Washington (USA) – Tutti devono fare la loro parte nel rendere il cyberspazio più sicuro, ivi compresi Internet Service Provider, governo, agenzie federali e produttori di hardware e software. Questo il messaggio che il consulente del presidente americano Bush alla sicurezza delle infrastrutture TLC, Richard Clarke, ha portato nelle scorse ore alla convention Black Hat Security di Las Vegas.
Secondo Clarke tutti coloro che lavorano su internet o che producono software per internet o offrono servizi su internet devono fare la propria parte “nel rendere il cyberspazio sicuro”, perché così com’è “non va”.
Clarke, che a settembre presenterà il piano Bush sulla sicurezza delle infrastrutture TLC critiche, sostiene che il problema della cyber-sicurezza deve essere avvertito da tutti, a partire da coloro che costruiscono e realizzano le tecnologie di comunicazione e di connessione. Ma ha anche fatto autocritica, sostenendo che il Governo deve imparare a fare la sua parte. In particolare, però, Clarke se l’è presa con i produttori di software, pur senza fare nomi.
“L’industria del software – ha affermato – è tenuta a fare un lavoro migliore nel produrre software che funzioni. Non è più accettabile che si possa acquistare software pieni di buchi su sistemi importanti”. In questo quadro Clarke ha fatto leva sui dati pubblicati dal team di sicurezza del CERT , dati che non solo evidenziano una continua crescita delle vulnerabilità ma affermano che nel 2002 già si è superato il numero totale di buchi emersi nel 2001.
Un problema centrale, secondo Clarke, è quello delle patch, perché imprese, banche ed enti federali devono essere messi nella condizione di installare le patch rapidamente e facilmente. La vicenda di Nimda, temibilissimo worm capace di infilarsi nei server di mezzo mondo, secondo Clarke è emblematica di questo elemento della sicurezza, visto che Nimda ha colpito sfruttando falle già note e rese gravi dalla mancata installazione di una patch.
Clarke ritiene che una responsabilità importante sia anche quella dei provider. “Sempre più milioni di case sono connesse – ha affermato – e questo significa che sono sempre di più quelle vulnerabili”. E tra le vulnerabilità principali Clarke pone quella del mondo della connettività wireless, considerata un vero e proprio rischio al punto che il Dipartimento della Difesa ha chiuso tutte le reti internet wireless precedentemente utilizzate. “Aziende in tutto il paese – ha affermato – hanno reti totalmente aperte a causa della LAN wireless”.
In un contesto come quello della Black Hat Conference, Clarke non poteva non parlare anche di hacking e dintorni, e lo ha fatto con toni che non devono essere dispiaciuti a molti dei presenti. Clarke ha infatti esordito sul tema affermando quanto sia significativo che i buchi nel software non siano generalmente individuati dai produttori ma proprio dagli hacker. “Alcuni di noi – ha dichiarato – qui in questa stanza, sono tenuti a trovare le vulnerabilità”.
Secondo Clarke gli hacker dovrebbero sentire su di sé la responsabilità di comunicare errori di programmazione a chi li commette. E dovrebbero prima di tutto contattare i produttori e rivolgersi eventualmente al Governo se la softwarehouse interpellata non dovesse rispondere alla loro segnalazione.
Questa sembra essere da parte di Clarke una indicazione di “comportamento” da parte di una comunità, quella dei bug hunter, gli scopritori di vulnerabilità, che da tempo è divisa in un dibattito accesissimo sulle modalità di comunicazione ed eventualmente pubblicazione di buchi di sicurezza nel software.
Clarke ritiene che gli hacker non devono rischiare di aiutare i criminali mostrando loro come sfruttare un baco prima che il produttore di software sia messo in grado di realizzare una patch. “E’ un atto irresponsabile – ha affermato – e qualche volta può danneggiare seriamente il rilascio di informazioni prima della produzione della patch”.
Ma Clarke ha anche promesso che lavorerà sul fronte normativo. Lo “zar della cybersicurezza”, come viene soprannominato, ritiene infatti intollerabile che vi siano da una parte aziende che premiano e incoraggiano i bug hunter e dall’altra quelle che invece li ritengono un disturbo o peggio e che cercano di rivalersi contro di loro denunciandoli e trattandoli come criminali.
Un quadro che Clarke definisce “deludente” quando l’hacker agisce in buona fede. “Se vi sono protezioni legali che oggi (gli hacker, ndr) non hanno e di cui hanno bisogno – ha promesso – dovremo occuparcene”.
Ti potrebbe interessare
2 ago 2002