La sicurezza dei nostri dati tra le nuvole digitali

Siamo costantemente immersi in un mondo digitale. Lo siamo talmente tanto che non ce ne accorgiamo più, e ormai consideriamo normali cose fino a pochi anni fa relegate nel mondo della fantascienza. Un mondo che, anche se la curva dell’evoluzione dopo l’impennata degli ultimi decenni sembra essersi un po’ appiattita, è in costante evoluzione. Prossima fermata, i computer quantistici e il quantum computing, tecniche che, se mai saranno implementate, faranno apparire gli attuali supercomputer delle obsolete, e soprattutto lentissime, calcolatrici. Vi è però un rovescio della medaglia in tanta efficienza e velocità: tutti i nostri sistemi di sicurezza diverranno obsoleti, e di conseguenza aggirabili più o meno facilmente. Il problema concernerà tutto il mondo digitale; dalle comunicazioni al cloud, quella nuvoletta virtuale in cui tutti noi immagazziniamo la miriade di dati che più o meno consapevolmente ogni giorno produciamo.

Ma questa è musica di un futuro ancora tutto da scrivere, se mai qualcuno lo scriverà (nel maggio 2023 IBM ha annunciato il progetto di sviluppare un computer quantistico entro il 2033. Il costo? 100 milioni di dollari). Ma esiste una data effettivamente certa? “Come per altri progressi in questo settore, è sempre questione di 5-10 anni”, ci ha spiegato non senza un filo di ironia Cesare Pautasso, Professore ordinario presso la Facoltà di scienze informatiche dell’Università della Svizzera italiana, perché i termini raramente vengono rispettati.

Tuttavia, studiosi e ricercatori già da tempo si stanno occupando e preoccupando di e per questa evoluzione. Ciò non toglie che per noi comuni mortali la questione non si pone ancora né, pare, si porrà per parecchio tempo. Per cui tanto vale occuparsi del presente e chiedersi se i nostri dati e il nostro cloud sono sicuri oppure no.

Il terzo incomodo

“Il problema è che ci sono tre attori in gioco: due che comunicano e il terzo che vuole intercettare la comunicazione” ci risponde Pautasso. Nel caso specifico, abbiamo il cloud, il nostro supporto digitale (cellulare, PC…) e Internet, che permette loro di comunicare, ma anche a chiunque altro di interporsi. Per gli esperti quindi “il problema della sicurezza è come garantire che le informazioni che abbiamo trasmesso all’interno del cloud restino confidenziali”.

Tutto facile? Neppure per sogno, perché le cose si complicano immediatamente, dato che “del cloud in realtà ci sono due versioni, una privata e una pubblica. Quella privata presuppone che tutto il sistema sia sotto il controllo della stessa organizzazione (ad esempio, se io sono all’università ho il controllo sui computer che si trovano sulle scrivanie e anche sul cloud)”. Quando invece il controllo del cloud è dato a una terza parte come Amazon, Google, Oracle o altri provider, “la responsabilità si divide: i dati che sono nel cloud dovrebbero continuare ad appartenere alle organizzazioni che li hanno generati, mentre l’infrastruttura del cloud appartiene ai fornitori del servizio. Quindi il modello cambia”.

Del resto, è anche una delle ragioni del successo del cloud – non c’è bisogno di fare grossi investimenti dato che si affitta lo spazio di cui si ha bisogno – tuttavia “dal punto di vista della sicurezza le cose si complicano”. Difficile dire quale dei due sistemi sia il migliore, perché “la sicurezza non si misura in numeri, come la velocità”, spesso è una questione di percezione e di fiducia. E in effetti “le aziende che vogliono vendere il cloud insistono sul fatto che essere sicuri è difficile”. È pur vero che queste aziende hanno a disposizione una miriade di esperti e ingegneri che lavorano appunto “per garantire la sicurezza di questi grossi centri cloud”, per cui in linea generale è possibile affermare che sono “molto più sicuri di ciò che si otterrebbe se qualcuno cercasse di farsi un sistema di sicurezza a casa da solo”.

La sicurezza assoluta, comunque, non esiste sia in un sistema, sia nell’altro. Ad esempio, i dati “possono sparire per, come dire, cause esterne dovute all’entropia dell’universo, nel senso che alla fine le cose si rompono” o, più seriamente, “per azioni intenzionali”. Ad esempio “una grande catena di attacchi informatici è quella che rende l’accesso a un sistema e ai suoi dati impossibile e poi chiede un riscatto per ripristinarlo. In inglese si chiama ransomware”. Questi attacchi possono anche “intercettare le comunicazioni o ottenere accesso a dati sensibili e poi minacciare di renderli pubblici se uno non paga”.

Al Professor Pautasso è successo una volta: “Avevo un database con dati scientifici che è finito in contatto con Internet. I dati sono spariti nel giro di un paio d’ore. Era rimasto un messaggino che diceva che se non avessi pagato questi dati sarebbero stati pubblicati”. La questione si è risolta da sola, perché “avevamo una copia di sicurezza. E poi dal punto di vista di uno scienziato questo è meraviglioso”, perché ogni ricercatore per definizione rende pubblico il suo lavoro, non tiene nulla di segreto. Tuttavia, “se questo fosse successo con una banca o con un’altra azienda sarebbe stato molto meno divertente”.

L’eternità dei nostri dati ridondanti, nel bene e nel male

Sull’eternità dei dati, invece, assistiamo a un “paradosso digitale, perché è molto difficile creare un sistema che garantisca che le informazioni che voglio cancellare vengano effettivamente rimosse e allo stesso tempo preservi nel tempo quelle più importanti”. Basta in effetti un piccolo accidente, come perdere la password di accesso, ed ecco che i miei dati diventano inaccessibili. Senza dimenticare che anche le aziende del cloud, come tutte, possono avere problemi o addirittura fallire, con conseguenze imprevedibili sui dati immagazzinati.

Di conseguenza per il Professor Pautasso l’unica “strategia per garantire l’eternità dei nostri dati è cercare di averne più copie possibili, sia in locale, sia nel cloud. E non solo in un cloud, ma in più cloud. Per preservare, la ricetta è la ridondanza”. In questo senso “ci sono soluzioni ingegneristiche molto interessanti che copiano, travasano, replicano i dati fra dischi, computer e data center diversi in tutto il mondo”, ciò che ci porta però all’altro lato del paradosso: “Se io creo questa ridondanza e voglio cancellare qualcosa, come faccio a essere veramente sicuro che tutto sia stato tolto in tutte le copie?”.

Insomma, i problemi sono molti e diversi. Ad esempio “un altro aspetto interessante riguarda la sovranità sui dati. Il cloud è un concetto astratto, una nuvola che non si sa bene dove sia, ma allo stesso tempo molto concreta, sotto controllo di aziende europee, americane, asiatiche, svizzere… C’è questa idea che su Internet ci sia una dogana che controlla e blocca l’accesso, ma la comunicazione tramite web è universale, per cui se i miei dati sono in Svizzera e non faccio qualcosa per impedire che vengano letti, poniamo dall’America, è ovvio che se ne potrà fruire”.

Il punto di svolta per la sicurezza è stato il caso Snowden, che ha rivelato “che se uno mette i dati nel cloud questi non sono più privati”, visto che il Governo americano aveva preso senza alcun limite tutto quello che vi era stato messo. Conseguentemente “da quel momento l’uso della crittografia è aumentato in modo significativo per rendere più difficili queste pratiche”.

Metti la crittografia, togli la crittografia

Crittografia che rischia tuttavia di finire, perlomeno come la conosciamo, a causa appunto, come si diceva all’inizio, dell’avvento in un futuro più o meno prossimo dei computer quantistici, “dotati di capacità di calcolo esponenzialmente più elevate di quelli attuali”. Possono fare in pochi attimi calcoli che le attuali macchine impiegherebbero anni a svolgere, cosa che permetterebbe loro di “decrittare tutti i dati criptati” con i sistemi attuali – pare che già oggi avvengano attacchi “Store now, Decrypt-later”, in cui gli hacker rubano dati con l’intenzione di decifrarli in futuro appunto grazie ad algoritmi post-quantum.

Questa è una delle linee di ricerca che si stanno svolgendo anche all’USI (l’esperto in materia è il professor Stefan Wolf), poiché i problemi potenzialmente derivanti dalla questione potrebbero essere molti e gravi. Pautasso ne cita solo uno, che interessa però tutti noi: “Se io avessi un computer che mi può decriptare tutte le transazioni con la carta di credito che avvengono su Internet, sarebbe la fine del commercio elettronico”.

Come detto, i computer quantistici, con la loro capacità di eseguire calcoli complessi in tempi molto brevi, potrebbero rendere obsoleti gli attuali algoritmi crittografici, che si basano sulla difficoltà di risolvere problemi matematici, e dunque rendere i nostri sistemi e le nostre comunicazioni vulnerabili agli attacchi informatici. Questo rappresenta una seria preoccupazione, poiché, oltre alla privacy e alle attività commerciali in rete, minaccia i dati nel cloud, dove vengono archiviate informazioni sensibili.

La crittografia post-quantistica (PQC) dovrà dunque offrire nuovi algoritmi crittografici per resistere a questi attacchi. Google, Apple e altre aziende digitali stanno già adottando misure e studiando, in collaborazione con i maggiori centri di ricerca mondiali, nuovi protocolli di sicurezza, siano essi puri o ibridi, ossia che combinano crittografia tradizionale e quantistica, un’altra area di ricerca promettente.

In ogni caso le aziende e le organizzazioni che utilizzano il cloud dovranno aggiornare le loro infrastrutture di sicurezza per integrare tecnologie post-quantistiche. La conformità alle nuove normative sulla sicurezza quantistica sarà per loro cruciale.

Una rubrica a cura di