Viviamo nell’era dell’insicurezza digitale
Durante lo scorso fine settimana in North Carolina, lo stato dove vivo, solo un terzo delle pompe di benzina aveva carburante a disposizione. Un attacco informatico – realizzato attraverso un ransomware – ha provocato la chiusura della Colonial pipeline, un importante oleodotto che rifornisce i distributori di buona parte della costa est. Dovrebbe essere un campanello d’allarme per scongiurare una catastrofe futura. Ma probabilmente non sarà così.
Prima della pandemia mi sono occupata di sicurezza digitale, o meglio dell’assenza di sicurezza digitale. Avevo paragonato la vulnerabilità del settore tecnologico alla “costruzione di grattacieli improvvisati in una zona sismica”. Da allora non è cambiato molto. In compenso le scosse cominciano a farsi più numerose. La situazione nel mondo della sicurezza digitale è simile a quella in cui si trovava la sanità globale prima della pandemia.
La serie Battlestar Galactica ci aiuta a capire una delle somiglianze più importanti. I sistemi composti da reti sono vulnerabili. La premessa della serie è che la Galactica sia l’unica nave della flotta umana a essere sopravvissuta a un attacco dei Cylons (robot umanoidi), semplicemente perché era vecchia e si preparava a diventare un museo, e per questo motivo non era mai stata connessa alla rete. In termini pandemici la Galactica è un’isola che nessuno può raggiungere.
La nostra infrastruttura digitale non è costruita pensando alla sicurezza. Questo perché gran parte del sistema dipende da componenti vecchie, ma anche perché sono mancati gli incentivi a privilegiare la sicurezza. Sarebbe stato possibile costruire fin dall’inizio i sistemi operativi con strumenti come il sandboxing, che permette a un programma di operare solo in un’area sicura (la sandbox) in cui non può entrare nessun altro. Se il programma è infettato, può danneggiare solo la sua sandbox. Su un principio simile si basa l’air gapping, in cui elementi cruciali di una rete vengono scollegati dall’infrastruttura generale. È molto difficile migliorare la solidità di un sistema che è già completo e che è stato costruito senza tenere conto della sicurezza. Inoltre siamo circondati da “debito tecnico”, programmi che funzionano ma sono stati creati frettolosamente, spesso decenni fa, e non avrebbero mai dovuto operare ai livelli in cui operano.
Nastro adesivo
Non modifichiamo questi elementi instabili perché sarebbe molto costoso e difficile, e c’è il rischio di far crollare tutto. Questo significa che nel nostro codice c’è molto nastro adesivo che tiene insieme diversi programmi e i loro componenti. Spesso i programmi svolgono compiti per cui non sono stati progettati. La nostra rete globale non è costruita pensando alla sicurezza digitale. Come ho scritto nel 2018, la prima versione di internet avrebbe dovuto collegare persone che già nutrivano una certa fiducia reciproca, come i ricercatori universitari e i militari. La rete non ha mai avuto la solidità di cui oggi avrebbe bisogno. Mentre gli utenti di internet sono passati da poche migliaia a più di tre miliardi, i tentativi di migliorare la sicurezza sono stati ostacolati dai costi, dalla scarsa lungimiranza e dai diversi interessi in conflitto tra loro.
Anche tralasciando la sicurezza delle nostre reti, resta il fatto che gli apparecchi che usiamo ogni giorno sono venduti con password scelte da una lista prestabilita, per esempio password, 1234 e default. Nel 2019 ho spiegato perché tutto questo ci renda vulnerabili, facendo l’esempio di come i baby monitor – i dispositivi usati per monitorare a distanza le attività dei neonati – sono usati per colpire le infrastrutture (per esempio interrompendo le comunicazioni cellulari in Liberia) o per censurare i giornalisti: “Gran parte dei nostri congegni dipende da hardware generico, prodotto soprattutto in Cina e usato nei prodotti venduti in tutto il mondo. Per fare il loro lavoro, questi apparecchi eseguono programmi e contengono profili utente per la configurazione. Sfortunatamente molti produttori hanno deciso di inserire password molto diffuse come password, 1234, admin, default o guest. In un attacco tanto semplice ma devastante, qualcuno ha messo insieme 61 combinazioni tra username e password e ha creato un programma che setaccia internet alla ricerca di prodotti che le usano. Una volta individuati gli apparecchi, il programma si autoinstalla e cancella tutti gli altri malware eventualmente presenti, in modo da essere l’unico parassita. Il programma malevolo, chiamato Mirai, accorpa milioni di apparecchi vulnerabili trasformandoli in un botnet, una rete di computer infetti. Quando tanti baby monitor, stampanti e macchine fotografiche prendono di mira simultaneamente una vittima, il bersaglio viene travolto e diventa inaccessibile, a meno che non sia dotato di una protezione molto costosa”.
Spesso i problemi di questo tipo non vengono risolti, per via di quelle che gli economisti definiscono “esternalità negative”: mettere in commercio programmi o apparecchi di quel tipo è gratis, mentre tappare le falle è molto costoso. Inoltre scegliere il percorso più costoso non porta benefici immediati. È come chiedere alle fabbriche di scegliere tra inquinare liberamente scaricando le scorie nell’atmosfera o in un fiume o installare un costoso sistema di filtraggio, in un contesto in cui l’inquinamento sarebbe comunque impercettibile e invisibile. Potete immaginare quale sia la scelta che viene fatta oggi: le aziende non si preoccupano perché non sono costrette a farlo.
In realtà, se si pensa a quanto siano diffusi questi problemi, è sorprendente che gli attacchi informatici siano così poco frequenti. Com’è successo con la pandemia, la nostra debolezza digitale è radicata in una rete interconnessa caratterizzata da vulnerabilità combinate. Come i virus biologici che ci seguono nei nostri viaggi, i malware e i virus digitali possono spostarsi attraverso reti interconnesse (che oggi sono dovunque, visto che i software stanno prendendo il controllo del mondo). In un sistema di questo tipo, quando nasce un problema di solito se ne creano altri a cascata.
È innegabile che i bitcoin alimentino la tentazione di provare operazioni illecite, almeno per le piccole somme
Prima della nascita delle criptovalute come i bitcoin non c’era modo di monetizzare questi illeciti digitali. Nonostante l’apparenza di una sfrenata libertà, infatti, il settore finanziario globale è regolato in modo adeguato. Qualcuno si lascia ingannare dalla facilità con cui il denaro viene trasferito all’interno del sistema, ma la verità è che riciclare grosse somme non è così facile, soprattutto se le autorità sono decise a bloccare queste attività. Naturalmente il riciclaggio esiste, soprattutto da parte dei grandi cartelli della droga, ma si tratta di operazioni complesse che richiedono un grande sforzo.
I bitcoin cambiano la situazione, o perlomeno creano incentivi per provare a commettere crimini. Usare i bitcoin per trasferire grandi quantità di denaro fuori dal sistema (per comprare prodotti o trasformarle in contante) non è facile come si possa pensare. Le piccole somme non sono un problema, ma quelle che renderebbero allettante la frode su larga scala difficilmente resterebbero nascoste. In ogni caso è innegabile che i bitcoin alimentino la tentazione di provare operazioni illecite, almeno per le piccole somme. Molti attacchi attraverso i ransomware non puntano a grandi guadagni, e questo significa che i bitcoin e il mondo della criptovaluta hanno fornito ai ransomware un modello imprenditoriale adattabile, almeno nelle idee degli “imprenditori” del settore.
Risolvere questo problema è estremamente costoso. Una soluzione richiederebbe un cambiamento delle priorità del governo statunitense. Avremmo bisogno di un sistema normativo che possa favorire pratiche più adeguate oltre a un aumento delle risorse dedicate. I programmi dovrebbero essere più affidabili, le funzioni cruciali dovrebbero essere isolate e i controlli esterni dovrebbero diventare la norma. Alcuni dei provvedimenti da adottare sul fronte finanziario – individuare i meccanismi con cui le persone possono riciclare il denaro usando le criptovalute ottenute attraverso attività illecite – potrebbero essere facili dal punto di vista pratico, ma solleverebbero anche molte domande delicate. Avremmo finalmente una regolamentazione delle criptovalute? In questo modo emergerebbe anche il fatto che le criptovalute sono diventate uno strumento speculativo? Questo solleverebbe una questione ancora più importante, che riguarda il modo in cui l’economia globale continua a produrre bolle ed enormi ondate speculative, come quella che ha portato alla crisi finanziaria del 2008.
È un problema legato alla concentrazione della ricchezza globale e all’assenza di controlli efficaci sulle sue conseguenze. Tutto questo per dire che, esattamente come succede con il debito tecnico, le soluzioni improvvisate per risolvere una crisi immediata non risolvono i problemi di fondo. Trovare un rimedio all’insicurezza digitale significherebbe anche creare regole migliori nel settore tecnologico, in modo che le esternalità negative diventino problematiche interne delle diverse aziende, a cui spetterebbe la responsabilità di trovare soluzioni ai problemi che hanno creato.
Lo scenario più probabile è che ci saranno cambiamenti sul fronte finanziario (sarà più difficile riciclare grandi somme dalle criptovalute al sistema finanziario legale) e su quello governativo (puoi convincere un altro governo a non sferrare un attacco alla tua infrastruttura, ma farlo con organizzazioni non governative è molto più complicato). Alcuni attacchi ransomware di alto livello potrebbero fornire l’occasione per farne una sorta di monito, individuando i responsabili e punendoli con condanne esemplari. Non è difficile come sembra, ma servono risorse.
Tuttavia, se gli attacchi ransomware si moltiplicheranno, le punizioni non sarebbero più un deterrente efficace, perché la maggior parte dei responsabili sfuggirebbe comunque alla giustizia. Questo creerebbe una catastrofica lotteria per gli utilizzatori dei ransomware: la maggior parte la farebbe franca, mentre i pochi che verrebbero beccati riceverebbero punizioni durissime.
Anche in questo mi fa pensare all’epoca prima della pandemia, quando sapevamo che esisteva una grave minaccia e che le nostre infrastrutture non erano in grado di affrontarla. Tra il 2014 e il 2016 c’è stata la crisi dell’ebola, in cui ci siamo preoccupati più dei rischi per gli statunitensi (limitati) che della necessità di rafforzare la risposta globale. Nel 2003 c’è stata l’epidemia di sars, che per poco non è diventata una pandemia. Ancora prima, negli anni ottanta, c’era stata la catastrofe legata alla diffusione dell’hiv/aids, segnata da un ritardo ingiustificabile nella disponibilità globale di farmaci accessibili. Abbiamo fatto qualcosa per risolvere le carenze evidenziate da quelle esperienze? Assolutamente no. Nel frattempo nella mia Honda Civic c’è ancora benzina, quindi per il momento va tutto bene. Ma se penso al futuro del nostro mondo interconnesso non sono per niente tranquilla.
(Traduzione di Andrea Sparacino)
Questo articolo è stato pubblicato dal sito dell’Atlantic.