterina di questo tipo:

 

Egregi signori,

ai sensi e per gli effetti dell’art.13 L. 675/96 vi intimo di

a – comunicarmi di quale tipo di dati siete in possesso;

b – comunicarmi a chi sono stati ceduti a qualsiasi titolo questi dati

c – comunicarmi i fini e le modalità del trattamento

d – interrompere con effetto immediato qualsiasi tipo di trattamento effettuato sui miei dati personali

Luogo Data

Firma

 

Se dopo cinque giorni non ricevete risposta allora scrivete al Garante (senza problemi… è gratis)

 

Al Garante per la tutela dei dati personali

Palazzo San Macuto

ROMA

 

Il sottoscritto … nato a … il … res…. via … n. tel. …

premesso

chein data … richiedeva alla PIPPO S.r.l. le informazioni di cui alla richiesta allegata,

che ad oggi dalla PIPPO S.r.l non giungeva risposta

chiede

ai sensi dell’art.29 L675/96 che venga ingiunto alla PIPPO S.r.l. ddi ottemperare alle richieste contenute nella lettera allegata e che qui abbiansi integralmente ritrascritte.

Luogo,data,

Firma

all. copia lettera ex art.13 c.1 L675/96

 

Provateci, ma fatelo adesso. Non mi stupirei se una delle prossime riforme si occupasse di “disciplinare” proprio i diritti dell’interessato, vi lascio immaginare in che modo

Solo un’avvertenza: fate attenzione che se vi rivolgete al Garante poi non è possibile attivare il Giudice ordinario, che per certi aspetti – la liquidazione del danno per esempio – ha poteri che all’Autorità non sono attribuiti.

Possibly Related Posts: