In un mondo interconnesso, la sicurezza informatica è diventata una priorità imprescindibile. Ogni giorno, attraverso i nostri dispositivi, comunichiamo ai fornitori di servizi informazioni sulle nostre passioni e necessità. Tutta la nostra vita è caricata sui server delle piattaforme cloud, accessibile con un’identificazione digitale. Tuttavia, possiamo fidarci ciecamente di questa tecnologia?
Per rispondere a questa domanda, abbiamo intervistato il Professor Roberto Di Pietro, docente ordinario di sicurezza informatica presso l’HBKU – College of Science and Engineering.
Ubiquitous computing: di cosa si tratta?
«È un concetto vecchio di 25 anni e parte dall’ipotesi di smart dust: l’idea è che la computazione viene resa sempre più disponibile su dispositivi micro-elettromeccanici con capacità di computazione e si disperde il “granello” di computazione un po’ ovunque. Il sogno è quello di avere la capacità di calcolo dove serve localmente e avere una connettività globale.
Questo concetto, che ha preso diversi nomi: tra cui smart dust e anche IoT, impone un livello di sicurezza superiore, perché questi dispositivi sono dispersi e unattended ed è facile compromettere un grande numero di nodi in maniera fisica o automatizzata. Così, la rete può essere compromessa su vasca scala».
Utilizzo della tecnologia anche nel campo della salute. Quali sono le conclusioni più interessanti del suo articolo sulla Smart Health? Verso che direzione stiamo andando?
«Sicuramente i vantaggi apportati dal ricorso alla miniaturizzazione risulteranno estremamente efficaci nell’ambito della precision medicine. Cioè la possibilità di personalizzare, ad esempio, i dosaggi farmacologici, sulla base di caratteristiche specifiche del singolo individuo, come il peso, l’età e la composizione del sangue. Questi dispositivi, per fare in modo che siano facilmente leggibili e controllabili anche da operatori medici, sono ideati come dei piccolissimi computer, con una capacità di calcolo e comunicazione.
Una simile tecnologia, però, non è esente da rischi; infatti, ci sono già stati dei casi in cui, per fortuna in ambiente controllato, le pompe per diabetici sono state hackerate tramite wireless. Questo è un problema di safety, legata al parametro vitale dell’individuo, quindi è abbastanza preoccupante. La cosa potrà solo peggiorare.
Ma immaginiamoci quando avremo molti dispositivi embedded cioè impiantati, ad esempio i chip per il pagamento elettronico sul polso, dove ora vengono inseriti quelli sperimentali. Sono comunque dispositivi che rispondono ad un impulso elettromagnetico.
E ancora più avanti nel futuro, ciascuno di noi avrà una serie di sensori sottocutanei che potranno svolgere diverse funzioni, come monitorare i parametri vitali, esaminare il nostro stile di vita, suggerire modifiche a livello di alimentazione e allenamento, allertarci in caso di emergenza. Ma tutti i dispositivi che possiedono capacità di calcolo e connessione, e quindi di raggiungibilità, presentano un punto di accesso per malintenzionati.
Una soluzione potrebbe essere rappresentata, ad esempio, dalla possibilità che a questi dispositivi sia associato un meccanismo di autenticazione, quindi quando vado in giro posso essere riconosciuto e avere accesso ai servizi a cui sono intitolato. Il ricorso a questo tipo di tecnologie, da una parte, rende la vita più sicura e semplice, dall’altra, però, comporta dei rischi che attengono alla sicurezza, pensiamo infatti a quello relativo al furto di identità.
Tra l’altro questi dispositivi, per esigenze energetiche e di posizionamento, devono per forza essere di dimensioni il più possibile ridotte; quindi, non si possono aggiungere quei layer di sicurezza che in generale li rendono un po’ più solidi rispetto a dispositivi come un caricabatterie lasciato in aeroporto».
Parlando di social network, una delle tematiche di più difficile discernimento è quella relativa alla loro automazione e alla capacità dell’essere umano di porvi un freno. Cosa sono i social spambot e quali sono i risultati della ricerca effettuata su Twitter?
«I social network in generale rappresentano una questione problematica. Il più evidente è costituito dalla circolazione di fake news, perché hanno un impatto più evidente dal momento che, specialmente negli USA, la maggior parte delle persone è solita accedere alle informazioni esclusivamente tramite i social network. Numerosi studi dimostrano che l’informazione non filtrata favorisce o chi ha più mezzi, come gli spambot che propagano i contenuti, o chi grida di più. Quindi è difficile che un contenuto ragionato riesca ad affermarsi.
I bot sono uno degli strumenti preferiti per imporre la propria voce e l’agenda del discorso, perché quelli oggi in uso non sono più facilmente riconoscibili come account fake, in quanto gestiti da intelligenze artificiali in grado di simulare il linguaggio umano. Con l’evoluzione dei bot, bisogna far evolvere di pari passo anche l’analisi, implementando intelligenza artificiale e machine learning. Il punto è riuscire a individuare sempre più velocemente quei piccoli segnali chiamati “tracce deboli” che riescono a svelare che un profilo Twitter è un bot.
Questo processo va di pari passo con la difficoltà nell’identificazione delle fake news; tuttavia, apre un intero mondo di ricerca sulle strategie di propaganda, ambito di studio attualmente di estremo interesse, dal momento che fornisce tutta la mole di dati necessari a fare indagini di buona qualità.
Stiamo lavorando su un’analisi del sentiment del conflitto Russia-Ucraina attraverso uno studio su due milioni di tweet. Uno spoiler: è vero che i Russi hanno dei bot che tentano di inquinare il dibattito, ma non sono abbastanza per influenzarlo davvero, dunque l’allarmismo iniziale non era giustificato».
Se, invece, le chiedessi cosa si intende per social fingerprinting, altro tema di uno dei suoi articoli?
«Tutte quelle attività che l’utente compie online che lo caratterizzano. Ad esempio, se io avessi un’identità fittizia che si esprime su diversi social network, le attività che mi vedono coinvolto possono essere analizzate a livello semantico, rivelando l’identità grazie al proprio stile di scrittura e agli argomenti trattati. Fino a risalire ad un elenco di pochi nomi. Una tecnica di questo tipo è stata utilizzata per risalire all’identità dei fondatori di Qanon. È un approccio antico come gli studi calligrafici, semplicemente riportato nelle tecnologie di oggi.
Ormai da molto tempo, ogni browser è personalizzato sull’utente: veniamo profilati e riconosciuti in base al modo di utilizzo, non più in base all’IP, che può variare. Nel campo del marketing, questa strategia è facilmente praticabile, mentre, per quanto riguarda i fenomeni sociali, metterla in pratica risulta più complesso. Più passiamo il tempo a esporci a una fonte e più rilasciamo informazioni su noi stessi che poi gli algoritmi e le IA, potendo lavorare con un enorme mole di dati, riescono a risalire quasi individualmente alle preferenze della persona».
Il cloud è il sistema di archiviazione oramai scelto da tutti. Quali sono i suoi limiti, soprattutto in termini di sicurezza?
«Quando parliamo di sicurezza, la questione principale è farsi un modello dell’avversario che si vuole contrastare, solo una volta compiuto questo passo si possono definire le misure di sicurezza che consentono di usare i propri asset in un ragionevole trade off costo-prestazioni.
Per quanto riguarda il cloud, una delle cose più importanti è la collocazione geografica del provider e, di conseguenza, la normativa a cui deve sottostare: se è sul territorio europeo, il GDPR viene in grande aiuto e i dati non possono essere utilizzati in modo diverso da quanto concesso dal responsabile, però se per sfortuna hai scelto un provider con i server sul territorio non europeo il GDPR non è valido, anche se in teoria è una direttiva extraterritoriale.
Perché dico “in teoria”: la domanda da un milione di dollari è “Chi controlla?”. Se, per esempio, un server si trova negli Stati Uniti dove non c’è nessuna legge forte sulla privacy – con l’eccezione California – tutti i nostri dati vengono bellamente scannerizzati letti, riletti e tenuti per l’eternità.
Come fare? La prima cosa scegliere accuratamente il servizio di cloud che uno vuole sfruttare, leggendo attentamente i termini di servizio. Cosa che giustamente non fa nessuno, specie se l’account è gratis; in quel caso, state sicuri che i vostri dati verranno monetizzati prima possibile. Poi, ci sono altri tipi di soluzioni: ad esempio, se un’azienda ha solo necessità di archiviazione, può pensare anche a dei livelli di encryption proprietaria, utilizzando un algoritmi pubblico e poi carica i dati sul cloud. In quel modo è un dead data cioè inutilizzabile per l’opponente. In alternativa, è sempre meglio utilizzare provider europei e certificati.
Va detto che i maggiori provider scannerizzano e leggono i dati caricati in cloud con finalità di marketing e profilazione, non hanno alcun interesse a rubare il brevetto o un progetto aziendale. Il problema sussiste perché in linea di principio il dato è stato acceduto da terze parti in maniera automatizzata e verrà tenuta per sempre. I nostri dati ci sopravviveranno, quindi scrivete cose carine!».
Parlando sempre di sicurezza e tutela della privacy, che ruolo hanno le tecnologie wireless?
«Dipende sempre dal modello dell’avversario. Nello scenario peggiore ci può essere un attacco molto semplice: la personificazione. So che domani vai all’aeroporto di Fiumicino, arrivo prima di te, ti seguo e creo una rete ad hoc che finge di essere quella dell’aeroporto. Tu ti connetti con la rete fittizia che ti ruba i dati sensibili. Certamente, questo è un attacco mirato e molto costoso, perché richiede una missione sul campo.
Il problema della sicurezza in quanto confidenzialità del dato per le reti wireless si basa sugli algoritmi e i protocolli in essere. Quanto è sicura? Lo è finché non viene rotta.
Se non si ha idea da chi difendersi o si avrà uno spreco enorme di risorse o è impossibile difendersi, a prescindere dalla tecnica. Bisogna trovare il giusto compromesso tra investimento, livello di sicurezza e prestazioni, perché comunque è un layer aggiuntivo che inficia nelle performance. Se tutto va bene, non ti accorgerai che gli attacchi sono stati impediti. L’alternativa, però, è chiudere la stalla dopo che sono scappati i buoi. Un approccio corretto alla sicurezza è che va pensata dall’inizio, sui servizi e sui prodotti, in base agli asset che vuoi proteggere.
Poi il problema sono i punti deboli non controllabili: noi. Se qualcuno vuole rapinare una banca, non attaccherà mai il sistema della banca, ma creerà un app che facilmente verrà scaricata senza troppa cura dagli utenti sul proprio smartphone e da lì potrà accedere a tutti i dati presenti, dall’home banking alla casella mail, privata e professionale.
Come facciamo a rendere sicuri i telefoni? Innanzitutto con l’istruzione, fin dalle elementari, almeno insegnando il pensiero critico quando ci si approccia al mondo online e poi qualche nozione di sicurezza».
Roberto Di Pietro è attualmente professore ordinario di sicurezza informatica presso l’HBKU – College of Science and Engineering a Doha, Qatar. In precedenza, ha lavorato come Global Lead for Security Research presso Bell Labs dal dicembre 2013 all’agosto 2017, coordinando tre dipartimenti di ricerca sulla sicurezza con oltre 40 ricercatori e ingegneri. Ha anche prestato servizio come alto ufficiale tecnico militare presso il Ministero della Difesa italiano per alcuni anni, gestendo progetti ICT complessi incentrati sulla sicurezza al fine di supportare le indagini e i sistemi forensi.
