Sicurezza e privacy, priorità per qualsiasi servizio online

Sicurezza e privacy, priorità per qualsiasi servizio online

Ultimamente scrivo molto di sicurezza su questo blog perchè mi pare che non venga ancora vista come una priorità dagli utenti: eppure si tratta di un qualcosa di davvero fondamentale, e questo lo hanno ampiamente dimostrato sia i recenti casi di Snowden vs. NSA (sicurezza a livello di privacy su internet) che la falla Heartbleed di SSL. Gli esempi clamorosi, in questo ambito, si sprecano.

Gli utenti, dal canto loro, ovviamente non sono tutti programmatori o sistematisti e, cosa parecchio frustrante, in molti casi possono davvero poco: di sicuro, pero’, col tempo la figura del coder open source e dell’hacker nel senso migliore del termine finiranno per assumere un ruolo molto prestigioso, e questo sia a livello pubblico (come sono visti dall’opinione pubblica, leggasi) che a livello operativo (realizzano software alternativi a quelli closed source che non spiino subdolamente gli utenti, come suggerito in tempi non sospetti dalla filosofia della Free Software Fundation). Gli utenti, dal canto loro, farebbero bene a considerare un valore b la propria privacy, ad abbandonare il mito dell’anonimato su internet ed a cambiare le proprie password periodicamente, scegliendole con cura.

Per quanto riguarda la sicurezza informatica, a volte è un tabù, altre volte è semplicemente una priorità trascurata prima di tutto dalla aziende: per ignoranza, saccenza di fondo quando non (come dimostrato dalle collaborazioni entusiastiche tra NSA e le più grosse multinazionali del settore informatico e tecnologico) di vera e propria malafede, viene spesso associata a nomi accattivanti (hacking) come simpaticamente ambigui (avete mai proposto un penetration test al vostro capo?), e si basa su un assunto fondamentale: qualsiasi sistema è insicuro.

Questo perchè il software è fatto da codice, e molte falle informatiche sono determinate da subdoli errori umani, inevitabili, nella programmazione e nella codifica del tutto. Ci sono siti che, in giro per la rete, svelano le debolezze dei vari CMS, dei software più usati, degli hardware di uso comune (il caso recente delle backdoor dell’iPhone, ad esempio) catalogandole sulla base della tipologia di attacco e descrivendone dettagliatamente la procedura. Non posto il link di uno dei principali siti che permette di farlo solo per non essere accusato di favorire – o addirittura essere pro – questo genere di procedure: basti sapere che esistono delle semplici ricerche che permettono di individuare vere e proprie miniere di informazioni leaked. Questo è un problema non certo arginabile con la censura di questi siti, che è sempre deprecabile (anche perchè quelle informazioni servono agli sviluppatori per prendere contromisure).

Un attacco brute force ad un sito in WordPress, ad esempio, magari da IP differenti e diversificati, è una cosa talmente comune che neanche ci facciamo più caso (ogni giorno mi arrivano almeno 20 notifiche di IP bannati dal mio sito, specialmente di notte): questi script, poche righe di Python o Perl per intenderci, non fanno altro che sferrare un tentativo sistematico di login con coppie preimpostate di password e username comuni (admin, guest, administrator, root e così via, cioè basato su un dizionario), e questo è solo uno dei modi per violare i nostri siti (e la nostra esistenza, di riflesso). Un approccio ancora più distruttivo, ad esempio, prevede il tentativo di esecuzione di codice da remoto al fine di alterare il database del sito, accedere alle nostre credenziali, o magari buttare giù il server a forza di ping (cosiddetti DDoS)

Perchè la sicurezza è sempre una priorità

Il problema, insomma, è serio, e si estende con facilità non soltanto ai siti, a dirla tutta, ma anche all’hardware che usiamo nella vita reale come smartTV e domotica (Paolo Attivissimo ne ha parlato in forma compiuta durante una conferenza disponibile a questo indirizzo: tra le “perle” evidenziate, la possibilità di accedere a liste di IP pubblicamente accessibili di telecamere di sicurezza, prodotti digitale in DRM vittime di wipe, l’installazione malevola di rootkit-spia e tanto altro da renderci più diffidenti, sospettosi ed aggressivi nei confronti della tecnologia del protagonista di Antipatia per le macchine).

Screen 2014-05-14 alle 12.34.00

Il presupposto principale di un qualsiasi problema di sicurezza informatica, del resto, parte da tre assunti basilari:

  • da un lato le grosse aziende produttrici, in nome di politiche di marketing aggressivo, mettono in secondo (o terzo) piano la sicurezza: la trascurano, non ci investono ecc., prese come paiono dal decantare le lodi dei propri prodotti; del resto investire sulla sicurezza è un costo, e fin quando gli utenti non capiranno che si tratta di un loro diritto – ben più essenziale del numero di funzionalità disponibili su un cellulare – difficile che le cose possano cambiare.
  • esistono, come nel caso sopracitato dell’iPhone, alcune funzioni non documentate che possono servire a prendere il controllo dei dispositivi connessi alla rete da remoto (secondo il libro “Sotto controllo” sarebbe possibile farlo, in certe condizioni, anche a dispositivi spenti).
  • infine ci sono gli utenti / utonti che, piaccia o meno, si trovano immersi nella più fitta rete tecnologica, che non sanno nemmeno di avere uno smartphone perennemente connesso alla rete, geolocalizzabile e controllabile a volte da un operatore terzo, e che-  per ignoranza o superficialità – tendono a dare per scontato che “figuriamoci se spiano me, del resto non ho nulla da nascondere“. Ma questo è solamente un palliativo, in realtà: il problema non è volersi nascondere, semmai è reclamare il diritto di non ricevere pubblicità invasiva, di non essere plagiati a comprare ulteriori prodotti, in generale di non essere osservati a casa propria. Inquietante, del resto, sapere che un cittadino qualsiasi potrebbe ritrovarsi con cronologia internet, email e comunicazioni su Facebook sistematiche spiate (ed archiviate, secondo il libro di Greenwald) a sua insaputa.

Nell’ambito della sicurezza/privacy dei siti web, del resto, lo scenario è spesso analogo, seppur con qualche piccola differenza di fondo:

  • da un lato i CMS open source, i produttori di plugin, i realizzatori del software open che utilizziamo sui nostri siti hanno ritmi lavorativi serrati, aggiornano i propri servizi e prodotti, pubblicano bollettini per la sicurezza e si occupano di raccogliere le principali falle in appositi siti (come CVE Details, ad esempio).
  • d’altro canto molti provider di hosting non considerano la sicurezza una priorità, tanto che quasi tutti fanno accettare ai clienti un contratto per cui non sono previste responsabilità per la perdita dei dati dei vari siti e tanti saluti, come si suol dire.
  • infine gli utenti, ancora una volta, che fanno uso dei servizi web (appassionati, professionisti, giornalisti, webmaster, SEO, blogger, copywriter) spesso non sanno nulla di sicurezza, neanche si pongono certi problemi e, come nel caso precedente, vivono be(a/o)tamente finchè …

Perchè la sicurezza informatica è una priorità

Lo è, semplicemente, perchè se si continua a trascurare questo problema le conseguenze possono essere devastanti in termini di violazioni di privacy, furto di dati, cancellazione forzosa di dati propri (ad esempio su server o cloud altrui). È giusto probabilmente, ad esempio, non farsi prendere troppo la mano dal cloud hosting per i file: archiviare informazioni riservate è lecito, ma è meglio farlo nel caro hard disk portatile a volte e, se si tratta di dati sensibili, molto meglio fare backup in forma criptata (ad esempio così, dal Mac).

La protezione dei dati, al di là delle tecnologie, va imposta prima di tutto a noi stessi: il resto, col tempo, dovrebbe arrivare di conseguenza. (pubblicato inizialmente su salvatorecapolupo.it)

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.