Perché la security non è solo firewall+antivirus
Da sempre (e soprattutto dall'anno scorso) spiego come non sia possibile pensare di essere "al sicuro" solo per il fatto di aver installato un firewall e un antivirus, pur mantenendoli aggiornati.
Il pericolo numero uno per la sicurezza è l'utente, che quando ha diritti amministrativi può installare qualsiasi tipo di software sul proprio computer. Anche a sua insaputa. Il famoso motto "usate il computer senza essere amministratori della macchina" ha radici molto fondate.
Nel tour di MSDN dell'anno scorso dedicato alla security e nel .NET Security Day di quest'anno a Zurigo ho sempre illustrato come sia possibile scrivere del software "su misura" che non viene intercettato da nessun firewall e da nessun antivirus, spiegando anche come, nell'informatica, se qualcosa è possibile qualcuno probabilmente l'ha già fatta. Stamattina ho letto questa notizia su Punto Informatico che, semplicemente, fa venire alla luce il primo caso di questo tipo: sicuramente ce ne sono altri che non vengono pubblicizzati e magari nemmeno scoperti (in questo caso, infatti, la scoperta è avvenuta per caso e in modo anche un po' indiretto). In breve, un programmatore israeliano metteva la sua capacità di "virus writer" al servizio di agenzie investigative dedite allo spionaggio industriale.
Quello che colpisce è la cifra relativamente esigua (3.000 euro per ogni virus/trojan creato) richiesta dal colpevole. Da un punto di vista meramente economico, queste tariffe "abbattono il livello di ingresso nel mercato" da parte di chi non si fa troppi problemi per acquisire i segreti della concorrenza. Difendersi è assolutamente più caro, più che altro perché richiede un po' di cultura della sicurezza che non si può semplicemente comprare.
Vedendo la cosa da un punto di vista più generale, la considerazione che mi viene da fare è che la sicurezza in senso assoluto non è perseguibile, quindi è più sensato, arrivati a un certo punto, tracciare informazioni che consentano di risalire al colpevole in caso di "attacchi", oltre ad avere una qualche forma di intrusion detection system che consenta di analizzare le situazioni sospette. Se poi il sistema investigativo e giudiziario faranno il loro dovere, il rapporto rischio-benefici sarebbe spostato a sufficienza per dormire sonni un po' più tranquilli. Se ci pensiamo è lo stesso per l'antifurto di una casa: la sirena è ormai del tutto inutile, molto meglio un sistema di allarmi mirati (telefono, sms, ecc.) e una bella ripresa dell'intruso. Privacy permettendo, ovviamente.
PS: Ma la privacy di un ladro è più importante dell'inviolabilità della propria abitazione? Domanda interessante...