La cyber security, spiegata facile (con Federico Filacchione)
Siamo pervasi da internet, dai servizi connessi e dalle app. Sappiamo che dovremmo dedicare più tempo alla sicurezza, però è un tema complesso. La cyber security oggi ve la spiega Insalata Mista.
Tempo stimato per la lettura: 28 minuti
La parola di oggi: Script kiddie è un termine dispregiativo utilizzato per indicare quegli individui che utilizzano istruzioni, codici e programmi ideati da altri, al massimo con leggere modifiche, facendo intendere di essere un grande guru dell'informatica. [da Wikipedia]
» PENSIERI FRANCHI: Esiste il diritto alla socialità digitale?
Pochi giorni fa osservavo una colonna di operai che timbrava per la pausa pranzo. L’immagine era di quelle ormai molto note, ma sempre curiosa: una fila ordinata di persone che camminavano con gli occhi puntati sullo smartphone e il pollice intento a scorrere verso il basso.
“Vabbè, mica ci vorrai attaccare il solito pippone sul fatto che siamo come zombie schiavi dello smartphone?”. No, adesso arrivo.
Mi sono impersonato per un attimo in queste persone. Già, perché io sono uno di quelli fortunati, quelli che con questi giocattoli ci lavorano (o pensano di farlo) tutto il giorno e quindi è normale continuare a consultarlo e così essere aggiornati non solo sulle cose futili, ma anche sui rapporti personali. Come starà mia figlia? Sarà tornata da scuola? Starà bene? Un messaggio e via, ci si toglie il dubbio.
Per gli operai impegnati su una linea di assemblaggio, con le mani sempre impegnate a compiere un gesto ripetitivo, esistono poche occasioni durante il turno di mettere le mani sullo smartphone. Magari uno sguardo fugace mentre si va in bagno, a metà turno, poi la pausa pranzo. In quei pochi momenti gli è permesso di aprire la finestra sul mondo e tornare in contatto con quello che sta succedendo fuori da lì, dalla fabbrica, dove si trovano anche i propri cari e i propri affetti. Una boccata d’aria durante la quale si possono ristabilire le proprie connessioni umane, fino al prossimo turno di apnea e disconnessione totale.
Mi ha ricordato un po’ quando passavo le estati in Abruzzo, d’estate, con mio papà. Nel paese dove abbiamo una piccola casetta, il telefono cellulare non prendeva e la sera si faceva la fila davanti alla cabina telefonica (che era soltanto una, appunto). Qualcosa che già si fa fatica a ricordare, la cabina, era a quei tempi l’appuntamento più atteso di tutta la giornata. Se si aveva una persona cara distante, visto l’alto costo delle telefonate sul cellulare, ci si metteva d’accordo con la persona dall’altra parte per farsi trovare a un’ora precisa.
Inutile stare lì a sindacare con i vari “ma una volta come facevamo senza smarpthone?”. Una volta prima di tutto era una volta, il mondo di allora era un altro mondo e la socialità era completamente diversa. Oggi i nostri spazi di socialità sono quasi tutti dentro quel maledetto pezzo di silicio e limitarne l’uso a pochi momenti durante la giornata suona proprio come una privazione quasi crudele, disumana.
Diventerà mai un diritto poter utilizzare lo smartphone durante l’orario di lavoro? Mi verrebbe da dire che se si è insinuata tacitamente, nel novero dei diritti del lavoratore, la pausa sigaretta - una cosa che ho sempre detestato e osteggiato, perché non posso fare la stessa pausa pure io che non fumo tirando fuori la Nintendo Switch? - dovrebbe poterci entrare anche il diritto alla pausa per ristabilire il proprio contatto con i propri cari o con la propria rete sociale. Quel piccolo intervallo di tempo per curarsi di ciò che conta davvero e per cui ci alziamo ogni mattina: i propri affetti, che per un attimo lungo 8 ore o più si fanno piccoli piccoli e si infilano nei chip e nei bit di un oggetto da taschino.
Buona lettura.
Franco A.
» LA CYBER SECURITY, SPIEGATA FACILE
Federico Filacchione è un professionista nell’ambito della Cyber Security da molti anni. Uno di quelli il cui curriculum lo guardi e lo richiudi subito dicendo “vabbè ho capito”. Ma soprattutto è un mio ex compagno delle scuole medie, che ho sempre e segretamente ammirato perché possessore di un fantastico Super Nintendo con Street Fighter II. Oggi anche lo ammiro, ma per motivi diversi, cioè per i traguardi che ha raggiunto in ambito professionale.
Era un po’ di tempo che volevo fare un’Insalata sulla sicurezza informatica, perché questa newsletter parla di tecnologia e intrattenimento e oggi tutto questo (e molto di più) poggia le sue basi su un sistema informatico che può essere violato. Tutto è basato su un account, su una casella email che magari ha una password semplicissima e che può essere rubata senza troppi sforzi. È successo anche al sottoscritto poco tempo fa, con degli account molto vecchi di cui non mi curavo più da anni. Ho provato a recuperare la password e mi sono accorto che la casella email di recupero finiva per .ru, ho pensato “vabbè, addio account Xbox”.
La sicurezza, lo scoprirete in questa bellissima intervista, prima di tutto è un atteggiamento verso quello che ci capita online, che dovrebbe essere semplicemente una replica di quello che facciamo nella vita reale e invece spesso non lo è. Se uno sconosciuto per strada vi mettesse in mano un pacchetto dicendovi “aprilo!” voi lo fareste? Credo di no, però se arriva un’email sospetta con un allegato, in molti lo aprono. E qui sta il problema: online abbassiamo ancora troppo le difese.
Non mi dilungo oltre e lascio parlare Federico:
Franco: Ciao Federico, tu sei CERT Manager di un’importante azienda informatica. Ci puoi spiegare innanzitutto cosa significa CERT, cosa fa un CERT Manager e soprattutto come fai a dormire la notte?
Federico: Ciao Franco, grazie prima di tutto dell'invito, è un piacere da ascoltatore e lettore di Insalata Mista poter partecipare e quindi ringrazio te per l'opportunità. Allora, CERT vuol dire Computer Emergency Response Team. È un gruppo, diciamo, che nasce un po' agli albori della cyber security. Nasce come struttura specializzata per la gestione degli eventi e degli incidenti di sicurezza, quindi diciamo che è un po' come se fossero le squadre di pronto intervento che in caso di una problematica, di un incidente sulla propria infrastruttura, interviene per cercare di risolverlo, per ripristinare le funzionalità del servizio.
Ovviamente nel tempo il ruolo di questa struttura si è evoluto. Il ruolo principale che queste strutture, questi CERT, hanno sia a livello interno a un'azienda, a un ente come il nostro, sia a livello nazionale - pensiamo al CSIRT Italia o ad altri CERT a livello mondiale - è quello della collaborazione. Cioè sono strutture pensate, strutturate con processi e procedure per scambiarsi informazioni, per collaborare, per lavorare nella parte preventiva dell'incidente e quindi fare in modo che le cose brutte non succedano. Quindi scambiarsi quante più informazioni utili per evitare che succeda qualcosa di malevolo, o comunque anche, qualora una delle strutture sia colpita, scambiare le informazioni con le altre strutture per cercare di proteggersi al meglio.
Prevenire è meglio che curare, vale in tutti i campi, soprattutto in quello della sicurezza informatica, perché poi i danni sono incalcolabili a fronte magari di un investimento in prevenzione che è veramente piccolo in proporzione.
Questo è uno dei compiti sicuramente più importanti, oltre appunto alla parte reattiva che ho detto prima. Come nota di colore ti posso dire che ci sono due nomi per la stessa cosa, che sono CERT e CSIRT. Questo perché CSIRT sta per Computer Security Incident Response Team ed è sostanzialmente la stessa cosa del CERT che però, benché sia di facile utilizzo, è di fatto un trademark, un copyright della Carnegie Mellon University, che è la prima università dove è nato il CERT. Essendo buoni americani hanno capito anche l'importanza commerciale del brand e lo hanno brevettato. Però è molto semplice chiedere in modo molto veloce il loro permesso e farti autorizzare a usare il nome CERT. Se non si vuole fare si può usare CSIRT, ma dove leggete CERT o CSIRT è di base la stessa cosa, siamo sempre noi che stiamo sul pezzo, che cerchiamo di risolvere i problemi.
Un altro compito ovviamente è quello della formazione. Se andate a vedere anche i maggiori CERT a livello nazionale ospitano tante pagine dedicate agli utenti, dedicate alla formazione sia delle aziende che degli utenti privati, che delle entità pubbliche [metto qui un esempio del CSIRT nazionale NdFranco]. C'è tutta una parte che rientra un po' nella prevenzione ma ancora più spinta, cioè nell'adottare buone pratiche, nel diffondere metodi giusti per fare le cose nell'ambito della cyber security. Quindi cercare sempre di prevenire. Prevenire è meglio che curare, vale in tutti i campi, soprattutto in quello della sicurezza informatica, perché poi i danni sono incalcolabili a fronte magari di un investimento in prevenzione che è veramente piccolo in proporzione.
Mi è piaciuta anche la domanda che mi hai fatto (“come fai a dormire?”). In realtà - a parte che dormo benissimo, per mia fortuna e per il mio carattere - non è tanto dormire la notte il problema, il problema è di solito il fine settimana, cioè quando tu stai lì, magari il venerdì sera mentre ti stai bevendo l'aperitivo e hai staccato dal lavoro e ti arriva la mail del problema. O il 15 agosto che stai bello sulla spiaggia a mangiare il cocomero e ti arriva la telefonata. Molto più spesso rispetto alla notte, i problemi capitano in queste situazioni, però la struttura è pensata e organizzata per essere operativa H24 7 su 7, quindi diciamo che le persone che ci sono sono sempre pronte.
Noi storicamente ci consideriamo un po' come un pronto soccorso, cioè quella struttura che è sempre pronta a ricevere tutto e a rispondere a qualsiasi evento indipendentemente da cosa arrivi. Perché una delle fasi principali del CERT, esattamente come per il pronto soccorso, è il triage, cioè cercare di comprendere che cosa sta succedendo e identificare qual è la minaccia, perché da lì poi partono le azioni di risposta che possono essere tarate a seconda del livello di minaccia che si sta avendo.
Quindi diciamo che è un lavoro sicuramente difficile, complesso perché necessita di un'interfaccia con tutti i rami interni ed esterni dell'azienda, ma è un lavoro che viene fatto anche con serenità da tanti colleghi professionisti sia del posto dove lavoro io, sia di tutti gli altri che lavorano nei luoghi analoghi. Ci conosciamo un po' tutti, ed è sicuramente una struttura che è utile e che se fa bene il suo lavoro lo fa quando non si vede, quando non succede niente. Come tutti i campi della sicurezza informatica, quando funzionano è il momento in cui non si vede nulla. Mentre è quando qualcosa va male che allora c'è un problema, ma lì si deve intervenire in altro modo.
L'hacker è un ruolo che viene attribuito dalla comunità in base alle proprie capacità. È un mondo totalmente meritocratico in cui le capacità sono regine e tutti quanti le riconoscono, non si può barare, non si può far finta di essere hacker.
Franco: Vorrei fare chiarezza una volta per tutte sul termine “hacker”. Sono tutti hacker quelli che si occupano di sicurezza? E che differenza c’è invece con gli hacker che compiono crimini? Mi spieghi anche che cos’è un “ethical hacker” e che cosa fa in pratica?
Federico: Allora, ti ringrazio per aver detto “una volta per tutte”, ma per fortuna la cultura hacker è molto ampia e probabilmente potremmo parlarne per settimane. Facendo un passo indietro, l'hacker storicamente è una persona che ha fondamentalmente due cose: è molto curioso e ha una grandissima capacità tecnica. Quindi era una persona che quando i computer erano grandi e inaccessibili nelle stanze delle università, si intrufolava, anche fisicamente - forzando proprio le serrature - in queste aule e smanettava con questi computer per capirne il funzionamento, sia dal punto di vista software, quindi dei programmi, sia hardware, proprio aprendo la scatola e vedendo che c'era dentro e capendo come funzionava l'apparato.
Infatti il termine italiano che più penso si possa avvicinare è proprio smanettone, cioè una persona che vuole capire le cose come funzionano. Vuole capirle, vuole giocarci, sia per divertimento, si direbbe per il LOL adesso, sia perché vuole migliorarle. Quindi c'è anche una spinta, diciamo, di modifica in senso positivo, cioè di dire «ok, riusciamo a fargli fare qualcosa di meglio?».
Questa è un po' la base della cultura hacker, che ricordo essere sempre un termine che viene attribuito, non è mai autoimposto, nessuno può dirsi "sono un hacker”. L'hacker è un ruolo che viene attribuito dalla comunità in base alle proprie capacità. È un mondo totalmente meritocratico in cui le capacità sono regine e tutti quanti le riconoscono, non si può barare, non si può far finta di essere hacker.
C'è un termine appunto che è “script kiddie”, cioè quello che usa i tool per far finta di essere hacker, ma non è quello. E chi li scrive i tool e chi li modifica e li sistema, chi cambia le cose è veramente un hacker. Dal punto di vista del gruppo no, per fortuna non tutti quelli che lavorano nella sicurezza informatica sono hacker, perché è una disciplina che richiede tantissime professionalità diverse.
A tal proposito c'è probabilmente il mio film preferito su questo tema che è “I signori della truffa”, che è un film non recentissimo con un cast stellare: Dan Aykroyd, Sidney Poitier e Robert Redford, che secondo me da un lato è il film più bello che spiega che cos'è un hacker realmente (anche se è di quasi 40 anni fa, ma è ancora attualissimo). Dall'altro spiega come appunto un team debba essere composto da differenti professionalità per arrivare a un risultato. Questo è molto importante perché nel campo della sicurezza non ci si può basare soltanto su una persona che fa questo tipo di lavoro, cioè che smanetta, bisogna avere tante discipline.
Ovviamente, come tu hai detto giustamente, ci sono anche gli hacker cattivi. Questo perché nella pervasività degli strumenti digitali che abbiamo attualmente e nell'espansione che c'è stata negli ultimi anni, qualcuno ovviamente sfrutta, come in tutti i campi dell'essere umano, le proprie capacità per fare del male o per fare del profitto in modo illegale. Ed è un problema ovviamente perché poi ci troviamo di fronte anche a persone molto capaci che lo fanno per criminalità pura e semplice. Tra l'altro in quel film viene detto anche questo, perché l'antagonista è esattamente un hacker che lavora per la criminalità organizzata. Altrimenti lo fanno per motivi etici, i cosiddetti activist, cioè le persone che provano a cambiare il mondo anche facendo delle cose illegali, ma a scopo “dimostrativo”.
Dall'altra parte, per fortuna, ci sono gli etichal-hacker, che sono le persone che mettono a disposizione le proprie capacità tecniche (molto elevate) per due cose principalmente: all'interno dell'azienda o degli enti per difenderli, quindi per fare l'attività dell’hacker cattivo però dall'interno e supportare quindi i processi prevenendo qualche possibilità di rischio futuro dai servizi che vengono erogati. E poi dall'esterno - ed è una cosa molto importante soprattutto per chi poi gestisce sistemi complessi - segnalando alle aziende o agli enti dei problemi, delle vulnerabilità, delle cose che non vanno.
Ci sono tante aziende anche in Italia che hanno addirittura una hall of fame in cui ringraziano pubblicamente queste persone che gli danno questo tipo di segnalazione (per esempio TIM o Fastweb), ovviamente dentro un perimetro purtroppo anche (o per fortuna) legale molto definito, che ovviamente non può prescindere dal fatto che non si possano compiere dei veri e propri reati informatici.
Secondo me sono una risorsa fondamentale perché sono persone che pubblicano queste ricerche rendendolo noto prima e permettendo all'azienda di sistemare il problema, di risolverlo. Quindi è sicuramente una risorsa e vedo che molte aziende, anche in Italia, stanno cercando di implementare programmi di questo tipo. In America per esempio è un fatto molto diffuso, anche con premi economici, quindi c'è proprio chi lo fa di professione ed è giusto che sia pagato per questo.
Tornando un po' al team: nel mio team pochissime persone forse possono essere definite “hacker”. Ce n'è qualcuna, certo, ma noi svolgiamo un altro compito, perché c'è anche una parte di collaborazione, di dialogo, anche un ruolo dal punto di vista della compliance normativa che è importante. Però ecco, diciamo che la sicurezza informatica ha tanti ruoli, magari poi è un tema che potremo approfondire, ma sicuramente l'hacker è uno di quelli importanti ed è quello magari anche più visibile.
Anche a livello di formazione, è molto facile fare dei corsi di hacking oppure creare delle scuole. Però, come detto, è un campo molto molto meritocratico, bisogna veramente essere delle persone in grado di fare delle cose, perché altrimenti si diventa soltanto la persona che magari usa qualche tool, che fa qualche prova ma non capisce che cosa sta facendo. Ecco, l'hacker è uno che vuole capire, che deve capire e che alla fine capisce anche andando oltre quello che pensava chi ha creato un servizio. Sta lì la vera genialità di questo tipo di persone.
Franco: Ora parliamo del tuo punto forte invece: la sicurezza informatica. Ci spieghi secondo te, secondo la tua esperienza, ma anche secondo quello che sai, qual è il primo errore che fanno le aziende? Oppure la prima cosa a cui dovrebbero stare attente per non correre rischi?
Federico: Bella domanda, sicuramente il primo errore è quello di sottovalutare il rischio, appunto, cioè di non considerare la sicurezza informatica - quindi tutte le attività ad essa collegata come la prevenzione, l'analisi, i test - come un qualcosa che sia necessario fare. Non opportuno, necessario.
Come ho detto prima, la parte preventiva è fondamentale in questo campo, anche semplicemente per un banalissimo motivo economico: il costo di un'attività preventiva è infinitamente inferiore a quello che devi fare quando il danno è c’è stato. Tra l'altro ricordiamo che in Europa esiste un regolamento sulla privacy molto importante, che sanziona pesantemente la perdita di controllo, le violazioni sui dati personali. Ormai tutte le aziende che hanno qualsiasi sistema gestiscono una mole di dati personali immane. Il garante poi, soprattutto il garante italiano, non lesina anche sanzioni economiche e pecuniarie di un certo livello, quindi bisogna stare molto attenti.
Sono stati fatti grandi passi avanti in Italia su questo. Ma probabilmente - per via della struttura del tessuto imprenditoriale italiano che è molto legato alle PMI - c’è una difficoltà in questo senso che comprendo, che va di pari passo anche a un certo livello di adeguamento industriale che vediamo leggendo qualche statistica, leggendo qualche dato. Forse ne hai parlato anche tu in qualche episodio, però in questo campo è molto facile attivare una struttura preventiva che non è soltanto quella di utilizzare un supporto tecnologico (un hardware o un software) o di “metterci una pezza” (come si dice a Roma), ma avere piuttosto un programma, avere un'analisi del rischio fatta bene e appunto attivare delle contromisure adatte a quel rischio, senza andare a sparare con il cannone alle mosche o senza sottovalutare il problema. Bisogna lavorare molto nella parte di prevenzione, questo è importante.
Tra l'altro ci sono dei progetti - a cui abbiamo partecipato anche noi - a livello europeo, in cui si cercano di coinvolgere le PMI in questo tipo di attività preventiva, perché spesso viene sottovalutata anche magari per un certo modo di vedere l'informatica in generale in Italia da parte di queste piccole imprese. In realtà poi il danno che viene fatto è sempre legato all'operatività, vuoi per la perdita di controllo, vuoi anche proprio dei danni legati al fatto che non riesci più a produrre e quindi portano alla perdita di fatturato reale, esistente.
Nella mia esperienza ho visto anche piccoli studi professionali colpiti per esempio da ransomware, che si sono trovati da un momento all'altro a non poter più lavorare per via dei sistemi bloccati e contemporaneamente anche la perdita dei dati. E a quel punto sì, puoi pagare il riscatto, però entri in un giro di attività criminali di un certo livello e ti ritrovi comunque con il rischio di perdere tutto il lavoro. Inoltre avrai comunque delle ripercussioni negative date dal fatto che hai perso il controllo dei dati personali che ti erano stati affidati e questo è un bel problema, che può essere evitato sia dal punto di vista tecnologico ma anche dal punto di vista umano mettendoci attenzione, curando i dettagli e cercando di prevenire.
A livello produttivo e a livello industriale c'è la necessità, soprattutto in Italia, di collaborare di più tutti, anche per il fatto che - è innegabile - noi viviamo, prosperiamo (o abbiamo prosperato) per anni con un sistema industriale basato sulle piccole e medie imprese, sui distretti. Però, ecco, anche lì si fanno tante cose. Leggo spesso - anche a livello di industria 4.0, di evoluzione soprattutto nei distretti industriali - di una volontà di fare gruppo legato alla produzione industriale.
Bisogna dedicare anche in quel contesto una fetta alla sicurezza informatica, perché è essenziale. Magari affidandosi a player più grandi e strutturati che ti possano garantire delle misure di protezione ulteriori. Senza contare anche il problema dello spionaggio industriale: avere dei sistemi vulnerabili e sottovalutare il rischio vuol dire anche farsi rubare i brevetti, farsi rubare l'innovazione che noi italiani siamo tanto bravi a fare anche a livello di idee, di sviluppo imprenditoriale. Il rischio è che qualcuno te li ruba (i progetti) e poi li fa realizzare da un'altra parte dove costa meno.
Non è facile poi riprendere quella fetta di mercato che nel frattempo hai perso, non è facile nemmeno controbattere perché poi, come ho detto prima, c'è una grande fetta di criminalità organizzata che lavora su questo e che sta in posti dove possono fare quello che vogliono, non c'è rogatoria che tenga. Una volta che sono entrati (nei sistemi) e hanno fatto quello che dovevano fare, tanti auguri, non li becchi più. Quindi ancora di più la parte preventiva è fondamentale ed essenziale in questo aspetto e non deve essere sottovalutata, da chiunque direi, anche da chi pensa che l'informatica sia una cosa che “boh, ce la devo avere perché serve ma è un costo”. Come detto prima la sicurezza funziona quando non si vede, ma devi sapere che serve, questo è fondamentale.
Franco: Ok, adesso parliamo del mercato, che è pieno di aziende che vendono cose per la sicurezza come firewall, endpoint, SOC, SIEM, antivirus. Un sacco di sigle. Ho pero il sospetto che tutte queste cose sia utili il più delle volte a mettersi l’anima in pace, a far dire al responsabile informatico di turno “ho fatto tutto quello che dovevo”. Quando magari invece la sicurezza passa da una lunga e complicata formazione degli utenti. Quindi ti chiedo: è davvero così o in realtà è proprio il momento che le aziende investano molto di più in hardware e software per la propria sicurezza?
Federico: Ma guarda, ti rispondo con una citazione di Bruce Schneier, che è uno dei più grandi esperti di sicurezza informatica che esistono al mondo, anche dal punto di vista filosofico, se mi permetti. E lui una volta disse:«Se tu pensi di risolvere un problema di sicurezza con la tecnologia, non hai capito il problema e non hai capito la tecnologia». E non è una battuta, nel senso che non c'è una tecnologia che risolve i problemi di sicurezza.
I problemi di sicurezza, o i rischi, sono problemi umani e devono essere risolti dagli umani. Ci sono tecnologie che possono mitigarli, che possono supportarti, ma a fronte di un'analisi del rischio sulla tua infrastruttura, sul tuo sistema, fatta bene e fatta adeguatamente. Come ho detto prima, non ha senso comprare qualcosa che non ti serve perché ce l'hai, perché me l'hanno venduto in quel modo, la metti lì e poi comunque hai il problema, perché sprechi dei soldi inutilmente e, peggio, hai un'illusione che la tecnologia ti abbia risolto il problema non capendo niente, che è la cosa peggiore che possa succedere nella sicurezza, cioè l'illusione di essere sicuri.
Su questo punto di vista da un lato dobbiamo dire che, purtroppo o per fortuna, le aziende devono vendere e quindi è ovvio che ci sono delle pratiche di marketing che personalmente ritengo anche in certi casi un po' dubbie, basate anche su quello che in America chiamano FUD (Fear, Uncertainty and Doubt), cioè spargere panico, insicurezza e dubbio per farti comprare qualcosa. Ecco, no, assolutamente no, capisco che sia facile, ma non è la strada corretta.
Il paragone che mi viene da fare è un po' come quello della sicurezza fisica: tu devi proteggere un capannone industriale a seconda di quello che c'è dentro, ci metterai una porta blindata, le grate alle finestre, un sistema d'allarme, un perimetro, 5 guardie giurate che girano tutta la notte con le torce, con le pistole, i cani lupo, il fossato, quello che ti pare. Però questa cosa è molto comprensibile, invece la parte di sicurezza (informatica) ancora no, perché si pensa che sia una cosa un po' arcana, come dicevo prima, soprattutto a livello industriale e soprattutto purtroppo nelle piccole aziende.
Invece, come hai detto tu giustamente, l'elemento umano è fondamentale, perché nella gran parte dei casi qualsiasi tipo di contromisura di sicurezza io possa mettere, alla fine l'essere umano deve fare qualcosa e quindi se io, criminale, riesco a fregare l'umano sono entrato.
Il discorso del ransomware funziona in quel modo, no? Cioè io posso mettere qualsiasi controllo ma se poi tu apri quel file o fai quello che ti dico al telefono o caschi nella trappola, siamo rovinati. Quindi no, sicuramente la tecnologia è l'ultimo degli elementi, l'educazione delle persone è la cosa fondamentale, l'educazione anche al dubbio, al porsi il problema.
Su questo punto mi viene in mente un esempio classico di truffa che è quella della compromissione dell'account di un amministratore, che succede molto più spesso di quanto non si pensi. Cioè di dire: ok, io magari scrivo fingendomi l'amministratore delegato che magari so che è fuori in quel momento e quindi non è raggiungibile. Scrivo al responsabile finanziario, gli dico «Guarda devi pagare urgentemente questa fattura di tot milioni di euro che mi hanno chiesto di non pagarla su questo IBAN, pagala su quell’altro». E i soldi partono e sono persi. Sembra una barzelletta a raccontarla ma in realtà ci sono casi anche recenti in cui sono spariti diverse centinaia di migliaia di euro, poi ovviamente volatilizzati su conti inaccessibili. Quindi diciamo che hai ragione, non è assolutamente la tecnologia la chiave per proteggersi, è sicuramente uno strumento utile ma va ponderato con un'analisi corretta.
Il paragone che faccio appunto è quello legato alla sicurezza fisica, lì forse è più comprensibile. Per esempio: a casa, in un normale appartamento, non metteremmo mai una guardia giurata a difendere la Playstation 5. Magari se abbiamo dei quadri di valore cominciamo a pensare di avere delle ronde. La stessa cosa va fatta anche in ambito lavorativo: non ha senso mettere soltanto una porta di legno, però non ha nemmeno senso mettere chissà che. Va analizzato il contesto ed è probabilmente la cosa più difficile da fare, però è qualcosa di importante e soprattutto è quello che ci deve far porre una domanda quando ci vengono proposti l'acquisto di mirabolanti soluzioni che ci proteggono da tutto, quando in realtà poi se si apre quell’allegato alla mail non c'è quasi niente che tenga.
Franco: L’ultima domanda la dedichiamo agli utenti domestici, ai privati. Parliamo sempre di aziende e di minacce che coinvolgono i segreti industriali e i dati senza i quali le aziende non riescono a lavorare, ma quanto rischiano le persone a casa? Il diffondersi dei dispositivi per la casa connessi come i citofoni o le serrature, rischia di trasformare anche le case in terreni di caccia virtuali per i gruppi di criminali informatici?
Federico: Purtroppo il rischio è una certezza, in realtà. C'è un servizio online che si chiama Shodan, che è una specie di motore di ricerca di sistemi aperti, diciamolo così. Già lì sono disponibili una grandissima quantità di webcam domestiche completamente aperte, in cui ti colleghi e vedi casa di qualcuno senza che quel qualcuno lo sappia, ovviamente.
Che significa questo? Significa che, come detto prima, siamo sommersi da dispositivi smart, intelligenti, che magari ci facilitano anche la vita - pensiamo agli assistenti vocali, pensiamo anche appunto alle telecamere che ci permettono magari di vedere che succede a casa, di vedere il nostro animale domestico, i baby monitor che vedono il nostro figlio mentre siamo in un'altra stanza quindi non lo disturbiamo magari mentre sta dormendo - però tutte queste tecnologie necessitano purtroppo di un controllo ulteriore perché stiamo mettendo dentro casa nostra un sistema che è collegato a una rete. Molto spesso questi dispositivi non sono autonomi, ma bisogna creare un account su un servizio e quindi passare attraverso quel servizio per entrare dentro casa nostra, per verificare cosa sta succedendo.
Quindi sono due le cose importanti: la prima è affidarsi a servizi e sistemi di un certo livello e quindi non prendere la cosa più economica che ci capita perché conviene. Magari dietro c'è una gestione non ben oculata o magari un aggiornamento che non viene fatto ai sistemi. Magari quando si scopre una vulnerabilità di una determinata webcam, quel produttore non fa nulla perché magari nel frattempo ha chiuso, è fallito, è cambiato. Tu ce l'hai a casa e magari nemmeno lo sai, ma quella webcam diventa accessibile da chiunque in ogni luogo. Dall'altro lato c'è sicuramente una protezione della propria identità digitale che deve essere fatta e che ancora vedo che non viene fatta correttamente.
Ormai tutti noi abbiamo decine di account tra social, motori di ricerca, email aziendali, email personali, non so nemmeno quante app ci sono installate sui telefonini, ognuna di quelle ha un account, ha una password, ha un'utenza e quindi c'è un rischio concreto, c'è il fatto che possiamo essere hackerati appunto, come si diceva prima, da veramente chiunque. I consigli che do, che danno tutti gli esperti in realtà, sono due: il primo è quello di usare sicuramente un password manager. Questa è una cosa che dico sempre anche agli amici e alla famiglia: noi non dobbiamo conoscere le nostre password.
La password deve essere grande, complessa, generica, impronunciabile, irriconoscibile, non ricordabile, inserita in un password manager che le contiene tutte e che ce le mette automaticamente e che magari le cambia anche automaticamente. Tutti i browser moderni ne hanno uno (per esempio Chrome e Firefox), vanno benissimo per l'uso domestico perché appunto sono gestiti da aziende che hanno quello come core business. Quindi diciamo che è molto improbabile - non è impossibile ma è improbabile - che vengano colpiti. Nel contempo però ci facilitano anche la vita se vogliamo, non dobbiamo ricordarci qual era l'algoritmo che abbiamo pensato per quella password di Facebook o di Instagram. Lo fa da solo (il password manager), entra da solo. Ce ne sono tanti, alcuni anche a pagamento molto buoni, ma anche appunto quelli integrati all'interno dei principali browser. Tutti ormai hanno un password manager integrato facilissimo da usare che ci facilita la vita.
L'altra cosa è l'autenticazione a due fattori, che è molto importante. Ormai siamo tutti abituati ad usare l'home-banking, quindi quando facciamo un bonifico dalla nostra app sul cellulare di una qualsiasi banca, ci chiede l'impronta digitale, ci chiede un codice, ci chiede qualcosa per fare l'azione dispositiva. Ecco, dobbiamo pensare e impostare, sui servizi che utilizziamo, questa cosa qui, che può essere fatta in diversi modi appunto, tramite una qualsiasi app che genera codici. Basta registrarci al servizio e quindi, quando inseriamo username e password, poi dovremmo inserire anche un codice. Certo è una cosa che ci complica un po' la vita, una cosa che potrebbe essere fastidiosa, però una volta fatta cosa previene? Previene il fatto che anche se la nostra password viene rubata, viene trafugata in qualche modo, nessuno riuscirà comunque ad accedere perché noi abbiamo la chiave, il codice che serve per accedere, quindi è sicuramente una protezione che possiamo fare insieme al resto.
Un'altra cosa molto importante è quella di mantenere tutto aggiornato costantemente. Mi capita spesso di vedere l'allarme di Windows che ti chiede se vuoi installare certi componenti, a cui rispondiamo “No, lo faccio dopo, lo faccio dopo”. Ogni volta che viene proposta questa cosa è necessario farla subito, perché quando una vulnerabilità arriva ad avere una patch, cioè quando viene sanata, vuol dire che sono già settimane, forse anche mesi che è in giro e che quindi qualcuno può sfruttarla. Noi viviamo in un mondo in cui tutti i nostri dispositivi, come hai detto, sono connessi e quindi è molto facile raggiungerli da qualsiasi parte del mondo.
Questa è una cosa che ancora sfugge alla gran parte della popolazione: pensiamo ancora che il nostro computer nella nostra stanza sta lì e che non gli succederà niente, ma in realtà siamo raggiungibili ovunque, il nostro cellulare ancora di più e quindi è necessario aggiornarli. Purtroppo non tutti i produttori seguono questo continuo aggiornamento, anche un po' a livello commerciale a volte si utilizza questa leva, pensiamo ai diversi brand di cellulari che ti garantiscono sì, magari due, tre anni di aggiornamenti di sicurezza e poi basta. Ecco “e poi basta” vuol dire che devi sapere che da quel momento hai un dispositivo che potenzialmente è vulnerabile a qualunque.
Quindi sì, è di certo una spinta (quella dei produttori) per cambiarli ma è anche una spinta per capire meglio. È una cosa che magari non viene compresa tanto ma è importante saperlo, non tanto magari per cambiare lo smartphone, perché ovviamente capisco che non è che ogni due anni si può cambiare il cellulare, soprattutto se uno ha speso una cifra importante e non se lo può permettere, ma magari per porre maggiore attenzione al proprio utilizzo, quindi a installare app soltanto dai marketplace certificati, non fare cose strane, non andare su siti strani, appunto ancora di più utilizzare un sistema di password management per cui comunque quello che ho viene protetto.
Però ecco, anche per concludere, volevo un po' riportarmi a quello che abbiamo detto durante queste domande, cioè che è necessario metterci la testa sostanzialmente, è necessario comprendere quello che stiamo facendo, è necessario comprenderne i rischi, è necessario non sottovalutarli. Pensiamo alla email: tutti abbiamo un'email in cui c'è di tutto dentro, quindi anche banalmente, non dico aver dati trafugati perché magari non sono interessanti, ma anche banalmente perdere l'accesso perché magari qualcuno ti entra con la password, te la cancella, ti elimina l’account.
Sono problemi seri che poi è anche quasi impossibile a volte sanarli e quindi in quel caso ancora di più la prevenzione la fa da padrone, bisogna comprendere i rischi. Purtroppo viviamo in un mondo complesso, quindi capisco che soprattutto alcune persone, magari più avanti con l'età, non riescono a comprendere bene. Però ecco, è un ragionamento da fare, è anche una cosa che noi come esperti di sicurezza dobbiamo diffondere, per collaborare e anche per educare e supportare le persone che magari hanno più difficoltà nel gestire un mondo digitale che ormai sarà sempre più complesso e che ci porta tanti vantaggi, ma purtroppo ci porta anche tanti rischi.
» COSE MOLTO UTILINK 🔗
Gli articoli più interessanti che ho letto in settimana, insieme ai link utili o semplicemente curiosi che ho trovato in giro per internet.
» Il molo sull’acqua che gli USA costruiranno per portare gli aiuti umanitari a Gaza
In questo articolo del Washington Post viene raccontato lo sforzo che faranno i circa 1000 militari statunitensi per costruire una sorta di molo galleggiante, che servirà a bypassare i blocchi ai camion che portano aiuti umanitari alla popolazione di Gaza, ormai sul punto della carestia totale.
» CONSIGLI PER L’ASCOLTO 🎧
Le destre stanno ormai guadagnando ampi consensi in tutta Europa, anzi nel mondo, ma quando a farlo è un partito di estrema destra in Germania, allora la cosa è un po’ diversa.
Anche questa settimana mi trovo a consigliare un episodio di Globo, il podcast di geopolitica del Post, che questa settimana racconta molto bene la storia e la situazione del partito di estrema destra in Germania. È molto importante capire cosa sta succedendo lì, visto che il problema riguarda noi italiani (che della Germania siamo stati “partner storici” in quel senso).
» SFAMA LA FOMO!
Cos’è la F.O.M.O.?1
» Apple ancora contro Epic (e Fortnite), ma alla fine deve cedere
Sulla lunga questione che ha contrapposto Apple e Epic (azienda che ha creato Fortnite), sembra che si è arrivati finalmente a un punto. Volendo riassumere in pochissime parole, Epic aveva violato i termini dell’AppStore di Apple offrendo agli utenti la possibilità di effettuare pagamenti fuori dallo store. Il recente DMA europeo però ha costretto Apple a consentire l’installazione di Store alternativi, cosa a cui Epic si era attaccata finché Apple, pochi giorni fa, non le ha cancellato l’account sviluppatore.
Se volete tutti i dettagli sull’argomento, trovato tutto descritto minuziosamente su Insert Coin, la newsletter di approfondimento videoludico dell’amico Massimiliano Di Marco.
» Arriva il primo trailer di Fallout, la serie ispirata al videogioco
Per chi ama la serie di videogiochi creata da Bethesda, è arrivato il primo trailer della serie prodotta da Amazon per Prime Video.
I richiami al videogioco ci sono, e nemmeno pochi.
» Dal 7 marzo è in vigore il Digital Markets Act (DMA) europeo. A chi importa?
Prima abbiamo accennato al DMA europeo parlando di AppStore e di Apple. Chi riguarda il Digital Markets Act e che impatto avrà nelle nostre vite?
Lo spiega bene il Sole 24 ore.
Se sei arrivato fino a qui, innanzitutto ti ringrazio.
Non ci siamo presentati: mi chiamo Franco Aquini e da anni scrivo di tecnologia e lavoro nel marketing e nella comunicazione.
Se hai apprezzato la newsletter Insalata Mista ti chiedo un favore: lascia un commento, una recensione, condividi la newsletter e più in generale parlane. Per me sarà la più grande ricompensa, oltre al fatto di sapere che hai gradito quello che ho scritto.
Franco Aquini
La F.O.M.O., un acronimo che sta per Fear Of Missing Out, è la deriva moderna del tam tam dei social network unita all’enorme disponibilità di strumenti di informazione e di intrattenimento. In pratica, è la paura di perdersi qualcosa e di non essere sempre al passo con i tempi. Con questa rubrica rispondiamo a queste paure, riassumendo in breve le notizie più significative della settimana, pescate dal mondo della tecnologia, dell’entertainment e del lifestyle.