In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Il caso

Attacco al FBI: quando la colpa non è dei criminali

di Andrea Monti
Attacco al FBI: quando la colpa non è dei criminali
Tutto è nato da un errore di configurazione dei propri sistemi
3 minuti di lettura

Il FBI, per via di un errore di configurazione dei propri sistemi, ha consentito che un utente vi accedesse abusivamente e li usasse per inviare messaggi non autorizzati. Nel più puro zeitgeist il tutto si è risolto in un algido comunicato stampa (https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-incident-involving-fake-emails), ma la ricostruzione tecnica dell’evento ripropone per l’ennesima volta il tema dell’incapacità di gestire i livelli di complessità dell’infosfera e della sua conseguente vulnerabilità intrinseca. In sintesi: abbiamo costruito un colosso che, a differenza di quello di Rodi, non ha solo i piedi fatti di argilla.

È poco importante, nel caso specifico, che la vulnerabilità dei sistemi del FBI sia stata sfruttata per inviare SPAM e non (stando alle dichiarazioni pubbliche) per rubare informazioni impersonando qualche funzionario o commettere azioni più gravi. Come è poco importante che l’accesso abusivo sia stato possibile per un serio errore di design dell’interazione client-server nella fase di registrazione sul portale attaccato, in base al quale —come dichiara l’apparente anonimo autore del fatto  — Basically, when you requested the confirmation code was generated client-side, then sent to you via a POST Request ... This post request includes the parameters for the email subject and body content. Needless to say, this is a horrible thing to be seeing on any website ... I’ve seen it a few times before, but never on a government website, let alone one managed by the FBI.

Errori del genere accadono di continuo e sono fra le cause principali di “incidenti” che solo in minima parte raggiungono gli onori della cronaca. Ma, troppo spesso, questi eventi non sono causati da “errori” e non possono essere chiamati “incidenti” nel senso che sono colpa del destino cinico e baro. Sono frutto di negligenze causate da un malcostume diffuso nella progettazione di software e nella gestione delle piattaforme, oltre che del pregiudizio culturale di politici e amministratori in base al quale “i computer sono una roba da tecnici”.

Dunque, come scriveva Alan Cooper, The Inmates are Running the Asylum  i matti stanno gestendo il sanatorio, o come cantavano gli Alan Parson Project, We let the blind man lead the way too long.

Quando un difetto di un programma non è un difetto ma una funzionalità, quando la progettazione di una rete è fatta “perché così è meglio”, o quando una piattaforma è messa in produzione senza preoccuparsi di verificare se funzioni o se sia sicura, questo non ha nulla a che vedere con “sviste” o “colpi bassi del destino”. Eppure, questa è la narrativa che caratterizza i commenti a casi del genere. La reazione oramai pavloviana a questi eventi, infatti, è “chiedere scusa”, “annunciare l’adozione di nuove misure” e —nella variante italiana— “denunciare alla polizia postale” e “segnalare al Garante (dei dati personali)”. Per poi tirare avanti più o meno come prima, sperando che la “sfortuna” si accanisca su qualcun altro e che non arrivi qualche ispezione.

Se, tuttavia, un’azienda privata può permettersi questo (pragmatico ma rischioso) approccio, possiamo accettare che le istituzioni pubbliche facciano lo stesso?

L’Italia ha una tradizione non brillantissima quando si tratta di sicurezza delle piattaforme pubbliche. Ha reagito, in particolare applicando il Regolamento sulla protezione dei dati personali, burocratizzando gli adempimenti in nome di una “sicurezza di carta”, e creando “comitati”, “tavoli di lavoro” e “protocolli di collaborazione” dei quali, dopo il lancio stampa, nessuno ha più sentito parlare. La risposta nazionale è sistematicamente chiudersi a riccio e aspettare che passi la buriana (qualcuno ha aggiornamenti sul caso Regione Lazio?)

C’è, dunque, una differenza sostanziale con l’approccio degli USA —che pur con tutte le perplessità del caso— quando è necessario vanno gloves off  e non si lasciano imbrigliare da cavilli.

Tuttavia, il punto è, come dimostrano i fatti, che i guanti se li sono tolti pure i criminali —quelli comuni e quelli ufficiosamente “sponsorizzati” da Paesi ostili. Di conseguenza, e il caso FBI lo dimostra chiaramente, la prospettiva cambia del tutto. Dal “guardia e ladri”, dove le azioni erano circoscritte ad ambiti limitati, siamo passati a un conflitto asimmetrico quanto si vuole, ma pur sempre conflitto nel quale gli autori di atti illeciti reagiscono o addirittura compiono azioni preventive. E in ogni conflitto conta soltanto un cosa: vincere, a qualsiasi costo, con qualsiasi mezzo.

Questo cambio di prospettiva porta con sé l’assottigliamento dei confini fra la caccia ai criminali (che ha le sue regole giuridiche) e l’eliminazione dell’avversario (che richiede solo di ottenere il risultato). Entrambi gli approcci hanno senso nei contesti di riferimento —aule di giustizia o teatri di guerra— ma se si confondono i ruoli o si scambiano le parti, le conseguenze possono essere devastanti.

 

Leggi anche

© Riproduzione riservata