Accher in Lazio, intervista ad un esperto.

A Bologna si dice che una merda piu’ la pesti e piu’ puzza, che e’ in un certo senso il contrario di “buttarla in caciara”. Questo proverbio si applica a quelle discussioni pubbliche che e’ meglio NON fare in pubblico, per la semplice ragione che mano a mano che la discussione va avanti emergono dettagli che NON migliorano la reputazione di chi vi prende parte.

Ed e’ il problema che si pone quando le persone che ascoltano la discussione sono degli esperti in qualche materia, capaci di estrapolare cose imbarazzanti dai dettagli che vi emergono. La regione Lazio ha evidentemente scelto di “buttarla in caciara” quando la cosa migliore da fare sarebbe stata “silenzio rispettoso delle indagini in corso”.

Il risultato e’ che le loro “misure di sicurezza” sono gia’ una barzelletta in tutte le mense di qualsiasi reparto IT serio, perche’ da quanto dicono “per salvare la faccia” si evincono cose che non salvano decisamente alcuna faccia.

Per chiarire questa cosa ho deciso di intervistare un esperto di cui mi fido moltissimo: me stesso. 26 anni di esperienza nell’ IT, tra supercomputing, rete di accesso (sia mobile che in fibra) e infrastrutture varie, comprese quelle bancarie. Cominciamo.

Per dare al tutto un’atmosfera “accher”, ho deciso di apparire come Herr Stakkah , abbreviazione di Alfred StaccaStaccah von Cistannotracciandoh. Nome molto comune in Pomerania, come tutti sanno.

Herr Staccah, la vediamo abbastanza critico riguardo a quanto emerge dalle indagini sull’intrusione nei sistemi della regione Lazio. Eppure il responsabile della falla sembra essere individuato.
Diciamo che hanno trovato il poveraccio che si accollera’ tutto. La cosa non mi stupisce , visto il livello di sciatteria che si evince da quanto filtra. Perche’ se anche fosse come viene detto , si dimostra chiaramente quanta sciatteria ci fosse.
In che senso?
Immaginate che dopo un furto ad una grande banca, qualcuno scoprisse il complice: il macellaio di fronte aveva le chiavi della banca e le hanno rubate perche’ le teneva appese ad un chiodo. Ora, sicuramente il macellaio e’ un anello essenziale nella catena degli eventi, e forse non era saggio tenere la chiave appesa al chiodo, ma non trova strano che una banca dia la chiave di tutto al macellaio di fronte? La trova una buona pratica?
E a cosa corrisponderebbe questa cattiva pratica del macellaio?
No, non era un esempio. E neanche una metafora. Stavo solo spiegando che “avevamo dato le chiavi della banca al macellaio” non puo’ essere una spiegazione, anzi peggiora la situazione. E cioe’ che, se anche tutta la sicurezza informatica di quella struttura fosse stata sulle spalle di quel tizio, il problema e’ che era tutta sulle spalle di quel tizio in Home Office.
L’home office non c’entra nulla quindi?
Sarebbe troppo lungo debunkare la marea di minchiate che accusano l’Home Office. Giriamola dalla prospettiva giusta: secondo lei una rete che offre servizi via internet e’ piu’ sicura soltanto perche’ abbiamo rinchiuso i dipendenti dentro un edificio, mentre i pirati possono muoversi ovunque?
Forse l’home office aggiunge insicurezza?
Ecco la convinzione strana. Non conoscete il concetto di “perimetro” e di “sicurezza perimetrale”. O sei dentro un perimetro, o sei fuori dal perimetro. Chiaramente , tutti i computer di una rete dovrebbero stare in qualche perimetro, ovunque si trovino fisicamente. E questo e’ possibile. Anche in Home Office. Occorre costruire bene il perimetro. Ma perimetro non significa per forza “infrastruttura fisica”.
Cosa significa?
Significa, per esempio, che quasi tutte le multinazionali serie consentono alle persone di leggere la posta aziendale usando un cellulare aziendale. Prendiamo il caso interessante di una persona che legge le mail fuori dall’orario. Questo , signora, e’ gia’ Home Office, ma i peones non se ne accorgono perche’ stiamo usando un cellulare anziche’ un computer. Ma se questo secondo lei e’ pericoloso, dovremmo allora chiedere a tutti gli impiegati di lasciare i cellularia aziendali in azienda , collegati solo alla wifi aziendale. Complimenti: abbiamo inventato il primo “im-mobile phone” della storia: per brevita’ lo chiameremo Tischfernsprecher, o Fernsprechtischapparat. Geniale.
Ma il cellulare puo’ essere protetto se il controller di dominio ne prende il controllo.
Prendere il controllo di un cellulare connesso ad un market dal quale puo’ installare qualsiasi porcheria? Interessante. Possibile in effetti con alcune tecnologie, e una nota marca di cellulari, ma quanti lo fanno? Ed… era stato fatto? Allora, semplicemente la sua proposta di mettere tutti a lavorare dall’ufficio significa che verranno contattati per email sul cellulare, o mediante una app sul cellulare… e il vettore dell’attacco sara’ il cellulare anziche’ il PC. Tutto qua il suo miglioramento?
Ma allora il problema come si pone?
Si pone nel modo in cui, come ho detto, esiste un perimetro. O sei dentro il perimetro (e quindi ISOLATO dall’esterno), oppure sei a contatto con l’esterno (mediante la tua rete di casa o la tua connessione telefonica) e allora NON sei nella rete aziendale. Le VPN possono forzare il network splitting proprio per questo. Ma sulla VPN ci sarebbe molto da dire.
In che senso?
Nel senso che sento dire “hanno preso username e password della VPN”. Interessante. Ma una VPN ha ben altro: ha certificati e chiavi. Che normalmente non sono accedibili dagli utenti del dominio, ma solo dagli amministratori, e solo mentre sono loggati come tali. Ma questo presuppone che si consenta a qualcuno di loggarsi sul portatile come amministratore mentre e’ in VPN. Chi ha scritto questa policy?
Ma un virus potrebbe colpire il portatile e rubare comunque le credenziali e anche certificati e chiavi.
Certo, e se mia nonna avesse la ruota sarebbe una carriola. Sappiamo che questo e’ successo? Va bene, diciamo che lo sappiamo, allora. Anche per questo ci sono dei rimedi, come l’autenticazione a due fattori, di cui uno dei due fattori (un token RSA, una Yubikey, o un autenticatore sul cellulare) potrebbe mitigare il problema. Ma non c’era 2FA. Quindi, siamo ancora al punto “chi ha disegnato la sicurezza perimetrale”?
Ma per quanto efficace, cosa possiamo fare se il figlio del nostro amministratore va sui computer , si crea un account e va sul sito porno?
Herr Stakkah: Mi rendo conto che frequentando prostitute si possano prendere malattie. Ma questo non implica che andando su un sito porno si prendano virus per il computer. Puo’ succedere su siti porno minori, ma i piu’ grossi sono molto sicuri, a volte piu’ di Google o Microsoft. In ogni caso, il punto e’ che i computer possono venire monitorati, messi in auditing. Quando sei DENTRO il perimetro dovresti uscire verso internet SOLO usando proxy aziendali, che ovviamente bloccheranno i siti porno e quelli pericolosi. Alcuni hanno anche antivirus che bloccano i malware in transito.
Ma se e’ un virus ancora sconosciuto questo non funziona.
Vero. Si parla sempre di MITIGARE i problemi di sicurezza, e si parla di “best practices” , mai di “cose che funzioneranno di sicuro sempre e comunque”. Ma a quanto e’ uscito sinora, il malware usato era conosciuto da anni ed esistono almeno 3 botnet certe e conosciute. Dov’e’ lo zero day? Qui entriamo in un’altra pessima pratica: i dati sono ancora criptati , gli effetti dell’attacco sono ancora presenti, non si sa quante backdoor siano aperte dopo l’infezione, ma cominciano a girare i nomi del malware. Un invito. Vedi alla voce “era meglio stare zitti”.In ogni caso, viene da chiedersi come mai, da “dentro” il perimetro sarebbe stato possibile visitare siti porno. Il perimetro era chiuso? Sulla pratica di condividere un computer dentro il perimetro (figli o meno) calo un velo pietoso. Non dovrebbe neppure essere POSSIBILE. E ci sono i mezzi per evitarlo. MA le carenze sono ancora molte, e da quanto traspare, evidenti. Per esempio, non esisteva alcun backup.
