12 - Notizie dalla Commissione

Anno V, n. 2 - luglio 2015

Ingegneria dell’informazione

Notizie dalla Commissione

12

IN EVIDENZA COMMISSIONI 5 Quindici anni di sostegno allo sviluppo

PROFESSIONE

6

Le richieste dell’ingegneria dell’informazione per il nuovo codice appalti

STORIA e CULTURA 12 Breve storia del malware, evoluzione dagli inizi ad oggi

Commissione ingegneria informazione

Ingegneria dell’informazione Notizie dalla commissione

Foglio informativo curato dalla Commissione dell’Ingegneria dell’Informazione dell’Ordine degli Ingegneri di Pavia. Ingegneria dell’informazione - Notizie dalla commissione è una pubblicazione non periodica e non può, pertanto, considerarsi un prodotto editoriale ai sensi della legge n.62 del 7 marzo 2001.

Ing. Marco Carlo Spada

Uffici c/o Ordine degli Ingegneri di Pavia, Via Indipendenza 11, 27100 PAVIA.

Membro Commissione Ingegneria dell’Informazione

La sicurezza dei dati è sotto costante minaccia e nessuno

Contatti Segreteria Ordine degli Ingegneri di Pavia Tel: 0382.22070 Fax: 0382.530478 E-Mail: contatti@ording.pv.it PEC: ordine.pavia@ingpec.eu

Referente notiziario: Ing. Christian Cucculelli mail-to: christian.cucculelli@gmail.com

Coordinatore della Commissione: Ing. Christian Cucculelli mail-to: christian.cucculelli@gmail.com

può sentirsi tranquillo. Spesso incontriamo posizioni naïf che giustificano la scarsa attenzione al tema con argomentazioni quali: «…ma tanto a chi possono interessare le mie cose…» o «…fra tutti, devono proprio interessarsi a noi?…». Ebbene vediamo in questo numero come il crimine informatico non si faccia tanti scrupoli; suggeriamo un atteggiamento consapevole richiamando un approccio strutturato e standardizzato (ISO

27001) e confermando ancora una volta come il contributo dell’ingegnere sia importante nell’analisi e nell’implementazione di misure di difesa adeguate per ogni realtà economica, indipendentemente da dimensione e complessità del sistema informatico adottato.

Marco Carlo Spada

Indice 3

Professionisti ICT e figure apicali nelle PP.AA.

6 CAE/CAD/CAM: alta produttività per il professionista

4

Da Pavia un nuovo indice per la misura del consumo di suolo

7

Le richieste dell’ingegneria dell’informazione per il nuovo codice appalti

4 L’utilizzo della illuminazione LED nella “smart home”

9

Il confine tra privacy e comodità

10 Cronache di un futuro prossimo 5

Il C3I si presenta ai Presidenti d’Italia

5

La commissione CROIL in visita a Bergamo

6

Quindici anni di sviluppo

11 Cryptolocker, Backup, ISO/IEC 27001:2005

Immagine di copertina tratta da: http://www.bitmat.it/

aiuti e sostegno allo

13 Breve storia del Malware, evoluzione dagli inizi ad oggi

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Professionisti ICT e figure apicali nelle PP.AA.

S

ala del Consiglio Comunale di Pavia, questa la location scelta dall’amministrazione per ospitare l’evento dal titolo “Documenti digitali: dalla creazione alla conservazione”. Frutto della colladi C. Cucculelli borazione che sta andando ad instaurarsi tra la commissione ingegneri dell’informazione e il Servizio informativo del Comune di Pavia, è stato tenuto dall’ing. Luca Galandra, responsabile del servizio comunale di informatizzazione. Se, da una parte, l’amministrazione ha potuto mostrare ai professionisti ICT gli interessanti risultati ottenuti in materia di digitalizzazione dei processi, dall’altra ha dato la possibilità ai professionisti di percepire la complessità, organizzativa e normativa, che caratterizza una pubblica amministrazione: i risultati presentati dall’ing. Galandra acquistano così ancor più valore se si considera che l’amministrazione in oggetto è quella del Comune di Pavia, caratterizzata da una maggior complessità di quanto non possa esserlo un qualsiasi altro comune della provincia. Dopo un impegnativo, ma necessario, excursus tra le norme vigenti in materia di digitalizzazione delle pubbliche amministrazioni, la presentazione si è concentrata su alcuni dei processi digitalizzati. Tutti i documenti identificati come oggetto di intervento ora nascono digitalmente e vengono gestiti come tali nell’intero ciclo di vita: dal protocollo comunale alla fatturazione elettronica, passando per l’applicazione della firma digitale. Al di là della singola soluzione informatica individuata e successivamente implementata, quello che balza all’occhio è la complessità organizzativa e normativa: un professionista che volesse approcciarsi al mondo delle pubbliche amministrazioni dovrebbe quanto meno avere una certa propensione per la lettura e l’approfondimento delle decine di leggi e decreti attualmente in vigore per la materia, in quanto le competenze interne all’ente stesso sono spesso assenti. A questo scenario vanno ad aggiungersi la complessità organizzativa, l’analisi dei processi, le competenze tecnologiche e tecniche, le capacità gestionali, insomma, tutto quello che normalmente rientra e caratterizza un progetto ICT. Ma com’è stata gestita la questione? Su questo punto sono emerse le criticità che ad oggi caratterizzano una P.A.: riduzione delle spese - l’ICT continua ad essere visto come una voce di spesa piuttosto che di investimento - come conseguenza delle politiche di spending review, mancanza di adeguate competenze tecnologiche interne che possano guidare il processo di digitalizzazione, difficoltà della politica a capirne i benefici e a sostenerla nell’arco del proprio mandato, discontinuità politica dovuta al rinnovo delle amministrazioni. Al di là delle considerazioni che si potrebbero fare sull’argomento appare sufficientemente chiaro quanto possa essere difficile inserire un programma di digitalizzazione organico e di lungo periodo in un contesto

simile, a differenza di quanto possa avvenire in ambito aziendale. Ecco allora che un’importante iniziativa progettuale di digitalizzazione deve lasciar spazio ad una serie di interventi parcellizzati che vadano a coprire un piccolo pezzo di processo alla volta, garantendone la messa in esercizio in tempi e costi coerenti con le scadenze politiche e di bilancio dell’ente. Da buon cittadino italiano potrei anche accontentarmi di questo (putost che nient, mej putost!, dice un detto milanese), ma da professionista la considerazione che sorge è la seguente: forse che l’esempio del Comune di Pavia sia tale proprio perché, nella figura apicale del Servizio di informatizzazione sia presente una persona caratterizzata da un profilo tecnico specialistico? Se nella posizione di responsabile di servizio ci fosse una persona con un bagaglio formativo non attinente, si sarebbero raggiunti gli stessi risultati? Purtroppo la considerazione non è fuori luogo, dal momento che, molte volte, nelle amministrazioni si assiste ad un’assegnazione di responsabilità del servizio informatico a figure professionali senza alcuna attinenza con la tecnologia e l’innovazione. Si è mai visto un ufficio di ragioneria gestito da un ingegnere? Personalmente non mi è mai capitato, ma di certo vedo progetti di digitalizzazione comunali in carico a responsabili del servizio di polizia locale o simili! Credo fermamente che il fattore di successo di questa esperienza stia proprio qui e l’auspicio è che sempre più amministrazioni si rendano conto dell’importanza che oggi ha assunto l’aspetto della digitalizzazione. Se si vuole ottenere maggior efficienza ed efficacia, specialmente in un momento di continui tagli alle risorse degli enti locali, l’ICT rimane una delle possibili leve strategiche da utilizzare. L’unica accortezza? Lasciar fare le cose a chi le sa fare.

LE COMMISSIONI

INGEGNERIA DELL’INFORMAZIONE

Sopra - L’ing. Vittorio Caprioli, membro della commissione ingegneria dell’informazione, introduce l’evento. Alla sua destra l’ing. Luca Galandra, responsabile del servizio di informatizzazione del Comune di Pavia e l’ing. Cristiani, assessore all’innovazione del Comune di Pavia.

3

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Da Pavia un nuovo indice per la misura del consumo di suolo INGEGNERIA DELL’INFORMAZIONE

LE COMMISSIONI

I

l consumo di suolo, e la misura della sostenibilità ambientale legata ad esso, è stato al centro dell’evento dello scorso 20 aprile, occasione in cui la Prof.ssa Maria Grazia Albanesi, coadiuvata dall’ing. Albanesi, di C. Cucculelli hanno condiviso con i partecipanti i risultati del proprio lavoro accademico. E’ stato interessante capire come oggi non esista un modo oggettivo per stabilire quanto suolo venga consumato in una data area e, soprattutto, sapere che esistono diversi indici che provano a fare questo mestiere, ma senza poterne conoscere tutti i razionali che ci stanno dietro. Diventa quindi difficile stabilire quanto attendibili possano essere questi indicatori. Esiste un modo per rendere più trasparente queste misurazioni? E soprattutto esiste un modo per pesare la sostenibilità ambientale legata al consumo di suolo in modo più oggettivo e coerente con la realtà? A tutto questo hanno provato a dare una risposta i nostri esperti, introducendo il Fattore di Antropentropia (di seguito FA) e il principio di base che ci sta dietro: oggigiorno il consumo di suolo viene spesso misurato rapportandolo alla superficie totale considerata, ma quanto ha senso? Non avrebbe più senso misurarlo relativamente alla sola

L’utilizzo della illuminazione LED nella “smart home” INGEGNERIA DELL’INFORMAZIONE

I

l 21 maggio scorso si e’ tenuto il seminario “LUCE e LED : Illuminazione ordinaria e di emergenza a tecnologia a LED”, organizzato dalla Commissione Informatica dell’ordine degli Ingegneri di Pavia in collaborazione con di G. Faravelli Beghelli S.p.a., in cui il relatore Renato Frongillo (Responsabile per la Formazione dell’Accademia Beghelli) ha illustrato l’utilizzo dell’impianto di illuminazione a Led nella ‘smart home’, di cui si richiamano i principali concetti esposti:  la tecnologia a LED ad alta efficienza e ottiche calibrate prevede prestazioni ed illuminamenti adeguati ad ogni ambito applicativo, ed unita alla funzione domotica ha come obiettivo un notevole aumento del risparmio energetico in un edificio.  nel caso di ambienti ad uso uffici o dove si rimane per lungo tempo gli apparecchi devono avere ottiche a basso indice di abbagliamento (UGR<19). Per la illuminazione dei posti di lavoro (sia in interni sia in esterni) sono di riferimento le norme UNI EN 12464-1 e 2. Per quanto riguardo l’impianto di luci di illuminazione di emergenza la norma di riferimento e’ UNI CEI 11222 del febbraio 2013. Per la progettazione dell’impianto di illuminazione nella “smart home” Beghelli si utilizzano :

4

superficie utilizzabile? Se ci si ferma un attimo a riflettere la considerazione è assolutamente sensata: la virtuosità di una comunità nel consumare suolo va rapportata al suolo stesso che questa sarebbe in grado di cementificare. Che senso avrebbe considerare anche la superficie di un lago nel caso volessimo misurare l’indice di sostenibilità di un’isola al suo interno? La riduzione della biodiversità è uno degli effetti negativi derivante dal consumo incontrollato di suolo ed è l’unico irreversibile: ad accentuare questo fenomeno è la frammentazione urbanistica a cui viene sottoposta una determinata area geografica. E’ facile intuire come, a parità di superficie consumata, l’area ‘persa’ dall’ecosistema è maggiore nel caso di frammentazione. Il fenomeno è particolarmente accentuato in Italia, Paese in cui la cultura e la storia hanno portato le comunità, e continuano a farlo, ad organizzarsi in tanti piccoli centri urbani vicini tra loro, seppur divisi, piuttosto che concentrare tutto in pochi, ampi, centri metropolitani. Il dibattito è aperto e l’argomento di sicura attualità; per chi volesse maggiori informazioni a riguardo è possibile consultare il seguente link: www.albanesi.it/vms/ antropentropia.htm

 apparecchi dell’impianto di illuminazione e dell’impianto di luci di emergenza a LED  centrale a controllo wireless per la gestione di un elevato numero di apparecchi (fino a 992); ciascuno di essi è dotato di un indirizzo univoco e le informazioni inviate dal trasmettitore domotico raggiungono tutti i dispositivi, ma solo il dispositivo a cui è indirizzato il messaggio lo processa.  l’uso dei sensori crepuscolari e per il rilevamento di presenza/funzione vision per la regolazione in automatico dell’impianto di illuminazione e sfruttamento massimo della luce naturale. Al fine di quantificare il risparmio energetico si riporta come esempio un grafico di comparazione del consumo per una plafoniera di 2 x 58 W per diverse tecnologie di illuminazione:

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Il C3I si presenta ai Presidenti d’Italia INGEGNERIA DELL’INFORMAZIONE

A seguire c’è stato l’intervento dell’ing. Ugo Gecchelin che, in qualità di membro del gruppo inginf CNI, ha descritto le attività principali su cui il gruppo sta lavorando: formazione, riconoscimento delle competenze e deregolamentazione del mercato sono stati i punti focali dell’intervento. Un doveroso ringraziamento va al consigliere del CNI, ing. Angelo Valsecchi, per l’importante opportunità che ha dato al comitato in questa occasione, pur registrando tra i presenti ancora una certa distanza dagli argomenti affrontati. Un importante traguardo quello raggiunto, che ridà slancio al lungo lavoro fatto dal comitato in questi anni e che lo impegna altresì in un intenso lavoro di comunicazione sia interna che esterna.

LE COMMISSIONI

I

l 20 giugno scorso, presso l’Hotel Minerva a Roma, si è tenuta l’assemblea dei presidenti: all’ordine del giorno anche la presentazione delle attività del Comitato Italiano per l’Ingegneria dell’Informazione (di di C. Cucculelli seguito C3I). Presenti la maggior parte dei presidenti degli ordini provinciali italiani e il direttivo del CNI. Nella splendida cornice di Piazza della Minerva l’ing. Mario Ascari (Modena), neopresidente C3I, è stato invitato a presentare il mandato del comitato che, dopo diversi anni di duro e lungo lavoro, ha finalmente avuto la possibilità di portare gli ingegneri dell’informazione, con le loro problematiche e le loro risorse, di fronte a cotanta platea. A seguire l’intervento dell’ing. Ugo Gecchelin (Brescia), in rappresentanza del gruppo di lavoro per l’ingegneria dell’informazione costituito in seno al CNI. La professionalità e le competenze dell’ingegnere dell’informazione devono diventare leve strategiche per il rilancio dell’innovazione del Paese: efficienza delle pubbliche amministrazioni, digitalizzazione delle imprese italiane, infrastrutture critiche e sicurezza informatica sono solo i primi fronti sui quali possiamo, e dobbiamo, essere coinvolti per poter dare il nostro contributo e dimostrare il valore della nostra professione. Particolare enfasi è stata data alla necessità di comunicazione, sia interna che esterna, al fine di promuovere la nostra professione: un evento molto importante, ad esempio, è stato quello della Fiera dell’Automazione SPS, a Parma. In quell’occasione i professionisti dell’ICT, grazie alla disponibilità e al lavoro dei colleghi emiliani, sono riusciti ad organizzare due eventi che hanno registrato un’ottima partecipazione e che hanno trovato un ottimo riscontro anche presso gli organizzatori stessi della manifestazione.

Sopra - Un momento tratto dall’assemblea ei presidenti durante la presentazione delle attività del comitato e del gruppo di lavoro CNI.

