Ci sono paure ataviche. Quella del buio, ad esempio, che terrorizza i bambini; oppure quella del fuoco che intimidisce gli animali. Tra le angosce “storiche” per il cosiddetto “homo technologicus” c’è senz’altro il timore di restare isolati, di trovarsi “fuori servizio”. Non è un retaggio cronologicamente legato all’apparizione delle prime forme di vita sulla Terra, ma comunque – fatte le debite proporzioni – è un terrore che si è manifestato ai primordi della civiltà telematica indiscriminata (quella non d’élite).
Grazie a Tim Berners Lee, divenuto poi “baronetto” della corona inglese, tra il 1993 e il 1994 l’umanità comincia a popolare Internet grazie al world wide web. Nel 1997 (successe a Las Vegas nel corso del congresso Defcon, da sempre crocevia di briganti e di sapienti della computer security) qualcuno dimostra la fragilità delle autostrade dell’informazione e la possibilità di interrompere la “libera circolazione”. Il mondo perfetto si infrange e da allora si comprende la possibilità di dar luogo ad ingorghi capaci di non far giungere a destinazione chi vuole raggiungere un determinato sistema informatico presente online. Se nessuno può arrivarci, ovviamente anche chi normalmente lo utilizza si ritrova in condizioni di immobilità e di isolamento.
Questa dinamica viene etichetta “Denial of Service” e, con la sua “automatizzazione”, nel tempo antepone una “D” al suo acronimo. Diventa “Distributed” perché coinvolge anche risorse di soggetti estranei e inconsapevoli che hanno solo la colpa di avere un pc non particolarmente protetto e di averlo lasciato acceso anche in propria assenza. E’ la storia degli “zombie”, quella degli apparati che – vittima di contaminazioni virali informatiche – “ubbidiscono” agli ordini di un malfattore che ha pre-congegnato un particolare piano di azione. Quando la “macchina” si accorge di essere in stand-by, dimenticata dal suo legittimo possessore, inizia a fare quel che il bandito ha programmato per lei e – magari – si collega ad un sito formulando richieste (tutte preimpostate) che sommate a quelle di tanti altri apparati nello stesso momento finisce con il saturare la capacità di risposta.
Per capire meglio come funziona proviamo a immaginare un negoziante di scarpe che – trascorsa una vita in assoluto monopolio nella via del centro in cui ha le vetrine – vede aprire un esercizio concorrente proprio al di là della strada. Temendo l’eclissi commerciale, il venditore di calzature si ingegna. Va in visita in una affollata residenza per anziani autosufficienti e offre 10 euro a chi tra gli ospiti della struttura è disposto ad andare a misurarsi uno o possibilmente più paia di scarpe nel negozio di fronte al suo. Un esercito di uomini e donne non esita ad aderire ad una iniziativa che consente loro di impiegare il tempo libero in compagnia e per di più con una piccola remunerazione.
Per alcuni giorni chi ha inaugurato il suo “shop” si ritrova i locali intasati dagli arzilli visitatori prezzolati che – è fin troppo comprensibile – non consentono l’accesso a chi davvero ha intenzione di comprare qualcosa. Questa la traslazione materiale del tanto temuto Distributed Denial of Service che ha indotto l’Agenzia per la cybersicurezza nazionale a lanciare l’allarme temendo un “attacco” ai sistemi informatici pubblici che già l’allora ministro Vittorio Colao aveva impietosamente definito insicuri per il 95% del loro schieramento.
Esistono – ed è ovvio che esistano – numerose metodologie e tecnologie per “drenare” l’arrivo indesiderato di torme di disturbatori e quindi non si può certo considerare catastrofico il verificarsi di una simile evenienza. E’ invece catastrofico che i sistemi istituzionali non ne dispongano e che l’Agenzia cyber non abbia invitato i grand commis a dotare la rispettiva organizzazione di idonee contromisure. Il figlio del negoziante di scarpe afflitto da vecchiette ipercinetiche e immarcescibili “umarell del fashion” saprebbe come fare. Una confezione di carnevalesche “bombette puzzolenti” o un tubo per innaffiare collegato al rubinetto del bagno sarebbero le sue armi.
I sedicenti guru della “digital security” che affollano il mercato non prendano alla lettera l’ispirazione del teenager di qualche riga fa, perché potrebbe non funzionare nella percepita emergenza attuale. Le soluzioni ci sono e si conoscono da anni. Si può ancora aver paura di una possibile aggressione vecchia di un quarto di secolo? Se per tre ore non ci si collega al sito di questo o quel ministero si sopravvive ugualmente e forse nemmeno ci si accorge. Perché non ci si preoccupa di quel che invece – situazione a caso – si è verificato nelle tante e troppe aziende sanitarie locali da anni messe ko (e con loro i cittadini) dagli hacker in giro per l’Italia?