Ma non e’ vero: il backup esisteva, ma e’ stato criptato.
No.Il backup e’ offline per definizione. Un backup che rimane online (e quindi puo’ essere modificato) non e’ un backup. E’ solo un mirror, una copia replicata, chiamatelo come volete, ma il backup e’ per definizione offline. E questa vicenda dovrebbe chiarire agli scettici quale sia il pericolo, e quale sia la differenza: a quelli che credono che il backup possa essere online e comprano prodotti di aziende piu’ o meno cialtroniche su questo punto. Se il backup e’ offline (per esempio su nastro e il nastro e’ fuori dai cassetti) , nessuno puo’ modificarlo. Quindi mi spiace: esisteva una copia replicata, se vuole un mirror, ma nessun backup.
Ma si puo’ fare in modo che il backup abbia qualche versioning, e allora magari si potra’ modificare solo l’ultima copia.
Da dentro il sistema di backup, di sicuro. Il problema viene quando qualcuno ti cripta il filesystem ove ci sono le vecchie versioni “immutabili”. Ripeto: offline means offline. So che e’ scomodo, so che e’ costoso, ma viene da chiedersi se nel lungo termine lo sia davvero.
Non e’ facile parlare col senno di poi?
Certo. Ma la parola “poi” identifica un momento nel tempo. Proviamo a identificare questo momento: il primo attacco di questo tipo e’ avvenuto una decina di anni fa e ci sono tracce di cose simili sin dal 1989. Comunque quelli basati su crittazione forte sono diventati un business solo nel 2006. Siamo immersi nel senno di poi da un decennio. E’ facile parlare per me, quanto per chi gestiva quell’infrastruttura. Ma non sembra che sia stato molto facile, per il gestore di quel CED.

https://www.varonis.com/blog/a-brief-history-of-ransomware/

Touche’. Ma la regione lazio non sembra essere la sola ad essere attaccata.
Qui andiamo ad un altro catastrofico capito della gestione del “dopo”, cioe’ della comunicazione. Si e’ coinvolta un’azienda che non c’entrava niente, si e’ detto che “succede anche all’ Olanda”, gonfiando notizie o addirittura inventandole.
Ma Engineering ha subito qualche attacco proprio nello stesso momento.
Anche il suo router di casa e anche il suo giornale. Tutto cio’ che e’ esposto ad internet subisce attacchi di continuo. Posso indovinare che il sito web della Casa Bianca abbia subito un attacco in quel preciso momento, senza nemmeno accendere un computer. Perche’ succede a tutti i siti. Engineering e’ una societa’ di consulenza che lavora su progetti mission critical, che io sappia, quindi e’ ovvio che avranno ricevuto attacchi continui. Posso anticiparle che Engineering, come Accenture , Mc Kinsey, Roland Berger e altri, sono sotto attacco anche in questo preciso momento. Per la semplice ragione che sono SEMPRE sotto attacco, o almeno sotto TENTATO attacco. E’ stata un’idiozia pubblicare quella notizia.
Ma la caciara non fa male.
Avete appena detto al mercato dei consulenti che se tocchi la Regione Lazio rischi una pioggia di letame random. Davvero un invito a diventare loro fornitori: chi lo fara’ in futuro pretendera’ di non venire citato, oppure di mettere un intermediario di mezzo per nascondere il proprio nome. Il che aumentera’ di certo i costi, dal momento che nessuno prende rischi senza guadagnare. Danni su danni su danni. Una comunicazione post-incidente perlomeno incompetente.
Pero’ anche in Olanda hanno un problema del genere, una vera e propria emergenza.
L’intero pianeta e’ in emergenza security, per due motivi. Il primo e’ che gli investimenti in sicurezza sono sempre considerati una liability e non un valore, il secondo e’ che tutti vogliono digitalizzarsi, tutti lo hanno promesso ai mercati, ma quasi nessuno ha stimato BENE i costi e le implicazioni di tutto questo. Il risultato e’ che la domanda di specialisti e’ enorme, si spacciano per specialisti personaggi che non lo sono, eccetera. Ma l’ Olanda non e’ messa peggio dell’Italia: ha solo piu’ fintech e piu’ digitalizzazione. Questa cosa di menzionare l’Olanda non ha alcun senso, e serviva solo a far caciara. I francesi non sono messi meglio, per dire.
Tornando in tema, pero’, appare chiaro che tutto e’ ruotato attorno a quel signore che lavorava da casa
E a chi gli ha dato metodi insicuri per farlo. E a chi ha preso un mirror e lo ha spacciato per backup. Ma non e’ la sola catastrofe che vedo.
E quali si vedono?
Da quanto dicono i giornali, dopo aver colpito il computer in home-office, il malware ha fatto una privilege escalation sui controller di dominio e si e’ agganciato ad una botnet. Dalla quale poi ha installato il vero e proprio ransomware. Ora, gia’ il fatto che qualcuno possa contattare una botnet da dentro la rete mi lascia perplesso. Sono IP noti e monitorati. Non esistevano quindi IDS, sistemi di allarming, outlier detection. Di fatto, nessuno sapeva di preciso cosa stessero facendo i computer di quella rete.
Ma questa e’ fantascienza, no?
No, e’ ordinaria amministrazione da almeno 15 anni in qua, in qualsiasi struttura enterprise seria. E’ vero che il privato NON e’ perfetto, e ci sono anche strutture enterprise che sono indietro di dieci , quindici anni. Io le chiamo “le feste di compleanno di Kim Jong-un”: il posto ove si riuniscono gli script kiddies per far baldoria, suonare musica rock e fare altre cose che piacciono al demonio. Ce ne sono tante anche nella PA. E alcune sembrano disegnate per favorire la cosa.
Si riferisce al LAzio?
Si. A quanto si legge sui giornali, dopo aver scalato il dominio ove si era agganciato un computer tipicamente “office”, o “backoffice”; o come si chiama a seconda del gergo locale, il malware ha attaccato le macchine di produzione. Ma questo non dovrebbe essere possibile, a meno che le macchine di produzione non siano nello stesso segmento di rete, non ci sia un firewall in mezzo, non vi si acceda mediante bastion host, o jumpbox, chiamatela come vi pare. Qui abbiamo macchine di produzione raggiungibili direttamente dalla rete dove ci sono gli impiegati, senza alcun elemento di separazione o segregazione. Tutto questo odora di Paperopoli, e mi bullo di loro. Ovviamente…
Ovviamente?
Ovviamente tutto questo e’ vero quanto le cose che hanno scritto i giornali. Il problema e’ se voi giornalisti avete detto il vero oppure avete inventato tutto. L’intervista al presunto colpevole di tutto , cosi’ come il fatto che Engineering abbia dovuto ricorrere ad un sacrosanto comunicato stampa, mi fa pensare che abbiate accesso a documenti di un’inchiesta in corso e che li stiate pubblicando, il che somma catastrofe a catasfrofe. Ma si’, diamo dettagli di un’inchiesta mentre la postale sta cercando i colpevoli, cosa potrebbe andare storto?

Ma e’ legale farlo.
Anche farmi un pompino in questo momento e’ legale, ma lei non lo sta facendo. Non tutto quello che e’ legale va fatto.
Ma le persone hanno il diritto di sapere. E vogliono sapere.
Se e’ per questo, il mio cazzo non si succhia da solo. Ma , ripeto, quello che le persone vorrebbero non e’ davvero rilevante se c’e’ un’inchiesta in corso e ci sono indagini forensi in corso. Il fatto che io abbia voglia di un pompino , o che io voglia essere informato, non obbliga nessuno a fare nulla. Tantomeno e’ saggio indicare un capro espiatorio.
E perche’ svelare che esiste un colpevole e’ poco saggio?
Innanzitutto perche’ se fai lavorare un tizio dentro una struttura insicura non puoi accusare lui di aver creato il problema. Dovete essere molto sicuri di poter provare che tutto nasce dai siti porno visitati dal figlio. Se non se ne trovera’ traccia, per esempio, tutto ricadra’ non sull’uso del computer, ma dalla sicurezza dell’infrastruttura di home office. Ma nemmeno questo e’ il punto.
E qual’e’?
Il problema e’ che prendere una capra nera , accusarla di ogni male e gettarla da un burrone non e’ una procedura di sicurezza sin dai tempi dell’imperatore Tito. La regione Lazio non e’ piu’ sicura adesso, anzi e’ il contrario.
Perche’?
Perche’ una volta chiarito che la regione reagisce alle disfunzioni gettando un impiegato a caso da un crepaccio, e ben sapendo che la sicurezza perimetrale fa schifo, gli altri impiegati reagiranno nel solito modo: faranno SOLO quanto richiesto, SE richiesto, se richiesto PER ISCRITTO, e faranno il meno possibile. Considerando che la sicurezza e’ un tema che richiede proattivita’, praticamente abbiamo castrato un reparto IT. Inoltre, per evitare accuse da parte di colleghi, smetteranno di fare lavoro di squadra in modo che nessun collega possa dire “ma era lui che ci lavorava ieri”. Quindi la comunicazione si ridurra’ al minimo necessario. Risultato: un team assolutamente disfunzionale. Cosa potrebbe mai andare storto?
PErche’ dici “un impiegato a caso”?
Herr Stakkah: perche’ stiamo partendo dall’idea che il computer in questione sia stato assalito grazie “al figlio che ci giocava” o altre speculazioni su film porno. Ma quando hai di fronte un’infezione non devi chiederti solo “da dove e’ partito l’attacco”, ma “da dove poteva partire?”. Magari i computer infetti erano dieci, cento, e l’attacco e’ partito solo da quello. Ma il fatto che da quel computer in home office sia partita la privilege escalation non implica che fosse l’unico computer compromesso. Potrebbe essere stato uno a caso, dentro un gruppo di cento computer infetti. E magari l’infezione e’ partita da un altro computer.
Questa pero’ e’ una speculazione.
Stiamo parlando di un malware che ha preso i controller di dominio. E poi ha puntato sui server di produzione. Ma dal controller di dominio si vede l’intero dominio. La cosa piu’ sicura per l’hacker e’ infettare tutto, anche i computer degli altri colleghi in home office. Sicuramente e’ una speculazione, ma non puoi dare per scontato che qualcuno rubi solo l’argenteria della domenica ma non quella del sabato. Quella sarebbe davvero una speculazione. Ma non cambia il punto.
Cioe’?
Herr Stakkah: cioe’ che quel particolare impiegato lavorava in una situazione di perimetro insicuro quanto tutti gli altri impiegati in home office. Dare per scontato che sia stato bucato solo lui e’ delirio puro. Il porno piace a tutti, la gnocca e’ mainstream da qualche miliardo di anni, su questo pianeta.
Vero, ma e’ molto teorico. I fatti dicono che tutto e’ partito da quel computer.
No. La postale , a quanto leggo, dice che l’attacco e’ stato condotto con certe credenziali. Sono due cose diverse. E’ la parola “tutto” che e’ gratuita. Ripeto, se diamo le chiavi della banca al macellaio di fronte, e’ vero che il prossimo furto partira’ dal macellaio, e magari non doveva tenere le chiavi su un chiodo appeso al muro, ma bisogna sempre chiedersi chi abbia preso la decisione di dare le chiavi al macellaio. La sciatteria e’ immanente.
Va bene, cambiamo discorso. Draghi ha nominato un’agenzia per la sicurezza.
Questo e’ un bene, ma quelle agenzie non risolvono nulla, si limitano a fare assessment e standardizzazione: il loro lavoro principale non e’ di fornire consulenza alle aziende o alla PA, ma di dare delle common practices e di informare il governo, come fa Bfdi in Germania. Ma le common practices sono necessarie ma non sufficienti, e il problema non e’ tutto informatico.
Cosa significa?
Significa che se abbiamo dipendenti che quando sono in home office lavorano in un perimetro insicuro, e la rete e’ poco segmentata, e non ci sono sistemi di outlier detection, e altro ancora, indagando bene quasi sempre si trova una politica di acquisti scellerata, o se preferisce un sistema di appalti che non sembra comprensibile agli esseri umani, ma solo ai varani di Komodo. Cresce cosi’ un’infrastruttura troppo costosa, dal design inconsistente. Questa infrastruttura ingoia i soldi che dovevano andare alla sicurezza, e in piu’ non riesce ad avere quella semplicita’ che consente il monitoraggio e l’inclusione in un perimetro descrivibile e osservabile.
Puo’ chiarire?
Secondo le fughe di notizie della stampa, la postale e’ risalita al capro espiatorio osservando i log. Ora, non so cosa fosse loggato, ma se questo e’ sufficiente alla postale, allora esistono molti sistemi che possono osservare continuamente i log e lanciare allarmi. Ma la postale ci ha messo due giorni a farlo: quindi o non esisteva un catalogo dei dati e dei log, oppure esisteva ma nessun sistema automatico li leggeva al fine di lanciare allarmi. Ora, se e’ pratica obbligatoria avere log, la rete e’ osservabile. Se qualcuno tiene log e qualcuno invece no, allora la rete non e’ davvero osservabile. Una rete consistente produce log coerenti, in un formato che si spera abbastanza omogeneo, e li manda ad un qualche sistema di monitoraggio. Se e’ una rete progettata. Se invece la rete e’ dettata dagli appalti, allora cominciano ad apparire pezzi senza che ci sia un progetto. E se non hai un progetto, non funziona nulla.
Ancora non capisco.
Andiamo per gradi. Non vogliamo che questo si ripeta, giusto? Quindi , a meno di non credere che il problema si risolvera’ gettando da un crepaccio una capra nera, occorre capire in che stato sia la sicurezza in questa infrastruttura, e PERCHE’ sia in questo stato. SI prendano tutti gli appalti e si guardi quanto hanno speso in sicurezza. Se la cifra fosse sufficiente, si passa a capire che concetto di sicurezza stessero seguendo. Segregazione? Legittimazione? Che design c’era? Perche’ lo stato dell’arte comprendeva macchine di produzione e di backoffice non segregate? In ogni caso il problema e’ piu’ in alto.
Magari non avevano budget a sufficienza.
In tal caso esistono diversi trucchi per uscirne. Per esempio, togli capacita’ ai sistemi insicuri e usi il budget per sistemi di sicurezza. Insomma, quel malware esiste da anni, perche’ sia stato possibile attaccare i controller di dominio rimane alla voce “OS Security Patch”. Perche’ i server non erano abbastanza aggiornati da lasciar penetrare un malware ormai vecchio e noto? Perche’ la manutenzione e l’installazione di patch e’ considerata Opex e i controller finanziari preferiscono vedere spese capex. Preferiscono comprare nuovi server o comprare l’ultima versione del sistema operativo, chiedendoti “ma nel nuovo OS queste patch ci sono, vero?”. Il guaio e’ che dopo un mese senza patch il nuovo OS e’ gia’ vulnerabile.
Ma l’home office e’ arrivato per via del covid, era imprevedibile.
Balle. L’home office esiste da decenni, Cisco faceva lavorare le persone da casa in Italia quindici anni fa. Se a quel CED servono centotrentamila morti per implementare lo stato dell’arte, ovviamente gli hacker saranno sempre piu’ avanti. E poi, ripeto, quando lei legge (e magari risponde) ad email di lavoro dal cellulare, lei sta facendo home-office. Magari non smartworking, ma di sicuro home-office. L’home office e’ usato, di conseguenza, da decenni: e’ semplicemente che nessuno ha mai riflettuto abbastanza sul cellulare come parte della superficie d’attacco, e sul fatto che chiunque porti a casa il cellulare di lavoro sta facendo home office, semplicemente con uno strumento diverso dal computer.
Allora torniamo al budget. Ma adesso arriva il Recovery Plan che costringe alla digitalizzazione. Quindi dovremmo avere piu’ investimenti in sicurezza?
QUi bisogna capire una cosa una volta per tutte. Costringere le persone e gli enti ad essere digitali non funziona. Funziona se tutto quel che vuoi e’ fare appalti a casaccio. La digitalizzazione richiede un cambio di cultura radicale: altrimenti otterremo quello che c’e’ gia’, cioe’ I SITI WEB APERTI SOLO IN ORARIO D’UFFICIO: https://www.repubblica.it/tecnologia/blog/stazione-futuro/2020/09/15/news/i_siti_web_della_pa_che_chiudono_la_notte_e_il_weekend-299509713/ E ovviamente, se non c’e’ alcuna cultura della sicurezza informatica perche’ gli investimenti in sicurezza erano bassi anche prima , la proporzione continuera’ ad essere quella. Si faranno gli stessi errori, solo piu’ grandi.
