L'addestratore 007: chi fabbrica tecnologia lascia dei "buchi" segreti per farci spiare - YouTube (1)
[... - Fammi capire bene: stai dicendo che il produttore del mio smartphone piuttosto
che del tuo volutamente, nel momento in cui ingegnerizza quel prodotto,
lascia degli spazi aperti di vulnerabilità... Assolutamente sì.]
- Gianni, da bambino avrai avuto un sogno in particolare, sognavi di fare quello
che stai facendo o sognavi altro? In onestà, visto che siamo proprio
alla Casa dell'Aviatore, quando ero piccolo volevo arruolarmi in Aeronautica Militare e fare il
pilota militare come sognano tanti bambini. Poi la vita mi ha portato su altre strade
e comunque poi in un certo modo mi sono
occupato di queste tematiche da un altro punto di vista.. quindi, magari non volando...
volevo far volare aerei, faccio volare computer e scrivanie, ma più o meno...
- Ecco, ci spieghi un po' in cosa consiste il tuo lavoro? Il mio lavoro è un po'
difficile da spiegare... - Facciamo finta che lo stessimo spiegando
alla mamma o alla zia anziana che non ne sa nulla di tecnologia, di sicurezza,
ecco: che lavoro fa Gianni? Premesso che forse mia madre non lo sa neanche lei...
mi occupo principalmente di definire quelle che sono le tematiche legate alla sicurezza informatica
sia da un punto di vista di protezione, quindi, come proteggere gli
asset importanti di un Paese: porti, aeroporti e anche infrastrutture mobili
come treni, navi, comunicazioni satellitari - Perché se dovesse succedere un
problema a una di queste infrastrutture, tecnicamente, la crisi...
cioè, gli effetti quali sono e poi come viene gestita?
Gli effetti ovviamente sono molto gravi, nel senso che spesso noi pensiamo
alle problematiche di cybersecurity come a un qualcosa legato alla sottrazione di credenziali, o...
- La password che ti viene rubata... ti craccano la mail... Esattamente
oppure il Denial of Service (DoS), in cui si satura il flusso di banda su un servizio fino a
buttarlo giù. Oggi si parla di cose ben più strutturate: immaginate che cosa
significa attaccare una infrastruttura ferroviaria e andare ad attaccare
lo scambiatore dei binari durante il passaggio di un treno, oppure
disattivare i sistemi di freni di una nave che è in approccio al porto...
Ormai non c'è più la divisione fra il mondo cyber e quello fisico:
l'interconnessione fra i due mondi crea che i danni siano non solo
nell'ambito cyber ma anche e soprattutto nel mondo fisico.
- Si parla spesso tra l'altro di attacco cyber ma sarebbe più forse più corretto
parlare di guerre cyber. Quante ce ne sono in giro in questo momento mentre
noi stiamo parlando? Mentre noi stiamo parlando riconosciute ci sono almeno
cinque guerre informatiche, o "cyber wars". Ci sono fra Paesi e più che tra Paesi in
tra blocchi di Paesi, ed esistono dei "Paesi proxy" in cui queste guerre
scaturiscono in maniera più virulenta.. - Paesi proxy cosa vuol dire?
- Spieghiamolo sempre alla mamma... I Paesi proxy sono sono stati minori
che si prestano a essere utilizzati come canali per stati più grandi in dei conflitti.
Ed è più di difficile attribuzione... Il problema dell'attribuzione nella cyber warfare
è sempre stato un grosso problema anche geopolitico,
nel senso che quando si fa la guerra tradizionale si invadono i Paesi con dei carri armati
che hanno delle bandiere e delle insegne. Nella cyber war questo non esiste, e
quindi difficilmente, soprattutto se un attacco è ben congegnato, si riesce a
capire "chi-è-cosa" e soprattutto se questo attacco informatico viene da un
gruppo hacker autonomo o sono gruppi legati a uno stato e quindi che seguono
una strategia. - Ecco, dal punto di vista della tecnologia,
è chiaro che nel momento in cui la guerra incontra una tecnologia ci sono
anche dei produttori di tecnologia che o approfittano di questa guerra o
comunque diciamo che possono anche chiudere un occhio in alcuni casi? Assolutamente sì.
Noi oggi siamo sommersi di device prodotti in Asia e utilizziamo tutti
software non prodotti in Europa, in generale, ma soprattutto non in Italia.
Questo ovviamente su questo scenario ci pone ad un livello di "asimmetria
dell'informazione". Mi sono trovato spesso, nella mia
carriera lavorativa... ne ho parlato anche alle Nazioni Unite di quella che è la
problematica delle backdoor infrastrutturali...
- Le backdoor sono? Sono porte d'ingresso che i produttori insieme e concordandolo
con degli stati in particolare lasciano all'interno dell'hardware per sfruttare
queste vulnerabilità al loro utilizzo, quando serve.
- Scusa, fammi capire bene: stai dicendo che il produttore del mio
smartphone piuttosto che del tuo volutamente, nel momento in cui
ingegnerizza quel prodotto, lascia degli spazi aperti di vulnerabilità?
Assolutamente sì.
Consideriamo che oggi l'85% della rete infrastrutturale italiana è
prodotta con dell'hardware in cui sono segnalate delle backdoor
e quindi questo ovviamente non creerà problemi attualmente, ma sicuramente
creerà dei problemi in futuro quando ci saranno sempre più oggetti interconnessi,
quando sempre più dati economici, sanitari, personali transiteranno
attraverso queste infrastrutture. - Se volessi dare dei consigli alla gente
per cercare di avere anche un po' più consapevolezza di questo problema,
anche a partire dai numeri dei danni economici creati dai cyber attacchi
e quello che la cyber security e la cyber intelligence fanno per cercare di contenerli?
Se noi pensiamo che oggi circa 3 miliardi di persone sui 7 miliardi di popolazione
hanno accesso a uno smartphone che ha all'interno delle caratteristiche e
quindi anche degli apparati che possono dare localizzazione, microfoni, telecamere e altre attività
possiamo ben capire quanto forse si è corso troppo all'utilizzo di tecnologia
senza creare necessariamente... (- La consapevolezza) La consapevolezza del
rischio informatico. Una delle consapevolezze che manca alle persone è
soprattutto l'utilizzo della crittografia nei propri dati personali:
le persone oggi rilasciano con troppa facilità troppe informazioni di se stessi
e queste informazioni possono essere utilizzate sia da attacchi
sporadici, quindi attacchi hacker...
cosiddetti, perché poi per la categoria degli hacker era una categoria molto grande, ma
sia anche da gruppi "State sponsored" ovvero gruppi che fanno parte di un attacco più
sistemico al Sistema Paese, quindi quello che è un mio consiglio è di
anche creare la consapevolezza dell'utilizzo di tecnologie crittografiche
ne esistono tantissime, molte open source e quindi gratuite..
si può analizzare anche il codice per sapere se ci sono
problematiche di backdoor di cui parlavamo prima
ma oggi per esempio le persone utilizzano spesso la
stessa password e a prescindere dalla password non utilizzano nessuna tipologia di
crittografia. Si stima che solo lo 0,6% delle persone connesse oggi a Internet
mantiene i propri dati personali in maniera crittografica
Ovviamente avrai dei ritmi. Sappiamo che ci sono alcune persone e preferisco
ad esempio andare a letto molto tardi o invece molto presto ed alzarsi viceversa
troppo tardi, alcuni invertono il giorno con la notte.. tu hai delle abitudini in
particolare, anche da questo punto di da questo punto di vista?
Ho perso ogni cognizione di notte, di giorno, perché operando un po' su tutto il globo
(- Con tutti i fusi orari del mondo!) Diventa un po' un problema avere un
concetto di dormire non dormire... si dorme quando si è stanchi
ecco, non si dorme quando è mattina o notte
si dorme quando si è veramente esausti. - Quindi non c'è una sveglia in particolare...
Non ci sono orari, non c'è una separazione fra giorno e notte. E poi
questa vita comunque comporta anche molti sacrifici anche da un punto di
vista personale: non si può vivere come vivrebbe un ragazzo della mia età in
maniera normale, bisogna fare sempre molta attenzione,
e questo impatta magari anche nella propria vita personale. E non poco.
- Hai pensato qualche volta, se non avessi fatto il lavoro che fai: ti sarebbe piaciuto
fare qualcos'altro, oppure comunque saresti nel settore?
Se non facessi il lavoro che faccio oggi mi sarebbe piaciuto essere un designer di luci
che è una cosa completamente diversa da quello che faccio, perché sono un appassionato di
luci... mi piace il concetto di luce - È la nemesi peraltro...
Forse proprio perché lavoro nell'ombra mi piace molto la luce, e quindi
forse avrei fatto quello. Mi ritengo un privilegiato per il fatto di fare
un mestiere che comunque mi piace e soprattutto che ritengo utile, però
vivere con la consapevolezza sempre di portarsi appresso un computer che
proprio non puoi perdere o di avere una serie di schede memoria che proprio non puoi perdere...
- Cioè come la valigetta del Presidente degli Stati Uniti?
Mi sembra un'esagerazione, però diciamo ho delle informazioni che comunque
potrebbero creare dei problemi, e sapere di essere anche un bersaglio
per le informazioni che si hanno e vivere con la consapevolezza di essere una sorta
di bersaglio mobile, per una serie di ragioni, fa sì che anche le scelte della
tua vita privata ne...
ne risentono, no? E allora anche magari le persone che ti sono vicine cerchi un
po' di allontanarle un po' di avvicinarle, perché magari le avvicini quando ne hai
bisogno, perché siamo tutti esseri umani, e le allontani quando sai che sei impegnato in
delle cose che possono creare problemi. E finché i problemi vengono creati a me,
che me la sono scelta questa vita, non conta. Quando si creano a persone che
magari non per scelta ma solo perché ti hanno incontrato nel loro percorso
diventa più anche un'azione di responsabilità, in cui devi stare molto
attento a quello che si fa. - Il fatto, per esempio, che anche in questo momento
stiamo ti facendo questa intervista, secondo te porta più danno da questo punto di
vista a te e a quello che fai, o forse ti può essere anche utile, perché
bisognerebbe farlo anche un po' in maniera trasparente, no? Uscire anche un
po' dall'idea che questi addetti alla cyber security operino solo nell'ombra,
non abbiano una vita, non siano delle persone con un volto, non vadano a bere
una birra... ecco, cosa stiamo facendo in questo
momento, siamo utili a Gianni, o gli stiamo facendo un danno?
Gianni di danni ne ha avuti abbastanza, in onesta...
in realtà secondo me è bene anche che le persone sappiano
che c'è chi lavora nell'ombra, sia a livello governativo che non, anche
nel livello privato. E che le persone sviluppino
la consapevolezza che se ci sono persone che che fanno il mio mestiere è perché
probabilmente c'è una problematica. Stiamo forse dando un volto a un settore,
uno dei tanti volti... - Quanti siete? Hai dei numeri anche del mercato
della cyber security, sia di aziende private sia di "asset" di Stato, di governo?
Di persone che siano occupano proprio di cyber warfare come me, quindi di guerra
informatica, in Europa sono circa 500. - Solo 500 persone.. In tutta Europa...?
Sì. Mentre per la cyber security in italia ci sono bellissime realtà consolidate negli
anni e il numero degli addetti del settore è in circa un migliaio. Tra l'altro,
faccio un piccolo appello ai giovani di avvicinarsi a questo mondo, perché
l'italia ha sempre più bisogno di queste figure, sia in ambito governativo che
privato, soprattutto in ambito privato. E consideriamo che sono figure
che sono pagate generalmente il 30-40% in più della media di mercato
degli informatici. Io ho un'azienda che si occupa anche di
questo, e considerate che in italia mancano al mercato almeno 7 mila esperti
di cyber security... - Che sono ingegneri, sostanzialmente?
Ma in realtà noi non assumiamo per titoli di laurea, noi assumiamo per capacità. Cioè
almeno io personalmente nella mia azienda non guardo neanche il titolo di laurea...
so che l'Università mi odierà, ma io dei quadretti appesi al muro
onestamente non me ne faccio nulla.
Stare in questo mondo non è facile: bisogna essere sempre molto aggiornati
bisogna avere passione, non bisogna avere il concetto degli orari, pure per chi magari si occuperà
semplicemente delle parti civili di questo mondo, non è comunque un
mestiere facile, non è per tutti.. - Non è un mestiere di quelli che
ti fai cadere la penna alle 18...
Assolutamente no. È la passione che guida le persone a farsi nottate davanti a un
terminale, o a studiare, o a decifrare, o ingegnerizzare sistemi... non è
lo stipendio. Lo stipendio sarà sempre troppo basso rispetto alla mole di lavoro
