Sicurezza, ICT e altro

Non credo che il numero di account compromessi, riportato in questo articolo di Punto Informatico,  sia in sè interessante. Lo dico con un certo cinismo, dato che è più di quanti siano gli utenti di Internet in Italia; purtroppo però a queste notizie siamo abituati. La notizia interessante è che la cosa è andata avanti due anni e mezzo prima che se ne accorgessero. Vediamo il problema in termini di gestione della sicurezza. C’è stato, certo, un momento in cui una qualsivoglia vulnerabilità ha permesso che la situazione si instaurasse. Che fosse un baco software, un errore di configurazione, un comportamento scorretto di un dipendente o altro, poco importa: vulnerabilità ce ne sono e, per quanto è possibile immaginare, ce ne saranno sempre. Una volta sfruttata la vulnerabilità e instaurato il canale che ha permesso di sottrarre le informazioni, la vulnerabilità non era più necessaria. Tuttavia, su qualche sistema e sulla rete c’era dell’attività illegittima e c’erano degli accessi illegittimi che per due anni e mezzo si sono svolti senza che nessuno se ne accorgesse. Certo, si potrebbe dire, non serve molto traffico per questo tipo di attività, ed era facile mescolarlo a quello legittimo. Il che è vero; meno ovvio è che sul sistema o sui sistemi coinvolti potesse girare indisturbato per due anni e mezzo del codice che accedeva a dati senz’altro riservati. Sia chiaro, non sto dicendo che il problema fosse semplice, specialmente con la complessità dei sistemi attuali. Tuttavia, è anche vero che la sicurezza è troppo focalizzata sulle vulnerabilità, e troppo poco sull’accesso ai dati. Ho già detto più volte che il grosso problema che dovremo affrontare nel prossimo futuro è quello degli accessi illegittimi da parte del personale autorizzato, problema che del resto già vediamo ogni tanto in modo anche clamoroso nella cronaca. Il problema del controllo degli accessi è però più generale. Seguivo in questi giorni su loganalisys un thread relativo al logging degli accessi ai database, e non ne emerge un quadro confortante: si tratta in pratica di un’attività che interessa solo quando necessaria per compliance a qualche normativa. Il che purtroppo è vero per molti aspetti della sicurezza, e per un motivo molto semplice: spesso l’insicurezza di un sistema non porta un danno diretto a chi lo gestisce, ma a terzi, e quindi chi lo gestisce non ha interesse ad investire per curarne la sicurezza. Il furto di identità, il phishing e il caso riportato nell’articolo di Punto Informatico ne sono esempi chiari. Per questo sono importanti normative come quella sui dati personali: non perché costringono le aziende a curare la propria sicurezza, ma perché chiariscono che determinati comportamenti sono negligenti e che quindi in caso di accesso abusivo le aziende pagheranno i danni che ne derivano ai clienti. Tuttavia, riconoscere le violazioni ai sistemi informativi non è facile; se vengono rubati dei gioielli in custodia in una cassetta di sicurezza, il furto e la responsabilità (in termini di custodia) sono abbastanza evidenti. Se invece qualcuno accede a dei dati personali e poi li utilizza, anche quando l’utilizzo viene scoperto non è facile risalire a dove le informazioni siano state raccolte illegittimamente. Lo vediamo tutti i giorni con lo spam, non sappiamo qualsi mai dove è stato preso il nostro indirizzo di posta elettronica. Ecco perché è importante che i comportamenti e i sistemi utilizzati in contesti in cui possono essere prodotti danni a terzi rispondano a determinati requisiti minimi. Il concetto non è certo nuovo: le automobili devono rispondere a determinati requisiti di sicurezza perché non è ragionevole aspettare che ci siano degli incidenti, che ad esempio con freni non funzionanti sarebbero quasi certi, per poi pagare i danni: è molto più ragionevole assicurarsi che almeno le cause banali degli incidenti siano evitate. Nel caso delle automobili, mentre io posso guidare un mezzo modificato in contesti particolari (si pensi alle gare automobilistiche), se si vuole circolare sulle strade pubbliche i mezzi sono controllati da tre punti di vista: requisiti di sicurezza alla produzione, comportamento dell’utente (es. limiti di velocità), verifiche periodiche sullo stato di sicurezza (revisioni). Naturalmente, c’è differenza fra i danni che può provocare un’auto senza freni e quelli che può provocare il pc di un utente, ma è altrettanto vero che quando un pc sparge virus per Internet perché non è curato, la logica è la stessa dell’auto che inquina perché il motore non ha avuto manutenzione. Allora forse anche per i pc si potrebbe cominciare con le cose più semplici: la cura nella produzione, e la responsabilità per la negligenza…

La vulnerabilità del momento sembra essere quella dell’Animated Cursor di Windows (da Windows 2000 a Vista). Prima di affrontare la questione, vorrei chiarire il contesto in cui vedo il problema: il contesto è quello in cui l’utente/cittadino/dipendente, senza una competenza informatica specifica, utilizzerà sempre più il proprio PC per attività critiche come l’home banking, il commercio elettronico, l’interazione con le pubbliche amministrazioni. In questo contesto, la sicurezza del PC domestico, o della segretaria, o del commercialista, diventa molto più importante rispetto ai fronzoli che possono abbellire il desktop o una pagina web. Naturalmente si può dire che il cursore animato in fondo è piccola cosa, e che è “un caso” che la vulnerabilità sia capitata proprio lì, ma è proprio questa l’essenza del creeping featurism (che possiamo tradurre come “aggiunta strisciante di funzionalità”): tante piccole aggiunte, per la maggior parte inutili, che però fra tutte finiscono per introdurre una miriade di piccoli problemi, non solo di sicurezza ma anche di stabilità. Quanto spesso l’introduzione di queste funzionalità è fatta pensando ai desideri e bisogni dell’utente? Direi molto raramente. Mi sembra che prevalgano motivazioni come: poter vendere una nuova versione con funzionalità in più (in una nuova versione ci devono essere funzionalità coreografiche in più, altrimenti chi la compra?); dare agli sviluppatori qualcosa con cui rendere più accattivante il proprio sito (gli sviluppatori di siti sono i veri “clienti” di queto tipo di funzionalità, gli utenti le subiscono e ne subiscono le conseguenze per la sicurezza); eventualmente, presentarsi con qualcosa che la concorrenza non ha. Ripeto, non è la singola funzionalità il problema, ma la continua aggiunta di miriadi di piccole cose, con le quali poi il sistema deve rimanere compatibile e che quindi introducono altri problemi, soprattutto di stabilità, quando si cerca di cambiare qualcosa, magari per migliorare la sicurezza.

Tanto per cambiare ho preso un problema di Windows come esempio, ma sia chiaro che Linux e gli altri non sono certo da meno, nè lo sono tante applicazioni che ci girano sopra. Un esempio sono le intefacce grafiche, a partire dal desktop del Mac arrivando a KDE, con le sue nuove funzionalità 3D, del tutto inutili ma adattissime a consumare CPU. Lo so, chi si occupa di sicurezza tende a fare resistenza all’introduzione delle novità ed a guardarle con sospetto, e quindi sembra sempre opporsi all’innovazione. Dubito però che un cursore animato e il desktop 3D possano essere considerati innovazione: sono (purtroppo) solo abbellimenti di un’interfaccia de nella sostanza di innovazione non ne vede da vent’anni.

Sempre a proposito delle vulnerabilità di Vista: un interessante articolo di Intini. Molte delle cose che dice sono condivisibili, anche se dubito che i numeri su cui si basano lo siano: il numero di vulnerabilità di Ubuntu, che non sono dettagiate nel report citato (report di che, quindi?) mi sembra credibile solo mettendoci anche le vulnerabilità degli applicativi. Comunque sui numeri si sarà già detto tanto e non mi interessa dire di più; mi sembra invece assolutamente vero che Vista non sta presentando una gran massa di vulnerabilità, e in effetti sembra averne un po’ meno di XP (non XP al momento del suo rilascio ma XP adesso, che è quello con cui si deve confrontare se vuole vendere 😉 ). Posto quindi che la gestione delle vulnerabilità da parte di Microsoft non sia peggiore di quella di tanti altri, distribuzioni Linux comprese (e credo che non lo sia), la domanda più interessante è: in questi tre mesi, chi aveva un sistema Vista è stato al sicuro? La risposta è naturalmente no. Niente Microsoft bashing, sia chiaro; è che vorrei sottolineare che quello delle vulnerabilità è un problema sul quale, come ho già avuto occasione di dire, ci si focalizza troppo. Primo, perché un sistema mal disegnato è debole anche in assenza di “vulnerabilità” intese come guasti software (e di nuovo non mi riferisco specificamente a Vista). Secondo, e più importante, perché la gestione delle vulnerabilità è solo una parte del problema sicurezza.

Anche MJR, in questa mail, esprime dubbi sull’utilizzo del concetto di rischio nella sicurezza IT. Il problema di fondo è che il concetto di rischio è legato al concetto di probabilità, e nel campo dell’IT la probabilità, salvo casi banali, non si riesce a calcolare realmente, sia perché mancano i dati storici attendibili su cui basare il calcolo, sia perché il contesto è in evoluzione così veloce che i dati del passato permettono di prevedere poco su quello che succederà nel futuro. Il risultato è che la probabilità è di fatto una rappresentazione più o meno numerica delle “sensazioni”, o nel migliore dei casi dell’esperienza, di chi fa l’analisi. Basare la valutazione sull’esperienza può anche essere una strada accettabile, tuttavia non ha le caratteristiche di oggettività e ripetibilità che si vorrebbero dare all’analisi del rischio.