INTERVISTA
a cura di Raffaele Barberio
Sicurezza, riservatezza, lotta alla pirateria, calcolo ubiquo e pervasivo: sono tutto temi dei quali oggi si parla sempre più, non tanto e non solo per le difficoltà attuali che alcune di tali manifestazioni determinano nei sistemi informativi, quanto per le prospettive e le applicazioni del futuro.
Uno dei più importanti esperti in ambito internazionale è il prof. Maurizio Decina, Ordinario di Telecomunicazioni al Politecnico di Milano e presidente dell’Advisory Board di Key4biz.
Abbiamo incontrato il prof. Decina nel suo studio e gli abbiamo posto alcune domande alle quali ci ha risposto con la sua proverbiale semplicità e chiarezza analitica.
Ne emerge uno scenario complesso ed impegnativo nei confronti del quale imprese ed istituzioni sono chiamate ad una nuova attenzione verso un scenario del tutto senza precedenti.
K4B. Ci risiamo, proprio in questi giorni il nuovo pericolo da virus viene dalla Russia. Sembra un gioco preordinato, un copione che si ripete. Pare proprio che dobbiamo abituarci a convivere con l’emergenza sicurezza?
R. Il misterioso worm, che da qualche giorno minaccia i computer di mezzo mondo, sarebbe stato diffuso da Hangup, un gruppo di hacker che opera da Arcangelo, nella Russia settentrionale, e che è stato inattivo per qualche anno. Il virus ¿scob¿, altrimenti conosciuto come ¿download.ject¿, sfrutta un sistema per penetrare le difese d’internet infettando i server.
Nel 2003 sono stati rivelati dal Cert Coordination Center (il celebre ente statunitense per la sicurezza telematica, che ha appena compiuto 15 anni di vita) circa 140.000 attacchi informatici (incidenti) segnalati, contro 80.000 del 2002. Nel 2004, il numero degli incidenti segnalati continua inesorabilmente ad aumentare con tassi di crescita del 60-80% l’anno. l’unico miglioramento segnalato dal Cert/cc è la diminuzione delle vulnerabilità riscontrate a fronte degli attacchi rivelati: questo significa che in qualche modo la consapevolezza delle aziende e dei consumatori nei riguardi della sicurezza informatica è aumentata. (vedi Figura 1)
K4B. Come si sono evolute le tecniche d’attacco nel corso degli anni? In sostanza com¿è cresciuto il livello di sofisticatezza degli attacchi?
R. Un celebre grafico pubblicato dal Cert/cc mostra che dal 1990 al 2004 le tecniche d’attacco sono diventate sempre più sofisticate, grazie alla disponibilità sulla stessa Internet di siti web pirata che forniscono strumenti informatici, tools, che permettono di eseguire attacchi a persone che non sono esperte, ma semplici esecutori. (vedi Figura 2)
K4B. In poco tempo un virus può fare danni enormi. Ma qual’è il ciclo di vita delle vulnerabilità? Quali modifiche rispetto al passato? Quali i problemi per il futuro?
R. Dai virus ai worm, dai troyan allo spyware, per finire con lo spam. l’universo zoologico degli strumenti di pirateria informatica si è andato popolando di nuove devastanti specie. Oggi quello che importa è appunto il cosiddetto ¿ciclo delle vulnerabilità¿, in altre parole, con riferimento ai virus, il periodo di tempo che intercorre tra l’immissione in rete del virus e l’applicazione dell’antivirus sui computer esposti in rete.
Questo periodo comprende la rivelazione della vulnerabilità attaccata dal virus, la creazione del ¿fix¿, dell’antivirus, ed inoltre la distribuzione del fix in rete. Oggi il ciclo dura da poche settimane a qualche giorno, nell’assunzione che gli utenti dei computer applicano poi effettivamente il fix alle loro macchine.
l’evoluzione degli attacchi tende a generare virus che si autoreplicano e si diffondono sempre più rapidamente: in un prossimo futuro il ciclo di vulnerabilità potrà arrivare a poche decine di minuti. Una vertiginosa competizione globale ¿guardie e ladri¿ contro il tempo!
K4B. Eppure, secondo quanto riportato da Joseph Pelton, negli Stati Uniti nel 1998 si è scoperto, attraverso un¿indagine casuale di una società di consulenza aziendale, che il 90% di tutte le centraline di comunicazione operanti in reti pubbliche e private avevano mantenuto i codici d’accesso assegnati originariamente dai costruttori. Cos¿è superficialità, disorganizzazione o altro?
R. E¿ proprio quello che intendevo, quando ho rilevato che spesso le aziende e gli utenti in generale sono ¿pigri¿ nell’eseguire gli aggiornamenti antivirus necessari, così come gli aggiornamenti delle loro password.
Nel caso del worm Sasser, la Microsoft aveva rilasciato il fix della vulnerabilità il 13 aprile del 2004, gli attacchi effettuati nei mesi seguenti hanno colpito numerosi grandi enti e grandi aziende che non avevano eseguito per tempo l’aggiornamento dei loro server.
