Cosa ci insegna il furto (di dati) da Twitch

Questa settimana è piuttosto difficile non parlare di quanto è successo a Twitch. Se qualcuno era distratto l'emergente social è incappato in un disastroso furto di informazioni. Non è certo se prima di rendere pubblici i dati sottratti chi ha colpito abbia chiesto un riscatto (probabilmente no), di fatto gli autori dell'exploit hanno dichiarato che si è trattato di una ritorsione verso il social per il suo atteggiamento censorio e poco aperto. In ogni caso è finito sulla pubblica piazza qualsiasi dato avesse la piattaforma, dalle utenze degli iscritti ai ricavi degli influencer, comprendendo «qualsiasi altra proprietà posseduta da Twitch».

Storia preoccupante, ma tutto sommato poco interessante perché non aggiunge nulla di nuovo a uno scenario molto chiaro: la Rete è fragile e quindi di queste situazioni ne vivremo a migliaia, come dire gli incidenti stradali accadono e fanno parte del gioco. Tuttavia può essere utile capire come possa essere successo che un'azienda che sopravvive sulle sue attività on line sia stata "messa in ginocchio" da un attacco informatico. Proviamo a fare delle ipotesi.

La prima. Un attacco così in profondità in realtà riguarda il suo fornitore di servizi. Twitch si appoggia sui sistemi della sua proprietà ovvero Amazon. Per quanti non lo sapessero, l'azienda di Jeff Bezos, attraverso AWS, è probabilmente il più grande fornitore di servizi di cloud computing del mondo. Se il problema fosse così radicale vi posso garantire che Twitch sarebbe l'ultimo dei nostri problemi, perché le aziende di mezzo mondo utilizzano questi servizi. Fortunatamente dal disastro del social non si sono verificati fatti ben più apocalittici, di conseguenza possiamo provare a escludere l'eventualità.

La seconda. A compiere il misfatto è stata una "talpa" interna. Si tratta di una eventualità che non può essere ignorata e riproporrebbe con forza il tema del ruolo dell'elemento umano in tanti incidenti di sicurezza. La terza. Tutte le aziende del mondo fanno dei test sulle loro applicazioni prima di "ufficializzarle". Per fare in modo che siano attendibili creano una copia esatta degli ambienti disponibili al pubblico, dati compresi, in modo che le prove effettuate siano attendibili. Per qualche strana ragione questi sistemi, pur essendo raggiungibili da remoto, non sono soggetti alle stesse misure di sicurezze di quelli che sono considerati la produzione. La presunzione che siano nascosti ai motori di ricerca e magari protetti da una qualche forma di autenticazione, produce un senso di "falsa sicurezza", aggravato dall'idea che le misure di sicurezza rendono il lavoro dei programmatori più lento e difficile. Il risultato finale è che questi sistemi di test risultano particolarmente vulnerabili, perché in fondo si pensa che non si tratta del "vero Twitch", ma di una copia, quindi cosa potrà mai succedere... Peccato che i dati siano gli stessi dei sistemi on line e quello che può accadere è una intrusione con effetti devastanti.

Fatemi dire che questa prassi, purtroppo molto diffusa, sarebbe l'equivalente di fare i crash test di un'auto con a bordo un essere umano invece di un fantoccio. Vorrei che tutti iniziassimo a riflettere sul fatto che migliaia di aziende fanno i crash test con ognuno di noi a bordo dei veicolo... Non mi sembra una bella prospettiva.