Sempre grazie a Cryptogram, abbiamo la traduzione di una conversazione tra Bruce Schneier, esperto di sicurezza, e Marcus Ranum, ideatore del proxy firewall, tratta da un articolo originariamente apparso in “Information Security Magazine”.
Già il titolo “La sicurezza fra dieci anni” è tutto un programma.
Buona lettura!
La sicurezza fra dieci anni
Questa è una conversazione fra il sottoscritto e Marcus Ranum.Solitamente pubblico solo la mia metà di questi scambi di vedute. Ma dato che questo scambio in particolare presenta molti punti interconnessi fra loro, ha molto più senso includere l’intero articolo.
Bruce Schneier: Le previsioni sull’argomento sono al tempo stesso semplici e ardue. Roy Amara dell’Institute for the Future una volta disse: “tendiamo a sopravvalutare l’effetto di una tecnologia nel breve termine e a sottovalutarlo nel lungo periodo”.
La Legge di Moore è semplice: nel giro di 10 anni, i computer saranno 100 volte più potenti. Il mio computer da scrivania starà in un cellulare, avremo dovunque una connessione wireless gigabit, e reti personali collegheranno i nostri sistemi informatici e i servizi remoti a cui ci iscriveremo. Altri aspetti del futuro sono molto più difficili da prevedere. Non credo che esista qualcuno in grado di prevedere che cosa porteranno le proprietà emergenti di una capacità di calcolo cento volte maggiore: nuovi utilizzi per i computer, nuovi paradigmi di comunicazione. Un mondo cento volte più potente sarà diverso, in modi che si riveleranno sorprendenti.
Ma attraverso la storia e guardando al futuro, l’unica costante è la natura umana. Sono passati millenni e non è stato ancora inventato un nuovo reato. Frode, furto, scambio di persona e falsificazione sono problemi perenni che esistono sin dagli albori della società. In questi ultimi dieci anni, tali reati si sono trasferiti nel cyberspazio, e nei prossimi dieci migreranno verso qualsiasi piattaforma di calcolo, di comunicazione e di commercio che staremo utilizzando.
La natura degli attacchi sarà diversa, così come i bersagli, le tattiche e i risultati. La sicurezza è al tempo stesso un compromesso e un braccio di ferro, un equilibrio fra chi attacca e chi si difende, e i cambiamenti tecnologici sconvolgono tale equilibrio. La tecnologia potrebbe rendere una certa tattica molto più efficace, o una particolare tecnologia di sicurezza più a buon mercato e quindi più diffusa. Oppure una nuova applicazione emergente potrebbe diventare un bersaglio preferito.
Non vedo nulla, da qui al 2017, che cambierà tutto questo in maniera fondamentale. Tu che ne dici?
Marcus Ranum: penso che tu abbia ragione; a un meta-livello, i problemi sono destinati a rimanere gli stessi. Quel che per me è sconvolgente e scoraggiante è che anche le nostre risposte a tali problemi rimangono le stesse, malgrado la loro inefficacia sia più che evidente. Siamo nel 2007 e ancora pare non abbiamo accettato il fatto che:
* Non è possibile che del software pessimo diventi affidabile continuando ad applicarvi delle patch.
* Non si dovrebbero mescolare sistemi di produzione con sistemi non di produzione.
* È davvero necessario sapere quel che sta succedendo nei propri network.
* Se si fanno girare i propri computer con un runtime model basato sull’esecuzione aperta, si finirà sempre col ricevere virus, spyware e cavalli di Troia.
* Si possono approvare leggi sulla chiusura delle porte della stalla dopo che sono scappati i cavalli, ma questo non servirà a far tornare i cavalli nella stalla.
* La sicurezza deve essere intrinseca al progetto, come parte di un piano sistematico volto all’affidabilità; non dev’essere aggiunta e adattata alla meno peggio in un secondo momento.
L’elenco potrebbe continuare per parecchie pagine, ma sarebbe troppo deprimente. Sarebbe “la lista di Marcus delle cose ovvie che tutti conoscono ma nessuno accetta”.
Hai dimenticato un aspetto importante del problema: nel 2017 i computer saranno ancora più essenziali per le nostre vite, per l’economia e le infrastrutture.
Se tu hai ragione sul fatto che il crimine rimane una costante, e io ho ragione sul fatto che le nostre risposte in merito alla sicurezza informatica continuano a essere inefficaci, allora il 2017 sarà molto meno “divertente” di quanto lo sia stato il 2007.
Non ho dato molto credito ai concetti di guerra cibernetica e di terrore cibernetico. Quella scarsa considerazione veniva motivata dalla mia osservazione secondo cui la natura improvvisata e “a patchwork” di moltissimi sistemi informatici funzioni essa stessa da misura difensiva, e che gli attacchi nel mondo reale continuano a essere più efficaci economicamente e più pratici da realizzare per scopi terroristici.
Vorrei ufficialmente modificare un poco la mia posizione: ritengo che entro il 2017 sarà molto più probabile che avvengano guasti catastrofici all’interno di infrastrutture critiche. Probabilmente però non per mano di terroristi; è assai più probabile che vi sarà un pauroso black-out perché un sistema critico era collegato a un sistema non critico che a sua volta era collegato a Internet così che qualcuno potesse accedere a MySpace, e che quel sistema secondario si sia beccato un malware. Oppure sarà un software incomprensibilmente complesso, pieno di cerotti e patch, che crollerà quando un hacker “semplicemente curioso” spingerà il pulsante virtuale sbagliato. Vi sono delle tendenze che non promettono nulla di buono; tutti gli indicatori puntano verso un sistema più complesso, meno padroneggiato e più interdipendente. Con un’infrastruttura simile, chi ha bisogno di nemici?
A te preoccupa il fatto che i criminali continueranno a penetrare nel cyberspazio, e a me preoccupa che complessità, cattivo design e pessima gestione saranno lì ad attenderli.
Bruce Schneier: mi pare che abbiamo già visto quel genere di guasto critico di cui parlavi. Il black-out dell’agosto 2003 che ha colpito buona parte del nordest degli Stati Uniti e del Canada (50 milioni di persone) fu provocato da un bug software.
Le cose continueranno a peggiorare, sono d’accordo. La complessità è il peggior nemico della sicurezza, e Internet (e i computer e i processi a essa collegati) sta diventando sempre più complessa. Per cui le cose stanno peggiorando anche se la tecnologia della sicurezza sta migliorando. Si potrebbe dire che quelle insicurezze critiche sono un’altra proprietà emergente del mondo cento volte potenziato del 2017.
Sì, i sistemi IT saranno sempre più essenziali per la nostra infrastruttura: l’home banking, le comunicazioni, i servizi di base, la difesa, tutto quanto.
Nel 2017 le interconnessioni saranno talmente critiche che probabilmente per una organizzazione terroristica sarà conveniente e a basso rischio sferrare attacchi attraverso Internet. Oggi derido le chiacchiere sul terrorismo cibernetico, ma non credo che lo farò da qui a dieci anni.
Se da una parte le tendenze di maggiore complessità e di pessima gestione non sono affatto buone, esiste un altro trend che punta a una maggiore sicurezza, ma non piacerà né a te né a me. È il trend dell’Information Technology come servizio.
Nel 2017 le persone e le aziende non acquisteranno computer e connessione come lo stanno facendo oggi. Il mondo sarà dominato dalle grandi imprese di telecomunicazioni, dagli Internet Provider e da compagnie di integrazione dei sistemi, e l’informatica sarà sempre più considerata come un servizio pubblico. Le aziende venderanno servizi, non prodotti: servizi email, servizi di applicazioni, servizi di intrattenimento. Stiamo iniziando a vedere oggi questa tendenza e prenderà sempre più piede nei prossimi dieci anni. Tutto ciò influisce sulla sicurezza per il fatto che nel 2017 le persone e le aziende non avranno molto controllo sulla propria sicurezza. Ogni cosa verrà gestita a livello di Internet Provider e di backbone. I giorni spensierati dei PC di uso generale saranno in gran parte un ricordo. Pensiamo al modello dell’iPhone: si riceve quel che Apple decide di fornire, e se si cerca di modificare il telefono, Apple può vanificare lo sforzo con un semplice aggiornamento software. A noi “geek” non piacerà, ma è il futuro. Internet è sostanzialmente commercio, e il commercio non potrà sopravvivere in altro modo.