Si tratta di mancanza di ¿cultura della sicurezza¿. La sicurezza dei sistemi informatici in rete non si protegge soltanto utilizzando strumenti tecnologici di difesa: un adeguato grado di sicurezza si ottiene anche attraverso l’impiego di processi organizzativi e risorse umane adeguate, e soprattutto diffondendo tra gli utenti la consapevolezza dell’importanza della sicurezza delle informazioni.
K4B. Quali sono, per grandi famiglie, le principali innovazioni tecnologiche in ambito di sicurezza?
R. Possiamo fare riferimento a quattro grandi famiglie di tecnologie.
La prima è la tecnologia della crittografia, gli algoritmi matematici che oggi ci consentono di cifrare i messaggi e autenticare le persone. Lo standard DES ha lasciato posto al nuovo standard AES, molto più potente contro gli attacchi dei malintenzionati. Anche qui si tratta di una gara contro il tempo tra coloro che inventano nuovi algoritmi crittografici e coloro che invece studiano algoritmi per la decifrazione di testi segreti.
La seconda famiglia tecnologica è quella della trasmissione a distanza d’informazioni, ¿sicura al 100%¿. E¿ il settore della crittografia quantica, che permette di trasmettere informazioni sulle fibre ottiche con la garanzia di non-intercettazione: incominciano ad apparire sul mercato i primi costosissimi dispositivi commerciali (vedi la società Quantique di Ginevra).
Il terzo settore è quello dell’identificazione biometrica (impronta digitale, configurazione del volto, dell’iride, impronta vocale, ecc.). Un settore molto decantato dai media, che però deve fare i conti con le probabilità di falso riconoscimento associate a queste tecniche: solo l’uso del DNA minimizza tali probabilità.
l’ultima gran famiglia è quella che fa riferimento allo sviluppo del calcolo pervasivo e ubiquo e degli smart objects, gli oggetti intelligenti. La più grande sfida posta all’ingegno umano per consentire l’armonioso sviluppo a queste nuove tecnologie informatiche consiste proprio nel progettare adeguati livelli di sicurezza in un mondo popolato da oggetti intelligenti.
K4B. Recentemente, al convegno organizzato a Roma dal Garante della Privacy, lei ha usato la metafora di Giano bifronte nel rapporto tra reale e virtuale. Cosa intende esattamente?
R. La sicurezza e la privatezza delle informazioni sono oggi minacciate dai pirati informatici che navigano nel ciberspazio realizzato dalla rete Internet e dalle sue innumerevoli applicazioni.
Questo scenario è destinato ad evolvere rapidamente, verso orizzonti ancora più minacciosi. La rete si amplia vertiginosamente, sia con la diffusione degli accessi ad Internet tramite i sistemi mobili, sia con la diffusione dei sistemi di calcolo pervasivo: gli oggetti intelligenti.
Nel mondo degli oggetti intelligenti, del calcolo pervasivo e ubiquo, le minacce alle informazioni del mondo ¿virtuale¿ creato da Internet si arricchiscono di nuove minacce, forse più devastanti, connesse al mondo ¿reale¿, degli oggetti, degli indumenti e degli ambienti che ci circondano, fino ad arrivare agli oggetti ¿immersi¿ nel corpo delle persone.
Giano bifronte guarda al problema della sicurezza informatica nei due mondi, quello virtuale di oggi (Internet) e quello reale del futuro (Internet pervasiva).
Mentre nel mondo virtuale, nel ciberspazio, non ci sono più luoghi fisici e distanze; in quello reale, popolato di ¿sensori wireless¿ immersi nell’ambiente che ci circonda, localizzazione e distanza diventano di nuovo importanti. Tutti i problemi socio-economici relativi alla raccolta d’informazioni sugli utenti nel ciberspazio diventeranno attuali anche nel mondo reale.
K4B. Sino a qualche tempo fa sicurezza era sinonimo d’attacco da virus. Ora si parla di sicurezza legata anche a privatezza, proprietà intellettuale, responsabilità, reputazione e tanto altro. Allora quante sono le facce della sicurezza?
R. Ci sono tre facce della sicurezza dell’informazione, tre diversi aspetti della sicurezza, strettamente collegati tra loro dal punto di vista delle tecnologie informatiche usate e dei problemi socio-economici che stimolano. (vedi Figura 3)
Queste sono: la sicurezza vera e propria, intesa come la segretezza, la confidenzialità o la riservatezza delle informazioni che si scambiano in rete gli interlocutori.
La privatezza delle informazioni è la seconda faccia. Qui si tratta sostanzialmente del problema della ¿riservatezza dei dati personali¿, ma non solo, direi che è in gioco il ¿diritto all’anonimità¿, o meglio il diritto alla ¿inosservabilità¿, semplici e basilari diritti che le persone hanno (avevano) nel mondo pre-tecnologia-dell’informazione.
La terza faccia è quella della proprietà intellettuale. La gestione dei diritti digitali per il godimento on-line di brani musicali, brani video, eBook, è un tema molto importante che si affida a soluzioni tecnologiche per controllare l’accesso degli utenti alla fruizione dei prodotti elettronici. Sono fornite ai clienti, che hanno acquistato i diritti d’autore, delle chiavi crittografiche personalizzate che consentono la visione e l’ascolto dei prodotti scaricati on-line.
K4B. Quali tecniche per garantire la privatezza nelle applicazioni Rfid e quali i principali benefici da tali applicazioni?
R. Le cosiddette ¿etichette intelligenti¿, smart tag o Rfid, Radio Frequency Identification, sono dei tag flessibili che sostituiscono i codici a barre con cui si classificano e si movimentano tutti i prodotti industriali. Gli Rfid sono alimentati direttamente dalla radiazione elettromagnetica del fascio di lettura in radio frequenza. Oggi il costo di un Rfid è dell’ordine di 5/10 centesimi di dollaro Usa, per grandi quantità. La distanza a cui possono essere letti o scritti questi ¿flexible tag¿ può arrivare, in determinate applicazioni, anche ad alcune decine di metri. Il mondo della logistica e della grande distribuzione sarà molto presto invaso da applicazioni basate sugli Rfid, con grandi benefici di efficienza ed efficacia.
Nel caso delle etichette intelligenti le tecnologie della sicurezza e della privatezza permettono un vasto ventaglio d’opportunità e di soluzioni che possono adattarsi alle specifiche esigenze sociali che verranno a determinarsi. Il metodo più attraente è basato sulla crittografia ed è gestito direttamente dal cliente finale del prodotto dotato di Rfid. Sarà proprio il cliente a decidere quale informazione residente nelle etichette potrà essere rivelata al pubblico e quale dovrà rimanere segreta.
K4B. E¿ la conferma di quanto lei sostiene da tempo, anche nelle sedi internazionali, che focus dei prossimi anni sarà maggiormente concentrato nel macro-segmento delle applicazioni wireless?
R. Le etichette intelligenti sono soltanto un esempio dei prodotti del calcolo pervasivo e ubiquo che si diffonderanno nella nostra vita quotidiana. In generale gli oggetti intelligenti saranno dotati di sensori capaci di comunicazione via radio, wireless, in rete con altri sensori, al fine di realizzare nuovi servizi e applicazioni. Si pensi ad esempio all’uso di micro-sensori wireless per il controllo della polluzione ambientale o del traffico urbano, oppure per il controllo del riciclaggio di tutti i prodotti industriali.
K4B. Attacchi da super-virus, manomissione di sistemi di centraline di traffico ferroviario o aereo, distruzione di banche dati o furti di records significativi per le sicurezze nazionali, attacco alle reti di energia, agli acquedotti ecc. Uno scenario apocalittico. Alcuni sostengono che il prossimo banco di prova del terrorismo internazionale sarà il tecnoterrorismo. Non più aerei contro le Torri Gemelle, ma armi virtuali capaci di fare immensi danni reali. E¿ una prospettiva concreta?
R. Nel ciberspazio e nel mondo reale c’è una virtuosa e dinamica frontiera d’equilibrio, tra necessità di garantire la sicurezza, fisica e virtuale, degli individui e necessità di garantire la libertà degli individui stessi e in particolare la loro privatezza.
Le tecnologie informatiche della sicurezza e della privatezza vanno di pari passo nello sviluppo della scienza e dell’ingegneria dei grandi sistemi telematici. La progettazione e la gestione dei sistemi informativi devono aderire a criteri di diffusione basati sul consenso sociale e civile ai sacrifici delle libertà personali in favore di un equo ed elevato livello di sicurezza sociale.
Le grandi minacce del mondo digitale sono compensate dalle grandi opportunità offerte dalla tecnologia digitale. Ad esempio, di recente ho avuto modo di illustrare attraenti applicazioni civili e virtuose delle reti di sensori intelligenti, con riferimento ai sensori cosiddetti ¿smart dust¿, polvere intelligente. Ho descritto uno scenario (non molto distante nel tempo) in cui la polvere intelligente dotata di sensori d’esplosivi, come quelli che si usano negli aeroporti, è messa a sorveglianza degli snodi di traffico, quali le stazioni delle metropolitane, per la prevenzione d’attacchi terroristi, come quello recente e devastante di Madrid.
© 2004 key4biz.it
Relazione del Prof. Maurizio Dècina tenuta in occasione del Convegno organizzato dal Garante Privacy in 18 giugno 2004:
Comunichiamo a lettori ed abbonati che da oggi sono disponibili i profili aziendali di
Ericsson SpA
Cairo Communication
Finmatica
BenQ Corporation
Italtel
Aethra
La7 Televisioni SpA
mm02
Fox Entertainment Group
NBC Universal
Vodafone KK
I nuovi 11 Profili Aziendali si aggiungono ai 150 già disponibili (per consultare l’elenco clicca qui)
I profili aziendali comprendono scheda anagrafica, cronistoria, territori coperti, prodotti e servizi offerti, partnership, volumi d’affari, bilanci, ecc.
