Mi perdoni Ezra Pound per avere parafrasato il titolo
di una sua memoriabile poesia per un argomento quantomai
terra-terra, ma la frase si presta magnificamente alle
riflessioni del sottoscritto in merito alla sicurezza
informatica o meglio, all'insicurezza sulla sicurezza
informatica.
L'argomento
"sicurezza informatica" ha sempre destato interesse
fin dalla nascita del calcolatore. Una volta bastavano
le stanze blindate, le serrature a scheda magnetica o
a combinazione (vi ricordate quella di Star Wars "craccata"
dal protagonista con un semplice mangianastri?) e le password
per proteggere abbastanza i segreti custoditi nel ventre
dei "mostri di acciaio". Poi è arrivato
il PC e sono cominciati i guai: facile da rubare, facile
da accendere per curiosarci dentro e facile da programmare
anche per i coder maliziosi. I virus sono stati solo la
prima avvisaglia di un pericolo che tocca ormai chiunque
possieda un personal e cioè la possibilità
che i dati in esso contenuti siano alla mercè di
chiunque voglia farne scempio con virus o intrusioni varie.
La rete, aziendale prima e globale poi, non ha fatto altro
che evolvere la situazione facendoci toccare nostro malgrado
i risvolti negativi della globalizzazione. Per riscontro
è cresciuta la fame di sicurezza: aziende che mai
si sarebbero sognate di spendere due lire per pagare esperti
in materia si sono dovute adattare alla nuova situazione
e pagare, si dice fior di quattrini, gli esperti di sicurezza
o sedicenti tali. Clamorose e forse molto romanzate le
presunte assunzioni di criminali informatici da parte
delle major, ad esempio banche e compagnie di assicurazioni,
in veste di funzionari addetti alla sicurezza.
La situazione di oggi è quella di una sostanziale
insicurezza (è paradossale, ma è così)
nel settore della sicurezza! Chiunque ha sotto i propri
occhi ad esempio il fenomeno dello spam che in molti paesi,
fra i quali anche il nostro, è un reato quantomeno
punibile dal codice civile ma che allegramente viene praticato
"alla stragrande" in barba a leggi, leggine
e garante della privacy. Come ci si difende? Quali passi
deve compiere un amministratore di rete per salvaguardare
l'azienda per la quale lavora? E' sufficente comprare
l'ultimo prodotto spacciato come "spam terminator"?
E con i server come la mettiamo? Un vero dedalo di regole,
uno stillicidio di patch, una ricerca continua di falle
da otturare...
Qualcuno ha risolto tutto chiudendo indiscriminatamente
porte, protocolli e servizi, ma questa non è evidentemente
una strada seria che rischia fra l'altro di essere anche
poco efficace a lungo termine. Mi riferisco al fatto che
la presunta tranquillità raggiunta a spese di utenti
e servizi si ritorce poi contro il malcapitato con l'arma
dell'impreparazione non appena qualche servizio richiede
per forza un passaggio attaverso il firewall, ordine della
direzione, con buona pace dell'amministratore.
Recentemente ho registrato due episodi simbolo che vado
brevemente a descrivere.
Una azienda di servizi ha messo la propria rete su indirizzo
privato, e fino a qui nulla di male, ma il firewall era
programmato in modo tale da impedire il collegamento per
un terminale nattato. candidamente l'amministratore di
rete ha sostenuto che loro, per ragioni di sicurezza,
volevano essere contattati solo da indirizzi pubblici
reali (sic!), come dire: "io chiudo a chiave, vedete
di arrangiarvi".
Secondo episodio. L'amministratore di una rete di un'istituto
di ricerca pubblico ha rifiutato di aprire una porta UTP
ben precisa, che serve per la negoziazione delle licenze
terminal di Windows, "...perchè non si sa
bene chi potrebbe entrare..."(a-ri-sic)!
Ora
i casi sono due: o abbiamo a che fare con gente ottusa
o semplicemente con gente impreparata che confonde le
chiavi del bagno con la chiave della sala macchine. Entrambe
sono oggetti importanti, senza voler entrare nei particolari,
ma entrambe costruite per aprire una porta non per tenerla
chiusa e basta!
In
questo scenario di medio-bassa levatura (lo sò
che ci sono anche gli amministratori di sistemi bravi,
preparati e coscienziosi ma evidentemente non si parla
qui di loro) ecco che nasce il bisogno di una rivista
che affronti il problema a tutto tondo mentre gli argomenti
che trattano di sicurezza sono sparsi su decine di pubblicazioni
e centinaia (se non migliaia) di siti Internet. Ci vorrebbe
invece una rivista mensile seria, scritta da professionisti
per professionisti, che costi magari "una cifra"
ma che non ti lasci mai con il dubbio di aver buttato
i tuoi soldi. Una pubblicazione che non sposi questa o
quella crociata (Linux contro Windows ad esempio) e che
non cerchi lo stupore di orde di ragazzini blaterando
titoli di copertina del tipo "Ecco come la pula rintraccia
il tuo cellulare". -"Chi se ne frega!"
verrebbe da rispondere.
Penso ad un mensile distribuito solo in abbonamento, che
non trascini per due anni un corso di javascript, ma che
sia in grado di ospitare articoli ampi e precisi, dettagliati
fino al necessario con step precisi, codice pertinente
e veri consigli di utilizzo.
Una rivista per veri hacker... come? dite che già
ce ne sono?
Scusate ma non mi pare proprio.
Ad
Excelsior, maggio 2003
sonicher@webriviste.com
