Abstract: le scuole sono chiamate a gestire la complessa sfida della privacy. In un sistema nel quale la tutela dei dati personali diventa sempre più impellente a causa dell’informatizzazione delle procedure e dell’utilizzo sempre più massivo della Rete nella didattica, proteggere e tutelare i dati personali degli studenti, del personale scolastico e dei docenti diventa una priorità e necessita di un percorso di responsabilizzazione e consapevolezza di tutti gli attori del sistema Scuola.

Le istituzioni scolastiche, nello svolgimento dei loro compiti istituzionali, hanno l’obbligo e il dovere di attuare le disposizioni normative in materia di dati personali, anche in considerazione dei particolari soggetti titolari e destinatari dei diritti garantiti dalle disposizioni in materia, ovvero gli studenti, che sono per la maggior parte minorenni.

Il lungo processo di attuazione normativa e di adeguamento alle prescrizioni del GDPR ha preso concretamente avvio, nell’ambito del Sistema educativo di istruzione e formazione nazionale, con le prime circolari del MIUR del 2018 che davano le prime indicazioni alle istituzioni scolastiche in merito al Regolamento 679/2016 e al ruolo del Responsabile della Protezione dei dati personali. Si è avviato un percorso di formazione a rete, così come configurato e realizzato per il Piano Nazionale Scuola Digitale, costituito da incontri formativi interregionali indirizzati in prima battuta ai dirigenti scolastici e ai DSGA [1].

Sono quindi trascorsi 4 anni dalle prime disposizioni, tuttavia, nel 2019 il sistema scolastico nazionale ha dovuto affrontare una pandemia senza precedenti nella storia contemporanea facendo emergere tutte le criticità e i problemi in termini di tutela dei dati personali. Si pensi alla DAD, ai dati personali relativi alle vaccinazioni, all’utilizzo intensivo di sistemi cloud per la condivisione di documenti, ai gruppi di instant messaging, all’impiego di software di videoconferenza, solo per citarne alcuni. Tuttavia, l’utilizzo di qualsiasi strumento o l’impiego di qualsiasi software, comporta di per sé un problema di trattamento dati. Minimizzazione, privacy by default, sicurezza, condivisione e trasferimento di dati a soggetti terzi, sono solo alcune delle questioni che in modo diretto o indiretto impattano sull’utilizzo di tali strumenti.

Ebbene, se ci si domanda quale sia lo stato attuale dell’implementazione delle misure di protezione e tutela dei dati personali alla luce della complessità dello scenario anzidetto rapportandolo ad un sistema scolastico in affanno il quadro che emerge è tutt’altro che semplice. Fermo restando l’inesistenza di un sistema di monitoraggio a livello ministeriale centrale o per mezzo degli uffici regionali ogni istituzione scolastica, in virtù della propria autonomia, ha adottato delle proprie misure. Quindi è chiaro che da subito emerge un quadro piuttosto confuso e a macchia d’olio.

L’art. 2-sexies del codice della Privacy sancisce il legittimo trattamento dei dati personali, compresi quelli particolari, ovvero relativi all’origine etnica, razziale o di salute degli studenti da parte delle istituzioni scolastiche. La legittimità del trattamento è rinvenibile nei motivi di interesse pubblico rilevante [2]. A tal fine, la citata norma dispone infatti che “"I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. 2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie: […] bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario".

Tuttavia, qualsiasi trattamento di un dato personale necessita di un’adeguata informazione circa le modalità di trattamento, il fine del trattamento, i diritti degli interessati. Le FAQ del Garante chiariscono a tal fine che “Tutte le scuole – sia quelle pubbliche, sia quelle private - hanno l’obbligo di far conoscere agli “interessati” (studenti, famiglie, professori, etc.) come vengono trattati i loro dati personali. Devono cioè rendere noto - attraverso un’adeguata informativa con le modalità ritenute più opportune, eventualmente anche online - quali dati raccolgono, come li utilizzano e a quale fine” [3]. Ma è proprio sull’informativa che molti istituti scolastici non sono ancora pronti. Secondo una breve indagine condotta attraverso l’analisi dei siti web di circa 150 istituti e licei di istruzione superiore, a fronte di un esiguo numero di istituti dotati di adeguate e complete informative sui diversi trattamenti, un rilevante numero presenta un’informativa non adeguata o incompleta.

In particolare, l’analisi è stata condotta su un campione casuale di 150 Istituti di istruzione superiore suddivisi in 3 macroaree geografiche: Nord, Centro Nord, Centro, Sud. Sono stati quindi analizzati i siti web al fine di verificare la presenza di almeno un’informativa sul trattamento dei dati e la completezza della stessa secondo il seguente schema: presente e completa, presente ma incompleta o insufficiente, non presente o irraggiungibile. L’indice di completezza dell’informativa, per motivi di semplificazione, è stato rapportato alla presenza di dati fondamentali quali: nome del titolare del trattamento, indirizzo e recapito; nome del DPO, indirizzo e recapito; modalità di esercizio dei diritti attinenti al trattamento.

Dall’indagine emerge una tendenza che vede la presenza di un’informativa nel 90% dei casi nei siti web degli istituti del nord e nel centro-nord, per scendere al 75% al centro e al 40% al sud.

Mentre in alcuni casi le informative sono risultate poco chiare o incomplete, ad esempio, prive dell’indicazione del DPO. In altri casi, le stesse sono esaustive e complete, integrate con la presenza di informative relative a trattamenti trasversali rispetto alle funzioni istituzionali dell’istituto scolastico.

Cosa comporta l’assenza di una informativa o l’incompletezza della stessa? Il Garante nelle sue Faq “Scuola e Privacy”, precisa che “Ogni persona ha diritto di conoscere se sono conservate informazioni che la riguardano, di farle rettificare se erronee o non aggiornate. Per esercitare questi diritti è possibile rivolgersi direttamente al “titolare del trattamento” (in genere l’istituto scolastico di riferimento). Se la scuola non risponde o il riscontro non è adeguato, è possibile rivolgersi al Garante o alla magistratura ordinaria”. In sostanza, l’informativa consente al soggetto interessato di poter esercitare tali diritti e di contattare il titolare del trattamento, ovvero l’Istituto scolastico nella persona del Dirigente Scolastico.

L’informativa, invero, non dev’essere un semplice adempimento, anzi dovrebbe rientrare tra le prime attività da attuare al fine di adeguare il trattamento in un’ottica di accountability, ovvero di responsabilizzazione da parte del titolare. Si parla infatti di ciclo di gestione della privacy, il quale prende avvio proprio dall’informativa e passa per un’analisi dei rischi secondo un approccio definito di “privacy by default” e “privacy by design”. Ovvero quello di predisporre tutte le misure di tutela e protezione dei dati che vengono trattati in origine, già nella fase di progettazione del servizio, del software o del semplice trattamento cartaceo. Insomma, il titolare dev’essere consapevole che sta trattando dei dati, deve trattarli in modo lecito e per le finalità che gli sono consentite.

L’informativa assume un ruolo prioritario, in quanto:

1. obbliga a mappare e definire i tipi di dati oggetto del trattamento. E’ dall’informativa che viene deciso se i dati che si hanno a disposizione possono essere trattati, in quanto obbliga a ricercare la fonte legittimante del trattamento
2. obbliga l’attuazione di una progettazione del trattamento secondo i principi menzionati (privacy by default e by design)
3. consente di definire le necessità formative del personale autorizzato al trattamento
4. consente di individuare i responsabili del trattamento
5. consente al DPO di prestare adeguata consulenza
6. consente di tracciare i dati e di conoscere quali sono i dati che necessitano di un’eventuale analisi di impatto

Questi sono solo alcuni passi di un percorso che deve necessariamente nascere dalla consapevolezza che il trattamento dei dati personali richiede attenzione costante e un adeguato processo di mappatura e di analisi. La questione non è certamente da sottovalutare, in un contesto nel quale il trattamento dei dati avviene sempre più digitalmente e nei quale i sistemi informativi sono interoperabili, comunicando tra loro, tale patrimonio “genetico” di conoscenze e di analisi risulta di fondamentale importanza per poter affrontare un’eventuale perdita di dati, in particolare se proveniente da attacchi informatici che si concretizzano in un’esfiltrazione di dati.

Su ICTED abbiamo affrontato in diversi articoli [4] il problema della sicurezza informatica. Invero, si tratta di un tema che risulta assolutamente intrecciato a quella della tutela dei dati personali. Caso emblematico è quello dell’Università di Pisa che subito recentemente un attacco ransomware dalla nota cyber gang Alphv [5], che ha consentito l’esfiltrazione – secondo quanto riferito dalla stessa organizzazione cyber criminale - di oltre 50 GB di dati riservati degli studenti [6]. Dati che possono ovviamente essere rivenduti o riutilizzati per rubare identità.

Le implicazioni, da un punto vista privacy, sono riconducibili ovviamente ad un data breach, ovvero ad una rilevante violazione dei dati personali. Tale termine individua tutti i casi in cui avviene in modo accidentale o appunto illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Cosa deve fare il titolare in caso di data breach ? Come chiarito dal Garante, “Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.  Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.”

 La gestione di un data breach si rileva più complicata in caso di dati particolari (sensibili) e qualora l’esfiltrazione abbia comportato, di fatto, anche una diffusione dei dati stessi. Il titolare dovrà quindi dimostrare al Garante di aver adottato sino all’evento tutte le misure necessarie per garantire una gestione responsabile dei dati. Ad esempio: l’adozione delle misure minime di sicurezza a livello informatico (misure Agid e ANC), l’esecuzione di backup dei sistemi al fine di garantire la continuità operativa, la detenzione dei soli dati necessari e per il tempo necessario, l’utilizzo di tecniche di criptazione dei dati, l’aggiornamento dei sistemi e la predisposizione di strumenti di protezione dei sistemi informatici sia fisici (ad es. il firewall) che non fisici (software antivirus aggiornati).

L’aspetto informatico, in realtà, si rileva sempre più complesso per questo l’Agid ha adottato un modello di Cloud della PA secondo il principio di cloud first il quale prevede, in sostanza, “una massiccia migrazione dei servizi attualmente erogati in modalità tradizionale verso un ambiente cloud”[7]. Se da un lato la migrazione al cloud rappresenta una vera e propria rivoluzione e un’opportunità di rivisitare i sistemi e adempiere più facilmente alle prescrizioni in materia di privacy [8] dall’altro occorre prestare comune attenzione agli aspetti relativi alla sicurezza e all’addestramento e all’educazione alla sicurezza informatica del personale. Formazione e consapevolezza del personale restano delle costanti di fondamentale importanza.

Cosa possono fare le scuole ? Occorre un approccio programmatico, graduale e di revisione completa per quegli istituti che ancora non hanno iniziato a concepire la gestione di un ciclo della privacy integrato. Partire dalla mappatura dei processi e dei procedimenti, individuare i dati trattati, definire le informative e le implicazioni nell’utilizzo di tali dati. In questo processo occorre individuare un DPO che sia davvero un consulente e per il quale la sua nomina non sia stata un mero adempimento di legge.

Fare rete. Le scuole e gli istituti di ogni ordine e grado possono fare rete per condividere buone pratiche e creare luoghi di confronto virtuale per stabilire modelli e casi di studio su qualsiasi argomento inerente la privacy.

[1] Circolare MIUR del 22-05-2018, https://www.miur.gov.it/documents/20182/0/Prot.+n.+563+del+22+maggio+2018/f2e74faf-9ca7-4e32-a44d-9534057d5330?version=1.0

[2]FAQ Scuola e Privacy. Garante per la protezione dei dati personali. https://www.garanteprivacy.it/home/faq/scuola-e-privacy

[3] Idem

[4] Lo Spear phishing e l’utilizzo di nuove tecniche con la social engineering, Anno IV – n.4 – Gennaio 2022; Protezione dei dati: stop agli errori più comuni. https://www.ictedmagazine.com/index.php/sicurezza-informatica/283-protezione-dei-dati-stop-agli-errori-piu-comuni.html; Dati persi: chi è il colpevole?. https://www.ictedmagazine.com/index.php/sicurezza-informatica/249-dati-persi-chi-e-il-colpevole.html

[5] Università di Pisa vittima di ransomware, pubblicati dati riservati, chiesto riscatto milionario. Cybersecurity360. https://www.cybersecurity360.it/nuove-minacce/ransomware/universita-di-pisa-vittima-di-ransomware-online-dati-riservati/

[6] Attacco Informatico all’Università di Pisa. La Timeline. Red Hot Cyber - Sicurezza informatica, cybercrime, hack news, e altro ancora. https://www.redhotcyber.com/post/attacco-informatico-alluniversita-di-pisa-la-timeline/

[7] Il Cloud Enablement. Docs Italia.  https://docs.italia.it/italia/piano-triennale-ict/cloud-docs/it/stabile/cloud-enablement.html

[8] Cloud nazionale, la PA diventerà più snella: ecco tutti i cambiamenti. Agenda Digitale. https://www.agendadigitale.eu/infrastrutture/cloud-nazionale-la-pa-diventera-piu-snella-ecco-tutti-i-cambiamenti/

Cos’è Log4Shell, una delle più grandi vulnerabilità riscontrate di recente e che sta creando gravi problemi sulla rete e sugli applicativi che racchiudono questa vulnerabilità. Questa minaccia rischia di mettere a dura prova la sicurezza dei sistemi informatici aziendali, non tanto per le azioni di rimedio da porre in essere, ma perché la superficie d’attacco potenziale è talmente vasta che richiede, in prima battuta una fase di mappatura per capire quali software contengono questa vulnerabilità. E se da un lato aziende strutturate possono permettersi di ricorrere ai ripari attraverso i l reparti IT, piccole aziende rischiano di trovarsi impreparate e facili prede, con conseguenze notevoli per via della peculiarità della vulnerabilità.

L’Agenzia Italiana per la Cybersecurity, il 10 dicembre 2021, ha lanciato sul proprio sito un Proof of Concept (PoC) identificando una vulnerabilità grave relativa al prodotto Apache Log4j. Si tratta di una vulnerabilità zero-day, all’interno del modulo open source Log4j di Apache Project. Uno dei framework di logging, più utilizzati, scritto in Java e distribuito da Apache Software Foundation che gli sviluppatori utilizzano per tenere traccia dell’attività del software nelle app cloud e aziendali. 

