Pensieri e riflessioni non solo sulla tecnologia ma su molte cose che mi fanno pensare
Stiamo attivando il blog del Clusit e stamattina ho sistemato un pò la grafica e l’impaginazione.
Credo che grazie alla forma e ai meccanismi del blog possa diventare una esperienza significativa per allargare il ragionamento e l’informazione in materia di sicurezza. Il CLUSIT raggruppa più di 500 soci di diversa estrazione e competenza e se si abitueranno ad approfondire e a condividere i loro punti di vista e le loro esperienze avremo tutti da guadagnarci.
Un incidente informatico al Tribunale di Genova riporta alla cruda realtà: vinciamo i campionati del mondo di security ma non difendiamo le risorse preziose che abbiamo attorno a noi.
L’ho detto su Nova100, si dice "intrusione di hacker" ma ho l’impressione che sia un "semplice" worm che si diffonde per la mancanza di regole minime di sicurezza, per mancanza di formazione di chi usa i sistemi, per mancanza di consapevolezza dell’importanza che ha la difesa dei sistemi informativi per la nostra vita di tutti i giorni.
Cosa mi fa dire che non penso si tratti di una intrusione di hacker? Perchè ho grande rispetto dei "nemici", se fossero stati hacker, che sono sì dei banditi ma sono bravi, preparati, intelligenti, determinati, il sistema sarebbe stato devastato.
Ho commentato sul blog di Nova 100 la notizia che il team italiano dell’ Università di Milano ha vinto il Capture The Flag, il campionato mondiale di hacking.
E’ una bella notizia perchè vuol dire che, in termini generali, possediamo il talento, la fantasia e la capacità strategica necessarie per vincere la battaglia della sicurezza informatica.
La questione resta quella di come valorizzare questo talento, come divulgare l’esperienza accumulata, come fare tesoro delle modalità che i ragazzi del team hanno dovuto svilluppare per eccellere a livello mondiale come già avevano fatto nel 2004 e nel 2005 i loro colleghi del Politecnico di Milano.
Riprendo al volo un bel motto che il mio maestro Steve ha appena lasciato nel commento al post sul malware Storm:
E’ meglio sempre guardare in bocca al "caval donato": potrebbe essere un cavallo di Troia.
Ho approfittato della giornata grigia per rileggere gli appunti che avevo preso al seminario sulla sicurezza informatica e per preparante un riassunto comprensibile, spero, per i soci CLUSIT.
Ci sono riflessioni importanti su quelli che sono gli scenari della sicurezza delle informazioni nel prossimo decennio ed è rilevante il fatto che l’attenzione si sposta dalla sicurezza alla fiducia, dalla tecnologia alla relazione.
La sicurezza sarà più che mai il frutto della collaborazione.
Giorgio Giudice segnala sul blog del CLUSIT la recrudescenza del worm chiamato Storm che punta a due siti "happycards2008.com" e "newyearcards2008.com" e invita a installare un file "happynewyear.exe" e l’articolo di Network World che Giorgio cita si chiede giustamanete come è possibile che i due siti non siano stati ancora bloccati.
Storm è un malware che gira da parecchio tempo e utilizza veicoli particolarmente perniciosi (previsioni meteo, video, cartoline sexy) e ora gli auguri di Natale. E’ segnalata (Washington Post, ApogeoOnline) anche una variante che prende di mira Blogspot creando finti blog da cui distribuire il codice maligno.
Lo scopo principale del worm è quello di installare codice nascosto che trasforma la macchina target in un sistema di una rete botnet utilizzabile per mandare messaggi di spam ma non è escluso l’utilizzo per attacchi di Denial of Service.
Secondo il report del SANS Institute sulle 20 vulnerabilità più gravi, i sistemi entrati inconsapevolmente a far parte della rete botnet creata da Storm vengono stimati a settembre 2007 in tra 1 e 50 milioni!
The Storm Worm uses eDonkey/Overnet Peer to Peer protocol to communicate with infected hosts. It is estimated to run on as many as 1,000,000 to 50,000,000 infected and compromised computer systems as of September 2007.
E’ il caso di ripetere le regole di base: non scaricate attachment di cui non siete più che certi, tenete aggiornati i vostri antivirus!
Albena Spasova – Ufficio legale eBay
– 100% del business eBay dipende dalla fiducia. Se un utente ha una esperienza negativa non torna più
– La risposta: completa trasparenza con gli utenti, informazioni, una servizio h24 per rispondere alle potenziali frodi, un software gratuito che garantisce l’autenticità del sito eBay,
Tobias Husing – Ricercatore Empirica-Germania
– Nelle indagini sulla sicurezza per gli utenti finali, la gran parte non è nemmeno in grado di capire la domanda
– Qualunque analisi statistica classica non funziona per misurare la fiducia, serve un "benchmarking analitico" che analizzi in dettaglio anche micro indicatori
Rappresentante Governo Greco (nel dibattito)
– Non si tratta di fare nuove autorities ma di far intergire i player attuali e di unificare i linguaggi
Angela Sasse – Professor of Human-Centered Technollogies University College London
– Fiducia: volontà di essere vulnerabile basandosi su positive aspettative sulle azioni degli altri
– Hai bisogno della fiducia solo quando ci sono situazioni di rischio o incertezza
– E’ una scorciatoia per un approccio analitico alla valutazione costi-rischi-benefici
– Dopo le prime interazioni in un ambiente di fiducia, l’utente trasforma la fiducia in affidabilità e abbassa la percezione della vulnerabilità (vedi il phishing)
– La fiducia è (cognitiva (razionale) o immediata (pre-cognitiva) ad esempio con i familiari.
– Si sviluppa nella lettura di segnali che in realtà mancano nel mondo virtuale (Lorenzo sarebbe felice)
– Non si tratta di manipolare (mettere un viso sorridente) ma di aiutare gli utenti a comportamenti positivi in cui "La tecnologia consente agli utenti di prendere la giusta decisione in termini di fiducia"
– La tecnologia deve dare incentivi che premiano comportamenti corretti
– Creare segnali che utenti possono leggere e servono SINTOMI (es. prodotti di relazione fiduciaria) e non SIMBOLI
– Sostenere comunità di utenti che poi si autoregolano
– Compito della società è anche quello di ridurre le situazioni di "incertezza"
– Ragionamento da sistema non lineare: le cinture di sicurezza riducono gli incidenti? No, riducono i morti, è vero, li dimezzano. Ma il numero totale dei morti in Inghilterra non è diminuito perchè sono aumentati gli incidenti, anche perchè, siccome la gente si sente più sicura, va più veloce e corre maggiori rischi.
Ferenc Suba – Chairman of PTA CERT Hungary
– In Ungheria hanno scelto un modello che mantiene il ruolo governativo senza la farraginosità della PA: una fondazione che può operare secondo regole privatistiche
-Kai Rannenberg – Univ. Francoforte Coordinatore del progedtto FIDIS
– Per spiegare la dipendenza dalle reti presenta un servizio di localizzazione dei bambini e per gli anziani (e anche una toilette giapponese che analizza le feci mentre le fai)
– Take care of somebody è uno dei motivi che ci spingono a usare la rete perchè prima questa funzione era uno "Human privilege"
– Google costruisce una rete per i suoi clienti a Mountain Wiew e San Francisco riservata ai suoi utenti: vuol dire che entra nel mercato delle infrastrutture?
– Cosa fare? Maggiore controllo dei flussi di dati che riguardano l’identità (Hardware controllati dagli utenti?) Scegliere i partner a cui affidare le proprie credenziali.
Gerald Spindler – Univ. Gottingen
– Cheapest cost avoider Who is best equipped to develop safe and secure products/services?
– Le leggi devono creare minimum security standards (una sola eccezione nei prodotti medicali)
– La direttiva europea sulla responsabilità di prodotto non include il software come un prodotto
Kornelia Kutterer – European Consumer Association
– Buona l’idea delle regole minime di sicurezza ma occorre anche chi garantice l’imposizione e il rispetto di queste norme
– La Commissione Europea dovrebbe essere molto più precisa quando usa termini come pirateria, sicurezza, cibercrimine che oggi assimilano gli utenti ai terroristi
Un panino veloce e alcune riflessioni tra i partecipanti.
– Quello che dobbiamo affrontare è un mondo alla cui complessità non eravamo preparati. L’informatica era nata come sistema "lineare" e logico e con la rete ci troviamo in un sistema molto più simile agli eco sistemi e ai sistemi estremamente complessi. Parlare di security è come parlare di meteorologia, o di ecologia.
– Se vogliamo pensare alle sfide dei prossimi dieci anni dovremmo forse abbandonare ciò che sappiamo e provare terreni più "impossibili", mettedo insieme competenze che vengono da mondi apparentemente distanti: come diceva Bruce Sterling, il futuro è dove i linguaggi sono incoerenti e contraddittori.
– Un mondo con l’identificazione univoca di singoli oggetti e persone è estremamente pericoloso, dobbiamo pensare a forme di "proxy" che mettano delle generalizzazioni tra noi e la rete garantendo la protezione dell’identità e nel contempo la partecipazione responsabile.
Si ricomincia.