Cybersicurezza, generali e fantaccini

Cassandra Crossing/ Nel mondo della sicurezza informatica tutti sanno tutto di come stanno le cose. Fanno schifo! Cosa si potrebbe fare per cambiarle?



[ZEUS News - www.zeusnews.it - 06-02-2023]

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
La verità sul ''massiccio attacco hacker'' di cui tutti parlano

Anche in questo fine settimana i "maledetti hacker" hanno conquistato i telegiornali in prima serata, hanno smosso il Presidente del Consiglio ed hanno fatto passare notti insonni anche ai membri dell'Agenzia per la Cybersicurezza Nazionale (con la "y", e grazie a DataKnightmare per il tormentone!)

Cassandra invece era ignara del tutto. Ha passato il sabato e la domenica mattina sconnessa e senza TV. E quando, la sera, il primo titolone è apparso sul tiggì delle 20:30, chi gli stava accanto gli ha chiesto, a ragione, "Ma che succede?" Domanda legittima, perché la lettura di 10 minuti di notizie, comunicati e dichiarazioni, anche del Presidente del Consiglio, se sottoposte alla tecnica dell'analisi asimoviana (cfr. Il ciclo della Fondazione), si rivelavano vuoti di qualsiasi contenuto o informazione.

Essendo la suddetta persona dotata della massima autorità sul sottoscritto, egli effettuava una rapida googlatina in giro, e scopriva che un malware specializzato aveva colpito un particolare tipo di server (VMWare ESXi) che, quando esposto su Internet e mancante di patch da due anni, aveva una vulnerabilità, che un ransomware specializzato aveva iniziato a sfruttare. Si noti che il fabbricante l'aveva individuata e subito corretta da, appunto, due anni.

Scopriva pure che il fenomeno era già iniziato 24 ore prima in Francia, dove l'equivalente della ACN In Francia, il locale CERT e l'ANSSI - Agence Nationale de la Sécurité des Systèmes d'Information (anche laggiù con la "y", ma usando parole del vocabolario francese) - avevano diramato un comunicato ordinario e senza ecccessivi allarmismi, che segnalava il fenomeno e le contromisure necessarie.

Sì, perché bastava infilare una patch e nulla sarebbe successo. Ora persino Cassandra sa che patchare un server ESXi non è banale, perché bisognerebbe averne due in load balancing, spostare tutto il carico su uno, spegnere il secondo e patcharlo, e ripetere poi l'operazione a ruoli invertiti, con probabili disservizi per la clientela e notti insonni per i sistemisti. Avere sistemi ridondanti costa un botto, ma serve.

Oppure bisognava aver comprato il modulo software apposito di VMWare per l'applicazione delle patch a caldo, che pare costi non poco, ma di nuovo, evidentemente serve. E in ogni caso sarebbe stato necessario avere sufficiente personale tecnico per tenere sotto controllo la situazione (in italiano si chiama semplicemente "gestire i server"), e nulla di tutto questo sarebbe mai successo. E, se è per quello, nemmeno la maggior parte degli incidenti informatici del passato.

Il fatto che si tratti di server specializzati per la gestione di macchine virtuali può spiegare perché nemmeno i pochissimissimi giornalisti con qualche nozione di informatica abbiano capito niente. E che questo abbia avuto la conseguenza che riottosi professori di sicurezza informatica di università per corrispondenza sono stati messi davanti a una telecamera e violentati a lungo fino a fargli dire che si, potevano essere stati gli hacker russi.

Per favore, date subito un "maledetto hacker" a questi poveri giornalisti, che ve lo chiedono insistentemente; ne hanno tanto bisogno per non dover capire i fatti e poter parlare d'altro, e non di notizie importanti!

Il fatto che fosse domenica può spiegare perché i media e la politica abbiano ingigantito un problema rilevante ma non straordinario o bloccante. Regione Lazio e ACEA, ad esempio, sono state tirate giù con molto meno clamore e stracciamento di vesti, eppure è stato un problema con conseguenze a livello nazionale e dell'intera popolazione, durate settimane.

Dopo questa lunga premessa, Cassandra può spiegare e profetizzare. Se vogliamo fare contenti i media e parlare di "Guerra Contro Gli Hacker Russi", la causa di tutto è una guerra è combattuta con un esercito fatto solo di generali e qualche ufficiale. Dove ci sono più generali di squadra aerea che aerei, generali dell'esercito che carri armati. Dove i soldati, non quelli delle forze speciali ma gli umili fantaccini in trincea, sono pochissimi o nessuno, come il soldato Nemecsek ne I ragazzi della via Paal.

Anche i bandi di assunzione dell'ACN con la "y" sono formulati in modo tale che senza una "lettera di presentazione" di una persona "autorevole" non sia possibile nemmeno presentare una domanda, come non è possibile se si è dotati di grande esperienza ma ci sono voluti troppo tempo e anni per accumularla.

Cassandra, ma anche almeno un centinaio di altre persone della "scena" italiana, potrebbero indicare a chiunque e senza sforzo almeno una ventina di nomi di persone da inserire sia in ruoli di graduati che di truppa (niente generali, per carità). Posto che ovviamente gli fossero offerti inquadramenti e stipendi adeguati (sì, è necessario ragionare anche di vile pecunia).

Lo stato li vorrebbe? Pare di no, non sono funzionari, lo stato è abituato ad assumere solo funzionari o pseudo "tecnici" che non vedono l'ora di diventarlo. Le aziende li vorrebbero? Non sia mai, la sicurezza informatica e i sistemi informativi ben fatti sono solo costi da tagliare, tanto poi ci sono le polizze assicurative per coprire i danni.

Non c'è nessuna soluzione politica. Non c'è nessuna soluzione tecnica. Potrebbe funzionare una soluzione legislativa. Un GSPR sulla falsariga del GDPR o della 626. Una legge che ponga a "priori" la responsabilità delle conseguenze di ogni problema di sicurezza informatica non implementata a carico (anche penale, se c'è dolo) dei vertici degli enti statali e delle aziende private, e che gli possa costare il 4% del fatturato lordo annuo globale.

Altrimenti lo status quo penoso della sicurezza informatica italiana, che tutti conoscono tranne i giornalisti e i politici, e che è diffuso a livello non solo italiano ma globale, è destinato a durare per sempre. Tanto, le conseguenze, in termini di disservizi, danni e costi delle conseguenze dei danni, le pagheranno sempre i soliti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 14)

Vero purtroppo... Leggi tutto
11-2-2023 15:49

La falla è dovuto alla modalità di utilizzo di OpenSLP[/url] in ESXi e, come dichiarato da [url=http://forum.zeusnews.com/link/829414]VMware il problema è presente indipendentemente dal SO sul quale ESXi sta girando per cui sia che si usi Windows o Linux, se ESXi non è stato patchato si è a rischio. Leggi tutto
11-2-2023 15:45

Se si scrive cracker poi la gente non capisce. Leggi tutto
10-2-2023 10:54

Non è stato specificato se la falla è stata sfruttata su server Windows o Linux o entrambi, sembra più legata a un singolo software. Leggi tutto
10-2-2023 10:53

non dobbiamo fare tutti buoni e tutti cattivi ma premiare chi si comporta in maniera diligente e punire i cialtroni. Leggi tutto
9-2-2023 20:37

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
La NSA non spiava solo i cittadini USA ma anche i governi di Francia, Germania e Italia. Qual è la tua reazione di fronte a questa notizia? (se vuoi dare risposte multiple o commentare ulteriormente, usa il forum)
Sono profondamente indignato: come si sono permessi?
Sono stupito che gli USA siano arrivati a questo punto.
In fondo lo fanno per prevenire gli attentati; quindi li giustifico, almeno parzialmente.
Non mi sorprende. E' da un po' che l'Europa non conta più un tubo.
Accidenti! Avranno ascoltato anche le telefonate con la mia fidanzata/o.
I nostri politici non hanno nulla di più importante di cui preoccuparsi?
Lo so perfino io che i telefoni sono spiati, figuriamoci i terroristi.
Avevano ragione quelli di Zeus News, quando già nel 2001 scrivevano di Echelon.

Mostra i risultati (3221 voti)
Ottobre 2024
San Francisco, 200 milioni per liberare la metropolitana dai floppy disk
WhatsApp semplifica i contatti e si prepara a supportare i nomi utente
Piracy Shield blocca Google Drive in tutta Italia
Windows 11 24H2 occupa un sacco di spazio su disco
Bucato l'Internet Archive, sottratti i dati di 31 milioni di utenti
Google rimuove Kaspersky dal Play Store
Ecco Office 2024, con un nuovo aspetto e senza abbonamento
Windows 11, l'update causa la schermata verde della morte
Settembre 2024
Frankenthings, un genocidio nell'Internet delle Cose
Groupon licenzia tutti e lascia l'Italia
La polizia tedesca ha infiltrato TOR: la rete anonima è ancora sicura?
Gli smartphone ci ascoltano? No, ma...
L'obbligo dei 14 anni per gli smartphone
''Ascoltiamo gli utenti dagli smartphone''. Partner di Facebook lo ammette.
Super God Mode rivela tutte, ma proprio tutte, le funzionalità di Windows
Tutti gli Arretrati
Accadde oggi - 1 novembre


web metrics