Questo articolo, segnalato da Schneier, è veramente interessante. Tutto quello che dice può sembrare ovvio, ma la fonte, il presidente della Airline Pilots Security Alliance, lo rende particolarmente rilevante. Non mi interessa qui discutere l’efficacia o meno delle misure antiterrorismo, particolarmente negli U.S.A. Ci sono un paio di concetti che però sono un ottimo spunto di ragionamento.
Un primo punto, marginale ma interessante, riguarda il suggerimento relativo al “behavioral profiling of passengers”. Non entro nel merito dell’efficacia o meno di simili misure in generale, nè della capacità o meno dei piloti di valutarla, mi limito a ricordare un episodio. Prima di trasferirmi a Pisa abitavo a Bressanone, a pochi chilometri dal confine con l’Austria. Siccome in Alto Adige non c’era molta vita notturna (per usare un eufemismo), molti giovani il sabato sera andavano a ballare a Innsbruck, particolarmente quelli che volevano provare il loro “fascino latino” sulle austriache. Per farla breve, molti giovani erano abituati a passare avanti e indietro il confine con una certa frequenza, e naturalmente un controllo della dogana era una seccatura e una perdita di tempo. Così, si erano abituati a “non avere un comportamento sospetto” (ad es. “spegnere la sigaretta arrivando alla frontiera, perché fumare alla dogana era un possibile segno di nervosismo”), cosa che comprendeva naturalmente alcuni “miti”, ma anche informazioni raccolte con l’esperienza e probabilmente anche dagli stessi finanzieri. Naturalmente, si trattava di persone “in sè” e in condizioni di tranquillità, può essere che in altre condizioni una persona, anche appositamente istruita, non riesca ad evitare comportamenti sospetti.
Un altro punto interessante riguarda la complessità. L’articolo inizia con una serie di numeri, che suppongo dovrebbero essere impressionanti: migliaia di aerei, miliardi di passeggeri trasportati. Numeri che possono impressionare chiunque, ma non un informatico, dato che sono i numeri con cui ci scontriamo abitualmente se lavoriamo su aziende medio/grandi: migliaia di server, miliardi di transazioni, migliaia (o decine di migliaia) di utenti interni… sono contesti diversi, i problemi sono diversi, ma ci sono molte analogie, perché si tratta sempre di problemi di sicurezza. Recentemente si parla molto di convergenza fra gestione della sicurezza fisica e logica. Al momento è una strada che mi convince poco, almeno per ora, ma certamente le analogie sono molte. Tutti i vari “principi di sicurezza” che applichiamo nella sicurezza logica valgono in quella fisica, e certamente la maggior parte è mutuata da lì (gli aerei abbandonati di notte mi ricordano molto i pc degli utenti, molto meno controllati dei server: tanta sicurezza da una parte, quasi nessuna dall’altra). Prendo quindi l’affermazione “There is simply no deployable technology that has a prayer of keeping a motivated, prepared terrorist out of the system every time — even most times.”. La stessa logica vale per i sistemi informativi un po’ complessi: con tutti i meccanismi e le procedure che ci possiamo studiare, almeno la loro implementazione sarà tale per cui un attaccante sufficientemente motivato troverà comunque il modo di entrare. Ci sono quindi alcuni obiettivi e alcune minacce che non possono essere semplicemente affrontati con un aumento generalizzato della sicurezza, ma richiedono misure specifiche, che possano essere applicate in un sottosistema “semplice”. Ci sono in effetti alcune misure di sicurezza che sono delle “sliver bullet” per problemi specifici; riconoscerle e studiarle credo che sia un esercizio molto interessante.
