Non più cittadini: movimenti insicuri



Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate: ultima modifica: 8.05.13

In questi giorni alcuni soggetti (autodefinitisi Hacker del PD) hanno sottratto il contenuto delle caselle di posta di alcuni membri del Movimento Cinque Stelle e, con cadenza settimanale, le renderanno pubbliche. Ne sono già state pubblicate diverse e fino ad ora non ho ancora visto qualcuno che si focalizzasse sul problema principale che questo gesto mette in luce, nemmeno le vittime, nelle dichiarazioni fatte, hanno ancora colto appieno le implicazioni del gesto.

Un fatto grave

Prima di analizzare il tema è necessario chiarire un punto: quello che è accaduto è grave 1 e  i soggetti del Movimento 5 Stelle sono le vittime: al momento la richiesta (ammesso che sia vera) da parte dei presunti autori del gesto è  che siano resi pubblici i redditi e i patrimoni di Grillo, Casaleggio e non siano pubblicati i ricavi provenienti del blog  2. Tuttavia non riesco a empatizzare completamente con queste persone e anche se la sottrazione delle caselle  3 è grave come fatto, non riesco a essere triste o sorpreso: quando ho letto la notizia è stato come se mi avessero detto

lo sai che hanno rapinato la gioielleria nella quale il proprietario lasciava incustoditi i gioielli, la cassa e non aveva un sistema d’allarme?

Davvero, quanto vi lascerebbe stupiti questa notizia? Se ti comporti in maniera sconsiderata (nel mondo reale quanto virtuale) le cose brutte succedono più facilmente. Il succo quindi della notizia è questo

Se non chiudi a chiave la porta e lasci tutte le finestre aperte prima o poi ti entrano in casa (o nella casella di posta)

Fatto salvo quanto detto all’inizio, ho già detto più volte che “i cittadini della rete” dell’online non capiscono molto 4 e che, se fossi una brutta persona, avrei potuto approfittare della loro incapacità 5. Qualcuno, in maniera semplice, l’ha fatto: in rete, così come nel mondo reale, ci sono un sacco di brutte persone (così come di belle persone).

Non sei un cittadino

Per quanto possa piacere la dicitura “cittadino”, queste persone non sono più persone comuni: essendo stati eletti durante le recenti elezioni politiche sono diventati dei target interessanti. Questo ha delle implicazioni piuttosto importanti: se diventi un potenziale bersaglio anche gli strumenti e il modo in cui li usi devono evolvere di conseguenza. Per spiegare bene perché queste persone sono incoscienti guardiamo un attimo una matrice qualitativa del rischio e analizziamo nel dettaglio il rischio di accesso abusivo alla casella di mail personale (i pallini neri)

risk matrix

Vediamo che l’impatto è costante (il fatto che qualcuno entri in possesso della mia casella mail è sempre grave e ha un impatto alto), ma a livello di probabilità vediamo che si varia dall’impossibile al certo 6. Se sei il macellaio che lavora qui all’angolo è improbabile che cerchino di entrare nella tua casella di posta (non c’è un motivo preciso, non è un target interessante) e quindi il rischio è basso/accettabile, se però questa persona diventa sindaco (o parlamentare) e mantiene le stesse abitudini ecco che, senza che vi siano altre variazioni, si sposta verso il probabile e lo stesso rischio (violazione della casella di posta) diventa inaccettabile 7. A seconda quindi del ruolo che ricopri la stessa situazione può essere accettabile o tremenda: se diventi un parlamentare non puoi usare in maniera disinvolta la rete.

  • Usare strumenti gratuiti nati in ambito consumer per scambiare materiali lavorativi (come le comunicazioni di un movimento) rende più probabile un attacco dato che questi strumenti non sempre sono particolarmente robusti.
  • Se condivido tante informazioni (in nome di una trasparenza quasi ossessiva) facilito il compito di un attaccante e rendo l’attacco più probabile dato che un eventuale attacco (di phishing o anche di attacco a forza bruta sulle password) sarà molto più efficace.
  • Se uso la stessa password per tutti i servizi online che uso l’attacco diventa più probabile dato che ottenendo accesso ad un servizio (magari quello meno robusto dal punto di vista della sicurezza) posso accedere anche alla casella mail.
  • Se tutte le persone si appoggiano allo stesso servizio, compromettendo quest’ultimo posso accedere a tutte le loro caselle di posta: negli ultimi anni abbiamo assistito a diverse pubblicazioni (dump) di email e password provenienti da piattaforme di uso comune.

Da questo punto di vista queste persone hanno reso sempre più probabile (e semplice) un attacco nei loro confronti.

La sicurezza è assoluta?

No: non esiste la sicurezza assoluta, esistono soluzioni abbastanza sicure per lo scopo e per le attività che si devono svolgere. Una delle prime obiezioni quando ho detto che queste persone erano in parte causa del loro stesso male mi è stato subito obiettato:

ma sono le caselle private, allora adesso io per la mia casella di posta dovrei usare soluzioni supersicure, manco fossi la NSA

No, la sicurezza è normalmente un bilanciamento tra tre fattori: Confidenzialità, Disponibilità e Integrità 8 e, fatti salvi i principi di buon senso e prudenza (che dovrebbero comunque essere alla base delle azioni che facciamo offline e online), a seconda delle attività bilancerai questi tre elementi.

  • Sei una persona qualunque e stai scambiando informazioni sulla partita di martedì a calcetto? Disponibilità ++++ Confidenzialità + Integrità+
  • Sei un manager e stai salvando i dati di bilancio per fare delle elaborazioni successive? Disponibilità-  Confidenzialità+++ Integrità++++
  • Sei una persona eletta che si scambia comunicazioni sia personali che lavorative? Disponibilità- Confidenzialità+++++++ Integrità++

A seconda di chi sei, di che cosa devi fare, delle minacce alle quali sei esposto cambia il bilanciamento di CID (Confidenzialità, Integrità, Disponibilità o in inglese CIA). Usare una caselle privata in maniera naïf per condividere messaggi privati, altamente riservati e lavorativi, attraverso un sistema gratuito senza utilizzare accorgimenti particolari per  una persona che si candida alle elezioni politiche è un corretto bilanciamento? No. Dato che non sei una persona qualunque non sei esposta alle minacce del cittadino comune, non ti scambi documenti banali il tuo rapporto con la sicurezza deve cambiare: non si tratta di diventare esperti di sicurezza, ma di usare buon senso e prudenza.

Attaccare un colabrodo

ma sono caselle private! è una cosa vergognosa

In ogni caso buon senso e prudenza sono alla base di qualsiasi attività (sempre sia online che offline) e anche queste persone dovrebbero rendersi conto di come il loro ruolo sia cambiato. Adesso però, per un attimo, immaginiamo di ragionare come un attaccante: se devi compromettere il computer di una persona come potresti fare? come potresti fare?

Attaccheresti dove questa persona è più “corazzata”? Un’offensiva verso la componente più resistente? Punteresti alla soluzione più complicata? No. Punteresti agli anelli e ai servizi più deboli: alle caselle private, magari passando prima dai Social Netowrk in modo da carpire password usate, parole frequenti e altre informazioni in modo da rendere più efficace l’attacco.

Un attaccante non è etico: il suo scopo è raggiungere il suo obiettivo nel modo più efficace possibile (con il minimo sforzo) e, delle persone che usano male i mezzi digitali, sono delle prede perfette.

Quello che descrivo non è una cosa fantascientifica: è uno schema classico di attacco.

mandiant apt lifecycle attack

Vediamo che le informazioni e l’uso che questo movimento da della rete è perfetto per questo tipo di attacchi: tante informazioni diffuse (eccellenti per la fase di ricognizione), uso naïf dei mezzi (facilità nella compromissione tramite attacchi verso i servizi che usano, senza fare qualcosa di elaborato come dello spear phishing), aumento dei privilegi all’interno (dalla mail al computer al telefono), espansione a tutto il movimento (magari tramite una email inviata da uno degli account compromessi (da un mittente fidato apriamo un allegato, magari con il nome interessante) e mantenimento della presenza (siamo sicuri che non siano più all’interno delle caselle di posta o dei sistemi?).

Purtroppo usare soluzioni gratuite da questo punto di vista è estremamente problematico: i tool nati in ambito consumer e che vivono delle informazioni e del tempo che gli utenti regalano loro, non li rendono strumenti ideali per gestire e organizzare un movimento politico di queste dimensioni 9: ogni persona adotta una soluzione diversa, piattaforme eterogenee, livelli di sicurezza variabili e un perimetro d’attacco che diventa incontrollabile.

