Durante lo scorso fine settimana in North Carolina, lo stato dove vivo, solo un terzo delle pompe di benzina aveva carburante a disposizione. Un attacco informatico – realizzato attraverso un ransomware – ha provocato la chiusura della Colonial pipeline, un importante oleodotto che rifornisce i distributori di buona parte della costa est. Dovrebbe essere un campanello d’allarme per scongiurare una catastrofe futura. Ma probabilmente non sarà così.
Prima della pandemia mi sono occupata di sicurezza digitale, o meglio
dell’assenza di sicurezza digitale. Avevo paragonato la vulnerabilità del
settore tecnologico alla “costruzione di grattacieli improvvisati in una zona
sismica”. Da allora non è cambiato molto. In compenso le scosse cominciano a
farsi più numerose. La situazione nel mondo della sicurezza digitale è simile a
quella in cui si trovava la sanità globale prima della pandemia.
La serie Battlestar Galactica ci aiuta
a capire una delle somiglianze più importanti. I sistemi composti da reti sono
vulnerabili. La premessa della serie è che la Galactica sia l’unica nave della
flotta umana a essere sopravvissuta a un attacco dei Cylons (robot umanoidi),
semplicemente perché era vecchia e si preparava a diventare un museo, e per
questo motivo non era mai stata connessa alla rete. In termini pandemici la
Galactica è un’isola che nessuno può raggiungere.
La nostra infrastruttura digitale non è costruita pensando alla sicurezza.
Questo perché gran parte del sistema dipende da componenti vecchie, ma anche
perché sono mancati gli incentivi a privilegiare la sicurezza. Sarebbe stato
possibile costruire fin dall’inizio i sistemi operativi con strumenti come
il sandboxing, che permette a un programma di operare solo
in un’area sicura (la sandbox) in cui non
può entrare nessun altro. Se il programma è infettato, può danneggiare solo la
sua sandbox. Su un principio simile si basa l’air gapping, in cui elementi cruciali di una rete
vengono scollegati dall’infrastruttura generale. È molto difficile migliorare
la solidità di un sistema che è già completo e che è stato costruito senza
tenere conto della sicurezza. Inoltre siamo circondati da “debito tecnico”,
programmi che funzionano ma sono stati creati frettolosamente, spesso decenni
fa, e non avrebbero mai dovuto operare ai livelli in cui operano.
Nastro adesivo
Non modifichiamo questi elementi instabili perché sarebbe molto costoso e
difficile, e c’è il rischio di far crollare tutto. Questo significa che nel
nostro codice c’è molto nastro adesivo che tiene insieme diversi programmi e i
loro componenti. Spesso i programmi svolgono compiti per cui non sono stati
progettati. La nostra rete globale non è costruita pensando alla sicurezza
digitale. Come ho scritto nel 2018, la prima versione di internet avrebbe
dovuto collegare persone che già nutrivano una certa fiducia reciproca, come i
ricercatori universitari e i militari. La rete non ha mai avuto la solidità di
cui oggi avrebbe bisogno. Mentre gli utenti di internet sono passati da poche
migliaia a più di tre miliardi, i tentativi di migliorare la sicurezza sono
stati ostacolati dai costi, dalla scarsa lungimiranza e dai diversi interessi
in conflitto tra loro.
Anche tralasciando la sicurezza delle nostre reti, resta il fatto che gli
apparecchi che usiamo ogni giorno sono venduti con password scelte da una lista
prestabilita, per esempio password, 1234 e default. Nel 2019 ho
spiegato perché tutto questo ci renda vulnerabili, facendo l’esempio di come
i baby monitor – i dispositivi usati per monitorare
a distanza le attività dei neonati – sono usati per colpire le infrastrutture
(per esempio interrompendo le comunicazioni cellulari in Liberia) o per
censurare i giornalisti: “Gran parte dei nostri congegni dipende da hardware
generico, prodotto soprattutto in Cina e usato nei prodotti venduti in tutto il
mondo. Per fare il loro lavoro, questi apparecchi eseguono programmi e
contengono profili utente per la configurazione. Sfortunatamente molti
produttori hanno deciso di inserire password molto diffuse come password, 1234, admin, default o guest. In un attacco tanto semplice ma devastante,
qualcuno ha messo insieme 61 combinazioni tra username e password e ha creato
un programma che setaccia internet alla ricerca di prodotti che le usano. Una
volta individuati gli apparecchi, il programma si autoinstalla e cancella tutti
gli altri malware eventualmente
presenti, in modo da essere l’unico parassita. Il programma malevolo, chiamato
Mirai, accorpa milioni di apparecchi vulnerabili trasformandoli in un botnet, una rete di computer infetti. Quando tanti baby
monitor, stampanti e macchine fotografiche prendono di mira simultaneamente una
vittima, il bersaglio viene travolto e diventa inaccessibile, a meno che non
sia dotato di una protezione molto costosa”.
Spesso i problemi di questo tipo non vengono risolti, per via di quelle che
gli economisti definiscono “esternalità negative”: mettere in commercio
programmi o apparecchi di quel tipo è gratis, mentre tappare le falle è molto
costoso. Inoltre scegliere il percorso più costoso non porta benefici
immediati. È come chiedere alle fabbriche di scegliere tra inquinare
liberamente scaricando le scorie nell’atmosfera o in un fiume o installare un
costoso sistema di filtraggio, in un contesto in cui l’inquinamento sarebbe
comunque impercettibile e invisibile. Potete immaginare quale sia la scelta che
viene fatta oggi: le aziende non si preoccupano perché non sono costrette a
farlo.
In realtà, se si pensa a quanto siano diffusi questi problemi, è
sorprendente che gli attacchi informatici siano così poco frequenti. Com’è
successo con la pandemia, la nostra debolezza digitale è radicata in una rete
interconnessa caratterizzata da vulnerabilità combinate. Come i virus biologici
che ci seguono nei nostri viaggi, i malware e i virus digitali possono
spostarsi attraverso reti interconnesse (che oggi sono dovunque, visto che i
software stanno prendendo il controllo del mondo). In un sistema di questo
tipo, quando nasce un problema di solito se ne creano altri a cascata.
Prima della nascita delle criptovalute come i bitcoin non c’era modo di
monetizzare questi illeciti digitali. Nonostante l’apparenza di una sfrenata
libertà, infatti, il settore finanziario globale è regolato in modo adeguato.
Qualcuno si lascia ingannare dalla facilità con cui il denaro viene trasferito
all’interno del sistema, ma la verità è che riciclare grosse somme non è così
facile, soprattutto se le autorità sono decise a bloccare queste attività.
Naturalmente il riciclaggio esiste, soprattutto da parte dei grandi cartelli
della droga, ma si tratta di operazioni complesse che richiedono un grande
sforzo.
I bitcoin cambiano la situazione, o perlomeno creano incentivi per provare
a commettere crimini. Usare i bitcoin per trasferire grandi quantità di denaro
fuori dal sistema (per comprare prodotti o trasformarle in contante) non è
facile come si possa pensare. Le piccole somme non sono un problema, ma quelle
che renderebbero allettante la frode su larga scala difficilmente resterebbero
nascoste. In ogni caso è innegabile che i bitcoin alimentino la tentazione di
provare operazioni illecite, almeno per le piccole somme. Molti attacchi
attraverso i ransomware non puntano a grandi guadagni, e questo significa che i
bitcoin e il mondo della criptovaluta hanno fornito ai ransomware un modello
imprenditoriale adattabile, almeno nelle idee degli “imprenditori” del settore.
Risolvere questo problema è estremamente costoso. Una soluzione
richiederebbe un cambiamento delle priorità del governo statunitense. Avremmo
bisogno di un sistema normativo che possa favorire pratiche più adeguate oltre
a un aumento delle risorse dedicate. I programmi dovrebbero essere più
affidabili, le funzioni cruciali dovrebbero essere isolate e i controlli
esterni dovrebbero diventare la norma. Alcuni dei provvedimenti da adottare sul
fronte finanziario – individuare i meccanismi con cui le persone possono
riciclare il denaro usando le criptovalute ottenute attraverso attività
illecite – potrebbero essere facili dal punto di vista pratico, ma
solleverebbero anche molte domande delicate. Avremmo finalmente una
regolamentazione delle criptovalute? In questo modo emergerebbe anche il fatto
che le criptovalute sono diventate uno strumento speculativo? Questo
solleverebbe una questione ancora più importante, che riguarda il modo in cui
l’economia globale continua a produrre bolle ed enormi ondate speculative, come
quella che ha portato alla crisi finanziaria del 2008.
È un problema legato alla concentrazione della ricchezza globale e
all’assenza di controlli efficaci sulle sue conseguenze. Tutto questo per dire
che, esattamente come succede con il debito tecnico, le soluzioni improvvisate
per risolvere una crisi immediata non risolvono i problemi di fondo. Trovare un
rimedio all’insicurezza digitale significherebbe anche creare regole migliori
nel settore tecnologico, in modo che le esternalità negative diventino
problematiche interne delle diverse aziende, a cui spetterebbe la
responsabilità di trovare soluzioni ai problemi che hanno creato.
Lo scenario più probabile è che ci saranno cambiamenti sul fronte
finanziario (sarà più difficile riciclare grandi somme dalle criptovalute al
sistema finanziario legale) e su quello governativo (puoi convincere un altro
governo a non sferrare un attacco alla tua infrastruttura, ma farlo con
organizzazioni non governative è molto più complicato). Alcuni attacchi ransomware di alto livello potrebbero fornire
l’occasione per farne una sorta di monito, individuando i responsabili e
punendoli con condanne esemplari. Non è difficile come sembra, ma servono
risorse.
Tuttavia, se gli attacchi ransomware si
moltiplicheranno, le punizioni non sarebbero più un deterrente efficace, perché
la maggior parte dei responsabili sfuggirebbe comunque alla giustizia. Questo
creerebbe una catastrofica lotteria per gli utilizzatori dei ransomware: la maggior parte la farebbe franca, mentre
i pochi che verrebbero beccati riceverebbero punizioni durissime.
Anche in questo mi fa pensare all’epoca prima della pandemia, quando
sapevamo che esisteva una grave minaccia e che le nostre infrastrutture non
erano in grado di affrontarla. Tra il 2014 e il 2016 c’è stata la crisi
dell’ebola, in cui ci siamo preoccupati più dei rischi per gli statunitensi
(limitati) che della necessità di rafforzare la risposta globale. Nel 2003 c’è
stata l’epidemia di sars, che per poco non è diventata una pandemia. Ancora prima,
negli anni ottanta, c’era stata la catastrofe legata alla diffusione
dell’hiv/aids, segnata da un ritardo ingiustificabile nella disponibilità
globale di farmaci accessibili. Abbiamo fatto qualcosa per risolvere le carenze
evidenziate da quelle esperienze? Assolutamente no. Nel frattempo nella mia
Honda Civic c’è ancora benzina, quindi per il momento va tutto bene. Ma se
penso al futuro del nostro mondo interconnesso non sono per niente tranquilla.
(Traduzione di Andrea Sparacino)
Questo articolo è stato pubblicato dal sito dell’Atlantic.
Nessun commento:
Posta un commento