Traduttore automatico - Read this site in another language

domenica 7 novembre 2021

Tecniche di Automazione dei sistemi di rete


Il riferimento all’ utilizzo di tecniche di automazione ed eventualmente di AI (Artificial Intelligence) è diventato prassi comune nell’ indirizzare molte problematiche di analisi dei dati da cui trarre indicazioni sui comportamenti futuri di sistemi complessi.


In realtà la possibilità per un sistema di reagire autonomamente a eventi particolari in modo da standardizzare il comportamento è qualcosa presente in molti dispositivi da tempo. In queste note esamineremo un esempio delle funzionalità disponibili su alcuni nodi delle reti di impresa (ad oggi tutte basate sul protocollo IP) che permettono :

  • Il riconoscimento di uno specifico evento

  • La creazione di una policy da applicare in caso si verifichi l’ evento in oggetto

  • L’ applicazione della policy al sistema con la seguente modifica del comportamento dello stesso.

Tutti i principali vendor di dispositivi di rete IP (Cisco Systems, Juniper Networks, Arista Networks,…) offrono, con nomi diversi, una tale funzionalità.

Senza entrare nello specifico di ciascun sistema vorrei semplicemente illustrare il principio di funzionamento per offrire un'idea di come esistano, anche nel campo dei dispositivi di rete, strumenti e funzionalità che permettono l’ automazione dei comportamenti dei nodi a fronte di specifici eventi.

La diffusione di questi strumenti potrebbe portare anche a soluzioni che, in sinergia con tecniche di sicurezza basate su AI (vedi articolo DeepInstinct, dalla rilevazione alla prevenzione) permettano di intervenire con efficacia a fronte di specifici problemi evitando che la minaccia o il tentativo di compromissione possa raggiungere i sistemi finali (Server o postazioni di lavoro individuali).

Farò quindi riferimento ad un ipotetico dispositivo di rete. Il nodo in oggetto fornisce un ambiente di sviluppo focalizzato sull’implementazione di funzionalità di automazione.

Molto spesso questo ambiente è sviluppato sulla base di un sistema Linux ottimizzato per essere eseguito su di un processore “ausiliario” all’interno del nodo di rete. Il grande vantaggio di una tale soluzione deriva dal poter sfruttare molte (anche se non tutte) delle librerie e dei linguaggi disponibili in ambito Linux. Oltre a ciò va aggiunta la possibilità, offerta dai costruttori del nodo di rete, di accedere alle principali caratteristiche di utilizzo del nodo stesso da questo ambiente Linux.

E’ possibile quindi accedere a specifici parametri delle interfacce tramite una libreria (fornita dal costruttore) che permette di conoscere, ad esempio, il numero di pacchetti transitati in ingresso-uscita da una specifica porta oppure identificare i pacchetti malformati (troppo grandi o troppo piccoli o con errori,…). Queste funzionalità non si limitano alle caratteristiche dell’interfaccia, ma possono interessare altri sottosistemi del nodo come il livello di routing o alcune delle caratteristiche fisiche del sistema (temperatura, stato delle ventole, etc).

Posso quindi definire uno specifico evento sulla base del verificarsi di una predeterminata condizione : superamento del numero di errori di CRC su di una porta, modifica di una tabella di routing, superamento di un valore di soglia per quanto riguarda la temperatura del sistema, il carico della CPU o l’occupazione della memoria.

A questo punto, l’ evento così definito può essere usato come innesco (trigger) di una specifica azione (policy): disabilitare una porta, mandare un messaggio (con modalità diverse) all’ amministratore di sistema, intervenire sulla configurazione per cambiare una rotta di default e cosi via.

Tutte le azioni possono essere eseguite tramite degli script o dei programmi eseguibili: tipicamente i sistemi offrono la possibilità di utilizzo dei principali linguaggi quindi Python, Perl, Ruby e di un ambiente nativo basato sulla propria interfaccia comandi.

Questa funzionalità apre tutta una serie di possibili implicazioni molto interessanti anche sotto l’ aspetto della sicurezza delle reti.

Qualora fosse possibile, utilizzando strumenti esterni al sistema e basati su AI, nell’ ottica definita dall’articolo citato, istruire opportunamente e comunicare al sistema la presenza di una possibile minaccia identificata, sarebbe possibile intervenire immediatamente (o in tempi estremamente brevi). L’ intervento ipotizzato quindi bloccherebbe la specifica connessione e, al contempo, attuerebbe una specifica policy definita in precedenza intervenendo quindi sulla configurazione stessa del sistema.

In questo modo potrebbe essere possibile, ad esempio, isolare uno specifico dominio, ritenuto non affidabile, garantendo al contempo il mantenimento della connettività a livello globale.

Naturalmente le sinergie tra gli apparati di rete e i sistemi di sicurezza sono oggetto di analisi e sviluppi da parte di tutti i principali vendor che sono in grado di offrire strumenti di identificazione e contenimento delle minacce informatiche, che opportunamente configurati ed utilizzati, risultano essere molto efficaci.


Giorgio Tosi



venerdì 29 ottobre 2021

Lo strano caso del GreenPass di Spongebob

Un paio di giorni fa, mentre stavo facendo colazione, mi arriva un messaggio sullo smartphone che dice “Buongiorno. Parrebbe che abbiano leakato le chiavi per creare i green pass…

Se confermato, significa che in teoria chiunque può produrre GreenPass validi”

La notizia ha attirato immediatamente la mia attenzione, facendomi istantaneamente affiorare un pensiero allarmante: se la notizia fosse vera, avremmo nullificato uno degli strumenti di controllo più importanti su cui si poggiano i piani post-pandemici di ripartenza economica, sociale, umana!

Un istante dopo, un secondo pensiero ancora più terrificante, sebbene composto da sole tre parole: in tutta Europa!

In mezzo al turbinio di processi ed interazioni che caratterizza le mie giornate, ho cercato di dedicare uno slot di attenzione all’evoluzione della notizia, che entro mezzogiorno da un paio di testate online su cui era apparsa si era trasferita al telegiornale nazionale.

La prova offerta era abbastanza tangibile: un QR Code che - se validato con la app ufficiale VerificaC19 - restituiva un green pass valido per… Adolf Hitler, con tanto di data di nascita 1900; data peraltro sbagliata, dal momento che il personaggio nacque in Austria nel 1889.

La problematica, al di là della goliardìa, restava molto grave: come era possibile che avessero trafugato delle chiavi crittografiche valide per la generazione dei GreenPass, che avrebbero dovuto essere gestite in modo assolutamente accurato da entità ministeriali o governative con processi dominati da una sicurezza ai massimi livelli?

Le notizie fittizie, le ipotesi, persino alcune promesse chiaramente improbabili finalizzate forse ad abbassare il livello di allarme si sono rincorse per tutta la giornata, iniziando a combinarsi con un’eco dall’estero dove la problematica appariva su siti noti come ad esempio bleepingcomputer.com.

Anche questi siti parlavano di probabile furto o comunque esfiltrazione di chiavi private, rendendo la cosa ulteriormente preoccupante a causa di alcuni rumors che ipotizzavano che le chiavi trafugate riguardassero diversi Stati Membri dell’Unione Europea.

Il tam tam della notizia si è ulteriormente diffuso, insieme (fortunatamente) alla reazione dei gestori che hanno provveduto a invalidare sia il Green Pass valido a nome di Hitler che alcuni improbabili altri generati nel frattempo, come ad esempio quello di Spongebob Squarepants che riporto di seguito, con relativa prova dell’invalidazione:


Il 28 sera la rubrica “Ciao Internet” di Matteo Flora sul canale YouTube ha offerto una spiegazione più plausibile e - francamente - più tranquillizzante da un certo punto di vista: qualcuno ha trovato il modo di abusare delle chiavi.

Più nello specifico, l’abuso sembra essere avvenuto tramite il codice dgca-issuance-web - facilmente reperibile perché condiviso sul sito GitHub dall’Unione Europea - unito a una chiave di firma valida in possesso di un utente.

Il codice in questione rappresenta il programma utile a generare i GreenPass, che sono in tutto e per tutto paragonati a certificati cartacei di avvenuta vaccinazione, di avvenuto tampone oppure di avvenuta guarigione, trasposti in forma digitale.

Analogamente a quanto avviene per i certificati cartacei, i certificati digitali per assumere valore devono essere firmati. Il processo di firma, non potendo utilizzare una penna, utilizza una chiave digitale privata che viene combinata con una chiave digitale pubblica inserita nel certificato. Questa chiave digitale pubblica è l’oggetto di verifica che permette di confermare l’originalità del certificato.

