LA SICUREZZA INFORMATICA HA UN SENSO?
di Pietro Bergamaschini

                                Opera di Alessandro Matta

Parlare oggi di Sicurezza Informatica è non solamente un argomento complesso, ma anche complicato e pieno di aspetti oscuri, a volte poco spiegabili, ma con una analisi attenta, possiamo arrivare a trarre delle conclusioni di ipotesi plausibili e significative. Se apriamo un qualsiasi motore di ricerca e digitiamo le parole Sicurezza Informatica, vediamo che la ricerca da un notevole numero di risultati di aziende che offrono servizi e sistemi per la sicurezza delle tecnologie dell’informazione e delle reti, e di conseguenza delle informazioni contenute nei computer connessi, impedendo intrusioni o cercando di intervenire sui virus, termine generico per indicare un innumerevole serie di tipi differenti di intrusioni ed aggressioni, al fine di conservare la integrità e la riservatezza dei dati archiviati o in transito nella rete internet, comprese le password e i dati personali. Ovviamente essere accorti nel “muoversi” durante la navigazione in rete o nell’apertura di e-mail o altro, anche sms, sospetti, è alla base del buon funzionamento del sistema di sicurezza. Le minacce sono in crescente aumento, ed i motivi sono vari, dallo spostamento di numerose operazioni su computer e smartphone in vari settori, da quello bancario agli acquisti online, o della richiesta verso Siti Istituzionali di documenti. E la crescita di informatizzazione delle Istituzioni oltre alla presenza sui Social offre maggiori possibili attacchi vista l’interconnessione costante della maggioranza della popolazione. Ovviamente sia le Istituzioni sia i Social investono molto nella sicurezza delle connessioni e della protezione dei dati personali, ma gli attacchi hacker sono sempre più numerosi e i crimini informatici, dal furto di identità, alla violazione della privacy, alla violazione di conti correnti eccetera, è in aumento spaventoso, in parte anche dovuto alla crisi a seguito dei lockdown per l’emergenza Covid. Ed inoltre il possesso fraudolento di banche dati rivendute ad aziende di marketing o altre interessate ad effettuare una mirata campagna di vendite conoscendo abitudini, interessi, orientamento politico, religioso e tanto altro di un notevole numero di persone, frutta molto a chi vende i dati di milioni di persone. I settori maggiormente colpiti infatti sono proprio i servizi di enti pubblici, medici e vendite online oltre che i social, in quanto le informazioni raccolgono appunto dati finanziari e medici. Cerchiamo di comprendere il motivo della continua ricerca sulla sicurezza e comprendere perché gli antivirus non sono efficaci verso tutti i virus. Apparentemente si pensa sia ovvio e scontato, “perché compaiono sempre nuovi virus che non vengono riconosciuti come tali” e gli antivirus lavorano su ciò che conoscono, un po’ come si muove la ricerca medica. Ma nella realtà se proviamo ad approfondire tale concetto, ci troviamo d fronte a un complesso sistema di studi e dobbiamo parlare di un poco di storia della informatica e risalire a Leonard Max Adleman, che è stato il primo ad aver utilizzato il termine “virus”, che è anche l’ideatore del computer a DNA, essendo biologo molecolare e nel 1994, usando gli strumenti della biologia molecolare, decifrò un’istanza del quesito del cammino hamiltoniano su un grafo orientato (PPHO), per la prima volta risolse un problema matematico con la biologia. Egli ha anche dimostrato che se fosse possibile creare un algoritmo in grado di determinare la presenza di un virus in un generico ambiente, allora si spiegherebbe anche il problema detto “halting problem”, trattato ipoteticamente da Alan Turing e cioè se considerato un qualsiasi programma o un input sia possibile determinare se sia in esecuzione all’infinito o se prima o poi si fermerà, ed Alan Turing dimostrò che tale problema è “indecidibile”. Riprendendo il nostro problema dell’antivirus capace di individuare qualsiasi nuovo virus, Leonard Max Adleman dimostrò che è equipollente all’”halting problem” e quindi anch’esso indecidibile. Quindi concludendo, se equipariamo i due problemi al nostro, risulterà impossibile prevedere nuovi virus generici. Ma al tempo stesso considerando che nella ricerca informatica dei sistemi di sicurezza si usa l’euristica, cioè un processo che racchiude varie strategie e procedimenti inventivi per ricercare un ragionamento, o sistemi utili per risolvere un’incognita data, ovviamente da convalidare da un esame finale, in quanto inflessibile, e considerando che le case di antivirus lavorano proprio per approssimazioni dei virus noti studiando l’eventuale evoluzione dello stesso e il futuro comportamento, possiamo affermare che l’antivirus “perfetto” non esiste, ma ci si potrebbe accontentare, e come nella citazione si afferma, usare più “il dubbio” che la certezza della Sicurezza. Tutto questo ci fa apparire un poco più chiara la situazione della Sicurezza Informatica e dei servizi che moltissime aziende offrono. Un altro punto importante, noto negli ambienti informatici, meno negli utenti finali, è che a seconda del sistema operativo che si usa si è maggiormente esposti ai virus, non solo per il differente funzionamento, o meglio comportamento di questi, ma per la loro diffusione. Microsoft con Windows 10 è sicuramente il più diffuso e quindi più soggetto ad attacchi, in quanto violandolo si arriva a milioni di persone, al secondo posto abbiamo MacOS della Apple, e oramai anche questo non immune da virus, e per ultimo Linux, che come gli altri ha i suoi virus, di conseguenza anche i diffusissimi smartphone, la maggior parte con Android, creato da Google e basato su kernel (il cuore dei sistemi operativi) Linux, ha enormi problemi. Un elemento che molti non sanno a riguardo di ciò che il numero dei sistemi operativi oramai ha raggiunto i mille differenti, molti poco usati, altri un poco di più, tutti funzionanti perfettamente, ma con un aspetto (le interfacce) a cui siamo abituati, molto differenti, e con molti dei software che normalmente usiamo che non funzionano. Ma paradossalmente sono più sicuri da virus, essendo appunto meno diffusi. In conclusione sembra che il senso di sicurezza offerto sia veramente scarso, e nella realtà lo è davvero, non solo il senso che abbiamo avendo o non avendo un antivirus, ma visti alcuni casi noti a molti, ci si chiede se vale la pena di adoperarsi ad avere password complesse e decine di sicurezze, quando leggiamo che una “falla” in un social coma Facebook ha messo in rete 560 milioni di password di email, o come poi si scopre che sì forse una “falla” ha provocato danni, ma che i social, non solo Facebook e derivati, si “vendono” i dati preziosi dei loro utenti ad aziende di marketing o come lo scandalo di Avast, nota casa di antivirus che ha venduto i dati di navigazione dei suoi clienti agli affamati di dati, i Big Data, come Google, Microsoft, Pepsi, Yelp, Condé Nast, e molti altri. E si consideri che il solo mercato italiano dei Big Data Analytics vale 1,8 circa miliardi di euro, e circa il 92% delle aziende sta investendo in questo settore. O le falle nei sistemi delle Istituzioni, o i dati persi, come recentemente accaduto nelle Regioni Lombardia, Campania e Lazio. Errori e “falle”? O incapacità di prevedere il valore dei dati medici, risorsa eccellente per le case farmaceutiche? Superficialità? Impreparazione del passaggio obbligato oramai al digitale? Difficile comprendere grossolani errori. Ma a parte quanto sopra esposto, e le eventuali poche risorse di istituzioni, e la enorme diffusione del mercato della vendita di dati, e il falsato senso di sicurezza dei software dedicati a proteggerci, viene in mente un elemento “diversivo” se vogliamo chiamarlo così a cui pochi pensano, e la colpa è sempre di “falle”, Hacker, Virus. Questo elemento “diversivo” viene da introdurlo con una frase di duemila anni fa, periodo in cui Roma, era “Il Mondo” e per questo attuale in quanto oggi non è riferibile solo alla Città Eterna, ma effettivamente al Mondo Intero ed a quello di cui stiamo trattando della rete Internet.

“A Roma tutto ha un prezzo.”
Decimo Giunio Giovenale

E così vengono in mente azioni “criminali” differenti dal Cyber Crime, la vecchia cara corruzione delle persone che lavorano dietro la Sicurezza Informatica. Perché spendere centinaia di milioni per hacker o per violare siti, o carpire dati facendo figure meschine, quando basta corrompere un dipendente, un tecnico, con un medio, medio-alto livello di accesso alla Sicurezza dell’Ente per cui gestisce la manutenzione per conto della azienda per cui lavora, che offre appunto eccellenti servizi di Sicurezza, anche se come dicevamo sopra mai perfetti, per faticare meno e spendere meno. Un esempio, Edward Snowden, ex tecnico della CIA, collaboratore di un’azienda consulente della National Security Agency, noto per aver pubblicato diversi documenti segretati come le intercettazioni telefoniche tra Stati Uniti e Unione Europea, il PRISM, e programmi di sorveglianza Internet. Per soldi, per fama, per passare alla Storia? Chissà!! O come Chelsea Manning, che ha trafugato migliaia di documenti riservati mentre era analista di intelligence nelle operazioni militari in Iraq. O chissà in quanti altri casi di meno eclatante evidenza mediatica, ma magari molto remunerativi. Quindi in conclusione, se già i Sistemi di Sicurezza offerti non sono “perfetti” e infallibili, se spesso gli hacker anticipano le “falle” e violano sistemi presumibilmente sicuri, se le Aziende garantiscono un “certo livello di Sicurezza”, ma non la perfezione, chi di questi garantisce che i dipendenti, non solo delle case che offrono Sicurezza, ma anche di Enti Istituzionali, Istituti Bancari, eccetera, sono eticamente e moralmente adeguati agli incarichi che hanno di preservare la nostra Privacy? Quale è il fine del carattere razionale dell’uomo che lavora per la Sicurezza? La felicità di un lavoro secondo cui il prevalere delle facoltà razionali e con la realizzazione delle virtù dianoetiche può bastare? Anche dove sono gli impulsi sensibili (il Dio Denaro) a determinare le scelte? È possibile che abbia un comportamento virtuoso e che dominando la corruzione rimanga tale? Ce lo auguriamo con il beneficio del “dubbio”.

“I computer sono incredibilmente veloci, accurati e stupidi.
Gli uomini sono incredibilmente lenti, inaccurati e intelligenti.
L’insieme dei due costituisce una forza incalcolabile.”
Albert Einstein

di Pietro Bergamaschini

 

Pietro Bergamaschini
Già dipendente della Camera dei Deputati, esperto d’informatica.
Attualmente Direttore Editoriale del Giornale Online “Italianitalianinelmondo.com”