Automating Threat Intelligence series
4 Maggio 2025
Protezione digitale della persona
Tutti noi, come specie umana, a causa del nostro vissuto, percepiamo con difficoltà i pericoli del mondo digitale. Siamo sempre stati abituati a percepire una situazione di pericolo in base all’ambiente in cui ci troviamo, valutandone il contesto (luogo, persone…). Ad esempio, attraversando un vicolo buio e deserto in piena notte, percepiremmo probabilmente un sentimento di vigile attenzione unita ad un senso di ansia. Questi due sentimenti sono quelli che possono scatenare una fuga in caso di minaccia.
Questa sensazione di vigile attenzione generalmente manca completamente quando usiamo computer e smartphone. Spesso manca perché mentre usiamo tali dispositivi, ci troviamo in luoghi sicuri, come la propria casa, il proprio ufficio, o una affollata sala d’attesa. Nessuno si metterebbe ad usare un social network in una situazione di potenziale pericolo SE il pericolo viene percepito come tale.
Tuttavia non ci rendiamo ancora bene conto che se Internet ci collega al mondo, il mondo è collegato a noi, con tutte le conseguenze del caso. Possiamo quindi dire che, nell’uso di strumenti digitali, ci sia una errata percezione del pericolo.
Protezione digitale della persona
Siamo abituati al pensiero che ci siano persone (politici, industriali) abituate a muoversi protetti da guardie armate, su vetture magari blindate. Tuttavia non ci sfiora nemmeno che sia necessario proteggere quelle persone da un punto di vista digitale. Non è una questione di comprendere a fondo una determinata tecnologia, è una questione di mindset, di forma mentis.
Prendiamo ad esempio due casi famosi: Boris Johnson (primo ministro britannico) e Ank Bijleveld (ministro della difesa olandese). Entrambi hanno condiviso le credenziali di accesso a meeting segreti. Diversi miei colleghi hanno commentato con parole che preferisco non ripetere e dalle quali mi dissocio perchè il problema è più complesso di quel che sembra: occorre insegnare alle persone a comprendere un mondo che fino a pochi anni fa non era fonte di alcun pericolo. Occorre costruire consapevolezza limitando i possibili danni. Dico “limitando” perchè i danni già ci sono, e, anche iniziando oggi, molti altri danni verranno fatti prima di raggiungere un accettabile numero di persone in grado di comprendere come ridurre questo fenomeno. E dobbiamo quindi dedicarci a:
- C-Level, politici e a tutte le persone chiave per la nazione e aziende, che possono essere bersaglio per veicolare attacchi mirati a infrastrutture critiche.
- Adulti in genere, in qualità di persone prima di tutto, che sono oggetto di aggressioni digitali, adescamenti, truffe.. Gli stessi adulti sono anche dipendenti di aziende e possono quindi essere veicolo di attacchi che mirano all’azienda per cui lavorano.
- Bambini e ragazzi, a cui spesso vengono consegnati strumenti tecnologici esponendoli al mondo senza però consegnare loro gli strumenti per capire a cosa fare attenzione.
Potrei spendere diverse di pagine raccontando casi che a cui ho assistito, tuttavia preferirei portarne come esempio uno in cui mi sono personalmente imbattuto alcuni mesi fa.
Un caso di esempio
Diversi mesi fa mi sono imbattuto in un’offerta di lavoro: un’azienda internazionale (che rimarrà anonima) cercava un CISO. La posizione era interessante e, prima di valutarla seriamente, volevo farmi un’idea della consapevolezza che quell’azienda possedeva nell’approccio alla sicurezza. Ho quindi effettuato un’analisi OSINT per valutare eventuali criticità.
Per chi non avesse chiaro il concetto, OSINT (Open Source Intelligenze) è un tipo di analisi che si limita a consultare dati resi pubblici, disponibili a chiunque. Possiamo paragornarla ad una ricerca fatta in una biblioteca pubblica.
Nessun attacco è quindi stato sferrato, ma per la spesso troppa leggerezza con cui trattiamo le informazioni, si fanno sempre scoperte interessati. Nel caso specifico sono risalito alle informazioni personali dell’amministratore delegato: email privata, cellulare privato, indirizzo di casa.
Tutti questi dati erano visualizzabili a partire dal sito Internet dell’azienda stessa. Tali dati erano allegati a documenti societari di alcuni anni prima, probabilmente messi a disposizione di enti di certificazione e mai più rimossi. I motori di ricerca hanno fatto poi il resto: hanno catalogato tutto quello che era disponibile rendendolo ricercabile da parte di chiunque, come se ci si trovasse, appunto, in una biblioteca.
Threat Modeling
L’attività di threat modeling prevede di ipotizzare le minacce a cui sono esposto o a cui mi espongo facendo o non facendo una determinata azione. Ad esempio se io consegno il mio numero di cellulare privato ad una persona che me lo chiede durante una conferenza, io sono consapevole che quel numero può essere diffuso potenzialmente senza limite. Potrei quindi, ad esempio, essere contattato via Whatsapp da sconosciuti, e dovrò valutare eventuali contatti con questa consapevolezza.
Nell’episodio descritto sopra, rendere pubblici i propri riferimenti privati espone la persona ad attacchi digitali (tramite email e numero di cellulare) ma anche ad attacchi fisici (tramite l’indirizzo di casa) aprendo la porta ad eventuali stalker. E poiché la persona ha un ruolo molto rilevante in azienda, potrebbe essere il bersaglio ideale per arrivare a informazioni private dell’azienda: conti correnti, informazioni commerciali, brevetti…
Conclusioni
Sebbene i toni dell’articolo possano apparire eccessivamente catastrofisti, negare una realtà non la farà scomparire. Il problema c’è, è reale, ed estremamente diffuso a tutti i livelli (aziende, privati, ragazzi). Dobbiamo innanzitutto riconoscere che tutti noi abbiamo un problema e imparare a gestirlo.
Gli strumenti li abbiamo, dobbiamo imparare ad usarli nel modo corretto. E per farlo non c’è modo migliore di seguire quello che tradizioni millenarie ci hanno insegnato: dobbiamo addestrarci a riconoscere e gestire i pericoli del mondo digitale, così come abbiamo fatto prima che Internet fosse una realtà pubblicamente accessibile.
I genitori di quelli che ora hanno una quarantina d’anni erano soliti ripetere di non dar retta agli sconosciuti. Dobbiamo tradurre quella forma mentis nel mondo digitale a cui tutti noi siamo continuamente, inconsapevolmente e obbligatoriamente connessi.