I narratori hanno cercato di infondere una cultura della sicurezza informatica nei loro lettori fin dal Medioevo. Il principio di base è semplice: utilizzare i “casi” nei racconti popolari per creare rapporti reali. I report variano in dettaglio, naturalmente, ma una lettura attenta rivela una differenza fondamentale nell’approccio di presentazione di ogni autore.
I fratelli Grimm e Charles Perrault possono aver costruito le loro favole intorno agli incidenti informatici, ma Hans Christian Andersen ha prestato particolare attenzione alle tecnologie di protezione. Sembra che i Grimm e Perrault fossero finanziati da aziende specializzate in indagini sugli incidenti, mentre Andersen lavorava per un fornitore di soluzioni di sicurezza. Consideriamo alcuni esempi della sua produzione.
I cigni selvatici
L’introduzione a questa fiaba è abbastanza standard: un re appena rimasto vedovo sposa una regina malvagia che si rivela essere una strega, un eufemismo comune nelle fiabe per una minaccia interna. E, disprezzando i giovani principi, li codifica (li rende uccelli). Curiosamente, Andersen rivela che l’algoritmo di cifratura è difettoso, la matrigna cattiva cerca di cifrarli in formato big_birds_without_voice ma finisce con .swans.
Più avanti, il racconto descrive le prove della principessa e alcuni tentativi di contattare consulenti di cifratura di terzi, ma gran parte della storia riguarda come la principessa scrive manualmente 11 decifratori, uno per ciascuno dei suoi fratelli.
Il racconto narra di come intrecciò il codice di decifrazione con le ortiche che raccolse dal cimitero di una chiesa. La menzione del cimitero sembra alludere al linguaggio di programmazione C++ (i due segni più rappresentano le croci), che, non a caso, è stato sviluppato da Bjarne Stroustrup, connazionale di Andersen. Cioè, la principessa ha scritto i decifratori in C++.
Tuttavia, Andersen rimane imparziale, lo vediamo con l’ultimo decifratore, che contiene un errore, lasciando alcuni dei file dell’ultimo fratello cifrati.
La principessa sul pisello
La favola “La principessa sul pisello” sembra un po’ un report sull’implementazione di un motore di analisi comportamentale medievale basato su sandbox. Forse Andersen l’ha scritta per qualche periodico specializzato, o come un whitepaper su una storia di successo.
In breve, la storia racconta di un principe che deve dimostrare che la donna che vuole sposare è una vera principessa. A tal fine, sua madre prepara uno spazio isolato e controllato (in altre parole, una sandbox), simulando la camera da letto della principessa. Nasconde un grilletto nel letto per provocare il normale comportamento della principessa, offuscandolo con 20 materassi spessi e letti di piume. Secondo l’ipotesi della madre, una vera principessa risponderebbe all’innesco anche in queste condizioni, mentre una finta principessa non se ne renderebbe conto.
Poi, il soggetto della ricerca, collocato nella camera da letto, ha risposto in modo appropriato alla prova, e così la madre del principe ha emesso il verdetto: è proprio una principessa.
Oggi, usiamo tecnologie di rilevamento comportamentale per rilevare un comportamento dannoso, piuttosto che da principessa. Il principio di base rimane comunque lo stesso. Per esempio, Kaspersky analizza il normale funzionamento di un computer in una rete aziendale e lo emula in uno spazio isolato per poi monitorare il comportamento di potenziali minacce.
L’acciarino magico
Ne “L’acciarino magico“, Andersen scrive di un hacker. Chiamato semplicemente il soldato, il nostro hacker usa una specie di comunicatore chiamato acciarino magico per contattare un gruppo criminale di cani mostruosi. I cani gli forniscono monete e un canale di comunicazione con la principessa, aggirando le restrizioni del governo. Inoltre, nascondono le sue attività criminali nel mondo reale eliminando fisicamente le persone indesiderate. In altre parole, è uno strumento dark-web, e il nome è chiaramente un riferimento a Tor.
“L’acciarino magico” è atipico sotto alcuni aspetti, principalmente nella scelta del protagonista. Gli eroi delle fiabe tendono ad essere personaggi positivi, o almeno evocano sentimenti di empatia. Qui il personaggio centrale, lungi dall’essere un eroe, è immorale fino al midollo.
Nel corso del suo racconto estremamente breve, il soldato truffa, deruba e uccide una vecchia donna che gli ha detto dove trovare il denaro, rapisce ripetutamente una principessa, fa fuori i suoi genitori così come i giudici e i consiglieri reali, e alla fine prende il potere. Andersen voleva chiaramente rappresentare l’uomo come un criminale.
Tornando al prisma della sicurezza delle informazioni, non siamo interessati all’acciarino in sé, ma piuttosto alle misure che i difensori del palazzo hanno usato per individuare dove e come il soldato entra in contatto con la principessa. La regina (notate che, come ne “La principessa e il pisello”, è la donna di famiglia che è responsabile della sicurezza delle informazioni a palazzo, è così che Andersen mostra quanto fosse importante il ruolo del CISO nel Medioevo) fa diversi tentativi per mettere a posto l’hacker.
In primo luogo, istruisce l’analista di minacce informatiche interno (a palazzo), una signora in attesa, per rintracciare manualmente l’indirizzo dell’intruso. La signora in attesa identifica correttamente la subnet che il soldato sta usando, ma il complesso sistema di offuscamento degli indirizzi le impedisce di determinare la macchina precisa. In altre parole, per mandarla fuori strada, uno dei cani segna i gateway circostanti con la stessa croce di gesso del gateway del soldato.
Il secondo tentativo è più sofisticato e di maggior successo. La regina inserisce un impianto nell’applicazione client della principessa: un sacchetto di grano saraceno. Durante la successiva sessione di comunicazione, l’impianto di grano saraceno segna i nodi intermedi attraverso i quali il cane esperto di informatica reindirizza il segnale alla “finestra del soldato”, cioè, direttamente al suo computer basato su Windows. Come risultato, il soldato viene rintracciato, arrestato e condannato a morte.
A differenza di “La principessa sul pisello”, tuttavia, questo è un racconto ammonitore, non una storia di successo. Un passante viene corrotto per consegnare il comunicatore al condannato, che arruola l’aiuto di tutto il gruppo criminale canino; alla fine, gli sforzi della regina sono stati vani.
I vestiti nuovi dell’imperatore
A completare la nostra selezione di racconti di Andersen sulle tecnologie di sicurezza delle informazioni è un altro famoso racconto, “I vestiti nuovi dell’imperatore“. Il racconto originale è chiaramente un articolo critico satirico sui ciarlatani, in questo caso, i venditori che elogiano la propria sicurezza informatica di prossima generazione basata su blockchain o AI.
Ne “I vestiti nuovi dell’imperatore”, il re stanzia dei soldi per sviluppare un vero e proprio sistema di cybersicurezza, ma gli appaltatori si limitano a sfoggiare delle presentazioni sgargianti a tema blockchain e a intascare il denaro. I consiglieri del re, non sapendo nulla della tecnologia e temendo di sembrare stupidi, confermano le sue grandi prospettive. Più tardi, un giovane ma apparentemente esperto pentito nota che il sistema di protezione reale non è semplicemente pieno di buchi, ma del tutto inesistente.
L’industria della cybersecurity si è evoluta parecchio dai tempi di Andersen. Le organizzazioni moderne che scelgono soluzioni di sicurezza dovrebbero essere guidate meno dagli slogan pubblicitari e più dai risultati dei test indipendenti.