Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

cyber security

Trent’anni di (in)sicurezza digitale (1988-2018): che ci riserva il prossimo decennio?

Trent’anni di insicurezza informatica, dal primo worm del 1988 a oggi, ci hanno insegnato una verità indiscutibile: tutto ciò che si basa sul software è insicuro. E ciononostante stiamo cedendo il controllo del mondo al software, con crescente rassegnazione. Previsioni (e una speranza) per il prossimo decennio

08 Gen 2019

Michele Colajanni

Università di Modena e Reggio Emilia


Dal primo worm, “partito” da Ithaca alla fine degli anni ’80 ai più recenti attacchi WannaCry e NotPetya diretti ai sistemi industriali ne è passata di acqua sotto i ponti: è nato il world wide web, è fiorita l’industria della sicurezza informatica, l’informazione è diventata accessibile a tutti, l’arrivo di smartphone e social network permette a tutti di diffondere la propria visione del mondo con il proprio stile.

Questo fino a oggi. E nel prossimo decennio? Azzardiamo qualche previsione e una speranza per ripartire, ma partiamo dalle origini.

Il primo worm che ha messo in ginocchio la rete

Era un freddo mercoledì, quel 2 novembre 1988 a Ithaca in cui la temperatura non aveva mai superato i quattro gradi. Estremo nord degli Stati Uniti, già in odore di Grandi Laghi, e sede della prestigiosa Cornell University. Da un laboratorio di questa università, lo studente di dottorato di informatica Robert Morris si appresta a lanciare un’applicazione preventivamente caricata in un computer del MIT di Boston. Il software, innescato da remoto, non è un’applicazione qualsiasi, ma un worm in grado di auto-replicarsi e propagarsi rapidamente attraverso Internet. Non sapremo mai se fu un esperimento finito male o un attacco dimostrativo. Fatto sta che una significativa percentuale dei centomila computer al tempo interconnessi e una parte delle comunicazioni di Internet fu messa in ginocchio. Ci vollero settimane e molto lavoro di vari specialisti per rientrare nella normalità operativa. La comunità scientifica che gestiva Internet si risvegliò bruscamente e tante cose cambiarono da quei giorni. Oggi sembra impensabile che nel 1988 le reti non disponessero di alcuna protezione, ma i motivi sono da ricercarsi nelle origini.

Internet nasce nella California degli anni ’60 e la sua natura risente dello spirito del tempo: ottimista, liberal, collaborativa, allergica alle regole e alle gerarchie esterne. Nelle sorprendenti contraddizioni esibite talvolta dagli Stati Uniti, nonostante i finanziamenti derivassero dalla ricerca militare dell’Advanced Research Projects Agency (ARPA), Internet –al tempo Arpanet– nasce aperta, libera e neutrale. Finanziata dalla ricerca militare e accademica, gestita e utilizzata per scopi no profit da università e centri di ricerca, tutti contribuivano al miglioramento senza interessi economici, assolutamente vietati fino al 1989. D’altro canto, se tutti si comportano bene e non ci sono interessi economici né criminali, la fiducia è totale e l’autoregolamentazione è più che sufficiente. Nei primi vent’anni, Internet è stata una vera isola che non c’è abitata da pochi fortunati ricercatori e accademici: “niente ladri e gendarmi, niente odio e violenza, né soldati né armi”.

Nasce l’industria della sicurezza informatica

L’attacco di Morris cambia bruscamente lo scenario. Entrano in campo le forze dell’ordine che catturano lo studente, i giudici che lo processano e condannano. Il ministero della Difesa sollecita la creazione del primo centro nazionale per l’analisi e la pronta riposta ad attacchi informatici (CERT). I media scoprono il lato oscuro dell’informatica. Nelle università, si sviluppa un nuovo filone di ricerca sulla sicurezza dei sistemi, relativamente indipendente rispetto alle secolari ricerche accademico-militari sulla crittografia. E, inevitabilmente, nasce l’industria della sicurezza informatica che dopo trent’anni ha un fatturato da oltre 100 miliardi di dollari all’anno con percentuali di crescita superiori a quelle dell’IT. La politica, impegnata sul crollo dell’impero sovietico e sulla “fine della storia”[1], non se ne accorse, e tutt’oggi paghiamo le conseguenze di tanti decenni di distrazione. Le origini delle specializzazioni cyber nell’ambito della pubblica sicurezza, del diritto, della difesa, della ricerca, dell’informazione e del business possono essere fatte risalire a quel freddo novembre in cui la rete a Ithaca perse la sua innocenza e che, dopo trent’anni, è ben lungi dal ritrovare. Al contrario, in ossequio alla fatale evocazione omerica del luogo, è tutto il mondo che sembra aver smarrito se stesso insieme alle rotte sociali, politiche, informative, organizzative, legali, che non riescono a inseguire la dirompente innovazione tecnologica e tanto meno osano anticiparla.

