Gli errori nel software ci rendono vulnerabili come rimediare?

Hacker’s Dictionary. La rubrica settimanale a cura di Arturo Di Corinto

di ARTURO DI CORINTO per Il Manifesto del 29 Novembre 2018

Alcune settimane fa il raid di Anonplus sul sito della Siae ha fruttato agli attaccanti 4 gigabyte di dati personali dei creativi italiani; decine di incursioni di varie sigle della galassia Anonymous italiana hanno messo a nudo i database di ministeri, sindacati, università e militari in congedo; l’attacco alla Pec di Telecom Italia ha lasciato senza difese 500mila caselle di posta elettronica certificata obbligando lo stop di tutte le attività correlate al processo civile telematico, perfino la chiusura dei tribunali.

Quasi tutti gli attacchi sono stati possibili a causa di falle e vulnerabilità di software e sistemi in uso. Ma adesso che siamo tutti cittadini digitali non possiamo più accettare che le vulnerabilità di hardware e software mettano in pericolo la democrazia e l’economia.

Per capirci, una vulnerabilità è un difetto nella progettazione tecnica o nell’implementazione di prodotti e sistemi informatici che può essere utilizzata per sfruttare, penetrare o manipolare un prodotto o un sistema, sia esso hardware o software. I danni prodotti da sistemi vulnerabili li abbiamo conosciuti con gli attacchi Mirai e Wannacry: nel primo caso bloccando l’accesso per mezza giornata a Twitter, Netflix, New York Times, nel secondo bloccando il sistema sanitario inglese, navi cargo danesi e treni russi.

Le vulnerabilità sono comuni a tutti i software e esisteranno sempre, l’importante è come rispondiamo quando li scopriamo. Perché la preoccupazione non è se queste vulnerabilità verranno usate, ma quando.

Che fare allora? La divulgazione responsabile delle vulnerabilità informatiche è un possibile approccio al problema e presuppone la diffusione e la correzione tempestive degli errori. Le aziende e i governi non sempre sono in grado di farlo, anche quando hanno dei team appositi che se ne occupano. Per questo bisognerebbe creare un sistema di incentivi per gli informatici esperti, spesso esterni ad organizzazioni riconosciute, che scovano queste vulnerabilità.

Per invogliare gli hacker etici a comunicare le falle che trovano bisognerebbe evitare di criminalizzarli, riconoscergli la paternità e la bravura delle loro scoperte, e dargli un emolumento, come già fanno le grandi imprese come Google, Microsoft, Facebook. La ricompensa monetaria spesso è più bassa del guadagno ottenibile vendendo al mercato nero gli ‘exploit’ per sfruttare la falle, ma un incentivo combinato potrebbe aiutare, soprattutto se realizzato attraverso i «Bug bounty program», letteralmente «Programmi per la ricerca degli errori», organizzati come una competizione sportiva, magari a livello nazionale.

E chi meglio di un’organizzazione statale potrebbe avviare programmi di tale genere?

In Italia potrebbe accadere sotto l’egida della Presidenza del Consiglio dei Ministri e con la partecipazione attiva dei ministeri competenti, coadiuvati dal Dipartimento delle Informazioni per la Sicurezza e dall’Agenzia per l’Italia Digitale in tandem con i Cert pubblici e privati.

Oppure potrebbe essere un compito delle università dove gli hacker etici si formano attraverso competizioni come la CyberchallengeIT, la selezione accademica dei nostri giovani talenti informatici.

In attesa di un quadro normativo adeguato e della messa al bando delle cyber-armi che fanno vittime civili colpendo reti elettriche, dighe e ospedali, i bug bounty program di carattere nazionale sono l’unico modo per evitare una Pearl Harbour digitale e proteggere dai criminali la ricchezza prodotta dalla ricerca, dall’industria e dalla creatività italiane.