•
back
DANILO
BRUSCHI:
I RISCHI NASCOSTI DELLA RETE
di Luigi Locatelli
otrebbe
essere arrivato dalla Cina il virus informatico che il 25 gennaio scorso
ha bloccato a lungo 14 mila sportelli degli uffici postali italiani. Si
Ë messo in cammino lungo le invisibili autostrade della rete che avvolgono
il pianeta alle 6,30 del mattino, ora italiana; denominato SQL Slammer,
ha colpito anche i sistemi di societý telefoniche e imprese, danneggiando
80 mila server. Negli Usa ha messo fuori uso 13 mila bancomat della Bank
of America, provider, societý di servizi, di assicurazioni, aziende e uffici
che comunicano in rete. Apparecchi in tilt, comunicazioni interrotte, apparati
informatici congelati in molti Paesi. Per tutta la giornata in Corea Internet
Ë rimasta inattiva e le reti della Korea Telekom hanno avuto un lungo black-out.
Fbi, polizie díEuropa e dellíAsia, organizzazioni, strutture che si occupano
della sicurezza informatica lavorano alla caccia dellíhacker, il pirata
informatico che quel giorno ha infettato volontariamente il primo computer,
la Victim Zero. La sicurezza informatica si Ë rivelato il grande problema
della nostra epoca globalizzata: sono 8 milioni le carte di credito violate
negli Stati Uniti. Líha comunicato la Mastercard, presa di mira dai pirati,
come la Visa e la Discover Financial Service, decrittando i codici di protezione
di una societý che gestisce conti bancari. Nel 2002 le spam, come sono definite
le e-mail non desiderate e in prevalenza pubblicitarie ricevute dagli utenti
di posta elettronica, sono state il 25 per cento del traffico, con comunicazioni
rallentate, perdite di tempo, diffusione di virus informatici. Negli anni
scorsi il virus Loveletter ha provocato alle aziende danni per circa 8,75
miliardi di dollari. I pirati non sono pi˜ abili smanettatori di computer
eccitati dalla sfida con i sistemi superprotetti del Pentagono o di grandi
societý commerciali o finanziarie, come Serge Umpich, líingegnere francese
che nel í99 si Ë presentato sui computer delle banche francesi con un ´Buon
giorno, i bancomat dellíintera nazione sono da buttareª, per dimostrare
che il sistema poteva essere violato. E non sono soltanto gli ´ethical hackersª,
come amano definirsi sul loro sito, dichiarandosi simbolo di libertý e rappresentanti
dellíautentico spirito dei tempi tecnologici, in cui la sicurezza informatica
deve dare alle persone la possibilitý di agire come preferiscono. Adesso
nei nostri computer si intromettono degli autentici ´crackersª, ossia degli
scassinatori, con líobiettivo di danneggiare, distruggere sistemi e collegamenti;
oppure organizzazioni criminali che agiscono in rete depredando conti correnti,
violando password, spostando capitali, bloccando líattivitý produttiva di
aziende. ´» il peggior incubo finanziario americanoª, ha detto il procuratore
di New York James Comey, quando líFbi ha scoperto una truffa colossale ai
danni di 30 mila persone negli ultimi tre anni. ´Un agente dellíFbi‚racconta
il professor Danilo Bruschi‚mi ha detto che negli Stati Uniti sono frequenti
i ricatti alle banche. I pirati, quando riescono ad intromettersi nei sistemi
di una banca, vi depositano uníimmagine o un qualsiasi altro documento,
telefonano ai suoi dirigenti e li avvertono della presenza di questi documenti,
prova dellíintrusione. Se la banca non vuole che nella successiva mezzíora
il server venga distrutto, deve eseguire immediatamente un bonifico su un
certo conto. Nello scorso anno sono stati registrati oltre 400 episodi del
genereª. Il professor Bruschi ha 45 anni, ha cominciato a trafficare con
i computer a 15, si Ë laureato a Milano, Ë stato due anni negli Stati Uniti
per specializzarsi e oggi Ë ordinario di Sicurezza delle Reti nel Dipartimento
di Informatica dellíUniversitý Statale di Milano, di cui dirige il laboratorio
Sicurezza Reti e il Master in Sicurezza delle Tecnologie dellíInformazione
e Comunicazione. » membro del Comitato Tecnico Nazionale per la sicurezza
informatica e delle telecomunicazioni nella Pubblica Amministrazione. Dal
2000 Ë presidente del Clusit, Associazione italiana per la sicurezza informatica.
