Naming & shaming for spamming

Posted on June 15, 2011 by blogadmin

Krebs segnala questa iniziativa che espone direttamente al pubblico ludibrio le organizzazioni che producono più spam. Attenzione, non quelle che controllano le botnet, ma quelle che, presumibilmente perché “molto infette”, generano materialmente lo spam. Il progetto ha dimensioni ridotte, ma secondo me un suo ampliamento potrebbe avere un impatto decisivo sulla diffusione delle botnet. Per chi non lo ricorda, un’iniziativa simile era stata decisiva per eliminare gli amplificatori di smurf, iniziativa che ha portato in breve tempo alla soluzione del problema. E in fondo, il problema di immagine e le reazioni di ostracismo sono quelle che “ai bei tempi” facevano funzionare la netiquette. Qui l’effetto sarebbe ancora più importante, perché essere nella lista vuole dire avere molte macchine compromesse, non semplicemente un router mal configurato, e questa è una cosa che nessuna organizzazione vorrebbe vedere pubblicata. Basta vedere i nomi che compaiono nell’elenco, quasi tutti del settore sanitario: di che far venire i brividi a qualsiasi responsabile della conformità al trattamento dei dati sensibili. Naturalmente, dire “queste macchine sono in una botnet” potrebbe generare cause legali da chi, invece di curare la propria sicurezza, preferisce gestire il problema come una questione di immagine. Però niente impedirebbe di dire: “Ho ricevuto spam da X indirizzi IP, assegnati a questa azienda”. Questo aprirebbe anche la strada a un passo successivo: se un’azienda è nella parte alta della classifica (diffonde molto spam e virus), è stata avvertita da tempo e non ha preso provvedimenti… beh, a quel punto un’azione legale in caso di attacchi da worm/botnet provenienti da quella rete potrebbe diventare proponibile. Una volta “sistemate” le organizzazioni più grandi, tali da emergere a livello mondiale o nazionale, si potrebbe passare a classifiche più locali: qual’è l’azienda che produce più spam in Toscana? Naturalmente, si potrebbe obiettare che le reti più grandi, anche se mediamente “poco” compromesse, potrebbero produrre più spam di reti piccole completamente bucate, ma in realtà questo è un problema loro: la logica di un’iniziativa del genere è evidenziare chi danneggia di più la collettività, non chi ha più problemi di gestione. Naturalmente, il database dovrebbe essere gestito da qualcuno che ha già meccanismi di rilevazione di grosse quantità di spam, magari un gestore di qualche blacklist…

Posted in ict, Sicurezza, Uncategorized | Tagged , , , , | Comments Off on Naming & shaming for spamming

