I falsi allarmi
Il 2 luglio, sia il Governo degli Stati Uniti, sia ISS (una compagnia che vende prodotti di sicurezza informatica) hanno comunicato una storia riguardante qualcosa chiamato “Defacers Challenge”. Apparentemente, migliaia di siti web sarebbero stati sottoposti a defacement il 6 luglio, come parte di un certo gioco. La stampa ha raccolto questa storia, che è stata presto trasformata in scoop internazionale. Noi a Counterpane abbiamo considerato tutto questo un’assurdità, ma quando i nostri clienti hanno cominciato a chiamarci, abbiamo dovuto pubblicare un comunicato.
Il 6 di luglio è arrivato ed è passato, e non è accaduto nulla. Ritengo che si sia trattato di uno scherzo.
Non che avessimo potuto fare qualcosa in caso contrario. Molte delle notizie e dei comunicati dicevano alla gente di assicurarsi che le proprie misure di sicurezza fossero aggiornate e che le patch fossero tutte recenti. Questo è un buon consiglio per ogni giorno dell'anno. Preoccuparsi per il 6 luglio non ha fatto sì che i siti web fossero meno attaccabili del solito.
Per anni l'industria della sicurezza ha cercato di sopravvivere basandosi sul cosiddetto FUD: fear, uncertainty, doubt (cioè paura, incertezza, dubbio). L'idea di base è che se spaventate i vostri potenziali clienti, questi compreranno i vostri prodotti. L'avidità e la paura sono due delle molle principali che spingono l'uomo, ed entrambe vengono continuamente sfruttate dagli esperti di mercato delle aziende e del governo. Il problema è che il FUD funziona solo per un po'. Alla fine la gente capisce che non c'è nulla di cui preoccuparsi. Alla fine la gente ignora gli avvertimenti. Quando si arriva a quel punto, le persone non tengono conto né degli avvertimenti reali, né di quelli presunti.
Prevenire il FUD è difficile. Anche i più esperti fra noi hanno dovuto affrontare la storia della Defacers Challenge. Alcuni reporter ne hanno parlato perché è una specie di storiella interessante, e poi si sono aggiunti tutti gli altri. Ricordo di aver parlato con un reporter. Mi ha detto che all'inizio aveva ignorato la storia, capendo che si trattava di FUD. Ma quando altri giornali hanno cominciato ad occuparsene, il suo editore gli ha ordinato di scrivere qualcosa a riguardo. Non importava che non si trattasse di una notizia vera; era una notizia solamente perché altri ne parlavano.
In qualche strano modo, la stampa ha reso la minaccia reale. Migliaia di aspiranti defacer, che non avrebbero mai sentito di questa Defacers Challenge, lo hanno saputo dai giornali. “Sembra divertente”, avranno pensato.
Di recente ho letto parecchi articoli riguardo al perché l'industria della sicurezza informatica sia in depressione. Pare che la gente non stia acquistando quei nuovi prodotti di sicurezza tanto belli e carini. Vi sono decine di ragioni per questo, ma il FUD è una delle principali. Abbiamo minacciato gli acquirenti parlando dei grossi pericoli di Internet. Abbiamo promesso agli acquirenti che -- stavolta per davvero -- i nostri prodotti avrebbero risolto tutti i loro problemi. Ma sapete che è successo? Che gli acquirenti si sono fatti più cinici. Hanno notato che non è poi così male, là fuori. Hanno notato che i problemi rimangono, sia che comprino, sia che non comprino i prodotti.
Ecco il mio suggerimento per chiunque cerchi di vendere la sicurezza informatica: dimostrate valore. Dimostrate il ritorno di investimento. Dimostrate che i vostri prodotti permettono ai vostri clienti di migliorare la gestione dei rischi. Il FUD non funziona più ormai. Non vende nulla, e non fa altro che irritare i possibili clienti.
Purtroppo, il Governo statunitense dovrà imparare questa stessa lezione. Dalla tragedia dell'11 settembre, il Dipartimento della Sicurezza Nazionale ha innalzato il livello di minaccia terroristica al colore arancio per due volte (credo). Ogni volta ci è stato detto di stare in guardia, ma di farci gli affari nostri. Ogni volta non è accaduto niente.
Gli attacchi terroristici sono rari, e se il livello cromatico di allarme cambia così, senza nessuna vera causa o effetto, allora la gente smetterà semplicemente di prestare attenzione. I livelli di allarme sono resi noti pubblicamente, per cui qualsiasi terrorista con un minimo di buonsenso aspetterà che il livello di minaccia torni a scendere.
L'esercito degli Stati Uniti possiede un sistema simile: DEFCON 1-5 corrisponde ai cinque livelli di allarme: verde, blu, giallo, arancio e rosso. La differenza sta nel fatto che il sistema DEFCON è legato a particolari procedure; le unità militari hanno delle azioni specifiche da compiere ogni volta che il livello DEFCON sale o scende. Il sistema di allarme cromatico, invece, non è legato ad alcuna azione specifica. Si lascia che la gente si preoccupi, oppure vengono date assurde istruzioni di acquistare rivestimenti plastici e nastro adesivo. Persino i dipartimenti di polizia e le organizzazioni governative locali non hanno idea di cosa fare quando cambia il livello di allarme.
I livelli di minaccia, in effetti, fanno più male che bene, creando inutilmente paura e confusione (che è un obiettivo dei terroristi) ed anestetizzando le persone rispetto ad allarmi e avvertimenti futuri. Se il sistema di allarme cromatico diventasse qualcosa di più definito (così che le persone possano sapere ciò che ha fatto cambiare i livelli d'allarme, che cosa ha fatto cambiare i livelli, che cosa significa il cambiamento e che cosa occorre fare di conseguenza), allora potrebbe essere qualcosa di utile. Ma anche in quel caso, la vera misura dell'efficienza risiede nella messa in opera. Ci deve essere un qualche risultato quantificabile, anche in assenza di attacchi. Basta gridare “al lupo” un po' di volte prima che la gente inizi ad ignorarvi.
Nota: un'ottima risorsa web per lo smascheramento del FUD è sempre stata Vmyths. Per anni, Vmyths è stata una voce saggia nella comunità per la sicurezza. Ora è possibile che il sito chiuda perché non è più in grado di finanziarsi. Se siete un'azienda alla ricerca di un *buon* rientro di immagine a livello di pubbliche relazioni, considerate l'idea di acquistare questo sito.
Gli articoli prima del 6 luglio:
<http://www.newsfactor.com/perl/story/21851.html>
<http://www.reuters.com/newsArticle.jhtml?type=internet
News&storyID=3029731> oppure <http://tinyurl.com/gyvj>
<http://www.securityfocus.com/news/6219>
Gli articoli dopo il 6 luglio:
<http://www.theregister.co.uk/content/55/31591.html>
<http://news.com.com/2100-1002_3-1023295.html>
<http://www.computerworld.com/securitytopics/security/story/0,10801,82811,
00.html?nas=SEC-82811> oppure <http://tinyurl.com/gd8d>
<http://www.sltrib.com/2003/Jul/07072003/monday/73270.asp>
<http://reuters.com/newsArticle.jhtml?type=technologyNews&storyID=3057682>
Il comunicato di Counterpane:
<http://www.counterpane.com/alert-t20030702-001.html>
Il comunicato di Vmyths sulla Defacers Challenge:
<http://www.vmyths.com/hoax.cfm?id=279&page=3>
Vmyths potrebbe scomparire:
<http://www.wired.com/news/infostructure/0,1377,59473,00.html>
Qual è l'opinione del Governo sul significato di quei livelli di allarme:
<http://www.whitehouse.gov/news/releases/2002/03/20020312-5.html>