La cosa alquanto improbabile, quindi, è l’utilizzo di una chiave privata valida - dal momento che le chiavi di firma sono date in ragione di una per nazione.

A peggiorare le cose il fatto che alcune nazioni, tra cui l’Italia, non possono invalidare soltanto alcuni certificati firmati con la chiave nazionale… ma dovrebbero invalidare la chiave; operazione che richiederebbe la riemissione dei milioni di GreenPass veri, ufficiali e validi emessi finora; costringendo i titolari a richiederne una copia tramite i noti canali tradizionali: sito online, farmacie, ecc.

La faccenda è evoluta verso una ulteriore spiegazione valida verso le 13:40 del 28 ottobre. Secondo il sito Il Disinformatico infatti, sono stati individuati almeno sei punti di accesso validi a portali in grado di generare GreenPass validi in modalità Anteprima utilizzando dati fittizi che non vengono poi salvati.

Salvando quell’immagine, che rappresenta un certificato valido, è possibile generare i certificati che sono apparsi sul web con proprietari improbabili. Dopo il salvataggio dell’immagine, l’operazione può essere tranquillamente cancellata senza lasciare traccia alcuna dell’avvenuta generazione; di un certificato che resta - comunque - valido.

Quanto sta avvenendo quindi sembra il frutto di una importante, enorme per portata e dimensione, vulnerabilità di processo.

Che combinata con un fattore umano di dubbia liceità ha creato le condizioni per annullare potenzialmente uno dei processi più riusciti per risollevarci dagli effetti devastanti della pandemia.

Nessun furto di chiavi quindi, almeno allo stato in cui le cose sono evolute finora.

Soltanto una pessima igiene digitale nell’implementazione di un processo informatico.

Fatto, questo, che dovrebbe farci riflettere su un aspetto che spesso accomuna molti incidenti informatici, tra cui quello di cui stiamo parlando.

La tecnologia utilizzata per generare i GreenPass è sicuramente solida: combina infatti certificati digitali, visualizzazione di informazioni tramite QR Code che rende il tutto fruibile in modo semplice, uniformità di accettazione ed interoperabilità di implementazione tra più Stati.

La falla, la parte vulnerabile in modo importante, riguarda più il processo di implementazione e la messa in opera. Qui di tecnologico c’è ben poco, perché il tema riguarda la gestione e la messa in sicurezza di un processo.

Da quanto rilevato finora, è evidente che sono stati commessi errori gravi proprio in questa fase.

Un esempio è permettere la generazione di un anteprima del certificato valida a tutti gli effetti, senza fare in modo - ad esempio - che l’anteprima fosse controllabile solo da un’applicazione diversa da quella che avrebbe controllato la versione finale.

Un altro esempio riguarda la gestione della riservatezza.

Se l’emissione di un GreenPass è pertinenza di un organo governativo ufficiale ed afferma una verità incontrovertibile - al pari di un Notaio che certifica un atto di compravendita immobiliare tra due soggetti - avrebbe dovuto essere ristretta ad operatori tracciati, autorizzati, i cui privilegi dovrebbero essere concessi proprio a fronte di un’abilitazione specifica.

Senza contare che qualsiasi applicazione, prima di essere messa in produzione, dovrebbe essere provata a validata proprio da esperti di sicurezza chiamati Penetration Tester. Questi hanno l’obiettivo di studiare le potenziali falle dell’applicazione, ma anche del modo di utilizzarla… e del potenziale modo di abusarne.

Se tutti questi passaggi fossero stati eseguiti preventivamente e rimediati a regola d’arte in caso di falle, oggi non ci troveremmo a fronteggiare un incidente.

Cosa più importante, non dovremmo neppure sostenere i costi della risposta a questo incidente, che rischiano di essere davvero devastanti in termini sicuramente economici ma anche di credibilità di uno strumento di supporto alla ripresa economica e sociale davvero fondamentale.


Marco Rottigni

Analisi dei dati e automazione

Il riferimento all'utilizzo di tecniche di automazione ed eventualmente di AI (Artificial Intelligence) è diventato prassi comune nell’indirizzare molte problematiche di analisi dei dati da cui trarre indicazioni sui comportamenti futuri di sistemi complessi.

In realtà la possibilità per un sistema di reagire autonomamente a eventi particolari in modo da standardizzare il comportamento è qualcosa presente in molti dispositivi da tempo. In queste note esamineremo un esempio delle funzionalità disponibili su alcuni nodi delle reti di impresa (ad oggi tutte basate sul protocollo IP) che permettono

  • Il riconoscimento di uno specifico evento

  • La creazione di una policy da applicare in caso si verifichi l’ evento in oggetto

  • L’ applicazione della policy al sistema con la seguente modifica del comportamento dello stesso.

Tutti i principali vendor di dispositivi di rete IP (Cisco Systems, Juniper Networks, Arista Networks,…) offrono, con nomi diversi, una tale funzionalità.

Senza entrare nello specifico di ciascun sistema vorrei semplicemente illustrare il principio di funzionamento per offrire un'idea di come esistano, anche nel campo dei dispositivi di rete, strumenti e funzionalità che permettono l’ automazione dei comportamenti dei nodi a fronte di specifici eventi.

La diffusione di questi strumenti potrebbe portare anche a soluzioni che, in sinergia con tecniche di sicurezza basate su AI (vedi articolo) permettano di intervenire con efficacia a fronte di specifici problemi evitando che la minaccia o il tentativo di compromissione possa raggiungere i sistemi finali (Server o Postazioni di lavoro Individuali).

Farò quindi riferimento ad un ipotetico dispositivo di rete che offra queste funzionalità. Il nodo in oggetto fornisce un ambiente di sviluppo focalizzato proprio sull’ implementazione di tali funzionalità. Molto spesso questo ambiente è sviluppato sulla base di un sistema Linux ottimizzato per essere eseguito su di un processore “ausiliario” all’interno del nodo di rete. Il grande vantaggio di una tale soluzione deriva dal poter sfruttare molte (anche se non tutte) delle librerie e dei linguaggi disponibili in ambito Linux. Oltre a ciò va aggiunta la possibilità, offerta dai costruttori del nodo di rete, di accedere alle principali caratteristiche di utilizzo del nodo stesso da questo ambiente Linux.

E’ possibile quindi accedere a specifici parametri delle interfacce tramite una libreria (fornita dal costruttore) che permette di conoscere, ad esempio, il numero di pacchetti transitati in ingresso-uscita da una specifica porta oppure identificare i pacchetti malformati (troppo grandi o troppo piccoli o con errori,…). Queste funzionalità non si limitano alle caratteristiche dell’interfaccia, ma possono interessare altri sottosistemi del nodo come il livello di routing o alcune delle caratteristiche fisiche del sistema (temperatura, stato delle ventole, etc).

Posso quindi definire uno specifico evento sulla base del verificarsi di una predeterminata condizione : superamento del numero di errori di CRC su di una porta, modifica di una tabella di routing, superamento di un valore di soglia per quanto riguarda la temperatura del sistema, il carico della CPU o l’occupazione della memoria.

A questo punto, l’ evento così definito può essere usato come innesco (trigger) di una specifica azione (policy): disabilitare una porta, mandare un messaggio (in modalità diverse) all’amministratore di sistema, intervenire sulla configurazione per cambiare una rotta di default e cosi via.

Tutte le azioni possono essere eseguite tramite degli script o dei programmi eseguibili, tipicamente i sistemi offrono la possibilità di utilizzo dei principali linguaggi quindi Python, Perl, Ruby e di un ambiente nativo basato sulla propria interfaccia comandi.

Questa funzionalità apre tutta una serie di possibili implicazioni molto interessanti anche sotto l’ aspetto della sicurezza delle reti. Qualora fosse possibile, utilizzando strumenti esterni al sistema e basati su AI nell’ottica definita dall’articolo citato, istruire opportunamente e comunicare al sistema la presenza di una possibile minaccia così identificata sarebbe possibile intervenire immediatamente (o in tempi estremamente brevi) bloccando la specifica connessione e al contempo intervenire sulla configurazione stessa del sistema attuando una specifica policy definita in precedenza.

In questo modo potrebbe essere possibile, ad esempio, isolare uno specifico dominio, ritenuto non affidabile, garantendo al contempo il mantenimento della connettività a livello globale.

Naturalmente le sinergie tra gli apparati di rete e i sistemi di sicurezza sono oggetto di analisi e sviluppi da parte di tutti i principali vendor che sono in grado di offrire strumenti di identificazione e contenimento delle minacce informatiche, che opportunamente configurati ed utilizzati, risultano essere molto efficaci.


Giorgio Tosi

Per approfondire:

https://www.difesaonline.it/evidenza/cyber/deep-instinct-dalla-rilevazione-alla-prevenzione

domenica 24 ottobre 2021

Strategia NATO per l'Intelligenza Artificiale

Lo scorso 21 ottobre 2021 i Ministri della Difesa dei paesi NATO hanno approvato e rilasciato, per la prima volta, la strategia NATO per l'Intelligenza Artificiale (Artificial Intelligence - AI). 

Da diversi anni si parla di come l'AI possa essere impiegata nel contesto della Difesa.

Sono passati quasi 5 anni da quando, il 30 ottobre del 2016, sotto la presidenza di Barak Obama, negli Stati Uniti fu emanato il report "Preparing for the Future of Artificial Intelligence", documento nel quale si affrontava il campo dell'AI in maniera estesa dando delle raccomandazioni sul procedere dello sviluppo. Nella parte finale, "Global considerations and Security", si davano raccomandazioni su alcuni aspetti particolarmente importanti, ovvero:

- International Cooperation

    Recommendation 20: The U.S. Government should develop a government-wide strategy on international engagement related to AI, and develop a list of AI topical areas that need international engagement and monitoring. 

    Recommendation 21: The U.S. Government should deepen its engagement with key international stakeholders, including foreign governments, international organizations, industry, academia, and others, to exchange information and facilitate collaboration on AI R&D.  

-   AI and Cyber Security

Recommendation 22: Agencies’ plans and strategies should account for the influence of AI on cybersecurity, and of cybersecurity on AI. Agencies involved in AI issues should engage their U.S. Government and private-sector cybersecurity colleagues for input on how to ensure that AI systems and ecosystems are secure and resilient to intelligent adversaries. Agencies involved in cybersecurity issues should engage their U.S. Government and private sector AI colleagues for innovative ways to apply AI for effective and efficient cybersecurity.   

- AI in Weapon Systems

Recommendation 23: The U.S. Government should complete the development of a single, government-wide policy, consistent with international humanitarian law, on autonomous and semi-autonomous weapons. 

Risulta chiaro che la strategia NATO appena pubblicata rientri a pieno titolo all'interno delle raccomandazioni statunitensi date nel 2016. Vediamo dunque di capire meglio lo scopo del documento strategico NATO. 

Gli obiettivi sono quattro:

- fornire alla NATO e agli Alleati una base per incoraggiare lo sviluppo e l'uso dell'AI in modo responsabile per scopi di Difesa e Sicurezza;

- accelerare e integrare l'adozione dell'AI nello sviluppo e nell'erogazione delle capacità, migliorando l'interoperabilità all'interno dell'Alleanza, anche attraverso proposte di casi d'uso dell'IA, nuove strutture e nuovi programmi;

- proteggere e monitorare le nostre tecnologie di intelligenza artificiale e la capacità di innovare, affrontando considerazioni di politica di sicurezza come il rispetto dei nostri principi di uso responsabile;

- identificare e proteggere dalle minacce derivanti dall'uso dannoso dell'AI da parte di attori statali e non statali.

Ci si potrebbe chiedere come la NATO intenda perseguire i suoi obiettivi e la risposta, almeno in parte, si trova all'interno dello stesso documento strategico infatti si legge che "la NATO intende integrare l'AI in modo interoperabile a supporto dei tre tasks chiave. L'impiego della AI sarà condotto in modo responsabile attraverso l'organizzazione, il supporto alla missione e a livello operativo in accordo con le leggi internazionali.  

Il resto della risposta lo si può leggere su diversi giornali soprattutto statunitensi in cui si dice che la NATO in settimana lancerà un nuovo fondo per l'innovazione dotato di un miliardo di dollari, come annunciato il 20 ottobre dal Segretario Generale della NATO Jens Stoltenberg.

Sarà la nuova struttura NATO chiamata "Defence Innovation Accelerator for the North Atlantic (DIANA), l'equivalente NATO della DARPA, a occuparsi di fungere da collegamento col mondo civile e della ricerca dei paesi dell'Alleanza.

A noi italiani cercare di approfittare di questa nuova occasione per portare avanti un settore della ricerca fondamentale per il futuro non solo del settore Difesa e Sicurezza ma di tutta la società.


Alessandro Rugolo

Per approfondire:

NATO - News: NATO releases first-ever strategy for Artificial Intelligence, 22-Oct.-2021

NATO - Summary of the NATO Artificial Intelligence Strategy, 22-Oct.-2021

Intelligenza Artificiale e Difesa - Difesa Online

“Made in China 2025” e Intelligenza Artificiale: la Cina prepara la nuova rivoluzione industriale - Difesa Online

Intelligenza Artificiale: i modelli USA-Cina a confronto - Difesa Online

L'impatto dell'Artificial Intelligence sulla analisi di intelligence - Difesa Online

Situational Awareness, Artificial Intelligence, cyber security e sistemi adattivi - Difesa Online

Sistemi adattivi e Situational Awareness - Difesa Online

NATO Plans AI Strategy, $1B Investment Fund as it Seeks to Stay Ahead in Tech Realm | Military.com

Defence Innovation Accelerator for the North Atlantic (DIANA) – Finabel

NCI Agency | NITECH Magazine demonstrates datas importance for NATO


giovedì 21 ottobre 2021

Apulia Cybersecurity Forum


Ottobre è il mese europeo della cybersecurity e  sono tante le iniziative pianificate per aumentare la consapevolezza nel settore, Difesa Online e SICYNT sostengono ogni iniziativa a favore della diffusione della conoscenza del mondo cyber e delle nuove tecnologie.

Exprivia accetta la sfida e organizza, tra il 9 e il 12 novembre, la seconda edizione di "Apulia CyberSecurity Forum 2021". 

L'evento, on-line, prevede tantissimi momenti informativi e formativi, con la possibilità per i partecipanti alle sessioni formative di effettuare l'esame CyberSecurity Fundamentals.

Nel corso dell'evento sarà inoltre presentato il report dell'osservatorio Exprivia sulla Cyber Security.

Saranno in tanti a parlare e siamo certi che saranno in tanti a seguire l'evento, totalmente gratuito, ci dice Domenico Raguseo, direttore del nuovo Security Operation Centre di Molfetta.

Il nostro auspicio è che soprattutto i giovani studenti delle scuole professionali e delle università della zona partecipino numerosi, questa è un'occasione per loro di avvicinarsi al mondo del lavoro in un settore in rapida espansione e che necessita non solo di tecnici informatici ma di professionisti di tutti i settori, dagli esperti di sicurezza, di nuove tecnologie, di intelligenza artificiale, di comunicazione, agli esperti di risk management e di threat intelligence. 

Iscrivetevi on-line, è gratuito, e se vi fa piacere seguite il nostro intervento: 


Tra i tanti interventi, Giorgio Giacinto (Università degli Studi di Cagliari) ed io (Centro Studi Esercito) parleremo di Situational Awareness, Sistemi adattivi e Intelligenza Artificiale.

Grazie a Domenico RaguseoHead of CyberSecurity di Exprivia, per l'invito e buon Apulia Cybersecurity Forum a tutti !


Alessandro Rugolo


Per approfondire:

Apulia CyberSecurity Forum 2021 - 2° Edizione (exprivia.it)

Il nuovo SOC Exprivia: tra tecnologia e territorio - Difesa Online

Situational Awareness, Artificial Intelligence, cyber security e sistemi adattivi - Difesa Online

Sistemi adattivi e Situational Awareness - Difesa Online


lunedì 18 ottobre 2021

Ottobre, mese della Cyber Security

Difesa Online e SICYNT uniti nel mese della Cyber Security vi invitano a condividere l'ABC della Sicurezza sulle Informazioni Digitali.

Stampatene una copia per la classe dei vostri ragazzi, una per la classe di catechismo e una per il vostro gruppo di studio... leggete l'alfabeto coi vostri figli o coi vostri nipoti e spiegategli il significato dei termini e i rischi che corrono.

La sicurezza del #cyberspace nazionale è una delle condizioni necessarie della prosperità economica e rappresenta una priorità. 
L’educazione alla #sicurezza, anche sotto il profilo informatico andrebbe inserita come materia scolastica. 
Non si può prescindere dal fatto che nell’attuale contesto della #cybersecurity, la formazione deve essere la prima preoccupazione di uno Stato che desidera percorrere un percorso di digitalizzazione. Solo così la #cybersecurity potrà davvero entrare a pieno diritto nella cultura delle persone e fra gli strumenti a disposizione delle imprese per la riduzione della propria esposizione al #cyberrisk.

Dal 2003, ottobre diventa il mese della sensibilizzazione in materia di #sicurezzainformatica, il #cybersecurityawarenessmonth2021
In Europa e negli Stati Uniti è l'occasione per ricordare quanto sia sempre più necessario per tutti proteggere adeguatamente le proprie attività online. 

Sfruttando questa occasione, come #SICYNT, Società Italiana Cyber e Nuove Tecnologie, abbiamo prodotto un vademecum che riassume, sfruttando l'alfabeto, cosa tenere sempre presente per la nostra sicurezza nel mondo online e non solo. 
Un grazie a tutti coloro che hanno contribuito alla realizzazione e un grazie a tutti coloro che contribuiranno alla diffusione del manifesto.

Firmato SICYNT e Difesa Online

venerdì 15 ottobre 2021

L'impatto dell' Artificial Intelligence sulla analisi di intelligence

Riprendiamo il discorso, solo accennato in un precedente articolo, relativo al ruolo della Intelligenza Artificiale nel campo della analisi di intelligence. 

La domanda che ci poniamo e cui tenteremo di dare risposta è la seguente: qual è l'impatto dell' Intelligenza Artificiale sulla analisi di intelligence?

In primo luogo ricordiamo, a favore di tutti, la definizione di intelligence come "il prodotto risultante dalla raccolta, elaborazione, integrazione, analisi, valutazione ed interpretazione delle informazioni (e dati) disponibili concernenti paesi o regioni straniere, o ancora informazioni e conoscenze su un avversario ottenute attraverso l'osservazione, investigazione, analisi o comprensione". 

Naturalmente questa definizione ha una sua ragion d'essere anche in ambiti differenti dal confronto tra parti (militarmente o politicamente parlando), infatti è possibile e spesso utile fare intelligence su un elemento "amico" o su se stessi, ciò che importa è definire correttamente gli elementi su cui investigare.

Sempre per agevolare la discussione ricordiamo cosa si intende per "Artificial Intelligence". Non essendoci una definizione univocamente riconosciuta prenderò a riferimento quella del Professor John McCarthy, della Stanford University per il quale Artificial Intelligence " is the science and engineering of making intelligent machines, especially intelligent computer programs. It is related to the similar task of using computers to understand human intelligence, but AI does not have to confine itself to methods that are biologically observable."

Come è facile capire, questa non è propriamente una definizione in quanto per definire l'Artificial Intelligence, utilizza al suo interno il termine "intelligence". Perciò il professor McCarthy aggiunge dunque che per "intelligence" si intende:

" the computational part of the ability to achieve goals in the world. Varying kinds and degrees of intelligence occur in people, many animals and some machines",

e avvisa che non vi è una chiara e riconosciuta definizione per "intelligence", spiegando che quando un comportamento (umano nel nostro caso) è ben conosciuto è possibile realizzare macchine che si comportano in maniera tale da imitarne il comportamento. Quando invece non si ha una chiara comprensione del processo in esame è difficile realizzare una macchina che imiti il comportamento umano.

Mi sembra dunque logico pensare che per comprendere come l'Intelligenza Artificiale possa aiutare nel processo di analisi di intelligence occorra in prima luogo capire in cosa consista tale processo. Solo in un secondo tempo sarà possibile individuare le possibili aree in cui la AI può in qualche modo essere d'aiuto.

Uno dei modelli più conosciuti (ed usati) nel mondo dell' Intelligence è il cosiddetto "Ciclo dell'Intelligence", che si basa su cinque fasi:

- Planning and Direction. In questa fase si devono identificare le esigenze iniziali in termini di dati da raccogliere e di prodotti finali di intelligence necessari ai decisori per supportarli nelle decisioni. La direzione viene generalmente fornita da decisori o organismi governativi, spesso sotto forma di domande.

- Collection. Consiste nella raccolta di dati e informazioni grezze, necessarie per produrre intelligence, utilizzando tutte le fonti possibili (tra quelle disponibili o autorizzate per lo specifico caso). Tra le fonti generalmente più impiegate vi sono le fonti aperte, ma non sono le uniche. Lo sviluppo tecnologico ha infatti permesso la raccolta di dati attraverso dispositivi elettronici di sorveglianza (sensori), per esempio attraverso la fotografia satellitare o la raccolta di segnali radio o ancora del traffico Internet.  

