martedì 24 settembre 2013

Non entrate in quella rete


Fonte: qui.

Gli ultimi leak di Edward Snowden, l'ex collaboratore della National Security Agency (Nsa), meritano alcune riflessioni. Da quanto è emerso, infatti, l'Nsa avrebbe collaborato con aziende americane produttrici di tecnologie per inserire delle "back door" all'interno dei propri sistemi, permettendo all'agenzia americana, e alla sua omologa inglese, la Gchq, di avere accesso ai dati dei loro utenti, ovviamente all'insaputa di questi ultimi. Le precedenti rivelazioni di Snowden avevano già messo in grave imbarazzo diverse Internet company oltre che l'amministrazione Obama, ma queste ultime "soffiate" hanno implicazioni molto più ampie. Ciò che emerge è infatti una serie di azioni messe in pratica con sistematicità con l'obbiettivo di controllare il traffico sulla internet, decriptando messaggi con "back door" sui sistemi di comunicazione di specifici produttori, introducendosi su Vpn (Virtual Private Network) e, sommariamente, decriptare tutto il traffico che transita via fibra.
Google, Yahoo, Microsoft e Facebook, su pressione dei loro clienti, hanno chiesto alle autorità americane di poter fornire più informazioni sul programma di collaborazione, attualmente ancora poco chiaro. Una azienda specializzata nella encription di email, la Lavabit, pare abbia chiuso le attività piuttosto che acconsentire alle richieste della Nsa. La stessa decisione pare sia stata presa dalla Silent Circle, un'azienda di servizi di posta elettronica. Il fondatore della Lavabit ha poi reso pubblico con una lettera il suo pensiero, suggerendo a chiunque tenga ai propri dati riservati di non avere a che fare con Internet company con legami fisici con gli Usa.
Nonostante i contorni siano ancora poco chiari, risulta però evidente che l'intera faccenda pone interrogativi di estrema rilevanza non solo per i privati cittadini, ma anche per le istituzioni italiane ed europee e per le imprese.
Infatti l'Nsa avrebbe sviluppato sistemi di decriptazione per le transizioni economiche su internet e potrebbe avere accesso a informazioni riservate, di privati cittadini, attualmente gestite da Internet service provider (Isp) o di Internet company. Ma Isp e Internet company gestiscono anche dati non solo di semplici cittadini italiani ma anche di persone che rivestono ruoli a tutti i livelli nella pubblica amministrazione e negli organi di governo. Non più di due mesi fa ho preso parte a una discussione avvenuta attraverso uno scambio di email alla quale partecipavano persone con ruoli apicali nelle nostre istituzioni: per le loro email utilizzavano un provider americano e utilizzavano come username nome e cognome scritto per esteso, rendendo così semplicissima la riconoscibilità delle loro opinioni e della strategia che stavano impostando. Questa prassi è assolutamente diffusa a ogni livello. Ed è evidente la pericolosità di questo modo di operare. Inoltre – questo aspetto è altrettanto critico – numerose imprese fanno uso delle tecnologie software dei produttori americani e utilizzano sistemi che, banalizzando, fanno uso del concetto e dell'architettura di cloud. Ciò significa che i dati non sono presenti sui sistemi dell'impresa ma sui sistemi del fornitore del servizio.
Ci sono situazioni limite in cui quasi tutti i dati dell'impresa e dei singoli collaboratori sono ormai su un cloud. Questa architettura assicura bassi costi all'azienda e applicativi di indubbia efficacia, aumentando sicuramente la produttività del singolo e della organizzazione nel suo complesso. Il problema è che le rivelazione di Snowden dicono che questa mole di dati e informazioni non è al sicuro. Il ruolo dell'Agenzia inglese, presentato come rilevante, impone una immediata richiesta di spiegazioni da parte degli altri Paesi della Comunità europea.
È evidente come sia la sicurezza nazionale che la competitività del nostro sistema produttivo siano potenzialmente a rischio. Si tratta però di un problema di difficile soluzione perché le "back door" possono essere inserite a partire dal livello fisico dell'hw salendo nei vari strati software. Non avendo in Europa, tranne poche eccezioni, grandi produttori di hw, di sistemi operativi e nemmeno di software applicativi, il sistema risulta così vulnerabile, esposto a un grave rischio a livello strategico nel presente e nel prossimo futuro.

Nessun commento:

Posta un commento

Nota. Solo i membri di questo blog possono postare un commento.