La cronaca nera informatica degli ultimi mesi, ha senza dubbio un fattor comune a tutti noi ben noto, Sony, che nelle sue varie declinazioni (Entertainment, BMG, Pictures…) ha subito un notevole numero di attacchi, quasi come questo tipo di azione fosse lo sport preferito da numerosi crackers in giro per il mondo. Probabilmente tutto è iniziato qualche annetto fa con, a ragion veduta, l’infelice decisione di escludere l’installazione di Linux dalle possibilità offerte dalla PS3, con conseguenti battaglie anche legali sulla questione della legittimità o meno dell’operazione.
Da lì a poco infatti, sono cominciati a fiorire hack per violare i protocolli di sicurezza della piattaforma, e non molto tempo dopo il noto GeoHot ha definitivamente trovato le chiavi di root per permettere l’esecuzione arbitraria di software e giochi pirata sulla console. Anche qui sono passati dei mesi tra avvocati e nuove versioni del firmware, ma alla fine pare che Sony non abbia trovato la strada giusta per arginare il fenomeno, ed anzi le varie dichiarazioni e le azioni intraprese paiono aver fatto arrabbiare ancora di più i “cattivoni” delle rete, che hanno attinto a tutta la loro fantasia per violare uno dopo l’altro tutti i “castelli” eretti dall’azienda giapponese.
Moralmente, ed anche giuridicamente, trovo decisamente scorrette le azioni di questi gruppi di crackers, sia perché si tratta di reati penalmente perseguibili, sia perché nel tentativo di colpire un’azienda si finisce sempre con il danneggiare il consumatore, spesso pagante, ignaro colpevole utilizzatore di una qualche declinazione del mondo Sony. Credo che il danno di immagine sia davvero devastante per questa azienda, soprattutto in un periodo come questo che segnerà nel giro di pochi anni il passaggio ad una nuova generazione di console, generazione nella quale i servizi web-based saranno sempre più importanti e sarà necessaria una dose di fiducia sempre maggiore verso chi gestisce i nostri dati e spesso il nostro denaro.
Al di là però della questione morale, vorrei soffermarmi sulla questione tecnica: è possibile che uno dei più grandi colossi dell’elettronica e dell’intrattenimento mondiale, abbia un sistema informatico così vacillante al punto che con una “semplice” SQL Injection lo si possa bucare senza problemi? Ed è possibile che le password di milioni di utenti non siano minimamente cifrate prima di essere memorizzate sui server, così come esposto dall’ultimo attacco a Sony Pictures? La cosa che mi lascia senza parola è la leggerezza con la quale aziende di questo calibro affrontano le tematiche di sicurezza, è scioccante!
Vengono commessi degli errori davvero da principianti, e mi stupisce come con a disposizione budget di un certo livello si possano affidare a programmatori, evidentemente mediocri, delle aree così importanti del business di un’azienda, ossia l’interfaccia verso il cliente. Io di mestiere faccio il programmatore, ma mai nel mio piccolo mai sognerei di realizzare un sito web senza un filtro anti-injection o senza adottare delle tecniche (vedi stored procedure, ad esempio) atte ad arginare il problema, così come mai lascerei transitare in chiaro delle password o peggio ancora memorizzarle senza prima passargli sopra con qualche algoritmo di hash (a tal proposito, vi rimando ad un articolo che vi espone alcuni dei problemi comuni quando si tratta con le password e che potete rileggere qui).
Ma siamo sicuri che il problema sia solo di Sony? Ora è facile attaccare l’azienda giapponese additandola come l’esempio della cattiva gestione delle problematiche informatiche, ma temo che la situazione sia molto grave anche nel resto del mondo informatico. Sono certo anzi, che se il mirino dei crackers fosse puntato verso una qualsiasi big del settore (nel momento in cui scrivo pare che gli stessi attentatori di Sony stiano colpendo anche Nintendo!), i risultati potrebbero essere altrettanto devastanti e sarebbero numerose le aziende a cadere miseramente, e le cronache degli ultimi 6 mesi mi fanno tornare in mente attacchi simili anche verso aziende con un impatto mediatico inferiore, ma pur sempre custodi di molti dati sensibili di un nutrito gruppo di persone (notizia di poche ore fa, anche uno dei siti europei di Acer è stato bucato con relativo trafugamento di account e credenziali varie).
Purtroppo si tende a sottovalutare molto velocemente il problema delle sicurezza, e tolti forse solo gli ambiti bancari che sono naturalmente più esposti a subire un certo tipo di attacchi e che quindi hanno una sensibilità maggiore, direi che abbiamo ben poco da stare tranquilli. Più volte in queste pagine ho difeso al meglio delle mie possibilità le tecniche di sicurezza più avanzate, consigliando ai miei lettori di dormire sonni tranquilli, ma non biasimo coloro i quali hanno mosso delle critiche verso queste affermazioni. Spesso, a tutti i livelli, le aziende tendono a badare molto al rapporto con il cliente prima che questo acquisti il loro prodotto e/o il loro servizio, ma subito dopo tendono a dimenticarsene molto velocemente, e credo sia proprio questo uno dei problemi di Sony (e molti altri).
Forse è una questione di cultura informatica, e di certo non vorrei fare di tutta l’erba un fascio, ma molte aziende stanno perdendo un po’ il ritmo e si fanno trascinare da un successo pregresso piuttosto che da capacità tecniche attuali. Peggio per loro però, perché la rete evolve e gli utenti stessi cominciano ad essere più consci di quello che li circonda, e finiranno per rivolgersi solo verso chi potranno considerare affidabile: dal cloud al denaro digitale senza dimenticare i social network, con sempre più informazioni sensibili sparse per la rete non ci si può certo fidare di chi non riesce a comprendere il pericolo di una password lasciata in chiaro.
Mal comune mezzo gaudio? Forse per Sony è meglio pensarla così, ma noi consumatori non dimentichiamo facilmente ed in un mondo in cui l’immagine è fondamentale, queste brutte macchie saranno difficili da lavare e ci vorrà ben di più di un colpo di spugna a suon di denunce per riguadagnarsi la fiducia. Il solo PSN offline per così tanto tempo è un danno enorme che di certo farà perdere una grossa fetta di utenza, la quale magari si rivolgerà alla concorrenza, a pagamento, ma forse più efficiente e sensibile a certe problematiche (ribadisco il forse!).
A questo punto sono davvero curioso di sapere quale sia il vostro punto di vista per un argomento così scottante e di rilievo che ha sicuramente colpito personalmente molti di voi, ma soprattutto vorrei sapere quanto questi episodi demoliscono la vostra fiducia verso il mondo informatico. Riuscirete a fronte di questa situazione ad affidare i vostri file al cloud storage/computing? Io rimango per natura ottimista, e so che ci sono molte aziende che lavorano molto bene e delle quali mi posso fidare con un buon livello di sicurezza, ma di certo tutte queste notizie mi fanno dubitare ancora una volta della leggerezza e della estrema fallibilità umana.
La perfezione in materia di sicurezza non esiste e siamo d’accordo, ma basterebbe davvero poco per rendere tutta la baracca un po’ più sicura… a voi la parola!