Strumenti Utente

Strumenti Sito


secur

<markdown> Sicurezza dei sistemi e crittografia ===

Abstract —

da fare

Considerazioni —

Nell'ambito dei sistemi informativi la sicurezza dei dati e delle applicazioni sembra destinata a subire valutazioni ambivalenti, a tutti i livelli aziendali e tecnici. Citata, spesso a sproposito, come elemento fondamentale di ogni progetto (soprattutto dei progetti ancora in fase di avvio), finisce per essere spesso ignorata o considerata solo come una voce di costo da contenere. Sul fronte pratico viene ricondotta all'uso dello strumento tecnico teoricamente più aggiornato ed efficiente, trascurando gli altri fattori che concorrono a rendere insicuro un sistema, che siano informatici o umani. Anche le figure professionali, che in altri contesti sono andate via via specializzandosi con un generale aumento di competenze, sono rimaste confinate in nicchie (il più delle volte identificate dal colore dei cappelli), delegando i loro compiti a professionisti magari esperti, sì, ma di altri argomenti. Se a queste considerazioni aggiungiamo le varie “voci di corridoio”, spesso diffuse superficialmente dai media generalisti, possiamo capire perché negli ultimi decenni la sicurezza dei dati abbia subito una sostanziale riduzione: sistemi sempre più complessi e pervasivi ma intrinsecamente insicuri, basati su altri sistemi spesso malamente configurati, in mano ad utenti formalmente rassicurati ma di fatto spogliati di ogni garanzia di privacy e riservatezza.

Poco dopo la nascita di Internet si assisté ad un notevole fermento nei dibattiti legati alla sicurezza: crittografia, integrità e stabilità dei sistemi, protezione da attacchi, erano temi presenti nei titoli di tutte le riviste specializzate in informatica. Riviste e quotidiani, pur se con un diverso livello di approfondimento, affrontavano gli stessi temi per le loro ripercussioni sulla vita sociale, economica e politica, dipingendoli come i mezzi per un radicale cambiamento nelle opportunità di privacy, democrazia e commercio. Oggi, dopo un quarto di secolo, si torna a parlare di sicurezza solo a seguito di scandali e plateali falle nella sicurezza di grosse aziende, cercando un comodo capro espiatorio e senza mai indagare sulle cause di fondo del problema. Cosa particolarmente grave se consideriamo che oggi gestiamo e divulghiamo sulle reti informatiche una massa di dati molto più ampia e riservata di quanto non avvenisse anche solo un decennio fa: dagli acquisti online alle comunicazione personali, dalla partecipazione a varie reti sociali alla comunicazione di dati personali, bancari, sanitari, di orientamento politico e religioso. Sistemi che son diventati pervasivi: dallo smartphone che portiamo in tasca al router WiFi con cui da casa ci colleghiamo ad Internet. Tutto questo fornendo all'utente medio una sorta di delega a farsi truffare: il massimo sforzo che viene fatto è installare un software antivirus e inventare una password che non sia assolutamente banale. Non stupisce quindi che frodi telematiche, furti di identità, virus e malware distruttivi, spam, accessi invasivi a reti domestiche ed aziendali siano in aumento continuo e progressivo.

Uno dei sistemi potenzialmente più validi, tra quelli proposti per arginare questi problemi, è stata la crittografia, ossia l'insieme dei metodi atti a rendere una comunicazione comprensibile solo agli aventi diritto: solo il destinatario può leggere un messaggio a lui inviato. La crittografia è una branca ben sviluppata e studiata dell'informatica e più in generale della matematica, purtroppo vi sono state enormi lacune nella sua applicazione pratica; in parte per motivi politici, con i governi che vogliono mantenere il controllo sulle comunicazioni, in parte per motivi pratici: l'utente medio è sostanzialmente pigro, non vuole essere costretto a memorizzare decine di password complesse, e le società informatiche hanno sempre facilitato queste pratiche insicure. Con l'ulteriore svantaggio di dare all'utente un falso senso di sicurezza, convincendolo che usare comunicazione criptate sia sicuro anche quando la password utilizzata è “123456” (maggiormente utilizzata nel 2014, seguita da “password”). Uno metodo con immense potenzialità è stato di fatto ridotto a mera apparenza, poco più di uno strumento di marketing, che non fornisce nessun reale incremento di sicurezza.

