Traduttore automatico - Read this site in another language

lunedì 16 settembre 2019

Racconti e aneddoti di un pioniere informatico

Non quia difficilia sunt non audemus, sed quia non audemus difficilia sunt.
Non è perché le cose sono difficili che non osiamo, è perché non osiamo che sono difficili.
(Lucio Anneo Seneca, CIV 26).

Forse non tutti sanno che “pioniere deriva dal francese pionnier, in italiano1 l’etimo rimanda a “pedone”, ossia chi comincia a sfruttare territori vergini, chi apre la via al progresso.
Prima del XIX secolo, significò “fante” e successivamente “soldato del genio” e, nel linguaggio militare, veniva usato anche come sinonimo di guastatore.
La parola “pioniera”, è intesa per rappresentare chi apre una via agli altri, esplorando regioni sconosciute e insediandosi in esse, in modo da consentire nuovi sbocchi all’attività umana; in particolare, nel linguaggio comune, con riferimento alla storia degli Stati Uniti d’America, i pionieri sono la denominazione dei colonizzatori delle lontane terre dell’Ovest.
Per estensione, chi è il primo o fra i primi a lanciarsi in una iniziativa, a intraprendere un’attività, a diffondere un’idea, aprendo nuove strade, nuove prospettive e possibilità di sviluppo.
Oggi parleremo con un pioniere dell’informatica: Mario, mio padre.


