Dal caso Amazon all’uso del software Microsoft usato per gestire i sistemi della magistratura: perché difendere le reti significa avere normalizzato la sorveglianza preventiva di Andrea Monti – Inizialmente pubblicato su Italian Tech – La Repubblica
Il caso del teoricamente possibile —ma non dimostrato— abuso del software Microsoft per la gestione a distanza dei computer in dotazione alla magistratura è l’altra faccia di un problema posto dalla recente scoperta di un hacker nordcoreano, che Amazon ha potuto individuare grazie alla misurazione del ritardo nella digitazione sulla tastiera di un computer connesso alla propria rete.
Quando la sicurezza passa dal controllo
Senza girarci attorno, infatti, le due vicende evidenziano la trasversalità di un tema tanto noto da tempo, quanto trascurato: la gestione della sicurezza dei sistemi informativi di infrastrutture dotate anche solo di qualche centinaio di computer, anzi, come si chiamano adesso, di “endpoint”, ha raggiunto un livello di complessità tale da rendere impensabile l’intervento individuale e in presenza di un “tecnico”.
Da tempo è finito il tempo degli attacchi artigianali scagliati da soggetti (immancabilmente ritratti con la felpa e il cappuccio che ne nasconde il viso) che si accaniscono a trovare il modo di prendere il controllo di un sistema.
Certo, gli approcci “sartoriali” alla commissione di atti illeciti sono ancora presenti ma proprio in quanto tali costano molto vengono almeno inizialmente sostituiti dall’automazione, salvo avere un numero consistente di “dipendenti pubblici”, magari con le stellette di qualche Stato canaglia, che si dedicano all’attività.
Dunque, l’elevato numero di “attacchi” dei quali ogni tanto si sente parlare non è imputabile a orde di malintenzionati ma gruppi di server che bersagliano di continuo le reti di imprese e istituzioni). Questo significa che in presenza di vulnerabilità appena scoperte, quello che fa la differenza è la capacità di intervenire immediatamente per “tappare il buco” o eliminare il “bug” perché il nemico è costantemente alle porte.
Il paradosso dell’amministratore di sistema
Da un lato dunque, e prescindendo per il momento da questioni di sistema, dovremmo chiederci se sia effettivamente possibile immaginare o accettare che la manutenzione ordinaria di una rete di quarantamila computer come quella del Ministero di giustizia o di qualsiasi altra struttura comparabile possa essere gestita da un singolo individuo che deve intervenire fisicamente in orario d’ufficio.
Il confine sottile fra protezione e sorveglianza
Dall’altro lato, e veniamo al caso Amazon, dovremmo anche chiederci fino a quando continueremo a ignorare l’importanza della prevenzione —cioè della ricerca continua e costante di anomalie di funzionamento — nel contrasto agli attacchi a sistemi informativi dai quali dipende la continuità operativa dei servizi pubblici e privati.
Come detto, Amazon è stata in grado di scoprire l’intrusore nordcoreano perché i propri sistemi di sicurezza prevedono un controllo dei computer utilizzati dal personale tanto esteso da arrivare alla misurazione dei tempi di risposta della pressione dei tasti sulla tastiera.
Come all’epoca dell’intrusione commessa nel 1989 da un hacker tedesco nei sistemi dell’università di Berkeley e scoperta per una inspiegabile differenza di 75 centesimi di dollaro nella fatturazione del tempo di utilizzo dei computer del centro di calcolo, anche nel caso di Amazon è stata la capacità di analizzare anche i dati più trascurabili a consentire di scongiurare il peggio e dunque dovremmo ulteriormente domandarci se abbia ancora senso opporsi a una sicurezza basata sul controllo preventivo —salvo poi sanzionare quei soggetti che non hanno fatto “tutto il possibile” per scongiurare il danno, magari ai dati personali.
La negoziazione dei diritti è inevitabile?
