< Return to Video

La componente umana nella cybersicurezza | Gianluca Varisco | TEDxOrtygia

  • 0:13 - 0:14
    Buongiorno a tutti.
  • 0:14 - 0:18
    Oggi sono qui per raccontarvi
    quello a cui tengo di più,
  • 0:18 - 0:21
    ovvero l'empatia legata
    alla sicurezza informatica.
  • 0:21 - 0:24
    Se ci pensate, empatia
    e sicurezza informatica
  • 0:24 - 0:26
    apparentemente sono
    due parole molto lontane:
  • 0:26 - 0:30
    da quando c'è empatia,
    nelle persone che svolgono questo lavoro?
  • 0:30 - 0:31
    E da quando c'è empatia,
  • 0:31 - 0:34
    in quelle che sono poi le minacce
    che andiamo ad affrontare oggi,
  • 0:34 - 0:37
    e che stiamo affrontando
    tutti insieme oggi ogni giorno?
  • 0:38 - 0:43
    Facciamo una premessa:
    quando parliamo di sicurezza informatica,
  • 0:43 - 0:48
    le persone che ci lavorano all'interno
    sono generalmente considerate persone -
  • 0:49 - 0:52
    senza distinzione tra hacker buoni
    e hacker cattivi, che vedremo oggi -
  • 0:52 - 0:57
    sono considerate persone
    che apparentemente sono poco socievoli,
  • 0:57 - 0:59
    apparentemente sono persone un po' strane,
  • 0:59 - 1:04
    che fanno dei tratti caratteristici,
    dei loro tratti psicologici, sociali,
  • 1:04 - 1:07
    quello che forse è anche
    il loro cavallo di forza,
  • 1:07 - 1:08
    il loro cavallo di battaglia.
  • 1:08 - 1:13
    Quindi persone che pensano un po'
    "out of the box", fuori dagli schemi,
  • 1:13 - 1:16
    per svolgere al meglio
    la propria passione,
  • 1:16 - 1:19
    per portare avanti quello che amano fare.
  • 1:20 - 1:22
    Abbiamo lo stereotipo dell'hacker -
  • 1:22 - 1:26
    adesso sto portando avanti
    un qualche film in queste slide,
  • 1:26 - 1:28
    forse qualcuna è anche più familiare -
  • 1:30 - 1:33
    Questa è sicuramente è la slide
    che tutti quando mi dicono:
  • 1:33 - 1:35
    "Ah, ma tu conosci degli hacker?",
  • 1:36 - 1:40
    hanno sempre Matrix in mente
    come quella scena,
  • 1:40 - 1:42
    quindi uno schermo nero
    con del codice verde.
  • 1:43 - 1:45
    Questo, ancora oggi,
    è la figura dell'hacker,
  • 1:45 - 1:48
    una persona che sta tutto il giorno
    davanti allo schermo nero,
  • 1:48 - 1:51
    a digitare del codice,
    a volte anche apparentemente casuale,
  • 1:52 - 1:56
    e poi ci vedono così:
    la sera, finito di programmare,
  • 1:56 - 2:00
    siamo vestiti così,
    andiamo fuori a fare le nostre cose,
  • 2:00 - 2:01
    vestiti in questo modo.
  • 2:01 - 2:07
    Ora, questa è una maschera di Guy Fawkes.
  • 2:07 - 2:08
    Guy Fawkes fu una persona
  • 2:08 - 2:13
    che, se vogliamo, solamente
    nel cinque novembre del 1605,
  • 2:13 - 2:15
    in quanto membro
    della "Congiura delle polveri",
  • 2:15 - 2:22
    decise di provare a far saltare
    la Camera dei Lord a Londra;
  • 2:22 - 2:26
    quindi da allora,
    negli ultimi anni soprattutto,
  • 2:26 - 2:29
    molti degli attacchi
    informatici che vediamo
  • 2:29 - 2:31
    hanno la maschera di Guy Fawkes -
  • 2:31 - 2:35
    che avete visto probabilmente
    anche in "V per vendetta", il film -
  • 2:35 - 2:38
    hanno questa figura
    del rivoluzionario, del ribelle,
  • 2:39 - 2:41
    della persona che si nasconde
    dietro la maschera di un qualcuno
  • 2:41 - 2:44
    che, a detta sua,
    e non sarò io qui a giudicare,
  • 2:44 - 2:48
    fece un qualcosa di molto rilevante,
    un'azione molto rilevante.
  • 2:49 - 2:51
    Ora, come vi dicevo,
  • 2:51 - 2:55
    i tratti con cui ci troviamo a discutere
    quando parliamo di sicurezza informatica,
  • 2:55 - 2:57
    vedono nell'hacker, anche, una figura
  • 2:58 - 2:59
    dalla psiche -
  • 2:59 - 3:02
    quindi a livello psicologico
    molto fragile, molto diversa
  • 3:02 - 3:05
    da quella che è la "realtà"
    a cui siamo abituati.
  • 3:06 - 3:10
    E ancora oggi, è molto difficile
    avvicinarsi agli hacker,
  • 3:10 - 3:12
    agli appassionati di informatica,
  • 3:12 - 3:14
    perché vengono visti come quelle persone
  • 3:14 - 3:16
    che pensano fuori
    dall'ordinario, come dicevo,
  • 3:16 - 3:21
    e che tuttavia ci tengono a mantenere
    il loro riserbo, la loro privacy,
  • 3:21 - 3:26
    quindi a non esporsi troppo
    col mondo circostante, in cui vivono,
  • 3:26 - 3:31
    ma a isolarsi nel cosiddetto scantinato
    con i propri simili, a programmare.
  • 3:31 - 3:33
    Ecco, questo è uno degli stereotipi -
  • 3:33 - 3:36
    non sbagliato, ma che sicuramente
    ha tante sfaccettature,
  • 3:36 - 3:38
    che oggi vi mostrerò.
  • 3:39 - 3:41
    Ora, che cos'è la sicurezza informatica?
  • 3:41 - 3:46
    Negli ultimi anni vediamo
    sempre più spesso parlare,
  • 3:46 - 3:48
    anche sui giornali -
    finalmente, mi viene da dire -
  • 3:48 - 3:53
    di credenziali trafugate,
    carte di credito violate o clonate,
  • 3:53 - 3:56
    siti web che sono stati compromessi
  • 3:56 - 3:59
    e le informazioni dei clienti
    presenti all'interno di questi siti web
  • 4:00 - 4:02
    venduti da malintenzionati,
  • 4:02 - 4:03
    i cosiddetti -
  • 4:03 - 4:05
    oggi mi sentirete parlare molto
    di "attori malevoli",
  • 4:06 - 4:10
    dopo vi spiegherò,
    sotto il mio punto di vista,
  • 4:10 - 4:11
    che cosa sono gli attori malevoli.
  • 4:11 - 4:13
    E quando parliamo
    di sicurezza informatica,
  • 4:13 - 4:17
    va fatto un appunto molto importante:
    non esiste software sicuro.
  • 4:18 - 4:21
    Chiunque vi provi a vendere
    qualsiasi marchio,
  • 4:21 - 4:26
    qualsiasi persona là fuori
    vi provi a vendere un "software sicuro",
  • 4:26 - 4:27
    dovete sapere che sta mentendo.
  • 4:28 - 4:31
    Un software può essere sicuro
    a un dato momento X.
  • 4:31 - 4:34
    Quindi oggi un software
    è apparentemente sicuro, è vero;
  • 4:35 - 4:38
    ma il tutto può cambiare velocemente.
  • 4:38 - 4:40
    Domani, successivamente a una verifica
  • 4:40 - 4:44
    fatta da esperti di sicurezza
    o da appassionati del settore,
  • 4:44 - 4:47
    che si sono messi a testare
    eventuali vulnerabilità,
  • 4:47 - 4:50
    a cercare vulnerabilità
    all'interno di questo software,
  • 4:50 - 4:53
    capirete che un software che a oggi -
  • 4:53 - 4:55
    avete sentito qualche giorno fa,
    probabilmente, di WhatsApp.
  • 4:56 - 4:59
    WhatsApp era a detta di tutti inviolabile.
  • 5:01 - 5:06
    L'inviolabilità di un software
    dipende sempre, e va di pari passo,
  • 5:06 - 5:08
    con quello che è l'investimento
  • 5:08 - 5:11
    che un attore malevolo mette
    nel trovare vulnerabilità.
  • 5:12 - 5:18
    Voi pensate che ci sono hacker
    che trovano vulnerabilità per gioco,
  • 5:19 - 5:23
    ci sono hacker che vengono retribuiti
    per trovare vulnerabilità,
  • 5:23 - 5:26
    retribuiti in maniera legale
    o anche in maniera illegale.
  • 5:26 - 5:31
    Quindi ci sono soggetti che finanziano
    questo tipo di ricerca atto a:
  • 5:32 - 5:34
    la vendita successiva della conoscenza,
  • 5:34 - 5:37
    quindi la potenziale vendita
  • 5:37 - 5:40
    di vulnerabilità da sfruttare
    contro altri target;
  • 5:41 - 5:42
    e ci sono poi hacker invece etici,
  • 5:42 - 5:44
    che trovano vulnerabilità
  • 5:44 - 5:50
    per il solo gusto di mettersi alla prova,
    di trovare vulnerabilità,
  • 5:50 - 5:52
    di lavorare con chi ha creato
    questo software
  • 5:52 - 5:54
    e metterlo in sicurezza.
  • 5:54 - 5:56
    Quindi da un lato
    abbiamo gli hacker etici:
  • 5:56 - 5:58
    io, una cosa a cui tengo tantissimo
  • 5:58 - 6:02
    è appunto fare la distinzione
    tra criminale, un normale criminale,
  • 6:02 - 6:04
    sia esso informatico o meno,
  • 6:04 - 6:08
    che trae profitto arrecando dei danni
  • 6:08 - 6:12
    o arrecando, se vogliamo,
    disagi ad aziende e a persone;
  • 6:12 - 6:17
    e l'hacker etico, il cui scopo appunto
    è di mettere in sicurezza questo mondo.
  • 6:17 - 6:21
    Oggigiorno l'economia che si è creata
    attorno alle vulnerabilità
  • 6:21 - 6:24
    fa sì anche che tantissimi ricercatori
  • 6:24 - 6:27
    vengano retribuiti dalle aziende
    per trovare vulnerabilità;
  • 6:28 - 6:31
    e retribuiti dalle aziende
    per mettere al sicuro il mondo
  • 6:32 - 6:35
    prima che attori malevoli
    possano sfruttare queste vulnerabilità.
  • 6:35 - 6:37
    Ora, come mettiamo al sicuro il mondo?
  • 6:37 - 6:38
    È un lavoro di squadra.
  • 6:38 - 6:41
    Pensate semplicemente
    a quando aggiornate il vostro telefonino,
  • 6:41 - 6:45
    quindi avete un iPhone, Android,
    qualsiasi altro marchio,
  • 6:45 - 6:48
    e premete "Aggiorna Telefono";
  • 6:48 - 6:51
    il telefono si riavvia,
    avete applicato gli aggiornamenti,
  • 6:51 - 6:53
    avete fatto la vostra
    buona azione per oggi,
  • 6:53 - 6:57
    ovvero mettere in sicurezza voi stessi,
    e chi vi sta anche intorno,
  • 6:58 - 7:00
    attraverso semplicemente un click.
  • 7:00 - 7:02
    Di pari passo, l'azienda deve lavorare
  • 7:02 - 7:05
    sulla propria ricerca,
    sulla propria sicurezza,
  • 7:05 - 7:06
    al fine di mettere in sicurezza
  • 7:06 - 7:12
    tutto quello che è l'ecosistema software
    di cui ha controllo.
  • 7:12 - 7:16
    Ora, dovete immaginare
    la sicurezza informatica,
  • 7:16 - 7:18
    e questa ricerca delle vulnerabilità,
  • 7:18 - 7:23
    come una casa, al cui interno
    viene installata una porta blindata.
  • 7:23 - 7:27
    Probabilmente, l'installazione
    della porta blindata
  • 7:27 - 7:32
    fa sì che un ladro
    dotato di un grimaldello
  • 7:32 - 7:33
    non riesca ad entrare:
  • 7:34 - 7:37
    ma pensate se al posto di un ladro
    dotato di un grimaldello -
  • 7:37 - 7:43
    quindi probabilmente avete filtrato via
    il 70 percento di ladruncoli qualunque.
  • 7:44 - 7:48
    Tuttavia c'è ancora un 30%, un 20%
    che è dotato di strumenti sofisticati
  • 7:48 - 7:52
    o che semplicemente trova il modo
    di entrare dalla finestra.
  • 7:52 - 7:55
    La stessa cosa avviene per la sicurezza.
  • 7:55 - 7:57
    La sicurezza è fatta di tanti componenti,
  • 7:57 - 8:00
    le aziende sono fatte
    di tanti componenti - software, hardware -
  • 8:00 - 8:03
    anche solo casa vostra
    è fatta di tanti componenti,
  • 8:03 - 8:05
    connessi a Internet, con un cervello:
  • 8:05 - 8:09
    quindi i cosiddetti smart toys
    nel caso dei giocattoli,
  • 8:09 - 8:11
    smart objects, quindi pensiamo a -
  • 8:11 - 8:12
    fa un po' ridere la cosa,
  • 8:12 - 8:15
    ma la vostra macchina, spesso,
    ha un cervello connesso a Internet,
  • 8:15 - 8:17
    le macchine più recenti.
  • 8:17 - 8:19
    Oppure il frigorifero -
  • 8:19 - 8:21
    anche il frigorifero
    riceve degli aggiornamenti;
  • 8:21 - 8:22
    la televisione.
  • 8:23 - 8:26
    Quindi stiamo andando in un mondo
    sempre più iperconnesso
  • 8:26 - 8:29
    e stiamo andando verso un mondo
    dove nei prossimi anni
  • 8:29 - 8:33
    vedremo un'esplosione
    di "dare un cuore", "dare un cervello"
  • 8:33 - 8:39
    e mettere online un qualsiasi dispositivo
    spesso progettato non per finire online,
  • 8:39 - 8:42
    ma che poi finisce online
    per necessità di mercato.
  • 8:45 - 8:49
    Quindi non creato tenendo in mente
    la sicurezza nello sviluppo;
  • 8:50 - 8:54
    ma che una volta messo
    nell'economia di massa,
  • 8:54 - 8:55
    quindi installato ovunque nel mondo,
  • 8:56 - 8:57
    qualcuno si chiede:
  • 8:57 - 8:59
    e adesso come faccio
    a metterlo in sicurezza?
  • 9:01 - 9:04
    Tornando al tema dell'empatia,
    ci tengo molto a dirvi
  • 9:04 - 9:08
    che la sicurezza elettronica
    è sicuramente un problema tecnologico,
  • 9:08 - 9:09
    ma non solo.
  • 9:10 - 9:15
    Secondo me è frutto di collaborazione
    tra le persone che ne fanno parte;
  • 9:15 - 9:19
    e Alex Stamos è l'ex capo
    della sicurezza di Facebook,
  • 9:19 - 9:22
    e nel 2016 ha provato a strigliarci.
  • 9:22 - 9:26
    Io faccio parte di quelli
    che sono i tecnologi di questa industria,
  • 9:26 - 9:28
    e ci ha strigliato dicendoci:
  • 9:28 - 9:31
    "Voi siete bravi e tutto,
    vi mettete di impegno;
  • 9:31 - 9:32
    ma non pensate alle persone.
  • 9:32 - 9:36
    Pensate unicamente agli aspetti
    tecnologici del problema,
  • 9:37 - 9:40
    non pensate a rendere la vita
    delle persone più semplice,
  • 9:40 - 9:42
    applicando i vostri filtri, i controlli,
  • 9:43 - 9:46
    diciamo le "migliorie", a detta vostra,
    in termini di security.
  • 9:47 - 9:49
    E non riuscite a mettervi
    nei panni delle persone
  • 9:49 - 9:51
    che utilizzano la tecnologia ogni giorno.
