Trasparenza: WithSecure ha offerto il volo e l’alloggio che hanno reso possibile la mia partecipazione.

Sono a Helsinki con la Dama del Maniero per un paio di giorni per partecipare alla conferenza di Sicurezza informatica SPHERE23. Questo è il programma degli ospiti che parleranno all’evento. Aggiornerò man mano questo articolo per includere una sintesi delle informazioni fornite dai vari relatori.

24 maggio

Si comincia con un pre-evento riservato alla stampa, con il CEO di WithSecure Juhani Hintikka. Cita un dato a margine molto interessante: la fiducia nel governo in Finlandia è al 64%, contro un 40% di media europea (osservazione mia: chissà se c’entra il fatto che la Finlandia ha uno dei programmi più aggressivi di lotta alle fake news sin dai primi anni di scuola). Propone un approccio che chiama “Outcome security”: sicurezza orientata ai risultati della specifica azienda, ottenuta combinando in modo flessibile prodotti e servizi di sicurezza e progettando i processi produttivi in modo da integrare da subito le considerazioni di sicurezza, non come cosa da appiccicare a cose fatte. Idea intuitiva, ma gli altri conferenzieri porteranno dati poco confortanti sulla diffusione di quest’idea nelle aziende, che per ora è molto scarsa.

Parla Suni Silvanto, Director of Product Marketing dell’azienda. Bella l’idea di offrire la sorveglianza dei siti e dei sistemi di un’azienda per il turno di notte, come servizio.

Poi tocca a Leszek Tasiemski, Head of Products, che parla di sostenibilità dei servizi di sicurezza: sorprendentemente manca uno standard, una sorta di etichetta energetica, per il software di sicurezza, ma finalmente si comincia a studiarne il consumo energetico. Nella sua presentazione mostra come cambiare alcuni settaggi del software di sicurezza può avere un impatto notevole sulle bollette energetiche. Però ma bisogna trovare la maniera di evitare che la ricerca di risparmi non riduca la sicurezza effettiva. È un campo completamente nuovo nel quale c’è da costruire tutto da zero, a partire dalle interfacce utente.

Andrew Patel parla di prompt engineering ostile, con una relazione rapida e ricchissima di contenuti tecnici: generazione di mail di phishing e spear phishing, harassment di persone e aziende tramite testi generati e postati sui social network, social validation (fiducia degli utenti nei post molto popolari), style transfer (per superare barriere linguistiche o per imitare lo stile di una persona, creazione di documenti falsi trojanizzati), opinion transfer (generazione di post che rappresentano uno specifico punto di vista o una particolare opinione politica, per saturare i contenuti), fabbricazione massiva di fake news con generazione di articoli estremamente documentati e credibili. Un fiume di idee che andrà assolutamente approfondito.

Stephen Robinson, Senior Threat Intelligence Analyst, parla di professionalizzazione del crimine informatico. I profitti delle organizzazioni criminali sono enormi e quindi queste organizzazioni si stanno strutturando come aziende, con tanto di outsourcing. Alla base c’è il ransomware, con una stima di almeno 2 miliardi di dollari pagati in riscatti dal 2020, che incentiva a cercare nuove efficienze (perché un piccolo miglioramento produce ricavi maggiori significativi), e si parla sempre più di multipoint extortion (non solo crittazione classica, ma anche minaccia di pubblicazione e di semplice cancellazione dei dati del bersaglio dai suoi server o dal suo cloud).

Ci sono i criminali as-a-service, che offrono il servizio di attacco chiavi in mano, con figure specialistiche come gli Initial Access Broker, ossia gente che si limita a penetrare i sistemi del bersaglio e poi offre questo accesso al miglior offerente: prima attacca, poi trova qualcuno interessato al bersaglio. Malware as a service (Crackpot). I governi spesso comprano questi servizi per le proprie campagne ostili: riduce i costi, trova le competenze e riduce la possibilità di attribuzione. Soluzioni? Trovare il modo di aumentare i costi e i rischi per i criminali.

Arriva poi Mikko Hypponen, CRO di WithSecure e autore di If It’s Smart It’s Vulnerable. Parla del suo boicottaggio della conferenza RSA per nove anni perché la NSA aveva corrotto RSA convincendola a installare una backdoor governativa nei propri firewall. Adesso ci torna, su invito, perché RSA nel frattempo è stata comprata più volte e ora è di proprietà, stranamente, di un gruppo di insegnanti dell’Ontario. Cita il crollo delle rapine in banca (in Finlandia, da una ogni due o tre giorni a zero negli ultimi tredici anni) perché oggi le banche non hanno più contanti e conviene di più attaccare con un trojan che con una pistola. Dice che la nostra generazione verrà ricordata dagli storici per tre cose: per essere stata la prima ad andare online, per essere stata la prima a dover contendere con l’intelligenza artificiale e per aver ucciso la privacy.

Hypponen parla poi del branding delle bande criminali e dei cybercrime unicorns: organizzazioni illegali che hanno risorse economiche superiore al miliardo di dollari e sono strutturate come aziende, con problemi di reputazione e di servizio professionale, perché se non sono credibili e affidabili (nel commettere i propri reati e nel ripristinare i dati crittati se la vittima paga) non avranno successo, Allo stesso tempo, le autorità reagiscono con tecniche innovative come lo smembramento di queste organizzazioni ottenuto offrendo taglie; questo porta a delazioni interne e guerre intestine fra bande, anche in Russia. Ma la collaborazione internazionale contro questi criminali è praticamente finita con l’invasione dell’Ucraina; risulta che i criminali informatici russi siano stati tutti rilasciati senza condanne. Hypponen cita una vera e propria spy-story ricca di tecniche innovative: quella dell’attacco dell’FBI alla banda criminale Hive (l’FBI infiltrò Hive, diventando affiliata e dando le chiavi di decrittazione alle vittime).

Hypponen parla di deepfake in tempo reale e presenta la sua teoria sul motivo per cui Meta ha investito oltre 13 miliardi di dollari nel metaverso: per acquisire dati dettagliatissimi sulle reazioni delle persone, per esempio con l’analisi delle reazioni dell’iride alla visione di oggetti e persone, che permette di conoscere le emozioni delle persone e vendere questi dati a scopo pubblicitario. In pratica, un’estensione di quello che ha fatto Facebook per anni. 

Noi giornalisti abbiamo poi un’occasione speciale: una chiacchierata con Victor Zhora, uno dei principali responsabili della Sicurezza Informatica ucraina. Zhora era in collegamento via Teams da Kiev (era prevista la sue presenza, ma gli ultimi sviluppi della situazione attuale lo hanno impedito). Pur dovendo restare vago per non dare informazioni al nemico potenzialmente in ascolto (fra i giornalisti, per esempio; si ragiona così in tempi di guerra), ha spiegato moltissimi dettagli dei problemi inattesi (anche legislativi) di sicurezza informatica in uno scenario di conflitto vero e proprio, combattuto sia fisicamente (distruzione delle infrastrutture) sia digitalmente (denial of service, disseminazione di disinformazione e anche (aspetto molto interessante e inatteso) acquisizione di informazioni sul territorio attraverso le telecamere di sicurezza private vulnerabili. La Russia usa concretamente queste telecamere per avere riscontri sui risultati dei suoi attacchi, per cui è necessario trovare il modo di mettere in sicurezza le webcam private e aziendali (e di convincere i cittadini a farlo).

---

L’evento vero e proprio inizia nel pomeriggio. A Helsinki c’è un clima primaverile, tiepido e con un cielo limpido che rende ancora più godibile spostarsi per la città. Qui regna incontrastata la mobilità pubblica e leggera: tram, monopattini elettrici e biciclette ovunque, e tutti camminano. I viali ampi facilitano la trasformazione della città verso un traffico più sostenibile. Prendo appunti fotografici anche sulla mobilità leggera, perché mi sa che nei prossimi anni se ne dovrà parlare molto.

La sala conferenze ha un videowall assolutamente spettacolare e un impianto audio e luci all’altezza. Che bello assistere a un evento organizzato bene, dove tutto è chiaramente visibile e udibile.

Dopo l’introduzione di Juhani Hintikka (CEO di WithSecure), c’è un videocollegamento con Victor Zhora, il responsabile della sicurezza informatica ucraina che noi giornalisti abbiamo già incontrato online la mattina e stavolta fa un intervento aperto al pubblico. Pochi dettagli dal punto di vista tecnico, ma un messaggio molto chiaro: grazie a tutti i paesi per l’aiuto informatico, logistico e politico nella resistenza contro la Russia, e attenzione che quello che sta succedendo a noi può succedere a voi, soprattutto qui in Finlandia, che è ora un paese NATO con ua lunga frontiera diretta con la Russia. L’Ucraina, purtroppo, è il territorio sul quale si stanno sperimentando in concreto tutte le teorie di cyberguerra e dal quale è urgente imparare, perché un attacco informatico alle infrastrutture non ha i limiti di gittata delle armi convenzionali e quindi può avvenire dappertutto.

Poi sono intervenuti sul palco Jessica Berlin, Political Analyst & Strategy Advisor, che ha parlato della sua drammatica esperienza diretta sul campo in Ucraina; Laura Koetzle, VP & Group Director at Forrester Research; Christine Bejerasco, CISO di WithSecure; e infine Mikko Hyppönen, con un talk spettacolare sull’intelligenza artificiale intitolato Artificial Evil.  

Qualche idea riassunta nelle slide di Mikko: c’è abbastanza materiale per una vita di articoli.