Cultura e scienza / Varie

Il software libero e la sicurezza in codice

Cresce tra i cittadini l’interesse per l’autodifesa digitale. La parola a tre esperti informatici

Tratto da Altreconomia 180 — Marzo 2016
Nel 2015, Volkswagen ha ammesso di aver modificato il software proprietario montato su 11 milioni di auto diesel, in modo da alterare i test sulle emissioni degli scarichi. Sul New York Times l’editorialista Jim Dwyer ha sottolineato “quanto siamo vulnerabili al codice informatico nascosto che sfugge al nostro controllo”.
Stefano Chiccarelli -fondatore di un’azienda di sicurezza informatica, Quantum Leap-, Raoul Chiesa -che presiede la Security Brokers ed è uno tra i più noti protagonisti italiani della scena hacker- e Stefano Zanero -professore di Sicurezza informatica al Politecnico di Milano-, conoscono bene la materia. Compreso il binomio, non sempre risolto, “software libero-sicurezza”.

“Sì -spiega Chiccarelli- il software open source consente controlli di sicurezza sul codice che ci mettono al riparo da trappole nascoste (le cosiddette ‘backdoor’) ma non sempre questi controlli vengono fatti. Il softwareproprietario, invece, è sempre impossibile da controllare, anche volendo”. Sul “libero”, però, pesano talvolta le piccole dimensioni: “I team che si occupano di sicurezza dei software open source sono spesso piccoli e basati sul volontariato -racconta Chiesa-. E per gli impegni del lavoro retribuito il tempo da dedicare al codice ‘libero’ è sempre scarso. Sul fronte del software proprietario invece abbiamo multinazionali del software con centinaia o migliaia di programmatori, ma anche questo spiegamento di forze non è una garanzia di sicurezza”.

In ogni caso, come argomenta il professor Zanero, “il software libero ha sempre due vantaggi rispetto a quello proprietario: ogni utente può analizzare il codice e fare verifiche autonome del livello di sicurezza (a patto di disporre degli adeguati strumenti tecnici) e può modificare il codice per prendere contromisure in modo diretto, senza bisogno di aspettare gli aggiornamenti del produttore di quel software”.

La dipendenza degli utenti nei confronti del software è crescente. E preoccupante. “La cosiddetta ‘internet delle cose’ aumenta la possibilità di software scritto male o volutamente fraudolento, con ‘backdoor’ realizzate da chi lo commercia, da un governo o da un semplice programmatore in malafede -riconosce Chiccarelli-. Se isoftware ci danno informazioni sbagliate o in malafede, questo può condizionare la nostra vita, a cominciare dalle previsioni del tempo. In futuro i rischi saranno sempre maggiori, ad esempio quando sarà il frigorifero a fornirci informazioni su cosa comprare”. Una “vulnerabilità” -quella che Chiesa addebita al codice informatico- che per Zanero non deve comunque esser fonte di allarmi indiscriminati: “Dobbiamo essere consci che molti elementi della nostra vita quotidiana sono guidati, assistiti o influenzati dal software. Come garantire la trasparenza di queste influenze è sicuramente materia per il dibattito e lo sviluppo tecnico-scientifico dei prossimi anni”. Al centro di ogni analisi sulla sicurezza informatica resta l’educazione tecnologica e la consapevolezza degli utenti, questioni che il software libero da solo non può risolvere. “Nel 2016 -riflette Chiccarelli- non siamo ancora riusciti ad utilizzare strumenti di autenticazione migliori delle password. E in tanti non hanno imparato a comprendere i link nelle email o a capire le estensioni dei file che ci arrivano per posta, quali sono eseguibili e quali no. Aggiornare i software o i sistemi operativi non è una scocciatura ma una necessità come il cambio d’olio alla macchina. Basterebbe conoscere alcune piccole e semplici regole di autodifesa per evitare infezioni su scala planetaria”. Del resto, aggiunge Chiesa, “in un attacco riuscito diretto verso Lockheed Martin è stata sufficiente come esca un file Excel infettato con il nome ‘stipendi’: uno sprovveduto ha cliccato a cuor leggero su quell’allegato. Per proteggersi è necessaria consapevolezza, sensibilizzazione, educazione informatica. Quando andavo a scuola c’era la materia ‘educazione civica’. Vorrei vedere nelle scuole, sin dalle elementari, ‘educazione informatica’, che è una cosa diversa dai soliti corsi di informatica come la ‘patente europea’ o simili”.

© Riproduzione riservata 

Newsletter

Ogni settimana l'informazione indipendente di Altreconomia