Le ultime notizie riguardanti la cybersicurezza risalgono a poco tempo fa: il furto di password ai danni di Mark Zuckerberg (che tra l’altro su LinkedIn usava un terribile “dadada”); la vendita di oltre 100 milioni di dati d’accesso a LinkedIn sul mercato nero del dark web; l’attacco hacker a Twitter durante il quale sarebbero state sottratte oltre 32 milioni di password.
Notizie che si vanno ad aggiungere al lunghissimo elenco di attacchi avvenuti in rete negli ultimi due anni: il clamoroso furto al sito di scappatelle Ashley Madison (in cui sono stati sottratti i dati della carta di credito, i numeri di telefono, gli indirizzi e i nominativi di 37 milioni di utenti); l’attacco agli archivi degli uffici del personale degli Stati Uniti (con il furto dei dati personali di 21,5 milioni di dipendenti federali) e il celeberrimo attacco hacker portato dalla Corea del Nord alla Sony Pictures Entertainment, in cui sono state rubate anche scritture di contratti e sceneggiature di film.
“Il valore di ciò che si può trovare online continua a crescere esponenzialmente; di conseguenza crescono anche gli incentivi a bucare i sistemi e rubare dati”
Questi sono gli esempi più noti tra le decine e decine di “cybercrimini” avvenuti negli ultimi anni. Una sequela di furti di dati privati che sembra non giungere mai a termine e contro la quale anche le compagnie più importanti del mondo paiono incapaci di difendersi; mentre gli hacker sono invece più motivati che mai: “Il valore di ciò che si può trovare online continua a crescere esponenzialmente; di conseguenza crescono anche gli incentivi a bucare i sistemi e rubare dati”, spiega alla MIT Technology Review Greg Shannon, assistant director dell’ufficio di Strategie per la cybersicurezza della Casa Bianca.
Messa così, sembra che sia sufficiente fare maggiore attenzione: in effetti, in un software si trova in media un bug ogni mille righe di codice; poiché ogni software si compone di milioni di righe, si capisce come facciano gli hacker a colpire i vari sistemi.
Di fronte a tutto ciò, la risposta da parte delle società messe sotto attacco è una sola: chiudere il buco dal quale gli hacker sono passati in modo che non possano più colpire da quel fronte. Più che una soluzione sistemica, una pezza aggiunta dopo che il danno è stato fatto. Secondo Greg Shannon, c’è solo un modo per mettersi al riparo in maniera efficace: scrivere i software in maniera più attenta ed efficace, un po’ come fa la Nasa, “l’unico posto in cui i programmi sono scritti in maniera veramente rigorosa, visto che devono funzionare per anni e a milioni di chilometri di distanza”.
Messa così, sembra che sia sufficiente fare maggiore attenzione: in effetti, in un software si trova in media un bug ogni mille righe di codice; poiché ogni software si compone di milioni di righe, si capisce come facciano gli hacker a colpire i vari sistemi.
La questione della sicurezza non riguarda solo le grandi compagnie, ma anche le singole persone: tutti rischiamo di essere ricattati o sorvegliati, come abbiamo imparato nel giugno 2013, quando Edward Snowden ha rivelato il programma di sorveglianza globale degli Stati Uniti mettendo a nudo la mancanza di protezione dei dati da parte di compagnie come Google, Apple, Yahoo, Microsoft.
Ogni anno il cybercrimine costa globalmente qualcosa come 575 miliardi di dollari, pari allo 0,8% del pil mondiale. Per avere un metro di paragone, basta pensare che il costo economico del narcotraffico globale è stimato allo 0,9%.
La sorveglianza del Datagate è stata resa possibile da un semplice fatto: i dati che fluivano dai data center agli internet provider non erano criptati. Il leak di Snowden ha fatto suonare un campanello d’allarme globale che ha portato le stesse compagnie che si erano fatte trovare impreparate a proteggere i dati dei loro utenti attraverso la crittografia, come nel caso di iMessage di Apple o di WhatsApp. Allo stesso tempo, però, sono ancora parecchi i programmi di messaggistica che non utilizzano sistemi di cifratura (come quella end-to-end), per esempio Skype e Google Hangout.
Se gli utenti vogliono difendere i loro dati personali, le grandi aziende e i governi vogliono invece impedire furti che costano loro milioni e milioni di dollari: secondo uno studio del 2014 di Intel Security e del Center for Strategic and International Studies, ogni anno il cybercrimine costa globalmente qualcosa come 575 miliardi di dollari, pari allo 0,8% del pil mondiale. Per avere un metro di paragone, basta pensare che il costo economico del narcotraffico globale è stimato allo 0,9%. Quello che invece non è paragonabile in alcun modo – ma mancano dati precisi in merito – sono gli investimenti per la lotta al traffico di droga e quelli per la cybersicurezza.
Le cose, però, sono destinate a cambiare anche da questo punto di vista; almeno sembrano pensarla così i soliti venture capitalists, che stanno facendo piovere una quantità di soldi impressionante sulle start-up che si occupano di cybersicurezza: gli investimenti sono passati dagli 800 milioni di dollari del 2010 ai 3,3 miliardi del 2015; potrebbe essere un segnale importante del fatto che nuovi e importanti strumenti di cybersicurezza sono in arrivo sul mercato, andando a rimpiazzare i classici firewall e antivirus che, è evidente, sono ormai obsoleti e impotenti di fronte alle nuove minacce.
L’obiettivo di queste start-up è in effetti quello di cambiare il paradigma della cybersicurezza, passando dalla prevenzione alla difesa attiva. In poche parole, non limitarsi più a costruire un muro attorno ai dati più importanti (salvo poi scoprire che il muro è stato oltrepassato solo a fatti avvenuti), ma riuscire ad accorgersi in tempo reale che qualcosa di anomalo sta avvenendo.
Darktrace, la start-up di Cambridge guidata da Nicole Eagan, sfrutta la tecnologia del machine-learning (uno degli sviluppi dell’intelligenza artificiale) per analizzare il traffico sui vari network e determinare, in media, qual è il comportamento normale delle persone che vi accedono. In questo modo, è possibile accorgersi in tempo reale se qualcuno si sta comportando in maniera anomala e predisporre un sistema di sorveglianza e protezione.
Gli scenari che si aprono, insomma, non sono rasserenanti: nel futuro prossimo potrebbero essere possibili attacchi terroristici in cui gli hacker prendono il controllo di centinaia di auto per poi mandarle a schiantare.
Questi nuovi strumenti di cybersicurezza diventeranno ancor più importanti, visto la sempre maggiore frequenza con la quale le compagnie si affidano ai servizi cloud e visto come la Internet of Thing si prepara a connettere alla rete ogni tipo di dispositivo, compresi quelli di uso quotidiano come serrature e automobili. È evidente che questi nuovi sviluppi tecnologici aumentano ulteriormente i pericoli di attacchi hacker, rendendo ancor più urgente lo sviluppo di strumenti efficaci di cybersicurezza.
Per avere un’idea dei pericoli a cui si potrebbe andare incontro, basti pensare a quanto scoperto da Wired nell’estate 2015: un bug all’interno del software Uconnect delle Jeep di Chrysler rendeva possibile hackerarle e far perdere il controllo al conducente, per esempio disabilitando i freni da remoto. Gli scenari che si aprono, insomma, non sono rasserenanti: nel futuro prossimo potrebbero essere possibili attacchi terroristici in cui gli hacker prendono il controllo di centinaia di auto per poi mandarle a schiantare.
Fantascienza? Speriamo di sì. Ciò che invece è assolutamente realistico è la possibilità che un hacker-ladro riesca a entrarvi in casa dopo aver aggirato le protezioni della vostra “smart-serratura”. Difficile, oggi, immaginare tutti i possibili modi in cui la Internet of Things potrebbe renderci vulnerabili, ma dal momento che – secondo Gartner, la società di consulenza strategica nel campo della tecnologia – qualcosa come 21 miliardi di oggetti saranno connessi alla rete già nel 2020, è davvero il caso di farsi trovare preparati.
Per riuscire nell’impresa, c’è una sola strada: costruire software per la Internet of Things che siano sicuri fin dall’inizio. Esattamente il contrario di quanto è stato fatto fino a questo momento.
di Andrea Daniele Signorelli
Come si sta vedendo anche ora, tante, troppe sono le minacce alla nostra sicurezza – la mia speranza è che una maggiore consapevolezza del pubblico spinga Istituzioni pubbliche e private, e i business, a raddoppiare i propri sforzi.