  • 9:51 - 9:54
    Quindi la tecnologia non è intuitiva,
    la tecnologia è difficile;
  • 9:55 - 9:58
    e tutte le migliorie che apportate
    a livello di sicurezza
  • 9:58 - 10:00
    rendono la vita delle persone
    più complessa,
  • 10:00 - 10:02
    invece che facilitarla".
  • 10:03 - 10:05
    Questo ha creato un grosso dibattito
  • 10:05 - 10:08
    e anche delle grosse polemiche
    attorno a questo tema;
  • 10:09 - 10:13
    Tuttavia, la sicurezza
    è fatta di tanti componenti;
  • 10:13 - 10:17
    e il componente umano nella sicurezza,
    come vedremo nelle prossime slide,
  • 10:17 - 10:18
    è essenziale,
  • 10:18 - 10:21
    perché tutti noi, oggi,
    siamo bombardati di mail -
  • 10:21 - 10:23
    questi sono solo due esempi di e-mail
  • 10:23 - 10:26
    dove vengono fatte
    delle campagne di estorsione,
  • 10:26 - 10:31
    atte a estorcere denaro,
    principalmente, mettendovi paura.
  • 10:31 - 10:34
    Una di queste era appunto:
  • 10:34 - 10:38
    "Ti sto guardando da alcuni mesi,
    ho tutti i dati del tuo computer,
  • 10:38 - 10:41
    ho accesso al tuo computer,
    posso vedere quello che fai".
  • 10:42 - 10:47
    E per renderla quasi vera, o meglio reale,
    che una persona ci può cascare,
  • 10:48 - 10:50
    vengono utilizzate delle informazioni
  • 10:50 - 10:52
    che vengono carpite
    o attraverso i social network,
  • 10:52 - 10:55
    o attraverso quelli che, poi dopo vedremo,
  • 10:55 - 10:58
    sono le violazioni
    all'interno dei siti web
  • 10:58 - 10:59
    e il successivo furto di dati.
  • 11:00 - 11:01
    Perché questi attori malevoli
  • 11:01 - 11:05
    usano i vostri dati
    per girarvi la minaccia,
  • 11:05 - 11:07
    quindi: abbiamo i vostri dati;
  • 11:07 - 11:10
    invece di usarli vi ricontattiamo
    per mettervi ancora più paura,
  • 11:10 - 11:13
    perché dandovi più dettagli
    su voi stessi, sulla vostra vita,
  • 11:13 - 11:16
    voi direte: allora questa persona
    fa sul serio, stiamo attenti.
  • 11:18 - 11:23
    Se possiamo mandare un video dalla regia,
    volevo farvi vedere, anche,
  • 11:23 - 11:27
    perché la sicurezza
    è un lavoro di squadra.
  • 11:27 - 11:33
    WannaCry, il 12 maggio del 2017,
  • 11:33 - 11:36
    fu un attacco - quindi un worm.
  • 11:36 - 11:42
    Un gruppo di persone sviluppò
    questo virus se vogliamo,
  • 11:42 - 11:45
    che andava a sfruttare
    una versione vecchissima
  • 11:45 - 11:48
    di un sistema operativo,
    Windows nello specifico,
  • 11:48 - 11:52
    e che per colpa
    delle persone, se vogliamo,
  • 11:52 - 11:54
    che non hanno aggiornato, semplicemente -
  • 11:54 - 11:57
    torniamo al tema degli aggiornamenti:
    l'aggiornamento vi mette in sicurezza,
  • 11:57 - 12:00
    è una cosa tanto semplice
    quanto ancora la grande sfida,
  • 12:00 - 12:04
    aggiornare i propri sistemi,
    aggiornare i propri ambienti produttivi -
  • 12:05 - 12:09
    Ecco, l'assenza di queste pratiche
    di "buona igiene e di sicurezza",
  • 12:09 - 12:12
    così si definiscono nel gergo,
  • 12:12 - 12:15
    fece sì che in un giorno solo -
    questo è il terzo giorno già -
  • 12:16 - 12:19
    arrivammo a quasi 500.000
    infezioni in tutto il mondo.
  • 12:20 - 12:23
    Queste infezioni, appunto,
    colpirono per primi gli ospedali UK;
  • 12:24 - 12:26
    e poi si propagarono su tutta Internet.
  • 12:26 - 12:32
    Internet è uno strumento molto potente
    in quanto siamo interconnessi appunto,
  • 12:32 - 12:33
    come dice la stessa parola:
  • 12:33 - 12:37
    tutte le aziende
    sono interconnesse fra loro,
  • 12:37 - 12:41
    tutto Internet stesso
    è esposto a tante persone,
  • 12:41 - 12:42
    a tanti attori, malevoli e non;
  • 12:43 - 12:46
    e quindi è un ambiente
    molto fragile, ancora oggi,
  • 12:46 - 12:48
    una sorta di castello di carta
  • 12:48 - 12:52
    che basta una piccola miccia
    per far esplodere.
  • 12:53 - 12:57
    Quindi, questa fu
    la mappa delle infezioni.
  • 12:57 - 12:59
    Come vedete, nessuno fu risparmiato:
  • 12:59 - 13:01
    buona parte del mondo fu infettato,
  • 13:01 - 13:06
    e a livello economico
    riprendersi da questa problematica,
  • 13:06 - 13:10
    quindi da questi che furono
    i problemi creati da WannaCry,
  • 13:10 - 13:12
    ci si misero mesi.
  • 13:12 - 13:14
    La produzione di molte aziende fu sospesa,
  • 13:14 - 13:17
    e voi sapete meglio di me
    quanto la produzione -
  • 13:17 - 13:19
    pensate alla produzione
    di una filiera industriale:
  • 13:19 - 13:22
    sospendere la produzione
    di una filiera industriale
  • 13:22 - 13:25
    comporta milioni di euro,
    potenzialmente al giorno, persi,
  • 13:26 - 13:29
    in attesa di reinstallare
    tutti i vostri sistemi,
  • 13:29 - 13:30
    tutta la vostra infrastruttura.
  • 13:31 - 13:34
    E questo perché fu sfruttata
    una vulnerabilità
  • 13:34 - 13:37
    di un qualcosa risolto sei anni prima.
  • 13:37 - 13:40
    Quindi, per sei anni
    le persone hanno ignorato -
  • 13:40 - 13:44
    perché tanto non c'è
    la consapevolezza del rischio.
  • 13:44 - 13:46
    Uno dei grossi problemi,
    una delle grosse sfide che abbiamo
  • 13:46 - 13:49
    è essere consapevoli
    dei rischi che corriamo.
  • 13:50 - 13:53
    Ora, deve venire dall'alto.
  • 13:53 - 13:55
    Io sempre più spesso, purtroppo,
  • 13:56 - 13:58
    quindi in controtendenza
    con quello che dovrebbe essere,
  • 13:58 - 14:03
    sento e avverto la mancanza
    di consapevolezza dei rischi cyber,
  • 14:03 - 14:05
    quindi di quelle che sono le problematiche
  • 14:05 - 14:07
    legate all'informatica,
    alla sicurezza informatica,
  • 14:07 - 14:10
    alle sfide, agli attacchi informatici
  • 14:10 - 14:14
    da parte del top management,
  • 14:14 - 14:17
    quindi da dirigenti
    e amministratori delle aziende.
  • 14:17 - 14:19
    Ci sono questi cinque punti
    che ho riportato oggi nella slide,
  • 14:19 - 14:21
    che ci tengo a leggere con voi.
  • 14:21 - 14:23
    Il primo è: "no,
  • 14:24 - 14:27
    questo attacco informatico
    che stiamo subendo non mi riguarda,
  • 14:27 - 14:30
    riguarda lo stagista
    o riguarda il marketing",
  • 14:30 - 14:33
    Quindi l'ambiente dirigenziale
    si sente sempre escluso
  • 14:33 - 14:35
    da quello che può essere
    un attacco informatico,
  • 14:35 - 14:37
    quando invece è esattamente l'opposto.
  • 14:37 - 14:40
    Un attore malevolo, quindi un attaccante,
  • 14:40 - 14:43
    vuole carpire informazioni
    dalle persone che ne hanno di più,
  • 14:44 - 14:45
    vuole estrarre queste informazioni,
  • 14:45 - 14:48
    quindi compie un furto
    d'identità o di dati
  • 14:49 - 14:51
    dalle persone che hanno accesso
    a più dati possibili,
  • 14:51 - 14:53
    quindi sono esattamente loro
  • 14:53 - 14:55
    le prime persone
    che vengono attaccate ove possibile.
  • 14:56 - 14:58
    Oppure vedere il tema della cybersecurity
  • 14:58 - 15:00
    come un tema di IT,
    quindi di Information Technology,
  • 15:00 - 15:02
    del dipartimento di Informatica.
  • 15:03 - 15:05
    Anche questo è assolutamente falso:
  • 15:06 - 15:08
    la sicurezza informatica
    ci riguarda tutti,
  • 15:08 - 15:10
    ogni computer connesso
    a una rete aziendale,
  • 15:10 - 15:13
    o anche alla rete di casa vostra,
    è un potenziale target.
  • 15:14 - 15:16
    Quindi non si tratta del programmatore,
  • 15:16 - 15:20
    dell'esperto di sicurezza
    o del responsabile tecnico;
  • 15:20 - 15:21
    ma si tratta di tutte le persone.
  • 15:21 - 15:24
    Quindi è un lavoro di squadra
    che riguarda tutti.
  • 15:25 - 15:26
    Un'altra delle grosse sfide
  • 15:26 - 15:29
    è far capire che gli attacchi
    provengono anche dall'interno:
  • 15:30 - 15:36
    parliamo di spionaggio industriale,
    parliamo di malcuranza dei propri sistemi,
  • 15:36 - 15:39
    quindi mancati aggiornamenti
    sui propri dispositivi personali
  • 15:39 - 15:41
    collegati a reti aziendali,
  • 15:41 - 15:44
    che fanno sì che l'azienda
    venga compromessa
  • 15:44 - 15:48
    attraverso quello che è un cellulare
    a uso personale di una persona,
  • 15:48 - 15:50
    o un portatile di una persona.
  • 15:51 - 15:54
    Pensare che il cloud,
    che va di moda oggi giorno,
  • 15:54 - 15:56
    quindi sempre più aziende
    si stanno affidando al cloud,
  • 15:56 - 16:01
    ovvero mettere i propri sistemi,
    i propri dati presso qualcun altro,
  • 16:01 - 16:06
    quindi non avere più in casa
    da gestire sistemi, applicazioni, reti -
  • 16:06 - 16:07
    nulla di tutto ciò.
  • 16:07 - 16:11
    Metti su Internet, e da lì
    accedi remotamente a questi dati.
  • 16:11 - 16:13
    Per certi versi, se è fatto bene
  • 16:13 - 16:15
    può essere molto più sicuro
    della vostra infrastruttura,
  • 16:15 - 16:19
    magari gestita in uno scantinato aperto
    senza misure di sicurezza.
  • 16:20 - 16:21
    Tuttavia va specificato
  • 16:21 - 16:23
    che non è che il cloud
    sia la panacea di tutti i mali;
  • 16:24 - 16:26
    è un lavoro di squadra anche lì,
  • 16:26 - 16:30
    è un cosiddetto lavoro
    di responsabilità condivisa:
  • 16:30 - 16:36
    dovete lavorare col cloud provider
    affinché tutto questo sia possibile.
  • 16:39 - 16:43
    L'assenza di empatia fa sì
    che creiamo prodotti che nessuno usa,
  • 16:43 - 16:46
    quindi che non tengono
    in considerazione l'utente,
  • 16:46 - 16:51
    che sono tutto fuorché usabili,
    semplici, funzionali;
  • 16:51 - 16:53
    e che semplificano la vostra vita.
  • 16:53 - 16:56
    Quindi la grossa sfida
    che abbiamo, come tecnologi,
  • 16:56 - 17:00
    è quella di lavorare
    il più possibile insieme
  • 17:00 - 17:05
    affinché questi programmi,
    questi software vengano utilizzati.
  • 17:07 - 17:08
    Non riusciamo a capire
  • 17:08 - 17:10
    come i nostri avversari
    ragionino o lavorino:
  • 17:10 - 17:13
    se non ci mettiamo nella testa
    di un possibile attaccante,
  • 17:13 - 17:16
    non riusciremo mai
    ad anticipare le sue mosse.
  • 17:16 - 17:18
    Clienti e impiegati aggirano i controlli:
  • 17:18 - 17:21
    più livelli di sicurezza senza senso
  • 17:21 - 17:23
    aggiungerete all'interno
    dei vostri processi,
  • 17:23 - 17:27
    più le persone diventeranno
    creative nel bypassarli.
  • 17:31 - 17:32
    Quindi, essere coinvolgenti:
  • 17:32 - 17:35
    quando facciamo sicurezza
    all'interno di un contesto,
  • 17:35 - 17:37
    dobbiamo farlo per gli altri, non per noi:
  • 17:37 - 17:41
    se no, non essendo empatici,
    non mostrando empatia,
  • 17:42 - 17:46
    non avremo alcun supporto
    da parte delle aziende.
  • 17:47 - 17:48
    Queste sono le frodi tradizionali:
  • 17:48 - 17:50
    se ci pensate,
  • 17:50 - 17:54
    chi di voi non ha ricevuto soldi
    da un principe in Africa lontano?
  • 17:54 - 17:57
    Chi di voi non ha ricevuto
    biglietti aerei,
  • 17:58 - 18:01
    o voucher gratuiti di Netflix,
  • 18:01 - 18:06
    o qualsiasi tipologia di -
    siamo bombardati ogni giorno di email.
  • 18:06 - 18:09
    Email di servizi
    che a volte usiamo, a volte no.
  • 18:09 - 18:12
    Ci sono tante campagne di phishing
    che vedono protagoniste persone
  • 18:13 - 18:16
    che hanno dato a una banca X i propri dati
  • 18:17 - 18:19
    non essendo nemmeno clienti
    di quella banca,
  • 18:19 - 18:24
    ma si sono fidati di questa email
    di questa banca che gli ha scritto,
  • 18:25 - 18:28
    e questa banca ogni settimana
    chiedeva un cambio anagrafico,
  • 18:28 - 18:30
    o la nuova password o il nuovo username.
  • 18:30 - 18:33
    E le persone si sono fidate
    perché la mail era legittima,
  • 18:33 - 18:36
    il logo era carino,
    il testo sembrava scritto bene,
  • 18:36 - 18:37
    e comunque mi è arrivata,
  • 18:37 - 18:42
    quindi dovevo assolutamente
    essere sicuro che fosse quella mail.
  • 18:43 - 18:46
    Quindi chi di voi ha mai vinto un viaggio,
    ad esempio, o un biglietto aereo
  • 18:46 - 18:50
    rispondendo a una di queste mail,
    compilando uno di questi moduli?
  • 18:50 - 18:52
    Credo nessuno, in questa stanza.
  • 18:53 - 18:58
    L'attacco, ovviamente - il vettore
    ancora oggi più comune è la mail.
  • 18:58 - 18:59
    Le persone ricevono mail
  • 18:59 - 19:03
    che possono contenere all'interno
    link da cliccare,
  • 19:03 - 19:06
    pagine che si aprono
    dall'apparenza realistica,
  • 19:07 - 19:08
    oppure dagli allegati.
  • 19:08 - 19:10
    Allegati malevoli,
    con cui fate doppio clic,
  • 19:10 - 19:13
    vi chiedono "continua
    a cliccare su questo file"
  • 19:13 - 19:14
    ma non succede nulla,
  • 19:15 - 19:18
    e avete appena dato l'accesso
    al vostro computer
  • 19:18 - 19:20
    a un attore malevolo.
  • 19:20 - 19:21
    Questa persona, da quel momento,
  • 19:21 - 19:24
    tramite il vostro click
    "responsabile", se vogliamo,
  • 19:25 - 19:27
    ha accesso a tutti quelli
    che sono i vostri dati,
  • 19:27 - 19:30
    può vedere in tempo reale
    le cose che digitate.
  • 19:30 - 19:32
    Notizia di due giorni fa:
  • 19:32 - 19:35
    una gang europea arrestata,
  • 19:35 - 19:40
    che ha sottratto
    circa 41.000 conti in banca
  • 19:40 - 19:43
    per un totale di 100 milioni
    di dollari in questo modo.
  • 19:43 - 19:46
    Facevano installare qualcosa alle persone
    tramite campagne di email,
  • 19:46 - 19:48
    le persone facevano doppio clic;
  • 19:48 - 19:51
    e poi intercettavano, semplicemente,
  • 19:51 - 19:54
    quando le persone si autenticavano
    nella propria banca,
  • 19:54 - 19:55
    magari per mandare i soldi al figlio.
  • 19:56 - 19:58
    A volte non serve neanche
  • 19:58 - 20:01
    tutta questa complessità
    di studiare una campagna di phishing,
  • 20:01 - 20:03
    trovare una persona,
  • 20:03 - 20:05
    perché i social network
    ci hanno aiutato molto in questo.
  • 20:05 - 20:09
    Hanno aiutato le persone malevoli,
    in questo, gli attori malevoli.
  • 20:09 - 20:13
    Pensate a Instagram:
    con un hashtag specifico,
  • 20:13 - 20:15
    #boardingpass (carta di imbarco),
  • 20:15 - 20:20
    voi avete a disposizione un 125-126 mila
    carte di imbarco delle persone,
  • 20:21 - 20:23
    che stanno vicino a voi o anche lontano.
  • 20:23 - 20:25
    Voi mi direte: ok, ma è una carta
    di imbarco, chi se ne frega.
  • 20:26 - 20:28
    Una carta d'imbarco è abbastanza per:
  • 20:29 - 20:32
    autenticarsi nel sistema
    della vostra compagnia aerea;
  • 20:32 - 20:33
    ristampare il biglietto
  • 20:33 - 20:36
    e usare quel biglietto per accedere
    ad aree riservate dell'aeroporto;
  • 20:36 - 20:40
    e potenzialmente fare qualcosa
    che potete immaginare,
  • 20:40 - 20:42
    o anche semplicemente rubare le miglia,
  • 20:43 - 20:46
    o se il vostro profilo
    all'interno del vostro sito
  • 20:46 - 20:49
    contiene la carta di credito,
    prenotare altri biglietti.
  • 20:50 - 20:53
    Carte di credito:
    io non pensavo fosse possibile,
  • 20:53 - 20:54
    ma sui social network
  • 20:54 - 20:57
    le persone pubblicano
    le proprie carte di credito.
  • 20:57 - 21:00
    E voi mi direte: va beh, sì,
    ma tanto è il davanti della carta,
  • 21:00 - 21:04
    c'è quel codice, ci puoi fare poco
    perché non hai il codice supersegreto.
  • 21:04 - 21:07
    Qui le persone ci vengono incontro
    e solitamente mettono fronte-retro:
  • 21:07 - 21:09
    vedete, è più bello anche.
  • 21:09 - 21:13
    Oppure commentano ancora, perché questo
    è un thread bellissimo su Twitter,
  • 21:13 - 21:17
    dove tante persone hanno cominciato
    a chiedere alla persona:
  • 21:17 - 21:19
    sì, ma vogliamo vedere anche
    se il codice ti assomiglia,
  • 21:19 - 21:21
    è vicino alla tua personalità.
  • 21:21 - 21:25
    E lei tutta gasata
    ha risposto con questo codice.
  • 21:25 - 21:29
    Ovviamente queste carte qua
    vanno bloccate subito,
  • 21:29 - 21:31
    perché possono essere utilizzate.
  • 21:31 - 21:32
    Per molti pagamenti online,
  • 21:32 - 21:34
    non è neanche necessario il codice dietro.
  • 21:36 - 21:41
    La password è il grosso problema
    di questi tempi.
  • 21:43 - 21:46
    Voi direte: nel 2019,
    le password sono superate.
  • 21:46 - 21:48
    Le password sono ancora il miglior mezzo
  • 21:48 - 21:51
    per prendere possesso
    dell'identità digitale di una persona.
  • 21:52 - 21:57
    Le password vengono gestite in malo modo
    da tanti di noi, forse anch'io;
  • 21:57 - 22:01
    ma soprattutto, l'assenza
    di consapevolezza è il problema.
  • 22:01 - 22:04
    Quanti di voi in ufficio
    hanno colleghi - o anche a casa -
  • 22:04 - 22:07
    che salvano le password
    o su un file di testo sul desktop,
  • 22:08 - 22:13
    oppure muri pieni di post-it
    o su post-it sullo schermo ad esempio.
  • 22:13 - 22:16
    O ancora, questa azienda
    secondo me li batte tutti,
  • 22:16 - 22:20
    perché un foglio all'ingresso
    dell'azienda che diceva:
  • 22:20 - 22:22
    dite chi siete, dite la vostra
    password attuale
  • 22:22 - 22:25
    e che password volete
    dalla settimana prossima;
  • 22:25 - 22:28
    e quindi le persone hanno cominciato
    a scrivere tutte le password.
  • 22:29 - 22:30
    Qui vado molto veloce,
  • 22:30 - 22:34
    ma le password oggigiorno
    sono sempre quelle:
  • 22:35 - 22:40
    tutti usano 123456,
    tutti usano le solite combinazioni,
  • 22:40 - 22:43
    quindi ci piace avere
    le combinazioni sott'occhio.
  • 22:43 - 22:47
    quindi dalla Q alla P, come vedete,
    sono le combinazioni più utilizzate,
  • 22:47 - 22:49
    siamo un po' pigri
    quando settiamo le password.
  • 22:49 - 22:51
    E noi tecnologi come rispondiamo?
  • 22:52 - 22:55
    Complicando le regole
    per i settaggi della password.
  • 22:55 - 22:58
    Cambiare la password
    ogni settimana, su un piede solo,
  • 22:58 - 23:01
    inserendo due caratteri,
    maiuscoli, minuscoli,
  • 23:01 - 23:03
    non replicando le password precedenti.
  • 23:04 - 23:07
    Questa è, sicuramente,
    la risposta che poi riceviamo,
  • 23:07 - 23:09
    e questo è come le persone rispondono
  • 23:09 - 23:12
    a quella politica restrittiva
    che noi abbiamo appena messo:
  • 23:12 - 23:16
    uno è il carattere più utilizzato
    dopo la password precedente,
  • 23:16 - 23:18
    quindi le persone cambiano la password,
  • 23:18 - 23:20
    ma mettono l'1 finale,
    o il punto esclamativo.
  • 23:21 - 23:24
    Quindi, cosa fare - per chiudere,
    che siamo in ritardissimo?
  • 23:24 - 23:25
    Le cose sono molto semplici.
  • 23:25 - 23:28
    Questo è un invito quando andate a casa:
  • 23:28 - 23:31
    ogni singolo servizio
    deve avere una sola password,
  • 23:31 - 23:35
    quindi è necessario
    che quella password sia univoca,
  • 23:35 - 23:38
    cosicché, se quel dato sito
    viene compromesso
  • 23:39 - 23:42
    voi non veniate esposti completamente.
  • 23:42 - 23:45
    Quindi la vostra violazione
    si limita a questo web,
  • 23:45 - 23:48
    quindi abbiate password
    univoche per ogni servizio.
  • 23:48 - 23:51
    Utilizzate un secondo livello
    di autenticazione:
  • 23:51 - 23:54
    la banca già adesso vi manda un sms,
    o vi ha dato un token fisico.
  • 23:54 - 23:58
    Utilizzatelo anche per tanti servizi
    che lo mettono a disposizione.
  • 23:58 - 24:00
    I "Password manager"
    sono quelle applicazioni
  • 24:00 - 24:03
    che vi possono aiutare
    per gestire le password.
  • 24:03 - 24:06
    Applicare gli aggiornamenti:
    sembra una cosa scontata,
  • 24:06 - 24:08
    ma applicate gli aggiornamenti
    al vostro frigorifero,
  • 24:08 - 24:11
    alla vostra auto, al vostro tostapane,
    al vostro baby monitor,
  • 24:11 - 24:15
    a qualsiasi dispositivo
    connesso a Internet a casa vostra.
  • 24:15 - 24:18
    Infine testate le copie di dati che fate.
  • 24:19 - 24:21
    Non è sufficiente copiarle
    su un disco o su un floppy,
  • 24:22 - 24:25
    perché poi tra cinque anni direte:
    ma come faccio a leggere questo floppy,
  • 24:25 - 24:27
    che non ho più il lettore di floppy?
  • 24:27 - 24:29
    O ancora, un cd
    si deteriora, in cinque anni.
  • 24:29 - 24:32
    Quindi siate un po' consapevoli
    che non basta copiare i dati,
  • 24:32 - 24:34
    ma vanno copiate e vanno testate le copie.
  • 24:36 - 24:37
    Questo è un regalo:
  • 24:37 - 24:40
    andate su questo sito
    e mettete la vostra email.
  • 24:40 - 24:42
    Voi direte: alla fine
    di tutta questa discussione
  • 24:42 - 24:43
    regaliamo la nostra mail?
  • 24:43 - 24:46
    Sì, vi potete fidare,
    non perché è bellino il logo,
  • 24:46 - 24:48
    ma perché il servizio è legittimo;
  • 24:48 - 24:51
    e mettendo la vostra email
    vi si aprirà un mondo,
  • 24:51 - 24:55
    perché capirete quanto la vostra email
    è esposta su Internet,
  • 24:55 - 24:58
    quindi quali sono i siti
    che hanno la vostra email
  • 24:58 - 24:59
    che hanno subito una violazione
  • 24:59 - 25:02
    e lì capirete che - e qui non ridete -
  • 25:02 - 25:05
    se usate la stessa password
    per tutti i servizi
  • 25:05 - 25:08
    basta una violazione
    per esporvi totalmente.
  • 25:09 - 25:11
    Grazie mille dall'attenzione.
  • 25:11 - 25:15
    (Applausi)
Title:
La componente umana nella cybersicurezza | Gianluca Varisco | TEDxOrtygia
Description:

Gianluca lavora attualmente come Chief Information Security Officer (CISO) per Arduino, la più popolare piattaforma Open Source per la progettazione elettronica. Dal palco di TEDxOrtygia, ci esorta ad una rinnovata attenzione per la sicurezza informatica, ogni giorno più importante.

Questo intervento è stato presentato a un evento TEDx, che utilizza il format della conferenza TED ma è stato organizzato in maniera indipendente da una comunità locale.

Per maggiori informazioni, visita il sito http://ted.com/tedx
more » « less
Video Language:
Italian
Team:
closed TED
Project:
TEDxTalks
Duration:
25:18

Italian subtitles

Revisions

Our website uses cookies for analysis purposes.