È chiaro che in nome della prevenzione è irrealistico pensare all’indebolimento dei diritti delle persone e dei lavoratori in particolare.
Si possono, tuttavia, trovare degli equilibri come per esempio consentire l’adozione immediata, sui luoghi di lavoro, di misure di sicurezza basate sul controllo continuo, ma vietando l’utilizzo a fini disciplinari o di licenziamento. Oppure si potrebbe eliminare la sanzione penale per chi segnala le vulnerabilità di software, reti e sistemi alla magistratura o alle autorità compenti.
Un’illusione da superare: la sicurezza senza pervasività
Bisognerebbe tuttavia ricordare che a prescindere dall’uso di questo o quel software di gestione, la sicurezza informatica basata su cloud e security operation centre già implica l’analisi continua del traffico generato da una rete e quindi il tema della presa di controllo di un singolo PC da parte di terzi non è di oggi. Inoltre, bisognerebbe ricordare che la UE sta procedendo a tappe forzate per far approvare il regolamento chat control per la perquisizione preventiva dei device mobili, e sta spingendo per creare DNS4EU, un resolver di nomi a dominio centralizzato (per ora) non obbligatorio che una volta applicato dagli operatori e dagli internet provider renderà più facile intercettare le comunicazioni e bloccare la visibilità di contenuti.
La normalizzazione della sorveglianza tecnologica preventiva
Il caso dell’ECM di Microsoft e dei tanti strumenti analoghi utilizzati quotidianamente un po’ dappertutto ha origini lontane.
Quando, nel 2014, Apple decise di attivare il “kill switch” sugli iPhone, disinnescò le polemiche rendendo disponibile anche agli utenti la funzionalità di blocco a distanza del telefono, che implicava anche la sua localizzazione.
Da allora, è diventato normale accettare che per usare un computer, un software e ora anche l’ultimo degli aspirapolvere “connessi” fosse necessario “attivare un account”. Nessuno si pone più il problema del perché non si è realmente proprietari di un oggetto che è stato (profumatamente) pagato, e per quale ragione bisogna subire l’invio continuo di dati a chi ha costruito l’oggetto.
È abbastanza chiaro che, messa in prospettiva, la questione del controllo remoto dei computer di chiunque assume una forma del tutto diversa. Non sono solo i servizi pubblici, infatti, ad essersi volontariamente sottoposti al controllo preventivo “per ragioni di sicurezza” ma sono anche i cittadini ad avere scelto volontariamente un destino analogo.
A questo punto del ragionamento si potrebbe riproporre una conclusione basata su approcci ecumenici come per esempio evidenziare che non si tratta più di scegliere se accettare il controllo, ma di decidere a chi lasciarne la regia, con quali garanzie, e a quali condizioni. Oppure si potrebbe puntualizzare che ignorare questa trasformazione, o relegarla a una questione tecnica, significa rinunciare alla possibilità di fissare i confini tra protezione e abuso. Oppure, infine potrebbe emergere il sempre verde argomento secondo il quale in gioco non c’è solo la sicurezza dei sistemi, ma la capacità di una società di governare i propri strumenti prima che siano loro a governarla.
La realtà, tuttavia, lascia intendere altro: abbiamo consentito che le tecnologie dell’informazione si diffondessero senza alcun reale controllo, fino a diventare un enorme colosso dai piedi d’argilla, e ci siamo messi nella condizione di dover dipendere, senza reali alternative, da chi ha costruito questo colosso dai piedi d’argilla e ha interesse a mantenerlo tal quale.
Possibly Related Posts:
- Telefonia, quando il mercato delle reti smette di fare sconti
- La Danimarca ha cambiato radicalmente idea sulla scuola digitale
- Un’app che mappa la polizia anti-immigrazione è stata tolta dagli store. Una nuova forma di censura?
- In Australia è entrata in vigore la legge che vieta i social ai minori: ecco cosa prevede
- Perché abbiamo accettato che il software possa fallire (e perché non possiamo più permettercelo)