- Processing. Questa fase consiste nella conversione e normalizzazione dei dati e delle informazioni grezze non standardizzate in una forma utilizzabile dagli analisti. Per esempio la fase di Collection potrebbe aver interessato dei giornali redatti in lingue non conosciute dagli analisti, in questo caso nella fase di Processing si dovrà dunque procedere alla traduzione in una o più lingue conosciute. 

- Analysis and production. In questa fase dati e informazioni sono trasformate in intelligence. L'analista (o per meglio dire, gli analisti), esperto di settore, deve considerare l'affidabilità della sorgente dell'informazione, la sua validità e la rilevanza in funzione dell'obiettivo (contestualizzazione) e le implicazioni future (per partecipare in questo modo alla realizzazione di una parziale situational awareness). 

- Dissemination. L'ultima fase del ciclo consiste nel distribuire i prodotti finiti a coloro che li hanno richiesti (o che ne hanno bisogno), in linea di massima questi decisori sono gli stessi che hanno dato inizio al ciclo attraverso le richieste iniziali. 

Talvolta accade che i decisori non siano ancora in grado di prendere delle decisioni per cui possono dare inizio ad un nuovo ciclo. 

Ora, essendo più chiaro in che consiste il (generico) ciclo intelligence, è possibile cercare di capire dove e come l'AI possa essere di aiuto. Aggiungo anche che ogni organizzazione ha le sue specificità e il ciclo intelligence impiegato non sempre è perfettamente identico a quello illustrato. Ciò significa che se vogliamo studiare come l'Intelligenza Artificiale può essere d'aiuto ad una specifica organizzazione nel settore dell'analisi intelligence occorre in primo luogo studiare i loro processi interni e verificare il loro ciclo intelligence in ogni dettaglio.

Nel nostro caso possiamo dire, in prima analisi, che l'AI può supportare il ciclo intelligence nelle fasi di Collection e Processing. Nella fase di Collection, possono essere impiegati strumenti di AI per la selezione e identificazione delle sorgenti di dati e i dati da raccogliere. Nella fase di Processing, l'AI può aiutare nella etichettatura, catalogazione e indicizzazione dei dati. L'impiego di sistemi basati su tecnologie di Machine Learning, peraltro già esistenti, possono essere tanto più efficaci quanto più grande è la quantità di dati da raccogliere, processare e correlare, liberando l'operatore dalla esecuzione di compiti ripetitivi e relativamente semplici, tempo che può essere più utilmente impiegato per l'analisi vera e propria o per migliorare la preparazione degli analisti, come anche indicato nello studio di Deloitte "The future of intelligence analysis".

Con l'impiego di tecnologie come il Machine Learning e in particolare con il Deep Learning, è possibile fare ancora un passo in avanti. Con il Deep Learning è possibile infatti impiegare sistemi di AI anche nelle fasi di Analysis and production e probabilmente anche in fase di Dissemination, in particolare. La potenza del Deep Learning consiste nell'elaborare e correlare in modo efficace testi, immagini, video e audio senza dover necessariamente procedere a conversioni testuali. Inoltre il Deep Learning ci permette di accedere a capacità predittive, che come abbiamo visto nel precedente articolo sono l'ultimo tassello della Situational Awareness.

Nel prossimo articolo cercheremo di capire come.


Alessandro Rugolo, Giorgio Giacinto

Per approfondire:

- Kwasi Mitchell, Joe Mariani, Adam Routh, Akash Keyal, and Alex Mirkow. The future of intelligence analysis A task-level view of the impact of artificial intelligence on intel analysis. THE DELOITTE CENTER FOR GOVERNMENT INSIGHT. 2019. 

What is Artificial Intelligence (AI)? | IBM

JP 2-0, Joint Intelligence (jcs.mil)

whatisai.dvi (unimi.it)

Professor John McCarthy | Stanford Computer Science

The Intelligence Cycle (fas.org)

Situational Awareness, Artificial Intelligence, cyber security e sistemi adattivi - Difesa Online

Sistemi adattivi e Situational Awareness - Difesa Online