di Andrea Monti – Originariamente pubblicato da Infosec.News
I router… sono affetti da una grave vulnerabilità che consente, senza alcun artificio o azione di “cracking”, di entrare in possesso della password di accesso al router . Quindi è possibile bloccare il funzionamento dell’apparrato rendendo inacessibili i servizi e, in alcuni casi, accedere alla rete interna dell’utente. Il che consentirebbe di intercettarne la posta elettronica e, più in generale, le informazioni che ivi sono contenute. Ovviamente il tutto all’insaputa dell’utente. Ci chiediamo … come sia possibile che vengano immessi sul mercato apparati affetti da simili vulnerabilità per la privacy dei cittadini e per l’attività delle imprese, senza alcun controllo, senza alcuna informazione o cautela, senza assunzione di responsabilità da parte di produttori e distributori e senza alcuna protezione per gli indifesi (e ignari) utenti.
Queste parole sembrano scritte oggi per commentare la vulnerabilità scoperta pochi giorni fa che affligge un certo numero di firewall e gateway VPN Zyxel. Grazie al bug, oggetto della immancabile “patch”, è possibile accedere dall’esterno con privilegi di amministrazione all’apparato e con evidenti implicazioni negative per sicurezza, privacy e portafoglio di chi è incolpevolmente costretto a fermare la propria attività per verificare di non avere subito conseguenze negative dalla scoperta di questa ignota vulnerabilità.
Non è così perché queste parole sono vecchie di quasi vent’anni e sono estratte dalla richiesta di intervento che ALCEI (una ONG attiva dal 1994 nel campo dei diritti digitali) inviò nel 2002 al Garante per la protezione dei dati personali chiedendo il suo intervento per un caso preoccupantemente analogo: quello di router vulnerabili a un attacco dall’esterno distribuiti da operatori telefonici a famiglie e imprese.
All’epoca nessuno, né il Garante dei dati personali, né quello delle comunicazioni o quello della concorrenza del mercato, mosse un dito. Rimasero inerti anche i pubblici ministeri, i vari “reparti tecnologici” delle forze di polizia e persino le associazioni di consumatori. Alla fin fine, si trattava di uno dei tanti e soliti difetti che invariabilmente affliggono software e apparati. Perché preoccuparsene?
La risposta è semplice, ma nessuno voleva —e vuole— sentirla: la sicurezza individuale sarà anche un “processo” e non un “prodotto” (come dicono gli “esperti”) ma se un’automobile frena in modo casuale, sbanda anche da ferma e va in retromarcia quando si mette la prima, persino Tazio Nuvolari avrebbe problemi a guidare in tranquilità. Specie perché, a differenza delle automobili dell’epoca del Mantovano Volante, è impossibile “mettere le mani” sui computer e sugli apparati che utilizziamo. Tradotto: la sicurezza nasce e si evolve da prodotti ben progettati, ben costruiti e ben manutenuti. Poi, ma solo poi, ci sono le policy, i framework di risk assessment, le certificazioni e tutto il parafernalia consulenziale che accompagna il settore.
La robustezza del prodotto viene prima di tutto. Non è un caso che la (confusa e burocratica) normativa sullo “spazio cibernetico” imponga di validare la sicurezza degli apparati da utilizzare nell’ambito di infrastrutture critiche e servizi essenziali. Come non è un caso che il “decreto Conte-Huawei” avesse imposto a TIM, come condizione per l’utilizzo degli apparati 5g del colosso cinese, di organizzare un complesso sistema di controlli estesi addirittura a progetti e codici sorgenti.
Ma, e veniamo al punto, i fornitori di tecnologie dell’informazione sono obbligati a commercializzare prodotti sicuri? Chi stabilisce quando un prodotto è abbastanza sicuro? Ma non si era detto che è impossibile scrivere software privo di errori?
Cominciamo dalla prima risposta: si, i produttori di tecnologie dell’informazione sono obbligati a commercializzare prodotti sicuri, analogamente a ciò che accade con qualsiasi altro prodotto industriale. Il punto è che, a differenza dei prodotti “tradizionali”, non esistono leggi per impedire la commercializzazione di apparati e programmi vulnerabili e sanzioni per chi lo fa.
