In questi ultimi tempi, forse a causa dell’incidente tra Apple ed FBI sulla decodifica dei dati di un iPhone di un pluriomicida, la stampa ed il web mondiali hanno finalmente deciso di trattare l’argomento sicurezza informatica in modo più approfondito.
Ho una certa soddisfazione nel leggere che chi di dovere, ossia i governi e le aziende più importanti del mondo, siano ormai costretti a stanziare maggiori fondi per proteggerci da pericoli sempre più concreti.
Il testo che più di ogni altro mi ha introdotto nel dibattito sulla sicurezza digitale è sicuramente The Myths of Security, di John Vega. In questo libro, un po’ datato ormai, si delineava una netta separazione tra buoni e cattivi e si provava a dare un identikit ai due gruppi di individui, cercando anche di capire perché il cattivo avesse deciso di diventarlo. Accanto a questo, venivano sistematicamente smentiti alcuni miti radicati nell’immaginario collettivo, grazie soprattutto a serie TV americane, dove si farnetica tuttora di un leggendario firewall del governo americano, naturalmente bucabile dall’hacker russo o iraniano di turno, in vista di una guerra nucleare (naturalmente poi sventata da hacker buoni, ancora più abili).
Portando la materia su piani più quotidiani, è suonato però l’allarme. Oggi, chiunque voglia perdere un po’ di tempo della sua giornata con programmi accessibili a tutti, può effettivamente creare danni economici ed esistenziali del tutto sconosciuti fino ad ora a privati ed aziende.
C’è un esempio, tra i tanti che potrei citare, che mi ha personalmente colpito e di cui vorrei rendere partecipe il maggior numero di persone.
Ad esempio, non tutti sanno che Google, nella sua foga di indicizzare contenuti sul web, mette a disposizione documenti di tutti i tipi, contenenti milioni di dati sensibili. Naturalmente tali contenuti sono piuttosto difficili da trovare con una ricerca normale, ma sono recuperabili in modo semplice con i cosiddetti dorks, cioè ricerche a filtri messe a disposizione da Google.
Cercare filetype:xls username password email su Google, solo per fare un esempio reale, permette di cercare tutti quei file Excel contenenti username, password ed email. Con un po’ di pazienza e non fermandosi ai primi risultati, si possono scaricare dei file Excel di istituzioni ed aziende, con gli accessi dei loro sistemi, per poi prenderne possesso. Ma il bello, anzi il brutto, è che ci sono milioni di dorks simili, resi possibili da Google, tant’è che ne esiste un database praticamente infinito, che spesso sconfina nell’illegalità più palese (come nel caso dei dorks dedicati alla ricerca dei numeri di carte di credito).
Colpa di Google? No, la colpa è di chi mette sul proprio spazio FTP tali informazioni, senza criptarle (posto che serva davvero mettere nello spazio pubblico FTP certe informazioni).
Ma quello che si evince è che basta davvero poco (qual è la percentuale di individui che conosce questo specifico problema?) per cadere nella rete di malintenzionati, che potrebbero poi chiederci un riscatto o semplicemente vandalizzare i nostri dati e, perché no, le nostre relazioni.
Come dicevo, ci sono centinaia di esempi che richiedono al malintenzionato pochi e semplici passi per creare dei danni irreparabili. Si va dall’avvelenamento della rete WIFI, per intenderci, all’installazione di keylogger, fino alla tecnica del phishing (che è lungi dall’essere debellata). E non solo: è anche per come è strutturata la rete, senza neanche un intervento del cattivo di turno, che quest’ultima non rappresenta un posto sicuro di per sé. Chi impedirà, se non un costante controllo e dei tool adatti, ai nostri figli, magari di appena 4-5 anni, di approcciare al sesso aprendo la home page di youporn, con conseguenze devastanti sulla propria crescita?
Due ultime considerazioni: se è vero che per offendere serve davvero poco, anche difendersi non richiede uno sforzo troppo oneroso in termini di tempo e risorse. Nel caso dei dorks, ad esempio, una piccola attenzione nel trattare il proprio spazio FTP è già più che sufficiente a stare al riparo da brutte sorprese.
Ed infine: John Vega nel suo capolavoro si chiedeva chi fossero i cattivi. Come detto, un cattivo ha spesso una forte motivazione economica (una campagna di phishing su milioni di utenti porta alla pesca di alcune vittime, con certezza). Ma è ancora più preoccupante chiedersi: dove sono i cattivi? Ebbene, mediante l’uso accorto di proxy un utente non è di fatto localizzabile. Specialmente se tali proxy sono dislocati in Paesi dove le rogatorie internazionali sono pratiche inesistenti o estremamente difficili, l’identità di chi attacca è lungi dall’essere individuata. Come dire: delinquere oggi sul web non è poi così rischioso, purtroppo.