Partecipa allíelaborazione delle leggi e dei regolamenti sullíargomento
a livello sia comunitario sia italiano, segue la formazione delle figure
professionali che operano nel campo. Dal 1946, quando nel poligono di tiro
di Aberdeen, nel Maryland, gli ingegneri della Pennsylvania University consegnarono
allíesercito americano il primo computer, la scienza e la tecnologia informatica
hanno fatto passi giganteschi e a grandissima velocitý. Quel prototipo era
lungo 30 metri, alto 3,50 metri e pesava 30 tonnellate. Poteva risolvere
uníoperazione matematica in un tempo 40 volte minore di un essere umano.
Negli anni 90, quando líIbm Deep Blue riuscÏ a battere Garry Weinstein,
conosciuto nel mondo degli scacchi come Kasparov, sembrÚ un risultato straordinario.
Oggi i computer sono tascabili, velocissimi. Il pi˜ potente finora costruito
Ë a Pittsburg e compie 6 mila miliardi di operazioni al secondo. Ma la sicurezza
dei sistemi informatici non Ë stata risolta. ´» un problema che ci porteremo
dietro fino al prossimo secolo perchÈ Ë strutturale, legato al criterio
di progettazione e realizzazione degli strumenti informatici, che diventano
sempre pi˜ complessi quindi sempre pi˜ insicuri‚ spiega il professor Bruschi‚.
Il vero problema Ë che líuomo sta realizzando oggetti che non riesce a controllare.
Adesso un calcolatore Ë regolato da meccanismi talmente complessi e sofisticati
che nessuna mente umana Ë in grado di governarlo completamente. In queste
tecnologie ci sfuggono una serie di dettagli che poi consentono ad estranei
di sfruttarli per i loro piani illegali e criminaliª. La nuova tecnologia
si Ë diffusa cosÏ rapidamente che nessuno ha badato ai problemi che essa
nascondeva. ´Anche per líautomobile Ë accaduto che i punti deboli sono stati
scoperti dopo la sua diffusione, e si sono cercati i rimedi, sono state
introdotte le cinture di sicurezza e gli airbag, ed Ë stato adottato il
Codice della strada‚aggiunge Bruschi‚. Ma nel campo dellíinformatica il
problema della sicurezza Ë molto pi˜ grave, in quanto coinvolge quasi tutte
le attivitý umane, che rispetto a questa tecnologia stanno sviluppando una
fortissima dipendenzaª. Domanda. Oltre difficoltý tecnologiche, esiste un
conflitto tra il diritto alla riservatezza e líinsicurezza dei sistemi?
Risposta. Líinsicurezza dei sistemi informatici Ë una minaccia alla riservatezza
di cittadini, aziende e istituzioni, alla tutela delle informazioni su relazioni
personali, segreti industriali, diritti díautore, rapporti con istituzioni
e banche. D. Esiste un problema di qualitý delle informazioni immesse in
rete? R. Chiunque puÚ diffondere in rete qualunque messaggio. Questa libertý
totale costituisce la debolezza e la novitý di internet. » líelemento che
ha consentito alla rete di diventare una risorsa comune, la pi˜ grande fonte
di informazioni che líuomo abbia mai creato. Basta pensare che le risultanze
del progetto Genoma sono su internet e chiunque vi puÚ accedere. Le informazioni
ci sono tutte, basta saperle reperire e scegliere. PerÚ va anche detto che
cercare líinformazione in rete non Ë una cosa facile, o si conoscono le
parole-chiave per cercare gli argomenti o si trova il 90 per cento di informazioni-spazzatura.
D. Non esistono limiti nÈ regole di carattere etico e giuridico? R. Questa
Ë la contraddizione sulla quale Ë nata internet e líha fatta diffondere
a livello mondiale. La totale mancanza di regole e di censure adesso costituisce
un grande problema. Basta pensare alla pedofilia in rete. Vari Paesi si
stanno attrezzando, molti dispongono di leggi sul crimine informatico, tra
loro perÚ poco omogenee. Nel tentativo di uniformare queste leggi il Consiglio
díEuropa ha predisposto una convenzione sulla criminalitý informatica che
deve essere ratificata dagli Stati membri. Per ora líhanno fatto due Paesi,
uno dei quali Ë líAlbania. Inoltre cíË una forte divergenza tra Stati Uniti
ed Europa sui contenuti censurabile. Per gli europei, per esempio, la pornografia
per adulti non Ë censurabile mentre per gli Stati Uniti lo Ë; viceversa,
gli scritti nazisti lo sono per gli europei e non per gli americani. Le
discussioni sono molte. La questione Ë che internet Ë globale e per risolvere
i problemi occorrerebbero accordi a livello globale, praticamente impossibili.