La commissione CROIL in visita a Bergamo INGEGNERIA DELL’INFORMAZIONE

L

’ultima commissione per l’ingegneria dell’informazione CROIL si è riunita lo scorso 1 luglio presso l’ordine degli ingegneri di Bergamo. Tra gli argomenti all’ordine del giorno si segnala di C. Cucculelli la ripresa del lavoro del gruppo “Dlgs 231” che vorrebbe, col supporto di un esperto legale, provare a declinare i reati informatici legati a questo ambito. Sul fronte degli eventi comunicativi, invece, il collega Massimiliano Cassinelli illustra l’opportunità di partecipazione al Festival ICT che si terrà a Milano il prossimo 11 novembre. In quella sede sarà possibile organizzare due eventi di formazione della durata di 40 minuti l’uno: una nuova opportunità per parlare e discutere della professione dell’ingegnere dell’informazione. Le prossime sedute della commissione sono previste nei mesi di settembre e ottobre presso l’ordine di Milano.

5

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Quindici anni di aiuti e sostegno allo sviluppo COOPERAZIONE INTERNAZIONALE

Q

Cooperazione Internazionale si può visitare il sito dedicato www.ccii-pv.org

LE COMMISSIONI

uest'anno la Commissione Cooperazione Internazionale festeggia 15 di attività al fianco delle associazioni locali, impegnate in svariati progetti di aiuto e sostegno in Paesi in via di sviluppo e di B. Ferma non solo. Partendo dalla Costa d'Avorio e spaziando in ambiti diversi, dal sanitario allo scolastico passando attraverso l'agricolo, in questi anni la Commissione ha prestato gratuitamente il proprio supporto allo sviluppo di progetti in Senegal, Kenya, Guatemala, Brasile, Uganda e Italia. Per celebrare questo importante traguardo, verranno organizzate diverse iniziate che saranno condivise con i colleghi dell'Ordine degli Ingegneri. Fra queste, verrà promosso un seminario durante la Settimana della Cooperazione (che si terrà dal 21 al 27 settembre) aperto ai colleghi e alla collettività. Per maggiori informazioni sulle attività della Commissione

Sopra e a destra alcune immagini del campsite El Mosaretu, a Loiyangalani.

CAE/CAD/CAM: alta produttività per il professionista INGENGERIA MECCANICA

I

l prossimo 12 settembre sarà organizzato, presso l’Ordine degli Ingegneri di Pavia, una presentazione di prodotti software ad alto contenuto e di alta produttività specifici per il libero professionista. di F. Marchesi L’evento sarà tenuto da Novasystem s.r.l., leader nell’offerta di elevata professionalità suddivisi sui tre ambiti, quali: Soluzioni di ICT per le imprese Sistemi CAE/CAD/CAM/PLM per l’azienda manifatturiera Sviluppo sfotware e system integration Servizio Assistenza e formazione Progettazione di macchine e sistemi per l’industria All’evento saranno riconosciuti 3CFP.

6

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Le richieste dell’Ingegneria dell’Informazione per il nuovo codice appalti

PROFESSIONE

C

on queste righe si vuol offrire una parti importanti sia una componente progettuale che una sintesi delle principali linee d’azione componente di servizio, spesso erogate in fasi diverse e seguite dal Comitato Italiano Ingegneconsequenziali. ria dell’Informazione nell’avanzare Per spiegare questa tesi si può far riferimento al docuuna serie di richieste presso le commissioni mento CEN CWA 16458, applicazione del framework eCF di S. Tazzi (*) parlamentari che si stanno occupando della 3.0 che sarà alla base della prossima norma europea di revisione del Codice degli Appalti Pubblici. standardizzazione dei profili ICT (previsto arrivo per la Per i non avvezzi, un paio di parametri che danno la primavera 2016 - in Italia andrà a sostituire la UNI 11506). dimensione dell’argomento: l’attuale Codice è costituito In questo documento il generico processo ICT è deda circa 600 articoli (tra Codice - D.Lgs. 163/2006 - e Regoscritto secondo lo schema in figura, con fasi di progettaziolamento - Dpr. 207/2010), una selva di norme che dal ne, sviluppo ed esercizio. Tra progettazione e sviluppo ci 2006 ad oggi è stata oggetto di oltre 60 riscritture e 100 vorrebbe il progetto; tra sviluppo e esercizio ci vorrebbe il modifiche. Altri statistici delle norme parlano di complessicollaudo; gestione business e gestione tecnica equivalgove 600 modifiche in quasi dieci anni, ovvero una media di no alla direzioni lavori; la fase di supporto è legata ad una a settimana! aspetti di interazione con le procedure della stazione apChiosa autoesplicativa è il giudizio sul Codice dell’attuapaltante. le Presidente dell’Autorità Nazionale Anti Corruzione, Oltre ad una spiegazione “di processo”, l’esigenza di Raffaele Cantone: “E’ illeggibile, enorme, si fa persino fatiuna riflessione sulla norma deriva anche da alcuni indicaca a sfogliarlo” (Formiche, 29 aprile 2015). tori economici di seguito riportati (fonte Survey Centro I lavori parlamentari hanno l’obiettivo di produrre una Studi CNI 2011). Secondo l’Autorità per la vigilanza sui disciplina snella, composta da non più di 300 disposizioni contratti pubblici (oggi ANAC) nel 2010: in tutto tra Codice e Regolamento. Il termine ultimo per - il valore dei contratti aggiudicati relativamente ai serl’approvazione è fissato al 18 febbraio 2016, mentre l’envizi informatici (consulenza, sviluppo di software, Internet trata in vigore è prevista per il successivo 18 aprile. e supporto) è risultato pari a 2,41 miliardi di euro; Scendendo nello specifico per ciò che concerne il setto- quello dei contratti aggiudicati per i servizi architettore dell’Ingegneria dell’Informazione e delle ICT in generanici, di costruzione, ingegneria e ispezione si è fermato, le, una delle tematiche maggiormente dibattute a livello nello stesso periodo, a 349 milioni di euro. nazionale all’interno della nostra categoria consiste nel Sempre secondo l’ANAC (relazione di luglio 2013 a tutto voler accreditare le realizzazioni ICT come “lavori” e non il 2012): In questi ultimi anni ha preso corpo la riforma delle professioni, come “servizi”. Questo consentirebbecon automaticamente di - il valore dei contratti aggiudicati relativamente ai serun’alternanza di decreti legge, leggi, circolari e quant’altro. imporre le fasi di progettazione, esecuzione lavori e collauvizi informatici (consulenza, sviluppo di software, Internet Temi come la formazione continua e l’assicurazione sono rimasti nebulosi per diversi mesi e ancor oggi lasciano aloni di incertezza. A do ben disciplinate e separate, contrariamente a quanto e supporto) è risultato pari a 2,23 miliardi di euro, dei quacomplicare lo scenario per il settore dell’informazione la mancanza accade ora dove questo approccio non è vincolato e perla maggior di decreti attuativi e norme tecniche cheliriescano a dipanareparte i tanti circa 2,12 miliardi di euro di importi nodi della materia: a partire e attività. a 150 mila euro; tanto quasi mai seguito, con la conseguenza di un ricor-da competenze superiori rente decadimento qualitativo nei risultati. - quello dei contratti aggiudicati per i servizi di ingegneA livello generale, la questione della differenza tra lavoria e ispezione si è fermato, nello stesso periodo, a 1,09 ri e servizi in appalto si pone con particolare riguardo alle milioni di euro, dei quali la maggior parte circa 1,04 milioni manutenzioni e ai contratti di global service, ove non è di euro di importi superiori a 150 mila euro. sempre agevole individuare la linea di demarcazione tra le Una riflessione va necessariamente fatta sul livello di due categorie. In generale il “servizio” di manutenzione è regolamentazione per l’espletamento delle prestazioni di finalizzato al mantenimento della funzionalità di un’opera natura ICT che è incomparabilmente più generico rispetto già esistente senza comportare la modifica fisica, tipica a quello definito per i servizi d’ingegneria connessi ai lavoinvece dei “lavori”. La manutenzione “ordinaria” viene ri pubblici, cui è dedicato il maggior numero di articoli sia dunque tendenzialmente ricondotta alla fattispecie dei del Codice Appalti che del Regolamento. servizi, mentre quella “straordinaria” a quella dei lavori Sulla base di queste premesse e di queste consideraziopubblici. ni, il Comitato Italiano Ingegneria dell’Informazione ha Tornando alle ICT, vien da se la conclusione che se già elaborato la propria linea d’azione, definendo le richieste differenziare in un ambito consolidato è complicato, che da proporre nell’audizione presso l’Ufficio di Presidenza poi è l’ambito di principale ispirazione del Codice, figuriadell’8a Commissione (Ambiente, territorio e lavori pubblimoci in un ambito innovativo dove non vi è ancora consaci) della Camera dei Deputati nell’ambito dell’esame del pevolezza e condivisione diffusa in merito alla differenza disegno di legge A.S. n. 1678, nonché alle successive auditra le fasi e - soprattutto - dove non vi è il concetto di zioni presso gli analoghi organi presso il Senato della Re“modifica fisica”. Ideale sarebbe che nel Codice le ICT vepubblica: dessero codificato il proprio processo, che comprende con

7

PROFESSIONE

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

1. rimuovere la precisazione contenuta nel comma 7 dell’art. 3 dell’attuale D.Lgs 163/2006 che estende la definizione dei “lavori” dalle costruzioni (Allegato I al Codice) alle ipotesi di cui alla parte II, titolo III, capo IV (infrastrutture strategiche e insediamenti produttivi individuati tramite opportuno programma del Ministero delle Infrastrutture e dei Trasporti), introducendo un concetto di discriminazione differente tale per cui per rientrare nella casistica “è necessario che l’amministrazione in questione abbia adottato misure volte a definire il tipo di opera o quantomeno che abbia esercitato un’influenza determinante sulla sua progettazione”, aprendo così una strada affinché le ICT possano rientrare tra i lavori, con le fasi di progettazione, direzione lavori, collaudo. Ripercorrendo la storia, se così già fosse stato sarebbe oggi possibile individuare quale professionista ha firmato la progettazione, comprensiva degli studi di fattibilità, l’analisi dei rischi e la resistenza al cambiamento ad esempio di tutti i progetti di eGovernement del 2003 (hanno lasciato qualche segno determinante nonostante gli ingenti investimenti?), la CEC-PAC (casella di posta certificata per la comunicazione tra cittadini e pubblica amministrazione, 50 milioni di euro) e Italia.it (sito istituzionale sul turismo in Italia, 22 milioni di euro); 2. armonizzare il quadro normativo che disciplina le opere civili private con quello relativo ai contratti pubblici, in particolare con quanto previsto dal D.M. 37/2008 (disciplina impianti) che ricomprende i cosiddetti “impianti elettronici”. È evidente che in tale definizione ricadano, sia gli impianti di rete e telecomunicazione, sia gli impianti di elettronica industriale (quali i sistemi a controllo numerico, sistemi di automazione e robotica) sia i data center e le server farm e, di conseguenza, i sistemi informativi, la gestione elettronica dei flussi documentali, la dematerializzazione e gestione archivi, l’ingegnerizzazione dei processi ed sistemi di gestione delle attività produttive; 3. si auspica che vengano ben definiti e codificati gli impianti elettronici, includendo in via esemplificativa: gli impianti di rete, telecomunicazione e di elettronica industriale; i sistemi a controllo numerico e di automazione, la robotica, i data center, le server farm, i sistemi informativi finalizzati alla gestione elettronica dei flussi documentali, alla demate-

Sopra - Una rappresentazione del processo ICT

8

rializzazione e gestione archivi, all’ingegnerizzazione dei processi ed gestione delle attività produttive. Volendo introdurre delle limitazioni di campo o di ambito, si potrebbe prendere in considerazione il concetto di Infrastruttura Criticha, così come definite dalla Direttiva 2008/114 dell’Unione Europea (recepita con la Legge Comunitaria 96/2010 e poi con il D.Lgs. 61/2011) per le quali le ICT hanno un ruolo determinante: - impianti e reti energetiche (centrali elettriche, impianti di produzione di gas e petrolio, depositi e raffinerie, sistemi di trasmissione e di distribuzione); - sistemi di comunicazione e di tecnologia dell’informazione (per esempio, le telecomunicazioni, i servizi radiotelevisivi, il software, l’hardware e le reti tra cui Internet); - la finanza (per esempio, banche, strumenti finanziari e investimenti); - il sistema sanitario (per esempio, gli ospedali, i servizi sanitari e di raccolta del sangue, i laboratori, il settore dei prodotti farmaceutici e i servizi di raccolta e salvataggio e di emergenza); - l’approvvigionamento alimentare (per esempio, l’industria alimentare, i sistemi di sicurezza igienica, la produzione e la distribuzione all’ingrosso); - l’approvvigionamento idrico (per esempio, i bacini, l’immagazzinamento, il trattamento, gli acquedotti); - i trasporti (per esempio, i servizi portuali, aeroportuali e intermodali, i sistemi di trasporto collettivo su rotaia, i sistemi di controllo del traffico); - la produzione, l’immagazzinamento e il trasporto di sostanze pericolose (per esempio, materiali chimici, biologici, radiologici e nucleari); - l’amministrazione (per esempio, servizi cruciali, strutture, reti di informazione, beni e patrimonio architettonico e naturale). In conclusione, quindi, si è optato per avanzare poche e semplici richieste dalla natura comunque molto incisiva. Questo è dovuto sia per i tempi con cui il Gruppo di lavoro si è attivato (si parla della revisione del Codice Appalti da anni, mentre il Gruppo si è attivato da pochi mesi, con il rinnovo delle cariche CIII), sia per la complessità del tema. Molto probabilmente i tempi per una inclusione con una dignità propria di un processo ICT nel Codice non sono ancora maturi: le argomentazioni esposte sono condivise da una parte degli addetti ai lavori ma non sono ancora sufficientemente diffuse al di fuori di questa cerchia. Indipendentemente dal risultato di queste prime interrogazioni, resta il fatto che le linee d’azione e di richiesta sono ormai consolidate. Occorre quindi creare consapevolezza attorno a queste affinché da questa possa discendere una concretizzazione di prassi. Compito di diffondere questa consapevolezza è demandato a ciascun Ingegnere dell’Informazione. (*) L’Ing. Stefano Tazzi è delegato presso il Gruppo di Lavoro “Modifiche al D. Lgs. 163/2006 - Codice Appalti” del Comitato Italiano Ingegneria dell’Informazione per conto della Commissione Ingegneria dell’Informazione di Pavia

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Il confine tra privacy e comodità

Sopra - Un radome della RAF presso Menwith Hill, un sito con funzionalità di uplink satellitare che si è ritenuto essere utilizzato da ECHELON. Echelon utilizza le intercettazioni dei cavi sottomarini del genere Aquacade e Magnum per controllare tramite i suoi più importanti centri di invio le trasmissioni di Internet, in particolare lo smistamento di messaggi email. Data l'enorme mole di dati sorvegliata, impossibile da analizzare da parte di esseri umani, per intercettare i messaggi "sospetti" (inviati via e-mail, telefono, fax ecc.) viene utilizzato un sistema basato sull'identificazione di parole chiave e loro varianti, in grado anche di rintracciare l'impronta vocale di un individuo. Non si sa molto su come funzioni il meccanismo e di quali coperture goda: quello che è certo è che nel 1997, in seguito al processo di due ragazze pacifiste, in alcuni documenti e testimonianze, la British Telecom ha fatto sapere che tre linee a fibre ottiche (con la capacità di centomila chiamate simultanee ciascuna), passavano per il nodo di Menwith Hill. La vicenda ha fatto capire che non si può amministrare una società di telecomunicazioni senza far parte del tavolo di Echelon. Gli accordi telefonici Echelon sono blindati, obbligano le compagnie telefoniche occidentali ad assegnare la sicurezza delle aziende a uomini del controspionaggio. In Italia, per esempio, Marco Bernardini, testimone chiave dell'inchiesta sui dossier illegali raccolti dalla Security Pirelli-Telecom, effettuò intercettazioni per conto di Echelon sull'Autorità Antitrust ed ebbe accesso ai dati di Vodafone e Wind. [9] Su Echelon sono state sollevate, negli anni, numerose interpellanze al Parlamento europeo, il quale ha aperto una commissione temporanea sul caso. [10] Sempre il Parlamento europeo, alla vigilia degli attentati alle torri gemelle, deliberò una serie di contromisure per contrastare Echelon. [11] In passato si è sospettato che il sistema possa essere stato utilizzato anche per scopi illeciti, come lo spionaggio industriale, a favore delle nazioni che lo controllano, a discapito delle aziende di altri Paesi, anche se a loro volta aderenti alla NATO. (fonte Wikipedia).

INNOVAZIONE

P

rendo spunto da un veloce articolo del sagace Paolo Attivissimo per riproporvi il tema che, a mio modesto parere, noi tutti (ingegneri e di di C. C. Canobbio Canobbio non) non dovremmo sottovalutare. L’internet delle cose o all’inglese Internet of things è affascinante per non dire esotico: evoca un futuro automatizzato in cui basta solo pensare che questo si avvera. Ma c’e’ sempre il rovescio della medaglia, un lato “lato oscuro”. Lo conosciamo? Siamo disposti ad accettarlo? Gli Smartphone (tutti) sono belli, comodi e tracciano la tua posizione. Le App sono divertenti e hanno accesso alla tua rubrica e non solo. I lettori E-reader comunicano ciò che leggi, quando leggi e per quanto tempo ai loro produttori (Kindle, Kobo, Nook, Sony, Google Books). I sistemi di domotica (Nest) dicono a Google quando sei in casa e in che stanza sei. Lenovo preinstalla malware sui PC. Aggiungiamo poi che la NSA (national Security Agency) viola i fabbricanti di SIM per intercettare tutti i telefonini. I Televisori (Samsung, LG) “smart” ascoltano quello che dici, annotano quello che guardi e lo riferiscono ai produttori. I google watch che tracciano tutto ciò che guardi. Tutti noi oggi, per piccole dosi, stiamo accettando di buon grado tutte queste ingerenze nel nome della comodità tecnologica. Ma la combinazione di tutte queste interferenze nella nostra vita privata dove ci puo’ portare? Stiamo accettando volutamente tutto questo oppure ci viene proposto come caratteristica innovativa alla quale non possiamo opporci? E’ il prezzo da pagare per usufruire della tecnologia oppure si può scegliere? Il dibattito è aperto! Sono convinto che l’ultima a cui non possiamo rinunciare è la libertà di scelta: la possibilità di utilizzare le innovazioni tecnologiche, di poter vivere anche senza l’invadenza di tutti questi dispositivi. Bruce Schneier, uno dei massimi esperti mondiali di sicurezza informatica, particolarmente attento ai temi della privacy e della sorveglianza digitale da parte di aziende e governi è convinto che questi temi sono estremamente delicati, e solo in apparenza astratti. Sono destinati invece ad avere un impatto non trascurabile sulla nostra qualità di vita futura. In particolare Bruce si riferisce alla partnership fra società pubbliche e private. La maggior parte della sorveglianza governativa si appoggia su pre-esistenti funzionalità aziendali, e la raccolta di dati da parte delle aziende (tra l’altro si contano sulle dita di una mano) è a sua volta incoraggiata da varie leggi governative. Un’oligarchia basata sui nostri dati in mondo di ormai diventato trasparente. I pilastri a supporto della raccolta sono differenti – quella da parte dei governi si basa sulla paura, e quella aziendale sulla comodità, ma entrambe sono usate a fini di controllo. Non è solo teoria, scadenze concrete incombono. Ad esempio quella legata al servizio di emergenza europeo eCall che dal marzo 2018 obbligherà ad inserire nelle auto un dispositivo che comunichi immediatamente un incidente.

Per approfondimenti: http://feedproxy.google.com/~r/Disinformatico/~3/ve3b -7G_Q-E/pensieri-sullinternet-delle-cose.html http://altadefinizione.hdblog.it/2015/02/09/SamsungSmart-TV-sempre-in-ascolto/ http://www.agendadigitale.eu/identita-

9

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Cronache di un futuro prossimo

INNOVAZIONE

L

10

’attacco subìto a fine anno dalla Sony Pictures è stato sicuramente un interessante “affair cyber”. Di fatto, per la prima volta, un attacco informatico è riudi di C. C. Canobbio Canobbio scito, almeno inizialmente, nel duplice intento di sottrarre informazioni e di piegare la volontà dell’avversario al volere dell’attaccante. La violazione informatica subita da Sony è una delle più pesanti mai registrate da una grande azienda americana. C’è chi ha stimato 85 milioni di dollari di danni, e questo prima che la programmazione di The Interview venisse cancellata. Gli hacker sono riusciti a sottrarre 100 Terabyte di dati dai server della Sony – una quantità enorme. L’attacco è riuscito e le minacce contro il film The Interview hanno portato alla cancellazione della sua uscita per Natale. Il danno economico e di immagine per Sony è dunque gigantesco e di lunga durata. Non solo le sono stati sottratti dei film, ma anche password e numeri di carte di credito e di tessere sanitarie di migliaia di dipendenti, e ancora contratti, informazioni sugli stipendi, immagini e comunicazioni riservate e a volte imbarazzanti dei top manager, in cui si parla (non sempre in modo lusinghiero) di attori, registi, sceneggiatori o politici. L’attacco è stato rivendicato da un gruppo che si fa chiamare Guardians Of Peace (GOP) ed è stato condotto usando un malware, che non solo ha copiato i 100 Terabyte di dati privati dell’azienda ma anche cancellato gli hard disk diffondendosi nella rete aziendale attraverso i servizi Windows. Solo il 19 dicembre l'Fbi ha scoperto le carte e indicato in un comunicato ufficiale la Corea del Nord come responsabile dell'operazione. L'Fbi ha infatti portato a sostegno delle proprie tesi una serie di elementi come l'analisi tecnica del malware, cioè del programma utilizzato per l'attacco, simile quanto a linee di codice, algoritmi, metodi di cancellazione dei dati ad altri software simili precedentemente sviluppati dai nordcoreani. Ma anche la corrispondenza di indirizzi IP, cioè delle macchine e delle infrastrutture da cui sarebbe transitato questo Sopra - La locandina del film “The interview”, attaccato dai cyber crime e ritirato dalla Sony. Il 23 malware, e altre simidicembre 2014 Sony annuncia che il film verrà comunque proiettato in circa 200 sale indipendenti litudini con precedenti degli Stati Uniti d'America, mentre a partire dal giorno successivo il film viene pubblicato operazioni attribuite al in Europa On Demandsu varie piattaforme a noleggio come YouTube, Google Play e Xbox regime di Pyongyang e Live. In Italia è stato distribuito direttamente sferrate per esempio in DVD il 25 marzo 2015 (Foto Sony Pictures Entertainment) verso gli odiati vicini

