Intervista a Matteo G.P. Flora, autore di Lastknight.com e direttore tecnico dell’Osservatorio Permanente Privacy e Sicurezza
Inserito da Redazione il Gio, 2006-10-17 13:28
IT Colloquia | Ottobre 2006 | Security
061017-matteoflora
IsacaRoma: Ciao Matteo e grazie per la collaborazione. Puoi presentarti
e presentare OPSI?
Matteo Flora: Mi chiamo Matteo Flora, mi occupo di sicurezza informatica in senso lato, abbracciando dalle problematiche di autenticazione e di penetration testing alle policy aziendali e certificazione in supporto ad enti pubblici e privati.
Attualmente alterno l'attività di consulente a quella di oratore per una serie di eventi e convegni.
Ho assunto la direzione tecnico-scientifica di OPSI (Osservatorio italiano di Privacy e Sicurezza) in seno all'Associazione Informatici Professionisti (AIP) nel mese di maggio con estremo piacere e soddisfazione personale. OPSI si occupa del coordinamento degli skill di sicurezza informatica presenti tra le centinaia di soci professionisti, in un'ottica di integrazione e di collaborazione con organizzazioni esterne ed enti istituzionali.
La larghissima base di esperti dell'associazione si concretizza all'interno di OPSI con la presenza di professionisti di altissima levatura che si muovono in sinergia per approntare soluzioni e strategie in un mondo, quello della sicurezza e della privacy, che in Italia risulta troppo frammentato.
In un'ottica non tanto di coordinamento quanto di sincretismo, OPSI si prefigge lo scopo di mettere a confronto e a colloquio le realtà italiane per creare un tavolo comune in cui discutere e pianificare.
IR: Ti definisci "Privacy and Security Consultant, ISO17799/BS7799 Security Auditor, Team Leader e Software Architect .NET". Puoi specificare meglio queste tue competenze? In particolare il riferimento a ISO17799 indica che lo ritieni lo standard di riferimento per la security?
MF: Le competenze di un "esperto in sicurezza" sono obbligatoriamente variegate e poliedriche. È impensabile abbracciare la sicurezza in generale anche se il supporto di linee guida agevola fortemente la sistematizzazione dei processi. Per questo qualche anno fa mi sono avvicinato a ISO17799 che nei paesi anglosassoni ha stabilito (insieme alla Sarbanes Oxley) uno standard di riferimento di base per fornire alle varie competenze uno "zoccolo duro" di riferimento.
Attualmente credo che gli standard di eccellenza siano rappresentati, a seconda degli ambiti, dalle linee guida ISECOM e OWASP e dalla ISO 27001 per le grandi aziende, fermo restando che ogni percorso se preso letteralmente lascia aperte voragini o spiragli che possono e devono essere contemplate con il giusto discernimento.
IR: Cosa pensi dello stato della sicurezza delle informazioni nel nostro paese? Dove occorre intervenire a tuo avviso?
MF: In Italia assistiamo da qualche anno allo strano fenomeno del dilagare del fantomatico "allegato B" alla legge 196/2003 che secondo il mio modestissimo parere ha causato un danno ingentissimo alla visione della sicurezza nell'opinione pubblica. Sempre più spesso assistiamo a scenari in cui la "messa in sicurezza" di una società si rifà esclusivamente all'adempimento degli obblighi di legge sanciti da un allegato che null'altro implementa se non una basilare e becera infrastruttura rifacentesi a concetti sorpassati da almeno un quinquennio. Con questo, non mi si fraintenda, non voglio sostenere che la legge 196 non contenga, nel suo allegato B, una serie di importanti requisiti minimi, ma voglio al contempo sfatare il mito della "sicurezza poiché a norma 196". Molte volte ho tenuto conferenze e seminari sottolineando la differenza sostanziale tra "misure minime" ed "idonee" di sicurezza.
IR: Puoi farci un esempio della differenza tra i due scenari?
MF: Certamente! Se ad esempio osserviamo i criteri per la lunghezza e complessità dei codici di accesso obbligatori a proteggere l'intimità e i dati personali dei cittadini ci rendiamo immediatamente conto che un semplicissimo attacco utilizzando note Rainbow Tables può facilmente decifrare i nostri codici in un tempo sicuramente inferiore ai tempi di sostituzione! Inoltre ritengo francamente ridicoli i tempi di aggiornamento (sei mesi) di un software antivirus: ben sappiamo che spessissimo nemmeno un aggiornamento quotidiano può risolvere il problema dei più diffusi malware e trojan. Ma sono solamente esempi: ho visto svariate realtà perfettamente a "norma 196" rimanere basite quando un attacco ben mirato dissolveva le tanto care misure minime nell'arco di pochi secondi.
IR: Sei autore (con altri) del volume "Sicurezza e privacy: dalla carta ai bit". Quali sono i contenuti principali? Stai lavorando ad altri libri?
MF: L'esperienza della scrittura del volume "Sicurezza e privacy: dalla carta ai bit", sotto la guida dell'amico Gerardo Costabile e con competentissimi amici come l'Avv.Giacopuzzi e l'Ing.Filippi, è stata sicuramente importante e impegnativa. Il volume si prefigge un approccio al tema caldo della "sicurezza e privacy" in un'ottica interdisciplinare che mette a confronto esponenti della FFOO, avvocati, tecnici e giuristi in una visione sicuramente poliedrica del fenomeno, offrendo importanti spunti a tutte le competenze. È un libro tecnico per tecnici appartenenti a differenti tipologie professionali e la sua pubblicazione mi ha dato (e ci ha dato) notevoli soddisfazioni. Per quanto riguarda i nuovi progetti editoriali sto valutando la pubblicazione di un volume sulla crittografia e sui pericoli derivati dalla errata percezione di sicurezza. È un argomento sicuramente controverso affrontato in un'ottica che offre strumenti e conoscenze normalmente associate all'"underground" e quindi mi ritrovo nella difficoltà di reperire un editore sufficientemente aperto agli ideali di "full disclosure" e forse un pizzico coraggioso...
IR: Parliamo del tuo blog Lastknight.com Come nasce? Che tipi di risultati ha portato?
MF: Lastknight.com nasce più di un decennio fa come sito personale: LastKnight o più brevemente LK è infatti il mio pseudonimo in rete dall'inizio della mia "vita connessa". L'avvento del periodo del Blog e soprattutto della mia "carriera" di conferenziere ha notevolmente influenzato il suo scopo originario: se infatti sino a qualche anno fa era possibile rintracciare su lastknight.com solamente qualche informazione sul sottoscritto, il sito è diventato oggi un raccoglitore di idee, articoli, riflessioni e tutorial che seguono il mio percorso non solo professionale ma anche e soprattutto di ricerca. Il pubblico vastissimo che lo segue e che anima i commenti e la MailingList è stato per me fonte di grande vanto (e non nascondo di sorpresa, nei primi tempi) e soprattutto una fondamentale palestra in cui testare le strategie comunicative di maggiore effetto ed efficacia per proporre argomenti settoriali e complessi ad un vasto uditorio.
Credo che l'esperienza di lastknight.com sia stata la principale fonte del mio "successo" come comunicatore.
È da sottolineare inoltre come all'aumentare della community (che conta oggi oltre tremila iscritti alla notify list e oltre 100.000 visitatori al mese) sia anche aumentata la responsabilità che mi sento sulle spalle nel pubblicare informazioni e soprattutto aspetti controversi della tecnica.
Negli ultimi anni alcuni articoli hanno avuto notevole risonanza proprio per la mia volontà di non tacere aspetti realizzativi e/o sistemi di censura. ne è un esempio eclatante l'articolo sulla censura dei siti di azzardo o il manifesto contro la chiusura dei siti relativi al progetto Calciolibero oppure ancora la guida alla anonimizzazione web. Ma non per questo ho mai limitato le informazioni pubblicate, confidando nella responsabilizzazione dell'utente piuttosto che nella ignoranza. Non ho mai pensato infatti che la "security through obscurity" sia la corretta via per implementare un processo evolutivo delle conoscenze della collettività.
