L’epoca di una internet sicura, luogo di social e divertimenti, sta finendo. Anzi, è già finita. Lo dice l’americano Bruce Scheiner, uno dei massimi esperti mondiali di sicurezza, papà della moderna crittografia e da sempre alfiere di sistemi sicuri oltre che spietato realista quando analizza la società moderna: le sue parole scomode poi si rivelano invariabilmente profetiche.
La Cassandra-Schneier spiega che oggi la pervasività del computer è tale che saltano tutti i parametri. E per una serie di ragioni l’insicurezza diventa la norma. In una audizione davanti al parlamento americano di qualche giorno fa ha spiegato perché.
“Come ha notato il presidente del comitato – ha detto Schneier rispondendo alla relazione introduttiva del presidente della commissione parlamentare “Energia e Commercio” – ci sono computer in qualsiasi cosa. Ma voglio suggerire un altro modo di pensare l’idea che oggi tutto sia diventato un computer: questo non è un telefono, ma un computer che fa le telefonate. Un frigorifero è in realtà un computer che tiene le cose al freddo. Un Bancomat è in realtà un computer con dei soldi dentro. La vostra auto non è un apparecchio meccanico con un computer. Invece, è un computer con quattro ruote e un motore. E questa è la Internet of Things e questo è quello che ha provocato l’attacco DDOS di cui stiamo parlando”.
Il riferimento di Schneier è all’attacco DDOS di alcune settimane fa basato su una legione di apparecchi della Internet of Things come termostati intelligenti telecamere a circuito chiuso che sono state compromesse e usate come bot. Ma perché la rete è diventata così difficile? Schneier aveva già spiegato che, per quanto riguarda gli apparecchi della Internet of Things, né i produttori né gli utenti hanno interesse a renderli sicuri e quindi dovrebbe intervenire il governo con una normativa ad hoc. Ma la cosa è comunque più complessa di così.
Ci sono tre motivi, essenzialmente: attaccare è più facile che difendere; ci sono molte vulnerabilità nelle interconnessioni e infine internet rende più pericolosi gli attaccanti. Senza contare che le logiche digitali non si applicano automaticamente in contesti diversi.
Vediamo i punti. Attaccare è più facile che difendere perché la rete e i suoi sistemi sono sempre più complessi. E la complessità è il nemico della sicurezza. Per computer e Internet la cosa è ancora più vera. Chi difende deve essere sicuro che nessun elemento di un sistema estremamente complesso sia in alcun modo violabile. Chi attacca basta che trovi una singola debolezza e ha vinto.
Connessioni: per motivi diversi abbiamo collegato tutto a tutto. I sistemi di pagamento sono collegati ai siti di ecommerce che sono collegati ai motori di ricerca e ai nostri sistemi di scelta. Ci sono decine se non centinaia di connessioni tra sistemi diversi. Basta che ci sia una debolezza in uno di questi sistemi, una password scelta male da una parte, per aprire la via a tutti gli altri sistemi connessi, non importa quanto sicuri.
La rete rende più efficaci gli attaccanti. È infatti diventato sempre più facile costruire le reti di computer zombie, le botnet, che permettono ad esempio di fare attacchi DDOS. Ce ne sono un paio di dozzine con dentro centinaia di milioni di apparecchi. E non solo sono facili da costruire, ma ancora più facili da usare perché si possono affittare nella dark web.
Infine, il ragionamento che le economie di un ambito tecnologico non percolino automaticamente negli altri è la spiegazione del perché nel mondo delle IoT non c’è quell’investimento da parte dei produttori, richiesto anche dai clienti, per rendere gli apparecchi più sicuri, come invece capita nel mondo dei personal computer e degli smartphone e tablet. La sicurezza in quell’ambito è un problema che prima o poi dovrà essere affrontato.