Marcus Ranum: Hai ragione per quanto riguarda lo spostamento verso i servizi: è il sistema definitivo per fidelizzare i clienti.
Se si è capaci di fare in modo che sia difficile per il cliente riottenere i propri dati dopo che li si è tenuti per un po’ di tempo, si riuscirà efficacemente a impedire che il cliente se ne vada. Naturalmente ai clienti si dirà “fidatevi di noi, le vostre informazioni sono al sicuro”, e per loro questa sarà una risposta. I sistemi back-end che alimenteranno il futuro dell’informatica dei servizi saranno pieni di vulnerabilità come quelli attuali. L’informatica dei servizi, inoltre, non sarà affatto in grado di affrontare il problema della fiducia transitiva a meno che le persone non comincino a passare a un endpoint rappresentato da una piattaforma informatica più affidabile.
È questo il problema della direzione che stiamo prendendo: gli endpoint non sono destinati a migliorare. La gente è attratta dalle appliance perché aggirano l’onere dell’amministrazione di sistema (che, nell’ambiente della sicurezza di oggi, equivale a “un inferno di patch infinite”), ma sotto la superficie attraente delle appliance troveremo la medesima accozzaglia di insicurezze che abbiamo avuto con le macchine desktop di uso generale. Infatti, lo sviluppo di appliance azionate da sistemi operativi di uso generale rende davvero concreta la possibilità
di una monocoltura software. Da qui al 2017, pensi che l’ingegnerizzazione dei sistemi progredirà al punto in cui non vedremo un’azienda lanciare un nuovo prodotto e creare istantaneamente una base di installato di un milione e passa utenti con privilegi di root? Io non credo, e questo mi spaventa.
Pertanto, se stai dicendo che la tendenza è quella di continuare a mettere tutte le uova in un solo paniere e di fidarsi sconsideratamente di quel paniere, mi trovi in totale accordo.
Un’altra tendenza che vedo peggiorare è il know-how del governo in ambito IT. Al ritmo con cui l’outsourcing ha istupidito la forza lavoro federale, entro il 2017 non sarà rimasto un solo dipendente del governo che saprà far qualcosa con un computer se non navigare in Internet e far girare PowerPoint. Scherzi a parte, il risultato è che l’infrastruttura governativa critica sarà quasi interamente gestita dall’esterno. Le implicazioni strategiche di un cambiamento del genere mi hanno da sempre turbato; significa una perdita di controllo sulle informazioni, sulle risorse e sulle comunicazioni.
Bruce Schneier: sugli endpoint che non miglioreranno hai assolutamente ragione. Ho scritto più e più volte che misure come l’autenticazione a due fattori non renderanno l’Internet banking più sicuro. Il problema è che se qualcuno ha inserito un Trojan nel tuo computer, non importa in quanti modi ti autentichi presso il server di banking; il Trojan inizierà a effettuare transazioni illecite subito dopo l’autenticazione.
Accade la stessa cosa con molti dei nostri protocolli sicuri. SSL, SSH, PGP, ecc., tutti presumono che gli endpoint (cioè i due estremi della comunicazione) siano sicuri, e che la minaccia si trovi nel sistema di comunicazione. Ma sappiamo che i veri rischi sono gli endpoint.
A dominare l’informatica del 2017 sarà un tentativo incauto di risolvere questo problema. Ho parlato di software-come-servizio che, come tu hai sottolineato, è in realtà un trucco che permette alle aziende di trattenere i propri clienti nel lungo periodo. Io ho fatto l’esempio di iPhone, che raggiunge il medesimo obiettivo grazie alle rigide regole che stabiliscono chi può scrivere software per tale piattaforma e chi no. Potremmo anche portare l’esempio del Trusted Computing di Microsoft, che viene venduto come misura di sicurezza quando in realtà è un altro meccanismo per impedire che gli utenti passino a software “non autorizzato” o ad altri sistemi operativi.
