Rilancio dal Blog del CLUSIT la notizia che iI Garante per la protezione dei dati personali ha integrato e parzialmente modificato il provvedimento relativo agli "amministratori di sistema" e il termine per l'adozione delle prescrizioni è stato prorogato al 15 dicembre.

E' vero, in queste pagine volevo parlare anche di informatica civica e non solo di sicurezza ma non ne ho avuto mai l'occasione o almeno non quella giusta per cercare di dire cose non banali.

Un incidente all'acquedotto di San Felice del Benaco me ne dà l'opportunità perchè mi pare ci siano ben legati sia i temi della sicurezza che quelli della sovranità che i cittadini possono esprimere con i nuovi sistemi di rete sociale.

Da tempo stiamo richiamando l'attenzione sui temi del controllo delle infrastrutture critiche e sul fatto che sono soprattutto gli enti locali territoriali ad essere i più esposti ad incidenti per non parlare di veri e propri attacchi. Poco importa se si tratta di un guasto o di un attto deliberato: quella che è in gioco è la vita dei cittadini, e che si tratti dell'acquedotto o del catasto o del file con i nomi dei bambini al Centro Ricreativo, è altrettanto ininfluente.

L'esempio di Momo (al secolo Maurizio Molinari) che racconta, informa, si indigna ma non banalizza, è una chiave importante per capire come attraverso le reti civiche, i blog, i migliaia di messaggi i cittadini possono essere "sistemi di sorveglianza" e parte integrante del reticolo che protegge i nostri sistemi critici e non visti, come spesso accade, come antagonisti o peggio come spettatori a cui bisogna sempre nascondere la verità.

In questa storia ci sono a mio parere tre storie

1) I sistemi tecnologici che governano la nostra vita sono sempre più ”infrastrutture critiche” e, specialmente negli enti locali territoriali occorre una consapevolezza e responsabilità che non esiste e che va creata (ne stiamo parlando da anni e ora è il momento di agire davvero)

2) Gli ”incidenti” capitano perchè nulla nella vita ci è garantito e conta quello che si fa per prevenirli, per ridurne l’impatto quando accadono e per riportare la normalità nel più breve tempo possibile. Contano quindi le esercitazioni, le regole, i team che gestiscono la crisi.

3) L’informazione che nasce dai cittadini assume sempre di più un valore strategico nel nostro futuro: che si tratti di raccontare le feste e la gioia dei nostri figli o le manifestazioni a Teheran o la situazione del vostro acquedotto. E’ una grande responsabilità, raccontare, informare, chiedere conto, è un modo per esercitare la nostra sovranità respingendo il concetto di sudditanza che qualcuno vorrebbe.

Non c'è sicurezza che arrivi al di fuori di un pieno coinvolgimento attivo degli utenti stessi, la complessità dei sistemi a cui affidiamo il nostro vivere sociale è tale per cui nessuno può pensare di delegare ad altri senza assumersi la propria parte di responsabilità e nessuno può pensare di gestire senza rendere conto.

Questa storia mi preoccupa, come mi preoccupano le parole sentite dire in TV dal Sindaco de L'Aquila, ma sono anche estremamente fiducioso che la risposta sia in questo modo nuovo di interpretare una delle frasi più profonde del nostro dettato costituzionale "La sovranità appartiene al popolo, che la esercita nelle forme e nei limiti della Costituzione".

La sovranità appartiene al popolo, e non può essere delegata, ne può essere delegato l'esercizio ma i sovrani siamo e restiamo noi, con il diritto di sapere e con il dovere di agire

  Dal 24 al 26 marzo c'è a Milano il Security Summit, un evento focalizzato sulla sicurezza che presenta anche molti aspetti del tutto innovativi.

L'evento si aprirà "fisicamente" il 24 ma è da tempo aperto su Facebook, sul blog del CLUSIT che ha ideato la manifestazione, ci sono spazi dedicati alle nuove idee, corsi di formazione, workshop, keynote e tavole rotonde di grande attualità.

Da segnalare la presenza di Gadi Evron che racconterà la lezione dell'attacco all' Estonia, Claude Maury dell'Università di Ginevra, Steve Santorelli che ha investigato sui casi più clamorosi di internet crime, la tavola rotonda conclusiva sul tema della sicurezza in rete dal punto di vista dei cittadini.

Ci saranno dirette televisive via web con la possibilità di rivedere poi in differita gli eventi di cui si vuole approfondire il contenuto e un evento del tutto inusuale in una manifestazione di questo tipo: il primo Hacking Film Festival al cinema Anteo, con dibattiti prima e dopo il film.

E' vero, il mercato è in affanno, è vero, le aziende sono preoccupate ma è altrettanto vero che la rete continua a crescere, a svilupparsi ad assumere forme sempre più dinamiche e con l'aumentare della complessità aumentano esponenzialmente i rischi e le minacce.

Il Security Summit è il tentativo di rispondere in positivo alle sfide: non generica fiducia nel futuro ma la determinazione di agire in concreto per difendere e far crescere un sistema che contiene la condizione essenziale per sviluppare le imprese e per garantire ai cittadini opportunità e qualità della vita.

Nella legge indiscussione al Senato in materia di Pubblica Sicurezza che sta tanto facendo discutere per le norme sulla schedatura dei barbni e la denuncia dei clandestini da parte dei medici (mica è razzista, non ha detto "ebrei"), è anche passato uno sconcertante emendamento proposto dal capogruppo UDC Sen, D'Alia che dice:

1. Quando si procede per delitti di istigazione a delinquere  o a disobbedire alle leggi, ovvero per delitti di apologia di reato,   previsti dal codice penale o da altre disposizioni penali, e  sussistono concreti elementi che consentano di ritenere che alcuno   compia detta attività di apologia o di istigazione in via telematica   sulla rete internet, il Ministro dell'interno, in seguito a  comunicazione dell'autorità giudiziaria, può disporre con proprio   decreto l'interruzione della attività indicata, ordinando ai   fornitori di connettività alla rete internet di utilizzare gli appositi strumenti di filtraggio necessari a tal fine.

3. I fornitori dei servizi di connettività alla rete internet, per l'effetto del decreto di cui al comma 1, devono   provvedere ad eseguire l'attività di filtraggio imposta entro il termine di 24 ore. La violazione di tale obbligo comporta una   sanzione amministrativa pecuniaria da euro 50.000 a euro 250.000,   alla cui irrogazione provvede il Ministro dell'interno con proprio provvedimento.

Come sarà un "apposito strumento di filtraggio" che legga tutti i contenuti che transitano in rete e decida che c'è "un'istigazione adisobbedire alle leggi"?

Ha ragione Stefano Quintarelli, che per primo ha segnalato la notizia, ad indignarsi e proporre anche che sia con altrettanta severità punita l'ignoranza tecnologica, riducendo la pena per chi studia e colma la sua ignoranza, ma, aggiungo io, con il raddoppio della pena per amministratori pubblici, legislatori che continuano a cercare di normare per legge la rete e le sue dinamiche senza capirne un accidente.

Non è ammessa l'ignoranza della legge, dice un sano principio giuridico ma anche l'ignoranza di chi legifera non è più tollerabile e il "popolo della rete" deve fare sentire la sua voce e deve farlo in fretta, magari prima che questo messaggio sia filtrato perchè considerato "istigazione a disobbedire alle leggi".

P.S. Si può partire da una raccolta di "dissensi" su Facebook. Sempre che non censurino anche Facebook

Se qualcuno se li fosse persi, ecco il quinto e ultimo degli articoli usciti su Nova del 23/10/08

Atteggiamenti responsabili

Ho spesso insegnato che la sicurezza delle informazioni dipende dall’interazione di tre elementi: prodotti e tecnologie, servizi e modelli organizzativi e comportamenti e fattori umani.

Oggi la sfida più complessa riguarda la sfera dei comportamenti e non è un caso se in tutte le riunioni a livello europeo si stia richiamando l’attenzione dei governi dei paesi membri sulla necessità di un grande lavoro di educazione di massa degli utenti a un utilizzo consapevole della rete. Non si tratta di scaricare sugli utenti il rischio o la responsabilità, si tratta di far comprendere che la rete è il luogo dell’interazione, che è un ecosistema in cui ciascuno contribuisce con le proprie azioni (o con la propria trascuratezza) alla sicurezza complessiva.
A ben guardare il termine responsabilità significa capacità (abilitas) di dare risposte (responsa) e non possiamo chiedere oggi questa “abilitas” agli utenti, che spetta invece alle istituzioni, le sole che possono dare risposte adeguate per guidare la crescita di intere popolazioni ad un uso consapevole della rete.
Non c’è alternativa a questo processo perché il futuro possibile della rete dipende dal comportamento degli utenti, così come il futuro del pianeta dipenderà anche dai nostri comportamenti più o meno virtuosi e rispettosi dell’intero ecosistema o come la difesa dalle epidemie dipende dall’igiene collettiva almeno quanto dallo sviluppo di nuovi farmaci.
Nel tentativo di semplificare il proprio utilizzo, l’informatica ha banalizzato il rapporto con l’utente, lo ha trattato da scimmia (con tutto il rispetto per i nostri antenati!) che non doveva sapere i perchè e i come ma solo i “cosa voglio ottenere”, lasciando la responsabilità del tutto alle macchine e ai software che le governano.

E’ come se avessimo dato le automobili agli utenti senza ricordare continuamente che la loro vita e quella degli altri non dipende esclusivamente da mezzi e strade sempre più sicuri ma, forse in misura preponderante da comportamenti responsabili.
Quanto sforzo di comunicazione perché non si guidi in stato di ebbrezza! Bello sarebbe se facessimo un decimo dello stesso sforzo perché i nostri figli non usassero con uguale smodata incoscienza il chatting che è oggi, attraverso il protocollo IRC, una delle fonti più pericolose di diffusione del “malware”!
In Italia siamo presi da altre emergenze come quella dei rifiuti (come se lo spam non fosse un rifiuto che un giorno rischierà, se non trattato per tempo, di sommergere il nostro spazio telematico), o quella della scuola (dimenticando che un radicale cambiamento dei modi di apprendere è già in atto attraverso la rete) e rischiamo di non vedere come la rete, sia come infrastruttura che come fonte di servizi, è un fattore strategico proprio per consentirci di uscire positivamente da uno scenario economico di grave crisi.
Le minacce e le risposte si spostano sempre più verso i nodi periferici della rete proprio perché più essa cresce e più perde qualsiasi riferimento di “centro di controllo” che per disegno non ha mai posseduto. Dai grandi siti governativi la minaccia si sposta ora alle piccole e medie imprese con forme di microricatto, ai singoli individui con il phishing e il furto di identità.

Fare “awareness”, fare campagne che accrescano l’attenzione dei cittadini all’uso consapevole di internet non è questione di budget pubblicitario, significa un lavoro coordinato e costante che coinvolga gli internet provider (se crolla la fiducia nella rete, rischiano la fine delle banche d’affari di questi tempi), i comuni e gli enti locali periferici che sono quanto più vicino ci sia ai cittadini e alla loro vita quotidiana, le scuole perché smettano di trattare l’informatica come una materia e la trattino invece come acqua e aria per il futuro: un bene prezioso che va difeso assieme.

Se qualcuno se li fosse persi, ecco il quarto degli articoli usciti su Nova del 23/10/08

L’estinzione del mondo in beta

Il mondo della rete ha sconvolto molti dei presupposti su cui si sono basati sistemi economici e di valore su cui per secoli si sono regolati commerci e comunicazione. In molti casi li abbiamo acriticamente e passivamente accettati e oggi, di fronte all’ennesimo sconquasso ci si interroga se per caso non ci si fosse offuscata la mente.
Prendiamo un aspetto particolarmente rilevante per la sicurezza informatica: la velocità. La velocità assunta a valore assoluto, velocità nel fare profitti, nel conquistare mercati, nello scambiare informazioni, nel lanciare nuovi prodotti: anche a scapito della fiducia, della correttezza, dell’etica, della qualità. Siamo certi che la velocità sia un valore primario della tecnologia? . Non conta se affidabile purchè sia veloce, non conta se vulnerabile purchè si venda in fretta e a basso costo. Il mondo dell’automobile lo ha capito da tempo e dall’esaltazione della velocità, retaggio culturale del futurismo dei primi del 900, presenta oggi le automobili come confortevoli, sicure, silenziose, con bambini a bordo come valore prezioso, auto che schivano ostacoli e si bloccano in totale sicurezza anche solo per far attraversare la strada a un rospo.
Già cinque anni fa all’apertura della RSA conferente, una delle conferenze più importanti sulla sicurezza informatica, John Thompson il CEO di Symantec, aveva provocatoriamente commentato l’annuncio fatto poco prima da Bill Gates di importanti investimenti per entrare nel mercato della sicurezza, “sarebbe meglio che Microsoft quei soldi li investisse in maggiore qualità del software!”
Per anni si è legittimato il rilascio di software incompleto, difettoso, rabberciato, chiamandolo esoticamente “beta” e chiamando gli utenti a verificarne il funzionamento, glorificando questo approccio come una delle tanti rivoluzioni del web.
A fronte di alcune giuste intuizioni, l’ingordigia ha avuto il sopravvento e il software non solo è stato rilasciato ai clienti in modalità beta ma è stata legittimata l’accettazione di software che si guastano e che vanno continuamente aggiornati come una caratteristica intrinseca ed ineliminabile del processo di sviluppo del software stesso e che necessariamente grava sugli utenti e non chiama i produttori ad alcuna responsabilità.
Per aiutare a riflettere sull’insostenibilità di un simile modello è come se per i farmaci facessimo le sperimentazioni direttamente sui pazienti, uccidendone è vero un bel po’ giustificando il massacro con la maggiore velocità con cui si può giungere prima a una soluzione mediamente accettabile.
Non si tratta più soltanto di far innervosire qualche utente che sul PC trova lo “schermo blu” o la tastiera bloccata e deve ripartire da ctrl-alt-canc, software non testati o rilasciati frettolosamente contengono falle e vulnerabilità che sono il punto di ingresso di attacchi sempre più devastanti ed endemici che possono bloccare interi paesi.
La rete ha assunto un ruolo di infrastruttura critica e vitale per tutti e l’interconnnessione di milioni di utenti riproduce su scala planetaria il guasto o la vulnerabilità dei singoli: in questo scenario il modello del rilascio in beta e delle patch continue non è più sostenibile, non è più tollerabile.
In realtà questa non solo è la conseguenza dell’accettazione acritica di valori assunti come ineluttabili, ma anche di un quadro di riferimento normativo che ha di fatto disincentivato la qualità e aperto falle enormi in termini di sicurezza e di affidabilità dei sistemi.
E’ la tesi centrale anche di un libro di David Rice intitolato “Geekonomics: The real cost of insecure software” che stigmatizza come il modello attuale sottragga tra l’altro risorse all’innovazione, costringendo gli utenti a continue riparazioni dei sistemi esistenti.
In Europa le associazioni dei consumatori hanno chiesto nei comitati di studio che venga introdotta la garanzia di sicurezza del software a difesa degli utenti e non sarà facile trovare sul tema un accordo anche perché si potrebbe controbattere che un sistema “sicuro” non esiste.

Il fatto che la soluzione da trovare sia complessa non ci esime dal dovere di iniziare a cercarla al più presto dato che è fuor di dubbio che il modello attuale è insostenibile e il prezzo che pagheremo se non interveniamo in fretta sarà esorbitante. La catastrofe finanziaria dei mutui subprime è lì a ricordarcelo.

