Come esperto di sicurezza delle informazioni si occupa, sin dal 1985, di crittografia e tecniche di protezione delle informazioni, sicurezza dei sistemi informatici e telematici, crimini ad alta tecnologia, aspetti socioculturali di rischio nelluso delle nuove tecnologie. In particolare collabora con il Comando Generale e con il Raggruppamento Operativo Speciale dellArma dei Carabinieri nello svolgimento di attività investigative e di contrasto della criminalità informatica, fa parte del Comitato Scientifico costituito presso la Unità di Analisi del Crimine Informatico della Polizia delle Telecomunicazioni, è Perito del Tribunale Penale di Roma in materia di criminalità informatica.
È professore di Laboratorio di criminologia e criminalistica (criminalità informatica) nel corso di laurea in Scienze dellinvestigazione dellUniversità dellAquila, e docente nel Master universitario di II livello in Gestione della Sicurezza Informatica per l'impresa e la Pubblica Amministrazione dellUniversità di Roma Uno La Sapienza.
Come ludologo è attivo nei settori dei giochi dintelligenza, di parole, enigmistici, logici e matematici, di ruolo, di simulazione, al computer. In tali ambiti si è occupato specialmente di musica al calcolatore, gioco artificiale (in particolare scacchi al computer), ludolinguistica informatica, gioco di ruolo telematico, simulazione e realtà virtuale, computergraphic. Ha collaborato come supervisore scientifico alla traduzione e all'adattamento in italiano dei dialoghi di film di fantascienza di grande successo quali Johnny Mnemonic (1995), The Net (1995), Guida Galattica per autostoppisti (2005).
Tu sei un grande esperto di crittografia. Come hai cominciato a studiare questa materia? E' stato per predisposizione naturale, per semplice curiosità, o qualcuno ti ha suggerito questa strada?
E' una curiosità giovanile, direi, che poi è diventata lavoro. Ho iniziato ad occuparmi di crittografia per passione, ai tempi del liceo, poi ho approfondito sempre di più il tema anche recuperando vecchi libri, mi affascinava all'inizio tutta la parte storica e poi dopo pochi anni è diventato parte del mio lavoro perchè occupandomi di sicurezza delle informazioni la crittografia gioca un ruolo fondamentale.
Nella crittografia cosa trovi di emozionante?
Bella domanda. Diciamo due cose: nella crittografia, quella classica, quella storica, l'aspetto misterioso, taciuto: per molti secoli, non si è mai parlato della crittografia anche se ha giocato un ruolo veramente fondamentale nella storia dell'Uomo. Ci sono stati Imperi che sono caduti, guerre che sono state vinte o perse o non combattute per la scoperta di messaggi o la non scoperta di messaggi. E' sempre stata una disciplina al confine con l'esoterismo, con la magia, tutto molto ammantato di mistero, tutto bohemien come aspetto investigativo, si lavorava di notte, in segreto: un aspetto molto interessante.
La crittografia moderna, oggi è una branca della matematica, una disciplina rigorosa, nasce quando Shannon formalizza la teoria dell'informazione, ci sono equazioni che la regolano, ci sono procedimenti rigorosi e matematici, che però ancora oggi hanno sotto sotto un che di empirico, perchè la matematica della crittografia non è ancora ben compresa, e molte cose vengono fatte perchè ai crittologi sembrano migliori di altre, sulla base di sensazioni o di esperienze, che non hanno una base dimostrata, e questo mi sembra molto divertente oltre che interessante
L'intervista continua a pagina 2
[pagebreak]
Scrivere racconti di fantascienza, è un'altro delle tue innumerevoli interessi. Quando e come scrivi? Tranquillo nella tua stanza con un progetto ben preciso, o più di getto, di improvvisazione?
Assolutamente di getto. Non solo quando scrivo fantascienza ma anche quando scrivo cose serie come saggistica, libri o pure articoli. Raramente mi faccio uno schema preciso in mente di ciò che voglio ottenere e quasi sempre inizio a scrivere e poi arrivo da qualche parte senza sapere consciamente perchè: chiaro che a livello inconscio magari un percorso c'era già, ma non era percepito in anticipo, quindi si sviluppa quasi a mia insaputa mente scrivo.
Il web si sta evolvendo rapidamente. In particolare, stanno riscuotendo molto successo servizi come IGoogle o MyYahoo!, che consentono di organizzare una propria home page personale, con notizie, informazioni, curiosità. L'utente ha una sua “fettina” di sito, che può organizzare come vuole. Ma allo stesso tempo, se ci pensi bene, questo significa che è possibile sapere chi siamo, come siamo, quali cose ci piacciono e quali no, quali argomenti sentiamo importanti e quali tralasciamo: un insuperabile strumento di controllo sull'utente. Come si concilia secondo te, come esperto di sicurezza delle informazioni, questo metodo di lavoro con la privacy degli utenti, dobbiamo rinunciare a una delle due cose?
Penso che in realtà stiamo riscoprendo un problema molto antico, antico quanto l'Uomo. La volontà di esibizionismo va in conflitto con le aspirazioni alla riservatezza, nel senso che se io autonomamente parlo di me e racconto cose mie in pubblico, poi non posso lamentarmi se il pubblico sa qualcosa di mio, perchè l'ho detto io. Questo è il problema che affligge tutte le persone pubbliche, gli attori, i politici, che ogni tanto, quando fa loro comodo, invocano il diritto alla privacy, ma poi sono i primi a volere che i media parlino di loro. Il bilanciamento di queste due esigenze è molto difficile.
Nel caso del web 2.0 la cosa è semplificata dal fatto che sono gli utenti stessi che mettono a disposizione degli altri notizie e informazioni su di sè. Avere un blog serve a dire come la penso, cosa faccio, quali sono i miei interessi e le mie passioni. E' chiaro che finchè di queste informazioni gli altri fanno un uso lecito e “tranquillo” non ci sono problemi. Sicuramente possono essere sfruttate in modo un pò distorto o strumentale. Rimane sempre un altra considerazione di fondo: non necessariamente bisogna dare retta a tutto quello che qualcuno scrive su Internet, soprattutto parlando di sè. Molto spesso gli operatori dell'informazione o dell'intelligence prendono per oro colato tutto quello che c'è scritto su un blog, o su un sito, o su una comunità virtuale, ma nessuno garantisce che l'identità delle persone che parlano di se stesse siano reali, che ciò che viene detto sia vero: in ogni caso il fatto di parlare di sè, è uno schermo perchè io parlo di me come voglio che gli altri mi percepiscano, non è detto che parlo di me come sono davvero.
L'intervista continua a pagina 3
[pagebreak]
Io non vorrei dare l'impressione di essere, diciamo, un dissacratore, tutto sommato sono comunque un tecnologo, però anche in questo caso devo far notare che stiamo parlando di cose antiche quanto l'Uomo. La truffa, l'inganno, la seduzione, sono tutte cose che esistono da quando l'Uomo ha imparato a parlare prima ancora di scrivere: cambia semplicemente il modo di veicolare la truffa, il modo di comunicare con gli altri, il modo di mascherarsi. Perchè nel medioevo bastava vestirsi da frate per carpire la buona fede di un proprietario di un castello, entrare e poi rapinarlo, oggi
si fa prima a mandare una e-mail o a ordire una truffa sul web: ma è esattamente la stessa cosa che faceva Totò quando nella famosissima scena vende la fontana di Trevi al turista americano.
Oggi ci arrivano le mail, le truffe nigeriane, il direttore di banca che si trova ad avere un deposito di milioni di dollari e vuole trasferirlo all'estero e quindi chiede la partecipazione dell'utente per appoggiare soldi sul suo conto, piuttosto che messaggi di phishing, finte banche che chiedono credenziali, non sono altro che reincarnazioni moderne di fenomeni molto antichi.
Sicuramente la tecnologia può fare poco: puà fare qualcosa, perchè queste truffe, avendo dei caratteri stilistici comuni, possono essere discriminate da dei sistemi informatici: si possono discriminare i messaggi plausibili da quelli che probabilmente sono truffe. Ma la soluzione non è certamente nella tecnologia, la soluzione è nell'educazione sociale, civile delle persone. Nel non fidarsi sempre del prossimo: le nostre nonne dicevano sempre che l'abito non fa il monaco, è assolutamente vero.
Il problema è che oggi, chissà perchè, la gente presa molta fede alle cose che avvengono al computer, per cui magari uno che bussa alla porta dicendo che è l'impiegato del gas, la persona anziana non lo fa entrare, una mail invece delle tua banca che ti chiede le credenziali, chissà perchè, solletica molto di più la credulità della gente, e la gente abbocca.
Tu collabori attivamente con le forze dell'ordine. Per questo ti sarai accorto che i criminali informatici lanciano i loro attacchi, le loro truffe, tramite provider situati in paesi su cui c'è poco controllo, come la Russia o il Sud-Est Asiatico. Luoghi in cui il paese preso di mira non ha giurisdizione. Come si potrebbe risolvere questo dal lato tecnico-giuridico?
Questo è un problema molto importante e devo dire anche molto grave. E' un effetto collaterale della globalizzazione solo parziale, della nostra società nel senso che la globalizzazione ha facilitato le comunicazioni e determinati scambi anche finanziari ma non altre cose come l'adeguamento dei sistemi giuridici o accordi per poter perseguire reati aventi caratteri transnazionale.
Non solo Internet ma pensiamo anche a tutte quante le società finanziarie off-shore che hanno sede nelle isole Cayman piuttosto che su qualche atollo sperduto nell'oceano che ricicliano denaro o giocano sporco garantendosi una sostanziale immunità. Da un lato la comunità internazionale ha una grande inerzia, ha una sostanziale differenza di impostazione nei propri protocolli giuridici piuttosto che nella filosofia, nelle tradizioni: riuscire ad armonizzare, creare trattati internazionali bilaterali o multilaerali è complicato.
Guardiamo anche a altri casi nazioni, dove alcuni stati non riescono ad ottenere l'estradizione di criminali, terroristi perchè sono rifugiati in una nazione che non accetta questo tipo di cose. Dall'altro lato, ci sono nazioni che non hanno alcun interesse a collaborare con il resto della società civile, perchè trovano in attività illecite, o comunque particolare, una fonte di guadagno. Molte di queste piccole nazioni o grandi nazioni tramite meccanismi di corruzione piuttosto che di pertecipazione agli utili trovano più vantaggioso ottenere i propri introiti dalle organizzazioni che ospitano piuttosto che combatterle, e questo è un grosso problema.
L'intervista continua a pagina 4
[pagebreak]
Commenta la frase: “Gli utenti non si preoccupano della sicurezza, voglio sempre avere la pappa pronta”.
Sostanzialmente è vero… ma non è neanche che non si preoccupano della sicurezza, non conoscono la sicurezza, nessuno gliel'ha spiegata, nessuno sa che esiste, gli utenti di Internet soprattutto: io vedo utenti non esperti di informatica, ma professionisti, avvocati, medici, ingegneri che, utilizzando le nuove tecnologie, commettono degli errori comportamentali spaventosi, fanno delle cose pericolossisme, mettono a rischio i loro dati quotidianamenti ma lo fanno in un modo del tutto inconsapevole, non è che non si preoccupano, semplicemente non lo sanno.
Siamo in una società in cui la mamma insegna ai bambini da piccoli come attraversare la strada senza essere uccisi dalle automobili, oppure insegna a non lasciare incustodita la merendina perchè qualcuno gliela potrebbe rubare, quindi i bambini imparano dei meccanismi comportamentali atti a prevenire rischi nella loro vita sociale quando saranno grandi, queste cose non le insegna la scuola, le insegnano le mamme.
La sicurezza nel comportamento su Internet non la insegna nessuno: non l'insegnano le mamme perchè non lo sanno nemmeno loro, non l'insegna la scuola, quindi gli utenti sono dei beati incoscienti, fanno delle cose agghiaccianti senza saperlo. Questo è un problema sociale, un problema culturale oltre che un problema tecnico.
Commenta la frase: “I provider potrebbero fare molto di più per fermare spamming e crimini simili”
Sostanzialmente vero: non possono fare tutto, quindi non è corretto, non dal punto di vista etico, ma dal punto di vista tecnico, scaricare sui provider la colpa di queste invasioni di spam e di phishing dicendo” Voi potreste fermarli” perchè non potrebbero fare il 100%, ma sicuramente stanno facendo molto meno di quello che potrebbero. Stando all'inizio della catena della vita dei messaggi di posta elettronica, o comunque stanno su posti nodali, potrebbero sicuramente fare qualcosa di più.
La prima cosa che dovrebbero fare i provider è garantire la sicurezza delle installazioni degli utenti finali. Non dare ai loro utenti dei router da quattro soldi, aperti e con le password di amministrazione, che sono le password di default, che vengono inserite in fabbrica, perchè questo succede… Oggi, la maggior parte dei messaggi di spam, di phishing eccetera, viene da macchine di utenti inconsapevoli, che sono rimaste vittime di qualche trojan, che utilizza quella postazione per sparare in giro messaggi. Prima ancora di dire al provider di dire: “Ferma i messaggi”, bisognava dirgli: “Pensa alla sicurezza dei tuoi utenti” mentre i provider i provider tipicamente fino ad oggi hanno detto: “La sicurezza non è un problema mio, io do il router poi l'utente si deven difendere”.
Questo è il primo problema, quello che io mi sento di accusare ai provider, la scarsissima cura verso la sicurezza degli utenti finali che sono l'anello più debole, più di ogni altro anello della catena. Poi quando i messaggi di posta elettronica arrivano ai provider, loro potrebbero fare qualcosa, accertarsi della loro natura, filtrarli, attivare gli antivirus, o antispam centralizzati.
Molti non lo fanno per motivi o quantomeno per dubbi di tipo legale, si pongono il problema “Ma io posso filtrare i messaggi dei miei utenti? magari filtro qualcosa che invece non andava filtrato? ho delle responsabilità legali?” e quindi nel dubbio non lo fanno. Altri dicono “Non è un problema mio, chi me la paga tutta l'infrastruttura per fare questo lavoro, che è molto onerosa da gestire?” dicono “se i miei utenti sono disposti a pagarmi questo servizio, a farsi carico loro di parte del servizio ho la possibilità di farlo, altrimenti non lo faccio”. E anche in questo caso non fanno nulla. E' un pò un circolo vizioso, un cane che si morde la coda, qualcuno dovrebbe cominciare, però anche qui è difficile trovare il giusto bilanciamento fra le misure. Soprattutto è importante che tutti facciano la stessa cosa, se un provider filtra tutto ma c'è qualcuno che non filtra niente, il risultato è che per la comunità non cambierà niente. Bisognerebbe riuscire a trovare delle linee guida condivise, magari minimali, ma che vengano adottate da tutti.
L'intervista continua a pagina 5
[pagebreak]
Botta e risposta: cosa ti rende felice? >
Di solito mi fanno felice le piccole cose, le piccole soddisfazioni su cose che ho potuto fare, riconoscimenti che ho avuto nella mia attività, cose del genere. Io sono uno che si accontenta di poco, le piccole cose della vita di solito mi rendono felice.
Complimentati con te stesso
L'unico complimento che mi posso fare è che mi piace fare sempre cose nuove, mi stufo facilmente delle solite cose, non mi piacciono i lavori, le attività di routine, quindi cerco sempre di fare cose nuove, e tutte le volte che faccio una cosa nuova ci metto entusiasmo e questo mi fa sentire bene, penso sia un pregio del mio carattere.
Fai una critica a Corrado Giustozzi
Ce ne avrei tantissime… penso che la critica più importante sia il fatto che sono un maledetto perfezionista, non mi piacciono le cose fatte di malavoglia o non perfettamente a punto, rischierei magari di passare molto più tempo nelle piccole rifiniture di una cosa, non mi va, per esempio, di lasciare un testo, un documento, un'attività, finchè non sono perfettamente soddisfatto e chiedo anche agli altri un livello, se non così maniacale diciamo abbastanza perfezionista, questo forse è un difetto perchè spesso, magari, questo supera il valore della cose in sè, ma è una questione di principio.
Fatti un augurio
Un augurio che mi faccio, e che in realtà faccio a tutta la società è quella di non aver bisogno di persone che fanno il mio mestiere, quindi che si occupano di sicurezza, che corrono appresso ai criminali. L'augurio che faccio a me è quello di contribuire in piccolo con la mia attività o con le varie sfaccettature della mia attività a costruire una società del genere, dove ci sia sempre meno bisogno di sorvegliare, di correre appresso, di mettere pezze a situazioni pericolose, spiacevoli che vanno contro l'intera società
C'è qualcosa che vorresti dire?
Semplicemente, non sopravvalutare la tecnica, il problema della sicurezza, di Internet e tutte queste cose non è un problema tecnico e non è un problema di qualcun'altro, è un problema di tutti noi, ed è un problema di educazione, di cultura, quindi informarsi, leggere, andare alle fonti, quelle corrette, ed essere sempre aggiornati, usare la propria testa, non pensare che c'è qualcun'altro che è pagato per risolvere i miei problemi, tutti quanti abbiamo il dovere di contribuire a risolvere il problema perchè è della società.
Molto interessante Corrado, ti ringrazio dell'intervista.
Grazie a te
cod:67
0 comments
Aggiungi il tuo commento