UNA SANA “DITTATURA” COME ANTIDOTO PER IL CYBER CRIMINE ?
I rischi della vita ”in rete” si sono guadagnati un posto in primo piano su giornali e media di tutto il mondo. Non passa giorno senza che esperti, politici, o semplici opinionisti si esprimano sulle soluzioni per mettersi al sicuro da attacchi a pioggia, come quelli che, negli ultimi mesi, hanno messo in ginocchio aziende, istituzioni e privati.
GoldenEye, Petya e Wannacry sono diventati termini tristemente popolari. Nonostante i produttori di soluzioni informatiche e gli esperti del settore si prodighino per diffondere il verbo delle buone norme e misure da adottare, sono ancora pochi i soggetti, pubblici e privati, che hanno adottato serie misure di prevenzione. Ma come biasimare questa maggioranza , quando gli strumenti e le misure suggeriti o imposti (vedi GDPR) stanno diventato una vessazione insopportabile? Troppi e troppo costosi, per non offrire comunque grandi garanzie.
Se le cose continueranno con questo trend, gli sviluppi che i sopracitati fenomeni hanno già assunto in Ucraina, in Russia, negli Stati Uniti, ma anche in Italia, potrebbero rappresentare solo gli albori di un internet dominato dal Cyber Crimine, e capace di condizionare ed impossessarsi della vita privata ed istituzionale del mondo intero.
I vettori del malware sono diversi, ma uno è ancora ampiamente dominante su tutti gli altri, per volume, ovvero numero di vittime: la posta elettronica.
EMAIL SENZA PROTEZIONE: IMPROPONIBILE
I messaggi SPAM da riconoscere ed accantonare ogni giorno hanno raggiunto un numero che condiziona la vita lavorativa, ma anche privata. Anche la persona più informata ed attenta rischia continuamente di cadere in trappola, perchè chi diffonde il malware, a mezzo email nella fattispecie, presta sempre più attenzione alla credibilità dei messaggi inviati.
Il confine tra SPAM e malware è labile , perchè lo SPAM (di per se tedioso ma innocuo) è spessissimo un veicolo per perpetrare truffe o attacchi di cyber crimine.
I software antimalware tentano di mitigare i rischi analizzando messaggi ed allegati, ma anche cercando di limitare la possibilità del malware di eseguire codice maligno e danneggiare dati ed asset.
Con il backup si può contenere il danno, garantendo il ripristino di dati e sistemi eventualmente compromessi, in tempi certi e contenuti.
Ma può esistere un metodo universale , che da solo possa limitare al massimo la diffusione dello SPAM, e di rischi connessi?
L’IDENTIFICAZIONE COME SOLUZIONE
Parliamoci chiaro: il web 3.0 sta facendo i conti con un utilizzo spasmodico della posta elettronica, che, nell’immaginario di tutti, rappresenta un metodo facile e gratuito perchè si appoggia a soggetti e strutture affatto certificati. Fino ad ora, i sistemi antispam hanno inseguito lo SPAM, cercando di distinguerlo in sede di arrivo, dalla giungla sconfinata di messaggi utili o necessari, ma troppo simili allo SPAM per provenienza e natura.
Allo stato attuale delle cose, non sappiamo ipotizzare un criterio affidabile, per distinguere lo SPAM da resto dei messaggi, in sede di destinazione.
E’ probabilmente ora di chiedersi come bollare lo SPAM, o meglio bollare il NON SPAM, all’origine.
Una soluzione forse esiste: chiamatela semplice o semplicistica, ma, se la comunità mondiale si accordasse per l’adozione di soli server certificati e controllati dalle istituzioni, per l’invio delle mail, che prevedano l’identificazione certa del mittente, ed un costo per ciascun messaggio inviato, forse raggiungeremmo la quadra.
Nessun ricevente, o quantomeno nessun ricevente che abbia a cuore la propria incolumità, avrebbe più motivo di accettare messaggi da canali diversi da quelli istituzionali.
Questo potrebbe forse bastare per far venire meno alla radice il 99% dello spam e con esso le truffe ed il malware che veicola. Verrebbero addirittura meno i presupposti per inviare spam, perchè uno spammer conta su numeri di messaggi inviati esorbitanti, e, in uno scenario del genere, non potrebbe permettersi di pagare il regolare invio, attraverso server certificati, di milioni di messaggi, con un costo (seppur piccolo) per ogni messaggio inviato. D’altra parte, se inviato attraverso server non “certificati”, lo SPAM raggiungerebbe un numero di destinatari irrisorio: solo quelli che hanno espressamente deciso di accettare messaggi da canali “non sicuri”. Ma, una volta che tutti i soggetti affidabili si siano affidati a canali certificabili, per l’invio di mail, accettando di investire il giusto per quello che è un servizio, con degli standard ed un livello di controllo che non può costare zero, i soggetti ed i messaggi che continuassero ad adottare canali non “istituzionali” sarebbero facilmente identificabili come “inaffidabili”, e per loro di “trippa per gatti” , ne resterebbe davvero poca.
Questo tentativo di regolamentazione andrebbe nella direzione già tracciata dagli store ufficiali per il software software: Apple Store, Android Play Store, Microsoft Store.
Questa operazione di hardening dovrebbe finalmente interessare anche il servizio di posta elettronica, ma perchè no, anche il web, distinguendo chiaramente server e siti dalla reputazione certa, dalla attuale giungla fuori controllo.
La PEC rappresenta il tentativo , tutto italiano, di rispondere a questa esigenza di regolamentazione della mail. Ma, fintanto che l’intento, il criterio e gli strumenti non saranno condivisi a livello globale, quasi tutti gli utenti dovranno continuare ad accettare mail prive di certificazione, e dovranno continuare ad accedere a siti dalla identità e propositi incerti.
Insomma. Un po’ meno libertà per tutti, per garantire maggiore sicurezza per tutti.
Semplice, no?