lunedì 28 gennaio 2019

ENISA: analisi delle priorità della Ricerca e Sviluppo del settore Cyber

La European Union Agency for Network and Information Security (ENISA), è il centro europeo di esperti del settore cyber. La sede principale è in Grecia, ad Atene, mentre una filiale si trova a Creta, ad Eraclion.
Il compito della Agenzia europea è quello di:
- fornire raccomandazioni;
- attività a supporto della produzione di policy di settore e della loro esecuzione;
- training a favore di cittadini, società e Stati Membri;
- attività varie.
Nel sito è possibile trovare informazioni su studi europei ma anche sui CERT/CSIRT esistenti o sugli studi di ricerca e sviluppo in corso. Tra i documenti di questa ultima categoria resi disponibili sul sito ho avuto l'occasione di leggere la "Analysis of the European R&D priorities in cybersecurity", sottotitolato "Strategic priorities in cybersecurity for a safer Europe" emesso lo scorso dicembre 2018. Cercherò in poche righe di darvi una idea di che si tratta e di quale sia la sua importanza e farò  alcune considerazioni generali in merito.
Incomincio col dire che si tratta di un documento di analisi strategica. Lo scopo del documento è infatti quello di identificare i rischi cyber cui sarà soggetta la società europea e di identificare le priorità della ricerca che potranno aiutare a ridurli o ad eliminarli. Lo scopo è dunque quello di "giocare d'anticipo". 
Per fare ciò l'autore ha proceduto ad effettuare una serie di interviste con esperti del settore, analizzare i dati raccolti assieme agli esperti dell'ENISA e a cercare di immaginare la società europea del 2025 dal punto di vista sociale, tecnologico e di business.
Iniziamo dunque dalla analisi dello scenario "Europa 2025".
Europa 2025 prevede che i dispositivi connessi ad internet siano oramai la norma, ogni settore della società è dunque altamente connesso. Gli operatori di settore (energia, trasporti, banche, infrastrutture digitali, ospedali) come pure tutte le amministrazioni pubbliche e l'industria forniscono servizi online.
Nel mondo potrebbero esserci circa 80 miliardi di dispositivi connessi (a fronte di una popolazione di circa 8 miliardi di persone). IoT (Internet of Thing) si sta trasformando in IoE (Internet of Everything) che a sua volta influenza la società. E' diventato di uso comune utilizzare dispositivi indossabili connessi e controllabili con l'uso della voce. La tecnologia 5G consente miglioramenti dei servizi di connessione. Educazione ed addestramento sono più efficaci grazie all'impiego delle nuove tecnologie come la realtà aumentata e le tecniche di gamification. 
L'attenzione della società verso le problematiche cyber è aumentata. Sono nate molte iniziative che promuovono la realizzazione di sistemi e servizi secondo il concetto di "security by design".
Esistono purtroppo tensioni sociali tra una "cyber aware elite" e una sub cultura di lavoratori "less aware".  
I governi chiedono ai cittadini di utilizzare i servizi online per tutti i servizi amministrativi, ciò implica l'uso di una identità digitale. Sono ora disponibili capacità computazionali e di memorizzazione in cloud molto elevate. Si impiega l'Intelligenza Artificiale (AI) per l'analisi comportamentale dei dati raccolti e per sviluppare servizi e prodotti più attagliati alle necessità, purtroppo anche le organizzazioni criminali cominciano a farne uso. Ancora non esiste una chiara regolamentazione sull'uso della AI.
I giganti di internet sono diventati ancora più grandi e potenti e non solo analizzano e rispondono alle domande dei clienti ma ne guidano le scelte e i desideri.
La tecnologia quantistica inizia a svilupparsi... 

Mi fermo qui nella descrizione dello scenario, chi vuole può trovarlo per intero sul sito di ENISA.
Il documento dell'ENISA prosegue analizzando lo scenario descritto e poi individuando una serie di raccomandazioni atte a ridurre i rischi identificati. Le raccomandazioni si concentrano su alcuni aspetti della dimensione cyber, in particolare:
- promozione della consapevolezza nei confronti dell'impiego delle tecnologie, delle limitazioni e dei rischi. Lo sviluppo di sistemi disegnati per garantire la sicurezza dei dati e la privacy. Si suggerisce inoltre di incoraggiare le innovazioni nella diffusione della conoscenza relativa ai rischi legati al mondo cyber;  
- incoraggiare il trasferimento di conoscenze tra esperti specializzati in sicurezza e il più ampio mondo accademico; facilitare l'insegnamento dei principi di sicurezza nelle facoltà di "computer science"; 
- promuovere una intelligenza artificiale comprensibile all'uomo e che ne garantisca l'affidabilità;
- facilitare le ricerche in merito alle tecnologie di crittografia quantistica e di distribuzione quantistica delle chiavi di cifratura per comunicazioni ad elevata sicurezza;
- in merito alla complessità del rischio occorre promuovere lo sviluppo di nuovi approcci di analisi del rischio e d'impatto per sistemi complessi e interdipendenti. Inoltre si suggerisce di definire interfacce di interoperabilità tra infrastrutture critiche che siano studiate per prevenire effetti di caduta a cascata.      
- nel settore del cybercrime si suggerisce di facilitare le ricerche nel campo della prioritizzazione della sicurezza e nello sviluppo di strumenti di situational awareness innovativi;
- infine, nel settore della rischi alla privacy, si suggerisce di promuovere e diffondere lo sviluppo e l'impiego di tecnologie che garantiscano alti standard di privacy e lo sviluppo di appositi tools di assessment.
Naturalmente il documento è molto più completo di quanto io ho scritto e analizza nel dettaglio alcuni settori di interesse per cui è sicuramente una lettura interessante ed istruttiva.
Io però voglio soffermarmi su alcuni aspetti relativi allo scenario. Quando si costruiscono gli scenari il rischio è quello di lasciare fuori qualche area che invece dovrebbe essere considerata e ciò potrebbe rendere parzialmente scorretta l'analisi del rischio che viene effettuata.
Nel nostro caso vi sono infatti diverse aree a mio parere non considerate e che richiederebbero un po di attenzione, in particolare:
- l'impiego delle cryptocurrency. Oggigiorno vi sono segnali che indicano che le criptocurrency dovrebbero essere sempre più impiegate, anche nel settore governativo e bancario/assicurativo;
- la tecnologia blockchain continuerà a svilupparsi e sostituirà alcune tecnologie anche nel settore relativo alla identità digitale;
- le tecniche di codifica di dati nel DNA già oggi sono sperimentate ed hanno raggiunto buoni risultati (vedi articolo). E' ragionevole pensare che verranno sviluppate per consentire la codifica, la conservazione e la trasmissione di dati nel tempo e nello spazio, soprattutto nel campo del segreto industriale e militare;
- lo sviluppo delle attività spaziali avrà raggiunto un buon livello nel mondo industriale e avrà portato allo sviluppo di nuovi sistemi di comunicazione. Ciò dovrebbe inoltre dare impulso allo sviluppo di nuovi tipi di armamenti;
- lo sviluppo di cyber armi sempre più complesse e il loro impiego da parte di Stati dovrebbe condurre ad un aumento dell'impiego dell'arma della dissuasione, ovvero sempre più Stati dichiareranno di impiegare le proprie capacità cyber militari offensive in risposta ad attacchi o per salvaguardare gli interessi nazionali. Ciò dovrebbe condurre alla stipula di "trattati di non proliferazione", a similitudine di quanto accaduto nel campo delle armi di distruzione di massa.

Sia chiaro che quanto sopra è la mia visione di quello che manca allo scenario "Europa 2025". 
Ora, l'introduzione di questi nuovi fattori nello scenario Europa 2025, qualora considerati validi, porta come logica conseguenza alla necessità di rivedere l'analisi del rischio e trovare le modalità di prevenzione o attenuazione più adatte, cosa però al di là dello scopo di questo articolo.

Alessandro RUGOLO

Per approfondire:
- https://www.enisa.europa.eu/;
- https://www.enisa.europa.eu/publications/analysis-of-the-european-r-d-priorities-in-cybersecurity

domenica 27 gennaio 2019

L'Unione Europea ci crede: 9 miliardi di euro per il Digitale


Si è svolta a Lille, il 22 e 23 gennaio 2019, l'undicesima edizione del FIC (Forum international de la Cybersécurité), un evento di rilevanza internazionale. 

Per capire la dimensione dell'avvenimento vediamo qualche numero:
- 8600 partecipanti;
- 350 partners;
- 80 paesi rappresentati.
Centinaia le società scese in campo al fianco delle organizzazioni governative francesi e delle istituzioni universitarie e di ricerca. Apprezzabile lo sforzo teso ad affrontare il soggetto da tutti i punti di vista.
Oltre alla consueta possibilità di visitare gli stand degli espositori in cui trovare prodotti, servizi e formazione, il FIC ha visto il coinvolgimento dei ragazzi attraverso lo svolgimento di attività incentrate sulla ricerca di vulnerabilità su ambiente appositamente predisposto ma anche di "caccia al bug" su software e sistemi reali. 
(Marcel)
Interessanti i vari panel che hanno visto confrontarsi personaggi legati tra loro dal comune sentimento di sfida che il cyber space rappresenta per la società: una sfida che non possiamo rifiutare.

Dal punto di vista culturale è stato organizzato un premio per il libro più interessante, mentre tra un panel e l'altro è stato possibile apprezzare i video ironici sulla cyber. Particolarmente gradito dal pubblico quello di Marcel, una simpatica clip sulla "intrusività" dei cacciatori di dati nel mondo moderno.
Efficace la partecipazione del mondo politico francese che si è presentato in forze per illustrare i passi compiuti e sostenere la necessità di andare avanti senza indugio. 

Da notare  l'intervento del Commissario Europeo per l'economia e la società digitale, Mariya Gabriel, che ha brevemente riepilogato gli interventi europei dell'ultimo anno in materia cyber e ha annunciato gli investimenti per il futuro e le proposte di modifica delle istituzioni (tra queste l'ENISA) per poter affrontare meglio le nuove sfide. Il Commissario europeo ha ricordato che oggigiorno in Europa mancano le figure professionali del mondo della cyber security, si stima che vi siano circa 300.000 posizioni vacanti e che diventeranno 500.000 nel 2020. 
Secondo uno studio del governo dei Paesi Bassi l'Europa non spende più di 1,5 miliardi nel settore Cyber, ovvero un decimo rispetto a quanto fanno gli Stati Uniti. Per il bilancio europeo futuro sarà tenuto l'investimento di 2 miliardi sul programma Horizon 2020 ma sarà lanciato un ulteriore programma: "Europa Digitale", dotato di un fondo di 9 miliardi di euro. Al suo interno la parte dedicata alla cyber sarà di 2 miliardi. 
Sembra che finalmente siano state gettate le basi per consentire lo sviluppo di una industria di sicurezza informatica europea, ora la palla passa a tutti coloro che possono e vogliono partecipare alla sfida. E in un periodo in cui i singoli Stati sembrano pressati da tutt'altre priorità, questa è un'occasione da non perdere!

Alessandro RUGOLO

- https://www.usinenouvelle.com/article/au-fic-la-cybersecurite-se-reve-a-l-echelle-europeenne.N642518;
- https://www.forum-fic.com/accueil.htm;
- https://www.youtube.com/watch?v=3LTgSdOpLbI&t=0s&list=PLsaypbHfNQun1ZbfzXj0DsRXVB61i9Vod&index=5;
- https://www.youtube.com/user/WebTVFIC/videos;
- https://ec.europa.eu/commission/priorities/digital-single-market_en;
- https://www.enisa.europa.eu/
- https://ec.europa.eu/programmes/horizon2020/en



domenica 20 gennaio 2019

Onde cerebrali come password? Sembra di si ma...


La debolezza dei sistemi basati su password ha spinto allo sviluppo di studi incentrati sulla biometria.

Tra questi uno in particolare si è concentrato sull'impiego delle onde cerebrali, sembra infatti che queste siano tipiche per ognuno di noi e la loro imitazione resta molto complessa, se non impossibile. 
Sulla base di questo assunto diversi studi hanno portato ad ipotizzare vari metodi di verifica d'accesso ai sistemi basati sul principio delle onde cerebrali.
Nel coro degli studi, occorre però tenere presente anche chi canta una musica differente. E' il caso di alcuni ricercatori (Tommy Chin, Peter Muller, John Chuang) che hanno cercato di verificare l'attendibilità di sistemi di verifica ad onde cerebrali in condizioni non ideali come l'ubriachezza, l'assunzione di droghe o di caffeina o ancora la stanchezza.
Dai primi risultati delle ricerche risulterebbe infatti che l'attendibilità del riconoscimento calerebbe dal 94% a circa il 33% per soggetti che fanno uso di sostanze quali alcool caffeina o droghe. Può darsi che la cosa sia un bene dato che un utente ubriaco potrebbe causare più danni che altro ma non è detto che la cosa vada bene per la caffeina dato che è comunque una sostanza usata per vincere il sonno e poter effettuare dei lavori richiedenti maggiore concentrazione.

Alessandro RUGOLO


Per approfondire:
- https://www.newscientist.com/article/2118434-brainwaves-could-act-as-your-password-but-not-if-youre-drunk/
-

domenica 13 gennaio 2019

CIMON, il primo robot assistente spaziale "Intelligente"

Intelligenza Artificiale e spazio, due discipline scientifiche al limite delle nostre conoscenze alleate per aiutare l'uomo.
Il 15 novembre ultimo scorso, a bordo della International Space Station, l'astronauta tedesco Alexander Gerst è stato protagonista di un esperimento durato novanta minuti, ha infatti parlato con un assistente di bordo molto speciale: CIMON (Crew Interactive Mobile Companion). Il piccolo robot è dotato di intelligenza artificiale ed è il primo della sua "specie" ad aver raggiunto lo spazio.
CIMON è di produzione Airbus ed è stato risvegliato dal Comandante della missione, Gerst, con le parole "Wake up, CIMON". Il robot ha risposto con il classico "What can I do for you?", dando così  inizio all'esperimento. 
CIMON è collegato al Columbus Control Center in Germania e da qui con il Biotechnology Space Support Center a Lucerna per passare attraverso internet all'IBM Cloud a Francoforte. 
CIMON è un primo passo, si tratta infatti di un dimostratore tecnologico di ciò che potrebbe essere un assistente in un viaggio di esplorazione spaziale, queste le dichiarazioni del portaparola Marco Trovatello, dell'European Space Agency's Astronaut Centre di Colonia.
Il piccolo CIMON è capace di muoversi autonomamente nella Stazione Spaziale e di ricevere comandi vocali, semplificando le procedure di lavoro degli astronauti.
Nel corso dell'esperimento (vedi il video) CIMON ha riconosciuto l'astronauta, si è spostato autonomamente all'interno della base e ha dato istruzioni al suo compagno umano.
Ma è possibile che le cose non siano poi cosi semplici come dichiarato inizialmente.
Secondo quanto pubblicato in un articolo di Nicolas Rivero su Quartz, sembra che Gerst e CIMON abbiano avuto uno "scambio di opinioni" riguardo alla musica, infatti mentre CIMON voleva cantare Gerst lo richiamava all'ordine.
Quanto successo solleva naturalmente una serie di obiezioni, la prima di queste riguarda la reale utilità delle "intelligenze artificiali". I tentativi di infondere nei robot una intelligenza tipica della razza umana infatti non è esente da pericoli, il primo dei quali risiede nel fatto che non sappiamo come controllare una intelligenza artificiale esattamente come non saremo mai certi di controllare completamente una intelligenza umana, anzi, forse è ancora più difficile. Tutto sommato conosciamo abbastanza bene i nostri simili ma molto meno le Intelligenze Artificiali...
      
Alessandro RUGOLO

Per approfondire:
- https://www.space.com/42574-ai-robot-cimon-space-station-experiment.html;
- https://www.space.com/41041-artificial-intelligence-cimon-space-exploration.html;
- https://www.nasa.gov/mission_pages/station/main/index.html
- https://qz.com/1482839/the-iss-has-a-robot-on-board-and-hes-being-kind-of-a-dick/
- https://www.businessinsider.com/international-space-station-cimon-robot-funny-glitch-2018-12?IR=T