Se qualcuno se li fosse persi, ecco il terzo degli articoli usciti su Nova del 23/10/08

Talenti da non perdere

Quali caratteristiche devono avere le persone che si devono occupare di sistemi di sicurezza? Quali caratteristiche devono avere per non essere troppo velocemente obsoleti? Quali talenti dobbiamo cercare?
Già nella domanda c’è un principio di risposta. Per molto tempo si è data la prevalenza alla preparazione tecnica, alla competenza e sono proliferate forme di certificazione delle professionalità che sono sicuramente servite a far uscire il mestiere dall’ambito della “stregoneria dello smanettone” per portarlo in quello più corretto della preparazione specifica.
Ma da componente esclusiva la competenza è divenuta prerequisito e non fattore esclusivo.
Oggi il fattore decisivo è quello del “talento”, quell’insieme di caratteristiche che trasformano un bravo tecnico in un esperto di sicurezza, come trasformano un medico preparato in un bravo medico, un musicista diplomato in una star.
Di talenti hanno bisogno i team di sicurezza informatica perché il mondo dell’hacking è sempre stato pervaso di talenti (fino ad esserne sinonimo) ed oggi con il passaggio dall’epoca cavalleresca dell’hacker che cercava “il bel gesto” a quella meno nobile della criminalità organizzata che truffa ruba e fugge, ci si confronta con un mondo di grandi capacità, estro, creatività, sostenuto da risorse economiche e motivazioni fortissime.

Senza arrischiare una definizione specifica del talento, provo a dire qual è stata la mia esperienza trentennale nel cercare e assumere talenti per i team delle organizzazioni a cui ho collaborato.
Serve innanzitutto una grande capacità di ascolto, di saper cogliere segnali deboli e sfumature che spesso richiede un approccio metodico e quasi maniacale; il paragone che faccio è con quei musicisti che ascoltano in modo ossessivo un brano dei Beatles o dei Pink Floyd (come facevo io da ragazzo) per cogliere quel certo suono o quella sfumatura che nessuna partitura scritta sarà in grado di riprodurre.
Ascolto vuol dire capire schemi, comportamenti, modelli e poco cambia se stiamo parlando di un assolo di Carlos Santana o del log di un firewall.
Serve poi una grande dose di coraggio e di voglia di provare strade non battute, non per il gusto della stravaganza (rischiosa) ma per il gusto della scoperta e dell’innovazione, un atteggiamento in cui la domanda giusta è sempre “E se invece facessimo in altro modo?”. Lo hanno fatto i grandi artisti che hanno assorbito tutto ciò che potevano dai loro predecessori, studiando e copiando umilmente (competenza) per poi sviluppare un proprio modo originale di rileggere la realtà (talento).
La terza dote è la curiosità verso i nuovi fenomeni non solo come fatto culturale ma come reale esperienza vissuta: è pensabile oggi un esperto di security che non sappia nulla di blog, di Facebook o di YouTube? Che non utilizzi il chatting in rete o Skype? Non credo. Ma non basta sapere, per difendere, occorre esserci, esserci dall’interno, conoscere per esperienza quotidiana, capire linguaggi non codificati e modi di utilizzo imprevisti e non convenzionali.

La persona di talento che serve davvero non è, contrariamente a ciò che spesso si pensa, un solista, è piuttosto un grande musicista in un gruppo di altrettanti talenti che si nutre delle conoscenze altrui e le arricchisce a sua volta. Pensate ai Beatles Non sentirete mai un assolo di batteria o un riff di chitarra da vertigine, ma non c’è dubbio che quell’insieme magico ha cambiato per sempre la musica dei nostri tempi.
La security del futuro richiede grande apertura e capacità di collaborazione, di cogliere e rilanciare idee e di saper entrare velocemente in sintonia con temi, modalità e culture molto diverse fra loro e per farlo non basta la competenza, serve un elemento che trovate in chiunque faccia le cose con quell’ingrediente unico che è la passione per ciò che si fa.
In fondo ancora una volta ce lo avevano detto i Beatles: “All you need is love”.

Se qualcuno se li fosse persi, ecco il secondo degli articoli usciti su Nova del 23/10/08.

La proliferazione della patacca

False borse griffate, orologi patacca, scarpe e magliette con marchi contraffatti: il fenomeno del falso è talmente diffuso che sembriamo non accorgerci di come sia invece un modello carico di pericoli. Pensiamo al grave fenomeno dei pezzi di ricambio falsi nell’avionica o ai farmaci falsi che nel migliore dei casi hanno solo un effetto placebo e in quello peggiore uccidono anziché curare.

Pochi sanno che il fenomeno del falso sta pesantemente entrando nel mondo della rete con falsi router o con componenti che in tutto e per tutto assomigliano agli originali ma sono prodotti senza alcun controllo di qualità ed è all’attenzione degli esperti di sicurezza per le gravi implicazioni che ne derivano.
Se la rete è un elemento strategico e vitale per un paese com’è possibile accettare che il suo funzionamento dipenda da router e switch di cui non sia assolutamente certa la qualità e l’affidabilità?

I grandi produttori e le forze dell’ordine stanno lavorando alacremente anche più di quanto non facciano le aziende della moda per le quali è essenzalmente un problema di danno economico, mentre per l’informatica entra in gioco la sicurezza nazionale. Se per un capo di abbigliamento contraffatto posso al massimo rischiare di fare la figura del poveraccio o dell’allocco, ben altra storia è con un sistema da cui dipendono transazioni e scambi finanziari, il sistema fiscale di un paese, il suo sistema di trasporti.
Il fenomeno è conseguenza di un processo a molti fattori che ha caratterizzato l’industria informatica degli ultimi due decenni, da un lato la delocalizzazione che ha allontanato i luoghi di produzione (e quindi di controllo puntuale della qualità) di componenti sempre più sofisticate, dall’altro il ricorso a catene di subappalto che rendono praticamente impossibile la tracciabilità reale dei prodotti e infine una ricerca ottusa del minor costo possibile che, alla fine, si riduce a una sostanziale caduta della qualità.

A quest’ultimo fattore sono da imputare i casi recenti di componenti hardware “nuove” di fabbrica ma già infettate da malware veicolato proprio da computer non opportunamente controllati nella catena della produzione. E’ il caso di dischi, di chiavi usb, di dvd, persino di cornici digitali che visualizzano le foto delle nostre vacanze, che contengono virus, trasferiti in molti casi da computer infetti che servivano al controllo qualità. Ironia della sorte.
Ma non sono da escludere anche utilizzi più subdoli e pericolosi di chip contraffatti, non più per risparmio economico ma per fini di vero e proprio spionaggio o sabotaggio: cosa può significare per un paese produttore di microchip avere una componente che sia da questi governabile installata in tutti i router presenti in un paese “nemico”?

Non è fantascienza. Nel 1996 alcuni dei dossier della CIA avevano perso il loro sigillo di segretezza per il trascorrere del tempo e tra questi è oggi interessante rileggere il Dossier Farewell. (http://en.wikipedia.org/wiki/Farewell_Dossier) Il dossier racconta di come agli inizi degli anni ’80 di fronte allo spionaggio russo che cercava di comperare tecnologie occidentali per la costruzione di un gasdotto in Siberia, la CIA rispose fornendo, tramite un intermediario canadese, hardware e software opportunamente modificati che dopo qualche tempo di funzionamento normale, nel 1982 alterò la pressione delle turbine e portò all’esplosione del gasdotto.
Proprio ripensando a quell’episodio sono molti oggi a domandarsi se gli Stati Uniti con la loro forsennata delocalizzazione non abbiano aperto il fianco a quello che un comunissimo proverbio sintetizza in “Chi la fa l’aspetti”?

Se qualcuno se li fosse persi, ecco il primo degli articoli usciti su Nova del 23/10/08.

Sicurezza di lunga durata

Una delle questioni al centro delle riflessioni da parte di chi si occupa di sicurezza informatica è: in una situazione in così rapido cambiamento, come realizzare soluzioni durature nel tempo?
In altri termini: quali sono le caratteristiche strutturali, che non soggiacciono al mutare delle minacce e delle tecnologie e che sono alla base di soluzioni di sicurezza davvero efficaci.
E’ stato questo il tema dell’edizione 2008 del Symposium organizzato dal Govcert.nl (www.govcert.nl/symposium), l’ente del governo Olandese che si occupa di sicurezza dei sistemi della pubblica amministrazione ed è un evento che raccoglie, su invito, oltre 450 esperti di sicurezza di tutto il mondo.
I numeri non mancano per giustificare l’attenzione: secondo una recente stima dell’ FBI i danni da crimini informatici ammontano a 67 miliardi di dollari all’anno e il “malware”, il codice maligno nelle sue varie forme, è aumentato nel solo 2007 del 185% rispetto all’anno precedente.

Le prime conclusioni spostano decisamente l’attenzione dagli aspetti puramente tecnologici, che pure rimangono determinanti e sempre più mirati, a quelli più decisamente organizzativi e legati ai fattori umani con un approccio che richiede uno sforzo che abbandoni metafore e visioni meccanicistiche che non appartengono all’approccio sistemico della security.
E’ uno dei punti salienti toccati nell’intervento di Lord Erroll (http://www.openrightsgroup.org/orgwiki/index.php/Earl_of_Erroll) , un parlamentare inglese molto attivo nella legislazione in materia di internet e nella difesa dei diritti individuali nell’era digitale, che ha sottolineato come la rete sia il luogo delle “unpredictable consequences” di qualsiasi approccio di pensiero lineare e dove ogni pretesa di stretta regolamentazione produce effetti spesso opposti a quelli desiderati. La risposta? Un approccio normativo molto più simile ai common laws che non a leggi dettagliate che durano pochi istanti nel loro pervicace determinismo.

Il secondo “tormentone” è stato quello della collaborazione a tutti i livelli che, in parte, rovescia un modello concettuale che è stato quello della “security by obscurity”, nato nel mondo della crittografia ma esteso ad altri campi della sicurezza e che possiamo semplificare nel concetto che “meno se ne sa e meglio è”.
L’esempio più evidente viene proprio dalla rete di collaborazioni internazionali che sostengono l’azione dei CERT, in particolare dei CERT governativi: la difesa dei sistemi Estoni dall’attacco di massa lo scorso anno è la storia di una attiva collaborazione fra i CERT che va dall’Australia alla Finlandia, dall’Olanda all’Inghilterra, a Singapore, alla Nuova Zelanda.

La collaborazione non è una forma di gentilezza o di benevola accondiscendenza, ma una nuova struttura formale che riporta il modello della rete all’interno dell’organizzazione che intende tutelarla e che potremmo sintetizzare con la definizione che “la rete si difende con una rete di relazioni fidate”.
In prima linea nel sostenere questo approccio, organizzazioni che in passato erano il simbolo dell’approccio solitario e cioè banche e operatori di telecomunicazioni. In un intervento “a porte chiuse per la stampa” una grande banca ha raccontato e presentato le proprie modalità e condiviso successi e fallimenti chiedendo pareri e confronto. Un atteggiamento impensabile solo due anni fa.
Occorrono anche nuove competenze. Di fronte a nuovi sistemi di malware polimorfici in grado di produrre qualcosa come 25000 (venticinquemila!) varianti al giorno c’è poco da pensare di farcela da soli e di essere tuttologi, l’esperto di “malware” è oggi una nuova figura professionale che richiede competenza specifica e che deve aiutare il team a riconoscere il più velocemente possibile la forma virale in atto e i possibili sviluppi dell’attacco.