Corso di Privacy

Dei maggiordomi, della sicurezza.

 

Nelle precedenti lezioni, dedicate alla sicurezza dal punto di vista operativo, abbiamo parlato e visto assieme tutta una serie di pericoli tecnici che attendono al varco il navigatore e che possono minare la sua privacy in internet. In questa lezione esamineremo invece il problema dal punto di vista di coloro che si occupano direttamente della sicurezza informatica e che quindi sono, in un certo senso, i nostri maggiordomi. Cercheremo cioè di fare un breve punto sulla situazione attuale.

Nei romanzi gialli classici gli autori ci hanno spesso abituato che il vero colpevole del mistero non è il giovane figliuol prodigo bensì il severo e compassato maggiordomo. Ovvero colui al quale spettava la responsabilità della gestione delle grandi dimore aristocratiche dell’epoca.
Nei moderni sistemi di gestione aziendale chi sono i maggiordomi? Il loro posto oggi è occupato dagli amministratori di rete.

A detta degli stessi esperti, lo sviluppo di sistemi assolutamente sicuri è praticamente impossibile ed anche i sistemi più curati dal punto di vista della sicurezza possono poi rivelarsi vulnerabili, magari da parte di utenti legittimi che abusano dei privilegi a loro concessi.
Le cronache sono piene di esempi di questo tipo. Allo stesso tempo è preoccupante notare come sia sottovalutato il tema della sicurezza informatica e quante siano le aree di informazione pubbliche e private sprovviste di adeguate sistemi di protezione. Questa situazione è particolarmente grave se si considera che le tecnologie oggi consentono di mettere a punto valide difese contro le intrusioni e spesso la carenza sta nella mancanza di sensibilità e di attenzione da parte dei responsabili della gestione dei sistemi informatici.

Sembra inoltre che, indipendentemente dal sistema operativo utilizzato per la gestione dei servers, sia esso Linux piuttosto Windows NT, i pirati informatici sfruttino a fondo buchi nella sicurezza causati da bugs già da tempo segnalati e conosciuti e per i quali sia la casa di Redmond che le varie distribuzioni del Pinguino hanno già da tempo realizzato e distribuito le relative patches.

Scarsa cultura, mancanza di tempo, poche informazioni da parte dei produttori sembrano essere le vere cause della vulnerabilità dei sistemi e-commerce e e-banking.
Da dati pubblicati da organizzazioni come www.attrition.org e www.securityfocus.com si evince che il 56% delle 3.746 violazioni di siti web segnalati nel 1999 siano state causate dalla mancata applicazione delle patch disponibili, mentre per i 5.823 casi segnalati nel 2000 la percentuale sale al 99%.
Questi dati mostrano un quadro generale indipendente dal sistema operativo usato. Se molti sistemi gestiti da Windows NT sono stati colpiti sfruttando vulnerabilità note come la traduzione dei caratteri Unicode, la cui patch era stata rilasciata da Microsoft ancora prima della scoperta (agosto 2000), durante la correzione di un altro problema, la recrudescenza di worm come Ramen, che dalla metà dell"anno scorso ha permesso a tanti pirati di violare siti basati su sistemi Linux, sfrutta un serie di vulnerabilità note del server wu-Ftp dei servizi Rpc (Remote procedure call) o del software di stampa Lprng.

Se la sicurezza delle proprie infrastrutture non sembra ai primi posti nei pensieri dei responsabili IT, la privacy non sembra passarsela meglio. Penso sia esperienza di ognuno di noi vedere come le nostre caselle e-mail vengano periodicamente invase da spam e avvisi pubblicitari non richiesti, alcuni dei quali inviati dagli stessi provider a cui siamo abbonati più o meno gratuitamente per accedere in internet.

Lo spam in particolare rappresenta il fenomeno più odioso e antipatico e contro il quale sembra ci sia ben poco da fare. Il peggio è che a sua volta nasconde una insidia ancora maggiore: il fatto che i nostri dati personali e sensibili siano a disposizione di persone, enti, società a noi ignoti e che possano essere non solo utilizzati per iniziative pubblicitarie e di marketing, ma che possano essere ceduti senza il nostro consenso e in totale assenza di qualsiasi controllo.

Nel corso di queste prime dieci lezioni abbiamo visto cosa prevede la legge italiana sul tema della privacy, quali sono i suoi protagonisti e abbiamo visto come sia possibile garantire la sicurezza dei dati e delle informazioni personali a livello strettamente operativo.

Questo breve excursus terminerà nella prossima puntata con l’analisi del software più conosciuto per la criptazione: il PGP (Pretty Good Privacy). Parleremo non solo del programma in sé e delle sue potenzialità, ma anche del suo inventore Philip Zimmermann, introdotto ai lettori di Software Planet nel corso di una sua intervista pubblicata nella quarta lezione, e delle implicazione scatenate da questo programma negli Stati Uniti e del conseguente processo intentato al suo creatore.

Successivamente entreremo nel vivo della privacy parlando di spam, che cos’è, come evitarla e come difendersi, e di cosa bisogna fare nel caso in cui si desideri ad esempio avviare una attività commerciale in internet e sia necessario richiedere i dati personali ai propri clienti.

 

Torna all'indice Generale del corso di Corso di Privacy di Software Planet