Tim Berners-Lee getta i semi del World Wide Web

Anni interessanti quelli di fine ’80. Mentre il mondo assisteva alla caduta del muro di Berlino, Internet cominciava un percorso di liberalizzazione normativa, e gli informatici si trovavano a fronteggiare il primo vero attacco all’infrastruttura della Rete, un tecnico informatico del CERN di Ginevra, l’inglese Tim Berners-Lee, stava studiando un metodo per facilitare lo scambio di informazioni e di documenti tra i fisici. Spunto meritorio in quanto i loro progetti di ricerca sono di un’immensa complessità e coinvolgono centinaia di ricercatori in tutto il mondo.

E’ con questo obiettivo che Tim Berners-Lee combina in modo originale alcune tecnologie pre-esistenti, quali l’ipertesto e Internet, e getta i semi del World Wide Web. Non apprezzata “in patria”[2], la ricerca si sposta negli Stati Uniti e diviene tecnologia matura. Con un meraviglioso slancio di semplificazione che solo l’informatica sa talvolta materializzare, il WWW consente a tutti di navigare tra le informazioni della rete con un click, mascherando la complessità tecnologica delle interazioni sottostanti. Internet, che era strumento per pochi esperti, grazie al Web diviene per tutti con conseguenze che una piccola minoranza aveva colto. L’effetto dirompente ha coinvolto inizialmente l’aspetto informativo.

Da Yahoo a Google, tutti possono accedere a tutto

Dopo millenni in cui l’informazione è stata regolamentata, filtrata, organizzata in rigide tassonomie e fruita solo attraverso canali ufficiali, tutti hanno la possibilità di accedere a tutto. Come dimenticare la sensazione di libertà, il fascino di trovare informazioni a portata di click, ma anche il piacere della serendipity nel trovare ciò che non si stava cercando?

Erano i tempi di Yahoo che, tentando di organizzare le informazioni della Rete in categorie, portava in sé il gene del fallimento. Il Web non è mai stata informazione strutturabile, ma sin dall’inizio rete di relazioni caotiche in continua evoluzione. Google, che ne ha compreso la vera natura e ha offerto a tutti il modo per orientarsi, è diventata in un solo decennio una delle più potenti aziende mondiali. Senza dimenticare un’altra peculiarità del Web: la fruizione dell’informazione e dei servizi è quasi sempre gratuita, in modo legale ma anche illegale perché copiare materiale digitale e craccare il software, indipendentemente dalle norme, non è mai stato socialmente percepito come vero crimine ed è (stata) pratica diffusa a livello personale e, in molti Paesi, anche aziendale.

Le criticità della gratuità ab origine 

Ma la gratuità ab origine e l’aspettativa o la ricerca della stessa comporta tre criticità i cui effetti sono ancora in corso:

  • la prima è di natura morale, con il relativo impatto etico-comportamentale sulle generazioni dai millenials alla Generazione Z non va trascurato;
  • la seconda implica la radicale modifica di intere filiere di business, quali giornali, musica, comunicazioni;
  • la terza implica la frenetica ricerca di fonti di guadagno alternative da parte dei fornitori di servizi (gratuiti) che si può sintetizzare in profilazione utente, commercio impudente dei dati personali e pubblicità mirata.

L’avvento di smartphone e social network

L’avvento dei social network e l’induzione all’esibizionismo degli User Generated Content diventano strumenti perfetti per tali scopi. Gli utenti da passivi diventano apparenti protagonisti e, grazie alla contemporanea diffusione degli smartphone, tutti i servizi e contenuti possono essere generati e usufruiti anywhere-anytime-anyone, così che a ciascuno è consentito affacciarsi al mondo e diffondere la sua visione con il proprio stile.

Per qualche strano scherzo evolutivo, l’anonimato favorisce nell’uomo le espressioni di stupidità, violenza, volgarità e rancore, che riempiono i social network e ciascun sito dove le comunicazioni non sono moderate. L’impatto sociale e politico è travolgente ed è divenuto ben più grave dei furti miliardari condotti dai criminali informatici.

Sono le basi stesse della democrazia ad essere messe in discussione, mentre le non democrazie e le democrazie autoritarie, che governano le reti nazionali e i contenuti digitali, prosperano. Purtroppo, invece di combattere l’imbarbarimento, tutti gli schieramenti delle democrazie ambiscono a creare il loro squadrone di troll digitali che, mossi da ideologia o prezzolati, possano combattere con veemenza le idee dello schieramento avversario e ancor più i loro esponenti. Senza possibilità di dibattito civile, la società si polarizza e la democrazia appassisce, ma il Colosseo è sempre piaciuto alle masse, e la versione digitale sembra non aver modificato i gusti atavici.

In sintesi, l’ingresso dirompente nel Web di utenti di ogni tipo ha apportato immensa energia alla rete, ma l’isola che non c’è e il suo bon ton non ha retto l’urto.

La necessità di regole

La Rete, massimo strumento di emancipazione dove tutti hanno accesso a tutto, ha cambiato il mondo, ma il mondo non è stato altrettanto veloce nel definire nuove regole per la civile convivenza, che rimane ancorata ai principi fondativi di Internet: apertura, deregulation, libertà, ma anche anonimato e impunità. Inevitabile che avventurieri e criminali professionisti abbiano cominciato ad approfittarne sul finire degli anni ’90; meno accettabile che continuino a farlo dopo vent’anni con continui aumenti di fatturato.

La crescita di reati e abusi informatici ai danni di persone, aziende e istituzioni provoca l’emanazione di nuove leggi che tuttavia è molto difficile far rispettare. Anonimato, multinazionalità, rapidità di azione, volatilità delle prove digitali sono tutti fattori a favore degli attaccanti.

Pertanto, ben venga il moderno orientamento delle forze dell’ordine, della difesa e dell’intelligence nel favorire azioni preventive. Una volta subito l’attacco, è troppo tardi. Anche perché l’evocata rappresaglia digitale rimane nella sfera mitologica sino a che non si riuscirà a risolvere l’annesso mitico problema dell’attribution 100%. Per i dirigenti di istituzioni e aziende, è tuttora difficile accettare che non esistano tecnologie magiche di protezione e di difesa attiva, e che la sicurezza informatica, una volta effettuati i necessari investimenti tecnologici, passi attraverso le persone, la formazione, una complessa revisione delle regole e delle procedure, e un ancor più faticoso processo di gestione del cambiamento che tutto ciò comporta.

In altre parole, passi attraverso il coinvolgimento diretto del management con il supporto dell’IT e non viceversa, come si sta facendo in modo errato da trent’anni.

Previsioni per il prossimo decennio

Sarebbe bello lanciarsi in previsioni sui prossimi trent’anni che nessuno sarà in grado di verificare, ma tale prerogativa è appannaggio solo dei futurologi professionisti. Qui ci si limiterà al prossimo decennio.

Ci sono stati attacchi cyber di qualsiasi tipo in questo periodo, eppure anche i principali eventi, dopo un momentum, tendono sempre più rapidamente a diventare normalità per i non specialisti, quasi a seguire l’hype cycle tecnologico di Gartner.

Il 2018 segna un allarmante cambio di tendenza. E’ sufficiente confrontare il caso Equifax con il furto dei dati personali di 143 milioni di clienti ad agosto 2017, con il caso Marriott che ha subito analogo furto relativo a 500 milioni di ospiti a dicembre 2018.

Sebbene il secondo sia più grave per dimensioni ed estensione mondiale, e paragonabile per impatto sulla privacy, l’impatto mediatico del primo è stato di gran lunga superiore, così come lo stigma politico e sociale che si è abbattuto su Equifax e il suo management. Nel caso Marriott, invece, si è passati a una percezione di normale rassegnazione, del può capitare a tutti. Eppure non dovrebbe essere per nulla accettabile che si possano perdere i dati relativi a chi ha dormito dove, con chi e per quanto tempo, soprattutto considerando che tale catena di alberghi è convenzionata con molteplici organizzazioni nazionali e internazionali.

Nel nostro Paese il trend di accettazione è analogo. Un esempio è rappresentato dal devastante attacco alle PEC italiane gestite da TIM, in cui sono state colpite 500.000 caselle anche di importanti enti nazionali, ma la notizia è evaporata dopo tre giorni e, se non fosse intervenuta la conferenza stampa del vice-direttore del DIS, non avrebbe retto più di uno.

E’ una situazione preoccupante perché, se l’interesse generale scema, il mondo dei media è destinato a seguire il trend in un circolo vizioso, così che le notizie degli attacchi cyber rischiano di tornare nella sfera degli specialisti con una fugace apparizione extra bolla. E la politica sarà così consapevole e autorevole da orientare le risorse su di un tema non più mainstream?

L’auspicio è di una percezione errata dello scrivente, anche se i riscontri in tal senso predominano: la meritoria identificazione dei 465 operatori di servizi essenziali in ottemperanza alla norma sulle infrastrutture critiche è passata inosservata a livello di fonti non specializzate. E questo è molto grave, in quanto la direttiva NIS avrà un impatto economico e organizzativo sulle filiere industriali che andrà ben oltre gli adempimenti formali indotti dal GDPR. In sintesi, la prima previsione è pessimistica: la società si abituerà a convivere con gli attacchi e i crimini informatici che non la riguardano da vicino così come ha imparato a fare con gli incidenti automobilistici mortali.

Il prossimo evento dirompente, in realtà già in atto, è rappresentato dall’Internet delle cose: mondo digitale e fisico che si intersecano e, a causa dell’enorme massa di dati prodotti, gran parte sarà gestito da sistemi decisionali sempre più autonomi. Oggettivamente, l’uomo non sarà in grado di analizzare dati e decidere con la rapidità necessaria per cui, in molti casi, ci spetterà il compito di supervisori, in modo analogo a un macchinista del Frecciarossa che interviene quando il sistema computerizzato gli dice di farlo.

Purtroppo no, non è vero che l’Intelligenza Artificiale risolverà tutti i problemi di sicurezza informatica. In questa fase, tutti i prodotti di difesa sono immaturi, ma è probabile che miglioreranno, anche se è difficile che raggiungeranno i livelli degli strumenti di AI adottati per azioni offensive. E, dispiace dirlo, ma neanche l’avvento della blockchain risolverà tutti i problemi di sicurezza, come qualcuno predice a sproposito o per interessi personali. Trent’anni di insicurezza informatica ci hanno insegnato almeno una verità indiscutibile: tutto ciò che si basa sul software è insicuro. Ed è meglio non chiedersi perché, nonostante tale certezza, stiamo cedendo il controllo del mondo al software[3].

Una speranza per ripartire

C’è un’unica speranza da cui poter ripartire per ricominciare a trattare la sicurezza informatica come si sarebbe dovuto fin dall’inizio: sensibilizzazione del top management, priorità, procedure, tecnologia e cultura del personale e dei fornitori.

Tale speranza è rappresentata dall’industria 4.0, dalle infrastrutture critiche e da tutti i sistemi che pongono la continuità operativa come massima priorità. Questi sanno valutare molto bene i danni causati da un’inattività prolungata, e gli attacchi WannaCry e NotPetya hanno rappresentato un cambio di passo ai massimi livelli in tali settori industriali. Tutto ciò che i trentennali furti di dati digitali e l’IT non hanno saputo imporre, se non nei settori dove per dati si intendono soldi.

Si conclude con una previsione differente, quasi una scommessa: entro il prossimo decennio terminerà l’anonimato digitale per la stragrande maggioranza degli utenti.

E’ chiaro che la società non è più disposta a tollerare gli abusi perpetrati dietro l’anonimato, dai troll ai bulli, dai truffatori ai predatori sessuali. Il trend crescente di diffusione della navigazione mediante smartphone faciliterà l’identificabilità. Le conseguenze politiche, sociali ed economiche saranno tutte da valutare. Del resto, ogni rivoluzione, e quella digitale è la più devastante per rapidità dell’impatto, induce “tempi interessanti in cui vivere”.

_____________________________________________________________

  1. Francis Fukuyama, “The End of History?”, The National Interest, 1989
  2. “The Computing and Networking Division cannot waste money on exotic computer science research that could be better be spent supporting physics experiments” [David Williams, CERN, 1992]
  3. Marc Andreessen, “Why Software Is Eating The World”, 20 agosto 2011, Wall Street Journal.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3