È un bene che non se ne parli?

In queste settimane l’argomento è stato sfiorato e analizzato sotto diversi punti di vista, ma secondo alcuni dei rappresentanti è grave che non se ne sia parlato. A mio avviso questo è sia un bene che un male.

È un male perché anche chi ne ha parlato ha trattato l’argomento concentrandosi sui particolari più piccanti, sui risvolti macabri della faccenda (sottolineando però in maniera corretta che ora queste persone e potenzialmente molte altre sono ricattabili: non sappiamo infatti se sia stato pubblicato tutto o se alcuni elementi siano stati celati in attesa di sfruttare alcune informazioni al momento opportuno), ignorando il fatto che queste persone potrebbero ricoprire ruoli importanti in posizioni di potere.

È un bene perché, nonostante i provvedimenti presi per inibire l’accesso al sito contenente il dump, questo è ancora accessibile (e quei contenuti lo saranno praticamente sempre) si argina l”effetto Streisand e si evita che tutti i curiosi con una connessione e un motore di ricerca si mettano a cercare, scaricare e consultare quelle mail (per altro, chi lo fa commette un illecito trattamento dei dati, come ricordato dal garante).

Oltre a questi due punti di vista è interessante notare come il rifiuto di parlare con la stampa e un atteggiamento particolare nei confronti delle altre forze politiche (una tendenza all’isolamento) abbia come conseguenza diretta uno scarso interesse nelle vicende che impattano il movimento e in una scarsa considerazione qualora accadano fatti di questa portata.

Non solo vittime, ma minacce

Che cosa è successo quindi? Delle persone hanno deciso di utilizzare alcuni strumenti tralasciando il buon senso: usare social media in maniera ingenua corrisponde a legarsi a un razzo, consentono infatti di schiantarsi molto velocemente.

Perché ho detto all’inizio che quanto avvenuto è molto grave? Non tanto perché hanno violato delle caselle di posta private (fatto indubbiamente orribile), ma perché in maniera molto semplice è stato possibile compromettere la sicurezza di persone con un ruolo istituzionale e quindi anche la sicurezza delle istituzioni e di tutto il movimento. Al momento la maggior parte delle persone si sta concentrando sul primo tema ignorando completamente il secondo (purtroppo).

Uno degli elementi più preoccupanti è che in questo caso, un attaccante non particolarmente corazzato (non siamo ai livelli di APT1 per intenderci), può compromettere la sicurezza di persone elette: cosa ci assicura che ancora oggi i computer e gli smartphone non siano compromessi? Abbiamo qualche garanzia in merito al fatto che non sia stato compromesso tutto il movimento e che si sia deciso di pubblicare solo alcune delle caselle? Possiamo essere certi che da quei computer l’attacco non si estenda ad altri obiettivi dato che verranno usati anche nelle sedi governative?

No.

Questo getta un’ombra piuttosto preoccupante sul fatto che queste persone, con un atteggiamento imprudente, espongano a delle minacce non solo sé stesse ma anche infrastrutture critiche. Da questo punto di vista, le persone imprudenti sono vittime (in quanto parte delle loro comunicazioni personali è esposta al pubblico), ma con il loro comportamento diventano vettori per la compromissione di altre persone e di infrastrutture critiche (ad esempio il COPASIR)  e, da questo punto di vista, trovo inaccettabile il loro comportamento, la loro ingenuità e il fatto che non continuino a cogliere il problema ma a perseverare nel commettere gli stessi errori.

Non sei un isola

Si sta perseverando perché si continua a ignorare il concetto stesso di rete (tanto sbandierato quanto non compreso). In passato il concetto di sicurezza era estremamente individuale (“se tu sei sicuro allora non tu avrai problemi”) mentre oggi il tema è collettivo: se io sono sicuro ma il mio vicino è “infetto” il suo comportamento mette in pericolo anche me, se la persona “infetta” si collega a infrastrutture e a persone, sta compromettendo tutto  l’ambiente e il suo ecosistema, non solamente il suo computer o il suo smartphone.