Secondo gli esperti, si tratta della più grande falla degli ultimi decenni e sta causando gravi problematiche a moltissime aziende che utilizzano software scritti con questa libreria. Questa falla, denominata Log4j 2, permette a chiunque abbia un minimo di esperienza con i computer di attaccare infettare e sfruttare questa vulnerabilità per prendere il controllo di un sistema infetto. La criticità di tale vulnerabilità è stata classificata dallo CSIRT con un valore d’impatto pari al valore Grave/Rosso., mentre l’agenzia MITRE l’ha classificato con un valore 10 su una scala di 10.
Nella nota pubblicata dall’Agenzia per la Cybersecurity, del 12 dicembre 2021, si riporta che sussiste “la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete e considerando la sua semplicità di sfruttamento, anche da parte di attori non sofisticati, rende la segnalata vulnerabilità particolarmente grave".

Questa vulnerabilità è stata scoperta dopo che sono stati compromessi, per primi, i server del noto videogioco Minecraft, dove alcuni giocatori hanno iniziato a mandare delle stringhe di testo del codice per sfruttare la suddetta vulnerabilità. Ma non è solo il noto videogioco ad essere preso di mira: Twitter, Amazon, LinkedIn, Apple e molti altri sistemi possono essere aggrediti sfruttando questa vulnerabilità. Secondo, gli esperti, dal momento in cui è stata resa pubblica, gli attacchi che sfruttano questa criticità sono cresciuti in maniera esponenziale; il Check Point Research ha registrato “oltre 100 hack al minuto, 200.000 attacchi dopo 24 ore dalle rilevazioni iniziali, che sono diventati 800.000 dopo 72 ore, e a cui ne vanno aggiunti altri 40.000 registrati solo sabato scorso.”

Si stima che oltre 90 Paesi in tutte le regioni del mondo e oltre il 60% delle reti aziendali risultano colpite. In Italia la situazione si manifesta con oltre il 43% delle reti aziendali che hanno subito un tentativo di exploit.

Analizzando le modalità con cui essa viene sfruttata, si nota che la maggior parte degli attacchi si concentrerebbe sull'installazione di estrattori di cryptovalute e tentativi di attacchi per distribuire Trojan, Botnet e Ransomware, questi ultimi sempre più utilizzarti per rubare dati sensibili, documenti di identità, contratti e chiedere riscatti. Secondo quanto sostenuto dai ricercatori di Bitdefender, i criminali informatici stanno tentando di diffondere Khonsari, una nuova famiglia di ransomware, per colpire i sistemi basati su Windows e il Trojan (RAT) di accesso remoto Orcus. La maggior parte dei primi attacchi finora ha preso di mira i server Linux e sarebbero principalmente di “reverse bash shell”, tecnica utilizzata per guadagnare un punto d'appoggio nei sistemi per sfruttarli in un momento successivo.

Inoltre, sarebbero molte e diversificate applicazioni che utilizzano il framework in esecuzione su sistemi operativi come Windows, Linux, macOS e FreeBSD. Java, inoltre, alimenta web cam, sistemi di navigazione per auto, lettori DVD e set-top box, vari terminali e persino parchimetri e dispositivi medici. Di conseguenza, questa vulnerabilità potrebbe avere un effetto catena molto significativo e risulta difficile prevedere la portata totale e l'impatto a lungo termine della vulnerabilità.

Allo stato attuale, Apache ha rilasciato già la terza patch, dopo le che le prime due rilasciate avevano al loro interno altre vulnerabilità. La problematica non sta nella difficoltà di andare a “riscrivere” il codice, quanto nel fatto che sono quasi tutte le applicazioni che si trovano all’interno di un perimetro aziendale che sono colpite e questo fa si che ci sia dietro un lavoro meticoloso.

Allo stato attuale, gli esperti consigliano non solo di seguire gli aggiornamenti di patch ma di effettuare back-up di dati personali, in modo tale da poter avere sempre una copia in caso si subisse un attacco.

Questa vulnerabilità deve far riflettere sulla sempre più dipendenza dai sistemi informatici che a sua volta deve essere accompagnata da una cultura della sicurezza che pone il dato al primo posto. Il rischio che questa vulnerabilità venga sfruttata dagli hacker è sotto gli occhi di tutti, e se da un lato, aziende robuste composte da un reparto IT proattivo e aggiornato sul tema possono limitare le conseguenze di questa vulnerabilità; il discorso si complica per aziende piccole che hanno adottato applicazioni che vanno ad impattare il proprio business e che contengono questa vulnerabilità che ha come caratteristica quella di sfruttare e andare ad impattare sui log.

Infatti, gli aggressori possono inviare richieste in cui le intestazioni HTTP sono "spruzzate" con stringhe dannose, costruite per stuzzicare l'applicazione ricevente nell'esecuzione della sostituzione del messaggio, a quel punto l'applicazione attiva la vulnerabilità e carica o esegue il codice remoto.

Secondo gli esperti, nonostante tale vulnerabilità venga sanata, la grossa mole di attacchi che sono stati portati avanti durante questa fase, comporterà delle ripercussioni notevoli che protrarranno i propri effetti anche nel lungo- medio periodo. Questa situazione è dovuta anche dal fatto che: come detto sopra, sfruttare questa vulnerabilità richiede competenze basilari, la superfice delle applicazioni che potenzialmente possono essere attaccate è notevole ed inoltre è difficoltoso andare ad intervenire su ciascuna delle singole applicazioni, senza il rischio che venga dimenticata qualcuna.

Ma la problematica investe anche il modo con cui si va a scrivere un determinato codice, sfruttando librerie open source  e quindi lo sviluppo del software, aprendo un dibattito alla luce di quella che può essere definita come la più grande falla IT.

Abstract - La rapida diffusione dei ransomware comporta la necessità di adottare misure tecniche organizzative adeguate per assicurare un trattamento ed una protezione dei dati dei sistemi informativi conforme alle norme del GDPR.La nuova guida pubblicata dal Computer Security Incident Response Team – Italia consente di avere una visione di tutte le misure basilari da assicurare con specifico riferimento al fenomeno dei ransomware che comportano un rischio elevato per la protezione dei dati personali.

di Andrea Cortese*

di Davide Sorrentino

La protezione dei dati continua ad essere un tema prioritario nel mondo delle tecnologie per l’informazione e, senza dubbio, sarà anche nel prossimo futuro. Il vertiginoso aumento dei dispositivi connessi ed interconnessi, ha “generato” una crescita esponenziale degli attacchi informatici e delle violazioni dei dati degli utenti. In molti casi, come abbiamo scritto in passato, gli attacchi sono condotti da gruppi criminali allo scopo di rubare o cifrare informazioni per poi chiedere un sostanzioso riscatto affinché non vengano divulgati o distrutti totalmente. Per fronteggiare l’emergenza, che ha coinvolto tutti gli Stati, molte aziende del settore della cyber-sicurezza hanno stretto accordi per cooperare ed adottare soluzioni comuni atte a mitigare il più possibile tale piaga. Eppure bisogna rilevare che è abbastanza alta la percentuale di attacchi informatici che sono andati a segno grazie agli errori umani causati dalla sottovalutazione dei rischi o dall’abitudinarietà nello svolgere determinate operazioni.

Per garantire la sicurezza delle informazioni è fondamentale coinvolgere implementare e mantenere efficiente una strategia che preveda il costante monitoraggio della struttura organizzativa tanto dal punto di vista delle macchine che da quello umano. Naturalmente l’approccio non può essere di tipo statico o schematico ma dovrà essere modellato per ogni tipologia di organizzazione valutando le dimensioni della struttura, il settore in cui opera, etc. Nel caso di aziende è importante lavorare ad un piano di sicurezza coinvolgendo tutti i settori aziendali che sono interessati al processo di protezione dei dati, seguendo un modello dinamico che dovrà basarsi su alcuni punti cardine quali:

• consapevolezza;
• formazione;
• valutazione dei rischi costantemente aggiornata;
• responsabilità;
• competenze;
• integrazione della sicurezza delle informazioni in ogni attività.

Analizzando il grave attacco subito dalla Regione Lazio nella scorsa estate è possibile imparare qualcosa dagli errori che si sono succeduti?

Il primo agosto la Regione Lazio ha subito un attacco che ha bloccato il portale per la prenotazione dei vaccini e causato altri problemi con le concessioni edili e la gestione dei rifiuti. Le vere cause che hanno permesso l’accesso ai malintenzionati non sono del tutto chiare ma è certo che a fare da vettore sia stato il PC di un dipendente (collegato in remoto). Senza entrare nel merito della vicenda, è possibile che servano ulteriori regole e soluzioni tecnologiche per fronteggiare i criminali informatici? La risposta più ovvia è sì ma nella realtà non è così. Le norme “sono fatte per essere aggirate” ma è il buon senso dell’utente che può fare la differenza.

Ma quali sono i principali ed i più comuni errori che, se non controllati, potrebbero costituire la causa di una probabile prossima violazione dei dati?

1. Evitare il conformismo - Molte violazioni si verificano a causa di un modello ad obiettivi che, una volta raggiunti, determinano nell’utente o nell’azienda un “rilassamento” che può esporli alle vulnerabilità;
2. Assegnare le responsabilità - Identificare una figura che conosca i punti critici e che sia garante della protezione dei dati permette di evitare un intervento in ritardo in caso di violazione, nonché una gestione ottimale delle situazioni critiche;
3. Monitoraggio e Reattività - Indipendentemente dalla strategia di sicurezza dei dati adottata è fondamentale monitorare gli accessi e l’uso dei dati. Ciò significa che i responsabili dei dati devono essere in condizione di rilevare eventuali criticità nei dati. Va da sé che, sapendo che i cyber-criminali attaccano alla prima occasione utile, è necessario reagire tempestivamente per evitare i punti deboli della rete.

Davide Sorrentino

Ingegnere ed esperto in sicurezza e protezione dei dati

Sitografia

https://unsplash.com/photos/CXlqHmQy3MY

https://www.cybersecurity360.it/nuove-minacce/attacco-alla-regione-lazio-cosa-impariamo-dagli-errori-commessi/

https://protezionedatipersonali.it/regolamento-generale-protezione-dati

https://www.garanteprivacy.it/home/diritti/cosa-e-il-diritto-alla-protezione-dei-dati-personali

https://temi.camera.it/leg18/temi/la_protezione_dei_dati_personali.html

Sono stati individuati i dieci giovani Hacker etici che parteciperanno alla competizione internazionale organizzata dalla European Union Agency for Cybersecurity (ENISA) che individuerà la migliore squadra europea. Le gare di svolgeranno a Praga, in presenza, dal 28 settembre al primo ottobre e vedranno impegnati giovani esperti di sicurezza informatica provenienti da oltre venti nazioni.

Questa sarà la prima uscita ufficiale del TeamItaly, la nazionale italiana di cybersicurezza, che per allenarsi insieme si è incontrata in ritiro, con le dieci riserve, nella prima metà di settembre nei locali del campus ONU di Torino.

Questa estate è scoppiato lo scandalo Pegaso che ha visto l’utilizzo da parte di governi di strumenti di spyware. Tutto è nato da un’inchiesta di Amnesty International e Forbidden Stories che ha rivelato come i sistemi di sorveglianza che l’azienda israeliana NSO ha distribuito a diversi governi del mondo per azioni contro il terrorismo siano stati in realtà utilizzati anche per spiare attivisti, giornalisti, dirigenti d’azienda ed altre figure considerate scomode. Migliaia di numeri di telefono, tra cui quelli di decine di giornalisti delle principali testate mondiali, sono stati spiati da governi autoritari quali Arabia Saudita, Ruanda e Ungheria.

L’Unione Europea e le Nazioni Unite hanno alzato la voce contro i governi coinvolti nello scandalo.

Il Commissario europeo per la Giustizia, Didier Reynders, ha auspicato che vengano scoperti e portati davanti al giudice i responsabili di questo scandalo: “Qualsiasi indicazione che tale violazione della privacy si sia effettivamente verificata deve essere approfonditamente indagata e tutti i responsabili di una possibile violazione devono essere assicurati alla giustizia. Questa è, ovviamente, responsabilità di ogni singolo stato membro dell'UE, e mi aspetto che nel caso di Pegasus, le autorità competenti esamineranno a fondo le accuse e ristabiliranno la fiducia”

Diventa sempre più urgente predisporre una legge europea contro gli spyware per una maggiore tutela della privacy di tutti i cittadini. Inoltre, Reynders, nel suo discorso al Parlamento europeo, nell’affermare che l’Ungheria è uno dei paesi più coinvolti nello scandalo Pegaso, ha sottolineato che l’Unione europea sta seguendo un’indagine dell’autorità di protezione dati di Budapest sull’utilizzo da parte del presidente Viktor Orbán del malware israeliano per sorvegliare giornalisti e membri dell’opposizione.

La commissaria delle Nazioni Uniti per i diritti umani, Michelle Bachelet, ha chiesto una moratoria sulle vendite e sull’utilizzo di sistemi di intelligenza artificiale come gli spyware che spesso sfuggono al controllo delle autorità.

Anche sul tema dell’intelligenza artificiale è in concorso un dibattito serrato che mette in evidenza aspetti indubbiamente positivi contrapposti ad altri certamente discutibili. Bachelet ha inoltre affermato che “l’intelligenza artificiale può essere una forza positiva che aiuta le società a superare alcune delle grandi sfide del presente. Ma le tecnologie di intelligenza artificiale possono aver effetti negativi, persino catastrofici, se vengono utilizzate senza tenere in sufficiente considerazione il modo in cui influiscono sui diritti umani delle persone.”

24/09/2021

© Riproduzione riservata

Il 2020 è stato un anno da dimenticare anche per la sicurezza informatica: enti pubblici e privati si sono fatti trovare impreparati, anche se erano già consapevoli dei rischi.

Uno sguardo critico agli utenti del web, spesso colpevoli di non prendere le dovute accortezze per una navigazione sicura.

 ***

Ospedali bloccati, server ministeriali criptati, logistica in tilt: server inaccessibili e milioni di dati indecifrabili. Il 2020 è stato anche questo… eppure c’erano già stati attacchi simili negli anni passati (vedi caso Maersk[1]) da cui si poteva attingere per cercare una soluzione. E già perché le soluzioni ci sono e, quasi ognuno di noi, almeno una volta ha adottato la soluzione più semplice di tutte: il backup! Banalmente copiare i dati in un dispositivo esterno non connesso alla rete, sia esso una pennetta usb o un hard disk di svariati GB o TB poco importa, è la soluzione più semplice, rapida, economica e soprattutto efficace contro gli attacchi informatici (presenti e futuri!) e non solo. Il backup è l’elemento fondamentale nella progettazione del piano di disaster recovery.

Tipologie di backup

Prima di eseguire un backup è opportuno analizzare i dati, ad esempio in termini di dimensione e tipologia, gli strumenti per l’archiviazione e la metodologia per effettuare la copia. Esistono anche svariati software sia gratuiti sia a pagamento che permettono la gestione dei backup periodici (con notifica per verificare il corretto funzionamento, password ti protezione, etc).

Backup completo

Il backup completo prevede la copia di tutti i dati dal dispositivo di origine al dispositivo di destinazione. In termini di funzionalità questo è il più sicuro poiché permette di recuperare i dati allo stato della creazione della copia. Tuttavia ha lo svantaggio di richiedere più tempo e maggior spazio di archiviazione rispetto ai backup riportati di seguito.

Backup incrementale

Partendo da un iniziale backup completo, con questa tecnica, è possibile effettuare le copie soltanto dei dati che sono stati modificati rispetto all’ultimo backup eseguito. Il vantaggio immediato è che si tratta di una procedura abbastanza veloce a discapito, però, dei tempi necessari al ripristino dei dati in caso di emergenza. Non di meno, bisogna considerare anche che se un backup ha un errore esso si ripercuoterà anche sui successivi backup.

Backup differenziale

Partendo dall’ultimo backup effettuato, questa tecnica prevede la copia dei dati modificati. In questo modo, in caso di ripristino verrà utilizzato l’ultimo backup completo migliorando la velocità del ripristino stesso. Con il backup differenziale però si ha la ridondanza dei dati copiati e una mole di dati molto grandi.

Soluzioni hardware

Come già sottolineato in fase introduttiva, affinché il backup abbia senso è fondamentale che i dati vengano archiviati in un dispositivo diverso da quello di origine. A seconda del campo di applicazione è possibile scegliere tra le seguenti soluzioni:

• Server, utilizzata soprattutto da aziende ed enti pubblici, adottando dispositivi di archiviazione di massa;
• Dispositivi rimovibili, come hard disk esterni e penne USB, utilizzate per lo più in campo domestico e fortemente sconsigliate in campo aziendale per via della fragilità dei dispositivi stessi e della scarsa protezione contro i malintenzionati;
• NAS, che sono in grado di comunicare in rete e sono dotati di supporto RAID per garantire la ridondanza dei dati sui dischi installati. Questa soluzione permette di avere una buona velocità sia in fase di backup sia in fase di ripristino;
• Cloud, con possibilità di creare una copia dei dati in un server remoto. Ciò permette di evitare la perdita di dati causata da rotture o da furti, nonché di avere i dati sempre a disposizione per il ripristino. Usufruire dei servizi in cloud è indispensabile per le aziende (e spesso anche per i singoli utenti) ma è sempre opportuno avere una copia di riserva aggiornata a seconda dell’importanza dei dati. È una strategia che non ha svantaggi, a patto che il backup venga eseguito con determinati criteri (importanza dei dati, periodico, etc.), e presenta almeno due vantaggi immediati:
  • in caso di gravi problemi che impediscano di raggiungere i dati allocati sui server del provider è possibile limitare (o annullare del tutto) i disagi utilizzando i dati presenti sull’ultimo backup locale;
  • è una strategia asincrona, nel senso che può essere utilizzata quando si vuole e/o quando si ha necessità (attacco informatico, provider offline, etc.).

Solitamente, il provider[2] specifica nei propri piani contrattuali informazioni circa la disponibilità del servizio, il numero minimo di data center messi a disposizione e quindi il numero di copie dei dati.

È importante monitorare i backup poiché potrebbero esserci errori tecnici o guasti dei vari dispositivi. In generale, è necessario che si venga a creare un avviso che informi il responsabile del backup di eventuali errori o problemi in fase di copia.

Focalizzandoci sulla problematica dei ransomware, quanto finora esposto ci porta ad una drastica conclusione: oggi nessun ente pubblico né privato può incolpare altri per la perdita irreversibile di grosse quantità di dati. Come visto le soluzioni ci sono, quindi, chi perde i dati oggi senza riuscire a recuperarli o cedendo a ricatti per recuperarne il possesso, è colpevole quanto l’autore dell’attacco informatico.

Davide Sorrentino

[1] https://digitalguardian.com/blog/cost-malware-infection-maersk-300-million

[2] Il provider è chi fornisce uno o più servizi internet

Abstract - Il lockdown mondiale causato dal Covid-19 ha generato una massiccia diffusione dei dispositivi connessi in rete. Molte aziende sono state costrette a far lavorare i propri dipendenti da remoto, aprendo la rete aziendale ai PC domestici… non è un caso che il 2020 è stato un anno nero anche per la sicurezza informatica. A preoccupare maggiormente è la diffusione degli stalkerware, invisibili “parassiti” in grado di spiare dettagliatamente la povera vittima.

                                                                                                     ***

 Il Covid-19 ha stravolto la società mondiale non solo dal punto di vista sanitario ma anche economico e sociale. Il mondo del lavoro ha subito uno spiccato cambiamento, soprattutto nel settore dei servizi, per via della remotizzazione del lavoro. La pratica dello “smart working” ha costretto molte azienda ad aprire le proprie reti ai computer domestici dei dipendenti. Tanto è bastato agli hacker per trarre nuove opportunità criminose.

Da un recente report di Kaspersky “The State of Stalkerware 2020” è emerso che almeno 50 mila utenti sono stati spiati attraverso stalkerware[1]. Già nel 2019 Kaspersky aveva dato indicazioni sul fenomeno stalkerware, mostrando come esso differisce dai classici malware perché non punta al furto di dati per scopo di lucro ma mira a danneggiare direttamente la vittima intesa come individuo.

Come funziona

Chi utilizza uno stalkerware è in grado di conoscere dettagliatamente le abitudini e le preferenze di un utente. Le vittime, quasi sempre ignare, sono spesso utilizzate come vettore di un progetto ancora più grande: ad esempio gli stalkerware possono essere utilizzati per controllare i computer personali dei dipendenti di un’azienda per poi aprirsi la strada nella rete aziendale.

Come ci si infetta

Solitamente lo stalkerware si insedia nei dispositivi sfruttando un’attività di phishing, facendo installare il malware con l’inganno. Una volta avvenuta l’installazione è tutto semplice per l’hacker che potrà connettersi al dispositivo e controllarne i messaggi, le chiamate, il GPS, etc.

In altri casi gli stalkerware si installano attraverso:

• applicazioni di tracciamento;
• applicazioni la cui funzione principale consiste nell’estrarre file in background;
• applicazioni che hanno funzionalità di sorveglianza e spionaggio.

 Attualmente gli stalkerware più diffusi sono: AndroidOS.MobileTracker.a, AndroidOS.Cerberus.a, AndroidOS.Nidb.a

Si nota che non sono presenti nell’elenco voci relative ad iOs e ciò è dovuto principalmente al fatto che le installazioni ingannevoli hanno maggior diffusione nei dispositivi che hanno subito “jailbreak” o “root”. Di fatto lo stalkerware punta sulle debolezze del sistema di sicurezza informatico per far breccia nel dispositivo.

Come scoprire se si è infetti

In generale, i malware sono progettati per essere invisibili ma, attraverso la scansione con un antivirus aggiornato è possibile rimuovere la minaccia. Nel caso specifico in cui venga rilevato uno stalkerware è sempre consigliabile denunciare il fatto agli organi di polizia poiché molti dati personali trafugati potrebbero essere utilizzati per scopi malevoli.

Nel caso in cui lo stalkerware fosse presente su un dispositivo mobile è opportuno:

1. controllare le autorizzazioni concesse alle app installate. Ad esempio, se l’applicazione “Scacchi” ha accesso alla posizione è potenzialmente sospetta;
2. disinstallare le app non utilizzate;
3. controllare la cronologia del browser. Se questa è vuota e non è stato l’utente ad eliminarla potrebbe essere stato un hacker;
4. utilizzare una valida soluzione di sicurezza informatica.

Nel momento in cui si ha la consapevolezza di essere spiati bisogna valutare quello che l’aggressore ha potuto rubare e quali reazioni potrebbe avere (minacce, cyberviolenza, etc.) nonché denunciare il tutto alle autorità competenti. A tal proposito è conveniente non eliminare lo stalkerware per evitare di eliminare anche eventuali prove.

Per chi ne avesse bisogno o per chi è semplicemente curioso, si segnala il sito StopStalkerware dove è presente una lista di organizzazioni a cui rivolgersi.

Azioni concrete contro la cyberviolenza

Le minacce mostrate dagli stalkerware hanno portato alla fondazione della Coalition against Stalkerware che riunisce aziende di sicurezza, sviluppatori ed ex-vittime e che si pone come scopi quelli di:

• informare ed educare gli utenti a riconoscere le minacce;
• condividere le conoscenze tra aziende ed organizzazione;
• migliorare la raccolta delle segnalazioni e aumentare le tecniche per neutralizzare gli attacchi.

Davide Sorrentino

Disegno di Stefano Mantella (Instagram)

 Bibliografia

[1] https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2020/03/25175212/EN_The-State-of-Stalkerware-2020.pdf

[2] https://www.ictedmagazine.com/index.php/edi2-4/170-lavorare-da-remoto-e-acquistare-dal-divano-i-pericoli-nell-era-del-coronavirus

[3] https://www.zeusnews.it/n.php?c=27704

Note

[1] Uno stalkerware è uno spyware più evoluto che permette di spiare un individuo per poi condizionare le scelte attraverso ricatti e altre condotte violente.

Abstract - Tra il 14 ed il 15 dicembre il mondo ha assistito a diverse interruzioni dei servizi offerti dalla Google Corporation: Gmail, Youtube, Meet, Maps ed altre utilità hanno smesso di funzionare per poco meno di un’ora. Un disservizio che ha messo in ginocchio il mondo intero. Abbiamo imparato qualcosa da ciò che è accaduto o in futuro saremo ancora più esposti?

***

È bastata solo un’ora per gettare il mondo informatico nell’oscurità e far riempire i social network di segnalazioni, svelando quanto fragili siano le applicazioni su cui molti servizi aziendali si basano.

Qual è stata la causa dei disservizi? Inizialmente su molti blog e su diversi tweet era stata avanzata l’ipotesi di un attacco informatico contro il colosso di Mountain View, soprattutto perché nelle scorse settimane altre aziende del settore come Microsoft sono state coinvolte in attacchi condotti da gruppi di pirati informatici. A smentire questa ipotesi è stata direttamente Google che, per avvalorare quanto affermato, ha reso pubblici i reports con gli errori che hanno coinvolto l’utenza e che, fondamentalmente, sono sati causati da un bug nell’Identity Management System. Da alcuni mesi, infatti, Google ha adottato un nuovo sistema di archiviazione e, già dai primi giorni di ottobre, ha iniziato la migrazione degli strumenti che consentono di identificare e tracciare gli utenti. Tale processo è incappato in un errore che ha portato all’interruzione dei servizi Google che necessitano di autenticazione e/o localizzazione. Al fine di evitare il riproponimento di errori simili, è stato disabilitato temporaneamente il sistema automatico di gestione quote e, contemporaneamente, si analizza nel dettaglio il bug che si è mostrato il 14 dicembre.

Quali sono state le conseguenze per gli utenti? Dalle informazioni diffuse da Google non sono emerse fughe o furti di dati degli utenti. Tuttavia, nell’ora in cui Google è stata offline, migliaia di persone si sono rese conto della “dipendenza” dai servizi offerti dal colosso multinazionale: non era possibile consultare la posta su Gmail o guardare un video su Youtube nell’attesa che i servizi venissero ripristinati. Anche gli insegnati e gli studenti, coinvolti nella didattica a distanza, hanno avuto molte difficoltà perché Meet non era raggiungibile.

Come detto, non ci sono state conseguenze dirette per gli utenti; tuttavia, il disservizio ha messo sotto la lente di ingrandimento la monopolizzazione dei servizi su cui si basano gran parte dei servizi online, tanto mobili quanto aziendali. Immediatamente si è passati da un ragionamento puramente teorico ad un intervento pratico da sviluppare nel minor tempo possibile per cercare di dare continuità alle attività lavorative e non. Ciò significa che bisogna implementare da subito una soluzione di backup, avente una propria rete ben distinta e protetta, che possa entrare in funzione quando i servizi online e in cloud non sono raggiungibili.

Siamo dipendenti dalla tecnologia e dai servizi online ma è fondamentale valutare strategie di emergenza per garantire la continuità alle nostre attività.

Ing. Davide Sorrentino

Abstract - L’evoluzione tecnologica e dell’intelligenza artificiale (IA) ha reso possibile avere a disposizione delle auto che possono “guidare da sole”. Inutile elencare i benefici, specie per chi non ama guidare o semplicemente è costretto a stressanti spostamenti ogni giorno. Ma siamo sicuri che tutta questa autonomia non si trasformi in un incubo per l’utilizzatore?

***

Le auto “che si guidano da sole” sono ormai realtà: online è possibile trovare centinaia di video in cui vedere i test dei prototipi costruiti da diversi produttori (Google, Tesla, etc.). I vantaggi sono innumerevoli ma gli svantaggi che si presentano, possono seriamente ostacolarne la diffusione. La presenza di sensori ed altre componentistiche sempre connesse in rete permettono all’utente di usufruire di interfacce che rendono più piacevole il viaggio ma allo stesso tempo possono fornire un accesso al sistema “veicolo” dall’esterno. Non di meno, bisogna pensare che un’auto connessa coinvolge più utenti (cioè i passeggeri) per cui la sua sicurezza deve essere ri-progettata partendo da zero.

Garantire la privacy, nel caso dei trasporti, significa anche tutelare la sicurezza fisica dei passeggeri, dei pedoni, dei ciclisti, delle altre vetture e di tutto quello che può esserci intorno al veicolo. A tal riguardo, il riferimento per i produttori del settore è dettato dalle linee guida (1/2020)[1] formulate dall’ European Data Protection Board, che fornisce indicazioni sul trattamento dei dati personali per i veicoli connessi e per le applicazioni relative alla mobilità.

Sostanzialmente, i quesiti su cui si dibatte animosamente sono due, uno giuridico ed uno tecnico.

Quesito Giuridico. In caso di incidente, indipendentemente dalla gravità, a chi è imputabile la responsabilità? Alla vettura, quindi al costruttore, o al conducente, che non è stato vigile?

Le normative statunitensi hanno cercato di rimediare fornire una risposta a tale quesito indicando come unico responsabile di eventuali incidenti il conducente. Avere un veicolo autonomo, infatti, prevede che vi sia a bordo sempre un conducente vigile ed attento a cosa accade intorno. (Anche se chi scrive ha molti dubbi a riguardo…)

Quesito Tecnico. Se si parla di vetture autonome significa che queste devono necessariamente essere connesse ed interconnesse con il mondo reale e digitale in tempo reale. Ma cosa accadrebbe se un malintenzionato prendesse il controllo del veicolo tramite un codice malevolo?

Costruire un veicolo immune agli attacchi informatici è un’utopia. La paura che l’auto possa essere controllata da una persona diversa dal conducente a bordo ha spinto tutti i produttori di vetture autonome ad enormi investimenti in sicurezza digitale. La presenza massiccia di sensori e di centraline necessarie per controllare ogni componente della vettura (ad. esempio lo sterzo, i freni, i fari, la chiusura di finestrini e portiere, etc.), rende il veicolo altamente esposto ad un possibile attacco cibernetico. Uno scenario altamente probabile potrebbe essere, ad esempio, il blocco totale dell’auto causato da un attacco ransomware[2] con la successiva richiesta di riscatto per poter accedere al veicolo stesso.

Ad avere i migliori risultati, attualmente, sono le grandi aziende innovative, in grado di sviluppare sistemi in grado di garantire la protezione prima dei dati e dei macchinari in fase di costruzione e poi del software presente a bordo dell’automobile. In ogni caso è fondamentale non limitarsi alla sicurezza presente su altri dispositivi, come smartphone e pc, ma riflettere sulle conseguenze causate da una falla nel sistema.

Davide Sorrentino

Ingegnere Elettronico

Sitografia

https://unsplash.com/photos/JdJrqv7BzhM

Note

[1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en

[2] https://www.ictedmagazine.com/index.php/edi2-4/49-l-infezione-del-nuovo-millennio-il-ransomware

Abstract - Dal film Metropolis del 1927 al biochip dei giorni nostri: da sempre l’uomo ha sognato di emulare le funzioni umane con apparecchiature meccaniche prima ed informatiche dopo. È possibile riprodurre la mente ed i processi cognitivi in un apparato informatico? Cosa ci riserva il futuro? Vivremo fianco a fianco con i cyborg?

***

Cos’è l’intelligenza artificiale?

Il concetto di Intelligenza Artificiale (IA) non è un’invenzione della nostra epoca ma trova le basi nei primi anni ’40 del XX secolo con il lavoro “A logical calculus of the ideas immanent in nervous activity” degli scienziati McCulloch e Pitts, cui seguirono i primi prototipi di reti neurali¹. Nonostante gli sforzi fatti dai tanti scienziati che si sono susseguiti nel corso del ‘900, il primo concreto passo in avanti è stato fatto nel corso degli anni ’90, soprattutto grazie alla diffusione nel mercato delle GPU².

L’IA trae ispirazione dal funzionamento del cervello umano, ragion per cui si implementano tecnologie che permettano di compiere azioni tipiche dell’uomo e in particolare:

1. la capacità di agire autonomamente;
2. la capacità di agire razionalmente;
3. la capacità di pensare autonomamente;
4. la capacità di pensare razionalmente.

In base allo sviluppo delle capacità su elencate si può distinguere tra:

• IA debole: un sistema in grado di svolgere funzioni cognitive dell’uomo senza raggiungere mai le capacità intellettuali umane;
• IA forte: un sistema in grado di sviluppare una propria intelligenza sviluppando in modo autonomo il proprio pensiero.

Ciò che caratterizza l’IA è il modello di apprendimento con cui l’intelligenza evolve e diventa abile in un determinato ambito. Si può distinguere tra due modelli:

1. Machine Learning: insieme dei metodi che rendono dinamico il software permettendo alla macchina di apprendere senza che sia preventivamente programmata;
2. Deep Learning: permette di emulare la mente dell’uomo attraverso le reti neurali artificiali progettate ad hoc. Attualmente questi sistemi sono in uso nel riconoscimento vocale e delle immagini.

L’IA si compone di quattro livelli funzionali:

1. comprensione: attraverso la simulazione di capacità cognitive di correlazione dei dati, l’IA è in grado di riconoscere testi, immagini, voce, etc;
2. ragionamento: attraverso precisi algoritmi matematici i sistemi riescono a collegare le varie informazioni raccolte, sviluppando quindi una propria logica;
3. apprendimento: attraverso il modello del Machine Learning che con tecniche di apprendimento automatico portano le IA ad imparare e svolgere varie funzioni;
4. interazione uomo-macchina: tecnologie che consentono all’uomo di interagire con la macchina (e viceversa) sfruttando il linguaggio naturale.

Il commercio elettronico è sicuramente uno dei campi dove l’IA trova grande applicazione: grazie alle proprietà su elencate è possibile ottenere configuratori in grado di mettere in relazione numerosi variabili e combinazioni. Si passa poi agli assistenti virtuali, ad esempio Siri di Apple, Alexa di Amazon o Cortana di Microsoft, che sfruttano l’IA per apprendere il linguaggio ed il comportamento degli utenti in modo da sopperire alle esigenze ed al supporto richiesto.

Un campo dove l’intelligenza artificiale si sta facendo rapidamente strada è quello della sicurezza informatica dove, grazie alla capacità di analisi di enormi flussi di dati (come comportamenti e abitudini), è utilizzata per prevenire eventuali attività illecite.

Tanti altri sono i campi dove questa tecnologia trova applicazione. Ma cosa ci riserva il futuro?

Potranno pensare come noi i robot? E di cosa saranno capaci?

Parlando di robot umani è quasi normale pensare ai film di fantascienza di qualche decennio fa. Una menzione particolare va fatta al film del 1927 “Metropolis” di Fritz Lang in cui compare per la prima volta nella storia del cinema un androide: l’IA che la guida “mostra” però dei chiari limiti legati allo scopo del professore Rotwang che l’ha programmata, cioè portare gli operai alla ribellione.

Un altro capolavoro è sicuramente “2001 Odissea nello spazio” di Stanley Kubrick, in cui il protagonista è HAL9000 un supercomputer dotato di intelligenza artificiale in grado di guidare la navicella spaziale ma allo stesso tempo comprendere e apprendere il linguaggio umano, leggendo persino il labiale degli astronauti e provare sentimenti.

Aver citato questi film non è stato casuale: essi sono la prova di come la fantasia dell’uomo abbia sempre “sognato” un modo per superare i “limiti” umani.

L’intelligenza artificiale sta diffondendosi velocemente anche in campo militare. Ad essere sotto la lente di ingrandimento sono le armi autonome, in grado di comprendere le caratteristiche dell’ambiente in cui sono immerse ed elaborare la strategia più efficace per raggiungere il miglior risultato. Una sola “arma intelligente” può muoversi in cinque domini diversi: acqua, aria, terra, spazio e… spazio cibernetico. A differenza delle guerre del passato, soprattutto quelle antecedenti il XX secolo, dove l’esercito più forte era solitamente quello che aveva più elementi, le guerre del futuro saranno basate sulla corsa continua agli aggiornamenti ed allo sviluppo tecnologie.

Sicuramente l’IA può migliorare la precisione e la localizzazione degli attacchi permettendo anche un minor numero di vittime “collaterali”. Ma a che rischio? Nel settembre 2019 un drone ha attaccato una raffineria in Arabia Saudita [1] [2]; la peculiarità tuttavia è che non si è riusciti a capire chi fosse il mandante.

L’aspetto che più fa discutere però è la facilità con cui l’IA può essere manipolata: proprio come la mente umana essa presenta delle vulnerabilità o meglio delle debolezze che non dipendono dal codice o dal “programmatore”.

In un mondo dove sono presenti armi di una potenza tale da distruggerlo può l’essere umano lasciare che scelte di vita e di morte siano in mano a delle macchine?

Davide Sorrentino

Ingegnere Elettronico

Note

 ¹ Una rete neurale è un modello computazionale composto da neuroni artificiali, in grado di risolvere problemi ingegneristici complessi. Può essere realizzata sia da software che da hardware dedicato.

² Le Graphics Processing Unit sono chip in grado di elaborare dati molto velocemente operando a frequenze “basse”, permettendo di risparmiare energia.

Sitografia

[1] https://www.ilfattoquotidiano.it/2019/09/15/arabia-saudita-produzione-di-petrolio-dimezzata-dopo-attacchi-houthi-a-due-stabilimenti-di-saudi-aramco/5453821/

[2] https://www.repubblica.it/esteri/2019/09/14/news/arabia_saudita_attacco_petrolio_droni-235972943/

Abstract

Il Covid-19 ha messo in luce aspetti quotidiani che, per molti di noi (forse tutti) non erano immaginabili. Dalla mascherina ai supermercati vuoti, dall’introvabile igienizzante fino ad arrivare al blocco totale di tutte le attività. Tutto ciò ha permesso una digitalizzazione dello shopping come mai prima ma ha evidenziato come la rete sia ancora più vulnerabile agli attacchi dei pirati.

***

#covid19 e #coronavirus sono stati tra gli hashtag più utilizzati nei social a livello mondiale. La rete è stata più volte sull’orlo del collasso per via dell’eccessivo numero di utenti connessi, un po’ a causa dell’impossibilità di uscire di casa e un po’ per via della diffusione dello smart working e dello shopping online. Proprio quest’ultimo ha raggiunto picchi come mai prima, forse anche per la difficoltà che c’era nel reperire determinati articoli nei negozi fisici (si pensi ad esempio alle mascherine, al lievito o alla farina). Al vertiginoso aumento dei pagamenti è corrisposto un aumento dei rischi ad essi correlati. Aldilà della tragedia umana era abbastanza prevedibile che i creatori di malware avrebbero sfruttato questo avvenimento non solo per rubare dati e coordinate bancarie ma anche per colpire al cuore istituzioni statali e addirittura mondiali. A questo si aggiunge lo stravolgimento delle abitudini lavorative che ha aumentato esponenzialmente i pericoli; molti genitori si sono ritrovati a lavorare da casa e, contemporaneamente, a fare da insegnanti e compagni da gioco ai figli.

In queste condizioni è facile, per certi punti di vista giustificabile, che le pratiche di sicurezza consigliate dagli esperti vengano dimenticate. Ed allora ecco che si assiste al fenomeno del riutilizzo meccanico della stessa password per più siti e servizi. Proprio i servizi sono stati il tallone di Achille durante il periodo di lockdown; sfornati a tempo di record per ottemperare alla richiesta dei tanti lavoratori e delle aziende, molti strumenti di comunicazione come Microsoft Teams, Zoom e tanti altri non hanno subito test adeguati che ne mostrassero le vulnerabilità tant’è che solo recentemente Microsoft ha rilasciato una patch per sistemare alcune falle critiche. Molti esperti, inoltre, concordano nell’affermare che molti lavoratori “casalinghi” hanno utilizzato e utilizzano pc in comune con i figli, ad esempio per fare scuola o giocare. È lampante quindi che i pc, in un modo o nell’altro, siano diventati il mezzo preferito dai pirati informatici per attaccare le reti aziendali o le istituzioni. Gran parte degli attacchi passa dalle caselle di posta elettronica; ad esempio il trojan Emotet si è diffuso attraverso un’email dai contenuti drammatici che hanno incuriosito il malcapitato utente, portandolo ad aprire un file word allegato o a cliccare sul link dell’Organizzazione Mondiale della Sanità. Il sito che si va ad aprire però è solo un clone della pagina dell’OMS. L’obiettivo primario è quello di infettare il dispositivo e diffondere il malware, rubando i dati dell’utente attraverso la pratica del phishing o rubando denaro attraverso false organizzazioni benefiche. Ma hanno preso piede anche altre attività malevoli come la vendita di mascherine e farmaci contraffatti, sfruttando la scarsa reperibilità.

Le aziende hanno già tentato di ripararsi dagli attacchi ma, spesso, le minacce arrivano al sistema centrale per colpa dell’inconsapevolezza dell’utente. Per rimediare a ciò una valida misura di protezione è quella di limitare gli accessi privilegiati e, quindi, limitare gli accessi ad aree specifiche della rete agli utenti, fornendo loro credenziali uniche che diano accesso alle sole che interessano l’utente ed isolando tutte le altre.

In conclusione, il suggerimento che vorrei arrivasse al lettore è che per evitare i rischi durante il lavoro da remoto bisogna limitare tutte le attività online non strettamente necessarie al lavoro stesso e cercare di utilizzare password diverse per ogni servizio, per i più pigri ci sono tanti generatori casuali di password pronti per voi. Restiamo vigili.

Davide Sorrentino

Ingegnere Elettronico

Sitografia

• https://unsplash.com/photos/0hO1QgI1H8g
• https://unsplash.com/photos/IEeqknvHRKQ
• https://rislab.it/il-cybercrimine-ai-tempi-del-coronavirus/
• https://riskmanagement360.it
• https://unsplash.com/photos/sGBMOHQrwtw
• https://www.cyberark.com/it/why-cyberark/?utm_source=google&utm_medium=paid_search&utm_term=cyberark&utm_campaign=emea_brand_en_ita_ita&gclid=Cj0KCQjwoaz3BRDnARIsAF1RfLeoYI6QGzK5LanRwsQyY_Of-zlrUyqVi4Rnxns5SB7Q5ATl19JHPbIaAnX2EALw_wcB