Trasparenza: WithSecure ha
offerto il volo e l’alloggio che hanno reso possibile la mia partecipazione.
Le foto sono mie salvo diversa indicazione. Ultimo aggiornamento: 2023/06/28
21:30.
Sono a Helsinki con la Dama del Maniero per un paio di giorni per partecipare
alla conferenza di sicurezza informatica SPHERE23.
Questo è il programma
degli ospiti che parleranno all’evento. Aggiornerò man mano questo articolo
per includere una sintesi delle informazioni fornite dai vari relatori.
24 maggio
Si comincia con un pre-evento riservato alla stampa, con il CEO di WithSecure
Juhani Hintikka. Cita un dato a margine molto interessante: la fiducia nel
governo in Finlandia è al 64%, contro un 40% di media europea (osservazione
mia: chissà se c’entra il fatto che la Finlandia ha uno dei programmi più
aggressivi di lotta alle fake news sin dai primi anni di scuola).
Propone un approccio che chiama “Outcome security”: sicurezza orientata
ai risultati della specifica azienda, ottenuta combinando in modo flessibile
prodotti e servizi di sicurezza e progettando i processi produttivi in modo da
integrare da subito le considerazioni di sicurezza, non come cosa da
appiccicare a cose fatte. Idea intuitiva, ma gli altri conferenzieri
porteranno dati poco confortanti sulla diffusione di quest’idea nelle aziende,
che per ora è molto scarsa.
Parla Suni Silvanto, Director of Product Marketing dell’azienda. Bella
l’idea di offrire la sorveglianza dei siti e dei sistemi di un’azienda per il
turno di notte, come servizio. Temo che troppe aziende, specialmente piccole,
siano ancora ferme all’idea di
“ho comprato l’antivirus, sono a posto con la sicurezza”.
Poi tocca a Leszek Tasiemski, Head of Products, che parla di
sostenibilità dei servizi di sicurezza: sorprendentemente manca uno standard,
una sorta di etichetta energetica, per il software di sicurezza, ma finalmente
si comincia a studiarne il consumo energetico. Nella sua presentazione mostra
come cambiare alcuni settaggi del software di sicurezza può avere un impatto
notevole sulle bollette energetiche. Però bisogna trovare la maniera di
evitare che la ricerca di risparmi non riduca la sicurezza effettiva. È un
campo completamente nuovo, nel quale c’è da costruire tutto da zero, a partire
dalle interfacce utente. Se vi interessa saperne di più,
iscrivetevi.
Andrew Patel (che ho poi scoperto essere
r0zetta, che seguo su Twitter da tempo) parla di prompt engineering ostile,
con una relazione rapida e ricchissima di contenuti tecnici: generazione di
mail di phishing e spear phishing, harassment di persone
e aziende tramite testi generati da intelligenza artificiale e postati sui
social network, social validation (sfruttamento della fiducia degli
utenti nei post molto popolari), style transfer (per superare barriere
linguistiche o per imitare lo stile di una persona, con creazione di documenti
falsi trojanizzati molto credibili),
opinion transfer (generazione di post che rappresentano uno specifico
punto di vista o una particolare opinione politica, per saturare Internet di
contenuti a favore), fabbricazione massiva di fake news con generazione
di articoli estremamente documentati e credibili. Un fiume di idee che andrà
assolutamente approfondito.
ripreso gli stessi concetti.
Stephen Robinson, Senior Threat Intelligence Analyst, parla di
professionalizzazione del crimine informatico. I profitti delle organizzazioni
criminali sono enormi e quindi queste organizzazioni si stanno strutturando
come aziende, con tanto di outsourcing. Alla base di tutto c’è il
ransomware, con una stima di almeno 2 miliardi di dollari pagati in
riscatti dal 2020, che incentiva a cercare nuove efficienze (perché un piccolo
miglioramento produce ricavi maggiori significativi), e si parla sempre più di
multipoint extortion (non solo crittazione classica, ma anche minaccia
di pubblicazione e di semplice cancellazione dei dati del bersaglio dai suoi
server o dal suo cloud). Il suo rapporto è stato pubblicato
qui.
