Grazie a Giuliano scopro questo interessante blog: quello della Homeland Security americana.

Come a dire che i tempi della security through obscurity sono finiti?

Forse è solo che, come andiamo dicendo da tempo, la sicurezza è sempre più frutto di scambio di informazioni (il blog) e della tempestività nel farle circolare (vedi l'uso di Twitter). Vale la pena di pensarci su.

Oggi pomeriggio tra le 16 e le 17 Radio 24 dedica uno spazio alla sicurezza informatica prendendo spunto dalla vicenda Google-Cina.

Mi hanno intervistato come presidente di Clusit e ho detto che lo scontro è l'evidenza di due "armi" che entrano in gioco: l'informazione e l'econimia. Che l'informazione sia un'arma strategica lo diceva il generale Sun Tzu 2500 anni fa nel suo trattato L'Arte della Guerra e che le contese economiche siano l'essenza delle guerre è altrettanto noto.

L'attacco a Google e alle altre aziende non è solo una battaglia ideale per la difesa dei diritti degli individui e della privacy, argomento certamente sul tappeto, (dall'altra parte Echelon non era certo un sistema per ascoltare musica) è una battagliacon forti implicazioni di natura economica combattuta con l'arma dell'informazione.

Che i paesi, anche alleati, abbino attività spionistiche o non proprio "gentili" sotto l'ufficialità delle relazioni "ottime e costruttive" è altrettanto cosa ovvia come è ovvio che scatta l'incidente diplomatico quando per dabbenaggine o per il funzionamento dei sistemi di intercettazione, la cosa viene a galla.

Dall'attacco all'Estonia del 2007 a quello alla Georgia e all'Ossezia del 2008 si ha l'evidenza che la rete è infrastruttura critica e vitale di un paese e che una compromissione dei sistemi di informazione è parte di qualunque piano militare.

Dalle guerre tecnologiche in Medio Oriente in cui molti dei successi e degli insuccessi sono dovuti anche al predominio o alla sconfitta dei rispettivi sistemi informativi, si passa oggi a un attacco su larga scala a imprese che sono simbolo oltre che fonte di flussi monetari importanti per un paese.

Nel "caso Cinese" c'è stato un utilizzo di tecniche molto raffinate di hacking a cui peraltro Google ha risposto bene e da qui la scoperta del caso e la sua trasformazione in incidente diplomatico, nel caso Estone invece c'era stato l'utilizzo pesante delle BotNet, e cioè dell'attacco simultaneo di migliaia di computer che inconsapevolmente diventavano parte dello schieramento avverso.

Due modi differenti, un unico scenario: la rete è un sistema vitale che va difeso con iniziative specifiche in cui, tra l'altro, i singoli utenti sono direttamente protagonisti e devono essere consapevoli del fatto che le loro macchine devono essere protette per difendere sè stessi e impedire attacchi ad altri.

In Europa ci sono iniziative importanti in questo senso, in Italia, che ricordo ha per tre volte vinto con le proprie università il campionato mondiale di hacking Capture The Flag, forse è il momento di darsi una mossa e di fare buon uso del grande talento di cui disponiamo.

Chi vorrà riascoltare l'intervista potrà farlo da lundedì tramite i podcast di Radio24.

Molto interessante il comunicato di Google che alla luce di continui attacchi a suoi sistemi, dichiara che è disposta a chiudere Google.cn se non avrà risposte convincenti dalle autorità cinesi.

Interessante anche il fatto che a fronte di attacchi e intrusioni Google dichiari che la sua strategia è quella di condividere il maggior numero di informazioni possibili sull'attacco subito (nel comunicato ci sono i link per i dettagli) ma soprattutto che intende togliere qualunque censura ai propri motori di ricerca.

Al Capture The Flag, la competizione di sicurezza infornatica tra le università di tutto il mondo.

Uno dei team italiani, quello dell' Università degli Studi di Milano è arrivato terzo dietro all'università di Amburgo e a quella di Vienna.

E' comunque un piazzamento "da podio" per chi ha nel palmares due primi posti ed è la riconferma che gli italiani sono davvero bravi in materia di sicurezza informatica.

C'è un malware che sta infettando migliaia e migliaia di pagine web e parlandone con Raoul Chiesa che è con me nel direttivo di CLUSIT, mi diceva che la cosa è maledettamente seria e se lo dice lui, è bene drizzare le orecchie.

Avevamo già avuto segnalazioni di pagine web con codice nascosto anche su siti che seguiamo direttamente ma questo attacco ora ha superato le 300.000 pagine infette e crescerà come il fuoco della savana alimentato dal vento.

Non ci stanchiamo di dire che le informazioni, le reti che ne consentono la distribuzione e la fruizione, sono risorse preziose e vitali e vanno tutelate e protette. Noi siamo altrettanto preziosi, lo sono le nostre informazioni, i nostri sistemi di comunicazione, le macchine nostre e di chi ci sta intorno.

Non bisognerebbe aspettare un incidente, o uno scoop televisivo, per decidere di proteggere i nostri archivi o per tenere controllata la situzione dei files sulle nostre macchine.

Mi sono imbattuto in Thatsnotcool.com un sito sostenuto da alcune associazioni americane contro la violenza che parla ai giovni di privacy, di rispetto e i come ci si difende dai tentativi di abuso in rete.

