Innovation Circus 2009: intervista a Raoul Chiesa, noto hacker ed esperto di sicurezza infomatica

Internet ha sempre rappresentato il simbolo di libertà totale e luogo di comunicazione globale, dove tutto è permesso, dove non esiste censura e ormai è parte integrante della vita di molti.

Spesso i media tradizionali demonizzano internet, descrivendolo come luogo "insicuro" e "pericoloso", soprattutto per i più piccoli.
La paura, in realtà, nasconde una conoscenza parziale o insufficiente del mezzo e questo è sufficiente per far allontare le persone da uno strumento che nasconde in sè potenzialità infinite.

Abbiamo parlato di questi temi all'interno di un'intervista con uno dei massimi esperti italiani in sicurezza informatica, Raoul Chiesa, passato da hacker e ora alla guida della sua società di consulenza in sicurezza informatica, @ Mediaservice.net

Buongiorno Dott. Chiesa, si può presentare rapidamente?

Raoul Chiesa, classe 1973, torinese. Ho iniziato facendo hacking, quando non era un reato nel nostro Paese, nel 1986. Ho proseguito sino al 1995, quando fui coinvolto nell'operazione internazionale di polizia "Ice Trap". Nel 1997 ho fondato la mia società di consulenza, @ Mediaservice.net, oggi tra i leader europei nel campo del security consulting.
Ricopro ruoli istituzionali, tra i quali l'essere Membro del Comitato Direttivo del CLUSIT (Associazione Italiana per la Sicurezza Informatica) e Senior Advisor e responsabile delle Alleanze Strategiche & Cybercrime Issues presso le Nazioni Unite all'UNICRI, United Nations Interregional Crime & Justice Research Institute.
In questi ultimi anni mi sono principalmente occupato del progetto HPP - Hackers Profiling Project - supportato dall'ISECOM (Institute for Security and Open Methodologies) e dall'UNICRI stessa.
Giro il mondo per conferenze sul tema, sia presso eventi "standard" che "underground", dall'Australia all'Asia, passando ovviamente per l'Europa. Sono diventato, volente o nolente, una sorta di "punto di riferimento", e per l'underground digitale internazionale e per i media.
Con HPP abbiamo voluto rompere molti dei clichè tipici di quando si parla di hackers. Dopo circa 8 anni di ricerca, mi sento di dire che conosciamo il mondo dell'hacking, probabilmente, piu' di chiunque altro, avendo analizzato il fenomeno dal punto di vista tecnologico, sociale, psicologico, economico e criminologico.


I media parlano spesso di internet negativamente. Uno dei motivi piùcitati è il rischio che, attraverso la rete, è possibile rendere accessibili a chiunque i propri dati personali. Lei, esperto di sicurezza informatica e hacker di fama mondiale, cosa ne pensa? E' realmente così?

La risposta purtroppo e' si'. Ci sono, pero', ovviamente, dei "ma".
Queste insicurezze ci sono per vari motivi. I primi sono, naturalmente, problemi di sicurezza, e quindi "tecnici": la software house che scrive codice insicuro, il portale web che ha delle falle di sicurezza, il security manager che "si dimentica" (o, molto piu' sovente, non ne ha il tempo e/o le risorse umane necessarie) di aggiornare le security patch.
C'è però un altro aspetto, l'utente. Prendiamo per esempio la notizia di questi giorni, "l'hacking" alle caselle email di Yahoo, Gmail ed Hotmail/MSN: non c'è stato alcuna azione di "hacking", nessuna violazione informatica, nessuno e' stato "bucato". Si e', molto banalmente, trattato di un attacco di phishing, ovverosia false email inviate ai proprietari delle caselle email, nelle quali i "bad guys" richiedevano, spacciandosi per i gestori del servizio, i dati di Login, Password e così via.
Non ci vedo nulla di "hacking" in tutto ciò, e la colpa non è certo dei gestori: se io, utente, sono così sprovveduto da rispondere ad una mail del genere, certamente sono io a sbagliare.
La risposta, quindi, qual è ? Nel nostro Paese, così come in molti altri, c'è bisogno di cultura informatica, educazione alla sicurezza IT, sensibilizzazione.


Quali consigli pratici e quali accortezze si sente di dare alle persone per usare internet senza paure e navigare in totale sicurezza?

Sono delle regole base, un pò come il viaggiare sicuri in automobile. Se prima di metterci in viaggio dobbiamo controllare il livello dell'olio, la pressione delle gomme ed, ovviamente, indossare la cintura di sicurezza, su Internet le analogie sono molteplici, e molto semplici da realizzarsi:
1) Avere sempr eun antivirus, aggiornato, a bordo
2) allo stesso modo, dotarsi di strumenti di AntiPhishing (oramai di serie, e gratuiti, su Internet Explorer, FireFox e così via: vedere anche www.apwg.org, l'associazione internazionale contro il Phishing) e di uno scanner per Spyware
3) non aprire MAI allegati, script, etc inviati da persone che non conosciamo
4) allo stesso modo, non rispondere MAI a mail inviate da persone che non conosciamo e ci propongono "affari strani", "eredita'", "big business", "vincita alla lotteria" e quant'altro
5) ...usare la testa. Internet è un pò come essere in strada: daremmo confidenza a chi non conosciamo ?

Matteo