Che cosa è la sicurezza su Internet ?
Se siete pronti ad aprire gli occhi, accettare la realtà a non associare per 5 minuti sicurezza a parole come antivirus e firewall leggete questo articolo tratto da Wes Kussmaul.

Photo credit: Nelson Syozi

Ho passato gran parte dell'estate scorsa ad uno show alla radio nazionale, provando ad allertare la gente rispetto a quello che sta accadendo alla nostra infrastruttura dell'informazione.

Giorno dopo giorno mi imploravano di "Dire perfavore ai nostri ascoltatori che cosa possono fare oggi per proteggere il loro computer. Quali protezioni comprare contro virus, spyware, quali firewall e quali altri strumenti di sicurezza".

E giorno dopo giorno provavo ad essere cortese rispondendo:
"Non c'è niente che puoi comprare per proteggere il tuo computer, la tua famiglia e l'infrastruttura dell'informazione e della comunicazione dalla quale tu dipendi sempre di più. Se noi non abbiamo nessuna speranza di sicurezza nel nostro mondo online, dobbiamo tutti iniziare a pensare ai nostri mezzi per le informazioni tanto quanto ai nostri mezzi fisici".".

Ora i dati stanno iniziando a mostrare quanto la situazione sia divenuta grave.

Il 13 marzo 2005, in una relazione intitolata Know your Enemy: Tracking Botnets ( Conosci il tuo nemico: Tracciando le reti di Computer Controllati ), la Honeynet Project & Research Alliance ha pubblicato per la prima volta che io sappia i risultati di un'analisi complessiva di questo fenomeno - non solo di quanti worm o virus sono usciti o di quali tipi di network stiamo costruendo.

Quel virus che il tuo bambino ha preso visitando un sito di giochi o di musica fà di più che rallentarti il computer di casa. Esso rende il tuo PC parte di una rete, di una intranet di criminali. Queste sono le conclusioni a cui sono arrivati i ricercatori dell' Honeypot Project:

"La nostra ricerca mostra che molti pirati sono altamente qualificati ed appartengono a strutture criminali ben organizzate. Unendo le forze di migliaia di computer bot è possibile bloccare qualsiasi sito o network all'istante. Perfino nelle mani di persone inesperte è ovvio che le botnet rappresentano un'arma pericolosissima. Dal momento che le botnet rappresentano una minaccia potente noi abbiamo bisogno di una varietà di meccanismi per combatterle." Il paragrafo successivo conclude, "Attualmente non sappiamo di un utilizzo delle botnet per danneggiare istituzioni militari o governi. Sarà il tempo a dircelo.".

I media principali stanno finalmente iniziando a comprendere il pericolo.

ll giorno dopo ( 14 marzo ) la questione è rimbalzata su Forbes che ha lanciato un articolo intitolato "Our Frankenputer", con la seguente sottolineatura : In termini di sicurezza progettare un PC rappresenta un soluzione improvvisata. Le patch non sono altro che uno sforzo inutile.

Storie di furti di identità e frodi su Internet sono diventate ormai frequentissime.

Chiunque abbia letto i miei libri e i miei articoli sà che non posso esimermi da citare uno dei più eminenti crittografi al mondo Taher Elgamal, responsabile per il Protocollo di Sicurezza SSL.
Quando un reporter della rivista Red Herring gli ha chiesto: "Qual è il peggiore errore che la gente sta facendo con le proprie architetture di sicurezza" ?, Elgamal ha risposto: Il più grande errore è che non esistono architetture di sicurezza!"

Qualsiasi cosa tu faccia, perfavore non pensare "Non può essere così, ci sarà per forza un modo per aggiustare i vari computer per proteggere me, la mia famiglia, il mio conto in banca, i miei dati sulla mia salute, la mia comunità, le infrastrutture vitali dell'informazione della mia nazione."
Non pensare che il problema possa essere risolto dai più bravi tra i tecnici dell'informazione.

Non può essere risolto

Noi abbiamo dei problemi ben più grandi e non possono risolverli nè tecnici più diligenti, nè hardware più potenti, nè software più intelligenti.

Come abbiamo potuto come cultura economica mondiale aver investito trilioni di dollari nell'information technology e non poter nenche fornire una sicurezza elementare ?

La risposta di ora è la stessa di 25 anni fà.

Quando i personal computer erano nuovi, non c'era bisogno di porci queste domande. I venditori avevano carta bianca nello stabilire le nostre aspettative, utilizzando interfacce, formati e standard per manipolare le nostre infrastrutture dell'informazione a loro vantaggio.

Non sapevamo cosa chiedere ma ora dobbiamo imparare

Fammi ritornare a Taher Elgamal, perchè egli cattura perfettamente la natura del problema e suggerisce la soluzione.

"Qual è il peggiore errore che la gente sta facendo con le proprie architetture di sicurezza" ?, Elgamal ha risposto: Il più grande errore è che non esistono architetture di sicurezza!"

Esplicativo, se noi non abbiamo un architettura, perchè non chiamare un architetto ?

Se noi fossimo un presidente di banca e ci accorgessimo un giorno di avere delle porte di sicurezza perfette ma di un avere la costruzione attorno, a chi ci dovremmo affidare? Ad un tecnico delle porte di sicurezza o ad un architetto ?
Tu risponderesti: - Bene inizia a progettare l'edificio, poi diamo il progetto ad un appaltatore, poi contattiamo le ditte per avere le materie prime e alla fine di tutto installiamo gli allarmi e le porte di sicurezza -.

Oppure preferisci fare subito le porte di sicurezza e sperare ?

Secondo me Elgamal è anche troppo ottimista, perchè non solo mancano le architetture ma addirittura mancano gli architetti.

Se chiedi ad un tecnico dell'informazione a proposito delle architetture, ascolta con cura perchè ti darà una spiegazione dettagliata ma solo di come si mettono insieme i vari materiali.

La buona notizia è che , attraverso un modo nuovo di fare le cose, abbiamo la possibilità di migliorare la nostra sicurezza fisica e online, per ridurre la minaccia alla nostra privacy, e rendere la nostra vita migliore.

L'approccio all'architettura inizia con qualcosa chiamato Public Key Infrastructure (PKI).

Le soluzioni PKI non sono nuove, si basano sulla crittografia a chiave pubblica. Perfavore non permettere che la parola "crittografia" ti spaventi.

Ma sebbene la crittografia a chiave pubblica sia efficace e sicura al 100% in condizioni di laboratorio, così non lo è la sua reputazione..

Rendere le PKC applicabili e funzionanti nel mondo reale è difficile perchè dovrebbe coinvolgere le autorità, i governi, le abitudini di comunicazione, di commercio etc etc.

Quando una soluzione coinvolge un mix di tecnologia e leggi è difficile da applicare.

Dobbiamo utilizzare un pò di senso comune quando si parla di information technology e le PKI non possono aver successo se sono lasciate solo in mano ai tecnologi, ai tecnici dell'informazione-
Il loro obiettivo va ben al di là dei professionisti dell'Information technology.

Chi è abbastanza qualificato per prendere il comando nella costruzione di edifici fatti di PKI ?
La risposta è tu. Sicuramente abbiamo bisogno di architetti e di altri professionisti per far sì che tutto ciò accada, ma tutto deve iniziare da te.

Tratto da articolo originale di Wes Kussmaul e Robin Good in data 18 marzo.
http://www.masternewmedia.org/news/2005/03/18/the_internet_has_no_security.htm

Note from the author:
Feel free to re-use and publish this (with due credit) as you see fit. You will of course wonder what's my angle, what am I trying to sell? I do have books and reports to offer, but I am not going to mention their titles or anything else about them here because I want the focus to be on the issues.

Wes Kussmaul