Cerca nel blog

2023/06/03

A Helsinki si parla di sicurezza informatica con SPHERE23 e WithSecure - seconda parte

Ultimo aggiornamento: 2023/06/28. La prima parte di questo resoconto è qui. Trasparenza: WithSecure ha offerto il volo e l’alloggio che hanno reso possibile la mia partecipazione.

Proseguo il racconto della mia esperienza a Helsinki al convegno di sicurezza informatica Sphere insieme alla Dama del Maniero. Non mi soffermo su tutta la parte sociale dell’evento, se non per dire che è stata estremamente piacevole, con un’ottima compagnia, nuovi amici e contatti e buon cibo locale (ho scoperto con piacere la presenza ricorrente della focaccia locale, che è diversa da quella ligure ma merita decisamente) in vari luoghi della città, che con la complicità del bel tempo è stata davvero accogliente. D’inverno, con le pochissime ore di luce, forse non è altrettanto godibile, ma le lunghissime giornate di questa stagione sono state spettacolari. La lingua non è un problema: tutti parlano un ottimo inglese.

25 maggio

La mattina è iniziata con il firmacopie del libro If It’s Smart, It’s Vulnerable di Mikko Hyppönen, CRO di WithSecure. Il libro, che sto finendo di leggere, è molto scorrevole anche per chi ha conoscenze informatiche di base ed è pieno di aneddoti e racconti che spiegano bene le dinamiche del crimine informatico moderno e passato. Spero che ne esca una traduzione italiana: nel frattempo la versione inglese è disponibile su Amazon e, in Italia, tramite IBS.

Mikko Hyppönen. Credit: WithSecure.

Ian Beacraft, CEO e Chief Futurist di Signal & Cipher

Ian Beacraft. Credit: WithSecure.

L’intervento di Beacraft, intitolato AI, ChatGPT and the future in tech. Creative Machines - AI and Generative Future, è stato ricco di spunti non tecnici in senso stretto ma sociali nel senso più ampio del termine: l’impatto che sta avendo sulla società l’arrivo esplosivo delle tecnologie legate all’intelligenza artificiale va capito e, se possibile, anticipato per contenerlo o almeno dirigerlo.

Fra i tanti spunti del suo discorso ne cito uno: la tecnologia corre talmente in fretta che la sfida dei genitori di domani non sarà più decidere quanto tempo è giusto lasciare che i propri figli stiano online, ma decidere quanti degli amici dei loro figli è giusto che siano intelligenze artificiali.

Ian Beacraft. Credit: me.

[2023/06/28: WithSecure ha pubblicato il video, che ho incorporato qui sotto.]

Pekka Koskela, pattinatore e data consultant sportivo

Koskela è un pluripremiato pattinatore di velocità su ghiaccio e ha raccontato il suo lavoro di Data consultant per atleti e squadre sportive, basato sull’uso del machine learning e dell’intelligenza artificiale per elaborare e rendere gestibile l’enorme quantità di dati biometrici e dinamici che vengono raccolti oggi negli sport olimpici di velocità, in cui cambiamenti anche minimi possono fare la differenza fra una medaglia e un buon piazzamento e occorre creare integrazioni fra attrezzatura, atleta e terreno di gara, anche a livello respiratorio e dietetico. Il suo intervento è stato un po’ smorzato da quello che credo sia stato un caso tipico di panico da palcoscenico, ma comunque è stato tecnicamente interessante.

[2023/06/28: WithSecure ha pubblicato il video, che ho incorporato qui sotto.]

Jacqui Kernot, Managing Director e Security Director di Accenture per Australia e New Zealand

Kernot ha gestito un panel con vari ospiti intitolato Striking the balance: how much cyber security is enough?, in cui ha illustrato varie esperienze australiane di data breach e soprattutto di gestione delle crisi e comunicazione al pubblico. Spero che Sphere pubblichi i video degli interventi, perché l’approccio australiano piuttosto drastico va spiegato meglio di quanto possa fare io con gli appunti frettolosi che ho preso (non erano permesse registrazioni) mentre correvo dal palco principale a quello secondario e penso che possano esserci idee interessanti anche a livello governativo in quello che è stato detto in questo panel.

[2023/06/28: WithSecure ha pubblicato i video, che ho incorporato qui sotto.]

Jacqui Kernot. Credit: me.
Kernot e i suoi ospiti. Credit: WithSecure.

John Grant, Sustainability Expert

È stato poi il turno dell’esperto di sostenibilità John Grant, che ha presentato quattro proposte per la sostenibilità dell’informatica a tutti i livelli:

  • aumentare la sicurezza dei dispositivi smart (che ci servono per ridurre i consumi delle infrastrutture, tramite per esempio contatori ed erogatori “intelligenti”, domotica, auto, uffici e città più snelli ed efficienti grazie all’informatica distribuita);
  • garantire la sicurezza della transizione verso energie rinnovabili (pensando al rischio catastrofico di un attacco informatico a una rete elettrica o a una infrastruttura industriale o logistica altamente informatizzata);
  • sostenere le fasce sociali vulnerabili;
  • garantire la stabilità sociale in caso di evento catastrofico legato alla sicurezza informatica (che il 93% degli interpellati dal Global Cyber Security Outlook Report 2023 del WEF ritiene probabile entro i prossimi due anni).
John Grant. Credit: me.

[2023/06/28: WithSecure ha pubblicato il video, che ho incorporato qui sotto.]

Peiter C. "Mudge" Zatko, esperto di sicurezza di rete

Mudge è un personaggio storico della sicurezza informatica: esponente di spicco dei gruppi hacker L0pht e Cult of the Dead Cow, pioniere nello sviluppo dei buffer overflow, direttore di programmi al DARPA, assunto da Google per la divisione tecnologie avanzate, ex capo della sicurezza a Twitter e tanto altro. Se i nomi L0phtcrack e Back Orifice vi dicono qualcosa, avete capito chi è Mudge. Back Orifice vent’anni fa era talmente popolare e utile come strumento di, uhm, amministrazione remota per Windows che ne scrissi una miniguida che oggi ha solo valore nostalgico. Mai avrei immaginato di poter incontrare di persona uno dei suoi autori.

Mudge sul palco. Credit: me.

Purtroppo non ho potuto seguire integralmente l’intervento di Mudge, intitolato The greater purpose in cyber security: Challenging InfoSec Beliefs with Data, perché dovevamo partire per l’aeroporto, ma posso riassumere qui i quattro miti principali della security e spiegare il suo tenth-person approach (ossia il concetto che se nove persone hanno tutte la stessa opinione, è dovere della decima fare il bastian contrario e portare i dati a supporto, in modo da offrire una critica costruttiva ed evitare le trappole del pensiero unico).

I suoi quattro miti della sicurezza informatica sono questi:

  • È troppo piena di incognite incognite, ossia che nemmeno sappiamo di non conoscere, e quindi la difesa informatica preventiva non è possibile (gli “unknown unknowns” sono un riferimento a una celeberrima frase di Donald Rumsfeld). La sua obiezione: gli esempi negli ultimi due decenni rivelano che le incognite erano in realtà ben note (e quindi gestibili).
  • Gli aggressori hanno il coltello dalla parte del manico. Obiezione: solo se i difensori rinunciano al proprio vantaggio.
  • L’attribuzione è un problema difficile da risolvere, e senza sapere chi è l’avversario non si può pianificare la difesa. Obiezione: no, perché l’attribuzione è un componente fondamentale degli attacchi basati sugli effetti.
  • L’informatica è fondamentalmente differente da tutti gli altri settori. Obiezione: in passato si è detta esattamente la stessa cosa per l’economia, la medicina, la sicurezza degli autoveicoli, l’assicurazione per i voli in aereo.

Per la spiegazione dettagliata bisognerà attendere la pubblicazione online del suo intervento. WithSecure sta pubblicando man mano i paper tecnici dei vari relatori; ve li segnalerò man mano che verranno resi accessibili al pubblico.

Nessun commento: