Arriva l'Authority.

E' interessante come l'authority per la cybersicurezza sia arrivata pochi giorni prima della messa in vendita di milioni di profili italiani, con le informazioni mediche relative alla loro vaccinazione.

Ovviamente tutto viene descritto in modo da ricalcare l'idea che si tratti delle truppe di Elite della Postale, o in ogni caso di un gruppo d'azione , composto da esperti di alto livello, capaci di intervenire. I Navy Seals della rete, o cose del genere.

Al di la' della visione che ne danno i giornali, leggendo il decreto che la istituisce (come effetto della corrispondente direttiva europea) quello che si legge e' proprio quello: l'immagine che danno e' quella di un gruppo di superconsulenti.

E sia chiaro, di per se' non e' nulla di male, ma si direbbe che per loro "cybersicurezza" e "attacchi informatici" siano i casi di break dentro un sistema per prendere i dati. Ma le cose non stanno esattamente cosi'.

Chi ha capito come si muovono i dati, ovvero la ricchezza che i dati sottendono, sa bene che i dati sono in DUE posti.

Il primo e' il serverone ministeriale che i nuovi specialisti saranno (spero) bravissimi a proteggere e mantenere sicuro. Benissimo.

E sia chiaro: va fatto.

Ma c'e' una seconda copia di quei dati, che sono nelle mani dei cittadini. Facciamo un esempio coi dati della vaccinazione.

Presto arrivera', e sara' installato praticamente da tutti, in sistema di App che consentira' di mostrare agli agenti che la persona e' vaccinata. Questo consentira' di godere di alcune liberta' e possiamo prevedere che se la scaricheranno tutti, o quasi.

Prendiamo i 60 milioni di cellulari che ci sono in Italia (ma potremo usare anche qualsiasi altra nazione). Qual'e' la situazione degli OS? Quanti sono aggiornati?

Questa e' la frammentazione dei sistemi Android nel mondo:

Ora , se osservate la distribuzione, anche considerando che l'app per il passaporto vaccinale NON girera' probabilmente sui cellulari molto vecchi, i casi sono due:

  • o sara' un fallimento perche' gira su troppo pochi cellulari, in quanto abbiamo escluso quelli vecchi.
  • oppure girera' su un numero molto alto di cellulari che non ricevono piu' update di sicurezza da anni.

E questo e' un problema: dare per scontato che i sette milioni di record rubati siano stati rubati sul server, in questa situazione , e' sbagliatissimo. Un virus che infetti cellulari non aggiornati e rubi il dato e' fattibilissimo. Questo virus dovrebbe colpire sei milioni di dispositivi android , e se la app e' installata, prendere il dato e spedirlo.

A quel punto, su 60 milioni di cellulari, anche infettandone solo un 10%, ci sono i dati di sei milioni di italiani che sfuggono. Ma nessuno ha toccato il sistema-fortezza centrale.

Morale?

Come tutto il resto del business IT, il centro non sta piu' sui server, ma sui sistemi degli utilizzatori. I dati oggi stanno nel mondo consumer.

Non per nulla, del resto, i vari Google e Facebook non stanno andando a prendere i dati dai governi o dalle telco: e' il loro software, che gira sui cellulari, a mandare i dati ai GAFAM.

Non si capisce perche' gli attaccanti  dovrebbero fare diversamente.

Ma la prossima domanda sara': ma un'authority cosa dovrebbe farci?

Definire buone pratiche obbligatorie, per il MERCATO IT.

Beh, potrebbe per esempio decidere che le aziende abbiano il dovere di fornire upgrade di sicurezza per almeno 10 anni, e che i cellulari senza antivirus non possano entrare in rete.

In che modo implementare questa cosa e' un problema delle case, ma il punto e' che nella situazione attuale , se vogliamo identificare le risorse in pericolo non dobbiamo solo parlare dei server del governo e delle organizzazioni strategiche, perche' oggi e' strategico l' UTENTE, e un virus ne puo' infettare MOLTI.

Ma possiamo andare oltre, e fare un altro esempio classico: l' IoT. Siamo nel 2025 e tutti hanno nelle case l'aria condizionata collegata ad internet. Con la sua bella APP. Bene.

A dominare il mercato sono, come al solito, cinque/sei marche. Un virus infetta i primi 5/6 modelli. Questo virus non fa altro che allineare l'orario del dispositivo con un server NTP stratum 2 o 3, in modo da essere preciso, e spegnere tutti i condizionatori nel momento di piu' alta calura. Tutti entro poche decine di millisecondi.

Se date alla rete elettrica una botta del genere, gli effetti sono imprevedibili, ma potenzialmente devastanti.