Buongiorno pà! Allora, ci hai pensato? Mi avevi promesso di raccontarmi di quando è cominciata la tua avventura con l’informatica. Come hai fatto ad entrare nel mondo dei bit2?
La mia storia nel mondo dell’informatica comincia quasi per caso.
Io sono un perito meccanico che, dopo il diploma, aveva iniziato a lavorare a metà degli anni “60 in un impianto petrolchimico ubicato in Sicilia, la mia regione d’origine
Coerentemente con il mio titolo di studio mi ero sempre occupato di carpenteria, tubazioni, norme API (Application Programming Interface), ASTM (American Society for Testing and Materials), AISI (American Iron and Steel Institute).
Di che anni stiamo parlando?
A cavallo degli anni tra i “60 ed i “70 mi ero trasferito in Sardegna ed ero inserito nell’Ufficio Tecnico di uno di tali siti. Nell’Aprile del 1972 ero appena rientrato al lavoro dopo circa un mese di infortunio dovuto alla rottura di un menisco, a quell’epoca non c’era ancora l’artroscopia!
Un giorno di lavoro come altri si presenta (anche) nel mio Ufficio, un rappresentante dell’Organizzazione dicendo che si sarebbero svolti dei test attitudinali per Operatori Meccanografici, in quanto avrebbero realizzato un CED Gestionale (Centro Elaborazione Dati), affettuosamente chiamata dagli addetti ai lavori: la “Sala Macchine”, sino a quel momento in stabilimento c’erano solo degli elaboratori di processo.
Personalmente, ho dato subito la mia disponibilità, più per curiosità che per convinzione: infatti per me, quello che a quell’epoca veniva comunemente chiamato il Calcolatore Elettronico o addirittura il Cervello Elettronico, era all’incirca un UFO (Unidentified Flying Object).
Comunque, il fatidico giorno eravamo riuniti, in un unico spazio, circa un centinaio di ragazzi diplomati e di varia estrazione tecnica, oltre ai Periti Industriali c’erano Geometri, Ragionieri e altre qualifiche.
Il test consisteva in decine di domande a risposta multipla, qualcuna di carattere generale, molte di logica, da completare in un tempo determinato.
Io mi regolai nello smarcare subito le risposte di cui ero ragionevolmente certo, sino ad arrivare in fondo, dopodiché ripresi quelle tralasciate dedicando un attimo in più a ciascuna di esse.
Come andò a finire?
Nei giorni seguenti non ci stavo più pensando, quando ho cominciato a notare che qualcuno dei responsabili faceva degli ammiccamenti, della serie il marito cornuto è l’ultimo a saperlo.
Seriamente, ciò era dovuto al fatto che mi ero classificato primo sui circa cento partecipanti.
Hai iniziato qui in Sardegna o dove?
A quel punto alcuni tra i primi classificati siamo stati mandati a Milano dove abbiamo cominciato a seguire presso una sede dell’azienda IBM (International Business Machines) i corsi per operatori, da quello base a quello avanzato ed altri.
Tra un corso e l’altro stavamo, sempre a Milano, presso la Direzione Generale del Gruppo e iniziavamo a fare pratica, affiancandoci agli operatori già esperti.
In realtà io, a 24 anni, avrei preferito affiancarmi alle ragazze che effettuavano la funzione di perforatrici, ma eravamo marcati a vista dal capocentro.
Già, le perforatrici (e verificatrici).
Ossia? Di che si tratta? Scusa ma non ti seguo…
Una figura di base ma essenziale in quegli anni, in quanto l’input al calcolatore avveniva tramite le schede perforate che venivano lette da un apposita macchina
Su queste schede erano registrati sia il richiamo al programma da eseguire tramite il JCL (Job Control Language), sia i dati da elaborare.
Io ho avuto modo di lavorare sia con il Sistema/3 che utilizzava schede a 96 colonne, sia con il Sistema/360/DOS (Disk Operating System) che utilizzava schede a 80 colonne che poi erano lo standard de facto.
E devo dire che me ne sono passate sotto le mani decine e decine di migliaia, utilizzate nei lettori, nei perforatori e nelle selezionatrici.
Ti va di raccontare qualche aneddoto ai nostri lettori?
Si, certo. Un aneddoto riguardante il lettore di schede che utilizzavamo nel CED di Sassari.
Il primo che avevamo utilizzato era del tipo a contatto, cioè i simboli (lettere, numeri, caratteri speciali) venivano decodificati quando degli spazzolini sovrastanti le schede stesse toccavano un rullo sottostante in corrispondenza delle perforazioni effettuate nel cartoncino e così chiudevano dei circuiti elettrici. La codifica utilizzata si chiamava EBCDIC (Extended Binary Coded Decimal Interchange Code).
Successivamente, questa funzione di decodifica era svolta da una cellula fotoelettrica dalla quale passava un fascio di luce, sempre in relazione alle perforazioni effettuate.
Per una delle tante leggi di Murphy, la cellula fotoelettrica del lettore si va a guastare proprio nel momento meno opportuno, cioè nella sera del Venerdì Santo che precede la Domenica di Pasqua.
In breve, il giorno di Pasqua sono dovuto andare all’aeroporto di Olbia per ritirare un paio di fotocellule che erano state consegnate al pilota di un volo di linea proveniente da Milano (perché in tutta la Sardegna non ce ne erano disponibili) e rimpiazzare quella difettosa.
Continuando la mia storia, c’è da dire che nel tempo ero passato da operatore turnista a Responsabile della Sala Macchine.
Una delle cosiddette leggi di Moore dice che nell’informatica periodicamente si aumenta la capacità di calcolo e contemporaneamente si diminuiscono i prezzi.
Per esempio: la memoria del /360 era di 128K! Pensare che oggi un qualsiasi smartphone ha diversi GigaByte di memoria.
Inoltre per l’archiviazione di massa usavamo dei dischi rimovibili, in gergo chiamati “padelle, del peso di svariati Kg ciascuno e della capacità di 10 MegaByte.
E, a proposito di dischi, c’è da dire che sono stato uno dei primi in Sardegna ad effettuare la migrazione dal metodo di accesso ISAM al VSAM, rispettivamente Indexed Sequential Access Method e Virtual Storage Access Method.
Nel frattempo stavamo lavorando con un Sistema/370/OS (Operating System), erano stati introdotti i terminali video per l’I/O (Input/Output), si utilizzava il CICS (Customer Information Control System).
Nelle tua chiacchierate con mamma, ogni tanto saltano fuori traslochi da una regione all’altra… Io ero piccolo e, in quegli anni anche figlio unico, prima che nascesse il secondo pargolo, Roberto. Tuttavia la maggior parte dell’esperienza lavorativa si è svolta in Sardegna. Raccontaci un po’ come è andata.
Per tutta una serie di ragioni, dalla Lombardia mi sono trasferito in Piemonte dove ho lavorato in ambiente Honeywell con Sistema Operativo GCOS8 (General Comprehensive Operating System). Ogni “casa” utilizzava un proprio mezzo per arrivare allo stesso fine, ossia gestire dati e trasformarli in informazioni utili a migliorare processi.
Siamo praticamente alla fine degli anni 70. Tu sei del 1978!
Intanto stavo diversificando la mia attività in ambito Produzione con la funzione di Schedulatore dei lavori, cioè colui che assegna e pianifica le attività della Sala Macchine.
Ti sei occupato di programmazione vera e propria? E quali sono stati i principali cambiamenti in ambito informatico che hai “toccato con mano”?
Si, ho cominciato a studiare la Programmazione e in particolare il COBOL 74 (COmmon Business-Oriented Language) che in quegli anni era il linguaggio più diffuso.
Per mia cultura mi ero anche comprato un testo sul Fortran e avevo preparato qualche programmino di utilità.
Il responsabile del SED (Servizio Elaborazione Dati) mi aveva “preso di mira” in quanto mi ha fatto fare corsi di ogni genere, dal DMIV (Database Management Fourth) al GMAP (Gcos Macro Assembler Program).
Una nota: si parlava di una possibile fusione/acquisizione tra General Electric e Honeywell poi bocciata dalla CCE, ora UE. Sta di fatto che molti prodotti software della Honeywell iniziano con la lettera “G” in ricordo della loro collaborazione (vedi GCOS, GMAP ...).
Dopo un paio di anni passati nelle Prealpi Biellesi siamo scesi verso le colline del Monferrato, anzi proprio a Casale dove svolgevo la funzione di vice responsabile del SED, tornando da mamma IBM.
Abbiamo effettuato la migrazione dei dati e delle procedure dai due Sistemi/34 esistenti ad un Sistema/38.
E in un paio di settimane, dopo aver letto un apposito manualetto, ero già in grado di programmare in RPGII (Report Program Generator Second).
Dopo un altro paio di anni, per motivi legati alla famiglia di mia moglie, siamo rientrati in Sardegna occupandomi in toto del SED di una ditta commerciale (infatti facevo da analista, programmatore, operatore e mozzo).
L’ambiente era un Sistema/34 con le ADM (Applicazioni Dirette al Mercato) che io ho poi implementato con altri programmi ad hoc.
Dopo qualche tempo in cui non riuscivo neanche ad andare al bagno, ho chiesto di avere qualche collaboratore e mi è stata affiancata una ragazza che dopo un po’ sapeva almeno accendere e spegnere il sistema.
Dopo cinque anni, durante i quali avevamo sostituito il /34 con un Sistema/36, come naturale evoluzione, cercavo nuovi stimoli.
Si era intanto verificato, e siamo alla fine degli anni 80, che le due banche locali avevano creato ciascuna una società di informatica cui affidare in outsourcing la gestione delle proprie elaborazioni.
Fatti i dovuti colloqui, ho scelto dove andare, anche perché in quel momento il mio skill era ottimale per una delle due candidate.
Infatti stavamo per effettuare la migrazione da quattro elaboratori dipartimentali GCOS6 Honeywell a un unico mainframe OH (Olivetti Hitachi) con Sistema Operativo MVS (Multiple Virtual Storage) della IBM.
Io ero tra i pochi sulla piazza a conoscere ambedue i mondi e sono stato assunto il 1° Gennaio 1988.
Una volta finita la migrazione e andati a regime, per alcuni anni sono stato il responsabile del CED gestendo una ventina di risorse umane tra operatori turnisti, personale addetto all’after print e alle microfiches. Ovviamente mi occupavo anche della sicurezza delle apparecchiature, di impostare i backup, dei contatti con i fornitori, di gestire ferie, malattie, permessi del personale e quant’altro necessario al buon andamento del tutto.
Per alterne vicende societarie, la banca per cui lavoravamo era stata prima commissariata dalla Banca d’Italia e poi comprata da quella concorrente di maggior dimensioni.
A questo punto le elaborazioni passavano gradualmente nel mainframe dell’acquisitrice, e noi ci siamo inventati altri lavori.
Sono stato, nel corso del tempo, responsabile della gestione dei Bancomat del Gruppo.
Successivamente mi sono occupato della gestione del Remote Banking e dei POS (Point Of Sale).
Poi anche la banca acquirente era stata a sua volta acquisita, divenendo parte di un gruppo bancario con diffusione nazionale.
Immagino che in azienda esistessero dei veri e propri mansionari, con compiti ben definiti a monte. Tu di che ti occupavi in particolare?
Come compito mi occupavo della programmazione e gestione delle macchine embossatrici per la produzione di carte di credito/debito per tutte le banche del Gruppo (circa una dozzina di istituti e migliaia di carte prodotte ogni settimana).
Nel frattempo ero stato coinvolto anche in un’altra attività, relativa alla certificazione di qualità secondo le Norme ISO 2001 (International Organization for Standardization) richiesta per i processi dei POS e del Remote Banking (gestione remota dei servizi bancari).
Dopo gli opportuni corsi tenuti a Roma, mi occupavo della tenuta ed aggiornamento dei manuali, che dovevano riflettere il modo virtuoso con cui venivano condotti i processi relativi ai due task citati.
E, finalmente, tra un manuale della Qualità e un Pagobancomat, è arrivata la data fatidica del 1° Settembre 2005, giorno in cui sono andato in pensione.
Ricordi con piacere qualche aneddoto capitato sul lavoro?
Quando eravamo ancora ragazzi e le attività erano ormai diventate di routine, ogni tanto ci inventavamo qualche scherzo, ovviamente a spese degli ultimi arrivati.
Uno di questi scherzi che ora mi viene alla mente riguardava le bobine di nastro che si utilizzavano sia per input di dati che per il backup, e che avevano nella parte posteriore un incavo il quale poteva essere chiuso da un apposito anello: questo per abilitare la scrittura sul nastro oppure per proteggerlo come “in sola lettura” cioè in pratica premere - oppure no - uno switch on/off .
L’attività delle unità a nastro era riflessa da alcuni indicatori luminosi di diversi colori posti sul frontale. Sfilando e invertendo di posizione tra di loro qualcuno di questi indicatori, gridavamo al malcapitato di turno: “Cosa hai fatto!? Stai sovrascrivendo un nastro che invece doveva essere protetto! Non vedi che è accesa la luce rossa di scrittura!?” Al poveretto venivano i sudori freddi, ma, dopo qualche sghignazzo di rito, lo tranquillizzavamo. Beata gioventù!

