Sicurezza informatica: c’è hacker e hacker…

Sabato 1° dicembre si è svolto a Trento il Linux Day, un’iniziativa promossa in tutta Italia dalla Italian Linux Society. A Trento è stata organizzata da LinuxTrent, una libera associazione culturale che da anni segue i temi dell’informatica libera e dell’Open Source.

Cos’è Linux e cos’è il software libero?

In sintesi si può dire che il software "libero e aperto" differisce dal normale software "proprietario e chiuso" perché garantisce la messa a disposizione di tutti gli utenti della cosiddetta "sorgente", cioè del codice "in chiaro" con cui sono stati scritti. In questo modo gli utenti tecnici (in genere professionisti del settore) possono procedere ad eventuali modifiche per migliorare le caratteristiche dei programmi, e di conseguenza anche tutti gli altri utenti nel corso del tempo possono beneficiare di queste migliorie, che portano ad una vera e propria evoluzione del software. Due anni fa, nel febbraio 2000, su questo tema il professor Roberto Di Cosmo dell’Università di Parigi-7 aveva già tenuto una interessante relazione al convegno tenutosi a Trento. Secondo Di Cosmo la distinzione tra software di cui viene resa pubblica la sorgente e software di cui si può solo utilizzare il codice binario può essere spiegata ai non addetti ai lavori con una analogia: il "codice sorgente" è simile alla partitura di una musica: come un musicista con la partitura può suonare il pezzo e capirne le sfumature, così un programmatore con il codice sorgente può verificare nei dettagli che cosa sta facendo il programma installato sul suo computer.

A prima vista l’oggetto del contendere tra i sostenitori del movimento per il software libero e l’industria informatica può sembrare abbastanza esoterico, ma per chi vuole approfondire un po’ la questione le implicazioni appaiono piuttosto interessanti. Ad esempio ci sono forti conseguenze per la sicurezza: solo la conoscenza della sorgente del software garantisce l’utente - che può essere ad esempio una banca o una istituzione finanziaria - che il programma in uso non memorizzi da qualche parte dati riservati per poi mandarli in giro su Intenet all’insaputa dell’utente. Anche il problema dei virus informatici è reso molto più insidioso dalla presenza di programmi basati sul modello del software chiuso.

Il Linux Day di Trento ha avuto una forte affluenza di pubblico. Hanno tenuto le loro relazioni alcuni specialisti trentini del settore software, in gran parte membri dell’associazione LinuxTrent, che svolge la sua attività nell’ambito della promozione del software libero anche organizzando corsi di formazione.

Andrea Ghirardini, titolare della Pila’s Security Services, è la dimostrazione che Linux e il software libero non sono solo un passatempo per giovani smanettoni che si divertono con il computer tanto per ammazzare il tempo. Ghirardini ha lasciato un posto fisso e ben pagato nell’industria informatica per dedicarsi a tempo pieno alla consulenza nei settori che lo appassionano di più: la sicurezza informatica e la progettazione di reti. In questa scelta un peso non indifferente lo ha certamente avuta la grande padronanza raggiunta nel sistema operativo Linux. Il software libero quindi, in questo come in altri casi, ha rappresentato un passaporto professionale di grande importanza.

In una pausa dei lavori del Linux Day di Trento Ghirardini ha accettato di rispondere ad alcune domande per QT.

Oggi al Linux Day lei ha presentato tre relazioni tutte legate alla tutela della sicurezza dei sistemi informatici collegati in rete. Perché un sistema operativo Open Source e libero come Linux è così importante per la sicurezza delle reti informatiche?

"Come ho mostrato diffusamente nella mia relazione introduttiva i vantaggi del software libero nella gestione di sistema per la sicurezza delle reti sono molteplici, non ultimo il costo zero del software (che a fronte di sistemi proprietari specializzati dal costo di svariate decine di milioni non è un fattore da poco). In secondo luogo la grande varietà di strumenti e tecnologie per la sicurezza all’avanguardia che sono stati sviluppati proprio per la piattaforma Linux. In terzo luogo un motivo di principio: ci si può veramente fidare di un sistema di sicurezza sviluppato come sistema chiuso? Mi spiego: in un film uscito recentemente, "The Net", con Sandra Bullock, si racconta la storia di una organizzazione criminale che si mette nel business della sicurezza informatica commercializzando un sistema che viene dichiarato "perfetto" e viene venduto alle più grandi aziende private e organizzazioni pubbliche (tra cui la borsa di Wall Street). In realtà il sistema contiene una specie di cavallo di Troia che garantisce al progettista una porta di ingresso segreta in tutti i sistemi protetti. Per il seguito della trama consiglio di noleggiare la videocassetta che di solito regalo ai miei clienti perché si facciano una prima idea della problematica della sicurezza. Faccio notare che con un sistema chiuso l’eventualità limite della malafede del progettista non si può mai escludere. Con un sistema aperto invece il problema è risolto a priori, perché chiunque può far verificare il codice da uno o più esperti di sua fiducia e farsi garantire sull’assenza in esso di caratteristiche sospette non dichiarate".

