Cerca nel blog

2023/05/25

A Helsinki si parla di sicurezza informatica con SPHERE23 e WithSecure - prima parte

Helsinki, dove nei cantieri nascondono robot fatti con i materiali di lavoro.

Trasparenza: WithSecure ha offerto il volo e l’alloggio che hanno reso possibile la mia partecipazione. Le foto sono mie salvo diversa indicazione. Ultimo aggiornamento: 2023/06/28 21:30.

Sono a Helsinki con la Dama del Maniero per un paio di giorni per partecipare alla conferenza di sicurezza informatica SPHERE23. Questo è il programma degli ospiti che parleranno all’evento. Aggiornerò man mano questo articolo per includere una sintesi delle informazioni fornite dai vari relatori.

24 maggio

Si comincia con un pre-evento riservato alla stampa, con il CEO di WithSecure Juhani Hintikka. Cita un dato a margine molto interessante: la fiducia nel governo in Finlandia è al 64%, contro un 40% di media europea (osservazione mia: chissà se c’entra il fatto che la Finlandia ha uno dei programmi più aggressivi di lotta alle fake news sin dai primi anni di scuola). Propone un approccio che chiama “Outcome security”: sicurezza orientata ai risultati della specifica azienda, ottenuta combinando in modo flessibile prodotti e servizi di sicurezza e progettando i processi produttivi in modo da integrare da subito le considerazioni di sicurezza, non come cosa da appiccicare a cose fatte. Idea intuitiva, ma gli altri conferenzieri porteranno dati poco confortanti sulla diffusione di quest’idea nelle aziende, che per ora è molto scarsa.

Parla Suni Silvanto, Director of Product Marketing dell’azienda. Bella l’idea di offrire la sorveglianza dei siti e dei sistemi di un’azienda per il turno di notte, come servizio. Temo che troppe aziende, specialmente piccole, siano ancora ferme all’idea di “ho comprato l’antivirus, sono a posto con la sicurezza”.

Poi tocca a Leszek Tasiemski, Head of Products, che parla di sostenibilità dei servizi di sicurezza: sorprendentemente manca uno standard, una sorta di etichetta energetica, per il software di sicurezza, ma finalmente si comincia a studiarne il consumo energetico. Nella sua presentazione mostra come cambiare alcuni settaggi del software di sicurezza può avere un impatto notevole sulle bollette energetiche. Però bisogna trovare la maniera di evitare che la ricerca di risparmi non riduca la sicurezza effettiva. È un campo completamente nuovo, nel quale c’è da costruire tutto da zero, a partire dalle interfacce utente. Se vi interessa saperne di più, iscrivetevi.

Andrew Patel (che ho poi scoperto essere r0zetta, che seguo su Twitter da tempo) parla di prompt engineering ostile, con una relazione rapida e ricchissima di contenuti tecnici: generazione di mail di phishing e spear phishing, harassment di persone e aziende tramite testi generati da intelligenza artificiale e postati sui social network, social validation (sfruttamento della fiducia degli utenti nei post molto popolari), style transfer (per superare barriere linguistiche o per imitare lo stile di una persona, con creazione di documenti falsi trojanizzati molto credibili), opinion transfer (generazione di post che rappresentano uno specifico punto di vista o una particolare opinione politica, per saturare Internet di contenuti a favore), fabbricazione massiva di fake news con generazione di articoli estremamente documentati e credibili. Un fiume di idee che andrà assolutamente approfondito.

Questa foto è tratta dal suo intervento del giorno successivo, nel quale ha ripreso gli stessi concetti.

Stephen Robinson, Senior Threat Intelligence Analyst, parla di professionalizzazione del crimine informatico. I profitti delle organizzazioni criminali sono enormi e quindi queste organizzazioni si stanno strutturando come aziende, con tanto di outsourcing. Alla base di tutto c’è il ransomware, con una stima di almeno 2 miliardi di dollari pagati in riscatti dal 2020, che incentiva a cercare nuove efficienze (perché un piccolo miglioramento produce ricavi maggiori significativi), e si parla sempre più di multipoint extortion (non solo crittazione classica, ma anche minaccia di pubblicazione e di semplice cancellazione dei dati del bersaglio dai suoi server o dal suo cloud). Il suo rapporto è stato pubblicato qui.

Ci sono i criminali as-a-service, che offrono il servizio di attacco chiavi in mano, con figure specialistiche come gli Initial Access Broker, ossia gente che si limita a penetrare i sistemi del bersaglio e poi offre questo accesso al miglior offerente: prima attacca, poi trova qualcuno interessato al bersaglio. Ci sono anche i produttori di malware as a service. I governi spesso comprano questi servizi per le proprie campagne ostili: riducono i costi, trovano le competenze e riducono la possibilità di attribuzione. Soluzioni difensive? Trovare il modo di aumentare i costi e i rischi per i criminali.

Arriva poi Mikko Hyppönen, CRO di WithSecure e autore del libro If It’s Smart, It’s Vulnerable. Parla del suo boicottaggio della conferenza RSA per nove anni perché la NSA aveva corrotto RSA convincendola a installare una backdoor governativa nei propri firewall. Adesso ci torna, su invito, perché RSA nel frattempo è stata comprata più volte e ora è di proprietà, stranamente, di un gruppo di insegnanti dell’Ontario. Cita il crollo delle rapine in banca (in Finlandia, da una ogni due o tre giorni a zero negli ultimi tredici anni) perché oggi le banche non hanno più contanti e conviene di più attaccare con un trojan che con una pistola. Dice che la nostra generazione verrà ricordata dagli storici per tre cose: per essere stata la prima ad andare online, per essere stata la prima a dover contendere con l’intelligenza artificiale e per aver ucciso la privacy.

Hyppönen parla poi del branding delle bande criminali e dei cybercrime unicorns: organizzazioni illegali che hanno risorse economiche superiori al miliardo di dollari e sono strutturate come aziende, con esigenze di gestione della reputazione e di servizio professionale, perché se non sono credibili e affidabili (nel commettere i propri reati e nel ripristinare i dati crittati se la vittima paga) non avranno successo. Allo stesso tempo, le autorità reagiscono con tecniche innovative come lo smembramento di queste organizzazioni ottenuto offrendo taglie; questo porta a delazioni interne e guerre intestine fra bande, anche in Russia. Ma la collaborazione internazionale contro questi criminali è praticamente finita con l’invasione dell’Ucraina; risulta che i criminali informatici russi siano stati tutti rilasciati senza condanne. Hyppönen cita una vera e propria spy-story ricca di tecniche innovative: quella dell’attacco dell’FBI alla banda criminale Hive (l’FBI infiltrò Hive, diventando affiliata e dando le chiavi di decrittazione alle vittime).

Mikko parla di deepfake in tempo reale e presenta la sua teoria sul motivo per cui Meta ha investito oltre 13 miliardi di dollari nel metaverso: per acquisire dati dettagliatissimi sulle reazioni delle persone, per esempio con l’analisi delle reazioni dell’iride alla visione di oggetti e persone, che permette di conoscere le emozioni delle persone e vendere questi dati a scopo pubblicitario. In pratica, un’estensione di quello che ha fatto Facebook per anni.

Noi giornalisti abbiamo poi un’occasione speciale: una chiacchierata con Victor Zhora, uno dei principali responsabili della sicurezza informatica ucraina. Zhora era in collegamento via Teams da Kiev (era prevista la sue presenza, ma gli ultimi sviluppi della situazione attuale lo hanno impedito). Pur dovendo restare vago per non dare informazioni al nemico potenzialmente in ascolto (fra i giornalisti, per esempio; si ragiona così in tempi di guerra), ha spiegato moltissimi dettagli dei problemi inattesi (anche legislativi) di sicurezza informatica in uno scenario di conflitto vero e proprio, combattuto sia fisicamente, con la distruzione delle infrastrutture, sia digitalmente, tramite denial of service, disseminazione di disinformazione e anche (aspetto molto interessante e inatteso) acquisizione di informazioni sul territorio attraverso le telecamere di sicurezza private vulnerabili. La Russia sta usando concretamente queste telecamere per avere riscontri sui risultati dei suoi attacchi, per cui è necessario trovare il modo di mettere in sicurezza le webcam private e aziendali (e di convincere i cittadini a farlo).

---

L’evento vero e proprio inizia nel pomeriggio. A Helsinki c’è un clima primaverile, tiepido e con un cielo limpido che rende ancora più godibile spostarsi per la città. Qui regna incontrastata la mobilità pubblica e leggera: tram, monopattini elettrici e biciclette ovunque, e tutti camminano. I viali ampi facilitano la trasformazione della città verso un traffico più sostenibile. Prendo appunti fotografici anche sulla mobilità leggera, perché mi sa che nei prossimi anni se ne dovrà parlare molto.

La sala conferenze ha un videowall assolutamente spettacolare e un impianto audio e luci all’altezza. Che bello assistere a un evento organizzato bene, dove tutto è chiaramente visibile e udibile.

Dopo l’introduzione di Juhani Hintikka (CEO di WithSecure), c’è un videocollegamento con Victor Zhora, il responsabile della sicurezza informatica ucraina che noi giornalisti abbiamo già incontrato online la mattina e stavolta fa un intervento aperto al pubblico. Pochi dettagli dal punto di vista tecnico, ma un messaggio molto chiaro: grazie a tutti i paesi per l’aiuto informatico, logistico e politico nella resistenza contro la Russia, e attenzione che quello che sta succedendo a noi può succedere a voi, soprattutto qui in Finlandia, che è ora un paese NATO con una lunga frontiera diretta con la Russia. L’Ucraina, purtroppo, è il territorio sul quale si stanno sperimentando in concreto tutte le teorie di cyberguerra e dal quale è urgente imparare, perché un attacco informatico alle infrastrutture non ha i limiti di gittata delle armi convenzionali e quindi può avvenire dappertutto.

[2023/06/28: WithSecure ha pubblicato il video, che ho incorporato qui sotto.]

Poi sono intervenute sul palco Jessica Berlin, Political Analyst & Strategy Advisor, che ha parlato della sua drammatica esperienza diretta sul campo in Ucraina; Laura Koetzle, VP & Group Director presso Forrester Research; e Christine Bejerasco, CISO di WithSecure, che ha portato dati ed esperienze sul campo nella sicurezza integrata nel processo produttivo e orientata ai risultati.

[2023/06/28: WithSecure ha pubblicato i video di Berlin e Bejerasco, che ho incorporato qui sotto.]

Infine è stato il turno di Mikko Hyppönen, con un talk spettacolare sull’intelligenza artificiale intitolato Artificial Evil.

[2023/06/28: il video è disponibile qui insieme alla mia trascrizione del discorso di Hyppönen.]

Trovate nelle mie foto qui sotto qualcuna delle tante idee proposte nelle slide di Mikko: c’è abbastanza materiale per una vita di articoli, con scenari positivi e negativi sull’intelligenza artificiale generalista e sulla superintelligenza artificiale, che per definizione sarebbe imbattibile e quindi diverrebbe un’arma letale. Hyppönen accenna all’idea da brivido che siano governi dittatoriali a ottenere per primi una superintelligenza artificiale e la usino come arma per i propri scopi. Per questo è favorevole al modo in cui OpenAI sta gestendo quest’esplosione di IA.




La seconda parte è disponibile qui.

Nessun commento: