Dopo spettri e collassi, sono in arrivo nuovi "fuochi d'artificio"?

Dopo spettri e collassi, sono in arrivo nuovi "fuochi d'artificio"?

Gennaio 24, 2018 - 06:00
Posted in:

Con una certa prepotenza, i temi della sicurezza informatica e della tutela dei dati sono entrati nelle nostre vite. Sempre più spesso sentiamo parlare di minacce informatiche che colpiscono più o meno indiscriminatamente aziende, governi o persone o di aziende o governi che "schedano" le nostre abitudini informatiche. Nella complessità tecnica del tema e nella sua "universalità" (che sembra riguardare un po' tutti e un po' nessuno) è facile però perdersi. Così abbiamo deciso di approfittare della presenza a Lugano per l'evento "Pensare come un hacker" di Stefano Zanero. Esperto di cyber-security, professore del Dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano, Zanero siede nella commissione scientifica della prestigiosa conferenza sulla sicurezza informatica Black Hat di Las Vegas, la più importante del globo in questo settore. Con lui abbiamo tentato di delineare un quadro un po' più nitido su queste tematiche.

Stefano Zanero, negli ultimi anni sempre più spesso si sente parlare di falle informatiche, leaks e malware. Questo genere di problematiche sta effettivamente aumentando oppure, semplicemente, se ne parla più?
È una combinazione delle due cose. Da un lato è diventato più facile trasmettere questo tipo di notizie. Forse c'è addirittura troppa attenzione, ma comunque è positivo che se ne parli.Parallelamente però è cresciuto anche il valore delle informazioni che sono protette dei sistemi informatici, come pure il numero di persone potenzialmente esposte ad un'eventuale falla informatica. Nel 1998, ad esempio, non esisteva nessun servizio informatico che avesse 1 miliardo e settecento milioni di utenti. Nel 2001 non esisteva nessun negozio online che avesse l'importanza e le dimensioni di Amazon. Non c'erano banche dati di servizi di pagamento che avessero i dati di milioni di carte di credito. Sono dunque cresciute le dimensioni dei potenziali bersagli, come pure il potenziale danno.
 
Questa crescita di informazioni online è stata esponenziale. Non si è fatto il passo più lungo della gamba, diffondendo su larga scala queste tecnologie prima che fossero sviluppate adeguate contromisure per garantire la sicurezza?
In parte si. L'adozione di queste tecnologie è stata molto più veloce dell'adozione delle relative contromisure.
D'altro canto l'adozione delle tecnologie è stata così veloce da non consentire la creazione della cultura che permette di applicare delle contromisure. Le persone solo ora iniziano a percepire il livello di pericolo a cui sono esposte.
Mi verrebbe anche da dire che in alcuni casi gli interessi di business hanno avuto la meglio su un ragionamento più sensato. Vi sono casi in cui la costruzione di un database di informazione dà un certo ritorno in termini economici, ma ha anche una grande pericolosità. Occuparsi anche di questo rischio annullerebbe di fatto il guadagno. È un po' come aprire un negozio di fuochi d'artificio sottocosto. Sicuramente si guadagna di più, ma l'attività è molto pericolosa. Il rischio è che esploda.
 
Nell'esempio del negozio di fuochi d'artificio, vi sono disposizioni legali che puniscono chi mette in pericolo la vita o la proprietà delle persone. Nel campo della sicurezza informatica le attuali legislazioni sono adeguate?
Ovviamente io conosco in modo particolare la legislazione italiana e legge europea sul trattamento dei dati personali, ma anche in Svizzera la legislazione è simile (la normativa europea dovrebbe essere recepita anche in Svizzera tramite gli accordi bilaterali. La revisione è attualmente al vaglio del Parlamento, ndr). Nella legislazione italiana il trattamento dei dati è considerata un'attività pericolosa e quindi ha gli stessi vincoli legali, in termini di garanzie che devono essere date e di responsabilità in caso di danni. Questo è un approccio valido.
 
Ad inizio gennaio sono state rese pubbliche le falle Meltdown (un termine usato principalmente per indicare il collasso di un reattore nucleare) e Spectre (in italiano spettro), che affliggono la gran parte dei processori prodotti negli ultimi decenni. Su questo fronte ci si poteva aspettare dalle aziende che facessero di più per prevenire queste problematiche?
Il problema di fondo è che le nostre applicazioni sono estremamente voraci dal punto di vista della CPU (l'unità di elaborazione centrale, ndr). Per "spremere" potenza di calcolo, sia essa destinata ad un videogioco o ad un data-center, ci sono dei metodi che sono stati applicati da tutta l'industria e che hanno dei riflessi in termini di sicurezza. Sapevamo che questi riflessi c'erano, ma solo ora ci siamo accorti che si tratta di una vera e propria falla.
Sicuramente si poteva decidere di non usare questi metodi, ma la potenza di calcolo dei processori ci serve e il mercato ha spinto in questa direzione.
La cosa interessante da notare è che tutte le tre principali architetture che utilizziamo nei nostri computer, ovvero Intel, Amd e Arm, hanno fatto gli stessi errori. Sono errori che era molto facile che si facessero, perché i metodi con cui ottenere maggiori prestazioni dai processori sono sempre quelli. È la tecnologia base che presenta questo potenziale di rischio.
Questo ci deve far riflettere sul fatto che possano esserci delle vulnerabilità che potenzialmente affliggono tutti i dispositivi che utilizziamo. Queste due falle sono state un esempio, ma potrà succedere ancora in futuro.
 
Dobbiamo aspettarci che ci si trovi di nuovo con dei processori vulnerabili?
Per quanto riguarda questo specifico attacco le prossime generazioni di CPU ne terranno conto. Questo vuol dire che le prossime generazioni di CPU saranno invulnerabili? Probabilmente no.
Uno dei principi cardine nell'analisi della sicurezza è che non si punta all'invulnerabilità, che non esiste, ma bensì alla riduzione del rischio. Vanno valutati vari fattori, come il valore di ciò che stiamo proteggendo e l'esistenza e la tipologia delle minacce. Le minacce al processore di un computer ad uso domestico non sono le stesse che affronta una banca. Le risposte possono dunque essere diverse. Io potrei ad esempio decidere che a casa mia certi tipi di minacce, molto rare o difficili da mettere in pratica (ma non è il caso di Meltdown e Spectre), non sono per me significative. Potrei ad esempio decidere che per quanto riguarda un computer utilizzato unicamente come macchina da gioco preferisco le performance alla tutela da queste vulnerabilità. Viceversa una banca dovrà porvi rimedio, anche se significa comprare 50 server in più.
 
Dunque dovremo comunque essere consapevoli di essere costantemente potenzialmente minacciati?
Di questo in realtà ne siamo già consapevoli nei più svariati ambiti. Uscendo di casa si è consci che potenzialmente qualcuno potrebbe rubarci il cellulare. Se il valore che diamo al cellulare non è così elevato, o il rischio di essere derubati è basso, decidiamo di ignorarlo. Vi sono però Città dove è sconsigliato viaggiare in metropolitana con il cellulare in mano, o addirittura di viaggiare del tutto in metropolitana.  Le minacce intorno a noi sono sempre presenti e tutti noi facciamo costantemente delle valutazioni di rischio. Questo lo dobbiamo fare (e lo stiamo già facendo, ma male) anche nel mondo informatico.
 
Nel suo post di inizio anno il ceo di Facebook Mark Zuckerberg ha in sostanza sostenuto che la tecnologia, che molti vedevano come uno strumento per dare più potere alle persone, sia stata usata dalle big della tecnologia e da alcuni governi per monitorare le persone. Lei è d'accordo con questa affermazione?
In parte. Io sono convinto che la tecnologia sia neutrale. Ma gli usi della tecnologia non lo sono. Questo vale anche per i social-network. Un social-network che è gratuito per l'utente, ma incassa vendendo le informazioni aggregate degli utenti e la pubblicità, non è neutrale. Se si è fatto questo uso della tecnologia non ci si può poi lamentare che la tecnologia sta implodendo contro le persone che la usano e avvantaggiando le aziende e gli Stati. Sono un po' lacrime di coccodrillo.
Vi sono altre questioni che si potrebbero sollevare. L'enorme database che Facebook ha costruito su un miliardo e 700 milioni di persone, come interagirà esattamente nel momento in cui uno Stato non democratico ne acquisisce il controllo? Non è un ipotesi particolarmente irrealistica.
C'è un sito americano, Ancestry.com, che raccoglie dagli utenti le informazioni sul loro albero genealogico e poi combina i dati con quelli in suo possesso, permettendo di estendere il proprio albero genealogico. Magari si scopre così qualche parente di cui non si conosceva l'esistenza. Addirittura negli Stati Uniti il sito integra anche l'utilizzo di un kit per il test del dna. Sicuramente può essere molto divertente e interessante. Io però penso che se Ancestry.com fosse esistito nella Germania del 1944 molte persone sarebbero state poco felici. E non è affatto detto che quanto avvenuto allora non possa più ripetersi. Ci si dovrebbe sempre chiedere se quello che si sta creando possa generare dei danni. Certi database e certi servizi possono farlo. Hanno una prospettiva di guadagno, con però insito un potenziale di danno molto più alto. Credo che piuttosto che creare un simile sito sia meglio andare a coltivare orchidee in India, e si rende un servizio migliore all'umanità.