In tutto il mondo, la criminalità informatica è in aumento. Entro il 2050, le città e le case intelligenti saranno la norma. Il vostro frigorifero dirà a un drone di prendere il latte fresco quando lo finirete, e i lampioni cambieranno l’intensità dell’illuminazione quando il vostro smartphone sarà nelle vicinanze. In questo mondo iperconnesso, la minaccia che i cyber-criminali rappresentano non farà che crescere. Qual è il futuro della cyber sicurezza?
*********************
Negli ultimi 30 anni, Internet è passato dalla novità alla necessità. Prevedere come saremo al sicuro in un mondo iperconnesso nei prossimi 30 anni è un compito difficile, ma gli esperti prevedono che le smart city e i “deepfake” siano due delle principali sfide della sicurezza informatica che ci attendono.
Già oggi, assistenti vocali e dispositivi come contatori e luci intelligenti stanno diventando la norma. Le città intelligenti andranno oltre, integrando il cosiddetto internet delle cose nelle infrastrutture e negli ambienti costruiti. Tra le possibilità vi sono i lampioni che cambiano intensità in base alla presenza di esseri umani (rilevati dai loro smartphone) e le guide virtuali per gli anziani in caso di smarrimento.
Questa convenienza ha un costo, dice Mariarosaria Taddeo, ricercatrice dell’Oxford Internet Institute e vice direttore del suo Digital Ethics Lab. “La mia idea speculativa è che più si hanno città intelligenti… più ampia sia la superficie d’attacco”.
La signora Taddeo, che è anche borsista dell’Alan Turing Institute, è preoccupata per l’effetto che queste complesse reti avranno sulla sicurezza informatica. Con ogni connessione aggiuntiva, diventa più difficile capire dove sia emersa una vulnerabilità.
“Il tuo Nest (Google) parla con la tua Alexa (Amazon), e la tua Alexa dice al tuo frigorifero cosa deve essere comprato la prossima settimana – quando qualcosa va storto, come mappiamo la connessione e la responsabilità?”
L’intelligenza artificiale è una parte fondamentale dello sviluppo futuro della sicurezza informatica, secondo la signora Taddeo. Tuttavia, tale tecnologia è un’arma a doppio taglio: mentre gli esperti di sicurezza utilizzano i progressi sul campo per identificare e rispondere alle minacce più rapidamente, dice, gli hacker utilizzano la stessa tecnologia per trovare i punti deboli.
Nelle smart city, le possibilità di interruzione sono immense. Gli hacker potrebbero prendere il controllo delle IA che controllano le infrastrutture critiche, per esempio, mettendo le forniture di acqua o elettricità nelle mani di attori malintenzionati.
Altri esperti prendono la speranza dall’evoluzione di software più vecchi come Adobe Flash. In precedenza gli hacker si sono affidati a un unico difetto, dice Ryan Kalember, responsabile della strategia di sicurezza informatica di Proofpoint, una società di protezione tecnologica con sede in California. “Con un bug nel 2010, ho potuto. . . . fare qualcosa di veramente [efficace] perché il sistema non è stato progettato in modo resiliente”.
Entro il 2050, il signor Kalember pensa che gli hacker dovranno invece sfruttare una serie di vulnerabilità del sistema. Ciò significa che gli attacchi tecnici saranno appannaggio solo dei migliori hacker, come la società israeliana di spyware NSO Group, che l’anno scorso ha detto di aver capito come hackerare gli iPhone. “Le vere vulnerabilità tecniche saranno sempre più difficili da trovare”, afferma.
Il signor Kalember trae ulteriore ottimismo dal miglioramento dei metodi di sicurezza: gli smartphone, ad esempio, utilizzano già l’autenticazione biometrica come l’impronta digitale o il riconoscimento facciale al posto delle password. “Avendo cose come l’identificazione facciale diventa sempre più assurdo che abbiamo decine . . . di password gestite in modi profondamente insicuri”, dice.
Questo cambiamento è essenziale, aggiunge, perché, sebbene le vulnerabilità tecniche saranno più difficili da sfruttare in futuro, gli esseri umani sono già l’anello più debole della sicurezza informatica, con gli individui più esperti di tecnologia vulnerabili ad attacchi sempre più personalizzati e complessi.
L’ascesa dei deep fake – audio, video e foto sintetici di persone generati da algoritmi – è una fonte di vulnerabilità. “I deep fake stanno diventando sempre più comuni, sempre più accessibili e sempre più realistici”, avverte Henry Ajder, responsabile delle comunicazioni e dell’analisi della ricerca presso Deep Trace, una start-up che identifica i deep fake.
Gli hacker possono raffigurare qualcuno che dice o fa quasi tutto usando quantità sempre minori di materiale iniziale. Finora, la tecnologia è stata usata principalmente per creare la cosiddetta “pornografia per vendetta”. Ma il rischio di altri usi criminali di deep fake sta crescendo con il miglioramento della tecnologia.
A dicembre, Facebook ha scoperto che un media americano pro-Trump ha utilizzato una tecnologia simile per generare immagini per centinaia di account falsi che sono stati poi utilizzati per diffondere messaggi politici. Questo potrebbe essere usato altrettanto facilmente per generare avatar unici per oscurare l’identità degli hacker quando creano truffe.
Gruppi come Deep Trace stanno lavorando sulla tecnologia per identificare queste immagini sintetiche, ma si tratta di una corsa agli armamenti – ogni nuova iterazione di deep fake è migliore della precedente.
Il signor Ajder ammette che, nel peggiore dei casi, i deep fake potrebbero peggiorare l’ambiente della disinformazione, creando un mondo “dove non si può dire cosa è reale”. Un modo in cui immagina di contrastare tutto ciò è attraverso le “password semantiche”. Queste utilizzano informazioni specifiche che solo un contatto stretto potrebbe conoscere, come ad esempio un ricordo, per differenziare gli esseri umani dai doppelgängerdigitali.
Con il miglioramento dei sistemi per l’identificazione di deep fake e l’aumento dei livelli di alfabetizzazione mediatica tra gli utenti, Ajder rimane ottimista sul fatto che il loro impatto possa essere limitato.
Ma la sicurezza informatica nel 2050 non dovrebbe avvenire a scapito della privacy, avverte Taddeo. Lei indica sistemi all’avanguardia in grado di “monitorare tutti i vostri movimenti mentre siete connessi – qualsiasi battuta di tasto, movimento sul trackpad, dove i vostri occhi si muovono”.
Tra la raccolta pervasiva dei dati e l’autenticazione costante, dice, il rischio è quello di creare un panopticon, dove i sistemi di sorveglianza sono ampliati a dismisura rispetto alle minacce.
