Rigorosamente virgolettato perché quello che esiste certamente è il procurato allarme (fatto assai grave), la mia è invece una voluta storpiatura che riassume nel titolo dell’articolo quella sensazione fortissima che vive dentro di me e – a quanto pare – dentro molti altri colleghi, conoscenti, amici, esperti del settore IT / Cybersecurity / ecc.
Una tendenza, che dura ormai da anni, a ingigantire stronzate o – peggio – etichettare in malo modo persone ed eventi che andrebbero invece spiegati più chiaramente e senza necessità di catturare l’attenzione per via di mezzucci, per raggiungere e informare in maniera puntuale il pubblico dall’altro lato del monitor.
“Ha stato lo acher“
Ancora li ricordo con nostalgia gli anni del progetto H.A.N.C. (Hackers are not Criminals), un manipolo di volontari (poi diventati sempre di più) che aveva messo in piedi una organizzazione no-profit che si era posta come obiettivo primario la tutela del termine “Hacker” e della sua relativa Cultura (si trova ancora qualcosa sbirciando nella Wayback Machine).
Il tutto è cessato molti anni fa, storia travagliata e interesse scemato, ma limpida consapevolezza che non si potesse mettere sui piatti della bilancia un lamer e un hacker, soprattutto perché quest’ultimo, dopo aver scoperto la falla di un sistema, comunica con chi di competenza per permettergli di rimediare.
Black Hat Hacker, White Hat Hacker, Grey Hat Hacker, Blue Hat Hacker, Red Hat Hacker, Script Kiddie, Hacktivist, Social Engineering Hackers, Cyber Terrorist, Whistleblower, si tratta di definizioni (e potrei inserirne diverse altre) che probabilmente non hai mai sentito in vita tua, forse perché un giornalista di tipo generalista – o paventato esperto di settore – ha deciso (di sua sponte o in accordo con il proprio direttore o punto di riferimento) che scrivere “hacker” è più corto, più conveniente, attrae di più l’attenzione, è più esotico rispetto all’uso di “criminale informatico” (che no, non equivale assolutamente a dire hacker, non nella totalità dei casi almeno), perché di termini inglesi ci riempiamo quotidianamente la bocca, il Web e le testate.
Se sono criminali, la soluzione è scrivere criminali informatici. Anche perché, in buona parte dei casi, non sono nemmeno hacker.
— Stefano Zanero (@raistolo) August 16, 2021
Se a questo si aggiunge il sempre minore tempo a disposizione che la categoria giornalistica ha per la verifica delle fonti e il doveroso approfondimento, si ottiene un risultato potenzialmente esplosivo. Prima si pubblica, poi si allegano i dati reali e/o (raramente) si rettifica, quasi mai si chiede scusa.
I casi recenti di Accenture, Regione Lazio e via discorrendo insegnano: dare la colpa all’hacker (inteso come sconosciuto coperto da cappuccio della felpa e chino sulla tastiera del suo PC, figura battezzata tale a prescindere che lo sia realmente o meno, collettivamente riconosciuta) è sempre conveniente. Cosa si ottiene in questa maniera? Una quantità non meglio definita di articoli che riportano inesattezze, che tanto spesso danno la colpa a inesistenti hacker che hanno violato sistemi tutt’altro che difesi, dimenticandosi sempre che nella maggior parte dei casi la sigla PEBCAK (Problem Exists Between Chair And Keyboard) è mantra scolpito nella pietra sin dalla notte dei tempi.
Formazione, informazione, voler mettersi in discussione e tenersi informati in maniera corretta (e non tramite il cugino di qualcuno su Facebook, per dirne una), sono azioni che noi tutti possiamo fare, a prescindere che si abbiano tangibili competenze nello specifico settore di cui si vuole parlare o scrivere, perché – soprattutto nel ramo in cui lavoro (e per il quale ho studiato e continuamente mi formo) – non si finisce mai di imparare, tutto cambia quotidianamente e quasi si fatica a star dietro a ogni cosa (toglierei il quasi in realtà).
Accendere il cervello prima di aprire la bocca (e rileggere, quando si fanno correre le dita sulla tastiera) è ciò che può differenziare la persona ragionevole dal troll o dall’odiatore (hater). Spesso capita che una figura competente ma esasperata dalle continue inesattezze o “licenze poetiche“, voglia provare a imbastire un dialogo severo, fermo ma non scostumato con quelle figure che mettono la firma su pubblicazioni che arrivano agli occhi di moltissimi lettori (gli stessi lettori che poi con un passaparola on e offline raggiungono molte altre persone, ritoccando ulteriormente le versioni, spesso tendendo a peggiorare le cose), scontrandosi però con una scarsamente nascosta saccenza mista presunzione, una boriosità o una paventata qualifica che dovrebbe in qualche modo certificare l’assoluta qualità e inattaccabilità di quanto riportato.
No, non è così, non sempre almeno, perché a tutti capita di sbagliare, anche a chi può realmente vantare titoli di studio e pubblicazioni di rilievo (che nulla hanno a che fare con il sito web della testata giornalistica italiana di turno). Chiedere scusa e rimediare non è segno di debolezza, semmai il contrario, dimostra maturità e voglia di mettersi in discussione con chi – di quell’argomento – mastica qualcosa ed è in grado di dire la propria (argomentando) per segnalare delle inesattezze. E forse è proprio per questo motivo che vedere utilizzato il sito web di una nota testata giornalistica italiana per pubblicare un articolo di sfogo contro “questa brutta gente” ha quel sapore di “corro dalla maestra perché non sono capace di tenere testa alla discussione” (ilmanifesto.it/read-offline/520132/benvenuti-nellera-dellinvidia/pdf, in alternativa qui se dovesse sparire dalla circolazione).
Sia chiaro, non conosco personalmente il giornalista in questione, ma ritengo molto poco maturo il risultato di discussioni / attacchi (dipende dai punti di vista) ricevuti tramite il Social Network del cinguettante uccellino blu, molti dei quali più che leciti dato che si faceva riferimento a numeri, comunicati stampa e precise ricostruzioni stranamente mai comparse o riprese dalla stampa italiana ed estera (e questo è solo l’ultimo dei casi).
Panic button
Il problema quindi è principalmente raffigurato dal voler scrivere sensazionalismi che talvolta (spesso) non trovano riscontro nella realtà, alimentare una polemica che non fa null’altro che puntare il dito verso una figura mitologica, verso un complotto organizzato dai poteri forti, verso chiunque ci capiti a tiro, magari senza neanche le opportune verifiche del caso.
È ancora fresco il caso del certificato SSL scaduto sul sito web di Italia Cashless, il quale ha dato origine a un articolo talmente allarmistico da farmi quasi applaudire commosso anziché imprecare piangendo per l’assoluta inutilità dello stesso (se non vedi il tweet qui di seguito, fai clic qui).
*** #Cashback, “oscurato” il portale: cosa sta succedendo? Un messaggio allerta gli utenti sul rischio di vedersi rubare #password e numeri di #carte #italiacashless #cybercrime @Palazzo_Chigi @MEF_GOV @PagoPA #consaphttps://t.co/QA94MWaoeF
— mila fiordalisi (@milafiordalisi) August 18, 2021
Te la faccio semplice: il messaggio standard di allerta di Google Chrome, quello che compare per qualsivoglia sito web non fornisca un certificato SSL (HTTPS) valido e che riporta:
“Gli utenti malintenzionati potrebbero provare a carpire le tue informazioni da SITO-WEB-VISITATO.com (ad esempio, password, messaggi o carte di credito). Ulteriori informazioni“
(puoi arrivarci anche tu visitando un URL di test come expired-rsa-dv.ssl.com, o un altro che puoi prendere tu stesso dalla lista all’URL ssl.com/it/esempio-certificati-ssl-tls-validi-revocati-e-scaduti) ha fatto pensare (e scrivere!) che il sito web di Italia Cashless fosse stato oscurato, mettendo in pericolo dati così delicati come password e carte di credito.
No, sfortunatamente non sto inventando alcunché e l’articolo è ancora pubblicamente accessibile, con tanto di aggiornamento che si auto-incensa poiché, grazie a quanto pubblicato, il Governo è intervenuto risolvendo il problema. Stiamo parlando di un sito web che non tratta dati personali (a oggi), generare o aggiornare un certificato SSL gratuito di Let’s Encrypt richiede al massimo una trentina di secondi, non è il primo e non sarà l’ultimo sito web ad avere un certificato scaduto, poi rinnovato entro qualche giorno dal “problema“. No, non è un qualcosa per il quale il Governo dovrebbe dire “scusate, mi è scaduto il certificato“.
Direttore CorCom – Economia digitale, Innovazione e Telco 🙃
Lei e Alessandro Longo fan sembrare Arzanulla Richard Stallman https://t.co/lQo2RcmdnQ— Dr Hackenbush (@Novacula_Occami) August 19, 2021
Il problema è che – chi professa di scrivere e conoscere profondamente le materie legate alla sicurezza informatica e più in generale alle tecnologie dell’informazione e della comunicazione (in acronimo TIC o ICT, dall’inglese Information and Communications Technology) – è talvolta il primo a non informarsi correttamente, a non ragionare a sufficienza, a essere precipitoso facendo figure di palta in maniera pubblica, continuando a percorrere la propria strada senza rendersi conto che, probabilmente, sarebbe stato sufficiente dire “Ho sbagliato, succede e chiedo scusa, cercherò di evitare ulteriori errori così banali in futuro“.
Non c’è (sfortunatamente) una vera e definitiva soluzione al problema, c’è sconforto più che altro. Io posso avere competenze e conoscenze per ciò che riguarda il mio settore (nonché mia grande passione da sempre), posso quindi rendermi conto delle tante vaccate che si riportano riguardo gli argomenti che posso smontare e rimontare a occhi chiusi, smentirle e proporre correzioni se necessario, cercando l’approccio più pacato ed educato (nonostante la voglia di tirare il PC portatile / smartphone fuori dalla finestra rimanga tanta).
Quello che non so assolutamente fare è dibattere nel dettaglio (argomentando e portando giuste conoscenze) di politica, di scienza, di finanza, di qualsiasi altra materia riportata dalle nostre testate giornalistiche quotidianamente, con la paura di aver letto e quindi assorbito in passato (e quindi anche oggi) chissà quante stronzate che non trovano riscontro nella realtà comprovata dei fatti.
Bisogna prendere tutto con le dovute pinze, preoccuparsi di approfondire consultando più fonti possibili, non fermarsi certamente ai titoli degli articoli (per lo più “cattura clic”), consultare reali esperti di settore se possibile, di quelli che si sporcano quotidianamente le mani e non solo coloro che campano di visibilità e di “anni di esperienza sulle spalle” vantato come punto focale del proprio biglietto da visita.
#StaySafe
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)