Ognuno di noi vive immerso
nella propria realtà.
E ogni realtà è differente
l'una dalle altre,
ma tutte queste realtà
hanno in comune
l'ambiente in cui esse vengono create.
L'ambiente dove noi viviamo.
Vivendo in questo ambiente,
creiamo la nostra realtà.
Ecco che non possiamo più parlare,
come pochi anni fa,
di un ambiente unico.
Ma oggi parliamo
di un ambiente ibrido.
Un ambiente che è diviso
tra quello che è fisico -
l'ambiente fisico,
ossia dove ci muoviamo,
dove respiriamo,
dove ci nutriamo,
e invece l'ambiente virtuale,
l'ambiente dove leggiamo,
dove comunichiamo,
dove impariamo
e quindi cambiamo.
L'ambiente in cui,
perché no, anche desideriamo:
"Guarda che bella fotografia!
Vorrei proprio essere là,
in quell'ambiente, in quel posto."
Ed è molto curioso, almeno secondo
il mio personale punto di vista,
notare che noi siamo esseri fisici.
Nasciamo fisicamente.
Ma nel momento in cui
nasciamo fisicamente,
siamo subito inseriti
in un ambiente che è ibrido.
Vediamo i nostri genitori
o i nostri conoscenti
dialogare tra di loro con altri oggetti,
che oggi si chiamano "smartphone".
O vediamo, ancora, dei sistemi
totalmente automatici
che dialogano tra di loro.
Dialogano magari
per monitorare il nostro stato.
Ed è un ambiente
che non ci è stato dato.
È un ambiente che creiamo noi.
E questo ambiente virtuale,
lo creiamo così bene,
giorno dopo giorno,
da desiderarlo tantissimo.
Ad ogni telefonata che facciamo,
a ogni sms che inviamo,
ad ogni "Like" che mettiamo.
Ed è un sistema, un ambiente,
che è stato creato
però senza un progetto.
Proviamo a pensare nel fisico.
Nell'ambiente fisico, un essere umano
ha la necessità di avere una casa,
e quindi quello che fa è un progetto:
quanti bagni; quante camere da letto;
se il giardino o il balcone.
Nell'ambiente, invece, virtuale
questo progetto non c'è mai stato.
Ci sono state sempre e soltanto
delle domande e delle risposte
molto eterogenee
ma non gestite e create
da un unico progetto.
Ecco perché, ad oggi,
questo ambiente è profondamente,
ancora, inesplorato.
È inesplorato e, ahimè, molto insicuro.
Perché è molto insicuro?
Perché, come abbiamo detto,
manca quel progetto.
E lo vediamo tutti i giorni
quando, per esempio,
vediamo nostra figlia
correre dalla madre,
piuttosto che correre
ad abbracciare un monitor.
O anche quando,
nel momento del bisogno,
magari perché nostro
figlio ha paura del buio,
non corre a prendere lo smartphone
che potrebbe essere utilizzato
anche come torcia.
Al contrario, corre
ad abbracciare la madre -
o nel caso più fortunato, il padre.
È questo il momento
che personalmente mi ha mosso.
Mi ha insegnato e mi ha chiesto
di dedicare parte della mia vita,
grande parte delle mia vita,
alla difesa.
Perché nel mondo fisico
esistono strumenti, metodologie,
persone che ci difendono
giorno dopo giorno.
Ma nell'ambiente virtuale
questo non è ancora così...
semplice, non è ancora così ovvio.
Non ci sono ancora persone,
non ci sono ancora strumenti,
processi e metodologie reali
per difenderci.
Proviamo a pensare, per esempio,
a chi di noi avrà bisogno
di un pacemaker.
Oggi, i pacemaker
sono totalmente connessi.
Non c'è chance, non possiamo scegliere.
Un peacemaker dialoga,
attraverso il nostro smartphone,
col centro di competenza;
e questo è un bene, è fantastico!
Perché nel momento in cui
avremo bisogno di un intervento,
il nostro peacemaker
comunicherà direttamente
al centro di competenza, all'ospedale,
che c'è qualcosa che non va.
O ancora meglio, nel momento in cui
andiamo dal nostro medico,
ci può fare uno screen veloce
senza necessariamente farci fare
chissà quali tipologie di esami.
Ecco però che questa
interfaccia nel virtuale
se non utilizzata in modo
consapevole crea dei problemi.
Per esempio, nel 2010,
un gruppo di ricercatori statunitensi
hanno scoperto che alcuni dispositivi,
di alcune case produttrici statunitensi,
erano vulnerabili all'injection.
Significa che un attaccante
poteva comodamente,
col proprio smartphone,
da remoto - col bluetooth,
quindi da poche decine di metri,
però poteva riprogrammare
il nostro pacemaker.
Ora, senza scendere
in casi troppo drastici,
l'attaccante aveva la possibilità
di modificare lo stato d'animo,
più agitato oppure più calmo,
della persona, della vittima.
Ecco come l'interfaccia, nel virtuale,
può avere una grave conseguenza
anche nel nostro reale.
Oppure proviamo a pensare
ai nostri conti correnti.
Abbiamo portafogli sempre più piccoli
e sempre più leggeri
ma conti correnti con sempre più numeri.
Proviamo a pensare a quanto
sia fantastico tutto questo,
perché riusciamo
a controllare le transazioni.
Le transazioni bancarie
sono anche più economiche.
E riusciamo, semplicemente
con uno smartphone,
a pagare per i nostri beni.
Però cosa succede
se un attaccante, per esempio,
con degli attacchi molto noti oggi,
di tipologia "Drydex",
riuscisse ad impiantare un malware
all'interno del nostro browser
per prelevare username e password.
Ora, se la nostra banca
non ha sviluppato,
non ha altre tipologie di autenticazione,
è ovvio che questo può avere
un grave riflesso sul nostro reale,
in quanto l'attaccante
potrebbe, in qualche modo,
prelevare del denaro
dal nostro conto corrente.
O ancora, proviamo a pensare
ad una cosa ancora
più fantastica, più bella:
le nuove auto, sempre connesse.
Un'auto connessa è fantastica
perché ci da la possibilità
di chiamare aiuto
nel momento del bisogno.
Può decidere, in funzione
del mio stato di guida,
dello stato meteo e, ad esempio,
dello stato delle strade
di suggerirmi di fare una strada
piuttosto che un'altra.
Nel 2014, alcuni ricercatori
hanno scoperto, ahimè,
che estrapolando la sim card
che è presente all'interno
di queste auto sempre connesse,
era possibile, comodamente
dal divano di casa,
entrare nella stessa rete
di tutte queste macchine.
Sfruttando alcune vulnerabilità
sono riusciti a entrare
nel centro di intrattenimento dell'auto
e poi, con un paio di attacchi
leggermente più complessi,
sono riusciti a eseguire codice Can
all'interno della macchina.
Il risultato è stato
che hanno avuto il controllo
totale dell'autovettura.
Quindi potevano, da remoto,
tenere in ostaggio,
la vittima, il proprietario dell'auto
all'interno dell'automobile
e magari richiedere un riscatto in bitcoin
per poterlo rilasciare.
Oppure, potevano abbassare o eliminare
i fanali, le luci nella corsa notturna,
o cambiare la mappatura del motore,
o eliminare l'abs.
Ecco, allora, un altro esempio
di come l'interfaccia del virtuale
ha delle implicazioni
molto importanti nel reale.
Proviamo a pensare, ancora una volta,
agli oggetti domestici.
Chi di noi non ha un sistema di luci
controllato da remoto?
O dei sistemi web che controllano
lo stato di produzione della propria casa?
O ancora, un sistema per esempio
di videosorveglianza, di allarme?
Un attaccante potrebbe
utilizzare questi strumenti
per capire se all'interno dell'abitazione
vi sono o meno persone, l'attaccato.
E poi effettuare un'azione nel fisico.
O ancora, vi prometto questo è l'ultimo,
un altro esempio lo troviamo
nell'identità personale.
Proviamo a pensare, per un attimo,
se i politici o i leader di grandi aziende
iniziassero spontaneamente
a comunicare attraverso i social.
Per esempio attraverso twitter, facebook.
Proviamo ora ad immaginare -
è chiaro che la percezione che si ha,
la potenza della comunicazione
è veramente elevata.
Ma proviamo ora ad immaginare
un attaccante che riesce ad impadronirsi
di un canale di comunicazione
di questa natura - per esempio, politico.
Ed effettua, al posto di quella persona,
una comunicazione.
Non sto pensando a scenari di guerra,
ma anche comunicazioni legislative.
Che cosa può succedere
per l'intera popolazione?
Cosa può succedere per l'intero
gruppo politico che vi è all'interno?
Ecco, tutto questo nasce
perché, ad oggi,
c'è la grande percezione della protezione.
Noi, oggi,
ci fidiamo di quello che sta succedendo
e di quello che ci protegge nel virtuale.
In questo caso,
il ciclista sta assumendo
che quel lucchetto
non verrà mai tagliato.
E quindi dice: "Io mi fido
così tanto di questo lucchetto
che mi allontano.
Perché tanto, nel periodo di tempo
che io sto lontano da questo lucchetto,
non ci sarà nessuno
che ha la possibilità di tagliarlo
e portarmi via la bicicletta."
Nel digitale, questo non funziona.
Non funziona perché il virtuale
l'ambiente digitale
spezza il tempo e rompe lo spazio.
Che cosa significa?
Che un attacco può essere fatto
non necessariamente
nello stesso periodo temporale.
O ancora, chi attacca
può essere fisicamente da un'altra parte
rispetto a dov'è invece la vittima.
Ecco perché bisogna pensare
con un'altra mentalità.
Una mentalità molto più
complessa, che è la difesa.
Difendersi significa capire,
significa essere certi
che prima o poi qualcuno
vi romperà quel lucchetto.
Essere certi che arriverà un attacco
capace di andare a buon fine.
E bisogna capire come rispondere,
quindi quali sono i metodi,
quali sono gli strumenti da utilizzare
quali sono le metodologie, le persone,
i gruppi, le comunicazioni.
Cosa bisogna fare
quando arriva un attacco.
La soluzione principale, ad oggi,
sta nella collaborazione.
Risulta evidente che un essere umano
all'interno del virtuale, del digitale
non ha la capacità, da solo,
di riuscire a bloccare
tutti gli attacchi che ci sono.
Risulta anche evidente, però,
che neanche i sistemi
totalmente automatici
riescono a bloccare e a individuare
tutte le problematiche che ci sono.
Lo vediamo su tutti i giornali.
Ma la collaborazione,
l'unione tra uomo e macchina,
avere una mente umana
capace di percepire i sussurri,
capace di percepire quei piccoli rumori,
che rendono l'attacco efficace.
E una macchina, un sistema,
un sistema informativo, informatizzato,
un sistema che ha la possibilità
di agire in maniera tempestiva.
La collaborazione, oggi,
tra uomo e macchina,
è la vera risposta della difesa.
Perché le macchine
sono molto più forti di noi.
Sono molto più veloci di noi.
Non abbiamo chance sulla forza
computazionale delle macchine.
Anche le macchine
artificialmente intelligenti
sono molto brave ad effettuare un task,
a dare delle risposte, risposte puntuali.
Sono veramente veloci e performanti
nel fare qualsiasi cosa,
tra cross-correlazione
e individuazione dei grandi rumori.
Ma ricordiamoci una cosa,
e ricordiamocela
in maniera molto forte
e ricordiamocela
in modo molto preciso:
siamo solo noi, esseri umani,
capaci di porre le domande giuste
nel momento giusto.
Grazie.
(Applausi)