L’opinione pubblica è stata abituata a ritenere il termine hacker come un sinonimo di criminale informatico, invece dalla sua relazione sembra che la conoscenza delle tecniche di hacking sia un requisito indispensabile per un responsabile della sicurezza informatica…

"Secondo la mia modesta opinione non esiste alcuna differenza tra le due figure. Se mi permetti di utilizzare un termine tratto da "Dangeon & Dragon" (un noto videogioco, n.d.r.) l’unica cosa che cambia è l’"allineamento". Un hacker con allineamento "malvagio" (in gergo sono chiamati anche black-hat) è qualcuno che cerca di introdursi nelle reti per fini personali o altro. Un security specialist invece è un hacker white-hat. Nessun professionista serio può esimersi dal fatto di conoscere le tecniche di intrusione, altrimenti non saprebbe come chiudere le reti. In altri termini, per costruire buone serrature bisogna essere a conoscenza delle tecniche in uso per scassinarle. Evidentemente se io sto per fare un security assestment, ovvero un’intrusione autorizzata nella rete al fine di testarne la sicurezza, il mio target, cioè l’azienda o l’organizzazione che chiede la mia consulenza, mi deve garantire l’immunità, cioè firmarmi una dichiarazione nella quale dichiara di avermi consapevolmente autorizzato ad usare tecniche che, se scoperte dalla polizia, potrebbero essere considerate a tutti gli effetti come reati informatici. In caso contrario, altrimenti, le tecniche che uso potrebbero farmi passare per un hacker "malvagio" perché sono del tutto indistinguibili da quelle dei criminali informatici. La correttezza professionale poi mi impone di chiedere all’azienda di far verificare da un consulente terzo di sua fiducia le varie segnalazioni di falle nella sicurezza che io consegno nella relazione che conclude mio lavoro facendo sviluppare le "pezze" da mettere sui buchi da altri professionisti, anche a mia insaputa".

Lei ritiene che le reti informatiche esistenti in Trentino abbiano un grado di sicurezza sufficiente?

"Penso di poter dire, senza tema di smentita che il livello generale di sicurezza è inesistente. Molte reti sono ritenute sicure solo perché sono dichiarate tali, senza che sia stato fatto alcun controllo o che nessuno abbia provveduto a renderle sicure. Spesso queste reti sono abbandonate a se stesse a causa di un generale analfabetismo in tema di sicurezza.

Io ritengo inutile andare da un cliente, chiedergli un cifra rilevante per mettergli in sicurezza la rete e poi non addestrare qualcuno all’interno, in maniera che possa, per lo meno, acquisire un modus operandi per far fronte a normali attacchi o a emergenze. Insomma bisogna che ci siano condizioni di consapevolezza minime, ad esempio che non si arrivi ad aprire completamente il firewall (un computer che fa da cancello di sicurezza tra la rete e il mondo esterno n.d.r.) per far passare un servizio richiesto. Un security assestment serio è sempre seguito da una certa formazione per il personale interno, e uno dei settori in cui opera l’azienda che ho creato è proprio quello dei corsi di formazione professionale per i dipendenti delle aziende interessate. Tra l’altro per questi corsi è possibile accedere ai fondi del Fondo sociale europeo presso l’Agenzia del lavoro e il Servizio Formazione professionale.

Nei casi in cui in Trentino sono stati resi pubblici casi di aggressione alle reti informatiche talvolta a fronte di un’enfasi esagerata sulla stampa, si è assistito a vere e proprie alzate di spalle da parte dei responsabili (con risposte del tipo: ‘Noi non abbiamo informazioni così segrete da giustificare spese per la sicurezza, quindi anche se veniamo violati, pazienza’)".

Potrebbe fare un esempio concreto dei rischi derivanti da una violazione della sicurezza di una rete?

"Oggi come oggi la maggior parte degli attacchi non è finalizzata al furto delle informazioni. Piuttosto quello che le comunità black-hat cercano è un appoggio per far transitare file, informazioni. Oppure spesso cercano di lasciare dei programmi (chiamati in gergo agent) per poter pilotare le macchine da remoto e usarle per portare attacchi, anche distribuiti, verso reti di terzi. E’ chiaro che se, ad esempio, domani qualcuno hackerasse la rete di un’azienda sanitaria e successivamente le macchine in questione servissero per portare un massiccio attacco alla NASA o al Pentagono (per dirne due), la scusa ‘non capisco perchè siamo stati hackerati, non avevamo nulla di segreto’ non sarebbe accettata a braccia aperte in tribunale".

Soprattutto in un paese straniero fortemente allarmato per questo tipo di crimini…

"Appunto, c’è anche questo aspetto da considerare.."