Quindi non c’e’ speranza?
Al contrario: ma occorre un gigantesco turnover tra i dirigenti IT della Pubblica Amministrazione. Occorre prima sradicare una cultura che impone di spendere il budget in un certo modo , che impone di fare appalti in un certo modo, che considera la sicurezza (per esempio tenere tutto all’ultima patch disponibile) una spesa opex. Buttare soldi sul problema non aiuta, si limita a nutrire il problema. La prima cosa che fa un tumore e’ costruire i vasi sanguigni che servono ad alimentarsi.
Imporre una certa quota di investimenti in sicurezza servirebbe?
Bisogna capire cosa sia “sicurezza”. Anche il design della rete e’ “sicurezza”, ma il dubbio e’ che si spenderebbe tutto in firewalls e antivirus. Che sia chiaro: servono come il pane. Ma la sicurezza ha (anche) molto a che vedere con lo know-how, per dire. Se mi compri centomila firewall appliance di Juniper e non mi ridisegni la rete in maniera competente, non serve a nulla. La sicurezza ha ANCHE molto a che vedere con l’aggiornamento di ogni software all’ultima patch, per dire. Ma e’ una spesa opex e i “manager mummie” l non la vogliono. Preferiscono quasi cambiare versione dell’ OS o comprare un nuovo server, avendo i soldi. Ma dopo qualche mese senza patch, un server e’ una porta aperta. Ma le patch sono opex. Sicurezza e’ tutto. Letteralmente TUTTO. Una volta mi successe che…
che…
Che ero a Düsseldorf. Mi chiama un manager della sede italiana. Mi chiede di andare a ROma per un problema di security in una telco. Prendo l’aereo alle undici e cinquanta di sera, business class per prenotazione tardiva, c’erano solo quelli. Tanto paga il cliente. Arrivo a ROma. Dormita breve in hotel, tanto in azienda ora non c’e’ la persona che serve. Mi aspetta il mio manager. E’ l’indomani. Andiamo nella sede. Arriviamo alla sede. La persona che cerchiamo non c’e’. Torniamo nel pomeriggio. Nella guardiola non c’e’ nessuno. I tornelli degli impiegati sono di fronte a noi, indifesi. Facciamo un po’ di rumore e scopriamo che la security stava guardando il derby nella stanza isolata della guardiola. Per me il problema di sicurezza era gia’ chiaro: chiunque puo’ entrare fisicamente li’ dentro e i responsabili sono assenti di notte e al mattino. In realta’ il buco era un altro, ma non ha senso chiudere una falla se ce n’e’ una piu’ grande.
Morale?
Che non puoi aumentare gli investimenti in sicurezza se non definisci cosa sia la sicurezza , e che solo aumentareil buget a tutti non serve se non cambia la cultura sottostante. Ma la reazione della regione Lazio, partendo dalla capra nera da gettare nella rupe, cioe’ il buttarla in caciara, mi fa capire quale sia la mentalita’, la cultura. E non e’ possibile avere sicurezza con questa cultura dell’ IT. Occorre un grosso turnover dei dirigenti, e degli impiegati di vecchia data.
Altrimenti?
Altrimenti verranno bucati sistemi piu’ grandi e apparentemente (ma solo apparentemente) moderni. Il budget e’ necessario ma non sufficiente.
Vede sforzi in questa direzione?
La decisione di dare in appalto la costruzione di un cloud nazionale , per esempio, lo e’. Si presume che aziende di cloud computing private non abbiano gli stessi dirigenti e/ la stessa cultura. Sperando che il privato sia piu’ moderno del pubblico. E’ vero che non ci vuole molto, ma “ho visto cose” anche nel mondo del privato. QUesto pero’ vale per tutte le nazioni. In Germania il pubblico e’ piu’ efficiente del privato, quando si superano certe dimensioni. Ogni paese ha le sue peculiarita’. Quella italiana e’ quella di rifiutare il progresso. In Germania tutti chiedono il cambio ma nessuno vuole cambiare (a meno che non lo ordini il boss). In Inghilterra si cambia tutto per tenere al potere sempre gli stessi stronzi incompetenti dall’accento imbarazzantemente Eton. Ogni paese reagisce contro il progresso a modo proprio: il problema e’ trovare la chiave. Nella mia esperienza di consulente in Germania bisogna convincere il boss a ordinare il progresso. In Italia, secondo me l’unica cosa che funziona e’ il turnover completo dei dirigenti. In Inghilterra bisognerebbe decapitare la Regina mentre brucia in un letto di fiamme e poi nuclearizzare Eton, ma dopo il Brexit non ne sento l’urgenza quanto prima. La Francia non e’ necessaria. Ogni paese, dicevo, ha le sue soluzioni.
Cambiamo discorso. Pensa quindi che l’impiegato che ha iniziato tutto verra’ assolto in un eventuale processo?
No. Purtroppo no. Per quella che e’ la mia esperienza passata di perito per i tribunali, quasi sicuramente no. Per prima cosa, i giudici credono quasi sempre nell’accusa, quando c’e’ di mezzo la postale. Se la postale ha un colpevole, si getti la capra nera dal crepaccio e non se ne parli piu’. Eventuali rimostranze dei periti della difesa non solo non vengono capite dal giudice, ma non vengono nemmeno lette. Ho fatto il perito in una causa nella quale la password era scritta come screensaver , per evitare di usare il postit (il tipo che ammise il fatto disse che i postit si staccano facilmente). La password era il nome del figlio e l’anno di nascita. Feci presente che il nome del figlio era il numero due per frequenza, nell’anno indicato, a Bologna. Feci presente che la password era sicuramente compromessa. Risultato? Secondo il giudice potete usare la password come screen saver perche’ le persone non possono sapere che sia la password, e gli attacchi basati sul dizionario non sono possibili perche’ nessuno puo’ sapere che hai usato il nome di tuo figlio come password. E capite che con giudici cosi’, la postale di fatto non scrive la perizia dell’accusa: scrive la sentenza.
E non c’e’ modo di difendersi, di fare appello, eccetera?
Normalmente no. Semmai e’ il contrario. Il caso di Garlasco mostra come una perizia eccellente (se non storica nel senso del diritto forense) sia stata semplicemente cancellata con motivazioni del calibro “ma chi cazzo la capisce, sta roba? Io in educazione tecnica ero scarso”. La competenza specifica nell’ IT viene accettata quando arriva dalla Postale perche’ la postale nella perizia scrive cose come “ e’ pertanto chiaro che il signor rossi e’ colpevole, senza ombra di dubbio, e va condannato e uno sputo in faccia non ci sta male“. Come se non bastasse i giudici tentano di accorciare i processi per farne di piu’ e far carriera, e avere un colpevole gia’ a portata di mano gli fa comodo. Quando poi c’e’ di mezzo l’amministrazione pubblica, il problema del giudice e’ che accusare il tizio di qualcosa colposo o preterintenzionale e’ facile, accusare il suo IT manager di aver costruito un sistema insicuro non corrisponde nemmeno ad un reato.
Ma la postale non dira’ che il sistema sia insicuro?
No. Non e’ il loro compito. Sono la polizia, devono solo dire “tizio ha fatto questo che ha causato quello e quindi non deve ricevere regali a natale perche’ e’ cattivo”. Non fanno estimi sulla bonta’ delle infrastrutture. Che il sistema sia inerentemente insicuro lo devono dimostrare altri, ma se parliamo della difesa, la loro perizia non verra’ nemmeno letta dal giudice.
I giudici non leggono le perizie tecniche?
No, perche’ non le capiscono. La loro istruzione e’ completamente umanistica. Solo se la perizia conclude dicendo “pino gli puzza l’alito” allora potrebbero capire, ma in genere non lo fanno. Crederebbero comunque alla perizia della postale. Se la postale accusa un tizio, e’ spacciato. Potrebbe anche risparmiare soldi in avvocati.
E non c’e’ difesa? Periti autorevoli, per esempio?
La difesa contro questi processi e’, che io sappia, una sola: emigrare.