IR: Quali sono secondo te i temi "caldi" della sicurezza?
MF: Da un lato puramente consumer credo che il Furto di identità digitale rappresenterà sicuramente uno dei punti caldi dei prossimi anni: assistiamo infatti all'adozione (spesso guidata da cieca ignoranza) di tecnologie per la rilevazione biometrica o tramite RFID tag che spacciano un'improbabile concetto di "irriproducibilità" che, come ho avuto modo di dimostrare più e più volte è una delle menzogne più pericolose che si possano diffondere. Dietro alla falsa sicurezza di identità a prova di furto si nascondono infatti spesso necessità di tracciamento che ben poco hanno a che fare con un reale incremento della sicurezza personale o dello stato. Altro argomento sicuramente caldo è quello della sempre più pesante ingerenza del controllo sistematico delle comunicazioni nella vita quotidiana degli individui: il controllo pervasivo, infatti, rischia di minare alla base il concetto stesso di privacy o di innescare un circolo vizioso di crittografia come base di soli atti terroristici o illeciti. Da un punto di vista prettamente Corporate invece è sicuramente da notare una nuova spinta alle intrusioni informatiche volte al furto di dati, dato probabilmente dai costi sempre più bassi di strumenti e persone di ben pochi scrupoli. Le tecnologie alla base della Blue Pill o di altri sistemi di virtualizzazione parassita saranno sicuramente una sfida importante per la sicurezza del prossimo lustro.
IR: Sei anche un SEO, Search Engine Optimizer. C'è un nesso con la tua attività in ambito sicurezza?
MF: La sicurezza parte dall'informazione, e manipolare l'informazione significa effettivamente manipolare sia l'opinione pubblica che la "coscienza collettiva" che è forse il paradigma di base di quella nuova realtà interconnessa che molti chiamano "Web 2.0". Non so se esista o meno un "Web 2.0" ma so per certo che i meccanismi alla base delle realtà di "search engine" offrono molti lati oscuri che è sempre meglio conoscere e valutare attentamente. Proprio da questo nasce il mio interesse per i motori di ricerca, dopo articoli e conferenze ma, soprattutto, dopo consulenze ad alto livello per realtà che necessitano una ottima padronanza del media "motori" per eccellere nel loro campo di intervento. Consideriamo inoltre che la mole di informazioni contenute in quella che viene comunemente definita il "collective hive" (alveare collettivo) di Google rappresenta una fonte perenne di crack e hack da ricercare e da cui proteggersi. Basti pensare, ad esempio, alle recentissime ricerche riguardo a Google Code (il nuovo servizio di Google che permette di ricercare nei codici sorgenti) e le implicazione di questo su una quantità impressionante di aziende che utilizzano comunemente i software OpenSource indicizzati....
In ultima analisi da quasi un decennio tratto gli argomenti della Privacy e del controllo e credo sia sotto gli occhi di chiunque come il "concetto Google" sia un fattore determinante da conoscere e prendere in esame.
IR: Sei un membro del Mensa (il secondo che intervistiamo dopo Enrico Zimuel) l'associazione di chi ha un quoziente di intelligenza superiore alla media. Che attività svolgete?
MF: La mia partecipazione al Mensa è nata per gioco con una "bravata" con amici a testare il nostro rispettivo QI. Sono sempre stato uno strenuo fautore del concetto per cui un alto QI non è sintomatico di una particolare elevazione o aristocrazia di pensiero, ma solamente indice di una predisposizione al pensiero spaziale-logico-cognitivo che agevola sicuramente in un lavoro come il mio. Comunque sia il Mensa rappresenta in Italia una community coesa che ben poco ha a che fare con le ottiche razziste ed eugenetiste che vengono dipinte a corredo dell'associazione e molto ha invece a che fare con una responsabilizzazione generale e con una ferma volontà di riunirsi e discutere, proponendo seminari e corsi. Il mensano medio adora imparare ed in questo mi sento sì mensano sino in fondo...
