Traduttore automatico - Read this site in another language

domenica 16 febbraio 2020

Cosa bisogna sapere sul cyberspace per vivere bene: la pubblicità personalizzata

Grazie a tutti!

L'articolo precedente sugli incidenti informatici ha riscosso un certo successo di pubblico, molto superiore a quello che immaginavo in ogni caso, per cui eccomi ancora qua.

Tra i messaggi ricevuti dagli amici ve ne sono alcuni che penso meritino di essere condivisi per le loro implicazioni nella vita di tutti i giorni.
Diversi amici infatti mi hanno chiesto di spiegare cos'é una rete. Cercherò di farlo in modo semplice.
Qualcuno invece si è domandato perché sul proprio smartphone vede delle pubblicità diverse da quelle del figlio. Proviamo a rispondere anche a questa.
Partiamo dunque dalle reti.
Un tempo, quando studente mi trovavo dall'altra parte della cattedra, ricordo che la lezione sulle reti di computer iniziò con tutta una serie di definizioni che miravano a introdurre i concetti di LAN, MAN e WAN. Allora aveva un senso, oggi resta di interesse per i tecnici, molto meno per l'uomo comune.
Siamo talmente abituati a viaggiare restando connessi che non ci interessa più sapere a cosa siamo connessi e come.
Se prendiamo una giornata di lavoro media ci rendiamo conto che ci muoviamo da casa al posto di lavoro, andiamo a fare la spesa, magari prendiamo il treno o l'aereo per recarci in un'altra città, in tutto, la maggior parte delle volte, senza perdere un solo secondo a configurare il nostro smartphone per avere l'accesso ad internet.
Eppure nel percorso che ci porta da casa al luogo di lavoro passiamo dalla rete locale di casa nostra alla rete cellulare dell'operatore mobile, al wi-fi del treno o dell'aeroporto, alla rete mobile di un altro operatore o del nostro datore di lavoro.
Di tutto ciò, di solito non ci preoccupiamo minimamente, perché è diventata una cosa normale.
Il massimo che ci può accadere è di essere costretti a impostare la "modalità aereo" quando a bordo dell'aereo ci privano della nostra "libertà di connessione" che poi recuperiamo appena possibile all'atterraggio.
La risposta alla domanda "cos'è una rete" è intuitiva: la rete, oggi, è internet, con tutto ciò che comporta di tecnico per mantenerci connessi ma anche con la nostra persona, siamo infatti parte integrante di internet in quanto utenti di innumerevoli servizi (richiesti o meno). Internet è la rete che collega il mondo e tutti i suoi esseri umani (o quasi) in un'unica grande società digitale!
E qui veniamo alla seconda domanda. La pubblicità personalizzata.
Credo non sia un mistero che la pubblicità sia "l'anima del commercio", chissà quante volte l'abbiamo sentito dire. E' chiaro che se si vuole vendere un prodotto lo si debba far conoscere, questa regola è alla base della maggior parte degli scambi sociali, infatti non vale solo per i prodotti "materiali" ma anche e soprattutto per quelli immateriali come la conoscenza per esempio.
La pubblicità esiste da sempre, con forme diverse magari, ma fedele al suo scopo.
Parlando di scopo della pubblicità occorre introdurre una parola da molti non gradita: influenza.
La pubblicità infatti ha lo scopo di influenzare, cioè di indirizzare i possibili acquirenti verso un prodotto specifico o verso una moda.
Dico che il termine "influenza" non è gradito in quanto è un termine che evoca il lato oscuro.
Influenzare è sempre inteso come qualcosa di negativo che ci spinge a fare qualcosa che normalmente non vorremo fare.
In linea di massima è cosi, influenzare tende a spingerci a fare delle cose che altrimenti non faremo. L'errore è quello di considerarlo come un termine solo al negativo: è indubbio infatti che da quando veniamo al mondo subiamo l'influenza benigna dei nostri genitori, nonni, amici e parenti, degli insegnanti come del compagno di banco e della TV...
Eppure associare il termine "influenza" alla pubblicità è considerato pericoloso.
Tanto pericoloso che anni addietro quando nelle pagine di Topolino apparve una bella storia sul mondo pubblicitario, in cui Topolino decideva di girare dei cortometraggi pubblicitari che lo portarono a combattere ancora una volta col suo più acerrimo nemico Gamba di legno, si dice che la storia venne considerata "pericolosa" e diversamente dal solito non venne più pubblicata per un bel pezzo. Sarà vero? Io penso di si… (attenzione, vi sto influenzando!).
La pubblicità infatti ha maggior effetto quando non viene spiegato il suo modo di funzionamento, l'influenza deve essere sottile e continua ma deve restare sotto la soglia di guardia.
Con i moderni strumenti a disposizione del mondo industriale la pubblicità è diventata pervasiva, spesso fastidiosa ma anche pericolosa in quanto "mirata".
L'abitudine che abbiamo di ricorrere allo smartphone per qualunque esigenza, dalla verifica del titolo del film del nostro attore preferito alle informazioni dei prezzi degli aerei per andare in Sardegna, passando per l'acquisto online dei filtri per l'aspirapolvere, unita all'uso smodato dei social network, fa si che chi gestisce la rete e i servizi che vi sono sopra accumuli su di noi una quantità impensabile di dati e informazioni sui nostri gusti e preferenze.
Informazioni che vengono utilizzate per "renderci un servizio" ovvero per metterci sotto gli occhi ogni volta che è possibile l'oggetto dei nostri desideri attraverso delle pubblicità mirate alla nostra persona.
Ecco perché nostro figlio si ritrova con la pubblicità del motorino o dell'ultimo videogioco appena uscito mentre voi vi trovate la pubblicità di una vacanza da sogno ai Caraibi, di un ottimo ristorante stellato o delle scarpe più affascinanti indossate dalle dive di Hollywood.

La pubblicità influenza… e noi ne siamo continuamente le vittime predesignate!

Soluzione: e se provassimo a spegnere il telefonino per qualche minuto al giorno? Tanto per cominciare...

Alessandro Rugolo

martedì 11 febbraio 2020

Otto anni fa... in ricordo di zio Umberto

A mio zio Umberto...

Voglio ricordarti così, zio...
Con il sorriso sulle labbra,
anche se la malattia ti lasciava poco spazio per sorridere.

Voglio ricordarti così, zio...
come quando ci portavi al mare,
ed in macchina ascoltavamo Celentano.

Voglio ricordarti così, zio...
soddisfatto per la tua famiglia,
che ti amerà per sempre.

Voglio ricordarti così, zio...
come quando rientravi tardi a casa
e nonna Cenza lì ad aspettarti.

Voglio ricordarti così, zio...
con un fumetto di Tex Willer in mano
e tante idee in testa.

Voglio ricordarti così, zio...
andando al monte in trattore
a festeggiare San Mauro con gli amici.

Voglio ricordarti,
e ti ricorderò sempre...
grazie per tutto, zio...

Tuo nipote Alessandro

domenica 9 febbraio 2020

Perchè non esiste un antivirus universale?

Da quando esistono i virus informatici esistono anche gli antivirus.
Questa è una evidente realtà.
Ma per quale motivo gli antivirus non sono efficaci contro tutti i virus?
Rispondere a questa domanda è intuitivamente semplice: perché vi sono virus sempre nuovi che si comportano diversamente dai precedenti e gli antivirus funzionano solo con ciò che conoscono, ma se si va a vedere cosa c'è dietro la risposta intuitiva allora le cose si complicano.
Si, perché se si prova ad approfondire il problema ci si addentra in un campo di studio per niente facile.
Per capire di cosa stiamo parlando occorre introdurre alcuni concetti ovvero il significato di "euristico" e di "macchina di Turing".
Il termine "euristico", in matematica si riferisce ad un procedimento impiegato per prevedere un risultato che però dovrà essere convalidato dall'esperienza in quanto non rigoroso.
Invece con "macchina universale di Turing" si intende una macchina ideale che programmata consente di eseguire qualunque operazione, ovvero di calcolare in un numero finito di passi elementari qualsiasi funzione computabile.
Ebbene un certo numero di anni fa Leonard Max Adleman, oltre ad essere uno dei tre inventori dell'algoritmo di cifratura RSA (Rivest-Shamir, Adleman) ed il primo ad aver utilizzato il termine virus in informatica per identificare degli agenti malevoli, ha anche dimostrato che se esistesse un algoritmo capace di individuare la presenza di un virus in un caso generale, questo algoritmo sarebbe capace di risolvere il problema noto sotto il nome di "halting problem". Tale problema affrontato teoricamente da Alan Turing consiste nel dire se, dato un qualunque programma e un qualunque input, sia possibile determinare se il programma prima o poi si fermerà o continuerà a restare in esecuzione all'infinito.
Alan Turing dimostrò che tale problema è "indecidibile".
Ebbene, per tornare al nostro problema, ovvero se possa esistere un programma capace di individuare un qualunque virus, Leonard Max Adleman ha dimostrato che questo problema è equivalente al più noto "halting problem" e quindi anch'esso indecidibile.
Se supponiamo, e non vedo motivo di non farlo, che sia Turing sia Adleman abbiano ragione, allora dobbiamo concludere che non è possibile creare un programma antivirus, per lo meno non è possibile creare un programma antivirus generalista.
Ed è qui che ritorna in ballo il termine euristico. Si, infatti se è vero che non esiste un antivirus generale che va bene per tutti  ivirus, nessuno impedisce di lavorare per approssimazioni della realtà conosciuta e cercando di prevedere anche il comportamento futuro dei virus, la loro possibile evoluzione. In questo senso lavorano le case produttrici di antivirus, cercando di creare degli antivirus utilizzabili contro i virus noti e contro le più probabili evoluzioni degli stessi.

Alessandro Rugolo


sabato 8 febbraio 2020

Cosa bisogna sapere sul cyberspace per vivere bene...

(prima puntata)

Mi capita sempre più spesso che amici o semplici conoscenti mi rivolgano delle domande sul mondo cyber.
Spesso si tratta di domande volte a chiarire qualche aspetto particolare del quinto dominio,  altre volte si tratta di domande che mettono in evidenza la voglia di capire qualcosa di più di un mondo che è ormai necessario conoscere.
Alla prima categoria appartengono per esempio:
"Alessandro, che cos'è una APT*" oppure - cosa pensi della sicurezza del "tale" sistema di messaggistica? o ancora "quale algoritmo di cifratura è più performante?", tutte domande la cui risposta seppure apparentemente semplice non lo è affatto e che richiede una profonda conoscenza degli argomenti ma soprattutto la capacità di spiegare in modo elementare argomenti che facili non sono.
Alla seconda categoria appartengono invece alcune domande di base come "Ma si può sapere cos'è il cyberspace?", oppure  "Mi puoi indicare un corso di cyber per principianti?" o ancora più semplicemente "Mi spieghi qualcosa sulla cyber?". Queste apparentemente semplici domande sono talmente generali che spesso mi trovo invischiato in spiegazioni troppo lunghe e per niente alla portata di chi ho di fronte.
Allora mi rendo conto che ciò che a me sembra scontato, per la maggior parte delle persone con cui interagisco normalmente non lo è affatto!
Riflettendo sulla cosa ho pensato che forse sarebbe opportuno provare a scrivere degli articoli di base da usare a mo' di lezione, articoli brevi che affrontino argomenti complessi mirati al lettore curioso ma assolutamente inesperto o, magari a quello desideroso di apprendere un minimo di nozioni che gli servono per il suo lavoro quotidiano.
Questo tipo di pubblico è a mio parere molto numeroso ma poco propenso a leggere lunghi articoli tecnici o semplicemente sensazionalistici per cui difficilmente trova piacere o interesse nella lettura di un articolo sul mondo cyber.
Cosi ho deciso di cominciare a scrivere qualche breve articolo didattico a loro uso e consumo, questo è il primo e in questo si parlerà di "incidente cyber" e proverò a rispondere in modo chiaro, sintetico e senza alcun tecnicismo (il che in certi casi significa anche con un certo livello di semplificazione e imprecisione che spero mi verrà perdonato!) alle domande:
Cos'è un incidente cyber ?
Chi può essere interessato da un incidente cyber ?
Queste cose succedono anche in Italia ?
Perché dovrebbe succedere proprio a me ? 
Sono al sicuro se ho installato un buon antivirus ?

Certo, per capire fino in fondo di cosa stiamo parlando dovrei spiegare cos'è il cyberspace, ma non lo farò, lo darò per scontato nel senso che pian piano il lettore sarà portato a comprendere cosa sia il cyber space senza perdersi in definizioni che lasciano il tempo che trovano anche perché non consolidate.
Invece tutti sono interessati a capire cosa sia un incidente cyber, perché tutti possono subirlo, esattamente allo stesso modo in cui tutti gli automobilisti, ciclisti e pedoni sono interessati a sapere cosa sia un incidente stradale senza per questo dover conoscere l'intera rete stradale o la composizione dell'asfalto drenante o ancora il funzionamento della rete semaforica della propria città.
Allora diciamo subito che un incidente cyber è qualcosa che può accadere a tutti coloro che utilizzano uno strumento tecnologicamente avanzato senza prendere alcune minime precauzioni per la propria sicurezza, e quando parlo di strumento tecnologicamente avanzato parlo di smart phone, di smart watch, di tv connessa a internet o qualunque strumento, oggetto, robot, protesi, veicolo o "cosa" capace di ricevere dati dall'esterno, di elaborarli, di inviarne a sua volta e di compiere una qualunque azione. Una buona approssimazione di questo mondo è data da Internet.
Ma cominciamo dall'inizio, un incidente cyber può essere il blocco del cellulare a causa di un virus, il furto dei dati personali da un social network, il furto di identità avvenuto su Facebook, il rallentamento del pc con cui gioco la sera per rilassarmi dopo una giornata di lavoro, l'incidente d'auto causato da un problema alla centralina di controllo del motore, il furto di informazioni confidenziali o di brevetti, l'inefficienza di un sistema di controllo della produzione di una fabbrica di scarpe, il blocco di un software gestione delle fatture aziendale o il malfunzionamento dell'impianto dell'aria condizionata. Come vedete c'è un po' di tutto in quanto la tecnologia è impiegata ormai in tutti i campi.
La risposta alla seconda domanda, se avete capito il concetto, è semplicissima: chiunque può essere interessato ad un incidente cyber. Notate bene, ho detto chiunque, non ho detto "chi impiega strumenti tecnologici". Infatti, se un tempo chi non faceva uso della tecnologia (informatica in particolare) poteva salvarsi, da quando la società e i governi hanno cominciato a rendere i servizi al cittadino attraverso sistemi sempre più complessi e interdipendenti, tutti i cittadini possono subire un danno da un incidente cyber. Un esempio? Un vecchietto che si reca alla posta a ritirare la pensione potrebbe rientrarsene a mani vuote perché i sistemi sono bloccati (da un ransomware per esempio, più avanti vedremo di che si tratta).
Ma si pensa sempre positivo, per cui queste cose non capitano a me e non succedono in Italia. Invece no, queste cose capitano a tutti e possono accadere anche in Italia.
Sono in molti a pensare, sbagliando, di non avere niente che possa interessare un hacker per cui "io sono al sicuro".
Purtroppo questo modo di pensare porta a commettere errori molto gravi, per cui il mio consiglio è: siate sempre sospettosi… non date niente per scontato e non vi fidate mai di chi stà dall'altra parte di un computer, di una linea telefonica o di un servizio non richiesto, come da piccoli non vi fidavate di chi vi offriva una caramella!!!
In molti casi io, come chiunque di voi, non sono altro che una vittima inconsapevole di cose molto più grandi di me. Per esempio il mio computer (o il mio smart phone) potrebbe essere impiegato a mia insaputa da un hacker che sta conducendo un attacco contro una organizzazione che si trova dall'altra parte del mondo. Probabilmente io non mi renderei neppure conto della cosa se non fosse che negli ultimi giorni il mio computer è diventato molto più lento del normale… mi sarò preso un virus? La domanda sorge spontanea. Eppure, il mese scorso ho installato un ottimo antivirus che mi ha suggerito un caro amico che se ne intende, ed è pure gratis!
Non nascondo che anche io installo spesso antivirus gratuiti, o a pagamento, ma so a cosa vado incontro!
Ogni cosa che apparentemente non si paga ci costa comunque qualcosa senza che ce ne rendiamo conto. Spesso questo "qualcosa" non è altro che un pezzo di "informazione sul nostro comportamento".
Ma allora che facciamo, niente antivirus?
A questa domanda rispondo sempre che l'antivirus è utile… ma non è una soluzione se abbiamo qualcosa da difendere e ne siamo consapevoli. L'antivirus per essere efficace, anche in una azienda, deve essere solo una parte della sicurezza.

Per oggi mi fermo qui.
Qualcuno potrebbe pensare che ho detto delle banalità, delle cose ovvie. Rispondo in anticipo: si, ho detto delle cose ovvie, per chi le sa, ma non per tutti!
Spesso però dire delle banalità, come il "non accettare mai caramelle dagli sconosciuti", puo' salvare la vita per cui forse vale la pena dirle le banalità!
In ogni caso, se qualche lettore di questa nuova rubrica non ha paura a fare domande banali per soddisfare la propria curiosità, allora lasciate un commento, vi risponderò nel prossimo articolo, o quanto meno cercherò di rispondervi.
Dimenticavo, non fatevi problemi, non ci sono domande stupide, ma solo risposte stupide.

Alessandro Rugolo 

* Una APT è una forma particolarmente pericolosa di attacco, l'acronimo significa Advanced Persistent Threat. Una APT è di solito collegata ad un gruppo che agisce per conto di una organizzazione potente, spesso uno stato. Ma ne parleremo meglio più avanti...

giovedì 30 gennaio 2020

La storia mai raccontata dell’attacco cyber alle Olimpiadi del 2018


(ovvero: il Cyberattack più ingannevole della storia).

Il primo gennaio 1863 nasceva Pierre De Coubertin, l’uomo a cui dobbiamo dire grazie per aver reintrodotto le Olimpiadi. I suoi intenti nobili e i suoi valori sono l’essenza dello Sport ma purtroppo spesso sono stati e sono ancora oggi continuamente traditi.
Perché, dopo così tanti anni, siamo ancora così affascinati dalle Olimpiadi?
Oltre a dare visibilità a tutti gli sport e a simboleggiare l’unione tra popoli in tempi difficili, le Olimpiadi rappresentano la continuità con le nostre origini. I cinque cerchi, infatti, sono percepiti come un filo conduttore che parte dall’antica Grecia e che arriva sino al XXI secolo. Un punto di contatto tra noi e le nostre radici. Cambiano le nazioni, cambiano le monete, gli usi e i costumi, ma l’uomo resta sempre protagonista.
Con il mondo dello sport sempre più orientato verso interessi economici a discapito della passione, non meraviglia affatto una storia emersa negli ultimi tempi e che racconta di come ai nostri giorni nulla possa essere considerato sicuro e tutto possa rappresentare un obiettivo per coloro che, sempre più spesso, ingaggiati e finanziati da vari Stati, creano turbolenze per determinare cambiamenti sociali, politici ed economici che li possano favorire.
Tratto dal libro Sandworm di Andy Greenberg, questo articolo ripercorre la storia dell’attacco cibernetico avvenuto alla vigilia dei Giochi Olimpici Invernali 2018; una storia passata sotto silenzio e di cui si è saputo molto poco ma che rappresenta uno degli esempi più eclatanti di cyberwar della storia.
Poco prima delle 20:00 del 9 febbraio 2018, sulle montagne nord-orientali della Corea del Sud, Sang-jin Oh si trovava tranquillamente seduto su una sedia a poche decine di file dal pavimento del vasto stadio olimpico pentagonale di Pyeongchang. Indossava una giacca ufficiale delle Olimpiadi, grigia e rossa, che lo teneva al caldo nonostante il clima quasi gelido, e il suo posto, dietro la sezione stampa, era perfetto per avere una vista chiara e completa del palco rialzato e circolare a poche centinaia di metri di fronte a lui. La cerimonia di apertura dei Giochi olimpici invernali 2018 stava per iniziare.
Mentre le luci si snodavano intorno alla struttura scoperta dello stadio, l’attesa si respirava attraverso il brusio di oltre 35.000 persone e lo spettacolo era fantastico. Era evidente che poche persone vivessero l'attesa più intensamente di lui. Per più di tre anni, il 47enne funzionario pubblico era stato responsabile delle infrastrutture tecnologiche del comitato organizzatore delle Olimpiadi di Pyeongchang. Aveva supervisionato la configurazione di un'infrastruttura IT per i giochi che comprendeva più di 10.000 PC, 20.000 dispositivi mobili, 6.300 router Wi-Fi e 300 server in due data center situati a Seoul.
Questa infrastruttura funzionava perfettamente o, almeno, così sembrava fino a quel momento. Infatti, mezz'ora prima, aveva saputo di un fastidioso problema tecnico. La fonte di questo problema era una società IT da cui, per le Olimpiadi, erano stati affittati un altro centinaio di server. Ed era chiaro che a mezz’ora dall’inaugurazione, questa notizia era qualcosa di insopportabile, soprattutto considerando che aveva gli occhi del mondo intero addosso.
I data center di Seoul, invece, non segnalavano alcun tipo di malfunzionamento ed il team di Oh credeva che i problemi fossero gestibili. Non sapeva ancora che non si potevano stampare i biglietti d’ingresso allo stadio. Così, si era sistemato al suo posto, pronto a godersi quell’evento che rappresentava, sicuramente, il momento più importante della sua carriera.
Dieci secondi prima delle 20, i numeri del countdown cominciarono ad apparire, uno per uno, mentre un coro di voci di bambini scandivano il countdown in coreano:
"Sip! ... Gu! ... amico! ... Chil!
Nel bel mezzo del conto alla rovescia, il telefono di Oh si illuminò improvvisamente. Egli guardò in basso e vide un messaggio su KakaoTalk, una popolare app di messaggistica coreana. Il messaggio rappresentava la peggiore notizia possibile che Oh avrebbe potuto ricevere in quel momento: “C’era qualcosa o qualcuno che stava spegnendo tutti i domain controller presenti nei data center di Seoul, ossia i server che costituivano la spina dorsale dell'infrastruttura IT delle Olimpiadi”.
Non appena cominciata la cerimonia di apertura, migliaia di fuochi d'artificio esplosero intorno allo stadio e decine di marionette e ballerini coreani entrarono sul palco. Oh, però, non stava vedendo niente di tutto questo. Infatti, stava messaggiando furiosamente con i componenti del suo staff mentre questi, impotenti, osservavano la loro intera infrastruttura IT spegnersi inesorabilmente. Si rese ben presto conto che ciò che la società partner aveva riferito non era un semplice problema tecnico. Era stato il primo segnale di un attacco in corso. Era, ormai, chiaro che doveva raggiungere il suo centro operativo tecnologico.
Mentre Oh raggiungeva l’uscita dello stadio dalla sezione stampa, i giornalisti intorno a lui avevano già iniziato a lamentarsi per il malfunzionamento del Wi-Fi. Migliaia di televisori collegati a Internet che mostravano la cerimonia intorno allo stadio e in altre 12 strutture olimpiche erano diventati neri. Tutti gli ingressi di sicurezza basati su RFID che permettevano gli accessi ad ogni edificio olimpico erano inattivi. Anche l'app ufficiale delle Olimpiadi, compresa la funzione di biglietteria digitale, risultava fuori servizio.
Il comitato organizzatore di Pyeongchang si era, comunque, preparato per situazioni simili. Il suo gruppo per la sicurezza informatica si era riunito 20 volte dal 2015. Avevano condotto esercitazioni già nell'estate dell'anno precedente, simulando disastri come attacchi informatici, incendi e terremoti. Ma ora che uno di quegli scenari da incubo si era manifestato, la sensazione, per Oh, era sia esasperante che surreale. "In realtà è successo," pensò Oh, come per scuotersi dalla sensazione che fosse solo un brutto sogno.
Una volta che Oh si era fatto strada tra la folla, corse verso l'uscita dello stadio e fuori, nella fredda aria notturna, venne raggiunto da altri due dipendenti IT. Saltarono su un SUV Hyundai e iniziarono i 45 minuti di auto più lunghi della loro vita, per raggiungere la città costiera di Gangneung, dove si trovava il centro operativo tecnologico delle Olimpiadi.
Dall'auto, Oh chiamò i dipendenti presenti allo stadio dicendo loro di iniziare a distribuire hotspot Wi-Fi ai giornalisti e di dire alla sicurezza di controllare i badge manualmente, perché tutti i sistemi RFID erano fuori servizio. Ma questa era l'ultima delle loro preoccupazioni. Oh sapeva che nell’arco di circa due ore la cerimonia di apertura sarebbe finita e decine di migliaia di atleti, visitatori e spettatori avrebbero scoperto che non avevano connessioni Wi-Fi e nessun accesso all'app delle Olimpiadi, piena di orari, informazioni sugli hotel e mappe. Il risultato sarebbe stato umiliante. Se non fossero riusciti a far ripartire i server entro la mattina successiva, l'intero back-end IT del comitato organizzatore, responsabile di tutto, dai pasti alle prenotazioni alberghiere, fino alla biglietteria degli eventi, sarebbe rimasto offline mentre i giochi sarebbero stati in pieno svolgimento. Si prospettava all’orizzonte il più grande fiasco tecnologico della storia in uno dei paesi tecnologicamente più avanzati del mondo.
Oh arrivò al centro operativo tecnologico di Gangneung alle 21, a metà della cerimonia di apertura. Il centro consisteva di un grande openspace con scrivanie e computer per 150 dipendenti; un’intera parete era coperta di schermi. Quando entrò, molti dei membri dello staff erano in piedi, raggruppati, e stavano discutendo con ansia come rispondere all'attacco. Il problema era anche aggravato dal fatto che i servizi di base come la posta elettronica e la messaggistica erano off-line.
Tutti e nove i Domain Controller che governavano l’autenticazione, erano stati in qualche modo messi fuori uso, rendendo inaccessibile qualsiasi risorsa. Il personale aveva deciso una soluzione temporanea, ossia quella di bypassare le macchine cosiddette gatekeeper morte impostando l’accesso in modo diretto su tutti i server sopravvissuti che alimentavano alcuni servizi di base, come il Wi-Fi e i televisori collegati a Internet. In questo modo, riuscirono a riportare online quei servizi pochi minuti prima della fine della cerimonia.
Nelle due ore successive, mentre tentavano di ricostruire i Domain Controller per ricreare una rete migliore e più sicura, i tecnici avrebbero scoperto che, come nel gioco della talpa, i servizi venivano interrotti molto più rapidamente di quanto loro fossero in grado di ripristinarli. Segno evidente della presenza di qualcuno all’interno della rete.
Pochi minuti prima di mezzanotte Oh e i suoi amministratori di sistema decisero a malincuore una misura disperata: avrebbero disconnesso l'intera rete da Internet nel tentativo di isolarla dagli attaccanti perché era chiaro che questi potevano muoversi all’interno grazie ai canali di comando e controllo che avevano realizzato. Ovviamente, ciò significava abbattere ogni servizio, anche il sito web pubblico delle Olimpiadi. D’altra parte, sarebbe stato l’unico modo per sradicare qualsiasi infezione.
Per il resto della notte Oh e il suo staff lavorarono freneticamente per ricostruire il “sistema nervoso digitale” delle Olimpiadi. Alle 5 del mattino, un partner di sicurezza coreano, AhnLab, era riuscito a creare una firma antivirus che avrebbe potuto aiutare il personale di Oh a bloccare il malware sulle migliaia di PC e server della rete che erano stati infettati.
Alle 6:30 del mattino, gli amministratori dei sistemi reimpostarono le password dello staff nella speranza di bloccare qualsiasi possibilità di accesso agli hacker. Poco prima delle 8 di quella mattina, quasi esattamente 12 ore dopo l'inizio dell'attacco informatico alle Olimpiadi, Oh e i suoi collaboratori, insonni, finirono di ricostruire i loro server dai backup e iniziarono a riavviare i servizi.
Sorprendentemente, funzionò ogni cosa e, tutto sommato, il disservizio fu minimo. Un giornalista del Boston Globe, in seguito, definì i giochi "impeccabilmente organizzati". Migliaia di atleti e milioni di spettatori rimasero ignari del fatto che lo staff delle Olimpiadi aveva trascorso la notte combattendo contro un nemico invisibile che minacciava di gettare l'intero evento nel caos.
Poche ore dopo l'attacco, le prime voci, però, cominciarono a circolare nelle comunità di sicurezza informatica relativamente ai problemi che avevano fatto cadere il sito web delle Olimpiadi, le infrastrutture Wi-Fi e le varie applicazioni durante la cerimonia di apertura. Due giorni dopo la cerimonia, il comitato organizzatore di Pyeongchang confermò di essere stato il bersaglio di un attacco informatico ma si rifiutò di commentare chi avrebbe potuto esserci dietro quell’attacco.
L’incidente diventò, immediatamente, un caso internazionale. Chi avrebbe avuto il coraggio di effettuare un attacco informatico alle infrastrutture digitali delle Olimpiadi? L'attacco informatico di Pyeongchang si sarebbe rivelato l'operazione di hacking più ingannevole della storia durante il quale vennero usati i mezzi più sofisticati mai visti prima per confondere gli analisti forensi nella ricerca dei colpevoli.
La difficoltà di dimostrare la fonte di un attacco, il cosiddetto problema di attribuzione, ha afflitto la sicurezza informatica fin dagli albori di Internet. Gli hacker più sofisticati possono realizzare le loro connessioni sfruttando rotte tortuose e inserendo vicoli ciechi all’interno delle rotte stesse, rendendo quasi impossibile seguire le loro tracce. Gli analisti forensi hanno comunque imparato a determinare l'identità degli hacker con altri mezzi, cercando indizi nel codice, connessioni infrastrutturali e motivazioni politiche.
Negli ultimi anni, tuttavia, i cyberspies e i sabotatori sponsorizzati dagli Stati hanno sempre più sperimentato un altro trucco: piantare le cosiddette “false flags”. Questi atti, volti ad ingannare sia gli analisti di sicurezza che i tecnici, hanno dato origine a narrazioni fantasiose sulle identità degli hacker che sono difficili da cancellare, anche dopo l’annuncio da parte dei governi dei risultati ufficiali ottenuti dalle loro agenzie di intelligence. Certamente, non aiuta il fatto che questi risultati ufficiali arrivino, spesso, settimane o addirittura mesi, dopo che l’attacco è avvenuto, ma tant’è.
Ad esempio, quando gli hacker nordcoreani hanno violato la Sony Pictures nel 2014 per impedire il rilascio di “The Interview”, si sono inventati un gruppo “hacktivista” chiamato “Guardiani della Pace” e hanno cercato di fuorviare gli investigatori tramite una vaga richiesta di riscatto. Anche dopo che l'FBI aveva dichiarato la responsabilità della Corea del Nord e la Casa Bianca aveva imposto nuove sanzioni contro il regime di Kim come punizione, diverse aziende di sicurezza hanno continuato a sostenere che l'attacco doveva essere stato generato dall’interno.
Quando gli hacker russi sponsorizzati dallo stato hanno rubato e rese pubbliche le e-mail del Comitato Nazionale Democratico e della campagna di Hillary Clinton nel 2016, adesso sappiamo che il Cremlino, allo stesso modo, si è inventato storie per coprire e deviare su altri le responsabilità di quell’attacco. Ha inventato un hacker rumeno solitario di nome Guccifer 2.0 a cui attribuire l’attacco e ha anche diffuso le voci che una persona dello staff democratico, poi assassinata, di nome Seth Rich fosse il responsabile della pubblicazione delle e-mail e della distribuzione di documenti rubati utilizzando un sito falso chiamato DCLeaks. Queste false notizie o inganni, che dir si voglia, divennero teorie cospirative, utilizzate e strumentalizzate dai sostenitori della destra e dal candidato presidenziale Donald Trump.
Si era, così, creato un clima di sfiducia nelle istituzioni e un credito verso coloro che sostenevano le tesi false e gli scettici respingevano, anche, indizi evidenti che portavano alla responsabilità del Cremlino tanto che anche una dichiarazione congiunta da parte delle agenzie di intelligence statunitensi, avvenuta quattro mesi dopo, che attribuiva alla Russia la responsabilità dell’attacco non poteva più far cambiare ciò che la gente comune pensava in merito all’accaduto. Ed ancora oggi, da un sondaggio dell’Economist, emerge che circa soltanto la metà degli americani ha detto di credere che la Russia interferisse nelle elezioni.
Con il malware che ha colpito le Olimpiadi di Pyeongchang, l’arte dell'inganno digitale ha fatto enormi passi avanti. Gli investigatori avrebbero trovato nel codice malevolo non solo una singola false flag ma diversi altri falsi indizi che puntavano a diversi potenziali colpevoli. E alcuni di questi indizi sono stati nascosti così profondamente tanto da far dire che una cosa simile non era mai successa prima di allora.
Fin dall'inizio, le motivazioni geopolitiche dietro i sabotaggi olimpici erano tutt'altro che chiare. È noto che qualsiasi attacco informatico in Corea del Sud viene, naturalmente, addebitato alla Corea del Nord. Il cosiddetto “regno degli eremiti” ha tormentato i vicini capitalisti con provocazioni militari e cyberwar di basso livello per anni. Alla vigilia delle Olimpiadi, gli analisti della società di sicurezza informatica McAfee avevano avvertito che gli hacker di lingua coreana avevano preso di mira gli organizzatori olimpici di Pyeongchang con e-mail di phishing e che la Corea del Nord fosse responsabile della creazione di un malware ad hoc con il quale colpire l’infrastruttura digitale delle Olimpiadi.
Ci sono stati, comunque, segnali contraddittori sulla scena pubblica. All'inizio delle Olimpiadi, la Corea del Nord sembrava sperimentare un approccio più amichevole. Il dittatore nordcoreano, Kim Jong-un, aveva mandato sua sorella come emissario diplomatico ai giochi e aveva invitato il presidente della Corea del Sud, Moon Jae-in, a visitare la capitale nordcoreana di Pyongyang. I due paesi avevano persino lanciato l’ipotesi di partecipare ai Giochi con un’unica squadra di hockey femminile. Perché la Corea del Nord avrebbe dovuto lanciare, dunque, un attacco informatico dirompente nel bel mezzo dei Giochi?
Poi c'era la Russia. Il Cremlino aveva il suo movente per un attacco a Pyeongchang. Le indagini sul doping da parte di atleti russi avevano portato a un risultato umiliante prima delle Olimpiadi del 2018: i suoi atleti sarebbero stati autorizzati a competere, ma non a indossare i colori russi o accettare medaglie per conto del loro paese. Per anni, prima di quel verdetto, una squadra di hacker russi sponsorizzata dallo stato, conosciuta come Fancy Bear, aveva reagito, rubato e fatto trapelare dati in merito alle pratiche del doping. L'esilio della Russia dai giochi era esattamente il tipo di leva che poteva ispirare il Cremlino a scatenare un attacco dirompente durante la cerimonia di apertura. Se il governo russo non avesse potuto godersi le Olimpiadi, allora non lo avrebbe fatto nessuno.
Anche qui, però, le cose non erano così chiare. Qualche giorno prima della cerimonia di apertura, la Russia aveva negato qualsiasi attività di hacking che avesse come oggetto le Olimpiadi. "Sappiamo che i media occidentali stanno pianificando pseudo-indagini sul tema delle "impronte digitali russe" negli attacchi di hacking contro le risorse informatiche relative all'hosting dei Giochi Olimpici Invernali nella Repubblica di Corea", aveva detto il Ministero degli Esteri russo all’agenzia Reuters. "Naturalmente, non c’è nessuna prova che lo dimostra."
In realtà, ci sarebbero state molte prove che potevano portare a considerare la responsabilità della Russia. Il problema vero è che ce n’erano tante altre che indicavano il contrario secondo un classico gioco degli inganni.
Tre giorni dopo la cerimonia di apertura, la divisione di sicurezza Talos di Cisco rivelò di avere ottenuto una copia del malware creato per le Olimpiadi e di averlo sezionato ed analizzato. Qualcuno dal comitato organizzatore delle Olimpiadi o, forse, la società di sicurezza coreana AhnLab aveva, infatti, caricato il codice malevolo su VirusTotal. La società avrebbe, successivamente, pubblicato i risultati dell’analisi in un post sul blog e avrebbe assegnato al malware il nome di Olympic Destroyer.
In linea di principio, l'anatomia di Olympic Destroyer ricordava due precedenti attacchi informatici russi: NotPetya e Bad Rabbit. Come nel caso di quei precedenti attacchi, anche Olympic Destroyer utilizzava uno strumento di “credential theft”, combinato con le funzionalità di accesso remoto di Windows che, grazie a vulnerabilità esposte per la mancanza di aggiornamenti, permetteva di diffondersi tra le varie macchine in rete. Infine, ha utilizzato un componente per la distruzione dei dati al fine di eliminare la configurazione di avvio dalle macchine infette prima di disabilitare tutti i servizi di Windows e spegnere i computer in modo che non potessero essere riavviati. Gli analisti della società di sicurezza CrowdStrike avrebbero trovato altro codice che faceva riferimento alla Russia; elementi che assomigliavano a un pezzo di ransomware russo noto come XData.
Nonostante ciò, non c’era chiarezza perchè sembrava che non ci fosse una chiara corrispondenza, in termini di codice tra Olympic Destroyer e i precedenti worm NotPetya o Bad Rabbit anche se contenevano caratteristiche simili. A quanto pareva, molto probabilmente, erano state ricreate da zero o copiate da altre sorgenti.
Da un’analisi ancora più profonda, è emerso che la parte di cancellazione dei dati di Olympic Destroyer aveva le stesse caratteristiche del codice di eliminazione dei dati che era stato utilizzato non dalla Russia, ma dal gruppo di hacker nordcoreano noto come Lazarus. Quando i ricercatori di Cisco hanno messo fianco a fianco le strutture logiche dei componenti di cancellazione dei dati, effettivamente, sembravano corrispondere anche se in modo approssimativo. Entrambi distruggevano i file con la stessa modalità: eliminare solo i primi 4.096 byte. Si poteva dire che la Corea del Nord era dietro l'attacco, quindi?
C'erano, però, anche altre tracce che portavano in direzioni completamente diverse. La società di sicurezza Intezer notò che un pezzo del codice per rubare le credenziali e le password era abbinato esattamente agli stessi strumenti utilizzati da un gruppo di hacker noto come APT3, un gruppo che più aziende di sicurezza informatica hanno collegato al governo cinese. La società era riuscita anche ad identificare un componente che Olympic Destroyer aveva utilizzato per generare le chiavi di crittografia e lo aveva associato ad un ulteriore gruppo, APT10, anch’esso collegato alla Cina. Intezer ha sottolineato che il componente di crittografia non era mai stato utilizzato prima da altri team di hacking. Russia? Corea del Nord? Cina? Più si procedeva con l’analisi del malware e più attori si palesavano all’orizzonte e tutto pareva, anche, estremamente contradditorio.
Infatti, tutti quegli indizi, come detto, molto spesso contraddittori, sembravano progettati non per condurre gli analisti verso un’unica risposta, ma per creare confusione e rendere oltremodo difficile la soluzione dell’enigma. Il mistero metteva a dura prova gli investigatori creando una quantità enorme di dubbi. "Si è trattato di una vera e propria guerra psicologica rivolta agli analisti", affermò Silas Cutler, un ricercatore di sicurezza che all'epoca lavorava per CrowdStrike.
Questo dubbio, proprio come gli effetti del sabotaggio alle Olimpiadi, sembrava essere stato il vero obiettivo del malware, disse Craig Williams, un ricercatore di Cisco. "Anche quando un simile attacco porta a termine la sua missione, appare evidente il reale messaggio che viene inviato alla comunità della sicurezza", disse Williams. "In un’analisi di un attacco cyber è difficilissimo attribuire la responsabilità perché si può sempre essere fuorviati." E questa è, davvero, una profonda verità.
Il comitato organizzatore delle Olimpiadi, si è scoperto, non era l'unica vittima di Olympic Destroyer. Secondo la società di sicurezza russa Kaspersky, l'attacco informatico colpì anche altri obiettivi collegati con le Olimpiadi, tra cui Atos, un fornitore di servizi IT in Francia che aveva sostenuto l'evento, e due stazioni sciistiche a Pyeongchang. Una di queste località era stata infettata abbastanza seriamente tanto che gli impianti di risalita erano stati temporaneamente bloccati.
Nei giorni dopo l'attacco durante la cerimonia di apertura dei Giochi, il “Global Research and Analysis Team di Kaspersky” era riuscito ad ottenere una copia del malware Olympic Destroyer da una delle stazioni sciistiche e aveva cominciato ad analizzarlo in modo diverso rispetto a quanto fatto da Cisco e Intezer. Aveva analizzato la sua "intestazione", una parte dei metadati del file che include indizi su quali tipi di strumenti di programmazione sono stati utilizzati per scriverlo. Confrontando quell'intestazione con altre campioni di malware, trovarono una perfetta corrispondenza con il metodo di cancellazione dei dati usati dagli hacker nordcoreani Lazarus, lo stesso che Cisco aveva già indicato. La teoria nordcoreana sembrava confermata.
Ma un ricercatore anziano di Kaspersky di nome Igor Soumenkov decise di fare qualcosa di diverso. Soumenkov era noto per essere un prodigio nel campo dell’ethical hacking ed era stato reclutato nel team di ricerca di Kaspersky fin da giovanissimo dal momento che aveva una conoscenza straordinariamente profonda delle intestazioni dei file. Così decise di ricontrollare le scoperte dei suoi colleghi.
Soumenkov esaminò il codice e stabilì che i metadati dell'intestazione non avevano nessun tipo di relazione con il codice del malware; il malware non era stato scritto con gli strumenti di programmazione che, solitamente, vengono associati all'intestazione. In definitiva, i metadati rappresentavano un falso.
Questo era qualcosa di diverso rispetto a tutti gli altri segni di depistaggio che i ricercatori avevano trovato fino a quel momento. Infatti, fino ad allora, nessuno era stato in grado di dire con certezza quali indizi fossero reali e quali no. Ma ora, entrando nelle pieghe reali del codice e dei metadati, Soumenkov aveva trovato una false flag, il cosiddetto vero inganno. Era ormai chiaro che qualcuno aveva cercato di far sì che il malware potesse essere attribuito alla Corea del Nord e che c’era quasi riuscito ma grazie al meticoloso controllo triplo di Kaspersky, l’inganno era venuto alla luce.
D’altra parte, era, anche, evidente che il codice non fosse attribuibile alla Cina perché, di norma, il codice cinese è molto riconoscibile e questo era profondamente diverso.
E allora? Se non la Cina, se non la Corea del Nord, allora chi? Qualche mese dopo, in una sala conferenze di Kaspersky, di fronte a questa domanda, Soumenkov, tirò fuori da una piccola borsa di stoffa nera una serie di dadi. Su ogni lato dei piccoli cubi neri c’erano scritte parole come Anonimo, Cybercriminali, Hacktivisti, Stati Uniti, Cina, Russia, Ucraina, Cyberterroristi, Iran. Si trattava dei famosi dadi di attribuzione.
Kaspersky, come molte altre aziende di sicurezza, utilizza una rigorosa politica che riguarda solo la capacità di bloccare gli attacchi hacker senza mai nominare il Paese o il Governo dietro ai quali ci possa essere l’attacco stesso. Ma il cosiddetto dado di attribuzione che Soumenkov teneva in mano rappresentava, ovviamente, l'esasperazione del problema dell'attribuzione stessa e cioè “che nessun attacco informatico possa mai essere veramente ricondotto alla sua fonte, e chiunque ci provi è semplicemente uno che tira ad indovinare”.
Michael Matonis stava lavorando da casa sua quando iniziò a tirare i fili che avrebbero svelato il mistero di Olympic Destroyer. Il 28enne, un ex punk anarchico, trasformato in ricercatore di sicurezza, ancora non aveva una scrivania nell’ufficio di FireEye. Così, quando iniziò ad esaminare il malware che aveva colpito Pyeongchang, Matonis era seduto nel suo spazio di lavoro improvvisato: una sedia di metallo pieghevole con il suo portatile appoggiato su un tavolo di plastica.
Per un capriccio, Matonis decise di provare un approccio completamente diverso rispetto a coloro che lo avevano analizzato fino a quel momento. Non cercò indizi nel codice del malware ma cominciò ad esaminare un elemento molto più banale dell'operazione: un falso documento Word, malevolo, che era servito come primo passo nella quasi disastrosa campagna di sabotaggio della cerimonia di apertura.
Il documento, che sembrava contenere un elenco di delegati VIP ai giochi, era stato probabilmente inviato via email al personale delle Olimpiadi come allegato. Se qualcuno avesse aperto quell'allegato, sarebbe stato eseguito uno script dannoso che avrebbe installato una backdoor sul proprio PC, offrendo agli hacker il loro primo punto d'appoggio nella rete di destinazione. Quando Matonis estrasse il documento da VirusTotal, vide che l'esca era stata probabilmente inviata allo staff delle Olimpiadi alla fine di novembre 2017, più di due mesi prima dell'inizio dei giochi. Gli hacker erano penetrati nella rete olimpica, pertanto, qualche mese prima in modo da innescare il proprio attacco.
Matonis cercò di trovare delle corrispondenze con quel campione di codice analizzando i documenti presenti in VirusTotal e nei database di FireEye. Durante una prima scansione, non trovò nulla ma Matonis notò, comunque, che alcune decine di documenti infettati da malware e presenti negli archivi, corrispondevano alle caratteristiche, approssimativamente, del suo file: macro Word costruite per lanciare comandi Powershell. Continuando nell’analisi, alla fine, Matonis trovò che il tentativo di rendere unici i file codificati aveva, invece, reso questi file un gruppo decisamente riconoscibile. Ben presto scoprì che alla base della generazione di questi file malevoli, c’era uno strumento facilmente reperibile online chiamato “Malicious Macro Generator”.
Matonis ipotizzò che gli hacker avessero scelto il programma per confondersi con altri autori di malware, ma alla fine avevano ottenuto l'effetto opposto. Oltre a ciò, notò che il gruppo di macro malevole era unito dai nomi degli autori che vennero estratti dai metadati. Quasi tutti erano stati scritti da qualcuno di nome "AV", "BD" o "John".
Tra i file analizzati, Matonis trovò altri due documenti esca risalenti al 2017 che sembravano colpire i gruppi di attivisti ucraini LGBT, utilizzando file infetti da parte di finte organizzazioni che combattevano per i diritti gay. Altri, invece, prendevano di mira le aziende ucraine e le agenzie governative.
Questo, per Matonis, era un territorio familiare: per più di due anni, aveva visto la Russia lanciare una serie di operazioni distruttive di hacking contro l'Ucraina, una guerra informatica implacabile che accompagnò l'invasione della Russia dopo la sua rivoluzione pro-occidentale del 2014.
Anche se quella guerra fisica aveva ucciso 13.000 persone in Ucraina e sfollato milioni di persone, un gruppo di hacker russi noto come Sandworm aveva condotto una vera e propria guerra informatica contro l'Ucraina: aveva bloccato le aziende ucraine, le agenzie governative, le ferrovie, e gli aeroporti con ondate di intrusioni che distrussero una quantità enorme di dati, tra cui due violazioni senza precedenti delle utenze elettriche ucraine nel 2015 e 2016 che avevano causato blackout per centinaia di migliaia di persone. Questi attacchi culminarono in NotPetya, un malware che si era diffuso rapidamente oltre i confini dell'Ucraina e che, alla fine, inflisse 10 miliardi di dollari di danni alle reti globali: il più costoso attacco informatico della storia.
A quel punto, nella testa di Matonis, tutti gli altri sospetti per l'attacco olimpico caddero. Matonis non poteva ancora collegare l'attacco a un particolare gruppo di hacker, ma solo un paese avrebbe avuto come bersaglio l'Ucraina, quasi un anno prima dell'attacco di Pyeongchang, usando la stessa infrastruttura che avrebbe poi usato per hackerare il comitato organizzatore delle Olimpiadi, e non era la Cina o la Corea del Nord.
Stranamente, altri documenti infetti nelle mani di Matonis sembravano avere come vittime il mondo immobiliare e commerciale russo. Una squadra di hacker russi aveva il compito di spiare qualche oligarca russo per conto dei loro maestri di intelligence?
Indipendentemente da ciò, Matonis aveva, finalmente, tagliato il traguardo trovando chi ci fosse stato dietro all'attacco informatico delle Olimpiadi del 2018: il Cremlino.


"Il caso di Olympic Destroyer ha rappresentato la prima volta in cui qualcuno ha usato false flags in un attacco significativo e rilevante per la sicurezza nazionale e ha rappresentato un assaggio di come potrebbero essere i conflitti del futuro."
Ci sarebbe ancora molto da dire ma credo che la cosa migliore sia quella di dedicare tempo alla lettura di “Sandworm” di Andy Greenberg che, come detto all’inizio, è stata la fonte per scrivere questa storia e comprendere, sempre più, che sia necessario allargare lo sguardo di ognuno di noi ed analizzare fino in fondo gli incidenti di sicurezza per comprendere cosa ci sia realmente dietro quelli che, apparentemente, sembrano attacchi scollegati l’uno dall’altro.
La nostra sicurezza passa sempre attraverso la nostra voglia di studiare e comprendere gli eventi nel profondo e, per riprendere una frase di Bernard Baruch: In milioni hanno visto la mela cadere, ma Newton è stato quello che si è chiesto perché.

Carlo Mauceli
Altre fonti: The Untold Story of NotPetya, the Most Devastating Cyberattack in History

mercoledì 29 gennaio 2020

Il Garante Privacy sanziona Eni Gas e Luce (Egl) per 11,5 milioni di euro



Ha provocato un discreto rumore il Comunicato stampa di alcuni giorni fa con il quale il Garante per la protezione dei dati personali annunciava di aver sanzionato Eni Gas e Luce (Egl) per un complessivo ammontare pari a 11,5 milioni di euro.
I titoli delle due sanzioni riportate all’interno del Comunicato in questione, riguardano rispettivamente i trattamenti illeciti di dati personali nell'ambito di attività di promozione commerciale (attraverso attività di telemarketing) e attivazione di contratti non richiesti, mediante uso dei dati dei clienti conferiti in altra sede.
E’ interessante condividere insieme alcune riflessioni riferite ai Provvedimenti in oggetto.
In primis, si può finalmente affermare – benché ovvio – che anche l’Italia ha iniziato a muovere i suoi primi passi nel valzer delle attività sanzionatorie in ambito privacy.
In Europa sino al mese di dicembre 2019, il monte sanzionatorio già complessivamente realizzato si aggirava intorno ai 400 milioni, con un contributo di “appena” 50.000 euro di attività del Garante italiano, con il famoso Provvedimento al portale Rousseau.
In secondo luogo è interessante notare una delle prime applicazioni concrete dei criteri introdotti dal GDPR per l’individuazione delle sanzioni correlate alle violazioni. Queste ultime infatti, riscontrate dal Nucleo Privacy della Guardia di Finanza, sono state elaborate secondo i criteri indicati nel Regolamento Ue n. 679/2016 (GDPR), tra i quali figurano l'ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.
Non si tratta di una vera e propria novità, ma rilevarli all’interno di sanzioni di entità pari a quelle comminate alla Società Egl dona tutto un nuovo sapore al senso dei criteri stessi. Non solo dunque il tradizionale aspetto della numerosità dei trattamenti o della natura degli stessi, più di frequente utilizzati con la previgente normativa, ma anche criteri di pervasività (correlati all’impatto che il comportamento sanzionato ha avuto sugli individui interessati), la durata del comportamento e –fondamentale rispetto al quantum- le condizioni economiche di Egl. Al contrario si potrebbe ipotizzare che, come più volte già peraltro affermato dal Garante anche rispetto alla sua precedente attività compiuta in vigenza del primo Codice Privacy, di fronte a enti o società dai numeri più modesti non ci si deve aspettare il pugno di ferro previsto dai massimali milionari di cui all’art. 83 commi 4 e 5.
Da ultimo è interessante notare che il Garante è voluto entrare nel merito del tipico disallineamento esistente tra il CRM (Customer Relationship Management - spina dorsale dell’apparato produttivo di ogni Società) e la gestione dei consensi raccolti. In particolare viene notato dall’Autorità che “gli episodi di temporaneo disallineamento del CRM e della black list di EGL hanno avuto circoscritte e limitate conseguenze ma configurano, in ogni caso, la violazione delle disposizioni di cui all’art. 5, par. 2 del Regolamento, poiché la Società non è stata in grado di assicurare e comprovare tempistiche e modalità di aggiornamento dello stato dei consensi nel CRM e nella propria black list; deve pertanto altresì prescriversi alla Società di realizzare in tempi certi la definitiva implementazione dei prospettati meccanismi volti a automatizzare i flussi di dati dal CRM alla black list in uso presso la società
Ciò vuol dire, come gli addetti ai lavori già ben sanno, che il principio di privacy by design di cui all’art. 25 diviene concreto nella misura in cui sono stati regolarizzati anche e soprattutto i flussi tecnico-informatici correlati ad un trattamento, non tanto le tonnellate di carta dietro alle quali a vario titolo le Società spesso si arroccano.
Nel rilevare dunque un buon inizio in questi primi Provvedimenti, sarebbero altresì auspicabili da parte dell’Autorità interventi di indirizzo e supporto più numerosi e, perché no, anche più profondi (ad esempio affiancamenti o training), nei confronti delle PA o del privato (specie se infrastruttura critica) su temi come questi, diversi da progetti più “alti” a livello formativo, realizzati per esempio con i recenti cicli di incontri SMEdata.
Naturalmente non si sborsano 11 milioni di euro senza fiatare per cui Egl ha presentato ricorso, vedremo cosa succede.

Andrea Puligheddu

Nota: l’obiettivo generale del Progetto SMEDATA consiste nel "Garantire l’effettiva applicazione del Regolamento Generale sulla Protezione dei Dati Personali attraverso la sensibilizzazione, la moltiplicazione della formazione e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali".

- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351
- https://www.cwi.it/applicazioni-enterprise/crm
- https://smedata.eu/index.php/it/ ,




domenica 26 gennaio 2020

West Point Army Cyber Institute

Chi non ha sentito parlare, almeno una volta, del celebre istituto militare americano di West Point?
Non fosse altro per aver visto al cinema o in tv un qualunque film di guerra, l'Accademia Militare dell'Esercito statunitense è conosciuta in tutto il mondo.




L'Accademia Militare vede la luce nel lontano 1802, grazie alla firma del presidente americano Thomas Jefferson che ne decretava per legge la nascita.
La missione dell'Accademia consiste nell' "to educate, train, and inspire the Corps of Cadets so that each graduate is a commissioned leader of character committed to the values of Duty, Honor, Country and prepared for a career of professional excellence and service to the Nation as an officer in the United States Army".
Per mantenere fede alla missione, l'Accademia di West Point si dimostra attenta ai cambiamenti e in questo senso non poteva mancare l'attenzione verso un settore emergente come il mondo cyber, così nel 2012 il Capo di Stato Maggiore dell'Esercito americano, riconosciuta la necessità di una organizzazione capace di una opinione strategica in materia fondò, all'interno di West Point, il "Army Cyber Institute" (ACI), concepito come "national resource for research, advice, and education in the cyber domain, engaging military, government, academic, and industrial cyber communities in impactful   partnerships to build intellectual capital and expand the knowledge base for the purpose of enabling effective Army cyber defense and cyber operations".
Naturalmente l'istituto venne provvisto di personale (esperti ed educatori civili e militari) e di fondi per lo svolgimento della propria missione.
Attualmente l'istituto ha il mandato di svolgere ricerche interdisciplinari, fornire suggerimenti e insegnamenti in ambito cyber, lavorando con il DoD, l'Esercito, il Governo USA, le comunità accademiche e industriali per costruire il capitale intellettuale e la base di conoscenze comuni necessarie per poter compiere efficaci operazioni di cyber defense.
Tra i progetti più interessanti pubblicati sul sito meritano certamente attenzione il progetto "All-Army CyberStakes",  una competizione sul formato "Capture the flag" giunta alla quarta edizione e aperta ai dipendenti del Governo Federale USA ed ai cadetti  elle Accademie e del Reserve Officer Training Corp (ROTC).
Ugualmente interessante il programma di ricerca Jack Voltaic, che servirà da test per verificare le capacità di difesa cyber e la comprensione del ruolo militare in un attacco cyber e nell'identificazione dei gap e delle ridondanze nelle misure di risposta.


Alessandro Rugolo


Per approfondire:
- https://www.westpoint.edu/;
- https://www.acictf.com/;
- https://www.acictf.com/about/;