L’odissea di Sony è iniziata ormai due mesi fa. A metà Aprile, la PlayStation Network (PSN) è stata attaccata. La prima conseguenza è stata il blocco della rete di gioco, e successivamente è stato ammesso il furto di 70 milioni di numeri di carte di credito (più dell’intera popolazione italiana), che in seguito sono diventati 100 milioni. Un evento grave, spiacevole, specialmente se si considera che da più parti si è detto che Sony era stata avvertita da tempo della presenza di gravi vulnerabilità. Ma la vera notizia incomincia da qui in poi, perché in fondo di attacchi simili ce ne sono stati altri in tante aziende, e se dal punto di vista economico o legale ci possono essere state conseguenze gravi, dal punto di vista informatico la notizia si chiudeva più o meno lì. Nel caso di Sony invece, sembra che le cose non abbiano fatto altro che peggiorare. Prima di tutto, la rete PSN è stata ferma per almeno un mese. Tutte le analisi che ho visto sull’attacco parlano di server Apache non aggiornati o di SQL injection, ma difficilmente questi problemi (fra i più comuni in generale) possono portare ad un fermo di un mese: sono attacchi che colpiscono la parte “dati utente” o più periferica della rete, non l’infrastruttura. Perché un fermo di un mese? Non è il modo normale in cui si sviluppano questi incidenti: normalmente vengono messe un paio di “toppe” (aggiornamento dei server, correzione della SQL injection), se si sono persi dei dati utenti si comunica la perdita dei dati e si torna online. Un fermo di un mese racconta di una storia completamente diversa. In questo articolo, viene riportata fra le righe quella che a me sembra la causa più probabile dell’attacco, sulla quale però non mi sbilancio perché sarebbe un’illazione 😉 Ma viene fatta un’altra affermazione: “They didn’t’ get attacked because they were weak, they didn’t get attacked for credit cards, they got attacked because of a conscious decision the company made to go after modders.” e poi, facendo il confronto con Microsoft, “The attitude of the company towards the general public is what really played a role in Sony being attacked and why they are continuously being attacked“. A me sembra una grossa cretinata, per diversi motivi. Primo, Microsoft è abituata da decenni ad essere odiata ed attaccata, e checché ne dica l’articolo, starà ben attenta a non esporre vulnerabilità, attenzione che Sony sembra non aver proprio avuto (server Apache non aggiornati???). Ma soprattutto, si suggerisce che l’attacco sia dovuto alla causa legale intentata nei confronti di un hacker, con un tono che a me sembra minaccioso che ho sentito da più parti, come a dire:”Attento a te, che osi intentare queste cause legali, perché ne subirai le conseguenze”. Lo stesso tono di velata approvazione che si sente nei confronti di Anonymous e dei vari attacchi portati a istituzioni, aziende ecc. Sia chiaro che io non credo che la causa dell’attacco sia quella, ma soprattutto, per quanto sia riprovevole l’atteggiamento di Sony nei confronti del modding, ci manca solo che un’azienda non possa svolgere delle attività lecite (fare causa, ad esempio) per paura di atti vandalici. Con tutti i problemi di sicurezza che ci sono su Internet, ci mancano i giustizieri fai-da-te: se qualcosa non va nelle leggi (sul modding, nello specifico), si cambiano le leggi, e quindi prima di tutto si fa vera cultura e sensibilizzazione fra le persone: cosa senz’altro più lenta, difficile, e meno divertente dell’hacking… anche perché i giustizieri fai-da-te vanno bene finché sei d’accordo con loro, ma poi cominciano i problemi. Supportare queste azioni vuole dire, al contrario di quanto sembra, non avere per niente chiara l’importanza di Internet, e quindi la necessità di mantenerla libera da comportamenti vandalici o criminali.
Un pensiero a margine: di quei cento milioni ai quali è stato copiato il numero di carta di credito su PSN, quanti torneranno a dare a Sony il proprio numero di carta di credito, nonappena il problema sarà sistemato? Io scommetto sui novanta milioni… tolgo solo i dieci milioni che nel frattempo saranno passati a Xbox, e quindi non si porranno più il problema 😉 Questa mia visione pessimistica è confermata da diversi episodi che ho visto in passato, e la dice lunga sulla cultura di sicurezza informatica dei consumatori.
