“Così si violano i sistemi”, allarme Cybersecurity. Il 5 G è alle porte e già da tempo gli Stati Uniti lanciano l’allarme sulla possibilità che attraverso la telefonia mobile di quinta generazione aziende straniere possano spiare, per conto dei loro governi, gli Stati per i quali forniscono infrastrutture essenziali per il 5G. E’ nota la moral suasion messa in atto dal presidente Trump affinché l’Europa bandisca le aziende cinesi dalle infrastrutture per il 5 G. Ma l’allarme non è solo a stelle e strisce. Il dubbio di essere spiati dai cinesi con l’arrivo massiccio sul territorio di colossi come la cinese Huawei ha contagiato anche l’Italia. Un allarme arrivato anche in Parlamento dove, fra l’altro, c’è chi vuole vederci chiaro e ha chiesto l’accesso agli atti del memorandum per la Nuova Via della Seta. Dobbiamo, dunque, preoccuparci?
“Huawei – rivelano numerosi specialisti di cybersecurity e di tlc che sono stati intrpellati – è un falso problema. Non c’è un motivo tecnico che giustifichi realmente il maggiore rischio paventato per il 5G rispetto al 4G dal punto di vista della sicurezza nazionale. E questo perché – spiegano i tecnici – già con il 4G sono state trovate negli apparati connessi alla telefonia mobile cellulare porte di accesso nascoste (dette back door), non dichiarate dai costruttori esteri. Alcune specifiche differenze tra 4G e 5G naturalmente ci sono ma – avvertono gli specialisti – non riguardano il fatto che ora, più facilmente che in passato, le infrastrutture necessarie alla quinta generazione possano consentire al gigante cinese di spiarci. E’ una possibilità che esiste da tempo e per di più ora non si può certo tornare indietro”.
“L’Italia è già stracolma di dispositivi di rete (i router) e di hardware Huawei per il funzionamento delle celle radio cellulari (le cosiddette Bts). E soprattutto – e questo è il punto dirimente – anche i componenti che servono agli altri produttori per costruire Bts o altre infrastrutture sono fatti comunque in Cina nella quasi totalità dei casi. Quando si costruiscono componenti per Bts o altri apparati è possibile inserire codici nel firmware che restano a ‘dormire’ fin quando vuole chi ce li ha inseriti. Sono cose da noi già riscontrate e – ammettono gli specialisti – non solo da parte di un Paese come la Cina. E’ l’Italia che deve attrezzarsi. E anche sul fronte delle gare per le frequenze del 5G si poteva essere più scrupolosi, obbligando gli operatori di tlc ad aggiungere, per esempio, chip di controllo alle stazioni radio base in modo da garantire più controllo da parte dello Stato italiano”.
Va da sé che “i militari hanno le loro Bts, i loro tunnel di comunicazione o, in alternativa, chiedono le configurazioni su loro specifiche indicazioni tecniche. Bts costruite in base al un disegno e a una progettazione ‘fatti in casa’ e cioè dalla stessa struttura militare”. E allora perché non si rende sicuro anche l’ambito civile allo stesso modo visto che la corsa tecnologica non fa che connetterci tutti a nostro vantaggio ma anche a nostro rischio e pericolo? “Sarebbe certamente opportuna una osmosi tra il mondo civile e quello militare, per quanto attiene la sicurezza informatica. Ci sono, infatti, alcune cautele prese dal mondo militare che potrebbero essere trasportate in ambito civile a cifre sostenibili”. Un esempio? “Il modello informatico del ‘secure by design’ vale a dire software aperti dove l’architettura del sistema hardware e software è trasparente ma gli algoritmi di criptazione sono unici per ciascun proprietario del sistema”.
Detto questo, la differenza fra 4G e 5G sta in un alcuni aspetti specifici: “Il 5G, stando al bando di legge, deve irrorare tutto il territorio in modo uniforme ed in più ha una connettività di circa 100 volte superiore. Il che significa che il 5G consentirà una maggiore velocità di connessione su tutto il territorio, anche in aperta campagna, con vantaggi tecnologici in tutti campi ma anche con la consapevolezza che il lavoro degli hacker non avrà più zone d’ombra. Ci possono raggiungere ovunque e hanno a disposizione anche altre superfici inedite: il 5G renderà, infatti, possibile la connessione in rete di qualsiasi apparecchio tecnologico (la cosiddetta ‘Internet delle cose’) come elettrodomestici, automobili e molto molto altro, tutti oggetti che avranno un loro indirizzo Ip”.