Anche il luogo comune secondo il quale “non esistono software sicuri” va contestualizzato. Se è impossibile scrivere programmi esenti da difetti, è anche vero che si dovrebbe fare del proprio meglio per ridurre al minimo la presenza di bug. In altri termini, su un grafico ideale con l’ascissa da zero a cento, l’essere il “fondo scala” un asintoto non giustifica mantenersi più prossimi allo zero.
Queste considerazioni hanno un impatto diretto anche sul rispetto degli obblighi di adozione di sicurezza imposti dal regolamento sulla protezione dei dati personali, il “GDPR”.
L’articolo 25 del regolamento impone l’obbligo del “data protection by design e by default”. Questo significa che chi vuole utilizzare le tecnologie dell’informazione per trattare dati nell’ambito della propria attività imprenditoriale o istituzionale deve eseguire una valutazione preventiva che si spinge fino all’analisi dei singoli apparati e software per verificare se ciascuno di essi rispetta questo principio.
È evidente che nessun utente, per quanto grande, può permettersi di investire tempo e denari per analisi di questo genere. Inoltre, la normativa sulla proprietà intellettuale e industriale vieta di eseguire controlli di questo genere salva la stipulazione di onerosi accordi di riservatezza e assunzione di responsabilità con il titolare dei diritti. Ci si aspetterebbe, dunque, che fossero i produttori a rilasciare una qualche “dichiarazione di conformità” alle prescrizioni dell’articolo 25 del GDPR.
Il modo in cui è strutturata la norma, tuttavia, non impone formalmente il rilascio di una certificazione del genere. Il produttore dichiara le caratteristiche del proprio prodotto, magari adotta delle strategie commerciali per le quali scarica tutte le responsabilità di gestione dei clienti finali sui distributori, e poi spetta al cliente-titolare del trattamento fare le scelte del caso e assumersi le conseguenze della scelta.
Applicando in modo formale la norma, questo ragionamento non fa una piega. Calandolo nella realtà operativa, però, si rivela impraticabile. Gli utenti finali non possono e non vogliono imbarcarsi in costose e complesse valutazioni tecniche, perché altrimenti non avrebbe senso esternalizzare i servizi o acquistare prodotti di terzi. Spesso i fornitori di servizi —specie quelli più piccoli— non hanno forza contrattuale nei confronti dei produttori che li mettono nelle condizioni di “nuotare o affogare”. I produttori, infine, sono spesso al riparo dalla giurisdizione delle autorità italiane. Applicano le leggi del proprio Paese e si “chiamano fuori” da qualsiasi responsabilità (leggere la licenza d’uso di un software proprietario è come leggere il bugiardino di un farmaco. Anche nel caso di medicine in libera vendita, ci sarebbero più ragioni per non assumerle che per prenderle). Il paradosso, dunque, è che l’ultimo anello della catena, quello di chi è costretto a utilizzare determinati apparati e software senza alcuna garanzia è quello che rischia sanzioni e cause per danni.
Se vent’anni fa lo sviluppo delle tecnologie dell’informazione in Italia e la percezione del rischio da parte delle istituzioni era (tralasciando le dichiarazioni pubbliche) molto bassa, oggi non è più così e non è più possibile tollerare uno stato di fatto provocato da politiche commerciali piuttosto che da necessità oggettive.
Oggi dunque, come vent’anni fa, mi rivolgo pubblicamente e nuovamente al Garante dei dati personali e alle altre “autorità competenti”: le norme che siete chiamate ad attuare consentono di intervenire sui produttori di apparati e di software per esigere la tutela della sicurezza dei dati personali, quella dei consumatori e quella della rete pubblica di telecomunicazioni. Non c’è bisogno di altre leggi, ma solo della volontà di interpretarle ed applicarle in modo adeguato ai tempi che stiamo vivendo e alle minacce che stiamo subendo, e spero che, fra altri vent’anni, non dovrò scrivere per la terza volta un articolo uguale a questo.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte