Mentre gli USA hanno approvato il CISPA http://en.wikipedia.org/wiki/Cyber_Intelligence_Sharing_and_Protection_Act , infuria una stupidissima polemica sulla questione degli “hacker” che hanno diffuso la posta elettronica di alcune parlamentari grilline, e sul fatto che a quanto pare la Boldrini sarebbe stata oggetto di minacce ed insulti via Twitter , Facebook ed altri mezzi telematici.
Rispondo subito a chi mi chiede sulla reale pericolosita’ degli Hacker, Cracker, o come volete chiamarli.(1) La minaccia e’ reale ed il pericolo esiste, ma la percezione popolare e’ sproporzionata.
La minaccia degli hacker e’ come la minaccia dei rapinatori o dei ladri di appartamento, con una sola differenza che causa la loro sopravvalutazione: se una rapina fallisce, va ugualmente sui giornali, mentre se un attacco informatico fallisce, non va su nessun giornale.
FIno a due anni fa gestivo un applicativo esposto ad internet (attualmente non e’ piu’ esposto, il nostro AS non esporta rotte BGP a riguardo, con la sola eccezione di un concentratore VPN) e avevamo circa due o tre tentativi di attacco al giorno. Si trattava di script kiddie, nel senso che erano attacchi standardizzati prodotti da software scaricabili sempre uguali da internet, ma non usciva ogni giorno sui giornali “gli Hacker falliscono due volte ad attaccare la Telco tal dei tali”).
Al contrario, il giorno in cui fossero riusciti ad arrivare al database, OVVIAMENTE avreste letto sui giornali il titolo sensazionalistico “Hacker violano il sito della telco tal dei tali!”.
Degli hacker, a differenza di ogni altro scassinatore o delinquente, si rilevano SOLO i successi. Se andaste a misurare la percentuale dei loro successi nella penetrazione di sistemi, scoprireste molto rapidamente che si aggira attorno ad uno su diecimila, e che in media non prendono di mira qualcuno a caso, ma agiscono ogni volta che uno scanner, dopo aver esaminato molti siti, ha trovato un sito debole.
L’hacker non e’ come uno che scelga a chi rubare, e’ piu’ come uno scippatore che cerca il turista sbadato che tiene al collo una collana d’oro.
In questo senso, quindi, non sto dicendo che non sia una minaccia: lo e’ eccome, cosi’ come lo scippatore e’ una minaccia. Ma e’ una minaccia altamente sopravvalutata per il fatto che si riportano solo le intrusioni avvenute con successo: se viene violato UN sito governativo americano qualcuno verra’ portato a pensare che TUTTI i siti governativi siano violabili; in realta’ questi signori li hanno esaminati tutti , magari hanno fallito migliaia di volte su migliaia di altri siti, sinche’ non ne hanno trovato uno col buco. Si riportera’ solo quella volta che sono riusciti con un sito, e non le altre centinaia di volte in cui hanno provato ed hanno fallito.
La sicurezza informatica e’ sicuramente una materia da non sottovalutare, ma nemmeno da sopravvalutare come fa la stampa prostituta, che cerca di estremizzare ogni cosa.
A questo occorre anche aggiungere una cosa: vengono attribuiti molti eventi al sapere immenso di questi Hacker, quando in realta’ moltissimi dei loro furti sono legati a disattenzione, a mancate precauzioni di base, ad ingenuita’, a cattivissime gestioni delle credenziali.
Andiamo al secondo punto, ovvero il furto di email.
Come ho gia’ detto, mi dispiace molto che l’aspetto politico della rete sia stato messo in puttanata da gente come Grillo e Casaleggio, che di IT sanno poco , per il motivo che dietro a tutta questa caciara stanno semplicemente distruggendo una serie di idee iteressanti.
E’ colpa di Grillo e Casaleggio se partiti come il PD mandano i loro dipendenti su internet a scrivere che Internet in politica non deve entrare perche’ e’ solo un hobby e c’e’ il pericolo di hackers che ti entrano ovunque e disturbano eventi essenziali per il paese.
Gia’ in Italia il progresso e’ sempre stato visto come una proposta, che puo’ essere accettata o rifiutata come se esistesse scelta, anziche’ una necessita’ assoluta, e grazie a Grillo e Casaleggio ed alla loro palese incompetenza questa sensazione si e’ ampliata.
Grillo, Casaleggio ed M5S hanno messo il paese nelle condizioni di giudicare Internet, dal momento che qualcuno si e’ erto a suo rappresentante. M5S pretende di essere “il partito di Internet”, quando ancora i suoi rappresentanti fanno un uso primitivo e dilettantistico dell’ IT.
