Roma – Qualche anno fa, durante un viaggio di lavoro all’estero, mi trovai a chiacchierare del più e del meno con un gruppo di colleghi di varie nazionalità. Tra di essi vi era un cittadino svizzero, e non so come finimmo a parlare del servizio militare nel suo Paese. È noto che lì la leva dura più o meno tutta la vita, e prevede periodici ritorni alle armi anche in età più che adulta: per questo ogni maschio elvetico conserva presso di sé anche da civile la sua dotazione bellica, ivi compreso il fucile d’ordinanza e le relative munizioni. Siccome nella nostra bella Europa generalmente non si usa avere in casa armi da guerra, qualcuno del gruppo espresse la sua meraviglia domandandosi se questa disponibilità ufficiale di armi non potesse in qualche modo favorire omicidi o crimini. La serissima risposta dello svizzero fu: “Oh no, non è affatto possibile: è proibito dal regolamento!”.
Questo episodio mi è tornato alla mente nella la notte fra sabato e domenica, dopo essermi rimesso dall’aver scoperto che il rapporto in PDF sul caso Calipari , gentilmente messo a disposizione dell’opinione pubblica mondiale dagli investigatori della commissione d’inchiesta statunitense, era letteralmente un libro aperto anche nelle sue parti “censurate”. Protetto, come oramai tutti sanno, col nulla: un semplice fondino nero sul testo nero, misura facilmente eludibile da chiunque, anche senza avere particolare esperienza di informatica.
Erano le due di notte e non sapevo se mettermi a ridere o a piangere di fronte al rapporto così facilmente messo in chiaro: ho mandato un paio di mail avvertendo della cosa chi di dovere, mi sono ripromesso di fare un ulteriore paio di telefonate il mattino dopo, ho fatto una previsione mentale di quanto ci sarebbe voluto prima che la notizia diventasse di pubblico dominio, ed ho istintivamente ripensato allo svizzero. Anche gli americani sono maniacalmente ligi ai regolamenti: e purtroppo non solo a quelli espliciti, quali le regole d’ingaggio in zona di combattimento, ma anche e soprattutto a quelli impliciti, costruiti per convenzione ed abitudine sulla base di “ciò che è normale fare”.
Così come ad uno svizzero non verrebbe mai in mente di usare il proprio fucile d’ordinanza per uccidere l’amante della moglie, all’americano quadratico medio probabilmente non viene in mente, vedendo una pecetta nera su un documento elettronico, di provare a “guardarci sotto” per scoprire se il testo originario c’è ancora: se c’è la pecetta vuole per forza dire che non c’è il testo, no?? Quaggiù da noi invece le cose sono un po’ diverse: la prima cosa che viene in mente ad un dodicenne italiano in visita ad un museo è di alzare le foglie di fico delle statue per vedere se dietro c’è quello che immagina, figurarsi quando gli capita un PDF con le parole sbianchettate. (O forse in questo caso si dovrebbe dire “snerettate”, chissà?).
Il problema di questa “gaffe” secondo me non è tecnologico, come invece hanno scritto tutti i media ieri, ma culturale. Sta nella beata ingenuità degli americani, che se mettono un cartello con scritto “non calpestare le aiuole” sono certi che nessuno le calpesterà, anche se non ci sono guardie a sorvegliare e sanzioni per i contravventori. Sui nostri cartelli invece le cose non sono “semplicemente” vietate ma “assolutamente” vietate (quindi evidentemente le cose “solo” vietate si possono fare?), ed anzi i cartelli sono spesso fonte di ispirazione negativa: magari non mi sarebbe mai venuto in mente di sporgermi dal finestrino, ma siccome c’è un cartello che me lo proibisce (e per giunta “severamente!”) allora quasi quasi lo faccio! Certamente non sono stato il solo ad aver provato a fare CTRL+C sulle pecette nere e CTRL+V su NotePad per vedere se tante volte, per caso, non si sa mai, magari? E tutto sommato è un bene che già ieri sia scoppiato il putiferio intorno a questo caso: sarebbe stato peggio se si fossero accorti dell’inghippo solamente quelli che sarebbe stato meglio che non se ne accorgessero. Così invece l’hanno saputo tutti, e pace.
Naturalmente ora ci saranno inchieste nelle inchieste, e quel povero ingenuo colonnello Robert Potter che, assieme al colonnello Richard Thelin, ha affidato la segretezza del suo rapporto non alla crittografia ma alla semplice buona educazione dei lettori, lasciando perfino il suo nome, grado ed indirizzo di e-mail scritti in chiaro negli appositi campi del documento, forse passerà un guaio. E tutto sommato giustamente: in vicende come quella che si sta svolgendo in Iraq non dovrebbe esserci posto per incuria e disattenzione, che probabilmente sono le uniche vere cause della morte di Calipari. Il colonnello Potter con la sua leggerezza ha provocato altrettanti danni, esponendo al risentimento mondiale il nome del soldato che ha sparato, rivelando al nemico informazioni operative preziose e “bruciando” due operativi del Sismi i cui nomi sono ormai noti a tutti.
Di fronte a queste cose il pensiero vacilla: ci immaginiamo i militari americani perfetti, tecnologici, organizzatissimi… e poi scopriamo che non sanno usare Acrobat. Ma non sono stati loro a spiegarci che per cancellare davvero un file da un hard disk bisogna riscriverci sopra almeno tre volte con pattern binari appositamente scelti, altrimenti c’è rischio che qualcosa si possa rileggere? E non c’è proprio nessuno che gli possa spiegare come si protegge un documento PDF?
Verrebbe proprio da ridere, se non fosse una cosa di una gravità inaudita. Molto meglio gli svizzeri: almeno da loro, a memoria d’uomo, non c’è davvero mai stato alcun incidente coi fucili d’ordinanza.
Corrado Giustozzi
Sull’autore
Giornalista scientifico (UGIS), esperto e consulente di sicurezza delle informazioni (CISM, BS7799 Lead Auditor). Ha iniziato a scrivere di informatica nel 1979, e da allora ha pubblicato oltre mille articoli e tre libri. È stato direttore tecnico e vicedirettore di MCmicrocomputer, ha fondato e diretto Byte Italia, ha contribuito al progetto ed allo sviluppo di MC-link.
Attivo sui temi della sicurezza sin dal 1985, i suoi principali settori di interesse professionale sono: la crittografia e le tecniche di protezione delle informazioni; la sicurezza dei sistemi informatici e telematici; la prevenzione della criminalità informatica.
Collabora con il Comando Generale e con il Raggruppamento Operativo Speciale dell’Arma dei Carabinieri nello svolgimento di attività investigative e di contrasto della criminalità informatica, e fa parte del Comitato Scientifico costituito presso la Unità di Analisi del Crimine Informatico della Polizia delle Telecomunicazioni.
Ha condotto importanti progetti di audit ed assessment di sicurezza logica, e progettato infrastrutture di sicurezza informatica, presso grandi aziende e pubbliche amministrazioni. Svolge da sempre intensa attività di divulgazione culturale della information security partecipando a trasmissioni televisive e radiofoniche, e tenendo frequentemente lezioni e seminari specialistici. Attualmente è Security Evangelist presso Innovia Security S.r.l. di Roma. Il suo sito web è NightGaunt.org