Ma veniamo ad un altro aspetto clou. “I sistemi informatici, per come sono concepiti ora, non sono così sicuri. Violarli è una questione di tempo. I sistemi di attacco si evolvono di pari passo con i sistemi operativi in modo standardizzato, questo è il punto. Occorre cambiare paradigma e aprirsi, almeno nelle infrastrutture strategiche italiane, al modello ‘secure by design’”, ribadiscono gli specialisti di cybersecurity e Tlc interpellati anche alla luce degli avvertimenti lanciati dal Garante della Privacy in concomitanza con il via libera alla certificazione elettronica e poi sia sulle app-spia che sul pericolo dell’archiviazione sui server esteri.
“Le banche dati non sono sicure – evidenziano i tecnici – come dimostrano il mega cyber attacco ad una catena alberghiera internazionale, o la violazione delle pec italiane, degli account in Germania (incluso quello della cancelliera Merkel), dello smartphone del fondatore di Amazon o, ancora, il recentissimo attacco al sistema automatizzato della centrale idroelettrica in Venezuela”.
“Il punto è – sottolineano gli specialisti di cybersecurity – che in generale i sistemi operativi non sono sicuri, soprattutto quelli di natura proprietaria (vale a dire quelli che appartengono alle aziende che li hanno messi in commercio) perché produttori e sviluppatori, tenendo secretati i codici sorgente del loro software, pregiudicano e limitano le azioni dei prodotti di protezione. Ed è proprio per questo ultimo aspetto – fanno notare i tecnici – che le protezioni (dette ‘perimetrali’) installate per contrastare possibili attacchi (si tratta di sistemi di protezione posti a valle dei router per filtrare i pacchetti dati che arrivano dentro la rete di tlc dell’utente, la Vpn), a causa dell’opacità dei pacchetti e dei sistemi operativi proprietari risultano meno efficienti e quindi spesso penetrabili da parte dei cosiddetti ‘zero-day’ vale a dire sistemi di attacco ancora mai intercettati da chi è deputato a creare gli algoritmi di protezione e che si basano su complessi algoritmi di permutazione del meccanismo di trasmissione di pacchetti dati”.
“In altre parole, prima o poi le ‘mura’ perimetrali vengono superate ed ecco che tutti i sistemi fondati sul tentativo di bloccare attacchi standardizzati sono insicuri. Si fa strada tra noi da tempo un nuovo punto di vista in materia di cybersecurity che si fonda sulla scelta di sistemi aperti e quindi gratuiti (detti ‘open source’ e quindi non appartenenti ad alcuna azienda), di modelli trasparenti dal punto di vista delle regole e dei componenti elettronici e informatici e di ‘vestiti’ di cyber security non standardizzati ed anzi unici.
In sostanza, per prima cosa, “chi realizza il sistema di sicurezza segue delle regole trasparenti fissate da soggetti terzi, come è il caso per esempio dell’Università La Sapienza e dell’Università di Salerno, che mettono nero su bianco l’architettura hardware e software (cosiddetto framework) da rispettare nella costruzione e che poi verificano, pezzo per pezzo, il rispetto dei criteri fissati. Per seconda cosa – rimarcano gli esperti del settore – si consegna una chiave di criptazione al proprietario dell’apparato da proteggere e cioè un algoritmo di grandissima complessità che renderà il pacchetto dati decifrabile solo dal proprietario”. Non uno standard di mercato, quindi, a fronte di regole che, di contro, sono trasparenti e uguali per tutti.
In questo puzzle sulla sicurezza informatica dell’Italia, c’è un altro tassello fondamentale:l’archiviazione nei cloud . Su questo punto gli esperti di cybersecurity, tlc e intelligence che l’Adnkronos ha interpellato sono a dir poco allarmati: “Urge un cloud italiano pubblico e fondato su un nuovo paradigma di sicurezza informatica. Il settore industriale e civile del Paese è a rischio, tanto più con i vulnus aperti dalla fatturazione elettronica. Oggi gli hacker non sono più ragazzotti in ordine sparso, ma ingegneri stipendiati che ogni giorno sono impegnati per bucare le reti di sicurezza informatica di persone (come il fondatore di Amazon cui è stato spiato lo smartphone) e di Stati e che, di contro, lavorano per alzare muri più alti e resistenti per respingere gli attacchi altrui. La guerra informatica è una realtà quotidiana. E l’Italia, stando a quanto riferito dagli specialisti di cybersecurity e Tlc, ha dato il via definitivo alla fatturazione elettronica “senza valutarne in profondità l’impatto sulla sicurezza, nonostante l’avvertimento del Garante della Privacy a novembre scorso”.
Di qui la necessità stringente di un cloud pubblico “presso il ministero dello Sviluppo economico che, a differenza di terzi (privati) più sensibili al proprio tornaconto economico, ha a cuore solo gli interessi delle aziende italiane e dei cittadini. Un cloud, fondato sul sistema di sicurezza informatica ‘secure by design’ che consegna certificati di criptazione solo ai proprietari e nel quale è impossibile infilare porte di accesso nascoste (back door) all’insaputa dei proprietari. Un cloud – ragionano gli specialisti – a cui tutti possono abbonarsi in modo sicuro e pressoché gratuito considerato che i fondi strutturali europei finanziano il 70% delle attività dedicate alla sicurezza informatica (fondi ad oggi in gran parte ahinoi, restituiti dall’Italia) e che il nostro Paese ha il know how per spiccare il volo”.
“Con le fatture elettroniche – spiegano gli esperti di Tlc – si è aperto un enorme spiraglio per violare i dati le imprese italiane, conoscendone dati di dettaglio in modo millimetrico, dalle singole materie prime alle quantità, dai costi ai tempi al fine di clonarle appropriandosi del loro know how. Pensiamo per esempio ad aziende competitive sul mercato che consegnano le loro fatture a società terze, private, che si appoggiano a cloud di loro proprietà ma situati anche fuori dall’Italia. L’attacco informatico che ha violato di recente migliaia caselle di posta elettronica certificate di soggetti italiani, sia pubblici che privati, non sembra aver prodotto un’approfondita riflessione”.
Non solo. Considerato che “anche le aziende munite di Nos, il ‘nulla osta di sicurezza’ (il certificato che consente di trattare informazioni classificate come ‘riservatissimo’ o di grado superiore, ndr), devono emettere fatture elettroniche per le loro forniture strategiche all’Esercito, all’Intelligence, al Ministero dell’Interno o alla Marina, il rischio –spiega un analista della nostra Intelligence – riguarda la sicurezza nazionale, poiché si tratta di fatture che passano in banche dati che non sono sicure come dimostrano i numerosi casi di cybercrime balzati alle cronache”.
Ma andiamo per gradi. E partiamo dal paradosso evidenziato all’Adnkronos da un gruppo di specialisti che lavorano a tutela della sicurezza di imprese commerciali: “Spesso le aziende fanno firmare ai propri dipendenti chili e chili di Nda (non disclosure agreement, in sostanza accordi di riservatezza) e poi chiunque potrebbe arrivare ad avere certe informazioni su quell’azienda visto che ci sono molti soggetti terzi coinvolti nella filiera, della fatturazione elettronica e che possono accedere a quei dati”.
Se parliamo poi di sicurezza nazionale le cose stanno ancora peggio: “Ci sono aziende che fanno appalti secretati, vale a dire soggetti al Nos, il nulla osta di segretezza – spiegano tecnici di aziende fornitrici di tecnologie di altissima sicurezza – e che sono tenute ad avere un’area Nos certificata dai carabinieri con una cassaforte speciale e possono farvi accedere solo dipendenti muniti di certificazione ad hoc . Poi però quando queste aziende fanno la fattura al ministero della Difesa, la fattura in questione va nella banca dati di tutte le altre fatture elettroniche riportando per filo e per segno tutti i componenti venduti al ministero. Una vacatio pericolosissima“.
In generale comunque “i dettagli di tecnici di fornitura e di configurazione delle infrastrutture critiche dello Stato italiano non devono stare nei cloud di privati dove sono condivisi con persone e in ambienti non certificati per la sicurezza nazionale (Nos) . “Neppure l’Agenzia delle Entrate è soggetta a Nos“, fanno notare gli esperti. E, più in generale, “ci si preoccupa delle Stazioni Radio Base (hardware per il funzionamento delle celle radio cellulari, ndr) costruite da Huawei e piazzate sul territorio italiano, e non ci si preoccupa del fatto che parte della pubblica amministrazione ha il data center in cloud privati che in alcuni casi hanno sede all’estero”, senza fare nomi.
Il punto è sempre lo stesso: per gli esperti di cybersecurity “ci sono colossi non italiani che hanno cloud enormi e a cui ricorrono orde di soggetti, inclusa la pubblica amministrazione italiana. E, più in generale, chi usa quei cloud non saprà mai dove sono i proprio dati e se un altro Stato può avere interesse a volerli vedere“. L’Italia, di contro, “ha il know how per eccellere su questo fronte. Senza contare che un cloud pubblico italiano avrebbe lo stesso senso che hanno i binari delle Ferrovie dello Stato, sono pubblici ma ci camminano sopra in tanti rispettando le regole e la sicurezza dettata dallo Stato italiano. E ci sono attori come il Ministero degli Interni o il Ministero della Sviluppo Economico che sarebbero soggetti deputati per ‘mission’ a svolgere questo compito, avendo in seno eccellenze italiane dell’informatica, ma non dispongono di risorse economiche adeguate (messe tra l’altro a disposizione in gran parte anche dalla comunità europea)”. Insomma, il tema della vulnerabilità dei data center e dei cloud di archiviazione è fortemente all’attenzione degli specialisti del settore che invitano anche a ragionare su “cosa potrebbe accadere per esempio se i data center cui sono collegate le scatole nere montate sulle autovetture fossero violati”.
Lascia un commento