Atti di fede Razionale - Versione Aggiornata

O di come si sceglie la parte in cui stare

• Vecchio Post -Wednesday, December 10, 2008 da Thepuchiherald.com

Curiosamente oggi mi ritrovo a rieditare qualcosa che avevo postato anni fa. E sempre oggi ho mostrato nel mio speech del security summit una slides del 2014. Sembra che ultimamente ritirare fuori vecchi scritti sia utile. Visto che tutto cambia per rimanere uguale almeno si ottimizza la produzione.

Rispetto alla scrittura originale ci sono dei cambi sostanziali di ambientazione: la pandemia e la guerra (su cui per scelta non scrivo o commento) hanno esacerbato alcune reazioni, mentre le mie vicende personali quali il cancro e non ultimo l’odierno femore rotto di mia mamma 86enne hanno irrigidito certi miei atteggiamenti riducendo sensibilmente la mia notoria tendenza al politcally correct espressa nella mia espressione:

“non penso che sei cretino per le cose che dici, penso che dici quello che dici perchè sei cretino”

Ma torniamo al soggetto del post. La idea è chiedere a me stesso come e cosa muove la mia adesione ad una idea. Cosa mi convince, e quali sono i motivi per cui credo ad alcune cose ed altre no?

Atti di fede Razionale 

Sappiamo tutto? Abbiamo sempre tutti gli elementi di scelta e di analisi?

La risposta purtroppo è no, in un mondo sempre più complesso i nostri strumenti di approvvigionamento delle informazioni sono sempre più disparati ma, contemporaneamente, ci allontaniamo sempre di più dalla sorgente del dato.

Si pensi ad esempio alle informazioni oggi reperibili sui social media, la veridicità della fonte è sempre più complessa. I meccanismi di distribuzione della informazioe sui social, ad esempio, privilegia non la veridicità della fonte ma la contiguità tra il nostro punto di vista e le informazioni che vediamo. Questo comporta due fenomeni interessanti: la radicalizzazine del punto di vista, confortato dal riferimento massivo, e la perdita di interesse al controllo della fonte, in quanto sostituita dal contenuto “massivo” delle conferme che riceviamo. La ragione nasce, chiariamoci, non dal desiderio generico di radicalizzare i punti di vista ma da una semplice esigenza di marketing: farti vedere quello che più facilmente ti attrae per poter vendere lo spazio al committente ad un rpezzo più alto. LA comunicazione “a bolle” dei social media quindi è funzionale ad una chiara esigenza di business: targhettizzare la comunicazione di marketing verso le utenze più ricettive al messaggio. Questo ha comportato effetti collaterali legati a come la informazione gira dentro i social media innescando fenomeni sociologicamente abbastanza noti, dalla adesione al “branco” alla responsabilità condivisa. Tutti fenomeni che, con grande dispiacere dei social media immagino 😂, hanno portato ad una fidelizzazione ed adesione alla piattaforma che ha aumentato la capacità attrattiva della piattaforma stessa.

Il perdere il contatto con la fonte delle informazioni è stato quindi amplificato con anche l’aumentare delle sorgenti cui raccogliere tali informazioni.

Questa è una costante della esperienza umana, la “realtà” che siamo abituati a vedere non è altro che il frutto di una costante reinterpretazione dei dati che riceviamo, nessuno dei dati della nostra esperienza sensibile è, infatti, diretto, tutti sono mediati.

Dal punto di vista biologico questa cosa è evidente, il nostro cervello rielabora le informazioni sensoriali e ne da una rappresentazione che forma la nostra percezione del mondo esterno. Questa rappresentazione è, per sua natura, una cosa differente dalla realtà, ma è tramite questa rappresentazione che possiamo interagire con l’ambiente che circonda.

Questo meccanismo è evidente, ad esempio, nella visione. Senza questa “reinterpretazione” non potremmo gustarci le animazioni. Spero che tutti sappiano cosa è un frame-rate e che le immagini che vediamo in TV o al cinema sono costruite sfruttando il fatto che il nostro occhio impiega un certo lasso di tempo per “recepire” una immagine che poi viene interpretata dal sistema visivo, e tale sistema produce la sensazione di moto reintepretando le sequaneze di immagini ricevute. Se non lo sapete allora la questione è più grave del previsto 🤣😂.

Se paradossalmente la questione dal punto di vista biologico è chiara ed evidente, lo è meno dal punto di vista della comprensione umana del fenomeno. Il meccanismo di rappresentazione del cervello è tale che si ha la sensazione che ciò che “proviamo” sia la realtà, anche se sappiamo che questa “evidenza” altro non è che una rappresentazione e come tale frutto di una elaborazione.

Se cambiamo i parametri della elaborazione cambia la realtà? La questione è complessa in quanto la realtà non si limita ad elementi semplici, anzi, nulla nella realtà è semplice.

Ciò che “è”, “è” e non può non essere.