Ma la cosa non finisce qui: da allora Sony ha subito attacchi ancora e ancora, come se un vaso di Pandora fosse stato aperto e i venti si fossero scatenati contro quell’azienda. E qui si parla di attacchi che portano via il codice sorgente, altro che rete di gioco online, e questo a quasi due mesi dal primo attacco a PSN. Tutto questo non dà l’idea di un bug tipo SQL injection che permette di accedere ai dati delle carte di credito: per quanto non ci siano molte informazioni pubbliche, mi sembra chiaro che il problema è molto più profondo. L’immagine che offre Sony è quella di un’azienda che ha sbagliato qualcosa di fondamentale nella propria gestione della sicurezza, e di un’infrastruttura informatica che crolla…
E parlando di infrastrutture informatiche che crollano, non posso non pensare alle recenti vicende di Poste Italiane. Devo dire che Poste è una di quelle poche grandi aziende italiane in cui “hanno lavorato un po’ tutti”, come in Telecom, e un po’ tutti hanno idea di come funziona, quindi chi lavora nel settore ne sente parlare spesso. Io credo di essere fra i pochi che non ci hanno mai lavorato (che mi ricordi), e quindi eviterò di esprimere opinioni sulle cause tecniche o organizzative del guasto. Oltretutto, ne hanno già parlato in troppi, principalmente a vanvera, soprattutto chi non ha mai visto realmente un sistema informatico di quelle dimensioni.
Vorrei invece vedere per un attimo la vicenda dal lato di chi gestisce il sistema e si trova davanti un problema del genere. È uno degli incubi peggiori: c’è un sistema che sta (più o meno) funzionando, modifichi qualcosa e tutto smette di funzionare; non c’è modo di tornare alla versione precedente (tipica soluzione dell’informatico, insieme al “riavviare” 😉 ), e intanto l’azienda è ferma. Con tutti gli errori che possono essere stati fatti, non posso che provare un attimo di solidarietà per chi ci si è trovato in mezzo… solo un attimo 😉
Ma quello che mi interessa far notare è come questo caso abbia messo di nuovo in evidenza il ruolo critico dei sistemi informativi in qualsiasi grande azienda od organizzazione moderna. Quando si fermano, si ferma tutto, e non è un “difetto” dovuto all’eccessiva informatizzazione, è semplicemente che il sistema informatico è diventato un’infrastruttura fondamentale come l’energia elettrica: come per l’energia elettrica, se manca si ferma tutto, ma come per l’energia elettrica, quando c’è permette di fare molto di più con meno sforzo. Anche non volendone riconoscere le potenzialità in termini di competitività, questo ruolo critico dell’informatica porterebbe come conseguenza che si debba fare molta attenzione ad investire bene in questo settore. Bene vuole dire qualità, e la qualità costa. Invece, in questi anni si è vista una riduzione costante e generalizzata degli investimenti e quindi, banalmente, della qualità. “Oh, prima il mio responsabile dei sistemi informativi mi chiedeva un sacco di soldi, adesso gliene do un terzo e fa lo stesso lavoro di prima: non sono bravo?” No, tu non sei bravo, e lui non sta facendo lo stesso lavoro. Proviamo a riportare lo stesso concetto a un qualsiasi altro contesto: ad esempio, supponiamo che una compagnia aerea riduca di un terzo gli investimenti per la manutenzione degli aerei: pensereste che sia il risultato di una buona gestione, o solo un disastro in attesa di verificarsi? E se lo stesso venisse fatto sui costi di una centrale elettrica? O sui costi di un’industria alimentare? O anche, se vi dicessero che “in qualche modo” un ospedale ha tagliato i costi dell’elettricità di due terzi? Bene, in tutti i settori in questi anni è stato fatto così sui costi dell’informatica. E non mi riferisco a tagli rispetto alle tariffe professionali folli della fine anni ’90 o primi anni 2000, mi riferisco ai costi di quattro o cinque anni fa, già abbondantemente (e giustamente, allora sì) ridimensionati rispetto agli anni precedenti. Cito uno degli articoli che ho visto citare maggiormente in questo periodo: la data è di febbraio, quindi in tempi non sospetti: “A problemi annosi, come i ritardi dei pagamenti nella Pubblica amministrazione, se n’è aggiunto recentemente uno tutto nuovo: la tendenza degli enti pubblici a comprimere oltre misura i prezzi, sfruttando la fame di commesse da parte delle aziende dell’Information techonology, messe a dura prova dalla crisi economica.“. Messe a dura prova perché l’informatica vive particolarmente di investimenti e innovazione, e di innovazione da queste parti se ne vede poca. L’articolo parla in realtà principalmente di Poste Italiane, e dubito che le ragioni per fare gare al ribasso di Poste siano le stesse di una vera P.A., (come minimo perché a quello che leggo nel 2010 Poste ha avuto un utile di 1 miliardo), ma lo stesso ragionamento vale in tutti i settori, anche non pubblici. Bene, per come la vedo io risparmiare sull’informatica è un po’ come risparmiare sulla manutenzione delle strade o degli argini dei fiumi: sul breve termine sembra una scelta di poco impatto e che crea meno problemi che tagliare su costi più “visibili”, ma oltre un certo limite prima o poi le cose crollano. Per fortuna, il crollo dell’informatica generalmente non ha gli stessi effetti disastrosi del crollo di un argine, ma di blocchi, malfunzionamenti e progetti che partono e poi devono essere rinviati di un anno (indovina?) ne vedremo molti, sia nella P.A. che fuori.
