Hack & Sec

7 Gennaio Gen 2018 2114 07 gennaio 2018

La certezza dell’insicurezza

  • ...

I nomi sono tutto un programma perché se Meltdown significa catastrofe e, parlando di una vulnerabilità che affligge alcuni miliardi di dispositivi in tutto il mondo, non appare un’esagerazione. Spectre, invece, ha come unico significato il nome dell’organizzazione criminale contro la quale 007 combatte la sua eterna battaglia e, in questo caso, gli strumenti elettronici vittime del “bug” sono qualche miliardo in più. Possiamo affermare che sono entrambi appropriati visto che le debolezze in questione riguardano la stragrande maggioranza dei processori ovvero il cuore di computer, smart phone e tablet. Per salvarvi dalla minaccia dovreste avere un apparecchio non vecchio, ma antico poiché il problema persiste invisibile da oltre due decenni. Non entro nei dettagli della notizia di cui hanno parlato i media di tutto il mondo, piuttosto faccio alcune considerazioni. La prima riguarda la gravità delle falle e non mi riferisco alla diffusione globale, ma alla loro natura intrinseca, perché entrambe derivano da errori di progettazione e questo significa che i produttori di chip mai si sono preoccupati di rivedere delle funzionalità realizzate in passato. “Se funziona non lo toccare”. Così recita uno dei vecchi detti dell’informatica, purtroppo coniato quando il problema della sicurezza di dati e sistemi di fatto “non esisteva”. Bug come Spectre e Meltdown dimostrano che l’antica regola è seguita ancora oggi con rigidità militare e questo offre con ogni probabilità una drammatica certezza: le fondamenta stesse delle tecnologie dell’informazione sono minate da drammatiche vulnerabilità, magari nascoste e difficili da sfruttare, ma comunque presenti. La seconda considerazione ci porta di qualche mese nel passato, quando un ricercatore belga ha annunciato la scoperta di KRACK, una vulnerabilità che affligge il protocollo di sicurezza WPA 2 utilizzato da quasi tutti i dispositivi wireless per proteggere (sic!) tramite crittografia le comunicazioni “senza fili”. Per chi non lo sapesse i “protocolli” sono le regole secondo cui devono essere progettati i sistemi per comunicare tra loro. Anche in quel caso le vittime furono miliardi di oggetti dai router agli smart phone. Ancora una volta l’errore è concettuale ed è stato commesso, insieme ad alcuni altri corretti in passato, nel 2003, anno in cui ha visto la luce il protocollo. Sulle ragioni per cui si verificano simili “disastri” si potrebbe dibattere per anni e molte hanno il “grave difetto” di essere sensate. Per esempio il tema della compatibilità retroattiva (mio cruccio personale) che permette a un sistema più recente interagire con quelli delle generazioni precedenti. Impensabile chiedere al consumatore di buttare periodicamente nella spazzatura tutta la tecnologia che ha profumatamente pagato. Un’altra è legata al vecchio detto dell’informatica di cui abbiamo già parlato e quindi alla possibilità di riutilizzare così come sono le soluzioni sviluppate in passato. La terza, piuttosto catastrofista ma su cui riflettere, spiega come la complessità delle tecnologie dell’informazione sia tale da trascendere l’umana capacità di mantenerne il controllo, se non impegnando una quantità di risorse inimmaginabili. Tuttavia risulta evidente che alla fine si tratta sempre di una questione di soldi, perché il prezzo della sicurezza nessuno lo vuole pagare. In ultima analisi ci rassicuriamo ponendoci alcune domande che riteniamo assolutamente retoriche. Di fronte a vulnerabilità tanto complesse chi potrebbe essere così pazzo da spendere una valanga di soldi e tempo per creare un malware in grado di sfruttarle? Se anche ci fosse, rischierebbe veramente di finire egli stesso vittima visto che i suoi sistemi sarebbero afflitti dagli stessi bug? A chi mai verrebbe in mente di dirottare due aerei di linea e spedirli a schiantarsi contro le Torri Gemelle? … Non a questa ha già risposto qualcuno… A proposito: chissà cosa passa per la testa di Kim Jong-un?

Correlati