del Sud a marzo dell'anno scorso. Una serie di punti che però non convincono per niente gli esperti, a loro volta divisi sulle motivazioni. "Sulla base di prove forensi e di altre che abbiamo raccolto è certo che (i nordcoreani, ndr) non sono responsabili di aver orchestrato o avviato l'attacco alla Sony" ha per esempio dichiarato alla Cnn Sam Glines, che gestisce l'azienda di sicurezza informatica Norse. La leva di questa posizione è che il codice utilizzato sarebbe già noto da tempo e chiunque avrebbe potuto utilizzarlo e modificarlo. Ma ora l’accusa diretta alla Corea del Nord da parte dell’FBI ha innescato una crisi diplomatica che non è stata ancora del tutto placata. Le reazioni sono simili a quelle del 2011 quando l’attacco informatico sponsorizzato dal governo cinese ai danni degli utenti di Gmail provocò lo scontro tra Google e Cina che coinvolse anche il Dipartimento di Stato americano, costringendo così la signora Clinton ad intervenire in difesa del provider statunitense. Secondo il Financial Times, la scelta della Sony Pictures di sospendere la proiezione del film avrebbe rappresentato un precedente di legittimazione per il cyber crime con il rischio di scatenare un’ondata di attacchi copione. Infatti, “il ritiro del film, accompagnato alle minacce di attacchi terroristici da parte di gruppi di hacker, potrebbe ispirare altri criminali e mettere a rischio altre società a Hollywood e non solo”. Per Stuart McClure, fondatore e amministratore delegato di Cylance, una società dedita alla sicurezza informatica, la decisione della major avrebbe significato la “resa al terrorismo”. Attenzione però a paragonare il caso Sony a una guerra cyber, dove non ci sono stati né danneggiamenti fisici contro infrastrutture critiche né tantomeno sono stati colpiti target classificati come obiettivi di “interesse nazionale” non solo è fuorviante, ma rischia di creare un’escalation ingiustificata. Quello che rimane invece è una riflessione sulla protezione dei dati, sulla protezione della privacy da parte delle aziende e un rispetto dei diritti fondamentali da parte dei governi. In questa nuova era in cui i confini sono virtuali è necessario rivedere ed ampliare i diritti dell’individuo, e per farlo occorrono le regole. Il Professor Yvo Desmedt della University of Texas at Dallas, intervenuto recentemente al convegno “Cyber Security & Privacy: come garantire la sicurezza senza ledere la privacy?” sostiene in pieno questa tesi. Tecnologie più affidabili e robuste, regole certe e valide per tutti sono la base, altrimenti non avremmo altra scelta, ha detto Desmedt, che ”buttare il cellulare, rinunciare al laptop, non usare servizi su cloud e non conservare nessuna informazione sensibile su digitale. MALWARE Nella sicurezza informatica il termine malware indica un qualsiasi software creato allo scopo di causare danni a un computer, ai dati degli utenti del computer, o a un sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato di "programma malvagio"; in italiano è detto anche codice maligno.

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

N

elle ultime settimane sono stato chiamato ad esaminare alcuni casi di “incidente informatico” provocati da ramsonware. Rientrano sotto questa categoria di malware tutti quei programdi M. C. Spada mi che, quando vanno in esecuzione, provocano il blocco delle attività della macchina della vittima e richiedono una qualche forma di riscatto (da cui appunto deriva il nome ramsonware) per ottenere il ripristino del normale funzionamento. Purtroppo abbiamo assistito ad un’evoluzione di questi malware dalle prime versioni che si limitavano a bloccare l’operatività del computer alle ultime varianti che eseguono la crittografia di tutti i file accessibili dalla vittima sia che si trovino nelle memorie di massa interne al computer che sui server raggiungibili in rete. “Cryptolocker” è il nome di uno dei primi di questi temuti malware ed è ormai quello che nel lessico corrente li identifica, ma sono frequenti e famose altre varianti i cui nomi sono “Cryptowall” e “CTB-Locker”. Le caratteristiche che fanno più temere questa minaccia sono l’impossibilità pratica di decrittare i file alterati e l’impossibilità di identificare i beneficiari del riscatto (e quindi i colpevoli). I malviventi (non trovo definizione più appropriata) che li hanno sviluppati impiegano degli algoritmi di crittografia con chiavi complesse ed estese e si “coprono” utilizzando per il pagamento delle transazioni che richiedono il trasferimento di “bitcoin”. Di conseguenza non c’è speranza alcuna di recuperare i file “colpiti” né con la decrittazione né rintracciando i responsabili. Con una semplice ricerca su Internet possiamo trovare una gran quantità di notizie relative a casi di questo tipo che non hanno risparmiato nessuno colpendo, fra l’altro, molte pubbliche amministrazioni. Assistendo a questo fenomeno, una prima doverosa osservazione che mi viene spontanea è che c’è da aspettarsi che questa tipologia di crimine sia destinata a diffondersi ulteriormente e ad assumere forme sempre più sofisticate nei vettori di propagazione. Questo perché banalmente il “gioco” funziona: la vittima trovandosi a dover scegliere se subire un danno difficilmente quantificabile e, con ogni probabilità, superiore al riscatto preteso finisce con il soccombere all’estorsione pagando quanto richiesto. Purtroppo però questo consente la raccolta di fondi che potrebbero essere usati dai criminali per finanziare le loro attività di “ricerca e sviluppo” per migliorare e potenziare le loro armi. Una seconda osservazione riguarda proprio le attuali modalità di diffusione di questi attacchi. Nella maggior parte dei casi il malware è contenuto in un file allegato ad una email. Il malcapitato viene indotto a scaricare l’allegato e ad avviare il programma contenutovi dal testo ingannevole della email. Il fatto è che ad un esame (neanche troppo) attento del testo della email appare quasi sempre evidente che questa non corrisponde ad una comunicazione “normale”. Pertanto basterebbe fornire sia agli utilizzatori dei sistemi che ai gestori delle infrastrutture IT una corretta

formazione sulla gestione delle comunicazioni per mitigare in modo significativo il fenomeno. Ma l’osservazione preliminare più importante riguarda la fallacità delle procedure di backup esistenti a fronte di questa specifica minaccia. È fin troppo evidente che un piano appropriato di esecuzione dei backup possa contenere l’entità del danno subito. Ma nei casi che ho avuto modo di esaminare, le strategie di backup poste in essere sono risultate inefficaci e - in almeno due casi - sono state vanificate dagli errori commessi nella reazione degli operatori IT. Senza entrare nel merito dei casi specifici, volevo quindi qui fare alcune puntualizzazioni proprio sulle strategie di backup (e sulla formazione degli operatori) anche perché sono rimasto molto colpito dalla banalizzazione che contraddistingue la maggior parte dei commenti fatti a questo riguardo negli articoli e nei blog che trattano l’argomento. Nella maggior parte dei casi si enfatizza la mancanza delle “semplici” ed “economiche” copie di backup dei dati che, a detta dei commentatori, avrebbero permesso di evitare ogni danno (di perdita dati, di perdita di operatività, di mancata erogazione del servizio ecc…). È mia opinione, invece, che le strategie di backup non siano per nulla banali, ma al contrario richiedano un attento processo di progettazione, posa in opera, verifica e modifica/miglioramento secondo il classico schema del ciclo di Deming e che sia necessario affidare il compito di seguire tale processo a professionisti. Vediamo perché. Iniziamo con il considerare che la parola backup in inglese ha il significato originale di “rinforzo” o “sostegno”. In italiano viene resa con una locuzione nominale come “copia di sicurezza” che non è una definizione precisa, ma indica approssimativamente l’attività a cui ci si riferisce. Dire “copia di sicurezza” ha esattamente lo stesso valore che ha un’espressione del tipo “mezzo di trasporto”: senza un’analisi adeguata delle esigenze del mio cliente potrei pensare di farlo felice procurandogli una Ferrari, salvo accorgermi a posteriori che poiché questi intendeva muoversi nei canali di Venezia avrebbe invece preferito una gondola! Dobbiamo inoltre considerare che il backup viene usato in caso di “incidente informatico” per mitigarne le conseguenze. Non si può pensare che un sistema di rinforzo possa eliminare totalmente le conseguenze di un “incidente” consentendoci di superarlo indenni. Sarebbe come pretendere di non subire danni lanciandosi a tutta velocità contro un muro con un’auto ritenuta sicura perché classificata 5 stelle EuroNCAP. Quindi l’aspettativa non può essere quella di uscire dall’incidente senza alcun danno come troppo spesso si pensa sia possibile, solo per il fatto di avere a disposizione una qualche forma di backup. Bisogna anche considerare che all’aumentare della complessità del sistema IT corrisponde un aumento non proporzionale, ma maggiore, della complessità delle strategie di backup; alla quale contribuiscono significativamente: i tempi di esecuzione, i problemi di trattamento dell’atomicità delle informazioni (che può essere a livello di filesystem, di database, o di transazioni), i problemi derivanti dalle interdipen-

