Apri Menu Chiudi Menu
La tua privacy sul tuo cloud
Per non perdere la tua privacy fra le nuvole: NextCloud il cloud che ci piace

Wanna Cry? No wanna Smile!

Ransomware e Windows. Ormai è quasi sconveniente parlare di WannaCry tanto se ne è parlato in queste settimane, si tratta di un ransomware che di fatto "offusca" i dati presenti sul computer e, per riaverli, è necessaria una password che viene rilasciata dai cyber-criminali solo a seguito del pagamento di un riscatto. Se è sconveniente allora perché parlarne? (...)

Perchè le recenti voci secondo cui la città di Monaco, che nel 2003 iniziato la migrazione dei 14.000 computer della PA a GNU/Linux (per l'esattezza a una versione custom chiamata LiMux, derivata di Ubuntu, derivata di Debian :-) ) vorrebbe ritornare a Windows perché Linux sarebbe arretrato e alcuni loro uffici non sarebbero in grato di aprire file pdf.

Queste due notizie di cronaca ci permettono di fare alcune considerazioni sulla sicurezza e sul rapporto fra  PPAA e software  Free & Open Source. Che i sistemi Windows siano i più attaccati è un dato di fatto, così come è un dato di fatto che siano i meno sicuri by design. Con tutto ciò bisogna conviverci, WannaCry è solo uno dei tanti attacchi epidemici di questi anni, che passerà alla storia come il primo di tale portata di diffusione, ma non resterà il solo, sicuramente tanti altri ne seguiranno.

L'altra considerazione è che non solo gli uffici più periferici delle PPAA italiane versano in condizioni a volte imbarazzanti dal punto di vista delle dotazioni informatiche, ma anche a Monaco le cose sembrano non andare troppo bene, non si capisce infatti come sia possibile che un computer non possa aprire un file pdf, come lamenta il Sindaco delle città di Monaco. Ovviamente non è vero che non sia possibile aprire un file pdf con GNU/Linux, ci mancherebbe, ma di fatto le scuse ufficiali riportano problemi come questi.

Come è possibile immaginarsi di fare una contro-migrazione dei computer della città di Monaco per presunti problemi di interoperabilità e usabilità, rispetto al concreto ed effettivo risparmio economico e alla maggior sicurezza di GNU/Linux?

La separazione fra Internet e i computer degli uffici ormai non è più pensabile, quindi se i computer devono poter andare su Internet sono automaticamente esposti alla maggior parte degli attacchi possibili. Questi computer sono a loro volta all'interno di LAN più o meno grosse, se in queste LAN i computer sono tutti identici e interconnessi, è sufficiente che un solo computer sia infettato per dare il via alla totale contaminazione del parco macchine di una PA. Per la propagazione di un virus l'interoperabilità dei sistemi è ancora  un elemento fondamentale. Ovviamente aggiornando i sistemi si è relativamente al riparo da molti problemi di sicurezza, ma di fatto, e nelle PPAA in particolare, ciò non è possibile: troppo dislocate sul territorio, troppa differenza fra strutture centrali e strutture periferiche, troppa differenza di fondi, forse anche in un città come Monaco.

Tutto ciò ci dovrebbe suggerire che negli anni a venire una politica attenta alla sicurezza dei dati disponibili sui nostri computer, in particolare quelli di una PA, dovrebbe essere basata su:

  • diversità di piattaforme, in modo da ridurre e circoscrivere la propagazione di virus e affini
  • sistemi operativi sicuri by design, in modo da limitare al minimo il danno in caso di attacco riuscito
  • aggiornamenti programmati e continui dei software applicativi, in modo da ridurre l'estensione della zona attaccabile
  • formazione continua ai dipendenti sulle questioni che riguardano la sicurezza oggi, per ridurre al minimo i comportamenti che espongono a rischio di attacco 

Sull'ultimo punto, quando si parla di sicurezza, si bisbiglia sempre sotto voce, si ha quasi timore di parlarne apertamente, come se non fosse la chiave di volta del 98% dei possibili attacchi subiti. Però nessuno fra gli amministratori lo cita mai, meglio parlare di problemi di interoperabilità (peraltro sempre fra uffici, mai fra uffici e cittadini, a cui devono i servizi).

Non si dice che avere browser differenti, o con configurazioni differenti, per navigare su Internet, sarebbe già di per se' un metodo che permette di ridurre drasticamente la possibilità di subire un attacco. Così come un semplice e regolare aggiornamento di GNU/Linux ci permette di avere tutto ciò che ci serve, con sicurezza e valorizzando il parco computer esistenti e allungandone quindi il tempo di vita riducendo il problemi derivati dall'accumulo di e-Waste

Insomma se si guarda all'argomento con fare pragmatico e non con interessi di parte, non è difficile capire come fare ad avere meno amministratori pubblici che piangono e più utenti che sorridono. :-)