Tra gli addetti ai lavori è palese il fatto che la cyber security sia una pietra miliare della nostra società, tanto è vero che nei prodotti digitali di nuova generazione si parla della necessità di adottare politiche di progettazione e sviluppo basate sul principio di security by design. Ma forse la cyber security non è solo firewall e social engineering, e si sta spingendo ad un nuovo livello di consapevolezza, che riguarda tutti. Vediamo come.
Indice degli argomenti
Cyber security e consapevolezza: quando ancora era semplice difendersi
Nella testa di tutti la cyber security è un campo per addetti ai lavori, figure nerd che si occupano di oggetti come firewall, aggiornamenti, antivirus e via dicendo.
Questo è vero, o perlomeno lo era fino a qualche anno fa, quando cyber security era sinonimo di sicurezza perimetrale.
Negli anni fino al 2000, le reti di computer erano localizzate in luoghi fisici ben definiti, non c’erano gli smartphone e i tablet, i notebook erano poco diffusi e quindi difendere la propria azienda voleva dire difendere il perimetro della propria rete.
Qui si mettevano i firewall, strumenti adatti a bloccare gli attaccanti e il traffico in entrata alla rete. Con il tempo, i firewall sono diventati strumenti sempre più intelligenti, essendo capaci non solo di vedere il traffico, ma addirittura di capirne il contenuto a livello di applicazione e poter fermare traffico malevolo o anche solo traffico non associato al business.
Inoltre, alcuni vendor rendono disponibili funzionalità di “collettività”, ovvero i firewall sono connessi ad un unico cloud centrale e se solo uno di loro vede una tipologia di attacco, lo comunica a tutti gli altri, in modo che siano tutti pronti a difendere la rete del loro proprietario.
Sulle postazioni, la principale difesa inizialmente era l’antivirus, che era molto efficace perché i virus erano in numero contenuto, con poche varianti. Quindi, conoscendo la “firma-impronta” del file malevolo, era possibile bloccare facilmente l’attaccante.
Questo meccanismo ai giorni nostri è stato affiancato (il numero di virus creati ogni giorno si aggira sulle migliaia) dall’analisi comportamentale, ovvero ogni processo che cerca di fare alcune azioni tipicamente malevoli, viene classificato come virus. L’antivirus poi è diventato anche firewall di postazione, in modo che la singola postazione (computer desktop) sia a sua volta protetto dagli altri oggetti in rete.
Altre misure usate dai più raffinati, già attorno agli anni 2000, tenevano i sistemi aggiornati all’ultima release possibile per evitare sfruttamento di vulnerabilità e riducevano i permessi degli utenti sui personal computer Windows, in modo da evitare che un utente inconsapevolmente facesse disastri.
Prassi importante era poi quella dell’antivirus o antispam sull’e-mail (un altro punto di accesso preferito ai sistemi aziendali) onde evitare che arrivassero virus, worm, trojan o sorprese affini via e-mail.
Ovviamente stiamo semplificando molto, ma è per dare un’idea di come fosse “semplice” avere una buona difesa, prima degli anni 2000.
Cyber security e consapevolezza: la superficie di attacco diventa fluida
Dagli anni 2000 e fino al 2010 la superficie di attacco è diventata fluida e così il perimetro aziendale. Ricordiamoci che alla fine non proteggiamo mai i dispositivi, ma i dati o le credenziali di accesso ai dati.
Il fatto è che se i dati aziendali arrivano a smartphone, tablet e notebook sparsi nel mondo o computer di casa mediante servizi cloud, diventa molto più complesso proteggerli.
Da un lato perché esplode il numero di sistemi in gestione ad un solo utente, dall’altro perché ogni dispositivo ha le sue caratteristiche, e mentre i computer hanno una storia lunga di patching, altri dispositivi sono nati per fare altro (ad esempio divertimento) con poca security by design integrata.