La crittografica presenta notevoli difficoltà tecniche ma molto raramente è questo che porta alle violazioni e infrazioni, causate il più delle volte da disattenzione, superficialità e altri comportamenti a rischio da parte degli utenti.

Conclusioni —

La sicurezza di un sistema informativo è una catena la cui solidità dipende dal suo anello più debole. Se nemmeno un comune utente, il cui interesse prevalente relativo ai sistemi informativi è la condivisione di pochi dati personali, può permettersi una scarsa attenzione alle tematiche della sicurezza, tantomeno può cadere in questo errore una azienda, che grazie ai sistemi informativi conserva i propri dati economici e finanziari, presenta le proprie attività e progetti, effettua comunicazioni interne, genera e presenta documenti fiscali. Pensare che la soluzione più solida sia anche la più semplice equivale ad installare nella propria casa un portone blindato per poi lasciare tutte le finestre aperte e la chiave sotto lo zerbino, partendo spensierati per le vacanze. Si pensa sempre che questo tipo di situazione riguardi il nostro vicino, finché i problemi non si presentano alla nostra porta. La difficoltà principale non è solo quella tecnica, per quanto significativa, ma soprattutto di approccio: evitare le insicurezze richiede un minimo di impegno mentre il comune utente vuole usare i dispositivi informatici per risolvere i propri problemi, non per averne di aggiuntivi. Ma come avviene per tutte le tecnologie ad una maggior potenza degli strumenti deve corrispondere una maggior cautela nel loro uso e a precise regole di impiego. Adottare tecnologie valide è inutile, oltre che uno spreco di denaro, se a queste tecnologie non vengono affiancate e sostenute da politiche aziendali rigorose, verificate e abbastanza dinamiche da potersi adattare alla costante evoluzione dei casi d'uso.

***

Sebbene la crittografia in sé sia difficile, resta una delle parti più semplici di un sistema di sicurezza. Come una serratura, un componente crittografico ha dei limiti e dei requisiti abbastanza ben definiti. L'intero sistema di sicurezza è molto più difficile da definire con chiarezza, dato che coinvolge molti più aspetti. Per esempio, le politiche aziendali deputate a fornire l'accesso e quelle deputate a controllare che siano seguite le altre procedure rappresentano aspetti molto più complicati da gestire perché la situazione si evolve continuamente. Un altro notevole problema nel campo della sicurezza informatica è la qualità atroce di quasi tutto il software: un sistema software di sicurezza non può essere efficace se i programmi sottostanti della macchina contengono migliaia di bug che aprono ampi varchi ai malintenzionati.

La crittografia è la parte più semplice perché ci sono persone che sanno come realizzare un lavoro ragionevolmente buono. Ci sono esperti che realizzano un sistema crittografico a pagamento. Essi non sono a buon mercato e spesso è antipatico lavorarci insieme, perché insistono sulla necessità di cambiare altre parti del sistema per ottenere gli standard di sicurezza desiderati. Nondimeno, per tutti gli scopi pratici, la crittografia pone dei problemi che sappiamo come risolvere.

È il resto del sistema di sicurezza a contenere problemi che non sappiamo come risolvere. La gestione e la conservazione delle chiavi sono cruciali per ogni sistema crittografico, ma gran parte dei computer non prevede alcun luogo sicuro in cui conservare una chiave. La scarsa qualità del software, poi, è un problema che non sappiamo affatto come gestire, per non parlare della sicurezza delle reti. Aggiungendo infine al tutto gli utenti, il problema diventa quasi irrisolvibile. </markdown>

secur.txt · Ultima modifica: 2017/05/03 15:48 (modifica esterna)