Mi viene in mente l’isteria antiterroristica immediatamente successiva all’11 settembre: abbiamo confuso la sicurezza con il controllo, e invece di costruire sistemi che garantiscano sicurezza vera, abbiamo costruito sistemi di controllo. Si pensi ai continui controlli dei documenti d’identità in ogni luogo, alla no-fly list, alle intercettazioni senza mandato, alla sorveglianza all’ingrosso, al data mining e a tutti i sistemi per controllare sommozzatori, piloti di aerei privati, attivisti per la pace e altri gruppi di persone. Tutti questi sistemi offrono una sicurezza insignificante, ma mettono nelle mani del governo un livello di controllo incredibile.
L’informatica sta andando nella stessa direzione, solo che questa volta è l’industria a volere il controllo sui suoi utenti. Ce lo venderanno come sistema di sicurezza (potrebbero addirittura essersi autoconvinti che migliorerà davvero la sicurezza), ma è fondamentalmente un sistema di controllo. Alla lunga finirà col nuocere alla sicurezza.
Immaginiamo di vivere in un mondo di Trustworthy Computing, in cui nessun software può girare sulla vostra macchina Windows a meno che Microsoft non lo approvi. Quell’istupidimento di cui parli non sarà un problema, perché la sicurezza non sarà nelle mani dell’utente. Microsoft reclamizzerà questo come la fine del malware, finché un hacker non scoprirà come far approvare il proprio software. Ecco il problema di ogni sistema che si appoggia sul controllo: una volta trovato il modo di compromettere il sistema di controllo, si è a posto. Per cui, invece di un triliardo di noiosi worm, nel 2017 ne vedremo comparire meno, ma saranno dei super-worm ancora peggiori che aggireranno le nostre difese.
Entro quella data, tuttavia, saremo pronti a iniziare a costruire della vera sicurezza. Come hai fatto notare, le reti saranno talmente incorporate nella nostra infrastruttura critica (e probabilmente sarà già accaduto qualche vero disastro entro il 2017), che non avremo altra scelta. La questione è: quanto dovremo smantellare e ricostruire daccapo per farlo nella maniera giusta?
Marcus Ranum: Concordo con la tua visione negativa del futuro. È ironico che gli “hacker” della controcultura abbiano permesso (offrendo una scusa) l’esistenza dell’ambiente software di oggi basato sulla dinamica secuzione-patch-esecuzione
Non credo che inizieremo a costruire della vera sicurezza. Perché la sicurezza vera e propria non è una cosa che si costruisce, ma che si ottiene quando si getta via tutto il resto dell’immondizia come parte del procedimento di design. Il software progettato e costruito per un certo scopo è più costoso da realizzare, ma più economico da mantenere. Il giudizio prevalente sul tasso di redditività del capitale investito in un software non tiene conto del processo di patching e del downtime dovuto al patching; perché se lo facesse, i conti non tornerebbero. Nel frattempo ho visto sistemi Internet costruiti all’uopo funzionare per anni senza bisogno di patch perché non si appoggiavano a componenti sovrabbondanti. Dubito che l’industria lo comprenderà.
Il futuro sarà fatto di informazioni prigioniere che gireranno su sistemi back-end costruiti allo scopo. Non sarà un futuro sicuro, perché fornire i propri dati personali è sempre un indebolimento della propria sicurezza. Pochi possiedono la capacità di comprendere la complessità e i principi di buon design necessari a realizzare sistemi affidabili o sicuri. Pertanto, in effetti, l’outsourcing (o altre forme per far diventare la sicurezza il problema di qualcun altro) continuerà a sembrare un’opzione attraente. Non mi sembra un futuro molto roseo. Ed è un peccato, perché è importante fare bene queste cose. Hai ragione quando dici che vi saranno dei disastri nel nostro futuro.
Penso che si tratterà più che altro di incidenti in cui il sistema crolla sotto il peso della sua stessa complessità, e non a causa di aggressioni. Saremo in grado di capire che cosa sarà successo, quando accadranno tali incidenti?
Gente, i comandanti hanno attivato il segnale “allacciarsi le cinture di sicurezza”. Si prevedono turbolenze sul nostro cammino.