Fa molto piacere sapere che DNV sia l’azienda di consulenza di Grillo e Casaleggio, ma viene da chiedersi una cosa. E viene da chiedersi perche’ io stesso sono certificato ISO27001, e mi sa tanto che nel furto dell’email della parlamentare grillina qualcuno si sia perso un pezzo per strada.
ISO27001 considera essenziale, tra le best practices, l’individuazione delle informazioni e delle risorse da proteggere, e l’individuazione delle risorse consisterebbe nel dire che se hai 163 parlamentari, forse e’ il caso di proteggere le loro comunicazioni.
Viene da chiedersi se a DNV sia mai stato chiesto di proteggere M5S, o se tutto quel che fanno sia proteggere la Casaleggio Associati intesa come azienda. Se le cose stanno cosi’ di per se’ non c’e’ nulla di illegale, ma viene da chiedersi allora chi sia incaricato di proteggere la posta elettronica dei parlamentari.
In teoria sono le forze dell’ordine, ma non potete pretendere che le forze dell’ordine piantonino qualsiasi Gennarino Esposito SRL voi scegliate per metterci la vostra posta. Per questo lo stato offre un servizio di posta elettronica da usarsi per i senatori e i parlamentari in genere. Non so quanto sia “piantonato” questo servizio, ma sicuramente spargere 163 parlamentari a spasso per provider di mezzo mondo, piu’ o meno eterogenei e piu’ o meno sicuri sui settaggi, mi sembra una follia, e in ogni caso non e’ tra le best practices.
Mi auguro davvero che DNV non sia mai stata incaricata di gestire la sicurezza delle comunicazioni dei parlamentari M5S, nel qual caso sarebbe un caso imbarazzante che, come auditor ISO27001, sarebbe mio dovere riportare a TUV Rheinlaind per chiedere una indagine formale , sino alla revoca. Ma sono certo che non sia mai stato chiesto il parere di DNV riguardo alle comunicazioni interne dei parlamentari di M5S: sono parlamentari, non soci dell’azienda.
In ogni caso, esiste fior di servizio di email online, anche gratuito, che permette di avere sicurezza a due step, notifica su SMS degli accessi, ed altro. Anche senza consigliare di usare una rete protetta con VPN , 163 caselle di email non sono certo un problema di capacita’, anche ammesso che ci siano anni ed anni di comunicazioni personali.
In questo senso, mi sa che i parlamentari di M5S straparlino tanto di Internet, siano parte di un partito che dice “La Rete, La Rete”, ma poi quando osserviamo come essi VIVONO la rete nel quotidiano li scopriamo niubbi.(2)
Sicuramente Yahoo avra’ i suoi flaws di sicurezza, ma dopo 20 anni di lavoro nell’ IT, la stragrande maggioranza delle volte tutto si riconduce a due tipi di attacco, ovvero Social Engineering e Dictionary attack, ovvero si tratta di password facili da indovinare, password conservate in maniera insicura o troppo fiduciosa.
Esistono poi comportamenti almeno deprecabili, come l’accesso da reti pubbliche non affidabili, l’abbandono del cellulare in giro, cliccare su “Accetta ogni certificato” su Android, e altre amenita’.
Sono certo che gli Hacker del PD abbiano usato tecniche di penetrazione sofisticatissime per avere le email grilline; non moriro’ certo di stupore se scoprissi pero’ che la password era o conteneva il nome del cane, lo stesso che magari appare sul profilo di Facebook.
Non morirei di stupore perche’ la vita digitale in Italia non e’ percepita come un asset. Se qualcuno rubasse la borsetta alla parlamentare probabilmente salterebbe fuori che era assicurata; ma solo pochissime entita’ assicurano davvero i dati , per poi scoprire quanto fossero importanti solo al momento in cui li perdono. Il GAP e’ di mentalita’, prima di tutto.
Andiamo al secondo punto, che e’ il piu’ ridicolo.
La Boldrini riceve minacce orribili via internet. Ora, a prescindere dal fatto che ogni personaggio pubblico riceve tonnellate di minacce di continuo, la cosa che stupisce e’ la reazione stupida e stereotipata della Boldrini.
Per prima cosa, invoca una legge che vieti di scrivere queste cose su internet. Bella mossa. Bella mossa, se l’intenzione e’ quella di rendere invisibili i tuoi nemici.
Personalmente, se io ricevessi minacce , come ho ricevuto in passato per questo blog, non solo non farei nulla per tagliare il canale, ma (come feci) cercherei di studiarne il linguaggio e capire se si tratti di una fazione ideologicamente compatta, e se possibile quale.
Se la Boldrini ha un milione di nemici che la vogliono impalare e lo scrivono su internet, mettere Internet a tacere non dara’ alcuna sicurezza alla Boldrini, semmai rendera’ invisibili i suoi nemici. Visto che in marina maneggiavo i siluri e so quando sia importante per un sommergibile non essere visto, e’ come se un comandante spegnesse i sonar per non sentirsi minacciato dai sommergibili.
Immagino che comandanti simili siano esistiti. Immagino che siano morti.
In realta’ sta succedendo una cosa che non si aspettavano: la rete puo’ portare a galla dei mal di pancia di fronte ai quali i politici, sino ad ora, hanno preferito calare la testa sotto la sabbia.
La realta’ e’ che i politici di Roma non hanno mai percepito prima, ed in prima persona, gli effetti del disastro economico e sociale che hanno causato. Abituati a “buongiorno dotto’ “, non si erano mai accorti che ormai sono milioni e milioni quelli che li ODIANO per quello che hanno fatto al paese.
Quando vidi Bersani che dopo essere stato insultato da folle immense nei comizi di Grillo andava a chiedere un’alleanza a M5S, la prima cosa che pensai fu “ma non lo hai capito che ti odiano e ti disprezzano, e rappresentano una popolazione che vi odia e vi disprezza?”.
La reazione della Boldrini di fronte a quanto legge via internet e’ la risposta:
NO, NON LO HANNO CAPITO.
E non solo non lo hanno capito, a quanto pare vogliono fingere di non aver sentito. La Boldrini riceve migliaia di minacce su Twitter, ove se la vogliono impalare in diversi modi e con pali di ogni dimensione, e cosa pensa?
Pensa che la polizia possa proteggerla.
Se avesse un atteggiamento razionale, capirebbe rapidamente che questi messaggi si possono CONTARE. Se arrivano da poche decine di sorgenti, allora e’ un gruppo di fanatici, e si , la polizia puo’ anche difenderti.
Ma se arrivano da MILIONI di persone, se alla fine stai assistendo ad una stima statistica, e la stima dice che un italiano su 4 ti ucciderebbe volentieri, la polizia non puo’ farci nulla.
Lo spavento che questi maiali stanno provando e’ lo spavento di chi e’ sempre vissuto con leccaculi pronti a dire sempre “buongiorno dotto’ ” e improvvisamente si accorge che fuori dalla sua reggia c’e’ una folla coi forconi.
Questi idioti non hanno ancora capito che Internet permette loro di vedere LA REALTA’, e che le persone che sono su internet esistono ANCHE FUORI, e se milioni di persone ti minacciano su internet, hai milioni di nemici FUORI da internet.
Censurare internet, metterli a tacere li fara’ scomparire? Li rendera’ meno temibili come minaccia? Li diminuira’ di numero?
No , li rendera’ semplicemente invisibili.
Ma questo e’ l’approccio del politicame italiano. Se un problema sale alle cronache, il problema e’ nelle cronache.Il politicante italiano distrugge la bilancia per dimagrire, nasconde la carta di identita’ per dimagrire, perche’ confonde il mezzo che informa di un problema col problema stesso.
E’ sintomo di quella democristianissima mentalita’ del sopire e troncare, troncare e sopire, che vuole sopprimere i problemi e le agitazioni delle folle semplicemente costringendo le persone a tapparsi in casa.
Ma gli italiani di oggi non sono contadini del 1600, e cancellare le tracce di una prossima insurrezione non serve a nulla. Se ci sono decine di migliaia di persone che scrivono minacce alla Boldrini, probabilmente ce ne sono altrettante che non scrivono minacce, ma le pensano, e per ovvie ragioni statistiche tra questi ci sono quelli che domani proveranno a sparare alla Boldrini(4).
Da persone razionali ci si aspettava che:
- Si analizzasse il fenomeno con lucidita’.
- Si concludesse che la societa’ italiana e’ sottoposta a tensioni sociali mai subite prima.
- Si concludesse che il pericolo di violenze, sommosse e altro sia molto alto.
- Se ne deducesse l’urgenza di fare qualcosa per far calare la tensione.
Al contrario, tutto quello che si fa e’ dire che la Boldrini sia minacciata “in quanto donna”, e mascherare da stalking un fenomeno che, per ovvie ragioni numeriche, dovrebbe essere caratterizzato come “segno di prossima insurrezione“.
Questi signori sono liberi di silenziare internet, ammesso che ne abbiano i mezzi, e di impedire a chiunque di inviare minacce alla Boldrini.