Il risultato Ë che ci sono persone che approfittano delle debolezze di realizzazione
della tecnologia per commettere reati. D. Al problema giuridico si aggiunge
líaspetto tecnologico? R. Nel momento in cui si volessero porre barriere
di natura legale, le tecnologie rimangono incontrollabili perchÈ presentano
buchi non prevedibili in anticipo e che consentono le intrusioni. » possibile
stabilire delle norme ma in questo campo, pi˜ che in altri, fatta la legge
si trova líinganno per aggirarla. Non Ë vietando per legge il furto di informazioni
che questo si impedisce, perchÈ esistono comunque dei modi che consentono
a persone estranee di intercettare le informazioni cui sono interessate.
D. Questo per un difetto nella progettazione iniziale che non ha tenuto
presente i problemi di sicurezza, o perchÈ Ë dovuto alla natura stessa del
computer? R. » un problema legato alla natura umana. Noi non siamo capaci
di realizzare cose perfette. I computer lavorano su comando nostro, siamo
noi che li programmiamo. » nella programmazione che líuomo commette degli
errori che a volte si rivelano particolarmente gravi e permettono líuso
illegale delle strutture informatiche. D. Quali aspetti del problema sicurezza
considera pi˜ gravi? R. La scarsa considerazione di cui gode il problema
a tutti i livelli della societý. CíË una continua corsa a progettare tecnologie
pi˜ perfezionate, senza la consapevolezza dei rischi che comportano. Accanto
allíincitamento ad acquisire le tecnologie, a collegarsi in rete per comprare,
per vendere, per informarsi, per comunicare, manca completamente líavvertimento
delle cautele necessarie nellíuso di questi strumenti, perchÈ non si vogliono
spaventare gli utenti-acquirenti. Invece si dovrebbe parlare di sviluppo
sostenibile dellíinformatica, di sviluppo ragionevole, con un invito a comprare
e usare il computer tenendo presenti i rischi, che ci sono, e conoscendo
gli strumenti di difesa. La scienza che io studio ne ha prodotto molti,
abbastanza efficaci nel combattere il fenomeno degli hackers. Ma da parte
dellíutente cíË una certa resistenza nellíutilizzarli. E sono poche le persone
con competenza specifica nella sicurezza nellíinformatica, un settore abbastanza
giovane. In Europa ci si Ë messi ad affrontare sistematicamente questo problema
una decina díanni fa, gli Stati Uniti hanno cominciato negli anni 70. Avendo
cominciato a usare gli strumenti informatici in ambito militare, si sono
accorti subito delle loro debolezze e hanno ricercato gli strumenti di difesa.
I militari hanno abbandonato la rete internet, creandone una propria, riservata,
la Milnet, mentre líEuropa rincorreva la diffusione della tecnologia e si
Ë posta il problema dellíuso corretto soltanto negli anni 90. Solo adesso
nei piani di Europa 2005 la sicurezza Ë stata posta come uno degli elementi
cardine. Si Ë scoperto che, se manca la sicurezza, Ë difficile convincere
la gente ad adottare la tecnologia informatica. D. Quali sono i sistemi
pi˜ importanti elaborati per la sicurezza? R. Per garantire la sicurezza
nelle aziende esistono varie tecnologie. Tra le pi˜ diffuse vale la pena
citare i Firewall e gli Intrusion Detection System che, attraverso sbarramenti,
possono eliminare il traffico abusivo rilevando in tempo reale i tentativi
di intrusione. Si collocano nei punti cardine di una rete ben definita e
segnalano attivitý anomale nel suo interno. Sono stati elaborati da decine
di aziende produttrici, le pi˜ grandi li hanno tutte. Ibm, Cisco Systems,
Microsoft, líinglese Symantec creata da John W. Thompson in un bunker dello
Yorkshire, offrono software di protezione antivirus globale. Ma ci sono
anche aziende minori. Come per gli allarmi degli appartamenti, il problema
fondamentale Ë trovare il professionista serio che li sappia installare.
Per noi la difficoltý Ë verificarne líefficacia reale, perchÈ si puÚ accertare
la validitý del sistema di protezione adottato solo se una rete viene attaccata.
Se la televisione non mostra le immagini, si vede subito che qualche cosa
non va, mentre qui senza attacchi non si scopre il ´bugª, líintrusione o
il difetto del sistema. D. La diffusione della firma digitale Ë ritardata
dal problema sicurezza? R. Il vero problema della firma digitale Ë la complessitý
delle procedure necessarie per un suo corretto utilizzo. Pensare oggi di
volerne imporre líuso a un utente informatico sarebbe come voler imporre
alle trib˜ che vivono nella foresta ammazzonica líuso dellíautomobile. Sono
necessarie attivitý di educazione e sensibilizzazione al problema della
sicurezza informatica, che sinora nessuno ha ancora intrapreso. Vari tentativi
di introdurre in alcuni settori della societý questo strumento sono sinora
fallite, perchÈ si Ë completamente trascurato questo aspetto. Accanto a
ciÚ, va poi considerato che, tra le persone attualmente preposte a favorire
il processo di penetrazione di questa tecnologia nella societý, sono davvero
molto poche quelle che possiedono le necessarie competenze per cogliere
i diversi aspetti della tecnologia e quindi favorire una diffusione graduale
della stessa. Un altro problema riguarda líaspetto scientifico, perchÈ siamo
ancora titubanti sullíeffettiva efficacia dello strumento nel momento in
cui viene utilizzato da grandi masse. Finora gli esperimenti riguardano
qualche centinaio di migliaia di persone. Veramente pochi. Non sappiamo
che cosa accadrý estendendo il sistema a decine di milioni di persone. Si
sa che funziona bene per popolazioni limitate, predisposte e acculturate,
ma non si sa tecnicamente che cosa puÚ accadere con numeri grandi e impreparati,
nellíimpiegarlo per contratti, transazioni commerciali, bonifici, pagamenti,
operazioni che riguardano somme di denaro anche consistenti. D. Su quale
meccanismo Ë basata la firma digitale? R. Sostanzialmente Ë la cifratura
di un documento. A ogni persona viene data una chiave, costituita da due
serie distinte di numeri. Una serie viene distribuita dal titolare della
firma a uffici, operatori, persone con le quali deve operare o comunicare,
líaltra Ë tenuta segreta. Ognuna delle due serie di numeri della chiave
Ë in grado di crittografare documenti e di decifrare quelli cifrati con
líaltra. Questo in sostanza il meccanismo. Quando si vuole firmare un testo
digitalmente, si inserisce la propria chiave segreta nel computer e si invia
il documento al destinatario, il quale inserisce la parte della chiave a
lui comunicata e, se riesce a decifrarlo, riconosce líidentitý del mittente,
perchÈ Ë solo una persona che possiede líaltra parte. Dal punto di vista
scientifico non cíË la certezza matematica della inviolabilitý, ma con le
conoscenze che possediamo oggi il metodo pi˜ veloce per scoprire la chiave
segreta richiederebbe circa 200 anni di lavoro. Il sistema si basa sul presupposto
che Ë possibile risalire alla chiave, ma in un tempo estremamente lungo.
La complessitý dellíoperazione Ë un freno al tentativo di violazione. D.
In quali settori sono pi˜ attivi i pirati informatici? R. Non abbiamo dati
a disposizione e questo Ë un altro problema. Non si riesce a quantificare
i cyber reati anche perchÈ uníazienda che subisce un attacco difficilmente
lo denuncia, per evitare anche un danno allíimmagine. La stessa polizia
ha difficoltý ad avere un quadro complessivo del fenomeno. Se noi avessimo
dati certi, sarebbe pi˜ facile da una parte convincere le persone, le societý,
le istituzioni a mettere in sicurezza il loro sistema con gli strumenti
di difesa esistenti, e dallíaltra riuscire a verificare oggettivamente gli
effetti di alcuni strumenti di protezione. Tecnologie di difesa esistono,
bisogna che la gente impari ad usarle. Nel mondo occidentale, invece, molti
si sono messi ad usare le tecnologie e internet senza approfondirne la conoscenza.
CosÏ abbiamo uno strumento pensato per la diffusione della conoscenza e
della comunicazione che non ha regole, limiti, sicurezza. E ora si puÚ fare
poco, perchÈ internet ha un miliardo di utenti in tutto il mondo. •
back