Di Agostino Convertino:
Intervista a Pietro Di Maria – L’uomo che sussurrava al silicio, pugliese di Brindisi, è uno dei più famosi hacker italiani. Indipendent Cybersecurity Advisor ed Ethical Hacker, interverrà al CONFSEC – conferenza on-line sulla sicurezza informatica – il 7 e l’8 ottobre prossimi. Ci racconta di sicurezza informatica, di dark web, di privacy, di conti correnti ripuliti e molto altro.
D: La parola hacker si presta spesso ad interpretazioni fantasiose alimentate da certa filmografia americana. Gente strana ai margini della società, capace di violare qualunque sistema di sicurezza, che vive in modo bohemien e cibandosi solo di prodotti da forno a microonde. Le cose non stanno proprio così: vogliamo tracciare le differenze tra l’etichal hacker e il cybercriminale?
Il prefisso etichal compare prima della parola hacker proprio per distinguere la mia categoria da quella del criminale informatico. L’hacker è semplicemente una persona dotata di grande curiosità intellettuale che cerca di individuare le falle di un sistema informatico per migliorarlo e prevenire attacchi esterni. Che sono perpetrati dal delinquente informatico Il cui unico scopo è essenzialmente predatorio.
D: Il 7 e l’8 ottobre prossimi lei sarà impegnato in un importante evento di sicurezza informatica. Che cos’è il CONFSEC, a chi si rivolge, cosa fare per partecipare?
Si tratta di una conferenza sulla sicurezza informatica di grande respiro che punta a radunare i migliori talenti del settore che colgono un’opportunità di confronto ma soprattutto è una base di incontro col grande pubblico e con la sfera imprenditoriale sempre più sensibile all’argomento. Lavoriamo per rappresentare la sicurezza informatica come un percorso di consapevolezza più che di acquisizione di tecnologie incomprensibili e spesso inutili o inefficaci per le reali esigenze delle aziende. Tutti possono partecipare al CONFSEC semplicemente iscrivendosi all’evento in pochi secondi (link: https://confsec.it/iscrizione-webinar/) e seguire, comodamente da casa o dall’azienda, in tempo reale. Quello che mi piace sottolineare, con una punta di orgoglio, è il contesto meridionale dell’appuntamento riconosciuto come un’eccellenza del Sud Italia capace di operare in un contesto planetario al di là dei luoghi comuni che vorrebbero le nostre intelligenze più brillanti in fuga verso altri contesti.
D: in particolare, lei tratterà di un caso di attacco informatico che, per le sue caratteristiche, ha suscitato grande clamore per le implicazioni sociali ed istituzionali. La violazione, durante la scorsa estate, del sito della Regione Lazio. Cos’è successo? Come si è risolta la vicenda?
È ormai un anno e mezzo che un gruppo di pirati informatici imperversa tra le criticità dei siti istituzionali riuscendo ad “oscurare” i dati contenuti nei siti allo scopo di richiedere un riscatto per riattivare la funzionalità degli stessi. Non esiste una valenza etica in queste azioni criminali: si colpisce indiscriminatamente anche se parte dei dati riguardano la gestione dei vaccini anti-covid o flussi di informazione della salute pubblica. Si paralizza il sistema obbligando le vittime a pagare. Quello che è successo al sito della Regione Lazio presenta poi un’altra singolarità i cui contorni non sono stati ancora chiariti. Ufficialmente, sarebbe stata individuata un’area di back-up (salvataggio dei dati, ndr) che consentirebbe di ripristinare il sito senza cedere al ricatto dei pirati ma, ad oggi e dopo diverse settimane di disagio, ampie aree del sito sono inaccessibili. La questione sta riprendendo quota a livello politico e giornalistico: nei prossimi giorni sarò ospite di Quarta Repubblica e del celebre giornalista televisivo Mediaset Nicola Porro per rispondere alle legittime curiosità del conduttore. Ma al di là delle vicende laziali, la casistica dei ricatti informatici è impietosa: l’imprenditore che non paga il riscatto vede i suoi archivi sensibili e tutta la vita aziendale alla mercé di chiunque con conseguenze facilmente immaginabili.
D: qual è il livello di sensibilità della piccola e media impresa italiana circa il fenomeno della cybercriminalità? La nostra classe imprenditoriale ha le idee chiare sui rischi che corre? Quali sono le mosse da compiere per acquisire la necessaria tranquillità operativa?
Purtroppo la sensibilità della PMI italiana è scarsissima in materia, per lo più legata al fatalismo della serie fra tante aziende devono attaccare proprio la mia? In realtà esistono due tipi di attacco informatico a mezzo malwere (un virus, ndr): uno mirato a specifiche realtà particolarmente appetibili per i cyber-criminali e l’altra di tipo massivo inondando centinaia di migliaia di indirizzi mail con messaggi infetti. È come la pesca a strascico: issando le reti molti pesciolini resteranno impigliati. Basta un attimo di distrazione per ritrovarsi proiettati in un incubo. E questo accade sempre più spesso anche per i privati che, convinti di dialogare con il proprio istituto di credito, forniscono dati sensibili che consentiranno ai pirati di ripulire i loro conti correnti. Gli indirizzi mail sono reperibili in moltissimi modi (in particolare facebook) e si calcola che le organizzazioni criminali arrivino a comprarne fino a mezzo miliardo per volta. Occhi aperti!
D: come si colloca il legislatore di fronte a questa difficile realtà? La nostra polizia è adeguatamente attrezzata per difendere aziende e cittadini?
Le difficoltà sono enormi. Le istituzioni incaricate della sicurezza nel web, per quanto tecnicamente eccezionali, sono da un lato assorbite nel contrasto al terrorismo internazionale, pedo-pornografia, cyber-bullismo ecc. con comprensibile dispendio di energie; dall’altro scontano qualche carenza normativa che si riflette, inevitabilmente, sui risultati cui va ad aggiungersi pure il peso della burocrazia italiana. È una fattispecie molto complicata.
D: uno degli acronimi in evidenza negli ultimi tempi è OSINT (Open Source Intelligence, ndr). Open source richiama, istintivamente, una dimensione collettiva, solidale e gratuita del web. Ma cosa si cela veramente dietro questa sigla?
È materia di uno dei mie due interventi al CONFSEC. In realtà non è altro che un lavoro di ricerca che si effettua sulle persone partendo da dati pubblici. È un po’ come far annusare un indumento di una persona scomparsa ad un cane molecolare: partendo dal nome e passando al setaccio la miriade di informazioni personali presenti sul web si può tracciare un profilo in ambito di social engineering da utilizzare per scopi perfettamente legali. L’altra faccia della medaglia è che questi stessi dati sono fruibili anche dai pirati del web. È un lavoro estremamente creativo, non facile, che si ammanta di un certo fascino per il termine intelligence. Lo spiegherò nel dettaglio durante il CONFSEC.
Per ovvie ragioni di spazio, siamo costretti ad interrompere una conversazione affascinante che apre scenari inaspettati per la maggior parte di noi. Pietro di Maria, che ringraziamo per la grande disponibilità, si è rivelato un interlocutore perfetto per la semplicità con cui svela i misteri dell’informatica a noi comuni mortali. Prossimamente sarà nostro ospite Lino Fornaro, organizzatore del CONFSEC.
