Mi e’ arrivata una email interessante sul fatto recente di Anonymous (stacco un poco dalla finanza e torno all’ IT) , e sul perche’ questi signori siano riusciti ad imperversare dentro le universita’ italiane (rubando di tutto e di piu’), sui server della polizia postale e su quelli di un’azienda che fa consulenza sulla sicurezza. In questi casi si parte dall’idea che quelli di Anonymous siano bravissimi, dimenticando invece una cosa: se tutte le porte e tutte le finestre sono aperte, per fare i ladri basta solo scegliere dove rubare.
Sin dallo sviluppo commerciale di Internet, chi investiva non ha mai preso in considerazione davvero due problemi: affidabilita’ e sicurezza. Non si teneva conto dell’affidabilita’ (e non se ne tiene conto a tutt’oggi, se pensate che Poste e’ rimasta giu’ quasi una settimana – succedesse a me verrei licenziato in tronco, ma vabe’) perche’ il web era visto come una vetrina pubblicitaria e non come parte dell’infrastruttura industriale.
Si mettevano sul web i prodotti e i costi del sito erano considerati “spese pubblicitarie”. Se il sito saltava, beh, pazienza, era come se si bruciasse il neon che tiene accesa l’insegna; si aspetta che arrivino gli elettricisti.
Per la sicurezza informatica era lo stesso: dopotutto “perche’ dovrebbero entrare”? Gran parte dei siti erano “chi siamo, cosa facciamo, dove siamo/come arrivare, email”. Sarcazzo cosa si poteva ottenere craccando il sito? Al massimo si faceva un defacement, o si installava un worm che visualizzava siti porno a pagamento (tramite il solito ccbill). Niente di piu’.
Cosi’ la sicurezza e’ diventata “una cosa in piu’”, una cosa che si fa soltanto se si ha davvero la necessita’ di farla. Anche in questi campi, pero’, non era poi cosi’ geniale. Quello che facevano le banche all’inizio era di separare la rete interna (separare fisicamente) da quella ove tenevano il sito web. Quando hanno avuto la necessita’ di fare e-banking hanno semplicemente fatto in modo che il sito web registrasse un batch delle operazioni, e lo mandasse in esecuzione sul mainframe ogni notte. Tra il server e il mainframe c’era di solito uno strato di separazione legato unicamente al protocollo (tipicamente SNA). Niente di piu’.
Tutta la loro sicurezza si basava e si basa su una feature di SSL V3, cioe’ quella di poter installare un certificato sul lato client, sul fatto che gli script che usano gli hacker sono incapaci di maneggiare bene il protocollo SNA, tantomeno di agire su mainframe IBM. Niente di piu’.
Questa sottovalutazione del problema potrei anche dividerla in tre grosse aree di incompetenza e sciocca sottovalutazione.
- Nell’area manageriale, la sicurezza e’ considerata un problema , per cosi’ dire, non propriamente prioritario. Una volta avuta l’assicurazione, diciamo nel 2005, che la rete sia sicura, se chiedete fondi nel 2010 per migliorare le misure , vi dicono “ma non eravamo gia’ al sicuro?”. E poi, in cinque anni non e’ successo nulla.
- Lo stesso manager fatica, in effetti, a misurare la metrica della sicurezza. Potrebbe spendere MOLTO e pagare qualcuno per fare un friendly hacking. Cisco, Symantec, McAfee, e compagnia bella. Ma costa MOLTO. Oppure pagare la solita azienda di mio cugino che fa sicurezza. Il cugino prende un sofrtware opensource che stampa un output in html, fa una scansione, e vende il documento html all’azienda. E fattura. Il documento contiene normalmente banalita’, e non cambia nulla.