Cosa dovrebbe fare un'authority in questo caso? Proibire l'installazione e la vendita di qualsiasi dispositivo collegato ad internet il cui transitorio di spegnimento sia troppo breve e la potenza oltre  un certo numero di Watts, per esempio.

E infine, un ultimo esempio: il vostro router di casa. A parte la proliferazione di marchi molto economici dalle vulnerabilita' note, c'e' un parco di router che sono vecchi e non ricevono aggiornamenti da anni. Nel caso del VOIP, essi espongono una bella porta 5060.

Se il firmware e' il solito linux di cinque anni fa con un server SIP di cinque anni fa, probabilmente e' gia' stato infettato da qualche worm, o da qualche botnet.

E questo significa che e' possibile sia ascoltare le telefonate, che prendersi i metadati, che usare il router per fare DDOS.

Cosa potrebbe fare l'authority? Per esempio imporre per legge che i produttori di router debbano fornire upgrades e patch di sicurezza per un certo numero di anni, che non possano entrare in rete dei router troppo vecchi, eccetera.

E questo, ripeto, perche' oggi come oggi il dato si trova SIA nel serverone superprotetto (si spera) che nel computer dell'utente. Perche' l'attaccante dovrebbe assalire la banca, se tutti hanno i soldi in casa, sotto il tappeto del bagno, e la casa e' facile da assalire?

Sia chiaro, proteggere il perimetro digitale nazionale e' fondamentale. Ma una copia degli stessi dati si trova nel mondo del consumer. Su computer vecchi, su router vecchi, su sistemi vecchi e poco aggiornati nelle PMI.

Posso proteggere il gigante nazionale X dagli attacchi: giusto e dovuto. Ma tutti i suoi fornitori , se sono PMI, stanno usando sistemi che sono aperti come delle cozze.  Lo stesso dato lo trovo FUORI dal gigante nazionale X.

Quindi, sarebbe ora che qualche "authority" cominciasse a muoversi perche' i produttori garantiscano upgrades periodici e patch di sicurezza.

Ma non basta. Quando si scopre che la data telecamera e' bucabile e ce ne sono 5 milioni che fanno un DDOS a qualcuno, e' troppo tardi.

Cosa potrebbe fare l'authority? Potrebbe dire che i vari router, oltre ad una rete "guest" come hanno tutti, abbia una rete "iot", diciamo con un limite di 10Kb per l'esterno. I router NON configurati in questo modo (e i dispositivi IoT che non si attaccano per forza a quella rete) non sono vendibili.

Per accendere le mie luci nel giardino non mi serve tantissimo.

Risolverebbe il problema? No. Lo mitigherebbe? Si.

Ma per introdurre queste buone pratiche nei confronti degli utenti , occorre potere. Occorre un potere che queste authority NON HANNO.

I dati oggi sono anche sui dispositivi dell'utente. Creare un perimetro attorno a sistemi sensibili ovviamente e' necessario. Ma non sufficiente. Anzi, si potrebbe sostenere che sia una misura blanda.

Per proteggere un paese occorre irrobustire il mercato consumer, il luogo ove si trovano davvero i dati che vogliamo proteggere. Per questo, occorre potere SUL MERCATO CONSUMER.

Prima che vi mettiate a dire "gomunismoh", vi faccio presente che non potete comprare le auto "comunque sgrause" che volete. Ci sono dei requisiti di sicurezza MINIMI da rispettare. Non potete vendere elettrodomestici comunque sgrausi, ci sono dei minimi di sicurezza da rispettare.

Tutti gli altri mercati sono normati, e nessuno si e' ancora lamentato. L'unico mercato non normato dal lato della sicurezza e' quello IT.

Occorre un'autorita' che fissi dei requisiti TECNICI minimi di sicurezza, da IMPORRE ai prodotti in vendita.

Altrimenti, avrete protetto un perimetro , che pero' non contiene il bersaglio principale degli assalti: le risorse degli utenti.

Quindi va bene avere questa authority perche' occorre proteggere i server e i sistemi strategici, ma se non proteggete l'altro endpoint (che oggi come oggi e' debolissimo), sara' una misura blanda.

E di questo, si paghera' il prezzo piu' avanti. L'autorita' deve anche avere potere sul mercato, e dare dei requisiti di sicurezza minimi per tutti i dispositivi.

  • updates e upgrades alla sicurezza ALMENO una volta al mese per dieci anni.
  • divieto di entrare in rete se non si ha l'ultima versione.
  • definizione delle caratteristiche tecniche dei dispositivi IoT che si vogliono connettere alla rete.

Questo, sia chiaro, sarebbe solo l' INIZIO. E' quello che manca da almeno 15 anni. Ma occorrono poteri.

Senza questi poteri, proteggere un perimetro che contiene solo una delle due copie dei dati e', e rimarra', una misura BLANDA.

Loweel

Loweel