Premetto una cosa: siccome gestisco sistemi per 260-300 milioni di utenti, su qualche migliaio di VASP integrati, da professionista ho l'impressione che gli "attacchi hacker" di Grillo siano piu' che altro dei clamorosi eventi di demand management penoso e capacity management da ciarlatani. Nella mia personale esperieza c'e' sempre il peracottaro che non fa nessun demand management serio, che non ha alcun processo per il capacity management, e poi quando va giu' nei momenti di picco dice "ehi, ma gli accher ci hanno fatto un didos!". Poi vai sui router, misuri il traffico, e ti accorgi della verita'. Non credo, quindi, nella storia degli "accher di Grillo": chi casca sempre in momenti di picco e' sospetto di altri problemi. In ogni caso supponiamo pure che sia vero, e che la piattaforma di voto per le presidenziali sia stata attaccata. Che dire?
Questo, casomai non ve ne foste accorti, pone "qualche problemino" all'idea di voto online. Voglio dire, il presidente della repubblica fa cose abbastanza importanti. Nel senso che scioglie le camere, affida l'incarico per la formazione del governo, e blabla. Ed e' abbastanza chiaro che di gente che vorrebbe poter decidere chi sia il presidente ce ne stia parecchiuzza. Poiche' il presidente della repubblica e' anche capo delle forze armate, si potrebbe addirittura parlare di interessi di sicurezza nazionale.
Ora, il voto cartaceo e' abbastanza difficile da manipolare, tranne quando con leggi elettorali ad hoc si vuole che la manipolazione esista. Il problema e': quanto e' difficile garantire la sicurezza del processo in una ipotetica democrazia digitale?
Sul piano dell'architettura, occorre discutere -ALMENO- di:
- Chi sorveglia fisicamente i server.
- Chi accede fisicamente ai server, come viene selezionato, eccetera.
- Chi sorveglia fisicamente i client: cosa ti garantisce che dietro al computer ci sia proprio l'utente, e non uno che ha comprato accessi? Per 30 euro , oggi, un sacco di gente farebbe di tutto, anche inviare la copia di un documento di identita'.
- Che genere di rete usare. Piazzare dei client dentro delle sedi elettorali permetterebbe almeno di usare una rete separata dal resto, mediante VPN o altre infrastrutture dedicate, dal frame relay ad MPLS, ad una coppia VPI/VCI con switching ad hoc sulla rete di accesso wholesale etc. Al contrario, andare "su internet" significa aprirsi alle interferenze ed agli attacchi di chiunque.
- Chi garantisce endpoint security, cioe' chi si occupa , appunto, di proteggere il server durante le operazioni.
- Come disaccoppiare il traffico north-south (dall'utente sino al database) dal traffico east-west (es: se Grillo e' hostato da Akamai, sappiamo CHI ALTRI abbia un host sul sistema di Akamai e potrebbe attaccare Grillo da li', originando l'attacco direttamente dalla rete MZ?)
- Chi fa HA, cioe' High Availability, sul server stesso, per evitare che un guasto (anche casuale) invalidi le elezioni.
- Chi fa Data integrity, cioe' chi si occupa di mantenere integri i dati raccolti con le elezioni.
- Chi fa disaster recovery e ridondanza geografica, per evitare che tutto dipenda da un solo sito fisico.
Il problema e' che senza tutte queste cose, una piattaforma simile non garantisce proprio niente. Se immaginiamo che una piattaforma di voto elettronico sia gestita dallo stato, sicuramente potremmo imporre agli internet provider di fornire qualsiasi soluzione serva, o portando reti dedicate (anche reti mobili, sia chiaro: se la postazione di voto manda un sms, sta su un circuito abbastanza sicuro -volendo- ) , o cose del genere.
Lo stato puo' farsi carico di tutto quel che serve per garantire la sicurezza di una simile piattaforma sin da subito, organizzando tutti i mezzi tecnici per il voto stesso: dopotutto gli "interessati" ad influire sul voto possono essere addirittura i servizi segreti di qualche altro paese dotato di hacker molto bravi.