Oltre che utilizzare in modo combinato le tecnologie del web e del video, mi pare significativo il formato, molto più accattivante di tanto slideware che vedo ancora in giro e se vogliamo parlare ai teenagers di sicurezza e di utilizzo responsabile della rete dobbiamo davvero pensare a nuovi modi e nuovi sistemi espressivi. Anche il forum è disegnato in modo da "non sembrare un forum" ma un semplice invito a non tenersi dentro le cose, a denunciare i tentativi di abuso.

Basta guardare questo video e domandarsi: e se cambiassimo linguaggio?

Il Clusit ha appena pubblicato un nuovo Quaderno sul tema della sicurezza nei sistemi di pagamento con carte di credito.

Per il momento la consultazione del quaderno è riservata ai soci. Per tutti è disponibile invece una versione abstract. Dopo 3 mesi il documento diventerà pubblico.

Con la crescente popolarità dei computer Apple, la situazione che li rende meno attaccabili da virus e malware è in evoluzione: certo il sistema operativo è molto più solido di altri ma sappiamo anche che nessuno può dirsi sicuro e se lo facesse sarebbe immediatamente da considerare insicuro proprio per questo.

Il pericolo è anche che molti utenti Mac si ritengono invulnerabili e compiono allegramente sciocchezze che sono "sicuramente" imperdonabili e il fatto che il loro numero aumenti non dovrebbe tranquillizzare.

Interessante a questo proposito un articolo di The Inquirer che cita una presentazione di Sophos alla conferenza Virus Bulletin 2009 a Ginevra in cui ha riportato un'attività di un gruppo Russo che offre 43 centesimi per ogni indirizzo di Mac compromesso: è tanto? è poco? quanto vale uno "scalpo" di un computer Mac infettato?

Poco se si considera che ancora la quota di mercato dei Mac è molto bassa ma chi si occupa di sicurezza sa che dall'osservazione di segnali marginali si possono cogliere trend che poi diventano rilevanti.

Non c'è dubbio che la crescente popolarità dei portatili Apple e il loro utilizzo in ambienti ad alto contenuto informativo, li renderà un bersaglio interessante ben al di là delle percentuali delle quote di mercato.

Rilancio dal Blog del CLUSIT la notizia che iI Garante per la protezione dei dati personali ha integrato e parzialmente modificato il provvedimento relativo agli "amministratori di sistema" e il termine per l'adozione delle prescrizioni è stato prorogato al 15 dicembre.

E' vero, in queste pagine volevo parlare anche di informatica civica e non solo di sicurezza ma non ne ho avuto mai l'occasione o almeno non quella giusta per cercare di dire cose non banali.

Un incidente all'acquedotto di San Felice del Benaco me ne dà l'opportunità perchè mi pare ci siano ben legati sia i temi della sicurezza che quelli della sovranità che i cittadini possono esprimere con i nuovi sistemi di rete sociale.

Da tempo stiamo richiamando l'attenzione sui temi del controllo delle infrastrutture critiche e sul fatto che sono soprattutto gli enti locali territoriali ad essere i più esposti ad incidenti per non parlare di veri e propri attacchi. Poco importa se si tratta di un guasto o di un attto deliberato: quella che è in gioco è la vita dei cittadini, e che si tratti dell'acquedotto o del catasto o del file con i nomi dei bambini al Centro Ricreativo, è altrettanto ininfluente.

L'esempio di Momo (al secolo Maurizio Molinari) che racconta, informa, si indigna ma non banalizza, è una chiave importante per capire come attraverso le reti civiche, i blog, i migliaia di messaggi i cittadini possono essere "sistemi di sorveglianza" e parte integrante del reticolo che protegge i nostri sistemi critici e non visti, come spesso accade, come antagonisti o peggio come spettatori a cui bisogna sempre nascondere la verità.

In questa storia ci sono a mio parere tre storie

1) I sistemi tecnologici che governano la nostra vita sono sempre più ”infrastrutture critiche” e, specialmente negli enti locali territoriali occorre una consapevolezza e responsabilità che non esiste e che va creata (ne stiamo parlando da anni e ora è il momento di agire davvero)

2) Gli ”incidenti” capitano perchè nulla nella vita ci è garantito e conta quello che si fa per prevenirli, per ridurne l’impatto quando accadono e per riportare la normalità nel più breve tempo possibile. Contano quindi le esercitazioni, le regole, i team che gestiscono la crisi.

3) L’informazione che nasce dai cittadini assume sempre di più un valore strategico nel nostro futuro: che si tratti di raccontare le feste e la gioia dei nostri figli o le manifestazioni a Teheran o la situazione del vostro acquedotto. E’ una grande responsabilità, raccontare, informare, chiedere conto, è un modo per esercitare la nostra sovranità respingendo il concetto di sudditanza che qualcuno vorrebbe.

Non c'è sicurezza che arrivi al di fuori di un pieno coinvolgimento attivo degli utenti stessi, la complessità dei sistemi a cui affidiamo il nostro vivere sociale è tale per cui nessuno può pensare di delegare ad altri senza assumersi la propria parte di responsabilità e nessuno può pensare di gestire senza rendere conto.

Questa storia mi preoccupa, come mi preoccupano le parole sentite dire in TV dal Sindaco de L'Aquila, ma sono anche estremamente fiducioso che la risposta sia in questo modo nuovo di interpretare una delle frasi più profonde del nostro dettato costituzionale "La sovranità appartiene al popolo, che la esercita nelle forme e nei limiti della Costituzione".

La sovranità appartiene al popolo, e non può essere delegata, ne può essere delegato l'esercizio ma i sovrani siamo e restiamo noi, con il diritto di sapere e con il dovere di agire