Contro i pirati informatici non servono taglie ma difese

Il cybercrimine è in forte ascesa. «Sta crescendo in modo esponenziale. Raddoppia ogni 19 mesi come la legge di Moore. Gli hacker sono diventati più sofisticati nei loro attacchi e il loro tempo di reazione ormai è brevissimo», ha avvertito Art Coviello, presidente e Ceo di Rsa Security, società leader nella protezione dei sistemi informativi e delle identità digitali che ha organizzato nei giorni scorsi ad Amsterdam la più importante conferenza europea sulla sicurezza informatica. Se nel mondo reale è l’occasione che fa l’uomo ladro, il problema nel cyberspazio è che sono le falle del software a rendere l’hacker attivo. «Molti cyber-attacchi vengono scatenati perché gli hacker trovano vulnerabilità pubblicamente identificate nei codici software», è la tesi di Richard Clarke, uno dei maggiori esperti mondiali, speaker d’onore ad Amsterdam, consulente del governo americano per la sicurezza tecnologica e l'antiterrorismo, dopo aver ricoperto per undici anni l'incarico di consulente speciale del presidente per la sicurezza informatica alla Casa Bianca.
«Negli ultimi dodici mesi sono state identificate 40 mila nuove vulnerabilità nel software. E il numero dei virus diffusi è aumentato di 4 volte: siamo passati da 21 mila virus nel 2000 a 118 mila virus oggi. Le perdite economiche sono pesanti: 45 miliardi di dollari l’anno scorso. Ma nell’agosto 2003 il danno degli attacchi virali è stato di 38 miliardi. In un solo mese, perdite quasi equivalenti a quelle prodotte in tutto il 2002», spiega Clarke. «Questo avviene perché ci sono troppi bugs (bachi) nel software e troppi patch (toppe)».
Quando i clienti vengono avvisati delle correzioni da apportare al software con l’installazione dei patch, gli hacker entrano in azione intercettando e sfruttando queste debolezze.
«Prima il lasso di tempo tra l'identificazione di una nuova vulnerabilità e lo sfruttamento doloso era all'incirca di tre mesi, ora è diventato brevissimo, questione di settimane, in certi casi perfino di ore», sostiene Clarke.
Lo ammette anche Mike Nash, vicepresidente di Microsoft, responsabile della Security business unit, indicando la progressione intercorsa tra l'annuncio di un patch e l'arrivo di un attacco sotto forma di worm (il verme informatico che si propaga attraverso la posta elettronica): «Tra l’identificazione di una vulnerabilità e il suo sfruttamento da parte degli hacker con attacchi da worm sono intercorsi 331 giorni nel caso di Nimda, due anni fa, 180 giorni l’anno scorso nel caso de Sql Slammer, e appena 25 giorni quest'estate nel caso di Blaster».
E’ un caso esemplare. Il 1° luglio di quest’anno Microsoft ha identificato una nuova vulnerabilità nel software dei suoi server. «Era necessario un patch per proteggere i nostri clienti e ci siamo attivati rapidamente per crearlo. Abbiamo cercato di mantenere confidenziali le informazioni su questo problema, fino al rilascio del patch, reso disponibile il 16 luglio», racconta Nash. «Ma il 25 luglio qualcuno ha pubblicato su un newsgroup di Internet dedicato alla sicurezza un codice di sfruttamento, spiegando come approfittare di questa vulnerabilità. E l’11 agosto è arrivato l'attacco sotto forma del verme Blaster». A diffonderlo erano stati due ragazzi americani, uno di 18 e uno di 16 anni, arrestati un mese fa dall’Fbi. Decisa a dichiarare guerra totale agli hacker, Microsoft ha annunciato il 5 novembre una collaborazione con Fbi e Interpol. Ha stanziato per questo programma un fondo di 5 milioni di dollari e ha perfino introdotto una taglia, che sarà intascata da chi fornirà alle autorità informazioni utili per individuare e arrestare i criminali informatici.
Ma secondo Clarke non è questa la via da seguire. «Cercare di individuare gli autori dei cyberattacchi è problematico - avverte -. Gli hacker sono molti, sempre più abili, comunicano tra loro in tutto il mondo. Non sappiamo dove sono. Quando si arriva a identificare un luogo, loro non sono già più là. Le loro chat sono criptate, usano sistemi di identificazione degli accessi. E nei loro attacchi saltano da un server all’altro».
La soluzione? «Spendere le risorse per migliorare le difese», dice Clarke. Sarà questa la sua proposta alla nuova agenzia europea sulla cybersicurezza, l'Enisa (European Network & Information Security Agency), annunciata al convegno di Rsa ad Amsterdam, che diventerà operativa dal 2005.