Trasparenza: WithSecure ha offerto il volo e l’alloggio che hanno reso
possibile la mia partecipazione.
Sono a Helsinki con la Dama del Maniero per un paio di giorni per partecipare
alla conferenza di sicurezza informatica SPHERE23.
Questo è il programma
degli ospiti che parleranno all’evento. Aggiornerò man mano questo articolo
per includere una sintesi delle informazioni fornite dai vari relatori.
24 maggio
Si comincia con un pre-evento riservato alla stampa, con il CEO di WithSecure
Juhani Hintikka. Cita un dato a margine molto interessante: la fiducia nel
governo in Finlandia è al 64%, contro un 40% di media europea (osservazione
mia: chissà se c’entra il fatto che la Finlandia ha uno dei programmi più
aggressivi di lotta alle fake news sin dai primi anni di scuola).
Propone un approccio che chiama “Outcome security”: sicurezza orientata
ai risultati della specifica azienda, ottenuta combinando in modo flessibile
prodotti e servizi di sicurezza e progettando i processi produttivi in modo da
integrare da subito le considerazioni di sicurezza, non come cosa da
appiccicare a cose fatte. Idea intuitiva, ma gli altri conferenzieri
porteranno dati poco confortanti sulla diffusione di quest’idea nelle aziende,
che per ora è molto scarsa.
Parla Suni Silvanto, Director of Product Marketing dell’azienda. Bella
l’idea di offrire la sorveglianza dei siti e dei sistemi di un’azienda per il
turno di notte, come servizio. Temo che troppe aziende, specialmente piccole, siano ancora ferme all’idea di “ho comprato l’antivirus, sono a posto con la sicurezza”.
Poi tocca a Leszek Tasiemski, Head of Products, che parla di
sostenibilità dei servizi di sicurezza: sorprendentemente manca uno standard,
una sorta di etichetta energetica, per il software di sicurezza, ma finalmente
si comincia a studiarne il consumo energetico. Nella sua presentazione mostra
come cambiare alcuni settaggi del software di sicurezza può avere un impatto
notevole sulle bollette energetiche. Però bisogna trovare la maniera di
evitare che la ricerca di risparmi non riduca la sicurezza effettiva. È un
campo completamente nuovo, nel quale c’è da costruire tutto da zero, a partire
dalle interfacce utente.
Andrew Patel parla di prompt engineering ostile, con una relazione
rapida e ricchissima di contenuti tecnici: generazione di mail di
phishing e spear phishing, harassment di persone e
aziende tramite testi generati da intelligenza artificiale e postati sui social network,
social validation (sfruttamento della fiducia degli utenti nei post molto popolari),
style transfer (per superare barriere linguistiche o per imitare lo
stile di una persona, con creazione di documenti falsi trojanizzati molto credibili),
opinion transfer (generazione di post che rappresentano uno specifico
punto di vista o una particolare opinione politica, per saturare Internet di contenuti a favore),
fabbricazione massiva di fake news con generazione di articoli
estremamente documentati e credibili. Un fiume di idee che andrà assolutamente
approfondito.
ripreso gli stessi concetti.
Stephen Robinson, Senior Threat Intelligence Analyst, parla di
professionalizzazione del crimine informatico. I profitti delle organizzazioni
criminali sono enormi e quindi queste organizzazioni si stanno strutturando
come aziende, con tanto di outsourcing. Alla base di tutto c’è il
ransomware, con una stima di almeno 2 miliardi di dollari pagati in
riscatti dal 2020, che incentiva a cercare nuove efficienze (perché un piccolo
miglioramento produce ricavi maggiori significativi), e si parla sempre più di
multipoint extortion (non solo crittazione classica, ma anche minaccia
di pubblicazione e di semplice cancellazione dei dati del bersaglio dai suoi
server o dal suo cloud).
Ci sono i criminali as-a-service, che offrono il servizio di attacco
chiavi in mano, con figure specialistiche come gli
Initial Access Broker, ossia gente che si limita a penetrare i sistemi
del bersaglio e poi offre questo accesso al miglior offerente: prima attacca,
poi trova qualcuno interessato al bersaglio. Ci sono anche i produttori di malware as a service.
I governi spesso comprano questi servizi per le proprie campagne ostili:
riducono i costi, trovano le competenze e riducono la possibilità di attribuzione.
Soluzioni difensive? Trovare il modo di aumentare i costi e i rischi per i criminali.
Arriva poi Mikko Hyppönen, CRO di WithSecure e autore del libro
If It’s Smart It’s Vulnerable. Parla del suo boicottaggio della
conferenza RSA per nove anni perché la NSA aveva corrotto RSA convincendola a
installare una backdoor governativa nei propri firewall. Adesso ci
torna, su invito, perché RSA nel frattempo è stata comprata più volte e ora è
di proprietà, stranamente, di un gruppo di insegnanti dell’Ontario. Cita il
crollo delle rapine in banca (in Finlandia, da una ogni due o tre giorni a
zero negli ultimi tredici anni) perché oggi le banche non hanno più contanti e
conviene di più attaccare con un trojan che con una pistola. Dice che
la nostra generazione verrà ricordata dagli storici per tre cose: per essere
stata la prima ad andare online, per essere stata la prima a dover contendere
con l’intelligenza artificiale e per aver ucciso la privacy.
Hyppönen parla poi del branding delle bande criminali e dei
cybercrime unicorns: organizzazioni illegali che hanno risorse
economiche superiore al miliardo di dollari e sono strutturate come aziende,
con problemi di reputazione e di servizio professionale, perché se non sono
credibili e affidabili (nel commettere i propri reati e nel ripristinare i
dati crittati se la vittima paga) non avranno successo, Allo stesso tempo, le
autorità reagiscono con tecniche innovative come lo smembramento di queste
organizzazioni ottenuto offrendo taglie; questo porta a delazioni interne e
guerre intestine fra bande, anche in Russia. Ma la collaborazione
internazionale contro questi criminali è praticamente finita con l’invasione
dell’Ucraina; risulta che i criminali informatici russi siano stati tutti
rilasciati senza condanne. Hyppönen cita una vera e propria
spy-story ricca di tecniche innovative: quella dell’attacco dell’FBI
alla banda criminale Hive (l’FBI infiltrò Hive, diventando affiliata e dando
le chiavi di decrittazione alle vittime).
Mikko parla di deepfake in tempo reale e presenta la sua teoria sul
motivo per cui Meta ha investito oltre 13 miliardi di dollari nel metaverso:
per acquisire dati dettagliatissimi sulle reazioni delle persone, per esempio
con l’analisi delle reazioni dell’iride alla visione di oggetti e persone, che
permette di conoscere le emozioni delle persone e vendere questi dati a scopo
pubblicitario. In pratica, un’estensione di quello che ha fatto Facebook per
anni.
Noi giornalisti abbiamo poi un’occasione speciale: una chiacchierata con
Victor Zhora, uno dei principali responsabili della sicurezza informatica
ucraina. Zhora era in collegamento via Teams da Kiev (era prevista la sue
presenza, ma gli ultimi sviluppi della situazione attuale lo hanno impedito).
Pur dovendo restare vago per non dare informazioni al nemico potenzialmente in
ascolto (fra i giornalisti, per esempio; si ragiona così in tempi di guerra),
ha spiegato moltissimi dettagli dei problemi inattesi (anche legislativi) di
sicurezza informatica in uno scenario di conflitto vero e proprio, combattuto
sia fisicamente, con la distruzione delle infrastrutture, sia digitalmente, tramite denial of service, disseminazione di disinformazione e anche (aspetto molto interessante e
inatteso) acquisizione di informazioni sul territorio attraverso le telecamere
di sicurezza private vulnerabili. La Russia sta usando concretamente queste
telecamere per avere riscontri sui risultati dei suoi attacchi, per cui è
necessario trovare il modo di mettere in sicurezza le webcam private e
aziendali (e di convincere i cittadini a farlo).
—
L’evento vero e proprio inizia nel pomeriggio. A Helsinki c’è un clima
primaverile, tiepido e con un cielo limpido che rende ancora più godibile
spostarsi per la città. Qui regna incontrastata la mobilità pubblica e
leggera: tram, monopattini elettrici e biciclette ovunque, e tutti
camminano. I viali ampi facilitano la trasformazione della città verso un
traffico più sostenibile. Prendo appunti fotografici anche sulla mobilità
leggera, perché mi sa che nei prossimi anni se ne dovrà parlare molto.
La sala conferenze ha un videowall assolutamente spettacolare e un
impianto audio e luci all’altezza. Che bello assistere a un evento organizzato
bene, dove tutto è chiaramente visibile e udibile.
Dopo l’introduzione di Juhani Hintikka (CEO di WithSecure), c’è un
videocollegamento con Victor Zhora, il responsabile della sicurezza
informatica ucraina che noi giornalisti abbiamo già incontrato online la
mattina e stavolta fa un intervento aperto al pubblico. Pochi dettagli dal
punto di vista tecnico, ma un messaggio molto chiaro: grazie a tutti i paesi
per l’aiuto informatico, logistico e politico nella resistenza contro la
Russia, e attenzione che quello che sta succedendo a noi può succedere a voi,
soprattutto qui in Finlandia, che è ora un paese NATO con una lunga frontiera
diretta con la Russia. L’Ucraina, purtroppo, è il territorio sul quale si
stanno sperimentando in concreto tutte le teorie di cyberguerra e dal quale è
urgente imparare, perché un attacco informatico alle infrastrutture non ha i
limiti di gittata delle armi convenzionali e quindi può avvenire dappertutto.
Poi sono intervenuti sul palco Jessica Berlin,
Political Analyst & Strategy Advisor, che ha parlato della sua
drammatica esperienza diretta sul campo in Ucraina; Laura Koetzle,
VP & Group Director at Forrester Research; Christine Bejerasco,
CISO di WithSecure; e infine Mikko Hyppönen, con un talk spettacolare
sull’intelligenza artificiale intitolato Artificial Evil.
Trovate nelle foto qui sotto qualcuna delle tante idee proposte nelle slide di Mikko: c’è abbastanza materiale per una
vita di articoli, con scenari positivi e negativi sull’intelligenza artificiale generalista e sulla superintelligenza artificiale, che per definizione sarebbe imbattibile e quindi diverrebbe un’arma letale. Hyppönen accenna all’idea da brivido che siano governi dittatoriali a ottenere per primi una superintelligenza artificiale e la usino come arma per i propri scopi. Per questo è favorevole al modo in cui OpenAI sta gestendo quest’esplosione di IA.
