Durante lo scorso World Economic Forum di Davos, CloudFlare è stata inclusa nella lista dei Technology Pioneers, ovvero dei 25 innovatori da tenere d’occhio. Gran parte della notorietà di questo servizio deriva dal fatto di aver offerto ospitalità anche a Lulzsec. Questo ha significato due cose: dimostrare di non effettuare censure a priori, per quanto possano essere discutibili i contenuti erogati dai servizi web protetti, e accumulare un’invidiabile esperienza nel contrasto di attacchi portati da un gran numero di attaccanti fortemente motivati (chi – in quel sottobosco più o meno criminale che opera quotidianamente online – non avrebbe voluto essere l’artefice di una sconfitta per quei ragazzacci così coccolati dai media?).

L’esperienza di CloudFlare, al di là dell’episodio legato a Lulzsec, dimostra anche il valore della comunità e della condivisione di informazioni: quello che viene imparato difendendo un cliente andrà a beneficio di tutti gli altri. Certo rappresenta un elemento potenziale di debolezza, ma è possibile “uscirne” velocemente tanto quanto è rapida la procedura di ingresso.

[full disclaimer: sono utilizzatore del servizio free da tempo e con soddisfazione]

L’idea di non voler divulgare informazioni relative ad un virus che potrebbe avere effetti micidiali sulla popolazione mondiale può apparire comprensibile, così come paiono fondate le richieste di avere un’ampia discussione sul punto: il virus esiste, il rischio c’è… quindi cerchiamo almeno di conoscere meglio la situazione per predisporre eventuali contromisure. La situazione è controversa e il problema è il solito: si tratta di informazioni che possono essere utili o dannose, a seconda dell’uso che ne viene fatto.

Adesso immaginate di essere il responsabile della sicurezza informatica di uno dei due laboratori di ricerca. La certezza di un attacco mirato a ottenere le informazioni relative allo studio è totale. Se anche i laboratori non fossero stati compromessi in precedenza lo saranno adesso, visto che c’è un ottimo motivo!

Il problema delle informazioni relative al virus H5N1 è lo stesso problema che affrontano tutti i giorni le persone che si occupano di sicurezza. L’informazione può sempre essere usata in due modi diversi: per difendere o per offendere. Il dilemma relativo alla protezione di quelle informazioni che si muovono velocemente tra i tanti computer di un laboratorio di ricerca lo vedo come facilmente risolto: è una partita persa.

Why is “Enumerating Badness” a dumb idea? It’s a dumb idea because sometime around 1992 the amount of Badness in the Internet began to vastly outweigh the amount of Goodness.

Nel mondo in cui viviamo la modalità del blacklisting è quella utilizzata nei casinò, dove tutti possono accedere salvo pochi soggetti ben identificati. Al contrario è ben più facile compilare la lista delle persone che hanno diritto di accesso ad una certa sala (per esempio quella in cui risiedono i sistemi critici) che non ragionare in termini di liste di proscrizione.

Nel mondo della sicurezza di rete questi modelli sono facilmente riscontrabili nel tradizionale approccio a un firewall (tipicamente: tutto ciò che non è espressamente consentito è vietato) piuttosto che a un sistema di intrusion prevention (che invece permette per definizione tutto tranne quello che corrisponde a certi parametri).

Nel mercato informatico c’è spazio per entrambi i modelli: mentre nel mondo Pc e Microsoft domina il blacklisting, nel mondo Apple di iPhone e simili prevale il whitelisting, tanto che nessuna applicazione è installabile (salvo jailbreak!) se non approvata da Apple. Facebook stesso mantiene il controllo delle applicazioni, quindi erogate in modalità whitelist. Insomma, il successo commerciale non dipende dal modello adottato, ma la stabilità e il livello di rischio ne sono influenzati in maniera chiara.

Sebbene alcuni celebri casi come quello di Charlie Miller abbiano dimostrato la non completa inattaccabilità dei dispositivi Apple (Miller è arrivato al punto di farsi espellere dal programma sviluppatori Apple), il numero di applicazioni dannose è, al momento, sicuramente superiore nel mondo Android. Anche Google è a conoscenza di questo fatto e di come esso possa divenire un ostacolo verso la diffusione del proprio sistema operativo. Una delle ultime notizie riguarda l’uso di app che si fingono legittime per convincere al download:

Android apps such as Jetpack Joyride, Madden NFL 12, Pinterest and Batman Arkham City Lockdown are rife with malware. But these aren’t the official apps. No, they’re merely impostor apps that have snuck past the security gates of the Android Market.

Questo è il motivo della creazione del progetto in codice Bouncer che, attraverso un layer aggiuntivo nella piattaforma del Marketplace, permette di riconoscere immediatamente le applicazioni dannose rimuovendole prima che possano essere scaricate da utenti inermi.

Sicuramente il sistema completamente sicuro non esiste, ma Bouncer costituisce comunque un importante passo verso la creazione di un sistema affidabile anche sotto questo punto di vista.

Hackers, possibly from abroad, executed an attack on a Northwest rail company’s computers that disrupted railway signals for two days in December, according to a government memo

non mi ha mosso più di tanto, se non per una considerazione: tutto quello che mi hanno sempre raccontato e mostrato su come siano progettate le reti di gestione del traffico ferroviario contraddice questa possibilità. La parte vitale è protetta e separata anche fisicamente dal resto della rete (magari pure proprietaria).

Quindi le possibilità sono tre: o non è successo nulla e il memo è falso (improbabile: la reazione ufficiale è che è inaccurate), o l’impatto è avvenuto sulla parte “non vitale” e quindi il massimo rischio è che qualche treno non si sia mosso in tempo, oppure è stata toccata la parte vitale, cosa che rende lo scenario molto più preoccupante. Preoccupante perché si osserva anche in questo settore la tendenza a una interoperabilità che porta molti benefici ma anche qualche evidente rischio.

I sistemi di Supervisory Control and Data Acquisition (Scada) utilizzati per il controllo industriale da parte di molte utility sono sempre più esposti a rischi di questo genere ed è per questo motivo che sono frequentemente inclusi nelle liste dei problemi che incontreremo (probabilmente) sempre più spesso nei prossimi anni.

Sfortunatamente molti sistemi di questo genere sono stati progettati senza pensare ai moderni sistemi di interconnessione e questo li rende vulnerabili. Lo scenario apocalittico è certamente esagerato ma non è fuori luogo preoccuparsi di quello che potrebbe succedere, vista la quantità di sistemi Scada rintracciabili facilmente sui motori di ricerca specializzati (penso soprattutto a Shodan).

In un mondo caratterizzato da una rapida globalizzazione, nel quale una larga fetta di potere, e la fetta più importante, è preda della politica, [le] istituzioni non possono fare granché per offrire sicurezza o certezza. Quello che possono fare e che stanno cercando di fare è convogliare l’ansia, estesa e diffusa, verso una sola componente della Unsicherheit, quella della sicurezza personale, l’unico ambito in cui qualcosa può essere fatto e viene effettivamente fatto.

In tal senso i media diventano centrali per diffondere immagini e immaginario di sicurezza/insicurezza. E la relazione tra questi e le forze dell’ordine, in particolare quelle locali, che possono cioè agire più concretamente sull’unsafety, diventa un elemento strategico. Pensiamo in tal senso alla funzione che la cronaca locale e le testate locali hanno e alle problematiche di rappresentazione del rapporto tra sicurezza percepita e sicurezza reale di un territorio (reati effettivi, ad esempio). Ma pensiamo anche alle forme di comunicazione che la polizia locale attua nei confronti dei cittadini. Sono possibili forme di disintermediazione mediale? È possibile sfruttare canali informativi diretti con i cittadini? È possibile, insomma, una narrazione diversa sulla sicurezza garantita dalle forze dell’ordine?

