Questo post l’ho cominciato prima di Natale, facendo l’esercizio che fanno tutti di prevedere cosa succederà l’anno dopo. Poi, pian piano il tema è cambiato…
Immaginatevi un edificio contenente materiale di valore, che so, un caveau di una banca. Un caveau un po’ particolare: è protetto da muri di cemento, filo spinato, campi minati, porte con controllo di accesso biometrico; è pieno di sensori di movimento e telecamere; fin qui tutto normale, anzi, eccessivo. Ma ha una particolarità: non è parte di una banca, si trova isolato in una valle disabitata; non ci sono guardie: i sensori attivano degli allarmi che nessuno sente, i monitor delle telecamere sono in una sala deserta. Nessuno va mai a guardare cosa succede. Mettereste i vostri soldi in un caveau del genere? Vi prego, dite di no se no mi si rovina l’analogia 😉 Perché allora mettiamo le informazioni in sistemi in cui ci sono meccanismi di sicurezza che nessuno guarda? Perché non ci sono dubbi sul fatto nessuno guardi mai che la messe di log e messaggi di sicurezza prodotti della quasi totalità dei sistemi, e che le violazioni vengano rilevate, quando succede, dai loro effetti molto più che da qualsiasi segnalazione. Ma lo stesso discorso si poteva fare, e si faceva, anche dieci anni fa: eppure le aziende sono sopravvissute. Hanno perso, in valore dei loro dati, più di quanto avrebbero risparmiato investendo in monitoraggio? Per alcune aziende forse sì, ma si tratta di eccezioni: credo che effettivamente la maggior parte delle aziende abbia perso poco. Da un punto di vista pratico, escludendo la possibilità che sistemi di sicurezza abbandonati a sè stessi siano efficaci a lungo, vuole dire che le informazioni non hanno avuto un valore sufficiente. Può sembrare un’eresia, ma il problema è che ci si focalizza sul valore che le informazioni hanno per l’azienda che le potrebbe perdere (il che dovrebbe spingere per la maggior parte delle aziende soprattutto verso sistemi di backup), piuttosto che sul valore che quelle informazioni hanno per chi le ruba. Se è vero che il mondo del “cracking” si è avvicinato alla criminalità organizzata, è anche vero che si è concentrato sul denaro facile: phishing e simili. E infatti lì le banche si sono rassegnate per la maggior parte a che il fenomeno vada monitorato. Lo fanno fare per lo più a società specializzate, e ci sarebbe tanto da dire su come è affrontato il fenomeno, ma tant’è: dove per l’attaccante il valore c’è, l’attacco è metodico e compare il monitoraggio. Per il resto, nebbia fitta. Negli ultimi due anni si è parlato tanto di log management, ma dato che la cosa è stata guidata dalla compliance, l’efficacia dell’investimento dal punto di vista della sicurezza effettiva è stato minimo. Il provvedimento del Garante sugli amministratori di sistema ha portato negli ultimi due anni ad una proliferazione di sistemi di gestione centralizzata dei log che se ne stanno in un angolo a prendere polvere. Il problema non è investire in strumenti, ma investire in chi li usa. Ma qualcosa cambierà.
Nel 2010 la parola chiave, destinata a diventare il leitmotiv della sicurezza del 2011, è Data Loss Prevention, DLP. Ho sentito dire che il mercato del DLP sarà spinto dal cablegate, ma penso che in realtà sarà spinto molto di più dalla pubblicazione, se avverrà, dei nomi di evas… correntisti di banche svizzere di cui si parla in questi giorni. Perché se chi è a conoscenza di “cose sporche” potrà per vendetta, interesse, coscienza o altro, pubblicare in modo anonimo informazioni in contesti in cui vengono poco filtrate, molte organizzazioni si accorgeranno di avere un grosso problema. Ma naturalmente, per avere successo le soluzioni di DLP dovranno funzionare come tutti gli altri strumenti di sicurezza: devono poter essere comprate, configurate e dimenticate, salvo segnalare i casi talmente evidenti da non poter sfuggire a nessuno. Forse si allargherà un pochino il mercato delle società che fanno monitoraggio in outsourcing: hanno avuto un boom qualche anno fa, ma mi sembra che poi alla fine, acquisita una piccola fetta di mercato, non siano andate molto lontano.
La vicenda di Wikileaks ha portato alla luce un’altra questione interessante. Ho già accennato al fatto che la possibilità per le agenzie USA di condividere in modo efficace le informazioni, richiesta da più parti dopo il 2001, non poteva che portare ad un sistema in cui le informazioni circolano con più facilità, ed è più facile anche raccoglierne (e sottrarne) in quantità. Da più parti si è levata adesso la richiesta di tornare a un maggiore controllo degli accessi (anche se la parola tornare ovviamente non la usa nessuno), ma questo riporterebbe ad una situazione pre-2001: informazioni ben protette ma poco utilizzabili. Insomma, consigli che sembrano ovvi solo se non si guarda il quadro generale. In realtà, è proprio quello che probabilmente sta succedendo, perché questo tipo di reazione poco lungimirante è la più ovvia. Dell’articolo appena citato riporto una frase:”the system lacked features to detect the unauthorized downloading by Pentagon employees and others of massive amounts of data, according to State Department officials and information-security experts.” Ecco, è questo che sarebbe servito e servirebbe, e non rendere di nuovo complicato condividere le informazioni. Se vogliamo, possiamo vedere un problema simile, ma in piccolo: chi si ricorda degli “spioni fiscali“? Cito dall’articolo: “L’idea è di marcare i nomi dei Vip in modo da far scattare un allarme informatico a ogni controllo”. Di nuovo, ci si interessa dei dati di grande valore per chi li ruba (per l’Agenzia delle Entrate, la riservatezza di quei dati non è un valore in sé, se non in un’ottica di tutela dei clienti che dovrebbe valere per tutti), perché lì è certo che qualcuno li andrà a cercare. E di nuovo la soluzione, almeno a parole, comprende il monitoraggio. In questo caso un monitoraggio banale, ma che presuppone quantomeno che qualcuno verifichi effettivamente l’esistenza o meno di un problema (se mai la cosa è stata effettivamente implementata, si intende). Esistono altri casi di “monitoraggio”: in ambito bancario, ci sono alcuni tipi di transazioni che sono monitorate perché ne è chiara la criticità in quanto tali, e non in particolare per l’aspetto IT. Anche qui, il monitoraggio, che è un’attività onerosa, è riservato alle attività più critiche.
La conclusione mi sembra abbastanza chiara: possiamo tenere la maggior parte delle informazioni su sistemi non monitorati perché in fondo l’interesse a rubarle è poco, al di là di tutte le ipotesi. I furti si concentrano dove ci sono dati facili da prendere, ma soprattutto facili da riutilizzare. Naturalmente, una differenza fra i furti informatici e quelli reali è che i furti di dati possono non lasciare tracce, il che complica parecchio tutti i problemi, perché quando un certo tipo di risorsa diventa appetibile, può passare parecchio tempo prima che gli interessati si accorgano che qualcosa è cambiato.
Tuttavia, forse nel corso del 2011 si evidenzierà un altro fenomeno. Sto dicendo si evidenzierà, non nascerà. Stuxnet ci ha mostrato una cosa ovvia, che ho sottolineato tante volte, e cioè che le vulnerabilità “pubbliche” sono un sottoinsieme, probabilmente piccolo, delle vulnerabilità “note”, e che queste ulteriori vulnerabilità vengono utilizzate in modo efficace, mirato e proficuo, anziché pubblicarle per ottenere un momento di gloria raccontandole pubblicamente, o scrivere worm generici da spargere su Internet. Ci sono tanti “giovani divi” fra gli scopritori di vulnerabilità, perché probabilmente chi lo fa per mestiere gestisce diversamente quello che scopre. L’accoppiata Wikileaks-Stuxnet penso che abbia risvegliato l’attenzione di molti. Per la verità, mi aspetto più attenzione alla “minaccia interna”, che in fondo è un concetto al quale siamo abituati (e che comunque molte aziende di solito trascurano, tranne quando glielo impone il Garante). L’idea di affrontare metodicamente la presenza di vulnerabilità ignote non piace. Comunque, alcune organizzazioni inizieranno a monitorare alcune risorse e alcuni contesti in più, anche eventualmente utilizzando strumenti di DLP. Mi aspetto che in conseguenza di questo aumento si scoprirà un maggior numero di attacchi, sia interni che esterni, praticati con tecniche e vulnerabilità “nuove”. Sarà difficile dire quanto questo sia frutto della maggiore attenzione, quanto di un effettivo aumento (che ci sarà, man mano che si svilupperà un mercato per informazioni più sofisticate dei numeri di carta di credito), e quanto del fatto che le normative richiederanno sempre di più di informare gli interessanti di attacchi che abbiano esposto i loro dati personali (che non c’entrano, ma sono l’unico strumento finora efficace del promuovere buone pratiche).
Se a questo aggiungiamo l’aumento della diffusione di strumenti personali per l’accesso ai dati aziendali, sono abbastanza convinto che dopo un po’ ci si accorgerà che il monitoraggio è inevitabile: anche qui, si riproporrà la difficoltà mostrata con il cablegate, ovvero che la difficoltà nel controllo preventivo imporrà una maggiore attenzione all’analisi di quanto accade. Quel momento rappresenterà un vero salto di qualità della sicurezza. Ora, se è vero che nell’informatica le cose si muovono in fretta, ho imparato che però nella sicurezza si muovono molto più lentamente: anche gli “early adopters” lo fanno controvoglia. E quindi, mi sembra che il 2016 sia una data ragionevole 😉