Durante le tue esperienze lavorative quali erano le criticità e le principali minacce che potevano intaccare le informazioni che gestivi? Esisteva una “cultura” della sicurezza informatica?
Nel suo libro “Essere digitali” Nicholas Negroponte (uno dei guru dell’informatica) ricorda questo aneddoto: richiesto in aeroporto da un agente doganale sul valore del suo bagaglio (un PC) disse che il valore commerciale era di mille dollari, ma che il valore delle informazioni che c’erano dentro era inestimabile.
E proprio questo è lo scopo della sicurezza informatica: salvaguardare le informazioni.
Certo bisogna proteggere l’hardware, ma bisogna avere dei software sempre più sofisticati per far fronte alle nuove minacce.
Quando ho cominciato a lavorare come operatore, la sicurezza era rappresentata dalla mole massiccia del signor Sanna, la guardia giurata che si alternava con un collega al gabbiotto d’ingresso.
Nella Sala Macchine c’era uno stabilizzatore di corrente che doveva assolvere la stessa funzione di quelli che si mettevano nei primi televisori in bianco e nero negli anni “50, solo un po’ più grande e molto più rumoroso quando c’erano temporali.
C’è stato un periodo in cui in Italia era di moda assaltare i CED, visti come strumenti di oppressione del padrone.
Comunque nella mia esperienza personale, non mi sono mai trovato in mezzo a situazioni di rischio nelle varie aziende dove ho prestato la mia opera.
Che mi ricordi, non sono mai stati indetti corsi formali sulla sicurezza, ci si regolava con regole di buon senso e con la diligenza del buon padre di famiglia. Ad esempio parte integrante di ogni elaborazione erano i backup su floppy disk oppure su nastro ante/post di tutti i file relativi alla singola procedura.
Come evoluzione, posso dire che in certe zone del sito si poteva accedere solo con badge opportunamente autorizzato.
Inoltre erano stati installati sia batterie tampone sia un gruppo elettrogeno per assicurare la continuità dei processi in casa di default di corrente.
Comunque nell’ultimo lavoro che ho prestato avevo scritto un manuale ad uso e consumo dei nuovi colleghi digiuni di informatica che venivano inseriti nei turni da operatore.
In questo manuale avevo descritto:
  • i concetti di base dell’informatica;
  • l’hardware installato nel nostro sito;
  • il software di base e i prodotti ausiliari;
  • le procedure da gestire.
Sulla base di questo manuale facevo dei corsi ai colleghi prima di affiancarli ai colleghi che già gestivano le elaborazioni. Successivamente, per garantire maggior sicurezza, sono stati adottati i firewall HW/SW per garantire o negare l’accesso alle reti LAN o WAN.
Ora come ora si sente spesso parlare di furto di PIN dei Bancomat se non di clonazione delle carte.
Io, come misura minima di prevenzione, quando vado a prelevare do’ una occhiata all’ATM (Automatic Teller Machine) per vedere se noto qualcosa di strano e poi copro con una mano il tastierino mentre, con l’altra, digito il PIN.
Ovviamente con l’utilizzo pervasivo di Internet i problemi crescono esponenzialmente.
E a, ben vedere, è la solita storia di guardie e ladri: dove i buoni sono gli hacker mentre i cattivi sono i cracker, per tacere dei lamer.
P.S. Un saluto ai “compagni di viaggio” che non ci sono più: CIAO! a Mei, a Giorgio, a Delfo, a Graziano e a Gianni.
Danilo Mancinone

1 http://www.treccani.it
2 BInary digiT, in informatica, rappresenta l’unità di misura elementare dell’informazione, che viene rappresentata alternativamente con le cifre 0 e 1, in quanto corrisponde a una scelta tra due alternative egualmente possibili. Il suo simbolo è b.

venerdì 13 settembre 2019

Biometria, pro e contro


Sono passati 23 anni da quando Peter Steiner ha pubblicato il famigerato "Su Internet, nessuno sa che sei un cane" il famoso cartone animato in “The New Yorker”, illustrando e, in qualche misura, anticipando in maniera eloquente e semplice le sfide legate all’identità online.
Oggi, molte organizzazioni stanno ancora lottando per risolvere l’enigma relativo al fatto se coloro che accedono alle informazioni in rete siano il proverbiale "cane su Internet," ossia se “sono chi dicono di essere e non fingono di essere qualcun altro”. Le conseguenze di questa che è diventata una vera e propria guerra sono significative: anno dopo anno l'identità continua ad essere il più sfruttato vettore di attacco nel cyberspace. Il problema più grande? Semplice: la password, violata in continuazione e che, nonostante tutto, continua ad essere utilizzata da tutti in tutto il mondo, sia che si parli di aziende sia che si tratti di individui ed il tutto condito dalla cronica cocciutaggine o incoscienza di nessuna ulteriore protezione quale potrebbe essere l’utilizzo di soluzioni di fattori di autenticazione multipli. Quest’ultimo fenomeno straordinariamento vero, ahimè, nelle aziende.
Il mondo hacker segue tecniche e dinamiche simili all’industria, dove domanda e offerta determinano il prezzo di un prodotto. È possibile comprare il codice di un exploit non ancora noto, l’elenco di username e password trafugati da non importa dove, singoli numeri di carta di credito garantiti, validi ancora almeno per alcuni giorni, ecc. Insomma, un fantastico mercato dove, semplicemente, oscurando la propria identità si possono fare affaroni!!! Da tutto ciò derivano fenomeni come il “Credential Stuffing” che si basa su due dei nodi più deboli di una intera catena di sicurezza: le persone e le loro password. Il concetto di “non usare la stessa password su più siti” è arcinoto. Ce lo sentiamo ripetere spesso ed ora, ancor di più, anche quando ci registriamo su un nuovo sito. Ma quante persone realmente usano questa accortezza? Ovviamente non stiamo parlando degli addetti ai lavori, che usano un gestore di password o meccanismi simili. Dobbiamo pensare al grande pubblico non così evoluto dal punto di vista informatico. In questo contesto è molto probabile che venga usata la stessa password su ben più di due siti.
Sfruttando questa vulnerabilità intrinseca, ecco che un attaccante si specializza nella ricerca di combinazioni di username e password valide. Il primo passo è quello di comprare nel dark web un archivio di username e password trafugate. Con questo database tra le mani si iniziano a provare tutte le combinazioni su siti diversi alla ricerca di persone che hanno usato più volte la stessa login, spesso un indirizzo email, e la stessa password. Il risultato finale è un distillato di username e password valide su social media, servizi email, e-commerce il cui valore è molto alto oltre al fatto che molto spesso, le credenziali utilizzate sono quelle aziendali. Ecco quindi che l’uso della stessa password su più siti espone le informazioni personali ben oltre il sito “bucato”.
La sfida con le password, unita ad altri metodi di autenticazione inadeguati, si è amplificata con l’avvento del cloud. La ragione? Semplice: l'ascesa del cloud abbinata all’esplosione dei dispositivi mobili che ne fanno un uso pesante, significa che, sempre più, i dati vengono acceduti al di fuori di quella che era considerata la rete di un'organizzazione per la quale, purtroppo, continuano ad essere utilizzati controlli di sicurezza tradizionali.
E qui torniamo al punto di partenza, ossia “nel cloud, la prima domanda a cui un sistema deve rispondere è "sei chi dici di essere?" Non dimentichiamocelo mai: “l'autenticazione è la "chiave" per accedere alla porta di una qualsiasi risorsa cloud e, come amo dire, l’autenticazione è il cuore di qualsiasi infrastruttura e rappresenta i gioielli di famiglia da difendere a tutti i costi e con qualsiasi mezzo.
Di fronte a un fenomeno in costante crescita, l'identificazione biometrica viene considerata da molti come il sistema più immediato per avere una gestione degli accessi che sia, allo stesso tempo, ragionevolmente sicura e abbastanza semplice per chi si deve identificare.
Il lancio di Apple del Touch ID nell’ormai lontano 2013, che offre agli utenti la possibilità di sbloccare i loro telefoni con le loro impronte digitali oppure con un PIN, ha, di fatto, definito il riconoscimento delle impronte digitali come un nuovo fattore di autenticazione, commercialmente distribuito tramite gli smartphone.
Oggi, i sensori di impronte digitali sono un'offerta presente su smartphone e laptop ed anche il riconoscimento facciale sta guadagnando terreno. Oltre a viso e dito, oggi come oggi, iride, voce e battito cardiaco sono altre tre modalità biometriche che si stanno affermando sul mercato. Nel frattempo, Apple è stata affiancata da importanti produttori tra cui Microsoft, Lenovo, Samsung, LG e Fujitsu nell'incorporamento di sensori biometrici all’interno dei dispositivi.
Dal punto di vista dell'autenticazione, le implicazioni del fenomeno di “consumerizzazione” della biometria sono significative: anziché richiedere a un utente di inserire una password o inserire un token, la biometria consente a un dispositivo di "riconoscere" semplicemente un utente. Se configurato correttamente, questo sistema può portare a esperienze di autenticazione senza password che sono molto più facili da usare rispetto ad altre tecnologie.
Nel cloud, in cui gli utenti si aspettano un accesso immediato e su richiesta ad applicazioni e dati, la biometria offre la possibilità di semplificare l'autenticazione, migliorando al contempo la privacy e la sicurezza. Non è un caso che la biometria stia aiutando l'industria a superare i limiti di usabilità che hanno ostacolato l'adozione dell'autenticazione di prima generazione, favorendo una maggiore adozione di strumenti di autenticazione sicuri in tutto il mercato.
Tuttavia, non tutte le biometrie sono uguali e alcune tecnologie e configurazioni possono creare rischi significativi per la sicurezza e la privacy nonché sfide normative e di conformità. Questi rischi devono essere affrontati al fine di distribuire i fattori biometrici in modo responsabile e sicuro.
Al centro del problema c'è il fatto che le tecnologie biometriche variano secondo due principi fondamentali:
  1. L’affidabilità dei dispositivi indipendentemente dalle diverse modalità di autenticazione, ossia viso, impronte digitali, iride, ecc. Il mercato è molto vario in questo contesto e ci sono soluzioni che sono altamente affidabili e altre che lo sono assai meno. Due fattori devono essere sempre tenuti in considerazioni:
    1. False Accept Rate (FAR) che indica con quale frequenza il sistema biometrico accetta la biometria della persona sbagliata;
    2. False Reject Rate (FRR) che indica con quale frequenza il sistema biometrico rifiuta la biometria della persona giusta.
  2. Le differenti modalità con cui i sistemi biometrici sono progettati e distribuiti possono avere un impatto significativo sul fatto che siano in grado di migliorare la sicurezza e la privacy oppure no.
Una differenza importante tra le modalità di autenticazione basate sulla biometria e altre soluzioni di autenticazione è che queste ultime, come password e token, possono essere modificate o revocate. Ciò significa che se vengono rubate o compromesse, c'è sempre un modo, abbastanza semplice, per rilasciare una nuova soluzione e risolvere il problema.
La biometria, al contrario, è permanente e, pertanto, la divulgazione involontaria di dati biometrici può avere conseguenze più difficili da correggere di una semplice password violata. Per questo motivo, qualsiasi implementazione della biometria deve essere fatta con estrema attenzione al fine di mitigare la possibilità che l'impronta digitale o il volto di qualcuno, ad esempio, possa essere compromessa.
Per mitigare i rischi informatici, soddisfare i requisiti normativi e garantire l’accesso alle risorse in modo semplice e più sicuro è sempre più necessaria un’autenticazione che protegga l’identità degli utenti contro le minacce e che, indirettamente, ne protegga la loro privacy.
L’utilizzo della biometria come meccanismo di autenticazione, se implementata correttamente e in conformità con gli standard, può consentire alle aziende di proteggere con un livello superiore l’identità rispetto a quanto viene fatto ancora oggi con l’uso delle password.
Rimangono ancora diverse domande e molti dubbi intorno all’utilizzo della biometria come metodologia di autenticazione:
  • dove sono memorizzati i dati biometrici?
  • dove viene effettuato il match della biometria?
  • la biometria è l’unico fattore richiesto per autenticarsi?
  • Come vengono protette le informazioni biometriche?
Lasciamo in sospeso le risposte, per il momento, con la promessa di approfondirle prossimamente. 

