«Bloccare Internet? Non è poi così difficile»

Tre anni fa hanno partecipato al campionato universitario di hacking: una gara digitale fra esperti di computer di 35 atenei del mondo. «Otto ore di tempo per attaccare le macchine degli altri concorrenti, difendendo al tempo stesso le proprie», ricorda soddisfatto Danilo Mauro Bruschi, professore all'Università di Milano, nonché capo della squadra di otto studenti che alla fine ha vinto il torneo. Un successo accademico, che non si traduce in un successo pratico.
Nel 1995 Bruschi aveva fondato Cert-It, il primo caso italiano di computer emergency response team: «Una sorta di protezione civile per gli attacchi informatici». Non a caso, ai tempi in cui i virus erano più giocosi che nefasti, il Cert dell'Università di Milano era nel circolo capitanato dalla Carnegie Mellon, l'università di Pittsburgh, dove il Darpa (il dipartimento tecnologico del Pentagono che ha inventato l'internet) ha insediato il primo centro di ricerca contro i cyber-virus. Oggi che gli attacchi informatici, più nefasti che giocosi, sono all'ordine del giorno, il Cert della Carnegie Mellon fa da centro di coordinamento della protezione digitale americana, ben rifornito di fondi federali.
«Ancora due mesi fa siamo stati contattati dall'Fbi – racconta Bruschi – per un caso di physhing che ha coinvolto l'Italia. Ma ormai siamo usciti dal giro: per sostenere l'attività, anche con pochi studenti, e per partecipare ai convegni internazionali, ci volevano soldi. E nessuno ci ha mai dato un euro». In vita sua, Bruschi ha presieduto il Simposio First (il più autorevole forum internazionale sul tema) e ha collaborato a numerosi progetti europei sulla sicurezza cibernetica, inclusa la nascita dell'agenzia europea Enisa che, tre le altre cose, coordina i Cert europei. Nel sito web dell'Enisa si contano otto Cert in Italia, incluso il Cert-It dell'Università di Milano. «Ma in realtà – dice il professore – senza fondi siamo fuori gioco da tre anni».
Gli altri sette computer emergency response team in Italia hanno le origini più disparate. Il Cert-Difesa fa capo all'omonimo ministero, per comprensibili motivi. Poi c'è il Cert del Garr, la rete telematica dell'università italiana. Il Cert-Rafvg della Regione Friuli Venezia Giulia. Il GovCert-It della pubblica amministrazione. Il Sicei-Cert della Conferenza episcopale. L'S20C che fa capo a Telecom Italia. E l'Enel-Cert che controlla gli attacchi digitali alla rete elettrica nazionale. «Abbiamo una squadra che tiene sott'occhio il network digitale 24 ore al giorno – dice Giovanni Mariani, responsabile della governance tecnologica all'Enel – e un'altra che entra in gioco quando vengono rilevati un'intrusione o un qualsiasi problema».
Bruschi non esclude che anche i servizi segreti possano essersi dotati di un Cert. «In ogni caso – aggiunge – le misure di sicurezza adottate in Italia non sono ai livelli di quelle di Germania e Regno Unito», che di Cert ne hanno rispettivamente 18 e 16. «Nel Bsi tedesco lavorano circa 400 persone, che fra l'altro finanziano squadre di giovani esperti all'estero, con i quali collaborano».
Giovani come gli studenti di Bruschi, che tre anni fa hanno fatto mangiare la polvere (digitale) ai colleghi di altre 34 università. «Basterebbero cinque giovani ben addestrati, a mettere in ginocchio l'infrastruttura di rete di parecchie organizzazioni italiane, anche molto blasonate», sentenzia Bruschi, raggiunto al telefono nel suo dipartimento. Professore, ma ne è sicuro? «Sicurissimo. Certo che devono essere dei giovani in gamba, come quelli che dico io».
© RIPRODUZIONE RISERVATA