Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Attualità

I grandi assenti della sicurezza
di Andrea Gelpi* - 20.02.03

Si è svolta a Milano il 12, 13 e 14 febbraio la terza edizione di Infosecurity, la fiera dedicata alla sicurezza informatica.
Una cosa colpisce subito il visitatore: la maggior serietà dell'offerta, soprattutto se confrontata ad esempio con SMAU dove, secondo me, nelle ultime edizioni si è puntato più all'apparenza e meno al contenuto dei prodotti, insomma ad Infosecurity la gente la si attirava con i prodotti e soluzioni non con i gadget o altro.

Girando fra i vari stand si è potuto notare che la parte del leone l'ha fatta l'offerta di firewall, sia come software che come appliance, di sistemi antivirus, oltre alle ditte di consulenza che offrivano security assesment e penetration test. Pochissime le ditte che andavano oltre la sicurezza perimetrale. Pochissime le soluzioni ad esempio di riconoscimento degli utenti basate su parametri biometrici o smart card.
Un altro grande assente è stato l'open source. Ho trovato una sola soluzione di appliance firewall basata su Linux, quella della Thunderwall.

Oltre agli stand dei vari produttori è stato organizzato un nutrito numero di seminari su vari temi legati alla sicurezza, a cui hanno partecipato, fra gli altri, esperti dell'AIPA, della Polizia delle comunicazioni, della Guardia di finanza, di istituti bancari e professori universitari.
Qui il tono era diverso. Si è parlato molto della sicurezza interna, della necessità di monitorare costantemente i sistemi. Si è più volte raccomandato di dedicare risorse all'analisi dei log dei sistemi.

Mi ha fatto piacere constatare che molti ritengono che le ditte italiane non investano a sufficienza in risorse umane, e che sia stato evidenziato che il dare la sicurezza in outsourcing ha senso solo per le piccole imprese dove il costo sarebbe eccessivo, in tutti gli altri casi dovrebbe essere curata internamente dedicando e specializzando molto alcune persone. E' stata auspicata una maggior cooperazione fra pubblico e privato, ma sopratutto, finalmente, si comincia a capire che il problema della sicurezza non è solo un problema tecnico, ma è principalmente un problema di cultura e di organizzazione.

Al centro della fiera c'era un internet point da dove molte persone hanno controllato la loro posta elettronica. Peccato che pochi o forse nessuno si sia preoccupato di cancellare le tracce di ciò che aveva fatto, prima di allontanarsi dalla postazione. Ho visto un signore leggere la posta via web utilizzando il protocollo https (quindi in modo sicuro), ma quando ha finito non si è preoccupato nemmeno di chiudere il browser, semplicemente se ne è andato lasciando di fatto la sessione aperta. Infatti sarebbe stato sufficiente fare clic su "pagina precedente" per vedere quello che aveva letto e quello che aveva scritto. Questo purtroppo è il livello di cultura della sicurezza informatica in Italia.

Per quanto riguarda il rapporto fra tecnologia e legislazione, è stato osservatoancora una volta come i due settori vadano a velocità molto differenti. Alcune leggi oggi in vigore, come la 547/93 sui reati informatici, sono state scritte quando Internet era ancora confinata negli istituti di ricerca e si navigava solo a linea di comando. Ho sentito affermare che sono necessarie nuove leggi in materia informatica, personalmente però penso sia più che sufficiente correggere quelle che già ci sono e non solo per tener conto dell'evoluzione tecnologica che c'è stata negli ultimi anni, ma anche per rendere il testo utilizzabile, soprattutto per noi tecnici che poi dobbiamo arrampicarci sugli specchi per cercare di rispettare le norme.

In un intervento è stato evidenziato come in Italia manchi un coordinamento che sia in grado di far fronte ad un eventuale problema serio. Se, ad esempio, il virus che poche settimane fa ha colpito i sistemi su cui è installato Microsoft SQL server, oltre a creare non pochi problemi di connessione (tecnicamente un Denial of Service) avesse anche messo le mani dentro i dati, magari cancellandone alcuni o, peggio, modificandone il contenuto, il disastro sarebbe stato inimmaginabile.

In un solo intervento ho sentito parlare di open source e purtroppo in maniera errata. Infatti l'open source è stato nominato come se si trattasse di un marchio di un qualche nuovo produttore, mentre basterebbe tradurre le due parole (open source = codice aperto) e ragionarci sopra per capire che di tutt'altro si tratta. Il fatto che non sia scontato che la sicurezza dei software open source sia migliore di quelli a codice chiuso posso anche capire che non tutti lo intuiscano subito, ma basterebbe pensare che open source è sinonimo di trasparenza, con tutto ciò che da qui discende, per capire che può dare maggiori garanzie. La trasparenza è una delle cose più richieste da molti e nel caso delle amministrazioni pubbliche dovrebbe essere la regola. Nell'informatica la trasparenza è possibile, basterebbe prenderla in considerazione.

Interessante l'intervento del colonnello Kevin McCrohan del NIPC (National Infrastrcture Protection Center) dell'FBI che ha parlato non solo dei crimini informatici, ma anche delle guerre che vengono combattute tramite Internet. Ha evidenziato come il problema della sicurezza abbia nelle comunicazioni il suo tallone d'Achille ed è lì che tutti dovrebbero porre maggior attenzione.
Fra i vari dati che il colonello ha fornito mi ha colpito la notizia che ben il 70% degli attacchi informatici portati contro aziende che forniscono energia nel 2002 siano stati significativi.
Alla fine del suo intervento una delle domande è stata: "Che cosa si sta facendo in America per migliorare la qualità del software e limitare i danni causati dalle vulnerabilita?"
La risposta è iniziata con un significativo: "Well, Microsoft produces most of our problems ..."