Su questo sillogismo si basa la maggior parte della nostra logica, la sua evidenza era chiara fino a quando la filosofia naturale (la chiamano scienza oggi come oggi) non ha scoperto che un assunto del genere non è più assoluto.

Se la filosofia ha iniziato a demolire questo postulato da tempo immemore (esagero lo so, ma immemore mi piace come termine), sono la matematica e la fisica che ne hanno decretato la fine; se da un lato la matematica, ad esempio, si è aperta all’irrazionale (in termini matematici, non in termini psichiatrici🤣 ) con l’introduzione dei numeri omonimi, la fisica con il principio di indeterminazione e poi con il dualismo particella onda ha fatto crollare le nostre certezze…

Chiunque abbia un minimo di infarinatura di filosofia e filosofia della scienza queste cose le avrà, probabilmente, già incontrate.

Purtroppo il mondo moderno ha deciso che si possa egregiamente fare a meno di logica e filosofia, come se queste servissero non a darci strumenti di analisi del reale ma fossero oggetti campati per aria ad uso di gente che non ha niente da fare di concreto, e quindi siamo rimasti privi di quegli strumenti basilari che ci consentano di gestire una dicotomia in cui il mondo rifiuta il principio di non contraddizione mentre noi non siamo capaci di pensare senza di esso.

La realtà non è ciò che percepisco, ma non lo capisco

Il risultato di questo buffo paradosso è che di fatto adottiamo strumenti di analisi logica (non parlo di quella di analisi del testo) inadatti a descrivere la condizione attuale di una realtà che sembra non rispettare le nostre leggi mentali. Il risultato si riflette in un atteggiamento che vincola la nostra esperienza ad atti di fede che ci consentono di interpretare cosa stiamo provando senza esserne sopraffatti.

In realtà il meccanismo di accettazione fideistica degli strumenti di interpretazione è alla base del nostro processo naturale di apprendimento, nessuno pensa (o dovrebbe pensare) di poter gestire, tramite l’analisi empirica, tutto lo scibile che è costretto a processare per la costruzione del modello della realtà che lo circonda.

Impariamo dai genitori, a scuola, in contesti sociali, sul lavoro. E da questi apprendimenti, anche per emulazione e desiderio di integrazione, formiamo sostanzialmente il nostro bagaglio di verità e costrutti morali ed etici. Bagaglio cognitivo che ci occorre per interpretare, capire, la realtà complessa che ci circonda.

Tutte le volte che affrontiamo un problema partiamo da due posizioni distinte: o non ne sappiamo nulla e, forse, cerchiamo di informarci, o abbiamo già un preconcetto e cerchiamo di confrontare il problema con tale strumento.

[nota dell’autore, per preconcetto si intende una idea, modello, interpretazione dell’evento fatta a priori e basata sulle nostre precedenti attività o conoscenze]

[nota dell’autore: non sapere nulla di un argomento non significa sapere di non sapere dell’argomento. I meccanismi associativi per “similarità” spesso ci danno l’imprressione di conoscenza anche su argomenti di cui non sappiamo nulla.

In realtà entrambi i meccanismi presuppongono che noi si abbia già una serie di dati esperienziali da cui partire, e questi dati sono essi stessi frutto di preconcetto o comunque di rielaborazioni. La imparzialità è una utopia legata al fatto proprio che la nostra esperienza è parziale. Ma questo è nella natura umana, e l’accettazione di tale meccanismo dovrebbe portare allo sviluppo di strumenti di analisi critica della realtà nella forma che vediamo.

Quindi?

Il problema nasce dal fatto che, in mancanza di modelli cognitivi diversi, ci troviamo a fare delle scelte di accettazione “fideistica” dei parametri di costruzione del modello della realtà. Sono scelte di fede razionale, nel senso che accettiamo per vero un dato in funzione della analisi, più o meno razionale, che facciamo della sua sorgente. Una volta accettato il dato questo diventa postulato della nostra interpretazione della realtà, fino a che non abbiamo la possibilità e la volontà di metterlo in discussione.

Parole inutili? Filosofia spicciola? Forse si, ma se facciamo mente locale a come noi costruiamo il mondo che ci circonda ci dobbiamo per forza confrontare con il fatto che dobbiamo credere a qualcuno o a qualcosa.

Il reperimento delle informazioni: è vero perché’ ci credo

Non potendo vivere in un relativismo assoluto (che, se vogliamo, essendo un assoluto non è relativo) quando siamo di fronte ad un dato lo processiamo come vero o falso in funzione della fiducia che associamo alla fonte che ce lo tramette. Spesso questo atto di fede è inconsapevole, il media o l’habitus culturale in cui viviamo ci portano a fare questa scelta.

I primi media che ci danno questa sensazione sono i nostri sensi ed il linguaggio. Noi crediamo vero quello che vediamo perché ci fidiamo dei nostri occhi, poco importa il fatto che dovremmo sapere tutti che i nostri “occhi” non vedono la realtà ma la interpretano.

L’errore visivo è tanto comune quanto non considerato dalla maggior parte della popolazione, anche in ambiti estremmente delicati, si pensi all’uso dei “testimoni oculari” in indagini e processi. Considerati comunemente affidabili sono in realtà spesso in errore.

Il problema non è, in molti casi, la buona fede, ma il fatto che le attività di processo dell’immagine e le successive elaborazioni (dalla costruzione stessa nel cervello della immagine, che deve per sua natura ridurre la quantità di dati processati tramite assunzioni esperienziali precedenti, alla sua gestione e ricostruzione mnemonica che alterano le “immagini” a causa di referenze ed inferenze di dati esterni e interni) possono portare a Bias non indifferenti rendendo il tasso di errore estremamente alto.

Cosi come la vista anche il linguaggio ci guida nella scelta di chi fidarci e che dati siamo in grado di processare, se non capiamo una fonte la consideriamo inaffidabile, la “comprensione” linguistica diventa quindi un elemento di discernimento tra il vero ed il falso. Quando si parla di linguaggio dobbiamo fare lo sforzo di considerare l’aspetto sia sintattico che semantico. La questione non è ininfluente, uno dei problemi fondamentali di chi si occupa di information tecnology e security è proprio la assenza di strumenti linguistici da parte dei non addetti ai lavori cui l’IT o la security si rivolgono. Il risultato di tali incomprensioni (più o meno coscienti) porta, ad esempio, alla endemica incapacità di fare calcoli di ROI reale in ambiente informatico, o alla deprimente mancanza di sviluppo di sistemi di organizzazione aziendale che siano confacenti alle possibilità delle nuove tecnologie.

La questione linguistica non è quindi secondaria alla credibilità. Quando parliamo con un Board o semplicemente col nostro capo saremo più efficaci quanto più sapremo creare un ponte tra quello che vogliamo dire e le capacità linguistiche del destinatario. Si tenga presente che le capacità linguistiche sono legate al linguaggio “tecnico” utilizzato negli ambiti specifici. Tutti i gruppi al loro interno tendono ad usare linguaggi autoreferenziali costruiti su esigenze in parte tecniche ed in parte di appartenenza. Il ponte linguistico (la divulgazione) è spesso uno degli elementi mancanti nella comunicazione tra gruppi che appartengono a lingue tecniche diverse. Questo è fondamentalmente il motivo per cui chi si occupa di sicurezza fa fatica a parlare e capire chi si occupa di legge, IT o finanza e viceversa. E, come si diveva prima, se non ci si capisce non ci si “crede”.

Credere a qualche cosa diventa un atto di fede sempre più forte man mano che aumenta la complessità del problema e della analisi che facciamo di esso. Durante gli studi ci fidiamo dei libri di testo, e questi ci portano a rappresentare la realtà in funzione di quello che abbiamo imparato. Questo significa, fondamentalmente, che la nostra percezione del vero è legata a quanto ci fidiamo della sorgente dei dati o del modello che utilizziamo sin dall’inizio della nostra esperienza cognitiva e di apprendimento. Alla fine noi diamo un valore di verità che non è oggettivo ma legato allo storico delle nostre rielaborazioni percettive e pregressi apprendimenti.

Non è vero perché vero, ma perché lo ritengo tale in quanto ho, ad un certo livello della analisi, dato per veritieri dati forniti da sorgenti esterne (o interne) a me.

Dal momento che non possiamo vivere in una costante sensazione di relativismo cognitivo ed esperienziale tendiamo ad assolutizzare queste “verità” come assiomi o postulati che espandono il bias cognitivo alla base.

La assolutizzazione delle verità cosi costruite va dal “abbiamo sempre fatto così” al “ho cose più importanti di cui occuparmi”.

La questione ha appassionato i filosofi per secoli, pur senza scomdare Kant e la dicotomia tra fenomeno e noumeno possiamo dire che questi temi hanno una rilevanza cognitiva e culturale non indifferente.

Nella parte conclusiva della Critica della ragion pratica leggiamo una delle più celebri pagine di Kant che così recita: <<Due cose riempiono l’animo di ammirazione e venerazione sempre nuova e crescente, quanto piú spesso e piú a lungo la riflessione si occupa di esse: il cielo stellato sopra di me, e la legge morale in me.

L’uomo buono o cattivo si distinguono dalla adesione alla legge morale assoluta, che è distinta dalla sfera noumenica in cui l’uomo ha dei limiti (anche, se non altro, quelli percettivi).

In questa ottica si corre però un rischio molto grosso: quando la nostra analisi critica aggiunge un valore morale al concetto di “vero” o “falso”, conseguentemente, il vero o falso diventano “buono” o “cattivo”.

Complottisti e debunker

Un classico esempio di questa deriva è il dualismo complottista – debunker. In questo confronto entrambe le “fazioni” usano strumenti di analisi della realtà analoghi, ma utilizzano una valutazione diversa della analisi delle fonti dei dati e, quindi, della veridicità delle medesime.

Il problema è se credere a qualcosa ed a chi credere, in funzione di questi assunti si decide quale sia la realtà. Cosi se da un lato il non credere ad alcune fonti legittima la ricostruzione alternativa, dall’altro proprio il credere alla fonti determina la eventuale accettazione. Volendo trascurare la malafede, e quindi l’interesse a modificare volontariamente le informazioni, le analisi di entrambi sono spesso logiche e razionali, salvo il fatto che non riconoscendo l’uno la veridicità dei dati dell’altro, le conclusioni sono possibilmente antitetiche.

Introducendo però un fattore di analisi morale alla scelta della veridicità del dato si introduce anche una chiave di lettura tale per cui le due fazioni sono certe della malafede (o stupidità) della controparte proprio per il non volere accettare la evidente veridicità del dato di partenza usato per l’analisi.

In questi termini la “assolutizzazione” delle verità di cui si parlava qualche paragrafo addietro assume un valore critico.

La realtà è che entrambe le parti hanno speso ottimi motivi per dubitare o credere alle fonti da cui fanno partire l’analisi ma i loro modelli di ricostruzione della realtà portano spesso ad un “dialogo tra sordi”.

Questo meccanismo è evidente sia nelle polemiche complottistiche ma anche, ad esempio, nella realtà politica italiana dove il dato oggettivo non solo non esiste ma viene considerata negativamente (anche dal punto di vista morale) anche l’analisi critica delle fonti (mi ricorda la frase: sei critico del marxismo e quindi fascista).

L’allontanamento dal confronto dialettico per abbracciare una posizione “fideistica” è però psicologicamente riassicurante. Molto piu semplice è credere alla “cattiveria” o “stupidità” dell’avversario che affrontare lo stress cognitivo della messa in discussione della veridicità delle proprie fonti cognitive.

L’aumentare della possibilità di accedere ad informazioni offerto da internet ha, nei fatti, accuito questo fenomeno aggiungendovi una pesante atteggiamento antiscientifico, dando spazio ed adito a fenomeni, nella forma piu ludica quali il “terrappiattismo” o in derive piu preoccupanti a posizioni tipo i “no Vax”.

Si noti che qui non si discute della “correttezza critica” di certe posizioni, ma del problema della accettazione fideistiche che appare in molti soggetti in merito a una posizione o l’altra.

L’atteggiamento antiscientifico ha portato con se un radicalismo delle posizioni con un rigetto della analisi critica e storica dell’evento in favore di una presa di parte parziale ma “di branco” e “moralmente pesata”.

Si pensi ad esempio al terrapiattismo (ma andrebbe bene anche la terra cava o i rettiliani). La assunzione di veridicità della affermazione è impervia a qualsiasi critica. In assenza di un modello unitario che speghi la fenomenologia esperienziale di cose come le stagioni o il ciclo “giorno notte”, si creano “modelli” specifici per il singolo punto che giustifichino l’atto di fede iniziale, si aggiungono spiegazioni sul fatto che la controparte, in maniera malevola, nega la verità per ragioni più o meno oscure. Neppure rilevazioni specifiche pseudo scientifiche contrarie smuovono il consolidato derivante dall’assuno iniziale che è una verità assoluta e morale. Il risultato è che se non credi sei o stolto o in malafede.

Le conseguenze piu pericolose di questo modo di interagire con la realtà sono legate alla gestione dei problemi; non affrontando il problema per quello che è ma per quello io “voglio-credo” che sia e rinunciando al metodo scientifico di controllo, di fatto non definisco il problema e quindi non sono in grado di determinare una soluzione se non con atti di “fede” estremi.

Lo stesso atteggiamento di chiusura si ritrova in tutti i settori, informatica compresa, dove sarebbe opportuno invece cercare di creare modelli di confronto dialettico più aperti invece che chiusure aprioristiche o adesioni talebane. Si pensi a Privacy e GDPR come esempi.

Per capirci la natura del problema è estremamente concreta. Si pensi al fenomeno, comune, del ripetersi degli stessi incidenti di sicurezza informatica presso una azienda. Si potrebbe pensare che imparando dall’incidente si mettano in campo soluzioni e processi per mitigare ed indirizzare il problema. Invece, al di la della estremizzazione della risposta all’attacco (spesso sconclusionata quanto erratica), non si cambiano le assunzioni che hanno portato al problema perchè radicate come “verità” (il famosdo ‘abbiamo sempre fatto così’ non ne è che una esternazione) anche per la incapacità di comunicare tra le varie componenti aziendali vincolate ai loro linguaggi settoriali specifici. E come si diceva all’inizio la verità assume una valenza legata al moduoo comunicativo estremamente forte. Del resto il linguaggio tecnico è vincolato ad assunzioni di verità che ne determinano le caratteristiche.

Metodo scientifico? Cosa è?

Ma perchè il metodo scientifico viene sempre piu rigettato? Uno dei problemi è una fondamentale incomprensione di cosa sia la scienza. Le scienze, non solo quelle naturali, non forniscono verità ma “spiegazioni” dei fenomeni attraverso la modellizzazione e la ripetibilità. I modelli per essere accettati devono avere, almeno, 3 parametri fondamentali:

1. partire da dati di analisi definiti in cui vi sono dati di riferimento, assunzioni di processo e risultati di output
2. costruire un modello del fenomeno che elaborando i dati definiti produca risultati ripetibili e\o confrontabili
3. Una “peer” review che consenta a soggetti informati di analizzare dati, modello ed output evidenziando, se necessario errori e correzioni.

Ora tutti e 3 i punti sono di difficile applicazione nella vita normale in quanto richiedono, a fronte di un problema, di essere in grado di definirne il contorno (e quindi esercitare una azione critica sulla raccolta e processo dei dati), crearne un modello ( e quindi farsi una idea di cosa succede) e, sopratutto, confrontarsi con “esperti” (e quindi mettere in discussione le proprie assunzioni in un confronto paritetico).

Si noti che sia la modellizazione che il fatto che gli output siano ripetibili e\o confrontabili non coincide con la idea classica del metodo sceintifico per esperimento empirico. Se cosi non fosse quasi tutta la fisica teorica del 900 non sarebbe da considerare scienza. In altre parole il metodo scientifico può anche astrarsi dalla realtà empirica.

Risulta evidente come sopratutto la “messa in discussione dei propri assunti in un confronto paritetico” sia la funzione di attrito maggiore, in quanto richiede che vi sia una posizione non morale sul giudizio della eventuale controparte.

Un approccio non “morale” comporta, Ça va sans dire, assumere che la controparte possa comprendere anche il proprio punto di vista a patto di presentarlo in maniera comprensibile (in comunicazione lo sforzo di adattamento maggiore deve essere da parte del mittente che ha i contenuti trasmissivi). Questo vincolo è spesso evidente quando, ad esempio, gruppi aziendali quali IT, Sicurezza, Compliance e Board si confrontano. Non di rado le discussioni partono con un non espresso “ma voi non potete capire”, mentre sarebbe opportuno partire da un “cerco di capire te e tu cerca di fare altrettanto con me, che magari un punto di incontro si trova”.

La sicurezza informatica, mio campo elettivo, soffre profondamente di questi problemi. La mancanza di metodo sceintifico è, nonostante molti si crogiolino nel pensare di essere in ambito STEM, evidente ad esempio nella mancanza di risk management che richiede proprio un approccio scientifico con i 3 punti citati in precedenza. Paradossale che proprio l’ambito ove occorre calcolare dimensioni precise e creare modelli si passi il punto in secondo piano.

Ma non solo la sicurezza informatica avrebbe bisogno di una “strigliata”, tutto il nostro modo di gestire la veridicità delle fonti andrebbe rivisto, sopratutto quando la distanza tra la fonte e la informazione è ampia (come nel caso dei social media). E si ricordi che trovare una adesione di branco ad una informazione non è avere una peer review che, invece, richiede un confronto e quindi una messa in discussione degli assunti.

Se si usasse l’approccio scientifico anche nella lettura dei giornali e delle notizie “googlate” probabilmente molte delle cose scritte e lette assumerebbero un valore diverso, ma toglierebbe a molti leoni da tastiera, manager assoluti ed indiscutibili, politici portatori del verbo e economisti del miracolo il terreno su cui traggono le loro fortune.

Ma occorre anche essere concreti, la idea che si possa analizzare tutti i pezzi di informazione cui siamo connessi è improbabile. Biologicamente abbiamo bisogno di semplifficare il flusso informativo che, altrimenti, ci schiaccerebbe. Quindi una certa parte di relativismo quando leggiamo le informazioni e le assumiamo è opportuno. Del resto anche al fonte più credibile potrebbe sbagliare, almeno parzialmente.

meditate gente meditate 🙂

The email Files: Edizione Speciale- la email ai tempi della guerra.

Non è un bel momento in generale per il mondo, e questo numero degli “The email files” avrei preferito non doverlo scrivere.

Ma occorre essere concreti, e così ho deciso di scrivere un numero dedicato al minimo di igiene che occorre implementare per la mail in caso di guerra, o operazione militare speciale.

Non mi interessa da che parte state, le valutazioni qui espresse sono generali, la sicurezza informatica ha le sue ragioni che sono indipendenti da fedi, credi o appartenenze. Spero quindi che leggiate queste note per quello che sono, semplicemente alcuni consigli per gestire con maggiore sicurezza il media di comunicazione più diffuso ed usato.

Un minimo di contesto.

Mentre nei media mainstream per lungo tempo si è sollevata la leggenda dell’hacker solitario, con cappuccio, merendine, e schermo verde, il mondo reale è abbastanza diverso.

La realtà che muove la sicurezza informatica è molto più complessa, l’hacker solitario è una immagine romanzata e poco credibile. Questo, intendiamoci, non vuol dire che non possano esserci individui particolarmente dotati che lavorano in maniera solitaria, ma che la maggior parte del contesto in cui si muovono i rischi informatici è molto più legato a gruppi organizzati che a tali soggetti.

Soprattutto in termini di cybercrime e cyberwarfare la presenza di gruppi organizzati è una nozione consolidata tra chi si occupa di questi ambiti.

Le considerazioni che seguiranno fanno riferimento principalmente alla mail, ma per larga parte sono estendibili ad altri ambiti.

Il motivo di questa edizione speciale è, di per sé, evidente: siamo, al di là delle sottigliezze linguistiche, di fronte ad uno stato di guerra e questo comporta una escalation di alcune dinamiche che vanno considerate e gestite.

Rischiamo qualcosa?

Dovrei dire che le norme di sicurezza minime andrebbero implementate sempre, a prescindere dalle crisi geopolitiche. Ma sono cosciente che chi non si è mai preoccupato della sicurezza delle proprie informazioni e dei propri dati, che non capisce il valore sotteso agli asset digitali, che non ha idea di dove risieda ed in cosa consista la propria proprietà intellettuale possa trovare difficoltà a reagire di fronte all’alzarsi della paura di attacchi che, proprio in quanto non compresi, suonano ancora più spaventosi.

Allora cerchiamo di fare un poco di chiarezza:

La posta è ancora il primo vettore di comunicazione in campo entreprise, ed uno dei vettori più diffusi a livello personale. è anche uno degli obiettivi spesso usati per sviluppare attacchi sia in ambito aziendale che personale.

Le motivazioni sono diverse, ma al lato tecnico si sovrappone il lato umano. Le email sono lette da esseri umani e quindi la vulnerabilità umana è uno dei bersagli di attacco.

Se lo sfruttamento di tali vulnerabilità in campo criminale assolve a funzioni prettamente di guadagno economico, in tempo di guerra si aggiungono problematiche legate alla disinformazione, spionaggio e anche cyber-warfare.

In particolare va osservato come la commistione tra attività di cyber warfare e criminali portate avanti da alcuni attori possa spostare, a parità di tecnologia usata, obiettivi e quindi danni. Se un obiettivo economico, tipico del cybercrime, è legato all’acquisizione di soldi ma non alla distruzione della vittima (anzi meglio se si può tornare a batter cassa), uno di warfare può essere invece orientato all’annullamento delle capacità operative del bersaglio.

Tutto questo non è compatibile con la favoletta dell’Hacker, ma è compatibile con una realtà molto più complessa.

Anche limitandosi alle notizie apparse recentemente la cosa dovrebbe oramai essere entrata nella comprensione dei più. Qualcuno avrà sentito delle affermazioni del gruppo di cyber-criminali “conti” che ha dichiarato la sua adesione alle azioni russe, mentre il collettivo “anonymous” si è schierato a favore della resistenza in Ucraina.

Ora “conti” è una organizzazione che è dedita da anni ad attività di criminalità informatica (principalmente attacchi ransomware) di cui si sapeva ci fossero legami con l’intelligence Russa, ma fin ad ora non c’era stata una dichiarazione esplicita in tal senso da parte di “conti”.

“Anonymous” invece è un collettivo di “Hacktivisti” che ha avuto momenti di notorietà nei mainstream anche le attività solte in occidente. All’interno della galassia “Anonymous”, decentrata e non organizzata in termini assoluti, è nota da tempo anche la presenza di gruppi con legami al mondo occidentale, sia stati che organizzazioni “private”.

La realtà è che la commistione tra gruppi di hacktivism, spesso dediti al defacing, ddos e data exfiltration, cybercriminali, principalmente dediti ad attività di criminalità informatica tipo gli attacchi ransomware, e gruppi dediti al cyber warfare orientati spesso a spionaggio o danneggiamento delle infrastrutture (stuxnet ricorda qualcosa?) è nota da anni, non è certo una novità delle ultime 2 settimane. Addirittura per alcuni stati, come la corea del nord, tale commistione funge anche come meccanismo di approvvigionamento di valuta per finanziare strutture interne.

la situazione è quindi simile a quella descritta nell’immagine sottostante.

Insomma dalla narrazione del singolo hacker alla realtà corre una certa differenza. diciamo che una definizione delle attività correnti sarebbe più correttamente quella descritta sotto:

che rappresenta in maniera più fedele quello che accade negli ultimi anni.

La posta ai tempi della guerra.

Ma come ci aiutano queste informazioni nel gestire la posta?

Andiamo per gradi, cosi ci capiamo.

Il mondo descritto sopra è così da qualche anno, quindi, per quando sia difficile da credere, le cose da implementare non variano molto da una situazione di guerra ad una di pace per la posta. Quello che cambia, principalmente, è la esposizione al rischio che aumenta dal lato cyber warfare. questo significa che a fronte, come si era detto prima, di attacchi che usano tecnologie analoghe a quelle di tempo di pace, l’obiettivo potrebbe diventare non quello economico ma quello di fermare o distruggere le capacità operative della vittima.

Ovviamente non tutti hanno gli stessi rischi, ci sono obiettivi più esposti ed alcuni meno esposti. Ma considerando che le tecniche in uso sono analoghe a quelle normalmente usate alcune osservazioni vanno fatte.

Social Engineering

Dal phishing alla BEC c’è da aspettarsi che il numero di attacchi sia crescente, e che i temi relativi alla guerra, ai profughi, alle conseguenze economiche della crisi corrente, ed anche alle polemiche politiche sarà in rialzo.

Le aziende che hanno attività nei teatri di scontro potrebbero vedere anche un aumento della pressione di attacchi sulla supply chain.

Una differenza rispetto le operazioni normali, è che la commistione tra cybercrime e cyber-warfare potrebbe spingere l’attaccante a utilizzare la vittima come testa di ponte per effettuare l’attacco verso una terza parte.

Per quello che riguarda le infrastrutture critiche, ricordo che stiamo parlando ancora della posta elettronica, ci potrebbe essere invece lo sviluppo di un attacco lasciato quiescente. Questi target sono spesso obiettivo degli attori di cyber-warfare, il cui modus operandi è spesso esteso su tempistiche diverse rispetto alle attività di cybercrime.

Account Takeover

Essendo la posta un meccanismo che si basa, alla ricezione, principalmente sulla fiducia di riconoscimento del ricevente nei confronti del mittente, le attività di account takeover sono estremamente efficienti perché permettono di aumentare il livello di fiducia sui contenuti perché provenienti da una fonte “credibile”.

Ricevere un messaggio da un mittente noto è infatti un meccanismo molto facile per creare un vincolo di fiducia.

Malware ed altre schifezze

Ebbene sì, il malware continua ad arrivare e ad essere utilizzato. Niente di nuovo sotto il sole, ma il rischio di un aumento anche da questo punto di vista è realistico. Il malware può essere deliverato in diversi modi:

• tramite attachment
• tramite file associato ad una URL
• tramite codice malevolo su una landing page
• …

e via dicendo.

Occorre quindi avere un poco di attenzione.

Cosa fare?

In realtà siamo in un clima di Business As Usual con un livello di rischio più alto. Il che significa che le cose che si sarebbe dovuto fare in tempi normali, adesso diventa ancora più impellente implementarle in maniera corretta.

vediamo di dare qualche indicazione:

1. occorre avere un sistema di protezione della posta avanzato, che sia in grado di offrire analisi su social engineering (esempio phishing, BEC) , malware, e che offra capacità di sandboxing contro il malware
   1. antivirus aggiornato
   2. malware detection in modalità aggressiva
   3. Protezione su URL attiva sia in modalità preventiva ma anche e soprattutto “at click time” per contenuti compromessi post delivery
   4. meglio avere accesso a sistemi di Threat intelligence per monitorare, almeno, che tipo di threat actor sta attaccandovi.
2. approccio cautelativo sulla gestione dei file
   1. Non far passare gli eseguibili MAI
   2. fare scansione di tutto, limitare le eccezioni al minimo indispensabile
   3. nel dubbio metti in quarantena
   4. quello che non si può scansionare (file criptati, zip con password, file danneggiati) non va consegnato direttamente all’utente ma esploso in maniera protetta
3. Usate un approccio restrittivo sui protocolli di email authentication:
   1. Onorate le policy DMARC “reject” e “quarantine”
   2. Quarantenare gli SPF hard fail
   3. Quarantenare errori DKIM
4. Marcate le email provenienti dall’esterno in maniera che siano riconoscibili
   1. aggiungete una nota ad inizio email (nessuno legge fino alla fine) che evidenzi le email provenienti dall’esterno
   2. se non si possono creare note almeno cambiate il subject\oggetto
5. Verificate se serva una regola Anti-spoofing per bloccare almeno per i domini di cui siete sicuri non vengano generate email al di fuori dei vostri mailserver
6. Vietate lo scambio di posta per lavoro da parte di domini di email pubbliche (ex gmail, libero) a meno che non sia strettamente necessario
7. Verificate su canali di comunicazione alternativi (una telefonata vi salva la vita) tutte le richieste “inusuali” tipo cambio IBAN, solleciti pagamenti, comunicazione credenziali
8. Utilizzate sistemi di remediation automatica, nessun sistema è perfetto, non considerare la remediation vuol dire non ragionare in termini di sicurezza.
9. Formate gli utenti ed alzate il loro livello di attenzione.
10. Limitate al massimo le safelist, riducendole in numero e in termini di utenti cui le applicate. Se possibile non fate safelist che coinvolgono tutti gli utenti, leggetevi “the email files” sul safelisting

Insomma diciamocelo, non sono regole fuori dal mondo. A parte il riferimento alla threat intelligence il resto dovrebbe essere BAU (non nel senso del cane ma di Business as Usual).

Niente panico ma un minimo di norme di sopravvivenza, che in realtà funzionano anche in tempo di pace.

Buona serata

Antonio

Avviso ai naviganti

Avviso ai naviganti:

data la situazione corrente di guerra in corso, residuo pandemico, il carico di lavoro e la mia personale condizione oncologica ed ontologica (non è un errore di battitura, mi hanno tolto un tumore al colon ad inizio anno ma non mi va di parlarne e ho troppo da fare, ma va bene scherzarci sopra) ho ridotto drasticamente lo spazio per la pazienza quindi:

1) cercherò di non entrare nel merito delle questioni geopolitiche e\o pandemiche e\o socio-economiche correnti, fattasi eccezione per l’uso, garantito dalla costituzione, di sana ironia e malcelato sarcasmo di fronte ad evidenti baggianate. Quindi non escludo innoqui perculamenti, che non significano necessariamente un giudizio morale negativo nei confronti del perculato.😎

2) ho pazienza limitata, chi non accetta il lazzo (che in italiano potrebbe essere tradotto come “scherzo”) e si offende o, analogamente, usa l’ingiuria e l’offesa per sostenere le sue posizioni nei miei confornti, potebbe finire bloccato. Non per colpa sua, ma per la mia lungimirante esigenza di proteggere le mie comunicazioni in periodo di scarsa pazienza.

3) le mie comunicazioni aperiodiche potrebbero essere ancora più aperiodiche del solito, abbiate pazienza.

4) ho comprato un ampli per chitarra nuovo, e quindi potrei decidere di impegnare un poco del mio poco tempo libero su cose ben piu importanti che dissertare sulle vicende del globoterraqueo.

5) ricordatevi che il mio approccio “non ti considero cretino per le cose che dici, ma considero che dici certe cose perchè sei cretino” vale sempre anche e sopratutto per me stesso, figuriamoci per gli altri.

6) se non mi conosci, non sai la mia storia o le mie esperienze prima di fare commenti almeno va a vedere la mia bio, che non riporta tutto ma almeno un minimo dovrebbe farti capire chi chi parli cosi risparmiamo entrambi tempo ed energie.

7) se pensi che mi possa sentire intimidito per il tuo ruolo o supponenza, magari ti stai sopravvalutando un poco troppo, ma non per te… è che ho ben altre cose più impellenti di cui preoccuparmi.

8) se ti ho già bloccato (successo 2 giorni fa l’ultimo caso) non vedrai questo messaggio, ma eventualmente chiedi a qualcuno di leggertelo 😂🤣

9) Se non riesco a rispondere a messaggi o post in tempi accettabili è a causa dei punti 1-8.😋

10) comunque sia voglio bene e rispetto la maggior parte di voi, anche se non tutti 🤣😂😋

ed anche oggi ho fatto un decalogo, spero che Alessandro apprezzi lo spirito evangelizzatore che mi pervade.

Notice to sailors:

given the current in-progress war situation, pandemic residue, the workload, and my personal oncological and ontological condition (it is not a typo, they removed a colon cancer at the beginning of the year, but I don’t want to talk about it, and I too much to do) I drastically reduced the space for patience so:

1) I will try not to enter into the merits of current geopolitical and/or pandemic and/or socio-economic issues, except for the use, guaranteed by the constitution, of healthy irony and ill-concealed sarcasm in the face of blatant nonsense. So I do not exclude harmless percolations, which do not necessarily mean a negative moral judgment towards the percolated

2) I have limited patience; those who do not accept the joke (which in Italian could be translated as “joke”) and are offended or, similarly, use insult and offense to support their positions against me could end up blocked. Not his fault, but my far-sighted need to protect my communications in times of lack of patience.

3) my aperiodic communications could be even more aperiodic than usual, be patient.

4) I bought a new guitar amp, and therefore I might decide to spend some of my little free time on things much more critical than disserting on the events of the globe.

5) remember that my approach, “I do not consider you stupid for the things you say, but I consider that you say certain things because you are stupid,” is always valid also and above all for myself, let alone for others.

6) if you do not know me, you do not know my history or my experiences before making comments. At least go and see my bio, which does not report everything. Still, at least a minimum should make you understand who you’re talking to so we both save time and energy.

7) if you think I may feel intimidated by your role or arrogance, maybe you are overestimating yourself a little too much, but not for you … it’s just that I have much more urgent things to worry about.

8) if I have already blocked you (it happened two days ago in the last case), you will not see this message, but possibly ask someone to read it to you 😂🤣

9) If I can’t reply to messages or posts at an acceptable time, it is because of points 1-8.😋

10) however it is, I love and respect most of you, even if not all 🤣😂😋

and even today, I made a decalogue; I hope Alessandro appreciates the evangelizing spirit that pervades me.

#vaccatadellasera #quellidelfascicolop