di Andrea Monti – PC PRofessionale n. 246
Lo scorso 18 luglio la polizia postale organizza un convegno per fare il punto sulle conseguenze del “caso Anonymous” dove Telecom Italia ha lanciato l’allarme criminalità informatica. In che mondo vivono?
Ci risiamo. Con un riflesso condizionato degno dei cani di Pavlov anche questa volta i mezzi di informazione hanno dato il meglio di loro stessi nel riferire la notizia della denuncia della “cellula” italiana di Anonymous, e dell’ennesimo convegno autoassolutore in cui compagnie telefoniche e polizia postale si scambiano “pacche sulle spalle” e medagliette di bravura da appuntarsi sulle giacche.
Intanto, il problema della sicurezza informatica è e rimane sempre lo stesso da vent’anni a questa parte e nessuno sembra volersene occupare seriamente: la (ir)responsabilità delle aziende IT che continuano a produrre piattaforme hardware e software vulnerabili, senza che nessuno mai chieda loro conto dei danni provocati dalla loro incompetenza o – peggio – da deliberate scelte commerciali che conducono alla consapevole immissione sul mercato di prodotti buggati, vulnerabili se non addirittura pericolosi non solo per i cittadini, ma anche per aziende e istituzioni. Il tutto nella colpevole indifferenza delle istituzioni.
Che questo accada è un fatto noto da tempo. Basta pensare, ad esempio, che nel 2002 venne segnalato ufficialmente al Garante per la protezione dei dati personali il fatto che una specifica serie di router telindus venduta in Italia era viziata da un bug che consentiva molto facilmente di craccarne le password, senza che nessuna autorità abbia mosso un dito. L’anno prima era invece toccato ai modem Alcatel SpeedTouch l’essere additati come vulnerabili, ad opera di Tsutomu Shimomura (il ricercatore che giocò un ruolo fondamentale nell’arresto di Kevin “Condor” Mitnick). Più di recente, nel 2010, è stata la volta dei router Telsey distribuite da Fastweb in due serie, la 002196 e 00036F.
Ancora nel 2011 può accadere, come è incredibilmente accaduto, che servizi offerti da multinazionali come Sony (il riferimento è alla sottrazione dei dati degli account degli utenti del PSP network) e una ventina di atenei italiani si facciano bellamente “bucare” quasi dal primo che passa (nel caso specifico, da un gruppetto di lamer autodefinitosi LulzStorm) e che non vede l’ora di raccontare le sue imprese su Twitter.
Questi sono solo alcuni dei tantissimi esempi ai quali, però, nessuno fa veramente attenzione. I media generalisti rispolverano il cliché “hacker buono/hacker cattivo” che era falso tanti anni fa, quanto inutile e fuorviante oggi. La polizia postale accentua il livello (a)tecnico degli autori di queste gesta per potersi vantare di essere stata più brava. Il Garante dei dati personali pontifica su Facebook e internet, compagnie telefoniche, internet provider e software house, comunicati stampa di scuse e interventi in convegni a parte, continuano imperterriti a fare “business as usual” – affari alla solita maniera.
Gli utenti, nel frattempo, pagano il conto, non solo con l’acquisto di costose licenze d’uso per prodotti venduti come “stabili” ma effettivamente in beta version, e anche in termini di scarsa qualità, disservizi, danni. Anche in questo caso, nulla di nuovo sotto il sole. Autori coma Alan Cooper (The inmates are running the asylum), Mark Minasi (The software conspiracy) e Cem Kamer (Bad software) hanno da tempo denunciato lo stato di fatto. E basterebbe fare dei controlli seri in molti data-centre e server farm italiane per ricevere (amare) sorprese quanto a rispetto dei diritti (anche solo contrattuali) degli utenti.
Il tutto ruota, come rileva acutamente Alan Cooper nel libro appena citato, attorno al fatto che gli utenti sono oramai stati anestetizzati a pensare che se un software “funzionicchia”, va bene così. Tocca solo aspettare la prossima patch o – peggio – la nuova release a pagamento per risolvere il problema (e magari subirne di nuovi). Se tutto questo accadesse con altri beni (e non voglio citare l’abusatissimo paragone con l’automobile) si scatenerebbero diffide e guerre giudiziarie. Ma nell’IT – e nella sicurezza – non succede. Eppure, il codice civile prevede espressamente che se il danneggiato concorre a provocare il danno (l’esempio classico è la vittima di un incidente che subisce lesioni più serie perché non aveva le cinture di sicurezza allacciate) ha diritto a un risarcimento parziale e comunque inferiore a quello che gli sarebbe spettato se avesse adottato tutte le cautele del caso. Dunque, quando un’azienda di turno lamenta danni derivanti da un accesso abusivo o da un attacco che sfrutta una vulnerabilità di un sistema operativo o del modo in cui è amministrato, dovrebbe fare prima un esame di coscienza per capire quanto dell’accaduto è colpa dell’intrusore, quanto di chi ha venduto l’infrastruttura ICT e quanto di chi la ha amministrata.
Questo non significa, ovviamente, “processare la vittima” o giustificare azioni come quelle di Anonymous e LulzStorm che sono e restano criminali e inaccettabili. Ma nello stesso tempo nemmeno è possibile accettare che a fronte di responsabilità diffuse, l’attenzione si concentri su elementi tutto sommato collaterali di un problema e non sulle sue cause principali.
Meno convegni, dunque, e più sanzioni per chi mette in circolazione l’equivalente informatico di automobili senza ABS.
Possibly Related Posts:
- Lo Human Genome Meeting di Roma riporta in primo piano la necessità di liberare l’uso dei dati
- Il duello tra Usa e Cina sui processori va oltre l’autonomia tecnologica
- Quali conseguenze potrebbe avere il possibile bando di TikTok negli Usa
- Libertà di stampa, giornalismo investigativo e Stato di diritto
- Neuralink è l’anticamera della discriminazione tecnologica