Quotidiana complessità

A domande come queste deve avere pensato la Polizia di Manchester in Inghilterra che ha deciso di sperimentare una forma di informazione diretta dei cittadini per 24 ore usando la formula del microblogging via Twitter. Così tra la notte di Giovedì 14 ottobre 2010 e quella di Venerdì 15 ottobre ha tenuto una cronaca in diretta dei 3205 incidenti accaduti sul territorio fornendo i dettagli di ciascuno su tre canali Twitter chiamati @gmp24. Ha così messo in contatto i cittadini con la complessità del lavoro quotidiano concreto della polizia e ha avuto la funzione di mettere in luce le reali tipologie di reato che, come racconta, il Chief Constable Peter Fahy, spesso non sono riconosciute in tabelle e misurazioni relative all’insicurezza. Certo, la minaccia di un taglio di fondi alle forze di polizia ha aiutato a pensare a questa operazione che ha anche la funzione di “bucare” il sistema dei media britannico. Ma di fatto, come chiarisce Constable:

We think it’s very important for the public to have an understanding of what their police officers are doing day to day. The reality of police work is that though crime is a very important part of what we do, we do much else besides. We’re very much the agency of last resort and a big part of our workload is related to wider social problems.”

Il canale Twitter del dipartimento di polizia di Manchester è passato velocemente da 3.000 followers a 19.000, attraverso un racconto continuato fatto di incidenti stradali, serpenti fuggiti, liti famigliari, piccoli furti, fughe dall’ospedale… che si costruisce di tweet in tweet. Il primo: «Welcome to #gmp24 we have already had 214 incidents before 5am», l’ultimo: «Brick thrown at car in Leigh». In definitiva un’operazione che è a metà fra la strategia di comunicazione pubblica e quella delle P.R. online, ma che mette anche in contatto i cittadini con la realtà della sicurezza del loro territorio e con l’efficacia dell’azione di prevenzione e intervento. L’interesse da parte dei cittadini lo si può osservare dai retweet su alcuni interventi fatti, dal numero di “liste” in cui finisce il canale o da alcune commenti ricevuti via replay:

gobbolinothecat: What comes across from these tweets is how much the police are involved in the community and how much they are relied upon.

Sagome connesse

La sperimentazione finisce dopo 24 ore. Ottiene la copertura mediale desiderate e mostra le potenzialità. Mi chiedo allora: l’interesse degli utenti per i contenuti informativi come aiuta a costruire una Unsicherheit diversa? Sicuramente è capace di parlare in modi nuovi all’unsafety, di fornire un’esperienza diversa alle nostre paure e può creare una sincronizzazione diversa fra sicurezza reale e sicurezza percepita. E ancora: si potrebbe usare forme come questa per parlare a particolari pubblici, penso ad esempio ai giovani, promuovendo una cittadinanza connessa diversa? E spingendoci oltre con la fantasia: potrebbe essere questo un modo efficace di parlare delle stragi del sabato sera e fare prevenzione? È più efficace una sagoma disegnata per strada in un’operazione di marketing ambientale o la messa in connessione sociale con la realtà informativa via Twitter?

Possono esserci meccanismi da adeguare, dovuti alla distribuzione geografica, alle caratteristiche tecnologiche del mezzo di comunicazione e alla scala di cui si nutrono gli eventi sociali mediati dalla rete, ma non c’è reato che non possa essere perseguito qualora il fatto abbia origine in o per mezzo di un network digitale. La dimostrazione più lampante sta nel fatto che questi reati sono già perseguiti con una solerzia che dovrebbe rassicurare anche il più allarmato dei nostri concittadini. Persino la pirateria digitale, che agita i sonni di lobby potenti, è pienamente perseguibile ai termini di legge. Chiedete conferma a un magistrato o a un poliziotto postale: vi racconterà di un sistema di comunicazione in cui i malintenzionati lasciano una quantità di tracce tale da rendere il lavoro investigativo perfino più agevole che in passato. Mentre chi vi parla dell’impossibilità di ottenere giustizia a seguito di misfatti legati alla rete il più delle volte confonde la legge con i tribunali, dei cui drammatici problemi internet non ha colpa.

A forza di ripeterlo

Sta invece succedendo qualcosa di paradossale e spiacevole, in Italia, negli ultimi mesi. A forza di ripetere la storiella della rete anarchica, selvaggia e senza regole, coacervo di criminali, truffatori e depravati (un genere che vende sempre bene sulle pagine di cronaca), i meno informati tra i nostri politici e concittadini si sono convinti dell’urgenza di intervenire con fermezza. Sulle pagine di Apogeonline ne abbiamo dato conto nei giorni scorsi analizzando per esempio la proposta Carlucci, l’emendamento D’Alia, il disegno Barbareschi. Non serve ripetere qui i (tanti) motivi per cui tutte queste leggi sono viziate in origine da inadeguatezze tecnologiche, quando non arrivano a prevedere inaudite redistribuzioni dei poteri dello Stato. Persino laddove si interviene per scongiurare i rischi peggiori – è il caso dei volonterosi interventi e dei tentativi di dialogo portati avanti da Cassinelli – si finisce per inserire nell’ordinamento asprezze che non sarebbero nemmeno auspicabili, se non apparissero a questo punto come la migliore delle ipotesi.

Sta accadendo per la rete qualcosa di simile a quello che nel corso dell’ultima campagna elettorale nazionale è avvenuto riguardo ai temi della sicurezza: un allarme sociale almeno parzialmente immotivato e creato artificialmente (oggi abbiamo alcuni numeri a dirlo) ha condizionato le sorti dell’attuale legislatura. Da questo cul-de-sac si potrebbe uscire – si dovrebbe uscire, converrebbe a tutti – tornando all’essenzialità dei fatti e obbligandoci vicendevolmente a confrontare le idee con serenità. Due compiti che oggi sembrano così ardui, ma che un tempo sono stati la ragion d’essere del giornalismo, della politica e della società civile. Viviamo una realtà costruita il più delle volte su certezze di terza o quarta mano, dove chi parte per la tangente finisce per dettare le regole del gioco e portarsi dietro tutti, invece di essere energicamente richiamato all’ordine. Abbiamo bisogno di ingenti verifiche di corrispondenza con la realtà, laddove oggi tutte le parti in gioco indugiano in emotività.

Un passo avanti

Un’emotività che a questo punto non si può permettere né il cittadino digitale, spesso istigato da un generico passaparola a difendere generiche libertà minacciate da generiche leggi, né tantomeno i nostri deputati e senatori, che per ruolo e mandato istituzionale ci si aspetta siano predisposti ad ascoltare, moderare, confrontare, approfondire, fare sintesi, trovare compromessi. Politici che invece riscopriamo astiosi, arroccati, improvvisati e spesso indifendibili, burattini talvolta ignari nelle mani di interessi più grandi di loro. È tempo di fare un passo avanti: in gioco non c’è più soltanto il passatempo di qualche milione di italiani, ma un’opportunità di crescita culturale, civile e produttiva che attende l’intero paese. Un paese in drammatico ritardo, zimbello digitale agli occhi del mondo.

Secondo la migliore delle lezioni che ci insegna la rete, ognuno può fare la sua parte: l’impegno di ciascuno conta. Basterebbe cominciare ad abbassare gli inutili polveroni (che fanno sempre comodo a qualcuno) per impegnarsi invece a recuperare un brandello di verità, a confrontare dichiarazioni, a costruire relazioni, a recuperare una memoria storica nel fluire ininterrotto e acritico dell’attualità. È un esercizio di democrazia diffusa che per certi versi internet può facilitare, ma che non si ferma certo a internet: se questo paese indugiasse nell’abitudine tutta anglosassone dei fact check, forse oggi respireremmo più dignità e ottimismo. Forse saremmo una nazione migliore.

Fili rossi

Apogeonline, nel suo piccolo, sta provando a sostenere questa strada – a cominciare proprio dalla controversa regolamentazione di internet. Accanto ai tradizionali approfondimenti sulle leggi che più fanno discutere, abbiamo cominciato a sperimentare il formato del fact check sulle dichiarazioni dei nostri rappresentanti. Nei giorni scorsi, inoltre, abbiamo inaugurato una pagina riassuntiva per tenere traccia delle proposte di legge destinate a toccare da vicino internet e nella quale contestualizzare giorno per giorno le novità. Abbiamo chiamato questa sezione – ancora sperimentale e in continua evoluzione – “fili rossi”, per sottolineare il tentativo di ricostruire una vicenda o un settore secondo una dimensione che sia alternativa tanto all’accumularsi disordinato delle notizie quanto a quella fotografia di un attimo che resta inevitabilmente anche il miglior approfondimento specialistico.

Oggi, idealmente con queste righe, affidiamo il nostro filo rosso alla rete.