Il problema viene quando , usando tecnologie di qualita' assolutamente consumer, si vogliono fare cose che richiedono strumenti di sicurezza allo stato dell'arte.
Per esempio, quando si costruiscono sistemi che gestiscono grandi cash flow, o dati sensibili, non si piazza la business logic direttamente a contatto con gli utenti: quando fate "home banking" non raggiungete il mainframe sul ring0 della banca. Di solito arrivate ad un "dipartimentale" che scarica una copia del conto, vi applica le transazioni, e produce una coda batch. La coda batch viene poi spostata usando un protocollo non girato in quella sottorete ove si trova il sito di home banking, tipo lo SNA, poi passata attraverso una serie di software antifrode,ne viene verificata l'integrita', viene simulata l'esecuzione ed esaminato lo stato finale, e se il batch si conclude senza errori viene applicato ai dati sul mainframe. Questo di solito succede durante la notte, e vi spiega per quale motivo ci siano alcuni "tempi tecnici" per vedere il bonifico.
Per esempio, quando si costruiscono sistemi che gestiscono grandi cash flow, o dati sensibili, non si piazza la business logic direttamente a contatto con gli utenti: quando fate "home banking" non raggiungete il mainframe sul ring0 della banca. Di solito arrivate ad un "dipartimentale" che scarica una copia del conto, vi applica le transazioni, e produce una coda batch. La coda batch viene poi spostata usando un protocollo non girato in quella sottorete ove si trova il sito di home banking, tipo lo SNA, poi passata attraverso una serie di software antifrode,ne viene verificata l'integrita', viene simulata l'esecuzione ed esaminato lo stato finale, e se il batch si conclude senza errori viene applicato ai dati sul mainframe. Questo di solito succede durante la notte, e vi spiega per quale motivo ci siano alcuni "tempi tecnici" per vedere il bonifico.
In questo modo, se anche attacaste il server di home banking, riuscireste a distruggere una coda di batch su un host dipartimentale, col risultato di annullare le operazioni del giorno, ma non di inficiare i veri conti che si trovano sul mainframe centrale.
Con questo esempio sto cercando di spiegare che quando si gestiscono processi importanti entrano in ballo architetture che sono molto distanti dalla solita architettura consumer concepita per mettere online un sito web a disposizione del pubblico. Entrano in gioco sistemi di tapping, analizzatori di protocollo, livelli di separazione , reti dedicate, e tutta una serie di tecnologie (di solito costosissime) che non si usano quasi mai in aziende come quella di Casaleggio. Casaleggio non ha il budget di una banca, per intenderci, o di una telco.
Internet non e' tutta uguale, cosi' come "le strade" non indica sempre strade tutte uguali: il tratto di strada di fronte ad un tribunale magari e' sorvegliato da due carabinieri, che non sono di piantone di fronte a casa vostra. Allo stesso modo, "la rete" non e' omogenea. Anche se ne fruite in maniera omogenea, alcuni pezzi di rete sono molto piu' robusti e sorvegliati di altri.
Cosi', il punto e' semplice: accettiamo pure che Grillo debba far votare il suo candidato "via rete" . E' davvero sensato che la sicurezza di un progetto che si suppone scegliere il capo supremo delle forze armate sia delegata ad una azienda che non ha mai certificato allo stato la propria sicurezza, che non ha mai vinto una gara di appalto, che non ha mai partecipato ad un beauty contest, le cui capacita' in materia di sicurezza sono ignote?
