La guerra fredda digitale mostra tutta la fragilità delle reti di sicurezza

New York. La falla aperta quest’estate dagli hacker nei sistemi di sicurezza di JpMorgan, la più grande banca americana, è molto più profonda di quanto era stato originariamente raccontato. In agosto si parlava di un milione di account di clienti violati, ora i milioni sono diventati 76, a cui vanno aggiunti 7 milioni di conti correnti di piccole imprese. In un singolo attacco sono stati coinvolti più americani di quelli colpiti dalle infilitrazioni cibernetiche nelle catene Home Depot e Target, e i dati chiusi nelle eteree cassaforti della banca sono anche più sensibili di quelli conservati dai retailer. Si trovano numeri di carte di credito, ovviamente, ma anche social security number, informazioni sui movimenti di denari, sugli investimenti, sulle ramificazioni degli affari, una radiografia approfondita della vita di decine di milioni di clienti. La banca assicura che il furto di dati non ha avuto per ora nessuna conseguenza sui clienti, e l’assenza di un chiaro scopo economico segnala che il movente dell’azione è squisitamente politico. Nonostante il Cremlino abbia declassato le accuse a “nonsense”, è dalla Russia che provengono gli attacchi, risposta nemmeno troppo velata alle sanzioni con cui l’America ha punito l’aggressività di Vladimir Putin in Ucraina. Ieri il New York Times ha scritto che gli esecutori dell’attacco operavano dall’Italia, ma nel giro di poche ore è arrivata una correzione: gli hacker si trovavano più genericamente in “Europa meridionale”, non necessariamente in Italia, scrive il quotidiano.

La guerra fredda cibernetica arriva fino alle grandi banche, esponendo una correlazione paradossale dell’èra digitale: più i sistemi sono sofisticati più sono vulnerabili. I meccanismi di protezione digitale sono enormemente vasti e complessi, e questo li rende fragili, come una rete che cinge una proprietà di migliaia di ettari: è statisticamente più facile trovare un buco in un perimetro così vasto, e una manutenzione efficace è onerosa e complicata da gestire. Così può succedere che gli hacker riescano a penetrare nel sistema di JpMorgan non attraverso un pertugio sotterraneo, ma dall’entrata principale, un baco nel codice che una semplicissima patch avrebbe eliminato in pochi minuti, se soltanto gli addetti alla sicurezza se ne fossero accorti. Il ceo della banca, Jamie Dimon, riconosce che “gli attacchi stanno diventando ogni giorno più potenti e rapidi” e non s’illude: “E’ una battaglia infinita”. In palio c’è la merce che sovrasta e soggioga tutte le altre, denaro compreso: i dati. Il senatore Edward Markey, membro della commissione Commercio, dice che si tratta soltanto “dell’ultimo esempio di come le informazioni più sensibili degli americani sono minacciate”, e in effetti soltanto nell’ultimo anno sono stati violati più di 500 milioni di account soltanto in negli Stati Uniti, compresi quelli protetti da sistemi molto sofisticati come eBay e Adobe. Virus come Heartbleed permettono di ottenere password per accedere a server pieni di informazioni sensibili, mentre Shellshock, l’ultimo malware che ha terrorizzato gli ingegneri di mezzo mondo, permette di prendere direttamente possesso del server, senza disturbarsi a decrittare password. Una volta diagnosticata la malattia è facile debellarla, il problema è quanto tempo ci vuole per inquadrare il problema. A volte un intervento rapido non basta, i dati sono già finiti chissà dove.

Scelte strategiche

Questione di fragilità strutturale ma anche di scelte strategiche. JpMorgan spende 250 milioni di dollari l’anno per la sicurezza dei suoi dati ma, scrive il New York Times, “ha perso molti uomini del suo staff della sicurezza, che sono andati a lavorare per altre banche, e altri ancora sono in partenza”. Per espandersi le aziende devono affrontare crescenti costi per erigere invisibili muri di cinta adeguati alla difesa dei dati, e se c’è una cosa che le aziende sono restie a fare è investire in beni che non si vedono e non generano profitti. Che sia un problema comune a tutti e la natura degli attacchi sia politica può paradossalmente trasformarsi in una scusa per non ristrutturare le reti di protezione.