Da più parti mi è stato detto che la cosa che in assoluto ha maggiormente ridotto il rischio di dirottamento aereo è stata l’adozione generalizzata (così mi dicono) di una porta blindata fra cabina e passeggeri, che rimane chiusta durante il volo. Porta che, se non sbaglio, era già adottata sugli aerei della “El Al”, la compagnia di bandiera israeliana. Una misura di questo genere è efficace (anche come deterrente) perché sono cambiate le priorità: adesso lo scopo non è più salvare la vita dei passeggeri, ma evitare che i dirottatori (per ipotesi, terroristi) assumano il controllo dell’aereo. Con queste nuove ipotesi, la porta blindata è efficace indipendentemente dall’efficacia dei controlli sui passeggeri. Certo, al prezzo di sacrificare eventualmente l’aereo. La misura è efficace per lo specifico rischio di utilizzo dell’aereo come arma nei confronti di un altro obiettivo: isola un piccolo sottosistema (cabina e piloti) che è più facile proteggere rispetto all’intero sistema aeroportuale.
Per quanto riguarda le carte di credito, la singola misura di sicurezza più efficace attualmente disponibile per il titolare sono gli SMS di notifica: ad ogni spesa (sopra un certo importo) fatta con la carta di credito, al titolare arriva un SMS di notifica. L’SMS arriva quasi immediatamente, e comunque in tempo per bloccare il pagamento (e la carta). L’efficacia di questo meccanismo è legata a diversi fattori, tutti meritevoli di ragionamento sulla loro applicabilità in altri contesti. Il primo è che il pagamento con carta di credito è, almeno per il titolare, “reversibile”: è possibile contestare il pagamento e annullarlo, e poi la carta viene bloccata: un furto di carta di credito corrisponde a un solo pagamento fasullo, che eventualmente dovrà essere coperto dalla società emettitrice (che per questo si fa pagare). La reversibilità dell’operazione è, per il titolare, il punto chiave, e la reversibilità è legata al fatto che la transazione non è chiusa per un certo intervallo di tempo, sufficiente a rendersi conto della frode. Il concetto è molto chiaro e diffuso nelle transazioni finanziarie, ma anche nell’informatica abbiamo degli esempi: il “cestino” sul desktop serve a dare reversibilità all’operazione di cancellatura di un file, anche se l’intervallo di tempo troppo lungo diventa spesso a sua volta un problema di sicurezza. Gli esempi sono molti. C’è però un altro punto importante degli SMS di notifica, senza il quale la reversibilità non sarebbe possibile: la rilevazione certa della frode. Se ad ogni transazione corrisponde un SMS che permette di riconoscerla (le cose non stanno proprio così, ma per ora è un’approssimazione accettabile), allora la reversibilità è efficace. Perché la rilevazione è certa? Perché è parte della transazione. Non è come un IDS, che cerca di selezionare e riconoscere eventi, segnalando quelli interessanti. Ad ogni transazione con la carta di credito corrisponde un SMS, e questo è possibile perché gli eventi sono pochi e quindi gestibili. Di nuovo, sono pochi eventi ad alto livello, e il meccanismo è applicato a quell’ambito limitato. Varrebbe quindi forse la pena di ragionare, più che sui dati e sui sistemi, su quali siano i pochi eventi importanti sui quali è opportuno notificare a qualcuno in modo che possa validarli, indipendentemente dal fatto che siano o meno attacchi. E a chi notificarli. Nel caso degli SMS, la notifica non va (solo) al gestore della carta di credito: va al titolare, che è quello più interessato, maggiormente in grado di riconoscere la frode e che permette di “distribuire il carico” della decisione fra tante entità. Naturalmente serve un meccanismo di notifica affidabile, ma credo che per molte esigenze ormai i tempi dell’irreperibilità, nel bene o nel male, siano finiti. Quindi, prima di tutto tutte le transazioni finanziarie dell’utente comune dovrebbero avere meccanismi simili. Sarà poim l’utente a stabilire di cosa vuole essere avvisato, e su cosa si vuole assumere dei rischi perché non vuole seccature. Ad esempio, attualmente gli SMS non vengono inviati per importi inferiori a una certa cifra, ma si potrebbe avere un SMS cumulativo delle transazioni della giornata, sufficiente per avere il tempo di bloccarle. Cos’altro? Notifica al cittadino delle attività (non di indagine) svolte dalla Pubblica Amministrazione?