Cryptogram, una newsletter sulla sicurezza

Questo è un post tecnico di 12 anni fa. Le istruzioni potrebbero non essere più valide.

Tutelare privacy e libertà civili.

Inorriditi dai recenti dirottamenti, molti americani si sono detti disposti a rinunciare alle libertà civili in nome della sicurezza. Lo hanno detto con tale veemenza che questo compromesso sembra ormai già scontato. Articoli su articoli discutono l’equilibrio fra privacy e sicurezza, valutando se le varie misure di sicurezza compensano adeguatamente le perdite in termini di privacy e libertà civili. È raro che io mi imbatta in una discussione che chieda se questo nesso è valido.

La sicurezza e la privacy non sono due estremi di un’altalena. Pensarlo è un’associazione di idee semplicistica ed in gran parte errata. È facile e spiccio, ma meno efficace, aumentare la sicurezza diminuendo la libertà. Ma i modi migliori di aumentare la sicurezza non vanno a scapito della privacy e della libertà.

È facile dimostrare l’infondatezza dell’idea che qualsiasi misura di sicurezza comporta un sacrificio in termini di libertà. Dotare di armi i piloti, rinforzare le porte delle cabine di pilotaggio e insegnare il karatè al personale di volo sono tutti esempi di misure di sicurezza che non hanno effetto alcuno sulla privacy o sulle libertà individuali. Lo stesso vale per una migliore autenticazione degli addetti alla manutenzione degli aeroporti o per i cosiddetti “dispositivi di uomo morto” che obbligano automaticamente gli aerei ad atterrare all’aeroporto più vicino o per gli agenti armati a bordo degli aerei.

In genere, le misure di sicurezza che comportano una riduzione delle libertà individuali saltano fuori quando i progettisti di un sistema non prendono in considerazione gli aspetti di sicurezza sin dall’inizio del progetto. Sono tentativi di “metterci una pezza” e testimoniano una cattiva progettazione della sicurezza. Quando la sicurezza è parte intrinseca di un sistema, funziona senza obbligare le persone a rinunciare alle proprie libertà.

Esempio: la messa in sicurezza di una stanza. Prima opzione: trasformare la stanza in un caveau impenetrabile. Seconda opzione: mettere serrature alle porte, sbarre alle finestre, e installare un antifurto che copra tutto. Terza opzione: non darsi la pena di mettere in sicurezza la stanza, ma mettere invece una guardia alla porta, con l’ordine di annotare gli estremi di identificazione di tutti quelli che entrano e verificare che siano autorizzati ad entrare.

La prima opzione è la migliore, ma è poco realistica. I caveau impenetrabili proprio non esistono; realizzare qualcosa che vi si avvicini ha costi proibitivi, e trasformare in caveau una stanza ne riduce parecchio l’utilità.

La seconda opzione è realisticamente la migliore, perché combina i punti di forza della prevenzione, del rilevamento e della reazione per ottenere una sicurezza resistente e flessibile. La terza opzione è la peggiore: costa molto più delle prime due ed è la più invadente e facile da scavalcare. È anche un segno inequivocabile di cattiva progettazione: indica che i progettisti hanno costruito la stanza e solo a cose fatte si sono resi conto di avere esigenze di sicurezza. Invece di fare lo sforzo di installare serrature e antifurto, hanno scelto la strada meno impegnativa e hanno invaso la privacy delle persone.

Un esempio più complesso: la sicurezza in Internet. Le contromisure preventive aiutano molto contro gli script kiddies [aspiranti pirati informatici che non essendo capaci di realizzare strumenti di intrusione in proprio si limitano a usare quelli realizzati da altri, Ndt], ma falliscono contro gli intrusi abili. Da un paio d’anni sostengo la necessità di usare rilevamento e reazione per fornire sicurezza su Internet. È un approccio che funziona: la mia azienda scova in continuazione gli intrusi (sia quelli esterni, sia quelli interni). Non invadiamo la privacy: monitoriamo dati che riguardano altri dati e scoviamo gli abusi in questo modo. Non vengono violate le libertà civili. Non è un sistema perfetto, ma niente lo è. Ciononostante, se combinata con prodotti di sicurezza preventiva è il sistema in assoluto più efficace ed economicamente efficiente.