IR: Grazie Matteo e buon lavoro
MF: Grazie a voi
Matteo Flora: Mi chiamo Matteo Flora, mi occupo di sicurezza informatica in senso lato, abbracciando dalle problematiche di autenticazione e di penetration testing alle policy aziendali e certificazione in supporto ad enti pubblici e privati.
Attualmente alterno l'attività di consulente a quella di oratore per una serie di eventi e convegni.
Ho assunto la direzione tecnico-scientifica di OPSI (Osservatorio italiano di Privacy e Sicurezza) in seno all'Associazione Informatici Professionisti (AIP) nel mese di maggio con estremo piacere e soddisfazione personale. OPSI si occupa del coordinamento degli skill di sicurezza informatica presenti tra le centinaia di soci professionisti, in un'ottica di integrazione e di collaborazione con organizzazioni esterne ed enti istituzionali.
La larghissima base di esperti dell'associazione si concretizza all'interno di OPSI con la presenza di professionisti di altissima levatura che si muovono in sinergia per approntare soluzioni e strategie in un mondo, quello della sicurezza e della privacy, che in Italia risulta troppo frammentato.
In un'ottica non tanto di coordinamento quanto di sincretismo, OPSI si prefigge lo scopo di mettere a confronto e a colloquio le realtà italiane per creare un tavolo comune in cui discutere e pianificare.
IR: Ti definisci "Privacy and Security Consultant, ISO17799/BS7799 Security Auditor, Team Leader e Software Architect .NET". Puoi specificare meglio queste tue competenze? In particolare il riferimento a ISO17799 indica che lo ritieni lo standard di riferimento per la security?
MF: Le competenze di un "esperto in sicurezza" sono obbligatoriamente variegate e poliedriche. È impensabile abbracciare la sicurezza in generale anche se il supporto di linee guida agevola fortemente la sistematizzazione dei processi. Per questo qualche anno fa mi sono avvicinato a ISO17799 che nei paesi anglosassoni ha stabilito (insieme alla Sarbanes Oxley) uno standard di riferimento di base per fornire alle varie competenze uno "zoccolo duro" di riferimento.
Attualmente credo che gli standard di eccellenza siano rappresentati, a seconda degli ambiti, dalle linee guida ISECOM e OWASP e dalla ISO 27001 per le grandi aziende, fermo restando che ogni percorso se preso letteralmente lascia aperte voragini o spiragli che possono e devono essere contemplate con il giusto discernimento.
IR: Cosa pensi dello stato della sicurezza delle informazioni nel nostro paese? Dove occorre intervenire a tuo avviso?
MF: In Italia assistiamo da qualche anno allo strano fenomeno del dilagare del fantomatico "allegato B" alla legge 196/2003 che secondo il mio modestissimo parere ha causato un danno ingentissimo alla visione della sicurezza nell'opinione pubblica. Sempre più spesso assistiamo a scenari in cui la "messa in sicurezza" di una società si rifà esclusivamente all'adempimento degli obblighi di legge sanciti da un allegato che null'altro implementa se non una basilare e becera infrastruttura rifacentesi a concetti sorpassati da almeno un quinquennio. Con questo, non mi si fraintenda, non voglio sostenere che la legge 196 non contenga, nel suo allegato B, una serie di importanti requisiti minimi, ma voglio al contempo sfatare il mito della "sicurezza poiché a norma 196". Molte volte ho tenuto conferenze e seminari sottolineando la differenza sostanziale tra "misure minime" ed "idonee" di sicurezza.
IR: Puoi farci un esempio della differenza tra i due scenari?
MF: Certamente! Se ad esempio osserviamo i criteri per la lunghezza e complessità dei codici di accesso obbligatori a proteggere l'intimità e i dati personali dei cittadini ci rendiamo immediatamente conto che un semplicissimo attacco utilizzando note Rainbow Tables può facilmente decifrare i nostri codici in un tempo sicuramente inferiore ai tempi di sostituzione! Inoltre ritengo francamente ridicoli i tempi di aggiornamento (sei mesi) di un software antivirus: ben sappiamo che spessissimo nemmeno un aggiornamento quotidiano può risolvere il problema dei più diffusi malware e trojan. Ma sono solamente esempi: ho visto svariate realtà perfettamente a "norma 196" rimanere basite quando un attacco ben mirato dissolveva le tanto care misure minime nell'arco di pochi secondi.
IR: Sei autore (con altri) del volume "Sicurezza e privacy: dalla carta ai bit". Quali sono i contenuti principali? Stai lavorando ad altri libri?
MF: L'esperienza della scrittura del volume "Sicurezza e privacy: dalla carta ai bit", sotto la guida dell'amico Gerardo Costabile e con competentissimi amici come l'Avv.Giacopuzzi e l'Ing.Filippi, è stata sicuramente importante e impegnativa. Il volume si prefigge un approccio al tema caldo della "sicurezza e privacy" in un'ottica interdisciplinare che mette a confronto esponenti della FFOO, avvocati, tecnici e giuristi in una visione sicuramente poliedrica del fenomeno, offrendo importanti spunti a tutte le competenze. È un libro tecnico per tecnici appartenenti a differenti tipologie professionali e la sua pubblicazione mi ha dato (e ci ha dato) notevoli soddisfazioni. Per quanto riguarda i nuovi progetti editoriali sto valutando la pubblicazione di un volume sulla crittografia e sui pericoli derivati dalla errata percezione di sicurezza. È un argomento sicuramente controverso affrontato in un'ottica che offre strumenti e conoscenze normalmente associate all'"underground" e quindi mi ritrovo nella difficoltà di reperire un editore sufficientemente aperto agli ideali di "full disclosure" e forse un pizzico coraggioso...
IR: Parliamo del tuo blog Lastknight.com Come nasce? Che tipi di risultati ha portato?
MF: Lastknight.com nasce più di un decennio fa come sito personale: LastKnight o più brevemente LK è infatti il mio pseudonimo in rete dall'inizio della mia "vita connessa". L'avvento del periodo del Blog e soprattutto della mia "carriera" di conferenziere ha notevolmente influenzato il suo scopo originario: se infatti sino a qualche anno fa era possibile rintracciare su lastknight.com solamente qualche informazione sul sottoscritto, il sito è diventato oggi un raccoglitore di idee, articoli, riflessioni e tutorial che seguono il mio percorso non solo professionale ma anche e soprattutto di ricerca. Il pubblico vastissimo che lo segue e che anima i commenti e la MailingList è stato per me fonte di grande vanto (e non nascondo di sorpresa, nei primi tempi) e soprattutto una fondamentale palestra in cui testare le strategie comunicative di maggiore effetto ed efficacia per proporre argomenti settoriali e complessi ad un vasto uditorio.
Credo che l'esperienza di lastknight.com sia stata la principale fonte del mio "successo" come comunicatore.
È da sottolineare inoltre come all'aumentare della community (che conta oggi oltre tremila iscritti alla notify list e oltre 100.000 visitatori al mese) sia anche aumentata la responsabilità che mi sento sulle spalle nel pubblicare informazioni e soprattutto aspetti controversi della tecnica.
Negli ultimi anni alcuni articoli hanno avuto notevole risonanza proprio per la mia volontà di non tacere aspetti realizzativi e/o sistemi di censura. ne è un esempio eclatante l'articolo sulla censura dei siti di azzardo o il manifesto contro la chiusura dei siti relativi al progetto Calciolibero oppure ancora la guida alla anonimizzazione web. Ma non per questo ho mai limitato le informazioni pubblicate, confidando nella responsabilizzazione dell'utente piuttosto che nella ignoranza. Non ho mai pensato infatti che la "security through obscurity" sia la corretta via per implementare un processo evolutivo delle conoscenze della collettività.
IR: Quali sono secondo te i temi "caldi" della sicurezza?
MF: Da un lato puramente consumer credo che il Furto di identità digitale rappresenterà sicuramente uno dei punti caldi dei prossimi anni: assistiamo infatti all'adozione (spesso guidata da cieca ignoranza) di tecnologie per la rilevazione biometrica o tramite RFID tag che spacciano un'improbabile concetto di "irriproducibilità" che, come ho avuto modo di dimostrare più e più volte è una delle menzogne più pericolose che si possano diffondere. Dietro alla falsa sicurezza di identità a prova di furto si nascondono infatti spesso necessità di tracciamento che ben poco hanno a che fare con un reale incremento della sicurezza personale o dello stato. Altro argomento sicuramente caldo è quello della sempre più pesante ingerenza del controllo sistematico delle comunicazioni nella vita quotidiana degli individui: il controllo pervasivo, infatti, rischia di minare alla base il concetto stesso di privacy o di innescare un circolo vizioso di crittografia come base di soli atti terroristici o illeciti. Da un punto di vista prettamente Corporate invece è sicuramente da notare una nuova spinta alle intrusioni informatiche volte al furto di dati, dato probabilmente dai costi sempre più bassi di strumenti e persone di ben pochi scrupoli. Le tecnologie alla base della Blue Pill o di altri sistemi di virtualizzazione parassita saranno sicuramente una sfida importante per la sicurezza del prossimo lustro.
IR: Sei anche un SEO, Search Engine Optimizer. C'è un nesso con la tua attività in ambito sicurezza?
MF: La sicurezza parte dall'informazione, e manipolare l'informazione significa effettivamente manipolare sia l'opinione pubblica che la "coscienza collettiva" che è forse il paradigma di base di quella nuova realtà interconnessa che molti chiamano "Web 2.0". Non so se esista o meno un "Web 2.0" ma so per certo che i meccanismi alla base delle realtà di "search engine" offrono molti lati oscuri che è sempre meglio conoscere e valutare attentamente. Proprio da questo nasce il mio interesse per i motori di ricerca, dopo articoli e conferenze ma, soprattutto, dopo consulenze ad alto livello per realtà che necessitano una ottima padronanza del media "motori" per eccellere nel loro campo di intervento. Consideriamo inoltre che la mole di informazioni contenute in quella che viene comunemente definita il "collective hive" (alveare collettivo) di Google rappresenta una fonte perenne di crack e hack da ricercare e da cui proteggersi. Basti pensare, ad esempio, alle recentissime ricerche riguardo a Google Code (il nuovo servizio di Google che permette di ricercare nei codici sorgenti) e le implicazione di questo su una quantità impressionante di aziende che utilizzano comunemente i software OpenSource indicizzati....
In ultima analisi da quasi un decennio tratto gli argomenti della Privacy e del controllo e credo sia sotto gli occhi di chiunque come il "concetto Google" sia un fattore determinante da conoscere e prendere in esame.
IR: Sei un membro del Mensa (il secondo che intervistiamo dopo Enrico Zimuel) l'associazione di chi ha un quoziente di intelligenza superiore alla media. Che attività svolgete?
MF: La mia partecipazione al Mensa è nata per gioco con una "bravata" con amici a testare il nostro rispettivo QI. Sono sempre stato uno strenuo fautore del concetto per cui un alto QI non è sintomatico di una particolare elevazione o aristocrazia di pensiero, ma solamente indice di una predisposizione al pensiero spaziale-logico-cognitivo che agevola sicuramente in un lavoro come il mio. Comunque sia il Mensa rappresenta in Italia una community coesa che ben poco ha a che fare con le ottiche razziste ed eugenetiste che vengono dipinte a corredo dell'associazione e molto ha invece a che fare con una responsabilizzazione generale e con una ferma volontà di riunirsi e discutere, proponendo seminari e corsi. Il mensano medio adora imparare ed in questo mi sento sì mensano sino in fondo...
IR: Grazie Matteo e buon lavoro
MF: Grazie a voi
» email this story | printer friendly version | 3420 reads
