Cookie free: nessun "biscotto" per spiare i lettori

Vulnerability by design: WannaCry è solo l'inizio

Privacy e sicurezza - Manlio Cammarata - 17 maggio 2017

Sull'onda emotiva scatenata da quello che forse è il primo vero attacco globale ai sistemi informatici, si moltiplicano gli appelli ad "aggiornare" i sistemi e ad "applicare le patch", come se i responsabili del disastro fossimo noi utenti.
Si trascura di accennare a un fatto molto semplice: se l'utente (o l'amministratore di un sistema complesso) sono obbligati a rappezzare continuamente i sistemi operativi e ad aggiornare a ritmi accelerati i software di protezione, vuol dire che i sistemi sono  insicuri dalla nascita.

E' l'esperienza comune di chi ha installato un sistema operativo nuovo di zecca, dichiarato molto più sicuro dei suoi predecessori, e dopo pochissimo tempo è stato avvisato che doveva applicare le patch, le "toppe" necessarie per migliorare la funzionalità e soprattutto la sicurezza del sistema.
Segno evidente, ma sempre trascurato, che il più nuovo, il più efficiente, il più sicuro dei sistemi operativi non è né efficiente né sicuro.

Qualcuno potrebbe pensare che, superati gli inevitabili (?) difetti di gioventù, le cose funzioneranno a dovere. Macché, le toppe si susseguono per tutto il "ciclo di vita" del prodotto.
Provate a installare, oggi, Windows XP: concluso il processo iniziale, la macchina sarà impegnata per ore e ore a scaricare e installare qualcosa come duecento "aggiornamenti".

Si tratta di un'insicurezza congenita, dovuta alla "filosofia" imperante nell'industria globalizzata. Si devono lanciare sul mercato sempre nuovi prodotti, a ritmi sempre più accelerati, si devono persuadere gli utenti ad acquistarli e pazienza se poi non funzionano bene. Se non funzionano bene, se non sono sicuri, pazienza. Si predispongono le patch, si consiglia agli utenti di installarle e se non lo faranno peggio per loro.

L'internet delle cose (inutili) è il ritornello del momento. Si è incominciato col telefonino, poi è stata la volta dell'impianto di riscaldamento. Seguono il frigorifero, la lavatrice e via innovando, fino all'automobile a guida autonoma (in caso di incidente compilerà da sola il modulo per l'assicurazione?).

Tutto "intelligente", tutto in cloud, tutto sotto controllo. Sotto controllo da parte dei giganti dei Big Data, naturalmente. Che grazie al cloud potranno frugare nei minimi dettagli della nostra vita personale e familiare.

Qualche esperto avverte: attenzione, le "cose" collegate all'internet sono del tutto insicure. Ma all'industria non importa. L'importante è venderle, poi ci saranno le patch. Ma ve l'immaginate la celebre casalinga di Voghera alle prese con l'aggiornamento del software del tostapane?

La realtà è che i sistemi informatici sono progettati non sicuri. Mentre qualcuno cerca di far passare concetti come "privacy by design" o "security by design", la realtà è fatta di sistemi, programmi e "cose" vulnerabili fin dalla loro ideazione. La Vulnerability By Design (per gli amici, VBD) è la prima caratteristica delle tecnologie che siamo persuasi – e spesso costretti – a usare tutti i giorni.

E questo è tutto, ma solo per il momento.