Andrea Gelpi - "Security by design": l'unica difesa contro lo spionaggio

Cookie free: nessun "biscotto" per spiare i lettori

Home Informazioni Contatti

Cerca in InterLex con Google

Gratis, per essere sempre aggiornato

sulle novità di InterLex

Privacy e sicurezza

Identità digitale

Le regole dell'internet

Diritto d'autore

Informazione e comunicazione

Amministrazione digitale

Reti e telecomunicazioni

Varie ed eventuali

Fonti normative e documenti

Numeri precedenti

Sezioni non più attive

Indice storico-sistematico 1995-2011

"Security by design": l'unica difesa contro lo spionaggio

Privacy e sicurezza - Andrea Gelpi* - 14 marzo 2017

Le ultime rivelazioni di Wikileaks sulla CIA dimostrano che i sistemi di difesa di tutto ciò che viene collegato all'internet sono aggirabili. E confermano quello che gli esperti di sicurezza stanno dicendo da anni.

Esistono troppi metodi per aggirare i sistemi di sicurezza e farsi tranquillamente gli affari altrui. Il fatto che la CIA abbia trovato modi per aggirare la sicurezza di praticamente qualsiasi sistema connesso all'internet dovrebbe preoccupare tutti. Invece sembra relegato a una questione per soli addetti ai lavori, per spie e controspie.

Ma se la CIA ha scoperto questi metodi, che cosa impedisce che li scoprano anche altri? Magari servizi di paesi nemici o gruppi di malviventi o terroristi? Soprattutto, che cosa impedisce di usare questi sistemi anche per spiare il cittadino qualunque?

Ora è il momento di chiederci che cosa possiamo fare per cercare di arginare il problema.
La risposta è semplicissima e disarmante: fare servizi e prodotti più sicuri. In teoria la cosa sarebbe fattibile, basterebbe mettere più sicurezza in quello che si fa, scrivere codice sicuro, in due parole mettere la sicurezza al primo posto.

In pratica la cosa non è semplice, anzi. Il motivo: in gioco ci sono interessi enormi e la sicurezza può aspettare, almeno finché il mercato non la chiederà.
Il mondo IT è relativamente giovane, sta crescendo vertiginosamente e c'è carenza di tecnici veramente preparati. Limitandoci alla sola Italia si vede chiaramente che la fame di IT è grande, le scuole ed università non riescono a sfornare un numero sufficiente di tecnici. Le aziende quindi si affidano a chi trovano sul mercato, non importa con quale preparazione. L'importante è stare al passo con il mercato, come dicono i "commerciali".

Ad esempio, nel mercato SOHO (Small Home Small Office) l'importante è che il prodotto costi poco. In questo settore è l'aspetto commerciale che ha il sopravvento. Il risultato sono prodotti dove o non ci si è preoccupati della sicurezza o lo si è fatto velocemente ed in maniera superficiale. Poi, sempre per motivi commerciali, nel più breve tempo possibile "deve" uscire un nuovo prodotto, che sostituisca quello vecchio e così via.

Mantenere aggiornati tanti prodotti, compresi quelli vecchi, costa. Per questo conviene terminare il supporto ed abbandonare a se stessi anche gli utenti che li usano.
A mio avviso dovrebbe essere obbligatorio che ogni prodotto che viene collegato all'internet riceva gli aggiornamenti di sicurezza per almeno 5 anni, se non di più. Inoltre dovrebbe essere obbligatorio segnalare la necessità di aggiornare il prodotto e la fine del supporto. Ma questo aumenta il prezzo di vendita e quindi lo fanno solo pochi grandi produttori.

Pensiamo a sistemi più complessi come quelli utilizzati dalle pubbliche amministrazioni. Troppo spesso si parla solo di "fornitura di beni e servizi" e la logica è quella del massimo ribasso. Così si ottengono sistemi complessi che vengono semplicemente assemblati con prodotti di qualità discutibile, senza una progettazione che tenga conto dei fondamentali aspetti di sicurezza.

Nei capitolati sarebbe necessario contemplare sempre la security by design, cioè che il progetto stesso sia impostato in funzione della sicurezza, con un responsabile a cui rivolgersi in caso di problemi. Ma, soprattutto, dovrebbe esserci una parte terza in grado di valutare l'intero sistema anche dal punto di vista della sicurezza.

Il regolamento europeo sulla privacy, che dovrà essere applicato dal maggio del 2018, prevede fra le altre cose l'obbligo della "security by design", cioè l'obbligo di progettare i sistemi che trattano dati personali avendo messo la sicurezza nel progetto e non solo alla fine, a sistema pronto, o dopo il primo incidente. E' una grande opportunità per le aziende e per le pubbliche amministrazioni. Deve essere colta non solo per il trattamento di dati personali.

Un altro punto importante è nel controllo delle applicazioni.
Esistono sistemi in grado di verificare la bontà del codice, che controllano che siano stati inseriti i controlli di sicurezza necessari, che questi siano implementati correttamente, che funzionino, segnalando i potenziali problemi e proponendo anche le soluzioni da adottare.

Se venissero utilizzati con regolarità da chiunque sviluppa software, il numero delle vulnerabilità diminuirebbe e il codice sarebbe decisamente più sicuro.
In conclusione la vicenda CIA-WikiLeaks ci dice, ancora una volta, che è necessario ed urgente cambiare strategia nella gestione della sicurezza dei sistemi IT. Finora non è stato fatto abbastanza.

* Ingegnere, consulente in sicurezza informatica - email: security [AT] gelpi.it

Per intervenire su questo argomento clicca qui

Inizio pagina

Indice di questa sezione

Home

Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?

Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.

Per saperne di più

Leggi le prime pagine

Le recensioni

Stampato o ebook

Acquistalo su Amazon

Storie italiane di spionaggio

Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000