- Le human resource non sanno bene quanto bravi siano gli addetti alla sicurezza. Sinche’ il manager si vede vietare la gazzetta di Cesena per “motivi di sicurezza”, ha l’impressione che la sua rete sia soggetta ad un regime stalinista al quale non sfugge nulla. Questa si chiama “security by show” , ed e’ il modo con cui si guadagnano da vivere il 90% degli “esperti di sicurezza interni” delle aziende. Un altro criterio di scelta e’ , che so io, l’abbigliamento. Se sembri un nerd che non crede piu’ all’esistenza della figa, o hai dei capelli rasta e qualche piercing, allora sei sicuramente un mezzo hacker e sai come si fa. Infatti hai sbloccato windows alla segretaria quella volta che aveva preso un virus: piu’ hacker di cosi’.
- Non esistono vere metriche per la sicurezza. Non mi sto ripetendo, ma: se a me chiedono di far funzionare un pezzo di rete, se domani funziona allora ho lavorato bene, se domani non funziona ho lavorato male. Se chiedete al vostro settore di sicurezza aziendale di rendere piu’ sicura l’azienda, in generale vi diranno “abbiamo fatto blablafirewall e blablaproxy e blablatcp e blablaIP”. Magari e’ vero, ma potete accorgervene solo alla prima figura di merda.
A questo si aggiunge il problema sullo strato dei sistemisti. In particolare:
- Uso Linux/FreeBSD sul mio portatile quindi sono un hacker e la rete e’ sicura.
- Sono vestito come in un centro sociale quindi quindi sono un hacker e la rete e’ sicura.
- Sono l’unico in azienda a capirci qualcosa quindi quindi sono un hacker e la rete e’ sicura.
- Ho un carattere di merda e ti rispondo sempre in maniera acida quindi sono un hacker e la rete e’ sicura.
- Blocco il 50% dei nuovi progetti perche “la sicurezza” quindi sono un hacker e la rete e’ sicura.
- Aumento di costo l’altro 50% dei nuovi progetti perche’ “la sicurezza” quindi sono un hacker e la rete e’ sicura.
Infine, l’ultimo ma piu’ terribile strato e’ quello della programmazione.
- Che cosa vuol dire “codice sicuro”? E’ un problema da sistemisti.
- Che cosa vuol dire “codice sicuro”? E’ una cosa da guru, e’ assolutamente lecito che io non ne sappia niente.
- Che cosa vuol dire “codice sicuro”? La sicurezza e’ una cosa in piu’ che io non faccio.
- Che cosa vuol dire “codice sicuro”? Certo che e’ sicuro, l’ho copiato dal sito di google.
- Che cosa vuol dire “codice sicuro”? Io sono uno sviluppatore, non un esperto di reti.
Insomma, se guardate internet con gli occhi del professionista delle telecomunicazioni, e’ come una citta’ nella quale ALCUNI palazzi hanno un ponte levatoio e il fossato pieno d’acqua attorno. (1) Altri sono abbastanza ben protetti, e alcuni sono semplicemente irrisori. Cioe’ la parte che vorreste raggiungere NON e’ in rete, la parte che potete raggiungere non contiene niente di che.
La somma dei tre atteggiamenti di cui sopra , di fatto, fa si’ che su internet , almeno nel mondo dei privati:
- Il 70% dei sistemi e’ aperto come una cozza gia’ agli script kiddies, cioe’ a gente che non sa cosa fa ma scarica e si scambia degli script per la rete. Nella classificazione del DoD americano, da 0 a 0.9.
- L’80% dei sistemi e’ aperto come una cozza gia’ agli hacker di livello mediocre. Nella classificazione del DoD americano, da 0.9 a 1.5
- Il 95% dei sistemi e’ aperto come una cozza gia’ ad un hacker che comincia a sapere cosa fa. Nella classificazione del DoD, da 1.5 a 2.2. (dal 2.2 in poi, sino a 5, dipende da caso a caso).
Se dovessimo fare un esempio, allora abbiamo una citta’ nella quale il 70% delle porte e delle finestre e’ aperta senza nemmeno un giro di chiave. Basta la volonta’ di entrare. L’80% dei sistemi e’ aperto a chi sappia usare un piede di porco. Il 95% dei sistemi e’ accessibile a chiunque sappia aprire un buco in un vetro senza fare rumore e girare la maniglia dall’interno.
Capite bene che, in ultima analisi, non e’ strano che esista gente come Anonymous. E’ strano semmai che NON siano saltati fuori prima!
Perche’ non sono saltati fuori prima? Essenzialmente perche’ tranne pochissimi casi, non c’era nulla da guadagnarci. Qui adesso andiamo allo stato.
Se le aziende private hanno i problemi che ho esposto, lo stato ha problemi che vanno oltre, e sono legati alle modalita’ di appalto e di assegnazione dei ruoi.
- E’ stato messo a far sicurezza chiunque fosse vecchio e capisse di reti. Diciamo che il tecnico dell’universita’ che ha lavorato sul Dec PDP11, prima di andare in pensione e’ stato messo a fare sicurezza.
- E’ stato messo a fare sicurezza il vecchio portinaio dell’universita’. Sul serio, conosco una facolta’ veneta nel quale hanno diminuito le portinerie e quello bravo coi PC e’ diventato il tecnico di rete dell’ateneo.
- L’appalto per la sicurezza viene dato proprio a quell’azienda li’, perche’ si. E torniamo al discorso di cui sopra.
- Quando si fa sicurezza c’e’ sempre il professore/barone/dirigente che deve fare un tftp in chiaro per mettere un gigabyte di dati su un vecchio server in california, e quindi non gli puoi chiudere la rete su una porta cosi’. Togli quel maledetto firewall, subito.
Come hanno resistito sinora? Semplice: NON informatizzandosi. Nessun server web, nessun problema di sicurezza. I cialtroni che si occupano di sicurezza non hanno fatto altro che dire sempre “no”, “per motivi di sicurezza”, a qualsiasi nuovo progetto. Hanno resistito fino a quando hanno potuto, e siccome non offrivano nulla se non siti statici allora non hanno mai corso molti rischi. Erano palazzi chiusi senza porte ne’ finestre sulla strada.
Poi, ad un certo punto, la diga e’ crollata. Qualcuno ha deciso che deve arrivare e-gov, e-learning, e-tutto, e hanno dovuto capitolare. E offrire dei servizi, cioe’ aprire una porta verso la strada.
Cosi’, tutto quello che e’ successo e’ hanno aperto siti web e hanno chiamato dei privati per farglieli. E i privati sono quelli di cui sopra. Risultato: persone che non hanno la cultura della sicurezza comprano servizi sicuri da gente che non puo’ garantire sicurezza. Risultato: tutte e sempre finestre aperte.
L’ultimo attacco, per dire, era un attacco banale, e la vulnerabilita’ era visibile gia’ con un OpenVAS . Sarebbe bastato, a costo zero, farsi una scansione del sito. Ma non fu fatta. Semplicemente.
Cosi’, ci sono due situazioni.
- Da un lato di sono gruppi di persone che sanno qualcosa di sicurezza, almeno al livello di script kiddies: persone che sono capaci di scaricare un semplice software (di cui ignorano il funzionamento) o di livello superiore, che si sentono colpiti da una ingiustizia nella misura in cui loro NON trovano lavoro mentre sulle poltrone di “addetti alla sicurezza” ci sono dei palesi incompetenti.
- Dall’altro aziende ed enti pubblici che non solo stanno in rete, ma nel caso della Polizia Postale, delle agenzie di sicurezza e company, si pone anche con la faccia dello sbirro cattivo che prende a calci i cattivi. Sapete qual’e’ la sfiga? La sfiga e’ che quando tu racconti in giro di essere una cintura nera, il problema non viene quando non ti crede nessuno: i VERI problemi iniziano quando ti credono e ti vogliono veder combattere.
Succedera’ ancora? Certo che succedera’ ancora! E chi dovrebbe fermarli? Hanno solo da scegliere su quale dei 95% dei server mondiali entrare. Senza fatica. Perche’ non dovrebbero farlo?
La polizia e’ capace di fermarli? No. Sapete cosa fa la polizia quando c’e’ un attacco? Prima chiede dei log all’amministratore di sistema che ha subito l’attacco. Oppure si fa dire a che ora e’ successo e da quale IP. Poi viene da noi, intendo nel mondo telco, e ci chiedono “chi aveva il tale indirizzo IP nel tale momento?”. La telco glielo dice (quando la polizia non ha gia’ accesso ai CDR senza chiedere) e allora scrivono che
“i log del denunciante SONO COMPATIBILI con quanto dichiarato dalla telco tal dei tali nella persona tal dei tali”. Ora, sapete perche’ scrivono “sono compatibili?” invece di “e’ stato lui perche’ blablabla”? Perche’ non ne capiscono un cazzo e hanno PAURA di fare qualche sbaglio e beccarsi una denuncia dall’accusato. Cosi’, quello che fanno e’ dire “quello che ha DETTO LUI -la vittima- combacia con quello che ha detto QUELLO LA -la telco-. Io, sia chiaro, non dico nulla e non voglio responsabilita’“.
Tantevvero che esiste una polizia postale E un’agenzia che si occupa della sicurezza dei siti governativi. Se la polizia postale fosse efficace, perche’ non chiamare direttamente loro a sorvegliare i siti del governo? Perche’ dare un appalto esterno? Perche’ ho gia’ una polizia che in teoria sarebbe capace di fermare e catturare gli hacker, ma per proteggere i miei siti ho bisogno di altri esperti?
E’ come se un’azienda di pulizie desse un appalto esterno per pulire i propri uffici. O come se un’azienda di vigilanza desse un appalto esterno per sorvegliare la propria sede. Ridicolo. Invece lo stato ha la polizia postale, ma da’ a Vitrociset l’appalto.
Questo scontro tra l’animosita’ di chi sa di sicurezza (l’hacker, in questo caso sa comunque fare un passo in piu’ della sua vittima, anche quando sia uno script kiddie) piu’ di qualcuno che invece e’ pagato cifre enormi per sapere piu’ dell’hacker o comunque qualcosa, e’ rappresentato dal comunicato che anonymous ha lascito sul sito di Vitrociset:
“E voi (Vitrociset, ndr) dovreste occuparvi di sicurezza e affidabilità delle infrastrutture/sistemi dei più importanti enti e istituzioni del nostro Paese? Rideremmo fino a diventare cianotici se non fosse per il semplice fatto che i soldi che percepite, oltre ad ammontare a cifre incommensurabili, non fossero i nostri”
Questa strana mistura di preoccupazione per come siano spesi i soldi e giudizio tecnico in realta’ dice una cosa molto semplice, e puo’ essere tradotta in un semplice modo:
“Voi siete degli usurpatori. Usurpate il posto di lavoro, usurpate lo stipendio,usurpate una sicurezza sociale (il posto di lavoro, appunto) senza essere competenti. Al vostro posto DOVREMMO ESSERCI NOI. Quello stipendio che prendete spetterebbe di diritto a noi.”
Questo e’ il punto: un torneo aperto e’ un posto dove non puoi mentire. Se non sei abbastanza forte, il tuo avversario ti stende. Le forze dell’ordine e gli enti governativi, cosi’ come molti reparti IT e come molti esperti di sicurezza negli enti pubblici, sono abituati sempre e comunque a rispondere solo INTERNAMENTE del proprio operato. Ma oggi, essendo costretti ad avere una presenza significativa su internet, si trovano a doverne rispondere anche verso l’esterno. Oggi sono nella situazione “swim or die”, perche’ se non diventano bravi, davvero ed in fretta, si trovano ad un bizzarro torneo nel quale sono entrati in campo spacciandosi per cinture nere, e vengono massacrati anche dai dilettanti.
Quindi no, non credo che Anonymous sia fatto da gente necessariamente in gambissima. Forse si e forse no. Quello che credo e’ che , molto semplicemente, nel paese degli orbi il guercio e’ re.
Ed internet, quando parliamo di sicurezza, e’ il paese degli orbi.
Uriel
(1) Se TCP/IP e’ camminare, allora SNA e’ nuotare. Cosi’, il fossato e’ una rete basata su SNA raggiungibile via IP, nell’esempio.