Ma se ci sono migliaia e migliaia di persone che ti odiano a morte, cara Boldrini, e ci sono 4 milioni di armi da fuoco in Italia, la statistica suggerisce che le tue probabilita’ di sopravvivenza siano in ribasso. Censurare internet ti rendera’ antiproiettile? Lo spero.
Rifaccio la domanda che dovrebbe pervenire ad ogni mente logica del paese:
La domanda e’: ma dopo aver ridotto una nazione al piu’ grande numero di giovani disoccupati della storia, alla piu’ grande moria di aziende della storia, davvero potete pensare che NON ci saranno atti di violenza? E’ sensato?
Davvero pensate di prendere gente che sino a fine anni 90 stava tutto sommato bene, con una classe media sviluppata e facoltosa, distruggere l’esistenza della classe media – peraltro quella che detiene piu’ armi registrate – e di non ottenere nessun risultato.
Pubblicate ogni giorno articoli su imprenditori che si suicidano, e non sospettate che prima o poi qualcuno puntera’ la pistola su altri anziche’ su se’ medesimo?
La verita’ e’ che hanno PAURA. Quella paura che uccide la mente. Quella paura che impedisce di rispondere razionalmente. Quella paura che ti costringe a non VEDERE quello che sta accadendo. Quella paura che ti porta a nasconderti in casa e chiudere le finestre.
In questo momento, sebbene dicano di avere vinto, HANNO PAURA. Un uomo che spara ad alcuni carabinieri, un carabiniere che rilascia interviste dicendo che capisce quei poveracci, un politico che porta in parlamento una rabbia cosi’ irriducibile da poter rifiutare privilegi , soldi, alleanze e potere, gli fanno PAURA.
L’idea che ci sia un 25% della popolazione, peraltro in crescita, che odia cosi’ tanto che i suoi rappresentanti rifiutano lo stesso denaro dei politici come fosse sporco e malvagio, che non accetta di andare al potere insieme a loro come se loro stessi fossero sporchi, malvagi e contagiosi, li SPAVENTA.
Se poi a questo seguono spari e tensioni, come quelle della notte dell’ “elezione” di Napolitano, hanno paura. Ebbero paura delle BR, ma le BR non erano milioni, non avevano il 25% in parlamento.
Il M5S e’ un partito pacifico, ma una intera classe sociale che prima era ceto medio ed oggi e’ sottoproletariato, non lo e’. E sono armati: sono ceto medio i cacciatori, sono ceto medio quelli che hanno armi per proteggere la casa e i propri beni, e tutte queste persone stanno finendo in miseria.
Il M5S e’ un partito pacifico, ma alle armi si arrivera’ con una probabilita’ estrema, e anche se Grillo finora ha fatto da sedativo, la sua azione non durera’ molto.
Di questo hanno paura.
Avendo paura, hanno perso la lucidita’.
E avendo perso la lucidita’, non riescono a capire: preferiscono NON VEDERE cio’ che li spaventa.
E allora la Boldrini censuri pure internet: i suoi nemici diventeranno invisibili, come tanti sottomarini. Auguri, signora. Lei si’ che e’ furba. E mi raccomando, continui a pensare che la minaccino perche’ “e’ una donna” e non perche’ avete devastato un paese.
Cosi’ si’ che mi faccio una buona opinione delle donne al potere: capiscono al volo, capiscono.
Uriel
(1)Tutti i delinquenti hanno sempre inventato un lato nobile del loro mestiere nel tentativo di autoassolversi. Della mafia sentirete dire che difendeva la gente , dei pirati che combattevano contro i tiranni, dei terroristi che sono “militanti”, eccetera. Niente di nuovo se anche questi si nascondono dietro qualche foglia di fico dal nome altisonante.
(2) E’ un neologismo italiano che deriva da “newbie” , termine che indica l’ultimo arrivato, inesperto e goffo.
(3)Per esempio, mi fu abbastanza semplice capire che a minacciarmi sino ad un anno fa fosse una loggia massonica che accetta anche donne Sono degli sciroccati della massoneria nera che si credono in missione per conto di Dio, del Duce, e non credo nemmeno capiscano la differenza tra le due cose.Mi fu semplice riconoscerli perche’ qualsiasi essere umano acquisisce il linguaggio od il gergo dell’ambiente che frequenta, e sia la massoneria che i fasci che gli ultracattolici , che gli sbirri, hanno linguaggi molto tipici.
(4) Visti i dati economici del paese, ci saranno disordini entro fine anno, e visto il numero di armi detenute dalle classi sociali piu’ colpite dalla crisi, e’ assai probabile che la cosa degeneri.