La pura e semplice verita' e' che se la democrazia digitale, ovvero esercitata mediante mezzi informatici, e' una idea accettabile, e' semplicemente inaccettabile la gestione che ne sta facendo Grillo. Non e' accettabile che un processo vitale per lo stato sia interrotto da un non meglio specificato attacco, che avviene da non meglio specificate sorgenti, che fa non meglio specificate cose, di cui si occupano non meglio specificate persone, magari con le mutande di un servizio segreto, o un vago accento russo. No, non funziona cosi'. Non puo'. Non e' un negozietto online, state elegendo il candidato al Colle
Se Grillo vuole spingere la democrazia digitale, e mi va benissimo in astratto, dovrebbe iniziare a procurarsi dei VERI architetti di sistema, iniziare a fare analisi dei rischi e agire di conseguenza, ovvero (per esempio) chiedere allo stato un cazzo di rack sorvegliato dalle forze dell'ordine, con una sicurezza euristica minima, dentro una rete gestita dallo stato, ove far avvenire l'elezione.
No, non basta avere un sistema per "business". Non sei in area business. Non me ne frega niente di certificazioni per il mondo business. Stai gestendo un processo vitale per lo stato, i certificatori (che sappiamo bene in Italia sono solo un mercato di pezzi di carta) non mi impressionano.
La gestione del problema e' dilettantistica, la comunicazione dell'attacco e' arrivata dopo l'attacco senza spiegare agli utenti che rischi corrano i loro dati. Questo non mi fa pensare bene. Ma anche se Grillo avesse una sicurezza di primo ordine, avrebbe una sicurezza di primo ordine per un normale sito web che e' svariate misure SOTTO il livello di sicurezza di una banca, o di una telco, o di una struttura governativa. Non vorrei scoprire che il data center ove si trovano le macchine (e gli uffici i cui computer possono entrare nella rete ove si vota) siano sorvegliati, come al solito, dal solito sistema di allarme e dalla solita ditta di metronotte: state elegendo il comandante in capo delle forze armate italiane, non il salumiere.
No, cosi' non va. Non e' accettabile che la sicurezza dei processi di una nazione sia affidata a gente che si comporta cosi'. Casaleggio non si propone sul mercato come esperto di sicurezza informatica ne' lo fa la sua azienda, a quanto leggo sul loro sito. Ne' e' chiaro chi stia curando la sicurezza del sito.(1)
Non e' chiaro come. Quanto e' affidabile quel meccanismo elettorale? Non si sa. Chi ha fatto auditing del codice? Non si sa. Quanto e' sicuro il codice? Non si sa.
Non e' chiaro come. Quanto e' affidabile quel meccanismo elettorale? Non si sa. Chi ha fatto auditing del codice? Non si sa. Quanto e' sicuro il codice? Non si sa.
L'unica cosa sensata che Grillo potrebbe fare per garantire UN MINIMO della sicurezza che serve a gestire un sito del genere sarebbe chiedere al data center del senato o delle camere di piazzare li' un rack e metterci i suoi server, chiedendo a chi sorveglia i siti istituzionali di sorvegliare anche i suoi siti allo stesso modo.Che ti piaccia o no, Grillo, sei "dentro", e adesso rispondi della sicurezza di tutti i cittadini.
Immaginiamo un futuro ove OGNI partito elegge in quel modo i candidati, e poi elegge in quel modo il candidato a presidente. Davvero pensiamo che saranno aziende la cui esperienza nel settore della sicurezza e' ignota allo stato a gestire questi processi? Pensiamo davvero che , fatte le elezioni, si possa dire "ehi, torniamo al voto, c'e' stato un attacco hacker"? (Se ce ne accorgiamo, per esempio.Ma non e' scontato che ce ne accorgiamo. Un attacco puo' anche essere silenzioso.)
Il modo in cui M5S sta gestendo un processo del tutto vitale per lo stato, ovvero usando una infrastruttura wholesale , mostra agli occhi degli addetti ai lavori (che magari non prevedono guerre nel 2020 come Casaleggio, ma vi sanno dire se reggerete il traffico nei prossimi cinque minuti!) una totale mancanza di professionalita'. Non e' stato EVIDENTEMENTE fatto nessun risk assessment, non ci sono state EVIDENTEMENTE delle richieste allo stato di proteggere adeguatamente e con altri mezzi un sistema tutto sommato vitale - serve ad eleggere un candidato al Colle - non e' chiaro CHI abbia attaccato e se ci siano almeno persone dello stato dentro gli uffici di casaleggio a osservare che succede, non si capisce perche' mentre un meccanismo che decide il futuro dello stato veniva attaccato non siano state chiamate le forze dell'ordine, e cosi' via.
Dico, ma stiamo scherzando?
Certo, un negozio online puo' farlo.
Certo, un sito informativo puo' farlo.
Ma veder succedere questo "attacco hacker" al sito dove si pensa di svolgere una funzione VITALE per lo stato, e vedere come sta venendo gestito, fa cadere le braccia.
Mi spiace, ma se si lascia la "democrazia digitale" in mano a gente che non ha EVIDENTEMENTE esperienza in gestione di infrastrutture mission critical , la stessa idea fallira', e posso prevedere sin da ora che fallira' tra "attacchi hacker" e non meglio specificati crash di sistema, bachi per software mai testato e un capacity management penoso.
Sta roba, caro Grillo, e caro "Guru" Casaleggio, davvero non e' tollerabile. Non succede nelle grandi realta' professionali, e per intenderci io ho uno sla 7/9 da rispettare, e se ho 30 secondi di down, devo spiegare a tutti perche', chi rischia cosa, cosa di preciso sia successo, e specialmente COSA FARO' PERCHE' NON SUCCEDA PIU'.
E no, la storia dell'attacco hacker che vi colpisce ogni volta che hai un picco di domanda inizia ad essere ridicola. Se anche volessi il presidente della Repubblica eletto per via telematica, non lo vorrei eletto in un sistema gestito cosi'.
E no, la storia dell'attacco hacker che vi colpisce ogni volta che hai un picco di domanda inizia ad essere ridicola. Se anche volessi il presidente della Repubblica eletto per via telematica, non lo vorrei eletto in un sistema gestito cosi'.
Il mondo dell' Information technology , caro Casaleggio, non e' un welfare che promette un reddito a qualsiasi stronzo sappia accendere un PC o a qualsiasi Early User legga Wired e si spacci per un "Guru". E' fatto di tecnologia, conoscenza, progetto, e quando dico progetto intendo il termine come l'attivita' profondamente scientifica e tecnica che era progettare, prima che una massa di cavallette incompetenti in giacca e cravatta invadesse il mondo dell'informatica.
Io non sono un "guru", e nessuno mi ha mai chiamato cosi', caro Casaleggio ma ti posso garantire che una simile correlazione tra picchi di normale utilizzo e "attacchi hacker" non l'ho mai avuta. Da queste parti, si ride di te. Che pensar male e' peccato, ma ci si azzecca.
CONTINUA QUI: http://www.keinpfusch.net/2013/04/non-lo-sopporto-non-ci-riesco.html
Uriel
(1)Dicono che sia DNV, ma DNV certifica le infrastrutture, curare la sicurezza e' un lavoro diverso. Ce l'ho anche io una certificazione ISO 27001, so benissimo la differenza. Certificare su ISO 27001 significa verificare tutta una serie di good practices, di solito elencate in ISO 27002. NetProbing , Application Auditing, Security assessment BS7799/CERT/NIST, sono lavori diversi. Inoltre, ISO 27001 certifica requisiti MINIMI.Ma non e' questo il punto: esiste una cosa che si chiama NOS, Nulla Osta di Segretezza. E serve in questi casi, per decidere chi si e chi no.
(1)Dicono che sia DNV, ma DNV certifica le infrastrutture, curare la sicurezza e' un lavoro diverso. Ce l'ho anche io una certificazione ISO 27001, so benissimo la differenza. Certificare su ISO 27001 significa verificare tutta una serie di good practices, di solito elencate in ISO 27002. NetProbing , Application Auditing, Security assessment BS7799/CERT/NIST, sono lavori diversi. Inoltre, ISO 27001 certifica requisiti MINIMI.Ma non e' questo il punto: esiste una cosa che si chiama NOS, Nulla Osta di Segretezza. E serve in questi casi, per decidere chi si e chi no.