A questo va sommato l’IoT (Internet delle cose) o l’IoE (l’internet di tutto, come dice Cisco) per cui ogni dispositivo sta diventando connesso e con accesso ai dati aziendali (smartwatch, TV smart, proiettori, per dirne alcuni, senza contare le care vecchie stampanti, uno dei vettori di attacco preferiti dagli attaccanti).
Quindi il perimetro diventa globale, il dato fluido, la superficie di attacco aumenta a dismisura e il personale di sicurezza si trova tecnologicamente ad affrontare una periferia dinamica (o che non c’è più) e deve cambiare l’approccio alla difesa.
Come se non bastasse, arriva l’onda del cloud, quindi i carichi di lavoro diventano distribuiti, un po’ in azienda e un po’ su più cloud sparsi per il mondo, e anche questi vanno difesi sia da attacchi interni che da attacchi esterni.
L’approccio zero-trust
Da qui (siamo sempre nel mondo tecnologico) nasce l’approccio zero-trust, ovvero invece di difendere una periferia dinamica, difendo il singolo carico di lavoro ovunque esso sia. Quindi con il carico di lavoro viaggiano anche le sue policy di security (e quindi vado a fare micro-segmentazione) in modo che non importa dove sia il carico, l’importante è che venga protetto secondo policy corrette.
Dallo scenario pre-2000 al post-2000 possiamo dire che la complessità tecnologica è scalata di diversi ordini di grandezza.
Come se non bastasse, gli attaccanti hanno poi capito che sebbene sia ancora proficuo tecnologicamente attaccare una vittima, lo è molto di più psicologicamente.
E così sono esplosi gli attacchi di social engineering, dove si chiama un dipendente fingendo di essere un collega per farsi dare uno username e una password, oppure si finge mediante e-mail modificate che un direttore finanziario richieda un bonifico ad un fornitore su un determinato IBAN, per poi scoprire che l’IBAN è associato ad un conto russo irrintracciabile.
Le tecniche di social engineering si basano sulla psicologia, ovvero vogliono fare hacking sul nostro senso di fiducia, rispetto, ruolo, comando, paura. Sono tecniche puntuali che sfruttano un momento di debolezza e hackerano la nostra psiche puntualmente.
Da qui, gli esperti di cyber security hanno dovuto cominciare a fare anche awareness, ovvero rendere le persone consapevoli di questi meccanismi, ovvero del rischio che una telefonata possa comportare, un’e-mail valutata come affidabile anche se non lo è, possa far perdere soldi all’azienda.
Fanno parte di questa categoria e anche di quella tecnologica, i noti ransomware, che sfruttano una tecnologica (la crittografia) per proteggere i dati degli utenti, e poi ricattarli. Il ricatto è doppio ai giorni nostri: se non mi paghi non ti ridò i dati, se non mi paghi diffondo i tuoi dati. Estorsione tecnologica con trafugazione di dati.
Pubblicità mirata e analisi comportamentale: i nuovi rischi digitali
Da qualche anno, però siamo acceduti al terzo livello di consapevolezza in ambito cyber security. Le grandi azienda americane del tech (dette GAFAM, Google Amazon Facebook Apple Microsoft) fino a metà del primo decennio degli anni 2000 vendevano un prodotto tecnologico, qualunque esso fosse.
Poi il loro business model con i social è cambiato. Hanno iniziato a vendere pubblicità veicolata sui loro prodotti (che fossero motori di ricerca o social) offerti gratuitamente (se non paghi per un servizio, il servizio sei tu).
Il sogno di ogni inserzionista è che la propria pubblicità comporti un acquisto, e per farlo si cerca di comprendere al meglio cosa vuole il cliente. Questo si faceva tanti anni fa nella bottega sotto casa sapendo che “la signora Maria compra sempre il prosciutto cotto per il figlio Luca”. Con l’avvento dei supermercati, si è evoluti nelle tessere fidelizzazione, che danno sconti in cambio di comportamenti. Il bottegaio sotto caso sapendo che la signora Maria voleva comprare il prosciutto, magari le presentava il migliore (o quello che doveva finire). Il supermercato fa offerte mirate alla persona in base al suo trend di acquisti.
Big data, pubblicità e analisi comportamentale
Altro tipo di pubblicità è quello della TV, che è pubblicità sì, ma generalista, ovvero tutti vediamo la stessa. Vengono usate tecniche di psicologia e di comunicazione, ma la tv non sa se io oggi sono felice o triste, se sto bene o male e via dicendo, quindi è una pubblicità con un tasso di successo dovuto alla grande diffusione, ma con rating ridotto.
Il gruppo GAFAM ha portato la pubblicità al livello successivo: ovvero ha creato prodotti digitali attraverso i quali può raccogliere i comportamenti delle persone da quando si alzano (accendono lo smartphone) a quando vanno a dormire (se spengono lo smartphone). Volendo anche la notte (con gli smartwatch, le luci intelligenti, gli assistenti vocali).
Il loro scopo è raccogliere quantità enormi di dati (big data), che sono (e questo è importantissimo) sempre freschi di giornata in modo da profilare ognuno di noi come utilizzatore e capire quando è il momento e il prodotto migliore da propinarci.
Solitamente la gente pensa che il problema principale delle major del tech sia che ci prendono i dati (vero), che fanno polarizzazione (verissimo, ovvero quando cerco su un motore di ricerca vedo risultati associati alla mia zona e alle mie ricerche precedenti, ovvero solitamente trovo risultati che confermano la mia idea, portandomi a diventare polarizzato-estremista), che ci prendono troppo tempo (li usiamo troppo), che ormai sono in grado di falsare elezioni (grazie alle fake news).
Pochi pensano che il loro business model però non è questo, ma come dice un famoso hacker, J. Lanier, il loro vero business model è modelizzarci e quindi cogliere i nostri impercettibili cambiamenti di comportamento, per vendere queste variazioni agli inserzionisti in modo da rendere efficace le loro pubblicità.
Peggio ancora, queste variazioni di comportamento le possono guidare loro. Usando tecniche come i “like”, la gamification, l’inclusione sociale, piacere/dolore (tanti like, pochi like), la curiosità (lascio una notizia visibile metà in basso sullo schermo dello smartphone così una persona scorre per vedere cosa c’è scritto), possono spingerci a sostare ore nei loro prodotti digitali, e più ci stiamo, più pubblicità possiamo vedere e più le pubblicità sono accurate perché più informazioni loro hanno su di noi, e più ci possono guidare nei comportamenti.
Il rischio di una pubblicità mirata
Il tutto viene attuato tecnologicamente da ingegneri che usano metodologie tipiche della psicologia che quindi mirano ad alzare la nostra dopamina (e guidare l’inconscio) e fare in modo che lo smartphone diventi la lampada di Aladino che ogni minuto può darci informazioni interessanti, la soddisfazione di qualche like, il piacere di un video divertente. Una sorta di dipendenza (da cui deriva ad esempio la FOMO, fear of missing out. Ognuno di noi, pensandoci, troverà un social/strumento dei GAFAM da cui un po’ dipende, no?).
La cosa interessante è che a differenza della TV generalista, che non è mirata alla persona ma alla “cultura simile”, la pubblicità del gruppo GAFAM è mirata esattamente alla persona, precisa e condizionante.
Questo perché gli scopi del modello di business sono: engagement (ti coinvolgo), growth (aumento il tempo che stai con me) ed entertainment (ti faccio divertire). In tale modo ti “rapisco” con il mio strumento digitale, e più ti rapisco più ti profilo, ti coinvolgo, ti ipnotizzo e più pubblicità riesco a mandarti mirate.
Quindi gli esperti di cyber security (ma anche i genitori e gli insegnanti) dovranno nel tempo affrontare questo nuovo tema di difesa cibernetica psicologica, che rischia di minare le generazioni future.