Giugno, 2023

Several
news
media
are
reporting
that a database with information on half a million users of
Raidforums, a well-known hacking forum seized by law enforcement in April 2022,
has been leaked online,
and that another similar site,
Breached/Breachforums, was shut down by LE in March
2023 after its founder “Pompompurin” was arrested by the FBI.

The Raidforums leak is reported to include
“usernames, email addresses, hashed passwords, registration dates, and a
variety of other information related to the forum software”.

A username and email address linked to me is almost certainly in the Raidforums
database and in the Breached userlist. As a journalist, I registered with Raidforums and Breached to
monitor and report on newsworthy data breaches and other security incidents, as evidenced in this blog and in my podcasts for Swiss National Radio Rsi.ch. I
intentionally made no attempt to conceal my identity, using one of my primary and well-known e-mail
addresses to register. I am announcing this preemptively in the hope that it
will save law enforcement some time, but if you’re with LE and you still want
to know more about my presence on these forums, you know how to contact me.

—

Riassunto in italiano: è stato annunciato che le liste utenti di due noti forum di hacking, Raidforums e Breached/Breachforums, sono state acquisite dalle forze dell’ordine e che la lista di Raidforums è stata anche pubblicata online da ignoti. Come giornalista, mi ero iscritto a entrambi per monitorare e riferire sulle fughe di dati di interesse pubblico, e a questo scopo ho scelto di non nascondere la mia identità, usando uno dei miei indirizzi di mail più noti. Segnalo queste informazioni a titolo preventivo sperando che questo eviti equivoci e perdite di tempo.

La prima parte di questo resoconto è
qui. Trasparenza: WithSecure ha offerto il volo e l’alloggio che hanno reso
possibile la mia partecipazione.

Proseguo il racconto della mia esperienza a Helsinki al convegno di sicurezza
informatica
Sphere insieme
alla Dama del Maniero. Non mi soffermo su tutta la parte sociale dell’evento,
se non per dire che è stata estremamente piacevole, con un’ottima compagnia,
nuovi amici e contatti e buon cibo locale (ho scoperto con piacere la presenza
ricorrente della focaccia locale, che è diversa da quella ligure ma merita
decisamente) in vari luoghi della città, che con la complicità del bel tempo è
stata davvero accogliente. D’inverno, con le pochissime ore di luce, forse non
è altrettanto godibile, ma le lunghissime giornate di questa stagione sono
state spettacolari. La lingua non è un problema: tutti parlano un ottimo
inglese.

25 maggio

La mattina è iniziata con il firmacopie del libro
If It’s Smart, It’s Vulnerable
di Mikko Hyppönen, CRO di WithSecure. Il libro, che sto finendo di leggere, è
molto scorrevole anche per chi ha conoscenze informatiche di base ed è pieno
di aneddoti e racconti che spiegano bene le dinamiche del crimine informatico
moderno e passato. Spero che ne esca una traduzione italiana: nel frattempo la
versione inglese è disponibile su
Amazon
e, in Italia, tramite
IBS.

Ian Beacraft, CEO e Chief Futurist di Signal & Cipher

L’intervento di Beacraft, intitolato
AI, ChatGPT and the future in tech. Creative Machines – AI and Generative
Future, è stato ricco di spunti non tecnici in senso stretto ma sociali nel senso più
ampio del termine: l’impatto che sta avendo sulla società l’arrivo esplosivo
delle tecnologie legate all’intelligenza artificiale va capito e, se
possibile, anticipato per contenerlo o almeno dirigerlo.

Fra i tanti spunti del suo discorso ne cito uno: la tecnologia corre
talmente in fretta che la sfida dei genitori di domani non sarà più decidere
quanto tempo è giusto lasciare che i propri figli stiano online, ma decidere
quanti degli amici dei loro figli è giusto che siano intelligenze artificiali.

Pekka Koskela, pattinatore e data consultant sportivo

Koskela è un
pluripremiato
pattinatore di velocità su ghiaccio e ha raccontato il suo lavoro di Data consultant per atleti e squadre sportive, basato sull’uso del machine learning e dell’intelligenza artificiale per elaborare e rendere gestibile l’enorme quantità di dati biometrici e dinamici che vengono raccolti oggi negli sport olimpici di velocità, in cui cambiamenti anche minimi possono fare la differenza fra una medaglia e un buon piazzamento e occorre creare integrazioni fra attrezzatura, atleta e terreno di gara, anche a livello respiratorio e dietetico. Il suo intervento è stato un po’ smorzato da quello che credo sia stato un caso tipico di panico da palcoscenico, ma comunque è stato tecnicamente interessante.

Jacqui Kernot, Managing Director e Security Director di Accenture per Australia e New Zealand

Kernot ha gestito un panel con vari ospiti intitolato Striking the balance: how much cyber security is enough?, in cui ha illustrato varie esperienze australiane di data breach e soprattutto di gestione delle crisi e comunicazione al pubblico. Spero che Sphere pubblichi i video degli interventi, perché l’approccio australiano piuttosto drastico va spiegato meglio di quanto possa fare io con gli appunti frettolosi che ho preso (non erano permesse registrazioni) mentre correvo dal palco principale a quello secondario e penso che possano esserci idee interessanti anche a livello governativo in quello che è stato detto in questo panel.

John Grant, Sustainability Expert

È stato poi il turno dell’esperto di sostenibilità John Grant, che ha presentato quattro proposte per la sostenibilità dell’informatica a tutti i livelli: 

• aumentare la sicurezza dei dispositivi smart (che ci servono per ridurre i consumi delle infrastrutture, tramite per esempio contatori ed erogatori “intelligenti”, domotica, auto, uffici e città più snelli ed efficienti grazie all’informatica distribuita);
• garantire la sicurezza della transizione verso energie rinnovabili (pensando al rischio catastrofico di un attacco informatico a una rete elettrica o a una infrastruttura industriale o logistica altamente informatizzata);
• sostenere le fasce sociali vulnerabili;
• garantire la stabilità sociale in caso di evento catastrofico legato alla sicurezza informatica (che il 93% degli interpellati dal Global Cyber Security Outlook Report 2023 del WEF ritiene probabile entro i prossimi due anni).

Peiter C. “Mudge” Zatko, esperto di sicurezza di rete

Mudge è un personaggio storico della sicurezza informatica: esponente di spicco dei gruppi hacker L0pht e Cult of the Dead Cow, pioniere nello sviluppo dei buffer overflow, direttore di programmi al DARPA, assunto da Google per la divisione tecnologie avanzate, ex capo della sicurezza a Twitter e tanto altro. Se i nomi L0phtcrack e Back Orifice vi dicono qualcosa, avete capito chi è Mudge. Back Orifice vent’anni fa era talmente popolare e utile come strumento di, uhm, amministrazione remota per Windows che ne scrissi una miniguida che oggi ha solo valore nostalgico. Mai avrei immaginato di poter incontrare di persona uno dei suoi autori.

Purtroppo non ho potuto seguire integralmente l’intervento di Mudge, intitolato The greater purpose in cyber security: Challenging InfoSec Beliefs with Data, perché dovevamo partire per l’aeroporto, ma posso riassumere qui i quattro miti principali della security e spiegare il suo tenth-person approach (ossia il concetto che se nove persone hanno tutte la stessa opinione, è dovere della decima fare il bastian contrario e portare i dati a supporto, in modo da offrire una critica costruttiva ed evitare le trappole del pensiero unico).

I suoi quattro miti della sicurezza informatica sono questi:

• È troppo piena di incognite incognite, ossia che nemmeno sappiamo di non conoscere, e quindi la difesa informatica preventiva non è possibile (gli “unknown unknowns” sono un riferimento a una celeberrima frase di Donald Rumsfeld). La sua obiezione: gli esempi negli ultimi due decenni rivelano che le incognite erano in realtà ben note (e quindi gestibili).
• Gli aggressori hanno il coltello dalla parte del manico. Obiezione: solo se i difensori rinunciano al proprio vantaggio.
• L’attribuzione è un problema difficile da risolvere, e senza sapere chi è l’avversario non si può pianificare la difesa. Obiezione: no, perché l’attribuzione è un componente fondamentale degli attacchi basati sugli effetti.
• L’informatica è fondamentalmente differente da tutti gli altri settori. Obiezione: in passato si è detta esattamente la stessa cosa per l’economia, la medicina, la sicurezza degli autoveicoli, l’assicurazione per i voli in aereo.

Per la spiegazione dettagliata bisognerà attendere la pubblicazione online del suo intervento. WithSecure sta pubblicando man mano i paper tecnici dei vari relatori; ve li segnalerò man mano che verranno resi accessibili al pubblico.