Oggi ogni approccio individuale alla sicurezza porta a disastri perché non devo proteggere solo me stesso, ma anche gli altri: ancora una volta si sta ignorando l’importanza del soggetto inserito all’interno di una comunità. È molto simile a quanto accade con le malattie epidemiche: non mi preoccupo solo della mia salute per evitare di ammalarmi in prima persona, ma faccio di tutto anche per non infettare gli altri. Non esiste più un confine fisico del perimetro da rendere sicuro ma ogni soggetto in un ambiente ne determina la soliditá e ne compromette potenzialmente la vita: questo richiede grande senso di responsabilità.

Non mi devo proteggere solamente per “me”, ma perché attraverso di me potrebbero fare del male agli altri: se sono un medico e posseggo dati confidenziali, se sono un tecnico di una centrale nucleare o di un acquedotto, se sono un parlamentare e accedo a reti o a documenti riservati mi devo domandare se con la mia irresponsabilitá sia a casa che nel luogo del lavoro potrei causare danni ad altri. Purtroppo questa consapevolezza ancora manca, nessuno sembra ancora accorgersi che i comportamenti insicuri (anche privati) non hanno un impatto solo sull’individuo, ma su tutto il sistema all’interno del quale questa persona vive e opera.

Per concludere

Un piccolo video

In questo brano si narrano i primi anni di vita di Pink, quando non era ancora abbastanza grande per capire cosa era successo al padre. Il “ghiaccio sottile” (“thin ice”) rappresenta il breve e delicato periodo d’innocenza che tutte le persone hanno nella vita, prima che comincino a capire ciò che succede nel mondo che li circonda

If you should go skating
On the thin ice of modern life
Dragging behind you the silent reproach
Of a million tear stained eyes
Don’t be surprised, when a crack in the ice
Appears under your feet
You slip out of your depth and out of your mind
With your fear flowing out behind you
As you claw the thin ice

E una frase detta da una persona speciale (su un altro tema a me molto caro ma che è perfetta anche per questa situazione)

 Sapete, c’è un difficile e doloroso passaggio che prima o poi bisogna fare: quello dall’adolescenza all’età adulta. Mentre da ragazzo puoi permetterti le battaglie ideologiche, i sentimenti estremi, la cecità in nome delle tue passioni, quando cresci devi razionalizzare, buttare giù la pastiglia amara e uscire dal gruppo per pensare con la tua testa

Di questo fatto ne hanno parlato in maniera interessante anche

[hr]

Featured image Photo by Giulia van Pelt – http://flic.kr/p/dfmidQ

Note:

  1. Principalmente abbiamo accesso abusivo a sistema informatico (615-ter c.p.), violazione della segretezza della corrispondenza (art. 15 cost. e 616 c.p) , violazione sul trattamento dei dati (d.l. 196/03)
  2. Anche se il PD molto probabilmente sarebbe così autolesionista da firmarsi, è altamente improbabile che ci sia qualcuno del Partito Democratico dietro a questo fatto: i più ironici sostengono infatti che se fossero realmente del PD gli autori del gesto si sarebbero firmati o avrebbero cracckato le loro stesse cartelle
  3. Rubare e Sottrarre non sono sinonimi: grossomodo per furto s’intende la sottrazione di cosa mobile per cui il legittimo proprietario non è più un possesso della cosa, in questo caso invece i legittimi proprietari sono ancora in possesso della loro casella e per questo si parla di sottrazione (lo stesso discorso vale per le password ad esempio)
  4. la mia criticità verso il m5s risiede proprio in questa loro presunzione di conoscenza, scarsa capacità nell’uso degli strumenti che dicono di padroneggiano e nel parlare di soluzioni che non conoscono, come ad esempio di voto elettronico. Per chi volesse approfondire il tema c’è questo bell’intervento del prof. Ziccardi e di Claudio Agosti che durante il Festival del Giornalismo, all’hackers’ corner hanno affrontato ampiamente il tema: leggi l’articolo o guarda il video
  5. Intesa esattamente come scarsa capacità nell’uso del mezzo e limitata conoscenza nel suo funzionamento a causa soprattutto di un approccio ingenuo
  6. personalmente escluderei impossibile e certo come categorie
  7. a livello didattico tutti i rischi sono accettabili
  8. Capirete quindi che la frase “l’unico computer sicuro è quello staccato da internet e senza spina chiuso in un armadio in una stanza sigillata” è sbagliata, quello è un computer inaccessibile dove non c’è disponibilità e quindi, non è sicuro
  9. Sull’organizzazione e sulla gestione digitale dei partiti ci sarebbe da aprire una enorme parentesi
0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply