Wikileaks ha fatto rivelazioni che in altre sedi potranno avere importanza anche grande. Ma nell’Ict non ne viene fuori nulla che faccia notizia o perlomeno titolo.
Nel Wikigate esploso recentemente lo specifico informatico ha rilevanza ridotta, ma non nulla. In termini di Ict security non aggiunge nulla a quello che sapevamo: il rischio maggiore viene sempre da un operatore interno infedele, Internet segue un suo percorso in involontaria collisione con il mondo pregresso, la privacy è lo stress che la tecnologia digitale impone ad un mondo nato con palizzate e frontiere che delimitano leggi e pensieri anche molto diversi.
Anche senza percorrere la strada della cronaca e del commento, qualcosa resta da stabilire: nella divulgazione di notizie riservate devono esistere delle regole? In termini correnti le parole chiave sono giornalismo e sicurezza dei sistemi Ict.
Per dovere di cronaca ricapitoliamo i fatti essenziali. Partiamo dall’apparenza dei libertari di tutto il mondo: un eroico militare ventiduenne è entrato nei sistemi del Pentagono, ha copiato dati che il mondo doveva assolutamente conoscere e li ha passati all’eroico civile Julian Assange, che pubblicando quelle verità su un sito si è inimicato tutto il mondo, stupidamente vendicativo.
E’ abbastanza evidente che un infervorato ventiduenne difficilmente può acquisire dati davvero sensibili in quantità e da solo, per cui o i dati non erano sensibili o non ha agito da solo. E neanche queste osservazioni fanno notizia.
I leaks sono sempre esistiti
“Wikileaks ha una storia editoriale di quattro anni. In questo periodo non c’è stata alcuna censura, né organizzazioni come il Pentagono hanno potuto provare che anche una singola persona sia stata danneggiata dalla nostra attività”, ha recentemente dichiarato Assange.
L’esistenza di una storia editoriale è un elemento importante dell’accaduto.
Giornalisticamente parlando le fughe di notizie sono sempre esistite e i media le hanno veicolate come meglio potevano. Wikileaks, che ha uno staff e certamente di grosse dimensioni, del materiale ottenuto ha pubblicato solo una parte, quasi tutte di bassa qualità informativa.
Wikileaks cerca di far passare l’idea che abbia pubblicato dati grezzi e non abbia fatto nessuna scelta editoriale, senza una morale retrostante, ma ovviamente non è così. Chi ha letto tutto il materiale? Chi lo ha scelto? Secondo quali criteri? Giornalisticamente parlando dobbiamo ricordare che c’è uno staff, una morale e una lista di scelte editoriali assolutamente non neutre.
A loro volta, i giornalisti che operano tali scelte sono sottoposti alla legislazione di controllo, che è a disposizione nel caso in cui qualcuno senta che i suoi diritti sono stati lesi. Poiché la legislazione è territoriale e dipende dall’ubicazione dei server e non dalla residenza di chi si sente offeso, la questione si fa difficile ed entra nel fantastico mondo delle dispute internazionali.
Noi, però, restiamo all’interno delle poderose mura dei data center. Dal punto di vista tecnico, va sempre ribadito che tutti i sistemi informatici in rete possono essere colpiti, anche i più protetti, e che nella maggior parte dei casi i veri danni arrivano da personale interno infedele.
Ciò nonostante nei casi di furto di dati i fornitori reagiscono cercando popolarità, spiegando che con i loro servizi, se attivi, il fatto in questione non sarebbe accaduto. Ovviamente non sarebbe accaduto in quella specifica modalità, ma in un’altra delle tante lasciate a disposizione della fantasia degli infedeli e della situazione complessiva del sistema di riferimento.
Security: disappunto dei vendor
“Non sono sicuro che la divulgazione anticipata da WikiLeaks sarà in grado di far crollare un istituto finanziario”, ha detto John Dasher di McAfee, “ma dovrebbe far riflettere quelle organizzazioni che non hanno ancora implementato una strategia di protezione dei dati”.
“Generalmente i reparti It non sanno identificare le informazioni che compongono la proprietà intellettuale dell’azienda”, spiega: “la tecnologia da sola non può risolvere il problema”, ma “proteggere le informazioni sensibili è un problema di business, non puramente tecnologico”.
Più caustico un comunicato di Novell, per la quale “disabilitare il trasferimento dati tramite chiavette Usb e Cd non è che un limitatissimo modo di affrontare il problema”, recita il testo, poiché “soprattutto in ambito militare la legittima condivisione dei dati è un requisito fondamentale e non dovrebbe essere limitata”.
“Nel recente caso di WikiLeaks è chiaro che se le policy base di sicurezza fossero state applicate, i danni sarebbero stati ridotti al minimo e l’identità del ladro sarebbe stata svelata in pochi minuti“, afferma sicuro l’estensore del comunicato, senza però assegnare le frasi ad un rappresentante specifico.
Alcuni comunicati commerciali, sviluppati in maniera evidentemente frettolosa per non perdere l’occasione, sono dei veri e propri monumenti d’incapacità di esposizione dei dati e di sviluppo d’una tesi accettabile. Così non è stato per la All Security Net, che in poche parole ha manifestato la fiducia negli strumenti che rappresenta con un’azione di grande utilità: “Boole Server è disponibile gratuitamente alle ambasciate italiane per contribuire ad agevolare ulteriormente la loro importante e delicata funzione in tutto il mondo”, ha annunciato Alessandro Peruzzo, Amministratore Delegato dell’azienda.
Security e Privacy
Complessivamente non si tratta d’una immagine rassicurante. Ci si aspettava una presa di posizione ufficiale coesa, tanto assoluta quanto ipocrita, del tipo “i nostri sistemi sono sicuri”. E non è arrivata alla luce dei nostri occhi, mentre c’è da scommettere che nei piani alti si sta commerciando sicurezza. Al riparo dalle spie, ovviamente.
In definitiva dal punto di vista informatico non c’è nulla di nuovo: un insider che ruba informazioni non fa né notizia, né titolo. Non c’è nulla di nuovo neanche nella inottemperanza alle regole di sicurezza che, ancorché mai efficaci al 100%, pure esistono.
Questa sembra essere la cronaca del fatto dal punto di vista della security. Diversa sarebbe la questione dal punto di vista della privacy, ma quello è il mondo dei pareri.