Ci sono i criminali as-a-service, che offrono il servizio di attacco
chiavi in mano, con figure specialistiche come gli
Initial Access Broker, ossia gente che si limita a penetrare i sistemi
del bersaglio e poi offre questo accesso al miglior offerente: prima attacca,
poi trova qualcuno interessato al bersaglio. Ci sono anche i produttori di
malware as a service. I governi spesso comprano questi servizi per le
proprie campagne ostili: riducono i costi, trovano le competenze e riducono la
possibilità di attribuzione. Soluzioni difensive? Trovare il modo di aumentare
i costi e i rischi per i criminali.
Arriva poi Mikko Hyppönen, CRO di WithSecure e autore del libro
If It’s Smart, It’s Vulnerable. Parla del suo boicottaggio della conferenza RSA per nove anni perché la NSA
aveva corrotto RSA convincendola a installare una backdoor governativa
nei propri firewall. Adesso ci torna, su invito, perché RSA nel frattempo è
stata comprata più volte e ora è di proprietà, stranamente, di un gruppo di
insegnanti dell’Ontario. Cita il crollo delle rapine in banca (in Finlandia,
da una ogni due o tre giorni a zero negli ultimi tredici anni) perché oggi le
banche non hanno più contanti e conviene di più attaccare con un
trojan che con una pistola. Dice che la nostra generazione verrà
ricordata dagli storici per tre cose: per essere stata la prima ad andare
online, per essere stata la prima a dover contendere con l’intelligenza
artificiale e per aver ucciso la privacy.
Hyppönen parla poi del branding delle bande criminali e dei
cybercrime unicorns: organizzazioni illegali che hanno risorse
economiche superiori al miliardo di dollari e sono strutturate come aziende,
con esigenze di gestione della reputazione e di servizio professionale, perché
se non sono credibili e affidabili (nel commettere i propri reati e nel
ripristinare i dati crittati se la vittima paga) non avranno successo. Allo
stesso tempo, le autorità reagiscono con tecniche innovative come lo
smembramento di queste organizzazioni ottenuto offrendo taglie; questo porta a
delazioni interne e guerre intestine fra bande, anche in Russia. Ma la
collaborazione internazionale contro questi criminali è praticamente finita
con l’invasione dell’Ucraina; risulta che i criminali informatici russi siano
stati tutti rilasciati senza condanne. Hyppönen cita una vera e propria
spy-story ricca di tecniche innovative: quella dell’attacco dell’FBI
alla banda criminale Hive (l’FBI infiltrò Hive, diventando affiliata e dando
le chiavi di decrittazione alle vittime).
Mikko parla di deepfake in tempo reale e presenta la sua teoria sul
motivo per cui Meta ha investito oltre 13 miliardi di dollari nel metaverso:
per acquisire dati dettagliatissimi sulle reazioni delle persone, per esempio
con l’analisi delle reazioni dell’iride alla visione di oggetti e persone, che
permette di conoscere le emozioni delle persone e vendere questi dati a scopo
pubblicitario. In pratica, un’estensione di quello che ha fatto Facebook per
anni.
Noi giornalisti abbiamo poi un’occasione speciale: una chiacchierata con
Victor Zhora, uno dei principali responsabili della sicurezza informatica
ucraina. Zhora era in collegamento via Teams da Kiev (era prevista la sue
presenza, ma gli ultimi sviluppi della situazione attuale lo hanno impedito).
Pur dovendo restare vago per non dare informazioni al nemico potenzialmente in
ascolto (fra i giornalisti, per esempio; si ragiona così in tempi di guerra),
ha spiegato moltissimi dettagli dei problemi inattesi (anche legislativi) di
sicurezza informatica in uno scenario di conflitto vero e proprio, combattuto
sia fisicamente, con la distruzione delle infrastrutture, sia digitalmente,
tramite denial of service, disseminazione di disinformazione e anche
(aspetto molto interessante e inatteso) acquisizione di informazioni sul
territorio attraverso le telecamere di sicurezza private vulnerabili. La
Russia sta usando concretamente queste telecamere per avere riscontri sui
risultati dei suoi attacchi, per cui è necessario trovare il modo di mettere
in sicurezza le webcam private e aziendali (e di convincere i cittadini a
farlo).
—
L’evento vero e proprio inizia nel pomeriggio. A Helsinki c’è un clima
primaverile, tiepido e con un cielo limpido che rende ancora più godibile
spostarsi per la città. Qui regna incontrastata la mobilità pubblica e
leggera: tram, monopattini elettrici e biciclette ovunque, e tutti
camminano. I viali ampi facilitano la trasformazione della città verso un
traffico più sostenibile. Prendo appunti fotografici anche sulla mobilità
leggera, perché mi sa che nei prossimi anni se ne dovrà parlare molto.
La sala conferenze ha un videowall assolutamente spettacolare e un
impianto audio e luci all’altezza. Che bello assistere a un evento organizzato
bene, dove tutto è chiaramente visibile e udibile.
Dopo l’introduzione di Juhani Hintikka (CEO di WithSecure), c’è un
videocollegamento con Victor Zhora, il responsabile della sicurezza
informatica ucraina che noi giornalisti abbiamo già incontrato online la
mattina e stavolta fa un intervento aperto al pubblico. Pochi dettagli dal
punto di vista tecnico, ma un messaggio molto chiaro: grazie a tutti i paesi
per l’aiuto informatico, logistico e politico nella resistenza contro la
Russia, e attenzione che quello che sta succedendo a noi può succedere a voi,
soprattutto qui in Finlandia, che è ora un paese NATO con una lunga frontiera
diretta con la Russia. L’Ucraina, purtroppo, è il territorio sul quale si
stanno sperimentando in concreto tutte le teorie di cyberguerra e dal quale è
urgente imparare, perché un attacco informatico alle infrastrutture non ha i
limiti di gittata delle armi convenzionali e quindi può avvenire dappertutto.
[2023/06/28: WithSecure ha pubblicato il video, che ho incorporato qui
sotto.]
Poi sono intervenute sul palco Jessica Berlin,
Political Analyst & Strategy Advisor, che ha parlato della sua
drammatica esperienza diretta sul campo in Ucraina; Laura Koetzle,
VP & Group Director presso Forrester Research; e Christine Bejerasco,
CISO di WithSecure, che ha portato dati ed esperienze sul campo nella
sicurezza integrata nel processo produttivo e orientata ai risultati.
[2023/06/28: WithSecure ha pubblicato i video di Berlin e Bejerasco, che ho
incorporato qui sotto.]
Infine è stato il turno di Mikko Hyppönen, con un talk spettacolare
sull’intelligenza artificiale intitolato Artificial Evil.
[2023/06/28: il video è disponibile
qui
insieme alla mia trascrizione del discorso di Hyppönen.]
Trovate nelle mie foto qui sotto qualcuna delle tante idee proposte nelle
slide di Mikko: c’è abbastanza materiale per una vita di articoli, con scenari
positivi e negativi sull’intelligenza artificiale generalista e sulla
superintelligenza artificiale, che per definizione sarebbe imbattibile e
quindi diverrebbe un’arma letale. Hyppönen accenna all’idea da brivido che
siano governi dittatoriali a ottenere per primi una superintelligenza
artificiale e la usino come arma per i propri scopi. Per questo è favorevole
al modo in cui OpenAI sta gestendo quest’esplosione di IA.
La seconda parte è disponibile
qui.