Quando l’informatica crolla

Posted on June 14, 2011 by blogadmin

L’odissea di Sony è iniziata ormai due mesi fa. A metà Aprile, la PlayStation Network (PSN) è stata attaccata. La prima conseguenza è stata il blocco della rete di gioco, e successivamente è stato ammesso il furto di 70 milioni di numeri di carte di credito (più dell’intera popolazione italiana), che in seguito sono diventati 100 milioni. Un evento grave, spiacevole, specialmente se si considera che da più parti si è detto che Sony era stata avvertita da tempo della presenza di gravi vulnerabilità. Ma la vera notizia incomincia da qui in poi, perché in fondo di attacchi simili ce ne sono stati altri in tante aziende, e se dal punto di vista economico o legale ci possono essere state conseguenze gravi, dal punto di vista informatico la notizia si chiudeva più o meno lì. Nel caso di Sony invece, sembra che le cose non abbiano fatto altro che peggiorare. Prima di tutto, la rete PSN è stata ferma per almeno un mese.  Tutte le analisi che ho visto sull’attacco parlano di server Apache non aggiornati o di SQL injection, ma difficilmente questi problemi (fra i più comuni in generale) possono portare ad un fermo di un mese: sono attacchi che colpiscono la parte “dati utente” o più periferica della rete, non l’infrastruttura. Perché un fermo di un mese? Non è il modo normale in cui si sviluppano questi incidenti: normalmente vengono messe un paio di “toppe” (aggiornamento dei server, correzione della SQL injection), se si sono persi dei dati utenti si comunica la perdita  dei dati e si torna online. Un fermo di un mese racconta di una storia completamente diversa. In questo articolo, viene riportata fra le righe quella che a me sembra la causa più probabile dell’attacco, sulla quale però non mi sbilancio perché sarebbe un’illazione 😉 Ma viene fatta un’altra affermazione: “They didn’t’ get attacked because they were weak, they didn’t get attacked for credit cards, they got attacked because of a conscious decision the company made to go after modders.” e poi, facendo il confronto con Microsoft, “The attitude of the company towards the general public is what really played a role in Sony being attacked and why they are continuously being attacked“. A me sembra una grossa cretinata, per diversi motivi. Primo, Microsoft è abituata da decenni ad essere odiata ed attaccata, e checché ne dica l’articolo, starà ben attenta a non esporre vulnerabilità, attenzione che Sony sembra non aver proprio avuto (server Apache non aggiornati???). Ma soprattutto, si suggerisce che l’attacco sia dovuto alla causa legale intentata nei confronti di un hacker, con un tono che a me sembra minaccioso che ho sentito da più parti, come a dire:”Attento a te, che osi intentare queste cause legali, perché ne subirai le conseguenze”. Lo stesso tono di velata approvazione che si sente nei confronti di Anonymous e dei vari attacchi portati a istituzioni, aziende ecc. Sia chiaro che io non credo che la causa dell’attacco sia quella, ma soprattutto, per quanto sia riprovevole l’atteggiamento di Sony nei confronti del modding, ci manca solo che un’azienda non possa svolgere delle attività lecite (fare causa, ad esempio) per paura di atti vandalici. Con tutti i problemi di sicurezza che ci sono su Internet, ci mancano i giustizieri fai-da-te: se qualcosa non va nelle leggi (sul modding, nello specifico), si cambiano le leggi, e quindi prima di tutto si fa vera cultura e sensibilizzazione fra le persone: cosa senz’altro più lenta, difficile, e meno divertente dell’hacking… anche perché i giustizieri fai-da-te vanno bene finché sei d’accordo con loro, ma poi cominciano i problemi. Supportare queste azioni vuole dire, al contrario di quanto sembra, non avere per niente chiara l’importanza di Internet, e quindi la necessità di mantenerla libera da comportamenti vandalici o criminali.

Un pensiero a margine: di quei cento milioni ai quali è stato copiato il numero di carta di credito su PSN, quanti torneranno a dare a Sony il proprio numero di carta di credito, nonappena il problema sarà sistemato? Io scommetto sui novanta milioni… tolgo solo i dieci milioni che nel frattempo saranno passati a Xbox, e quindi non si porranno più il problema 😉 Questa mia visione pessimistica è confermata da diversi episodi che ho visto in passato, e la dice lunga sulla cultura di sicurezza informatica dei consumatori.

Ma la cosa non finisce qui: da allora Sony ha subito attacchi ancora e ancora, come se un vaso di Pandora fosse stato aperto e i venti si fossero scatenati contro quell’azienda. E qui si parla di attacchi che portano via il codice sorgente, altro che rete di gioco online, e questo a quasi due mesi dal primo attacco a PSN. Tutto questo non dà l’idea di un bug tipo SQL injection che permette di accedere ai dati delle carte di credito: per quanto non ci siano molte informazioni pubbliche, mi sembra chiaro che il problema è molto più profondo. L’immagine che offre Sony è quella di un’azienda che ha sbagliato qualcosa di fondamentale nella propria gestione della sicurezza, e di un’infrastruttura informatica che crolla…

E parlando di infrastrutture informatiche che crollano, non posso non pensare alle recenti vicende di Poste Italiane. Devo dire che Poste è una di quelle poche grandi aziende italiane  in cui “hanno lavorato un po’ tutti”, come in Telecom, e un po’ tutti hanno idea di come funziona, quindi chi lavora nel settore ne sente parlare spesso. Io credo di essere fra i pochi che non ci hanno mai lavorato (che mi ricordi), e quindi eviterò di esprimere opinioni sulle cause tecniche o organizzative del guasto. Oltretutto, ne hanno già parlato in troppi, principalmente a vanvera, soprattutto chi non ha mai visto realmente un sistema informatico di quelle dimensioni.

Vorrei invece vedere per un attimo la vicenda dal lato di chi gestisce il sistema e si trova davanti un problema del genere. È uno degli incubi peggiori: c’è un sistema che sta (più o meno) funzionando, modifichi qualcosa e tutto smette di funzionare; non c’è modo di tornare alla versione precedente (tipica soluzione dell’informatico, insieme al “riavviare” 😉 ), e intanto l’azienda è ferma. Con tutti gli errori che possono essere stati fatti, non posso che provare un attimo di solidarietà per chi ci si è trovato in mezzo… solo un attimo 😉

Ma quello che mi interessa far notare è come questo caso abbia messo di nuovo in evidenza il ruolo critico dei sistemi informativi in qualsiasi grande azienda od organizzazione moderna. Quando si fermano, si ferma tutto, e non è un “difetto” dovuto all’eccessiva informatizzazione, è semplicemente che il sistema informatico è diventato un’infrastruttura fondamentale come l’energia elettrica: come per l’energia elettrica, se manca si ferma tutto, ma come per l’energia elettrica, quando c’è permette di fare molto di più con meno sforzo. Anche non volendone riconoscere le potenzialità in termini di competitività, questo ruolo critico dell’informatica porterebbe come conseguenza che si debba fare molta attenzione ad investire bene in questo settore. Bene vuole dire qualità, e la qualità costa. Invece, in questi anni si è vista una riduzione costante e generalizzata degli investimenti e quindi, banalmente, della qualità. “Oh, prima il mio responsabile dei sistemi informativi mi chiedeva un sacco di soldi, adesso gliene do un terzo e fa lo stesso lavoro di prima: non sono bravo?” No, tu non sei bravo, e lui non sta facendo lo stesso lavoro. Proviamo a riportare lo stesso concetto a un qualsiasi altro contesto: ad esempio, supponiamo che una compagnia aerea riduca di un terzo gli investimenti per la manutenzione degli aerei: pensereste che sia il risultato di una buona gestione, o solo un disastro in attesa di verificarsi? E se lo stesso venisse fatto sui costi di una centrale elettrica? O sui costi di un’industria alimentare? O anche, se vi dicessero che “in qualche modo” un ospedale ha tagliato i costi dell’elettricità di due terzi? Bene, in tutti i settori in questi anni è stato fatto così sui costi dell’informatica. E non mi riferisco a tagli rispetto alle tariffe professionali folli della fine anni ’90 o primi anni 2000, mi riferisco ai costi di quattro o cinque anni fa, già abbondantemente (e giustamente, allora sì) ridimensionati rispetto agli anni precedenti. Cito uno degli articoli che ho visto citare maggiormente in questo periodo: la data è di febbraio, quindi in tempi non sospetti: “A problemi annosi, come i ritardi dei pagamenti nella Pubblica amministrazione, se n’è aggiunto recentemente uno tutto nuovo: la tendenza degli enti pubblici a comprimere oltre misura i prezzi, sfruttando la fame di commesse da parte delle aziende dell’Information techonology, messe a dura prova dalla crisi economica.“. Messe a dura prova perché l’informatica vive particolarmente di investimenti e innovazione, e di innovazione da queste parti se ne vede poca. L’articolo parla in realtà principalmente di Poste Italiane, e dubito che le ragioni per fare gare al ribasso di Poste siano le stesse di una vera P.A., (come minimo perché a quello che leggo nel 2010 Poste ha avuto un utile di 1 miliardo), ma lo stesso ragionamento vale in tutti i settori, anche non pubblici. Bene, per come la vedo io risparmiare sull’informatica è un po’ come risparmiare sulla manutenzione delle strade o degli argini dei fiumi: sul breve termine sembra una scelta di poco impatto e che crea meno problemi che tagliare su costi più “visibili”, ma oltre un certo limite prima o poi le cose crollano. Per fortuna, il crollo dell’informatica generalmente non ha gli stessi effetti disastrosi del crollo di un argine, ma di blocchi, malfunzionamenti e progetti che partono e poi devono essere rinviati di un anno (indovina?) ne vedremo molti, sia nella P.A. che fuori.

Posted in ict, Varie | Tagged , , , | Comments Off on Quando l’informatica crolla

Gli enti pubblici ai tempi di Internet

Posted on June 7, 2011 by blogadmin

Ieri dovevo svolgere una pratica presso un Ente pubblico (non locale), non dirò quale, non è rilevante. Dato il tipo di pratica, c’era il rischio di perdere la mattinata in code e trafile da girone dantesco. Una bella prospettiva, visto che il tempo non mi avanza. Ma poi, cercando informazioni vedo una pagina web che mi ricorda che tempo fa era stato attivato un servizio che permetteva di svolgere la pratica online. Chissà se funziona ancora… sembra di sì. La pagina web è attiva. Chissà come funziona, dato che non ho un qualche tipo di rapporto con quell’ente che possa prevedere un’autenticazione  o altro. L’idea è semplice: compilo tutta la modulistica online (verificata, ordinata, scritta bene e in formato elettronico), poi l’applicazione verifica quello che deve verificare e alla fine mi viene fissato un appuntamento per andare a completare la pratica “con una corsia preferenziale”, dato che a quel punto il completamento della pratica si limita alla stampa del modulo che ho compilato online, alla verifica di un mio documento e all’apposizione di una firma e un timbro. Funzionerà? Ebbene, il servizio funziona benissimo: le istruzioni sono chiare, l’applicazione mi guida senza difficoltà e senza intoppi fino alla fine: il modulo è compilato e ne ho una copia stampata, e l’appuntamento è fissato per l’indomani (oggi) fra le 8 e le 10. Così questa mattina alle 9 vado all’ufficio dove ho preso appuntamento e mi presento alla persona allo sportello:”Buongiorno, ho fatto la tale pratica online”. Il mio interlocutore mi guarda, e la sua bocca si allarga in un ampio sorriso che sembra dire: “O divertente cittadino, alla tua età ancora credi alle favole?”. In quel momento capisco come andranno avanti le cose, e che ha ragione lui: credo ancora alle favole. Poi, molto più pragmaticamente, mi dice che non ha assolutamente idea di come si gestisca questo tipo di procedura, né ha modo di farlo. Nota, non che la procedura non funzioni o non sia applicabile. Fortunatamente non c’è il girone dantesco, al momento ci sono solo io… e così mi presenta i soliti moduli cartacei da ricompilare. Io però non ho dietro tutti i dati necessari per ricompilare tutto, così sono costretto a tornare a casa, prendere i dati, tornare all’ufficio, compilare i moduli e presentarli allo sportello, dove viene compilata a mano un’altra serie di dati, fra cui quelli della mia carta di identità che altrimenti sarebbe bastato verificare, visto che era fra i dati che avevo già compilato io. Il tutto su un modulo cartaceo che finirà chissà dove, protocollato a mano, anziché in un formato elettronico gestibile e riutilizzabile in mille modi diversi. E naturalmente, il tutto inframmezzato da telefonate e altre attività che lo sportellista ha dovuto svolgere con me in attesa davanti allo sportello (come tutti quelli dietro di me), e con una maggiore probabilità di errori. Alla fine, un’operazione che sarebbe potuta durare letteralmente due minuti, mi ha portato via quasi mezza mattina, ma ha portato via anche del tempo allo sportellista, nonché a tutti gli altri in coda. Sperando che poi non ci sia anche qualcuno che deve inserire i dati della mia pratica a mano in un qualche sistema. Eppure, da qualche parte nel terminale di fronte allo sportellista c’era sicuramente un posto dove inserire i codici che mi ero portato dietro, e che avrebbero avviato in un attimo il completamento della pratica.

Morale? Pensando ai temi di questi giorni mi chiedo, è possibile che l’unica soluzione alle inefficienze della pubblica amministrazione sia toglierle competenze? È possibile che una procedura perfettamente funzionante venga bloccata perché letteralmente l’ultima ruota del carro non sa come completarla? Tutto quello che era stato investito nel migliorare il servizio al cittadino, nel dargli l’idea e la sostanza di uno Stato più efficiente, nel liberare risorse dell’ente per fare un lavoro più utile (e immagino anche più interessante) sono state sprecate perché… perché? Quella persona non era stata istruita? Era stata istruita ma si è sentita legittimata a rifiutare di adottare la nuova procedura? Era stata messa lì per caso? Aveva un odio luddistico per il computer (cosa che mi capita di sentire: “il computer rovina i rapporti umani”, come se far imbestialire le persone in coda fosse un modo per mantenere rapporti umani)…

Quale che sia la causa, una cosa è certa: quella è una pratica che non può essere esternalizzata o “privatizzata”, e quindi prima o poi bisognerà smettere di pensare che la PA non funziona e che quindi basta toglierle competenze, bisognerà ragionare sul perché non funziona (al di là dei facili luoghi comuni) e pensare a come farla funzionare meglio. Piccolo indizio: l’ente non si accorgerà mai che c’è stato questo piccolo fallimento, sempre che gli interessi (sul sito web non c’è nemmeno un modulo per il feedback, non sia mai che sia negativo…), né in tempi brevi cambierà lo stato del mio sportellista, che fosse per mancata formazione o per luddismo.

Ora vi lascio: devo andare a spedire da un’altra parte il modulo così faticosamente ottenuto: in originale cartaceo con tutti i timbri, e con raccomandata R/R… all’ufficio postale: mi viene la gastrite solo a pensarci…

Aggiornamento: indovinate com’era l’ufficio postale, dopo i problemi di questi giorni?

 

Posted in ict | 3 Comments