INNOVAZIONE

Cryptolocker, Backup, ISO/IEC 27001:2005

11

INNOVAZIONE

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

denze dei software (sia a tempo di esecuzione che in fase di ripristino), le dimensioni dei supporti di memorizzazione da impegnare e i tempi necessari per il successivo ripristino. La risposta del progettista a tutte queste criticità non può che passare per un’analisi accurata delle esigenze. Queste devono essere classificate per priorità assegnando un costo al danno stimato qualora il fatto si verifichi. Per ciascuna delle criticità elencate va individuato l’intervento da porre in essere per superarla e il costo relativo. E ancora, per ogni criticità va valutato il coefficiente di rischio o la probabilità che questa si verifichi. È inoltre necessario formalizzare un piano di revisione periodica delle strategie di backup prevedendo un piano di verifica periodica delle procedure con la simulazione dell’incidente. In pratica con queste indicazioni ci sovrapponiamo in parte alle indicazioni previste dalla norma ISO 27001 (information security management). In conclusione l’implementazione di una strategia di backup, non può e non deve essere considerata un banale intervento da gestire con il semplice acquisto di un prodotto commerciale da comprare, installare e configurare con pochi click. Si tratta piuttosto di un processo, che va pertanto affrontato con una attività preliminare di analisi alla quale devono seguire un’attenta progettazione e un’implementazione precisa che dovrà essere sottoposta a collaudo e successive verifiche periodiche. Il personale incaricato di condurre il sistema e di intervenire in caso di incidente deve essere sottoposto a training specifico per evitare errori che potrebbero vanificare il processo. Anche l’utenza dei sistemi IT deve essere formata

affinché alcune tipologie di rischio possano essere mitigate all’origine, pertanto la pianificazione e l’attuazione delle attività di formazione deve essere completa e approfondita e non può essere trascurata. Ogni modifica architetturale, di impiego del sistema IT o nel personale addetto deve comportare una revisione del progetto e, se necessario, deve prevedere una integrazione della formazione. Infine va sottolineato che i costi degli interventi fin qui individuati non possono che essere commisurati alla complessità dell’infrastruttura e delle strategie conseguentemente adottate; non vanno pertanto, come spesso accade, sottostimati destinando loro solo le “briciole” del budget assegnato al settore IT. Probabilmente è per questi i motivi che, soprattutto nelle piccole PA, ci si deve aspettare che casi come quelli sopra richiamati siano destinati a ripetersi ancora per parecchio tempo. Di seguito il link ad alcune notizie di cronaca relative a pubbliche amministrazioni colpite e danneggiate da ramsonware: Comune di Belgioioso (PV) Comune di Trevenzuolo (VR) Comune di Modica (RG) Comune di Cuneo Comune di Fano Comune di Bussoleno (TO) Comune di Casalmaggiore (CR)

Sopra - La schermata a cui si sono trovati di fronte gli utenti colpiti da CryptoLocker. Il messaggio comunica in maniera inequivocabile la necessità di procedere con un versamento di 100 euro per poter riprendere possesso dei propri dati, pena la perdita degli stessi. Il riscatto è a ccompagnato da una scadenza temporale.

12

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

Q

uesta volta voglio proporvi una breve storia … di una categoria di software. Software? Certo, perché, non dobbiamo dimenticarlo, anche di software è fatta la nostra cultura. Avevamo parlato di M. C. Spada di algoritmi nel numero 7, abbiamo visto due ritratti di figure di rilievo nei numeri 6 e 11 e abbiamo parlato di hardware in tre numeri consecutivi e avremo certamente occasione di tornare su ciascun tema giacché si possono scrivere interi tomi sulle tante persone che hanno fatto la storia dell’informatica, sulle teorie sviluppate e sulle macchine che sono state realizzate. E naturalmente, in parallelo a tutte queste “storie” si sviluppa anche quella del software fra le cui molteplici forme si annovera anche quella del “malware”. Questo nome deriva dall’unione delle parole “maliciuos” e “software” ed indica un insieme di varie tipologie di programmi che hanno in comune la caratteristica di avere funzioni o effetti indesiderati dall’utente che li esegue (spesso inconsapevolmente) sulla propria macchina. I malware sono oggi oggetto di grandi attenzioni da parte degli esperti e dei ricercatori nel campo della sicurezza informatica perché negli ultimi anni hanno raggiunto enormi potenzialità di arrecare danno alle potenziali vittime; fino a costituire, come vedremo in casi molto particolari, anche una minaccia all’incolumità fisica delle persone. Per prima cosa facciamo una breve classificazione dei malware. Annoveriamo in questa famiglia i “virus” che sono parti di programma in grado di auto replicarsi diffondendosi in uno o più sistemi inserendosi all’interno di altri programmi. Poi abbiamo i “worm” che come i virus hanno la capacità di replicarsi, ma che sono autonomi e non necessitano di altri software che gli facciano da vettore. Diversa la natura dei “trojan horse” (più brevemente trojan) che si presentano come programmi “apparentemente graditi” all’interno dei quali sono nascoste funzioni dannose o indesiderate (ricordando l’episodio omerico del cavallo di Troia). Abbiamo poi molte altre categorie di malware che vengono veicolate dalle precedenti e che hanno funzioni specializzate. Gli “spyware” e i “keylogger” spiano e raccolgono dati da sottrarre al malcapitato. Le “backdoor” e i “rootkit” servono a consentire l’accesso remoto o il controllo remoto della macchina da parte di terzi non autorizzati identificabili come l’attaccante, il criminale informatico o più iconograficamente il “pirata informatico”. I “dialer”, oggi quasi scomparsi, che al tempo delle connessioni Internet con modem consentivano facili e diretti guadagni modificando il numero di telefono da chiamare per la connessione (che veniva dirottato su servizi ad altissimo costo o su utenze internazionali). Infine cito gli “hijkacker” che dirottano la navigazione spostando l’utente su pagine Internet non desiderate, gli “adware” che iniettano pagine pubblicitarie nella navigazione e le “fork-bomb” che bloccano il computer saturandone tutte le risorse di calcolo. Questa breve panoramica non è esaustiva, ma dovrebbe essere sufficiente ad evidenziare che il termine “virus” che viene ancora troppo spesso utilizzato per indicare tutto il

malware, non solo ne rappresenta un sottoinsieme, ma praticamente ne è di fatto un antenato. L’idea del “virus” viene concordemente attribuita a John von Neumann (autore anche del modello architetturale di computer che porta il suo nome) nell’ambito dei suoi studi sulla macchina auto replicante effettuati negli anni ’40 e pubblicati in “Theory of Self-Reproducing Automata”1, testo completato nel 1966 da Arthur W. Burks dopo la morte di von Neumann. Per trovare una prima implementazione pratica bisogna attendere il 1971, quando un worm denominato “Creeper” si diffuse sui sistemi mainframe PDP10 della DEC con sistema operativo Tenex. Per “debellare” il Creeper fu scritto un altro programma, denominato “Reaper” che lo cancellava e che per questo viene da molti considerato come il primo antivirus, ma che curiosamente si replicava anch’esso funzionando come un worm. È di qualche anno dopo (19742 o 19783 a seconda della fonte) per IBM System/360 la prima fork-bomb denominata “wabbit” il cui più elegante discendente è rappresentato dalla linea di codice per Bash : (){ :|:& };: che è tanto criptica quanto devastante! Sempre negli anni ’70 (1975), questa volta su sistema UNIVAC 1108, abbiamo la comparsa del primo trojan “Animal”; si presentava come un gioco di abilità ma in realtà, dietro le quinte, si replicava in tutte le directory locali e remote e sui nastri. All’inizio degli anni ’80 con la prima diffusione dei personal computer appare Elk Cloner per Apple II a cui va riconosciuta la menzione come primo virus con diffusione su larga scala utilizzando come vettore il floppy disk. Nel 1983 abbiamo l’introduzione del termine “virus informatico” da parte di Fred Cohen che la usò in un paper accademico per indicare i programmi in grado di modificare il codice di altri programmi per includervi una propria copia eventualmente più evoluta. Negli anni immediatamente successivi compaiono i primi virus distruttivi per PC come “Gotcha” e “Surprise” (che cancellano i dati dall’hard disk) e l’italiano Ping Pong che si manifesta come una pallina che distrugge l’immagine dello schermo rimbalzando da un lato all’altro. Nel 1984 Ken Thompson (autore di UNIX con Dennis Ritchie) pubblica un articolo in cui descrive una modifica del compilatore C che provoca l’inserimento di una backdoor nel comando login dello UNIX durante la compilazione così che la funzione di backdoor non risulti in alcuna parte del codice sorgente. La primogenia dei virus per i PC IBM compatibili è riconosciuta al “The Brain” del 1986 che infetta direttamente il settore di boot dei floppy disk. La cosa più curiosa di questo virus è che nel codice riporta gli autori e il loro recapito perché questi lo realizzarono come ritorsione per l’uso di copie non licenziate di un altro loro software. Ad oggi risulta essere l’unico malware con firma e informazioni di contatto dell’autore! La tecnica dell’infezione del settore di boot si estende ai computer Amiga nel 1987 con il virus SCA che provoca una pandemia e sempre in quest’anno si registra, con il “Christmas Tree”, il primo malware replicante su rete Internet che paralizzò intere reti. Anche il nuovo System degli Apple Macintosh conosce le sue prime pandemie con le ver-

STORIA e CULTURA

Breve storia del Malware, evoluzione dagli inizi ad oggi

13

STORIA e CULTURA

Ingegneria dell’informazione - Notizie dalla commissione n. 12, luglio 2015

sioni di nVir. L’anno successivo 1988 vede l’apparizione del primo worm su Internet denominato Morris dal nome dello studente Robert Tappan Morris che lo scrisse per misurare l’ampiezza di Internet, causando come effetto collaterale massicci DoS (denial of service). Secondo alcune fonti sarebbe anche il primo programma noto che presenta le tecniche di attacco alle vulnerabilità di tupo “buffer overflow”. Sempre nel 1988 appare per Atari un “virus construction kit”, cioè un ambiente dedicato espressamente allo sviluppo di virus. Con AIDS del 1989 assistiamo alla nascita dei ramsonware, questo trojan distribuito nei floppy disk con le informazioni sulla campagna anti AIDS, dopo 90 riavvi cifrava l’hard disk e chiedeva un riscatto per il codice di decifrazione. Nel 1990 Mark Washburn partendo dal codice del virus Vienna di qualche anno prima realizza la prima famiglia di virus polimorfi, cioè in grado di modificarsi a ogni replica per sfuggire agli antivirus. Possiamo quindi dire che all’alba degli anni ’90 erano già state poste le basi per tutte le tecniche di realizzazione e diffusione del malware. Gli anni successivi vendono fondamentalmente un progressivo miglioramento nella realizzazione anche in contrasto ai software antivirus, vedono un ampliamento dei vettori di contagio attraverso lo sfruttamento delle più svariate vulnerabilità dei sistemi e vedono l’introduzione dell’uso dei linguaggi interpretati come accade nei macro-virus per gli ambienti office. Con gli anni 2000 e la diffusione sempre più massiccia di Internet si esce definitivamente dall’età della sperimentazione. Ormai gli aspetti teorici sono ampiamente documentati e vari soggetti si attrezzano per sfruttare le varie forme di malware con finalità economica (crimine informatico o crimine per mezzo di strumento informatico) e militare. Va da sé che le agenzie di intelligence dei governi non abbiano trascurato

questi strumenti, al punto che oggi il ciberspazio viene considerato un nuovo dominio di guerra4. Appartiene a questa ultima generazione il worm Stuxnet, in grado di modificare il funzionamento delle schede di controllo delle centrifughe per l’arricchimento dell’uranio che nel 2010 colpì pesantemente l’Iran. Mentre sul fronte della criminalità informatica si assiste ad una sorta di industrializzazione di processo ove varie figure con specializzazioni molto verticali sono conivolte a più livelli dalla produzione alla veicolazione del malware e dallo sfruttamento economico al riciclaggio dei proventi; il tutto in organizzazioni piramidali che richiamano molto le strutture delle mafie tradizionali. Purtroppo lo spazio di questo articolo non è sufficiente a riportare le centinaia di fatti, aneddoti ed episodi che hanno determinato la storia del malware, quindi non ha la pretesa di essere completo. Se qualcuno dei lettori vuole approfondire, il web è un’ottima fonte di notizie e articoli. Oltre alle citazioni già richiamate nel testo voglio proporre questa bella presentazione di Davide Gabrini https://prezi.com/ xwzwelwworsv/storia-del-malware/ che passa in rassegna le pietre miliari della storia del malware e a cui mi sono ispirato per la cronologia insieme alla pagina di Wikipedia: http:// en.wikipedia.org/wiki/Antivirus_software. 1

http://cba.mit.edu/events/03.11.ASE/docs/VonNeumann.pdf

2

http://ghost1227.com/2014/08/fork-fork/

3

http://infocarnivore.com/the-very-first-viruses-creeper-wabbit-andbrain/ 4 http://www.airpressonline.it/4688/cyberspace-operationspentagono/

Sopra, la diffusione di Stuxnet - L’infezione inizia da una chiavetta USB e si diffonde verso tutti gli altri computer presenti sulla rete privata in cui si trova.

14

Ingegneria dell’informazione Notizie dalla commissione

Diamo i numeri

LINK UTILI www.ording.pv.it Sito Ordine Ing. di Pavia

Secondo il rapporto DESI 2015, l’Italia ha collezionato uno score pari a 0.36, collocandosi così al 25° posto tra i 28 Paesi UE. Nonostante siano stati fatti importanti passi in avanti nel corso degli scorsi anni, le imprese italiane fanno registrare ancora un forte gap sulla digitalizzazione dei propri processi di business: un’importante spinta potrebbe arrivare, per esempio, da un maggiore ricorso all’e-Commerce.

groups.google.com Gruppo Google OICIPV www.inginformazione.it Sito CIII www.cii-croil.it Sito collaborativo CII-CROIL

L’Italia cade così nel cluster dei Paesi a bassa performance, all’interno del quale fa registrare un valore inferiore alla media del cluster stesso (siamo più scarsi della media degli scarsi). Possibile che non si riesca mai a migliorare? Se si scorre il report italiano, si può notare che la maggior parte degli indici ha registrato un miglioramento rispetto all’anno precedente, tranne per questi indici:   

% delle persone che hanno usato Internet negli ultimi 3 mesi (età 16-74) % aziende (no settore finanziario, con 10+ impiegati) che hanno adottato la fattura elettronica Moduli precompilati nell’ambito dell’e-Government

E’ evidente che, se da una parte si continua a pagare il gap accumulato negli anni precedenti, dall’altra non riusciamo a crescere altrettanto velocemente di altri Paesi. Tuttavia risultiamo al 9° posto per l’adozione degli Open Data e al 15° posto per quanto riguarda la digitalizzazione dei Servizi Pubblici.

Fonte: DESI 2015 @ http://ec.europa.eu/digital-agenda/en/news/desi-2015-country-profiles

Prossimi incontri CII 22/07/2015 24/09/2015 05/11/2015 17/12/2015

ore 21:00 ore 21:00 ore 21:00 ore 21:00