Carlo Mauceli

mercoledì 11 settembre 2019

Cortana, cosa succede quando “le” si chiede di cimentarsi in una missione al limite?

Cortana, intelligenza artificiale di casa Microsoft con un nome preso in prestito da un personaggio del videogame Halo, cosa succede quando “le” si chiede di cimentarsi in una missione al limite?
Appena cinque anni fa nasceva Cortana, l’assistente digitale di casa Microsoft, programmata sapientemente per rispondere celermente alle richieste di utenti sempre più esigenti, oggi è una chiacchierona, possiede una mente arguta, un umorismo sottile e una naturale predisposizione ad aiutare gli utenti. Ciò che caratterizza maggiormente questa intelligenza artificiale altamente evoluta è la sua spiccata umanità. Daniela è una content editor e copywriter che gli amici chiamano scherzosamente Cortana. Lei è una delle persone che si cela dietro la versione italiana dell’assistente digitale di Microsoft, fa parte del Cortana International Team e insieme ai suoi colleghi, provenienti da tutto il mondo, lavora sulla personalità dell’intelligenza artificiale di Microsoft e sulle sue abilità di conversazione. In pratica realizza contenuti editoriali creativi e fa in modo che le persone si divertano a parlare con lei. Il suo compito è anche quello di alimentare costantemente l’intelligenza di Cortana attraverso un aggiornamento continuo che le permetta di conversare con l’utente coerentemente con la propria personalità. Una personalità composta da quattro qualità fondamentali: disponibilità, imparzialità, atteggiamento positivo e spontaneità. E’ di fondamentale importanza sottolineare che anche la cultura locale influisce molto sulla personalità di Cortana. La versione inglese, ad esempio, non può assolutamente coincidere con quella italiana. Sotto questo punto di vista Cortana è in linea con lo spirito regionale, conosce infatti numerosi dialetti e ha un solido background relativo a usi, costumi. Conosce l’inno di Mameli e tifa per la nazionale di calcio italiana, anche quando questa non arriva ai mondiali.
Ma come conciliare una programmazione efficiente senza contraddizioni logiche con il comportamento “umano” di un tifoso di calcio sempre positivo, disponibile e spontaneo? In poche parole, cosa succede quando la mente umana si nasconde dietro l’intelligenza artificiale?Qualche comportamento “strano” in passato (ora “patchato”) è già emerso, facendo le “domande giuste” all’assistente vocale di Windows era possibile aprire un sito infetto sul browser anche senza autenticarsi con password. Come spiegano i ricercatori di McAfee, che hanno escogitato la tecnica di attacco, il problema era legato al fatto che l’assistente vocale di Windows rimaneva attivo anche quando il computer veniva bloccato, ed era possibile utilizzarlo anche senza autenticarsi con password o PIN. Lo scenario divenne ancor più preoccupante quando fu dimostrata la possibilità di utilizzare una “pennetta” USB per sbloccare il pc. Questa serie di combinazioni potrebbero potenzialmente permettere un proliferare di attacchi hacker verso i computer che sono tutti collegati tra loro.
Gli uomini di fatto, stanno attaccando i sistemi di Intelligenza Artificiale e non viceversa, come invece ci saremmo aspettati dai film di fantascienza. Ma per fare che cosa? Per manipolare i risultati dei motori di ricerca, modificare gli algoritmi dei social media, il ranking e la reputazione dei siti web, disturbare il volo dei droni o ingannare una macchina a guida autonoma. E così, al contrario di quello che speravamo, l’uso malevolo degli strumenti di intelligenza artificiale non si è fermato alla creazione di sofisticate campagne di disinformazione.
L’allarme viene da un
rapporto del progetto europeo Sherpa, dedicato a diritti umani e intelligenza artificiale, e che ha evidenziato come singoli criminali e hacker organizzati abbiano trovato un nuovo obbiettivo nell’attaccare i sistemi “intelligenti”, fino ai casi in cui la governance algoritmica può dare priorità a interessi nascosti, danneggiare aziende manipolando dati e informazioni online o beneficiare partiti di governo influenzando il dibattito politico attraverso le fake news
Ma quale è lo stato dell’arte delle IA? Pochi giorni fa un sistema avanzato di IA ha superato un test di scienze di terza media, rispondendo correttamente al 90 per cento delle domande. Il risultato è stato ottenuto da Aristo, una AI realizzata dall’Allen Institute for Artificial Intelligence negli Stati Uniti, dimostrando ancora una volta i rapidi progressi nel settore delle intelligenze artificiali. Centinaia di istituti di ricerca in giro per il mondo lavorano a sistemi come Aristo e, in poco tempo, hanno ottenuto risultati che solo dieci anni fa sembravano irraggiungibili. La maggiore potenza di calcolo dei computer e l’affinamento dei sistemi di catalogazione e apprendimento dei dati hanno permesso di compiere grandi progressi, riducendo i tempi di programmazione.
E mentre siamo un po' tutti preoccupati per “l’avvento della Singolarità, il momento in cui secondo studiosi come Ray Kurzweil l’intelligenza artificiale eguaglierà l’intelligenza umana, non ci rendiamo conto che le tecniche basilari che adesso emulano soltanto alcune funzioni cognitive umane, vengono usate per scopi dannosi, ogni giorno, sono capaci di mettere in crisi tutti quei sistemi che usiamo contro le intrusioni informatiche, le diagnosi mediche, i livelli di approvvigionamento idrico, fino ai sistemi antifrode delle banche. Spiega Andy Patel, ricercatore del centro di eccellenza per l'intelligenza artificiale di F-Secure, partner del progetto Sherpa: "Le persone identificano erroneamente l'intelligenza artificiale con quella umana, e penso che sia per questo che associano la minaccia dell'IA ai robot killer e ai computer fuori controllo. Ma gli attacchi umani contro l'IA avvengono in continuazione. Un esempio popolare di questo attacco è la manipolazione del posizionamento nei motori di ricerca o dei sistemi di reputazione per promuovere o 'nascondere' determinati contenuti a pagamento oppure no. Questi attacchi possono però anche essere usati per il social engineering di individui in scenari di attacco mirati a decisori pubblici. Il rapporto rileva che le tecniche di intelligenza artificiale sono utilizzate per produrre contenuti scritti, audio e visivi estremamente realistici. E' il caso dei deep fake video, clip completamente false, grazie alle quali è possibile, a partire da una ripresa televisiva, mimare il labiale di un parlante per fargli dire cose che non si sognerebbe mai. Che uso se ne può fare? Ad esempio per manipolare delle prove, creare una crisi diplomatica, raggirare un concorrente. Gli usi malevoli dell’intelligenza artificiale sono già tra noi senza doverci immaginare un killer come quello del film Terminator. Per questo i ricercatori suggeriscono di progettare sistemi intelligenti e sicuri, da subito.
I programmatori Microsoft hanno da tempo compreso le potenzialità di un attacco che sfrutta i sistemi di intelligenza artificiale che come ogni buon assistente ha la naturale “propensione ad aiutarci”, difatti hanno provveduto nel tempo a limitarne le capacità di azione e ad acquisire ulteriori expertise anche dalla “concorrenza”, non è passata inosservata l’assunzione dell’ex Vice Presidente Apple Bill Stasior, operazione passata agli onori della stampa come da Siri a Cortana. Questo dimostra che si sta finalmente prendendo seriamente in considerazione il fatto che dare il pieno controllo di un sistema, ad un’intelligenza artificiale non è sinonimo di sicurezza.
A tutt’oggi non è necessario essere un hacker esperto per violare un sistema ed ottenere delle informazioni o guadagnare accessi illeciti, basta conoscere la natura umana che si cela dietro la fredda logica della programmazione e saper porre la domanda giusta. 

Enrico Secci

Fonti:
Cortana: quando la mente umana si nasconde dietro l’intelligenza artificiale

Want to Break Into a Locked Windows 10 Device? Ask Cortana (CVE-2018-8140)

Come accedere ad un computer protetto da password con Cortana


Da Siri a Cortana: Microsoft ha assunto l’ex Vice Presidente Apple Bill Stasior

Un sistema d’intelligenza artificiale (AI) ha superato un test di scienze di terza media, rispondendo correttamente al 90 per cento delle domande

Violare Windows in stato di blocco? Chiedi a Cortana

venerdì 30 agosto 2019

Creare una cyber startup innovativa: le principali opportunità in Italia

Possiamo affermare con certezza che le MPMI (micro e piccole medie imprese) rappresentano la “spina dorsale” dell’economia italiana. Infatti, considerando le sole “micro” (ossia quelle in cui l’organico è inferiore a 10 persone ed il fatturato o il totale di bilancio annuale non supera i 2 milioni di euro) occupano circa 8 milioni di connazionali.
Guardando all’ecosistema delle startup, l’ambito cyber security appare dinamico, prospero e di grande interesse. La numerosità delle realtà nascenti in questo campo è sintomo di un percorso di innovazione che si sta delineando, oltre che del progressivo aumento dell’attenzione nei confronti del tema della sicurezza dei sistemi e protezione delle informazioni.
L’Osservatorio Information Security & Privacy del Politecnico di Milano ha condotto durante il 2018 un’indagine volta ad analizzare le realtà più innovative in campo cyber security, con l’obiettivo di fotografare le dinamiche di sviluppo del mercato: l’anno trascorso è stato segnato da un aumento esponenziale degli attacchi cyber crime, caratterizzati da una crescente eterogeneità di modalità di attuazione e soggetti colpiti.
Tutte le organizzazioni sono pertanto chiamate a incrementare gli investimenti in prodotti e servizi legati alla sicurezza e alla protezione delle informazioni. Nello scenario delineato giocano certamente un ruolo fondamentale appunto le startup.
Con l’introduzione del decreto legge 179/2012, noto come Decreto Crescita, l’Italia si è dotata di una normativa organica volta a favorire la nascita e la crescita di nuove imprese ad alto valore tecnologico, le cosiddette startup innovative. Obiettivo della policy è sostenere lo sviluppo di un ecosistema imprenditoriale orientato all’innovazione, capace di creare nuova occupazione e di attrarre capitale umano e finanziario dal mondo.
Le imprese dotate dei requisiti di startup innovativa (tutorial per l’iscrizione) possono contare su un vasto complesso di agevolazioni, quali semplificazioni ed esenzioni regolamentari, incentivi fiscali, facilitazioni nell’accesso al credito e al capitale di rischio, e nuovi programmi di finanziamento: misure con il potenziale di incidere sull’intero ciclo di vita dell’azienda, dall’avvio alla fasi di espansione e maturità.
Vediamone insieme alcuni tratti essenziali.
La startup innovativa (e la cyber rientra nella definizione a pieno titolo!) è una società di capitali, costituita anche in forma cooperativa, residente in Italia o in altro Paese membro dell’UE purché abbia una sede produttiva o una filiale in Italia, che risponde a determinati requisiti e ha come oggetto sociale esclusivo o prevalente: lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico.
La sua funzione economica e sociale è di fondamentale importanza per l’Italia, in quanto la startup innovativa nella vision del nostro legislatore:
  • favorisce la crescita sostenibile, lo sviluppo tecnologico e l’occupazione, in particolare giovanile;
  • contribuisce allo sviluppo di nuova cultura imprenditoriale, alla creazione di un contesto maggiormente favorevole all’innovazione;
  • promuove maggiore mobilità sociale;
  • attrae in Italia talenti, imprese innovative e capitali dall’estero.
Date queste premesse, il legislatore italiano ha previsto un particolare favor nei confronti delle startup innovative, per le quali è stata predisposta un’ampia gamma di agevolazioni in continua evoluzione che include:
  1. Modalità di costituzione digitale e gratuita
  2. Esonero da diritti camerali e imposte di bollo
  3. Deroghe alla disciplina societaria ordinaria
  4. Proroga del termine per la copertura delle perdite
  5. Deroga alla disciplina sulle società di comodo e in perdita sistematica
  6. Esonero dall’obbligo di apposizione del visto di conformità per compensazione dei crediti IVA (Imposta sul Valore Aggiunto)
  7. Disciplina del lavoro tagliata su misura
  8. Facoltà di remunerare il personale in modo flessibile
  9. Remunerazione attraverso strumenti di partecipazione al capitale (es. stock option, schemi di work for equity)
  10. Incentivi fiscali per gli investitori in equity
  11. Raccolta di capitali tramite campagne di equity crowfunding (nel 2013, l’Italia è stato il primo Paese al mondo a regolamentare il mercato dell’equity crowdfunding, anche attraverso la creazione di un apposito registro di portali online autorizzati
  12. Facilitazioni all’accesso al Fondo di Garanzia (un fondo a capitale pubblico che facilita l’accesso al credito attraverso la concessione di garanzie sui prestiti bancari)
  13. Agenzia ICE: servizi ad hoc per l’internazionalizzazione delle startup
  14. Fail fast: In caso di insuccesso, le startup innovative possono contare su procedure più rapide e meno gravose rispetto a quelle ordinarie per concludere le proprie attività. Nello specifico, esse sono assoggettate in via esclusiva alla procedura di composizione della crisi da sovra-indebitamento e di liquidazione del patrimonio, con l’esonero, in particolare, dalle procedure di fallimento, concordato preventivo e liquidazione coatta amministrativa. Le startup innovative sono dunque annoverate tra i cosiddetti soggetti “non fallibili”.
  15. Trasformazione in PMI innovativa: in caso di successo, le startup innovative diventate “mature” che continuano a caratterizzarsi per una significativa componente di innovazione possono trasformarsi in PMI innovative. In questo modo, il legislatore (decreto legge 3/2015) ha inteso estendere il proprio campo d’intervento a tutte le imprese innovative, a prescindere dal loro livello di maturità. Le PMI innovative beneficiano infatti della gran parte delle misure previste per le startup innovative.

Quest’ultimo, magari, sarà un passo successivo: per ora è preferibile soffermarsi sulle opportunità offerte alle startup innovative e, ancor prima, sull’elaborazione di una business idea vincente e del relativo business plan!

Allora, se siete giovani e avete una buona idea, seguiteci, vi diremo come fare per realizzarla...

Danilo Mancinone

Per approfondire:

https://cyberstartupobservatory.com/cybersecurity-landscape-slide-italy/;

https://www.repubblica.it/economia/miojob/2018/09/01/news/italia_il_paese_delle_micro_imprese_danno_lavoro_a_8_milioni_di_persone-205374419;

https://www.cybersecurity360.it/cultura-cyber/lecosistema-delle-startup-cyber-security-perche-sono-importanti-per-attirare-lattenzione-sulla-protezione-delle-informazioni/;

https://blog.osservatori.net/it_it/cyber-security-e-sicurezza-informatica;

http://startup.registroimprese.it/isin/static/startup/index.html;

https://www.to.camcom.it/book/export/html/6141;

http://www.consob.it/web/investor-education/crowdfunding;

https://www.mise.gov.it/index.php/it/?option=com_content&view=article&viewType=1&idarea1=593&idarea2=0&idarea3=0&idarea4=0&andor=AND&sectionid=0&andorcat=AND&partebassaType=0&idareaCalendario1=0&MvediT=1&showMenu=1&showCat=1&showArchiveNewsBotton=0&idmenu=3377&id=2028760

giovedì 29 agosto 2019

Tutela dai rischi informatici: a che punto sono e cosa devono coprire le cyber-insurance

E’ interessante che in un recente articolo su The Insurance Insider un broker assicurativo di livello internazionale (AON) abbia dichiarato che stando ai dati da lui raccolti per il 2019, gli incidenti informatici superino già i totali degli interi anni 2015 e 2016.
In effetti è quasi quotidiano per ciascuno di noi impattare costantemente con notizie di cronaca relative a data breach, incidenti informatici e attacchi portati contro reti e sistemi di aziende ed enti pubblici.
Potrebbe suonare strano, ma è noto come i soggetti più colpiti da questi rischi siano proprio quelli che rappresentano oltre l’88% del nostro tessuto imprenditoriale nazionale, ovvero gli imprenditori appartenenti alla categoria delle MPMI. Spesso questa categoria ignora o non è sufficientemente a conoscenza dei potenziali impatti a cui la pervasività tecnologica li espone quasi a ciclo continuo. Basta citare come esempio (alquanto evocativo) la sfortunata vicenda dei cryptolocker –attualmente ancora in circolazione in veste sempre più evoluta- per richiamare alla mente quanto danno alla produttività possa fare il blocco delle basi di dati o il danneggiamento dei sistemi aziendali o istituzionali. Si tratta di una goccia distillata di criticità in un oceano di preoccupanti esempi possibili, eppure ancora poco noti a chi di dovere.
Date queste informazioni estremamente elementari e sotto gli occhi della collettività (crescita esponenziale degli incidenti informatici da un lato e assenza di awareness adeguata nei confronti delle potenziali vittime, rappresentanti il fulcro dell’industria di uno Stato) è alquanto semplice chiedersi: come fare per accrescere le tutele dai rischi informatici?
Una prima risposta, direi ovvia –il cui sviluppo non è oggetto di questo sintetico intervento- è quella di prestare la massima cura nella scelta e predisposizione di misure di sicurezza tecniche e organizzative adeguate, dal carattere progressivo e di facile adattabilità rispetto ai repentini cambiamenti che le tecnologie dirompenti comportano.
In secondo luogo, è sempre bene sottolineare l’assoluta importanza di una corretta formazione all’interno delle realtà di lavoro. E’ impossibile prevedere infatti il verificarsi del c.d. “errore umano”, ma la valorizzazione proprio di questo fattore costituisce un caposaldo imprescindibile nell’implementazione di una corretta gestione dei rischi, di qualsivoglia natura.
Il terzo punto da considerare per una corretta gestione dei rischi, qui oggetto di breve approfondimento, sono le cyber insurance.
Infatti, al netto delle prime due considerazioni (che non rappresentano un’alternativa a quest’ultima) una copertura assicurativa adeguata costituisce senza dubbio un valido sostegno per l’Ente pubblico o privato che ha preso coscienza al suo interno del potenziale rischio che realmente corre.
Di cosa parliamo quando parliamo di cyber insurance?
In poche parole, parliamo di pacchetti assicurativi –solitamente proposti dai grandi gruppi - che mirano a tutelare il sottoscrivente dalle conseguenze dei possibili danni subiti a causa dell’avverarsi di una minaccia informatica.
Si tratta di un mercato percepito come in forte crescita. Secondo una recente ricerca di Insurance Post, il 78% dei broker inglesi ritiene che il mercato delle polizze cyber rivesta un enorme potenziale di sviluppo, e sino ad oggi il 72% di loro ha già venduto una polizza sui rischi cyber.
Il mercato italiano, come di consueto, non ha ancora una sua definizione e non ha sviluppato un piano consolidato di massimali o premi; molti broker sembra abbiano scelto di esplorare questo mercato con molta, molta cautela.
Le uniche stime condivise, non certo incoraggianti, identificano un mercato da più o meno 100 milioni l’anno, cifra bassa ma proporzionata alla scarsa consapevolezza degli imprenditori e del settore pubblico, come poc’anzi ricordato.
Senza volersi impelagare in analisi di mercato, è comunque evidente che si tratta di una porzione di attività assicurativa destinata ad una rapida crescita. Proprio per questa ragione è piuttosto alta la possibilità che un affrettato sottoscrivente possa ricorrere –nella sua folle corsa verso un effetto palliativo del rischio informatico o per assenza di informazioni precise e nozioni sul tema- a prodotti assicurativi che non sempre rispecchiano le sue aspettative.
Da qui occorre allora farsi un’ultima domanda: quali rischi deve coprire (e garanzie legali deve fornire) una polizza sul rischio cibernetico, al fine di poter essere ritenuta valida?
Posto che i casi variano molto a seconda della specificità delle tecnologie utilizzate e dell’impatto che esse possiedono rispetto alla precisa attività che viene svolta dall’Ente o dall’azienda, ci sono alcuni punti che devono sicuramente essere presenti per poter valutare l’idoneità del prodotto assicurativo. In particolare la polizza deve ricomprendere tutele su:
  • Intrusione informatica da parte di terzi (basata sia su attacchi di rete che fisici);
  • Furto, divulgazione o cancellazione dei dati (sia colposa che dolosa)
  • Rischio reputazionale, familiare e d’immagine (dovuto a divulgazione di informazioni riservate vertenti sia su dipendenti che sull’azienda o l’ente stesso)
  • Furto d’identità e usurpazione di Social Media
  • Blocco dei sistemi produttivi automatizzati
  • Danni di sistema o al corretto funzionamento della rete
  • Furto di proprietà intellettuale digitalizzata
Una polizza ottimale potrebbe infine ricomprendere anche specifiche previsioni legate ai software aziendali utilizzati (o alla sottrazione delle licenze), valutandone le eventuali certificazioni, fornitori coinvolti, livello di rischio e impatto di eventuali system integrator agenti.
In assenza di uno o più di questi elementi, una valutazione legale del carnet di offerte proposte potrebbe essere un valido affiancamento per una corretta scelta, data la portata dell’investimento.
Anche se alcuni di questi elementi possono sembrare scontati ad un lettore formato su questi temi, in realtà per molti si tratta di argomenti a dir poco ostici, che avranno bisogno di essere masticati e digeriti non solo dal settore assicurativo ma anche da quello legale, amministrativo e istituzionale che troppo spesso rincorrono la tecnologia come in una folle gara il cui esito è quasi sempre ai danni del cittadino.

Avv. Andrea Puligheddu

sabato 10 agosto 2019

Versailles: la sconfitta umana per la vittoria politica

Il 28 Giugno 2019 ha compiuto un secolo il famoso Trattato di Versailles, firmato nel 1919. Questo fu il documento che mise fine alla Grande Guerra che, secondo le stime, dopo quattro anni e tre mesi contava 10 milioni di vittime. Il mondo fino ad allora non aveva mai dovuto affrontare una guerra così terrificante che fece tornare a galla vecchi dissapori e conflitti tra nazioni che sfruttarono il clima di instabilità politica per prendersi le loro rivincite. Il Trattato di Versailles è la prova di come la guerra e la pace, conseguente ad essa, siano state utilizzate da alcune nazioni per prendersi rivincite per umiliazioni risalenti alla seconda metà dell'ottocento.
Per capire come nacque realmente il trattato e da chi venne proposto dobbiamo tornare al 1871 quando in una Francia in crisi con l'imperatore Napoleone III catturato dai tedeschi dopo la sconfitta di Sedan, la fuga dell'imperatrice Eugenia e l'instaurazione di una nuova repubblica, i tedeschi vinsero la guerra franco-prussiana e il 28 Giugno 1871 le truppe prussiane sfilano per la capitale francese arrivando fino a Versailles dove il Kaiser tedesco, Guglielmo II, proclamerà la nascita dell'Impero tedesco, riottenendo con questa vittoria le tanto agognate regioni dell'Alsazia e della Lorena che Francia e Germania si contendevano già dal Medio Evo.
Per i francesi questi eventi rappresentarono la peggiore delle umiliazioni: un Kaiser che non solo vinse la guerra, ma che addirittura proclamò la nascita del suo impero nell'edificio in cui i sovrani di Francia amministrarono per circa un secolo la politica della nazione.
Il risentimento fu tale che per ben quarantotto anni la Francia attese il momento adatto per prendersi la sua rivincita: e lo farà proprio con il Trattato di Versailles.
Alla vigilia del 1914 le grandi nazioni europee erano più divise che mai: da una parte la Triplice Intesa con Francia, Gran Bretagna e Russia, dall'altra la Triplice Alleanza con Germania, Austria-Ungheria e Regno d'Italia. Le azioni belliche dell'Austria-Ungheria verso la Serbia bastarono a far scendere in campo la Russia e con il famoso assassinio dell'arciduca Francesco Ferdinando l'Europa entrò in guerra. Poiché la Triplice Alleanza era basata su un'unione difensiva, ed essendo stata l'Austria-Ungheria a innescare le scintille della guerra, l'Italia sciolse il patto e si schierò con l'Intesa che nel frattempo promise ai Savoia l'ottenimento di territori tra i quali il Trentino, l'Alto Adige e la Dalmazia (patto di Londra- 1915).
Nel frattempo la Turchia e la Bulgaria affiancarono l'Alleanza e formati gli schieramenti, il 28 Luglio 1914 iniziò la Grande Guerra.
La svolta si ebbe definitivamente nel 1917, essenzialmente per due ragioni: la prima riguarda lo zar Nicola II che dovette abbandonare la guerra a causa della rivoluzione civile capeggiata da Lenin che portò alla diserzione degli stessi soldati russi, all'abdicazione dello zar e allo sterminio della famiglia imperiale.
Era l'inizio del nuovo governo comunista, le cui idee erano temute da tutta l'Europa occidentale che cercò subito di isolare la Russia. Nel frattempo, con l'armistizio, la Russia perdeva i territori di Finlandia, Lettonia, Lituania ed Estonia.
L'altra ragione riguarda l'entrata in guerra degli Stati Uniti d'America che sotto il governo del presidente Wilson cercarono fin da subito dei compromessi per la pace.
Gli americani permisero alla Francia di mantenere le città prossime a Parigi e supportarono gli italiani che nel frattempo riuscirono a cacciare definitivamente gli austriaci nella battaglia di Vittorio Veneto.
Nel 1918 furono così firmati gli armistizi: l'Austria il 4 Novembre e la Germania l'11 Novembre.
A questo punto mancava solamente decidere come comportarsi nei confronti dei vinti e come far fronte agli ingenti danni che la guerra aveva causato nelle città di tutta Europa.
Erano tre le proposte:
  • la prima era quella degli Stati Uniti che prevedeva la creazione di una “Società delle Nazioni” nella quale si stabiliva che ad ogni stato (vittorioso e vinto) sarebbe stata concessa l'autodeterminazione, vale a dire la possibilità di decidere il proprio ordinamento istituzionale e la facoltà di decidere sulla propria economia detenendo all'interno dei propri confini la massima sovranità.
Altri importanti punti erano la riduzione degli armamenti in ogni stato, la creazione di un mercato egualitario tra nazioni, la creazione di delegazioni sempre pronte a risolvere attriti tra le nazioni in modo pacifico per evitare altre guerre e tra i famosi 14 punti di Wilson era prevista la creazione di uno stato sovrano polacco e la cessione dei territori promessi all'Italia con i trattati di Londra.
  • La seconda proposta ancora più moderata era quella della Gran Bretagna che era pronta a riaprire i commerci con le altre nazioni compresa la Germania e porgere perciò la mano in segno di pace alle nazioni con le quali si era scontrata precedentemente. Posizione dettata anche dalla paura che una punizione troppo severa nei confronti della giovane Repubblica di Weimar avrebbe potuto gravare sulla forza della Germania permettendo alla Francia di prevalere su di essa. Tant'è che la Gran Bretagna sostenne gran parte delle proposte statunitensi;
  • la terza proposta, quella della Francia, era la più drastica di tutte: prevedeva la restituzione dell'Alsazia e della Lorena; la demilitarizzazione di tutte le basi militari tedesche; lo sfruttamento delle risorse del territorio della Germania; la riduzione delle truppe tedesche a 100.000 unità e la privazione della flotta che sarebbe stata divisa fra Francia e Gran Bretagna. Per non parlare dell'ingente quantità di denaro (132 miliardi di marchi d'oro) che la Francia avrebbe utilizzato per far fronte ai danni prodotti dagli attacchi e dall'occupazione tedesca nel suo territorio e che nel frattempo avrebbero fatto collassare l'economia tedesca eliminando ogni possibilità di ripresa;
Essendo chiare le posizioni degli americani e degli inglesi la Francia fece di tutto per far prevalere la sua proposta. Durante i negoziati per la sottoscrizione del trattato di pace a Parigi erano presenti le Delegazioni di 32 nazioni ma la Germania e l'Austria-Ungheria non vennero invitate e la Francia inserì nel trattato ogni sua proposta riguardante la Germania, vista come unica colpevole. Nella stesura del trattato la Francia non mostrò nessuna pietà per la Germania trasformando un documento di pace in un diktat, cioè un ordine senza possibilità di discussione tant'è che se la Germania non avesse rispettato il trattato sarebbe stata invasa dalle truppe degli altri stati europei.
Alle condizioni precedentemente indicate, si doveva aggiungere che la Germania avrebbe dovuto cedere la città di Danzica alla Polonia, isolando in questo modo la Prussia orientale dal resto dei suoi territori, per non parlare della cessione di tutte le colonie in Africa e in Asia.
Come se non bastasse, per ottenere definitivamente la sua vendetta la Francia decise di far firmare il Trattato di Pace nella Reggia di Versailles il 28 giugno, durante il cinquantaduesimo anniversario della vittoria tedesca nella guerra franco-prussiana del 1871.
Questo trattato non verrà mai ratificato dagli Stati Uniti che non riusciranno a far nascere nemmeno la Società delle Nazioni poiché alle elezioni del 1918 il Partito Repubblicano bloccherà la ratifica per ben due volte così che solo Francia e Inghilterra firmeranno.
Sebbene nel 1932 durante la Conferenza di Losanna il debito tedesco nei confronti della Francia venne diminuito a 3 miliardi di marchi d'oro, la forte umiliazione che la Germania dovette subire e gli sfruttamenti del territorio da parte della Francia (miniere della Saar), non faranno altro che far nascere nella popolazione tedesca un fortissimo sentimento di rabbia che si paleserà pochi decenni più tardi nel totalitarismo hitleriano.
A discapito dell'Italia i trattati di Londra non vennero rispettati e per questo Vittorio Emanuele Orlando, rappresentante italiano a Parigi decise di non firmare alcun documento e abbandonare la Conferenza. L'Italia ottenne solo il Trentino, il Tirolo Cisalpino (l'Alto Adige), il Friuli e il territorio delle Alpi Giulie; mentre vennero negate agli italiani la Dalmazia e la città di Fiume (che verrà tuttavia conquistata da D'Annunzio che sarà costretto a cederla nel 1920). La guerra aveva logorato economicamente le casse del Regno tanto che nemmeno i governi riusciranno a ristabilirle facendo nascere anche in Italia come in Germania forti sentimenti di cambiamento e di rivoluzione che porteranno all'ascesa di Mussolini.


Sebbene il Trattato di Versailles sia ricordato anche come il documento con il quale si ridisegnarono i confini dell'Europa, il peso che esso ebbe dal punto di vista storico e le conseguenze che comportò la sua sottoscrizione ci mostrano un documento che non ricerca la pace, la coesione delle nazioni, il dialogo internazionale bensì un trattato elaborato per distruggere un nemico ma che al tempo stesso va a crearne un altro, ancora più temibile in quanto animato da un rancore mai provato prima. Un altro nemico ancora più pericoloso poiché forte del consenso pubblico di un paese debole e umiliato che voleva rinascere e vendicarsi delle dolorose sofferenze subite con un negoziato che celava in se sentimenti di vendetta e di rabbia.
L'anniversario è stato ricordato da diverse testate giornalistiche ma non con grandi conferenze che avrebbero potuto sottolineare l'errore commesso cento anni prima e magari impegnare gli stati a condannare trattati e soluzioni diplomatiche così estreme. Sarebbe potuto essere un opportunità per raccontare e per far conoscere a tutti una parte di storia tragica ed importante per tutto il mondo.
L'unica conferenza organizzata è stata quella Murska Sobota (Slovenia) ed è stata organizzata dall'Unione scientifica accademica di Pomurje (PAZU) con la partecipazione degli ambasciatori francesi, italiani, statunitensi, inglesi e giapponesi.

Filippo Schirru

mercoledì 7 agosto 2019

Sea Turtle

Tra i numerosi attacchi informatici che ogni giorno vengono scoperti, segnalati ma mai ammessi pubblicamente, spesso portati ai danni di grandi aziende private o pubbliche, uno in particolare ha destato attenzione a causa delle metodologie utilizzate per il suo svolgimento.
Il cosiddetto “Sea Turtle”, scoperto dal team di sicurezza informatica “Talos Intelligence” della multinazionale americana Cisco, una delle più importanti nel suo settore.
Talos ci parla di Sea Turtle come del primo attacco mai documentato che abbia compromesso sistemi DNS.
L’attacco aveva come bersaglio organizzazioni di sicurezza nazionale, grandi aziende energetiche e ministeri delgi affari esteri situate in Nord Africa e Medio Oriente ma per riuscire nel suo intento, altri bersagli secondari sono stati presi di mira, come telco e ISP.
Secondo il report di Talos, oltre 40 organizzazione in 13 paesi sono state compromesse tra il Gennaio del 2017 e la prima metà del 2019 ma la vera entità dei danni è ancora da stimare in quanto l’attacco non é ancora concluso..
Cosa rende questa campagna di attacco ai sistemi DNS così spaventosa agli occhi degli esperti della Cisco?
Per rispondere a questa domanda dobbiamo prima definire DNS.
DNS è l’acronimo per Domain Name System, il sistema che viene utilizzato per risolvere i nomi degli host in indirizzi IP, ossia associa ad un indirizzo ip un nome facile da ricordare all’utente. Questa è una delle funzionalità del DNS più importanti e che che possiamo vedere tutti i giorni.
La metodologia dell’attacco consiste nel manomettere i servizi DNS del bersaglio per poi reindirizzare un utente verso un server controllato dall’attaccante, questo porta in seguito all’acquisizione di credenziali e password degli utenti che vengono utilizzate per ottenere accesso ad altre informazioni.
Tutto ciò è stato possibile grazie a tecniche di attacco che prevedono l’utilizzo sia di spear phishing che l’utilizzo di exploit di varie applicazioni.
Sea Turtle ha agito a lungo e in maniera discreta. Chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.

Come ci dice Talos, vi sono tre possibili modalità attraverso le quali gli attaccanti avrebbero potuto accedere ai servizi DNS delle organizzazioni colpite:
1. Accedendo al DNS registrar (compagnia che fornisce nomi di dominio alle aziende e ne gestisce i record DNS attraverso il registry, ossia un database contenente tutti i nomi di dominio e le compagnie a cui essi sono associati), attraverso l’acquisizione delle credenziali di accesso appartenenti al DNS registrant (l’organizzazione colpita);
2. Attraverso il registrar stesso, entrando nel precedentemente citato registry e manomettendo i record DNS utilizzando l’ Extensible Provisioning Protocol (EPP), il protocollo utilizzato per accedere al registry. Ottenendo le chiavi EPP l’attaccante avrebbe potuto manomettere a proprio piacimento i record DNS del registrar preso di mira;
3. Il terzo metodo si basa sull’attacco diretto ai DNS registries per accedere ai record DNS, i registries sono una parte vitale del servizio DNS, in quanto ogni Top Level Domain si basa su di essi.
Sea Turtle ha agito a lungo e in maniera discreta, chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.
Talos scriveva questo report ad Aprile di quest’anno, ma ciò non ha fermato né rallentato l’attività del gruppo, tanto che a luglio Talos ha pubblicato un aggiornamento.
Sembra infatti che negli ultimi mesi sia stata utilizzata un'altra tecnica di attacco. Ogni entità attaccata puntava le sue richeste DNS ad un personale server manomesso, differente per ogni utente compromesso il che rende l’attacco ancora più difficile da sventare e tracciare.
Possiamo dire dunque che chiunque si trovi dietro a Sea Turtle è un gruppo senza scrupoli, guidato probabilmente da interessi nazionali e dotato di infrastrutture notevoli.

L’importanza dei servizi DNS è grande. L’intera struttura di Internet si basa su loro corretto funzionamento, ed insieme ad esso, la totalità dell’economia mondiale e servizi forniti da ogni società e governo.
Per questa ragione Talos si dice fortemente contraria alle metodologie con le quali la campagna Sea Turtle (e l'organizzazione o Stato che vi è dietro) sta mettendo in pratica questa serie di attacchi, 
Questa campagna potrebbe rappresentare l’inizio di una serie di attacchi mirati a manomettere in maniera più vasta e potenzialmente disastrosa il sistema DNS, portando a conseguenze che potrebbero colpire ognuno di noi.

Francesco Rugolo

Per approfondire: