Abbiamo commentato con Feliciano Intini, responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia, i numeri del rapporto SIR. A lui abbiamo chiesto qualcosa di più sulla proposta della disconnessione forzata avanzata dal suo collega Scott Charney pochi giorni fa, oltre ad approfondire l’approccio odierno di BigM alla questione sicurezza.
Punto Informatico: Dunque in Italia calano le infezioni, un dato per certi versi inaspettato.
Feliciano Intini: È vero, ma pensiamo che questo valore abbia una doppia faccia. Da un lato, lo riteniamo espressione di una tendenza generale che noi interpretiamo come una prova dell’efficacia degli sforzi che i vari vendor stanno facendo per irrobustire le proprie piattaforme software. A conferma di questo, il calo anche delle vulnerabilità critiche registrate e delle rimozioni delle infezioni tramite i nostri tool, che giudichiamo una conferma indiretta che le versioni più recenti dei sistemi operativi sono meno suscettibili a questo tipo di attacchi.
PI: Ha tutta l’aria di esserci un “ma” in agguato.
FI: Se il trend è positivo, non si può ignorare che il fenomeno botnet comporta potenzialità di rischio che richiedono attenzione e un certo approccio creativo nella ricerca di una soluzione. Il caso Waledac ci ha permesso di analizzare profondamente la complessità dell’argomento: quell’operazione, che ha visto messo in pratica un approccio multidimensionale che ha coinvolto gli interessati sia tra i vendor che tra le autorità, si è dimostrato senz’altro interessante.
PI: Approccio creativo?
FI: La proposta di disconnessione avanzata qualche giorno fa da Scott Charney è questo tipo di iniziativa creativa: pur riconoscendo che i nostri sforzi stanno dando risultati, riconosciamo anche che ci sarà una parte di popolazione (come quella dei paesi in via sviluppo) che non potrà essere raggiunta tempestivamente da software moderni e da una educazione tecnologica adeguata. Per combattere a livello internazionale certe minacce, quindi, occorre un modello di collaborazione internazionale: l’idea di Scott è stata lanciata per coinvolgere i soggetti interessati, non solo nel mondo tecnologico ma anche in quello legislativo e sociale.
PI: Un’idea senz’altro creativa.
FI: In realtà si prende spunto da come vengono gestite le malattie infettive delle persone. Esiste una infrastruttura di reazione che prevede la possibilità di fare screening dello stato di salute dei cittadini, in modo da affrontare il problema in modo complessivo e cercare assieme la cura. È un’idea che può applicarsi anche ai computer, ci sono le tecnologie (anche interoperabili). Ad esempio in Microsoft, quando si accede alla rete aziendale, si viene “verificati”: se non si è allineati sul piano ad esempio degli aggiornamenti di sistema, si viene dirottati su un server apposito per procedere all’update e poi si può tornare liberamente a usufruire dei servizi di network.
PI: È inevitabile comunque che un approccio radicale incontri delle resistenze.
FI: Capisco le posizioni scettiche rispetto alla possibilità di raccogliere un consenso internazionale. Ma, allo stesso tempo, non ho colto la consapevolezza di come questa cosa possa divenire tecnicamente possibile: è un aspetto delicato della questione, bisogna pensare a come estendere l’interoperabilità di queste funzionalità (a più OS e piattaforme possibile), riuscendo al contempo a diffondere le tecnologie innovative che sono in grado di coniugare sicurezza e privacy. Capisco le perplessità di chi vede il rischio di creare controllori della Rete minandone la neutralità: ma la tecnologia che si intende sviluppare, interoperabile e multipiattaforma, avrà già incorporata la possibilità di certificare la salute del PC senza diffondere informazioni non necessarie.
PI: Una possibile alternativa sarebbe applicare le stringenti policy aziendali anche ai privati.
FI: In realtà qui si parla di creare un modello più flessibile. Si tratta di un modello che prevede la definizione di policy diverse da situazione a situazione. Tecnicamente, occorre concordare un formato per questo “certificato di salute” del PC, e quali siano gli attributi minimi necessari a definirlo. Gli attuali approcci aziendali sono caratterizzati da una certa rigidità, che impone la sicurezza tramite blindatura dell’accesso ai contenuti: non sono dell’idea che si debba estendere il modello aziendale alla Rete in generale, lo sforzo sta proprio nella direzione di riconoscere il valore del web e dell’interattività.
PI: Sono cambiate le prospettive.
FI: Sarebbe un controsenso voler imporre limiti e lacci alla libera condivisione, mentre quello che si deve fare è creare l’infrastruttura che si prenda carico di gestire la sicurezza. I vecchi mantra, come “non aprite gli allegati degli sconosciuti”, hanno fatto il loro tempo: lo scambio di contenuti è una realtà, la tecnologia si deve irrobustire per preservare la libertà dell’utente.
PI: Per l’infrastruttura occorre pensare alla collaborazione.
FI: Il contrasto alle botnet ha mostrato un esempio pratico, efficace, che la collaborazione con diversi soggetti funziona. Non che sia facilissimo, ma in questo contesto non si guarda ai competitor come nemici ma come interlocutori con cui incrociarsi e collaborare. Sarebbe importante creare reti per reagire alle emergenze, dense di interlocutori eterogenei. Microsoft ovviamente non può agire, e farcela, da sola: i cattivi, quelli che le botnet le mettono in piedi, hanno capito meglio e prima di noi che la collaborazione, ancorché dettata dall’interesse, è un approccio vincente. L’integrazione tra malware e botnet è un fenomeno allo stesso tempo interessante da studiare e preoccupante.
PI: Nella partita adesso entrano anche tutti quei device connessi che sono assimilabili a dei thin client, smartphone in testa.
FI: Dal punto di vista strettamente tecnico, un client con meno software a bordo ha una superficie di attacco minore: ma anche in questo caso la sfida di Microsoft è quella di coniugare ricchezza di fruizione con altrettanta robustezza. La differenza tra thin e rich client si gioca anche in termini di funzionalità: non credo che un thin client possa offrire una ricchezza di esperienza adeguata per tutti gli scopi. Fermo restando che per scalabilità e efficienza ci stiamo tutti muovendo verso la cloud, e questo cambierà alcuni aspetti del problema.
PI: È una svolta epocale? Ha davvero questo peso l’introduzione di nuovi device e paradigmi di utilizzo del software?
FI: Lo ha solo per il fatto che rende più attuale una sensazione che dal punto di vista sicurezza era già presente da qualche anno, quella che noi indicavamo con “deperimetralizzazione”: termine orribile che serviva a spiegare come i vecchi paradigmi stessero passando di moda.
PI: In che senso?
FI: Un tempo si lavorava sul concetto di rete aziendale isolata, connessa in pochi punti al network globale. L’uso di dispositivi mobili, dai portatili agli smartphone, fa sì che non si possa identificare un singolo segmento da proteggere, ogni device è un end point da preservare. L’uniformità del codice, adattato ai diversi form factor, ovviamente dà la possibilità di rispondere a certe problematiche in modo più rapido e ampio. Sul tema del coordinamento tra le varie entità coinvolte nella gestione della sicurezza a livello globale Punto Informatico ha rivolto qualche domanda anche a Andrea Rigoni, direttore generale del Global Cyber Security Center (GCSEC). Una struttura non profit nata da pochi mesi per volontà di Poste Italiane, e che dovrebbe fungere da fulcro tra aziende e settore pubblico per mettere in comune esperienze, risorse e facilitando la collaborazione a individuare soluzioni uniche alle minacce provenienti dalla Rete e comunque nel settore ICT.
Punto Informatico: In che modo GCSEC si propone di intervenire in un contesto come quello della cyber-sicurezza?
Andrea Rigoni: Il problema della sicurezza è un problema a impatto strategico. Stiamo lavorando per perfezionare l’entrata nella nostra struttura di membri provenienti dal settore privati (multinazionali, non solo vendor di software ma anche aziende che operano nel campo dell’energia, dei servizi di pubblica utilità), con l’intenzione di adottare un approccio fortemente operativo. L’idea è quella di sfruttare una forma evoluta, cooperativa, delle partnership pubblico-privato: le aziende si mettono assieme, finanziano e sviluppano modelli, strategie, strumenti, studi che vengono poi condivisi e sviluppati con governi e istituzioni internazionali.
PI: Con quali obiettivi?
AR: Diciamo che puntiamo a servire tre diversi interlocutori: il settore privato (nel nostro caso l’esempio lampante è Poste Italiane, ma chiunque altro gestisca infrastrutture critiche); governi (è più in generale tutte le agenzie e istituzioni internazionali che si occupano di governance: ICANN, DHS, ITU ecc); infine, ovviamente, i consumatori, anche se su questo terzo elemento non abbiamo ancora iniziato a lavorare in modo diretto, ma teniamo già in conto questo fattore.
PI: Può farci degli esempi?
AR: Ad esempio abbiamo avviato un progetto che riguarda la collaborazione tra le banche per la prevenzione delle frodi. Il progetto mira a elaborare modelli che consentano alle banche di condividere più informazioni possibili su queste problematiche, e ovviamente a ricavarne maggiore vantaggio sono gli utenti finali che possono godere di maggiore tranquillità nelle proprie operazioni. In questo ambito, inoltre, assume valore rilevante la partnership con aziende tecnologiche: importante per applicare la tecnologia declinata da diversi punti di vista a contesti più grandi.
PI: Qual è il modus operandi da adottare?
AR: Puntiamo a godere di una posizione privilegiata, sedendoci tra gli interlocutori descritti prima. Il vantaggio dovrebbe risiedere nella possibilità di interloquire ad alto livello nelle organizzazioni, scavalcando il lato marketing e puntando a quello operativo: dialogare con i cosiddetti decision maker, sia nel privato che nel pubblico, per carpire la loro visione del problema e informarli adeguatamente. I tecnici concordano sui pericoli delle botnet, ad esempio, ma il livello di consapevolezza in chi dovrebbe agire di conseguenza non sempre è adeguato.
PI: In che modo questo meccanismo può favorire un miglioramento?
AR: I fenomeni di questo tipo fanno leva sulla frammentazione e la mancanza di un sistema di controllo complessivo. Comprendere la pericolosità della minaccia delle botnet non è abbastanza se poi non si investe nella direzione della collaborazione. Le reti criminali sfruttano le vulnerabilità tecnologiche e quelle del sistema: un meccanismo di collaborazione può servire a implementare i rimedi necessari dal lato tecnico assieme a quelli sul piano organizzativo.
PI: Quali sono i temi su cui vi state muovendo in questi primi mesi?
AR: Al momento lavoriamo molto sull’area tematica dei DNS e DNSsec. Innanzi tutto è importante aumentare la comprensione del ruolo strategico e critico dei DNS nell’infrastruttura di rete, pochi paesi ne sono consapevoli: si tratta di una tematica tecnica, difficile da divulgare. Abbiamo bisogno di strumenti che ne mostrino in modo trasparente l’importanza, evitare che la sicurezza venga vista solo come un tecnicismo: trovare nuove metriche moderne che restituiscano a tutti gli interlocutori gli esatti valori in gioco, le reali implicazioni. Stando bene attenti a evitare di fare allarmismo nel tentativo di aumentare la consapevolezza.
PI: In questo senso, qual è il tema da affrontare per primo?
AR: Lancio un messaggio: le aziende da sole non ce la fanno, non possono fare da sole. Occorre comprendere che la sicurezza informatica va affrontata come la gestione di crisi e emergenze, come un terremoto o un incendio. L’azienda da sola non può gestire in casa incendi enormi, e così come esistono i pompieri per spegnere il fuoco occorre pensare a strutture analoghe per la cyber-security. La creazione di forze di intervento comuni va discussa, abbiamo bisogno di squadre speciali che aiutino quando c’è bisogno: sono risorse scarse queste, costose, che non possono essere gestite dalle aziende da sole.
PI: Cosa può dirci del quadro italiano?
AR: In Italia siamo in una situazione in cui mancano gli esperti: le università non producono abbastanza risorse in questo senso, aziende e governo si trovano a far fronte a una situazione complessa senza le capacità adeguate. L’Italia, tra i paesi avanzati, non ha elaborato a livello nazionale una propria strategia: altrove è stato fatto.
PI: Ci può fare qualche esempio?
AR: Penso all’Egitto, al Messico, al Brasile. Paesi che hanno un piano nazionale con fondi stanziati per finanziarlo. L’Egitto, 2 anni fa, ha deciso di avviare la formazione di 200 persone, divise equamente tra pubblico e privato, proprio perché ritengono fondamentale disporre al momento giusto delle competenze necessarie a prendere le scelte giuste.
PI: Cosa comporta questo ritardo?
AR: Partiamo con un pilastro mancante. Manca la strategia, manca l’interlocutore che dovrebbe definire linee guida e approcci comuni. A luglio in Parlamento è approdato l’ultimo rapporto del Copasir che portava in dote considerazioni importanti in questo senso: in passato questi rapporti hanno garantito seguiti importanti, purtroppo in questo caso è rimasto (almeno per il momento) lettera morta.
a cura di Luca Annunziata