Attacco al FBI: quando la colpa non è dei criminali

Il FBI, per via di un errore di configurazione dei propri sistemi, ha consentito che un utente vi accedesse abusivamente e li usasse per inviare messaggi non autorizzati. Nel più puro zeitgeist il tutto si è risolto in un algido comunicato stampa, ma la ricostruzione tecnica dell’evento ripropone per l’ennesima volta il tema dell’incapacità di gestire i livelli di complessità dell’infosfera e della sua conseguente vulnerabilità intrinseca. In sintesi: abbiamo costruito un colosso che, a differenza di quello di Rodi, non ha solo i piedi fatti di argilla di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech

È poco importante, nel caso specifico, che la vulnerabilità dei sistemi del FBI sia stata sfruttata per inviare SPAM e non (stando alle dichiarazioni pubbliche) per rubare informazioni impersonando qualche funzionario o commettere azioni più gravi. Come è poco importante che l’accesso abusivo sia stato possibile per un serio errore di design dell’interazione client-server nella fase di registrazione sul portale attaccato, in base al quale —come dichiara l’apparente anonimo autore del fatto  — Basically, when you requested the confirmation code was generated client-side, then sent to you via a POST Request … This post request includes the parameters for the email subject and body content. Needless to say, this is a horrible thing to be seeing on any website … I’ve seen it a few times before, but never on a government website, let alone one managed by the FBI.

Errori del genere accadono di continuo e sono fra le cause principali di “incidenti” che solo in minima parte raggiungono gli onori della cronaca. Ma, troppo spesso, questi eventi non sono causati da “errori” e non possono essere chiamati “incidenti” nel senso che sono colpa del destino cinico e baro. Sono frutto di negligenze causate da un malcostume diffuso nella progettazione di software e nella gestione delle piattaforme, oltre che del pregiudizio culturale di politici e amministratori in base al quale “i computer sono una roba da tecnici”.

Dunque, come scriveva Alan Cooper, The Inmates are Running the Asylum  i matti stanno gestendo il sanatorio, o come cantavano gli Alan Parson Project, We let the blind man lead the way too long.

Quando un difetto di un programma non è un difetto ma una funzionalità, quando la progettazione di una rete è fatta “perché così è meglio”, o quando una piattaforma è messa in produzione senza preoccuparsi di verificare se funzioni o se sia sicura, questo non ha nulla a che vedere con “sviste” o “colpi bassi del destino”. Eppure, questa è la narrativa che caratterizza i commenti a casi del genere. La reazione oramai pavloviana a questi eventi, infatti, è “chiedere scusa”, “annunciare l’adozione di nuove misure” e —nella variante italiana— “denunciare alla polizia postale” e “segnalare al Garante (dei dati personali)”. Per poi tirare avanti più o meno come prima, sperando che la “sfortuna” si accanisca su qualcun altro e che non arrivi qualche ispezione.

Se, tuttavia, un’azienda privata può permettersi questo (pragmatico ma rischioso) approccio, possiamo accettare che le istituzioni pubbliche facciano lo stesso?

L’Italia ha una tradizione non brillantissima quando si tratta di sicurezza delle piattaforme pubbliche. Ha reagito, in particolare applicando il Regolamento sulla protezione dei dati personali, burocratizzando gli adempimenti in nome di una “sicurezza di carta”, e creando “comitati”, “tavoli di lavoro” e “protocolli di collaborazione” dei quali, dopo il lancio stampa, nessuno ha più sentito parlare. La risposta nazionale è sistematicamente chiudersi a riccio e aspettare che passi la buriana (qualcuno ha aggiornamenti sul caso Regione Lazio?)

C’è, dunque, una differenza sostanziale con l’approccio degli USA —che pur con tutte le perplessità del caso— quando è necessario vanno gloves off  e non si lasciano imbrigliare da cavilli.

Tuttavia, il punto è, come dimostrano i fatti, che i guanti se li sono tolti pure i criminali —quelli comuni e quelli ufficiosamente “sponsorizzati” da Paesi ostili. Di conseguenza, e il caso FBI lo dimostra chiaramente, la prospettiva cambia del tutto. Dal “guardia e ladri”, dove le azioni erano circoscritte ad ambiti limitati, siamo passati a un conflitto asimmetrico quanto si vuole, ma pur sempre conflitto nel quale gli autori di atti illeciti reagiscono o addirittura compiono azioni preventive. E in ogni conflitto conta soltanto un cosa: vincere, a qualsiasi costo, con qualsiasi mezzo.

Questo cambio di prospettiva porta con sé l’assottigliamento dei confini fra la caccia ai criminali (che ha le sue regole giuridiche) e l’eliminazione dell’avversario (che richiede solo di ottenere il risultato). Entrambi gli approcci hanno senso nei contesti di riferimento —aule di giustizia o teatri di guerra— ma se si confondono i ruoli o si scambiano le parti, le conseguenze possono essere devastanti.

Possibly Related Posts: