Riccardo Meggiato è consulente in cyber security e digital forensics. Giornalista, scrittore, a lui abbiamo chiesto lo stato dell’arte nella sicurezza informatica in Italia.
Che cos’è un consulente in cyber-security e digital forensics, cosa fa?
Nel mio caso, fa due attività in parte distinte e in parte ben amalgamante. La prima è guidare un team che si occupa in prevalenza di incident response, che è un cappello sotto al quale rientrano varie discipline che vanno dall’analisi forense di sistemi compromessi per arrivare al ripristino di reti, passando per la business continuity e il disaster recovery. A questo, affianchiamo un servizio di vulnerability assessment, penetration test e malware analysis anche per conto terzi, cioè aziende di cybersecurity più grandi che tuttavia hanno la necessità di competenze molto verticali una tantum.
La seconda, invece, è gestire un laboratorio di informatica forense, nel quale trattiamo casi sia in ambito civile che penale, per studi legali, aziende, privati e Procure.
Nei tuoi anni di carriera qual è stato l’incarico più difficile che hai affrontato?
Ottima domanda, dalla risposta molto complessa. Di base, considero difficilissimo qualsiasi caso, perché alcuni di quelli in apparenza più “semplici” si sono poi rivelati pieni di insidie. Se, tuttavia, devo parlarne a posteriori, parlerei di un caso di pedopornografia internazionale, un paio di anni fa. Un gruppo di hacker, assoldati da magnati stranieri piuttosto facoltosi, che aveva imbastito un vero e proprio cloud sparpagliato su PC di individui innocenti grazie a un malware molto complesso. In pratica, ci si infettava e, a propria insaputa, una piccola porzione crittografata del proprio disco fisso entrava a far parte del cloud, che mano a mano si riempiva di materiale illegale.
Il risultato? Perfetti innocenti si ritrovavano invischiati in pesanti accuse di pedopornografia, poiché il cloud portava ai loro sistemi, mentre i veri fruitori lo utilizzavano come un qualsiasi servizio di streaming, senza lasciare alcuna traccia. Dal punto di vista tecnico fu un lavoro enorme, una sorta di summa di tutto ciò che prevede questo settore: crittografia, exploiting di vulnerabilità zero-day, malware creati ad hoc e non ancora classificati dai tradizionali antivirus, legislazione internazionale e molto altro ancora.
Quanto è cambiato il mondo della sicurezza digitale da quando hai iniziato a oggi?
E’ passato dal combattere l’equivalente digitale di topi di appartamento a contrastare organizzazioni criminali strutturate, potenti, estese e ricchissime, spesso emanazioni digitali di quelle che tristemente popolano i media da decenni. Questo passaggio ha portato all’utilizzo, da parte dei cybercriminali, di strumenti raffinati e costosissimi, spesso rendendo impari la lotta. E’ per questa ragione che si deve puntare molto sulla prevenzione: prima di scendere sul campo di battaglia si ha margine per creare difese efficaci, poi diventa uno scontro complesso, specie perché nel digitale i crimini si perpetrano in modo molto rapido e devastante e le vittime si rendono conto troppo tardi di ciò che è successo.
Quanto ritieni che sia sottovalutato il tema della sicurezza informatica in Italia? Mi riferisco sia all’ambito istituzionale che a quello del singolo.
Il singolo è ben lontano dalla percezione di quanto siano tangibili con mano le conseguenze di un attacco, o dell’essere preso di mira da un cyber-criminale. Non gliene faccio però una colpa: chi sceglie degli strumenti lo fa perché gli servono per determinati scopi, garantirne la sicurezza è compito di chi li produce e di chi lavora in ambito difensivo. Non mi sento di puntare il dito contro un normale utente che salta l’ultimo aggiornamento perché ha altro da fare e non vuole bloccare il dispositivo per qualche minuto. Quindi occorre arrivare a un compromesso: da una parte chi lavora su tecnologie e difesa deve prodigarsi di più, dall’altra l’utente deve imparare il minimo sindacale per vivere il mondo digitale. Esattamente come impara a chiudere a chiave la porta di casa quando esce o a guardare a destra e a sinistra quando attraversa la strada. Al momento, in media, vedo che si è imparato solo a chiudere la porta con la maniglia.
Dal punto di vista istituzionale le cose vanno molto meglio: iniziano a esserci competenze e strutture dedicate. La percezione, però, è che vi sia davvero troppa burocrazia e troppe realtà istituzionali che mettono le mani sulle medesime attività, forse perché la cybersecurity “tira” e per molti è un modo per continuare a cavalcare l’onda e continuare ad avere il proprio orticello. Tutto questo genera un po’ di confusione, inutile ridondanza e spreco di risorse. Anche perché, parliamoci chiaro: di politici che conoscano davvero il tema non ne vedo moltissimi. Ti racconto un aneddoto carino: qualche anno fa fui ospite dell’allora Presidente dell’Estonia, Toomas Hendrik Ilves. Non è un tecnico, è un giornalista e diplomatico, e in quel momento la massima carica politica del paese. Eppure, nel corso della nostra piacevole conversazione, parlammo di algoritmi crittografici. E lui sapeva e capiva perfettamente ciò di cui parlavo. Ora pensa all’Italia, e la chiudo qui.
Qual è il percorso formativo che va svolto, oggi come oggi, se si vuole intraprendere il tuo lavoro?
Preferisco tralasciare riferimenti a scuole, istituti e facoltà, concentrandomi proprio sulle nozioni. Innanzitutto, imparare a programma bene e a basso livello. Python va benissimo, ma occorre imparare anche come dare istruzioni a una macchina al suo livello o quasi, che è molto basso: assembly, C, C++, Rust. Poi si deve imparare come funziona davvero un dispositivo digitale, dal punto di vista elettronico in su. A quel punto, si passa alle reti, ma sempre con un approccio a basso livello. Niente che abbia a che fare con cybersecurity e informatica forense, vero? Perché prima si devono costruire basi solide. Solo a quel punto, si può iniziare ad abbracciare temi più verticali e capire, per esempio, che dire “antivirus” non significa nulla, e che occorre distinguere le tipologie e studiare come funziona ciascuna. Per l’informatica forense è ancora più importante, perché qui gli elementi che analizziamo hanno quasi sempre a che fare con gli aspetti tecnici di più basso livello dei dispositivi digitali.
Foto di KeepCoding su Unsplash