Le analogie fra la sicurezza in Internet e la sicurezza mondiale sono forti. Tutte le indagini criminali attingono alle registrazioni dei sistemi di sorveglianza. La versione meno tecnologica di questo approccio è l’ascolto dei testimoni. Nell’indagine attualmente in corso, l’FBI sta esaminando le videoregistrazioni degli aeroporti, gli archivi dei passeggeri delle compagnie aeree, i registri delle scuole di volo, le registrazioni delle transazioni finanziarie, e così via. Più è accurato il lavoro di esame svolto, più diventa efficace la loro indagine.

Esistono criminali e terroristi “emulativi”, cioè che fanno ciò che hanno visto fare da altri. In gran parte è questo che le misure di sicurezza frettolosamente implementate tentano di impedire. Ci sono poi gli attaccanti astuti, che inventano nuovi modi di attaccare le persone. Questo è quello a cui abbiamo assistito l’11 settembre. A patto di spendere molto, possiamo realizzare soluzioni di sicurezza che proteggano contro gli attacchi di ieri; ma non possiamo garantire protezione contro gli attacchi di domani, cioè quelli che gli hacker non hanno ancora inventato o che i terroristi non hanno ancora concepito.

Le richieste di ulteriore sorveglianza perdono di vista il concetto di fondo. Il problema non è ottenere i dati: è decidere quali dati meritano analisi e poi interpretare quei dati. Già ora, tutti noi ci lasciamo dietro un’ampia scia di registrazioni mentre conduciamo la nostra vita quotidiana, e le forze dell’ordine sono già in grado di accedere a queste registrazioni tramite un mandato. L’FBI è riuscita a ricostruire rapidamente le identità dei terroristi e gli ultimi mesi delle loro vite non appena ha saputo dove cercare. Se avesse alzato le mani al cielo dicendo che non era in grado di capire chi aveva commesso questi crimini o come l’aveva fatto, forse avrebbe dimostrato di aver bisogno di maggiori dati di sorveglianza. Ma non lo ha fatto, e questo bisogno non c’è.

Anzi, ulteriori dati potrebbero addirittura essere controproducenti. L’NSA e la CIA sono state criticate perché si affidano troppo all’intelligence basata su intercettazioni e troppo poco a quella basata su agenti. La polizia della Germania Est raccolse dati su quattro milioni di tedeschi dell’Est, cioè circa un quarto dell’intera popolazione, eppure non fu in grado di prevedere il rovesciamento pacifico del governo comunista, perché aveva investito massicciamente nella raccolta dei dati anziché nella loro interpretazione. Ci servono più agenti accucciati per terra nel Medio Oriente a dissertare del Corano anziché seduti a Washington a discettare di leggi sulle intercettazioni.

La gente è disposta a rinunciare alle proprie libertà in cambio di vaghe promesse di sicurezza perché pensa di non avere altra scelta. Ciò che non viene detto alla gente è che si possono avere entrambe le cose. Questo richiederebbe che la gente dicesse di no al tentativo dell’FBI di aumentare il proprio potere. Ci richiederebbe di rinunciare alle risposte facili in favore di quelle ponderate. Richiederebbe la creazione di incentivi a migliorare la sicurezza nel suo complesso invece di ridurne semplicemente i costi.

Progettando i sistemi tenendo presente gli aspetti di sicurezza sin dall’inizio, invece di appiccicarli sopra alla fine, otterremmo la sicurezza che ci serve ma preserveremmo le libertà civili che abbiamo a cuore.

Alcune forme di sorveglianza generale, in circostanze ben circoscritte, potrebbe essere giustificate come misura temporanea. Ma dobbiamo fare attenzione affinché rimangano temporanee e a non integrare la sorveglianza direttamente nella progettazione della nostra infrastruttura elettronica. Thomas Jefferson disse che il prezzo della libertà è l’eterna vigilanza. Storicamente, le libertà civili sono regolarmente fra le vittime di ogni conflitto, ma solo temporaneamente. Questa guerra, che non ha un nemico preciso o una condizione conclusiva specifica, potrebbe diventare una condizione permanente della società. Dobbiamo progettare la nostra sicurezza sulla base di questa possibilità.

Gli eventi dell’11 settembre hanno dimostrato che l’America ha bisogno di riprogettare le sue infrastrutture pubbliche per tenere conto degli aspetti di sicurezza. Ignorare questa necessità sarebbe una tragedia ulteriore.

Link di approfondimento:

Pubblicato da Aldo

Aldo Latino usa con entusiasmo KDE neon, è un appassionato di WordPress e si diletta a giocare a scacchi. Ha anche una lista dei desideri. Per altre informazioni visita la sua .

2 risposte su “Cryptogram, una newsletter sulla sicurezza”

I commenti sono chiusi