SAS 2015: l’evento dell’anno sulla sicurezza IT

L’evento del 15-18 febbraio si sta avvicinando…

In queste date si terrà la nostra settima conferenza annuale sull’Information Security, che si concentrerà sugli ultimi attacchi cibernetici in voga e sui metodi di protezione, oltre a tutta un’altra serie di minacce.

Il summit invernale, come di consueto, avrà luogo in una destinazione al caldo e questa volta andiamo a Cancun, in Messico: ecco a voi il Security Analyst Summit 2015 (SAS).

Vi ricordiamo che l’hashtag di tendenza a metà febbraio per la cybersicurezza sarà #TheSAS2015.

(Nessun esperto di sicurezza è stato maltrattato in questo video).

La conferenza SAS è esclusiva e si accede solo su invito, vi partecipa la crême de la crême degli esperti in sicurezza IT. È un evento piuttosto intimo, non vi partecipano in tanti, per questo è molto più importante e produttivo, oltre che più interessante per chi vi prende parte. Ma non sentitevi esclusi, non ci siamo montati la testa! J Tutto ciò di cui si discuterà durante il summit verrà raccontato su Twitter e sui nostri blog (ricordate l’hashtag che ho appena menzionato).

Nel frattempo, se volete avere maggiori informazioni su cosa è il SAS e la sua storia, date un’occhiata a questo post.

Quest’anno si prevedono temi davvero interessanti, ci sarà anche una première mondiale e due grandi novità, come durante ogni appunamento di questo tipo. Si parlerà soprattutto di attacchi mirati e militarizzazione cibernetica, oltre ai metodi per combatterli entrambi. In agenda ci sono anche: malware per dispositivi mobili, gestione delle vulnerabilità, metodi di analisi delle attacchi informatici, cooperazione tra aziende che si occupano di sicurezza e tanto altro.

Ci saranno presentazioni più generali e altre più specifiche, per veri professionisti (per esempio di ingegneria inversa). Si parlerà un po’ anche di come proteggere le infrastrutture critiche, un argomento molto importante soprattutto perché interverranno degli esperti del settore di fama mondiale.

Data un’occhiata al programma dell’evento, è già disponibile online.

Le bianche scogliere di Dover

Quella scorsa è stata una settimana ricca di impegni di lavoro, prima Londra e poi, come sempre, un po’ di “turismo express”.

Abbiamo affittato un’auto e abbiamo guidato fino alle Bianche scogliere di Dover, la parte che dà al Canale della Manica. È da tempo che sognavo di visitare la costa sud dell’Inghilterra, il luogo in cui d’Artagnan è sbarcato… È proprio qui che cercava i diamanti della Regina, non è vero? (Bisognerebbe rileggere il libro…) Lo stesso successe a Guglielmo primo d’Inghilterra e alla sua truppa…

White Cliffs of Dover in January Continua a leggere:Le bianche scogliere di Dover

I “paladini dei consumatori” vi stanno alle calcagna? Ribellatevi!

Studi legali. Normalmente in tutto il mondo vengono considerati un alleato importante nella lotta tra il bene e il male. Aiutano a far rispettare le regole nel business, fanno in modo che la legge sia sempre più forte e che si ottenga giustizia. Questo è ciò che io e molte persone abbiamo pensato fino ad ora. Ma la situazione è cambiata.

Tutto questo mi ricorda il libro “La fattoria degli animali“, o per meglio dire il settimo comandamento: “Tutti gli animali sono uguali”.

Sappiamo come finisce il comandamento: “Tutti gli animali sono uguali, ma alcuni sono più uguali degli altri”. La frase per intero mi fa pensare agli studi legali di oggi. Alcuni sono corretti, molto utili e seguono le regole alla lettera. Altri sono “più uguali degli altri”, ovvero scorretti, inutili e che se ne infischiano delle regole, lavorano al di fuori e al di sopra della legge, nonostante il loro compito sia seguire le norme! Signore e signori, sto parlando degli studi legali senza scrupoli che manipolano la legge per racimolare un bel gruzzolo dalla aziende (piccole e grandi) che non hanno fatto nulla di male!

Su questo blog ho parlato molte volte dei patent troll (e della nostra decisione di non cedere mai ai loro ricatti). Oggi voglio parlarvi di un fenomeno simile in cui ci siamo imbattuti recentemente.

A cosa mi riferisco?

Riassunto della mise-en-scène:

Prendete un’azienda che produce un bene di consumo. Uno studio legale decide di trovare dei piccoli difetti nel prodotto (un difetto si può trovare in qualsiasi prodotto, queste persone sono come maghi, sanno far comparire difetti dappertutto) e quando hanno trovato il miglior difetto, iniziano a cercare un eventuale consumatore che abbia subìto delle conseguenze negative in seguito al difetto in questione e che sia disposto ad avviare una causa contro la casa produttrice. Ciò non riguarda solo il singolo consumatore, ma sono anche disposti a organizzare una class action chiedendo il risarcimento per la violazione dei diritti di un gran numero di consumatori. Sono state anche create un sito Internet e una campagna pubblicitaria (non sto scherzando), dove si chiede ai consumatori di unire le forze per contrastare “gli eccessi, le scorrettezze e l’incompetenza” delle aziende presunte colpevoli.

A una prima occhiata, le intenzioni di queste campagne e i rispettivi slogan sembrano buoni e convincenti. Anzi, sembrano che siano proprio lì per difendere i diritti della gente comune e, dal punto di vista legale, sembra che le loro azioni siano dettate da buoni propositi. Tuttavia, scavando più a fondo, il quadro che ne emerge è totalmente differente: bugie e sotterfugi (se vogliamo dirlo con un tono più “polite”) o delle vere e proprie truffe (se vogliamo dirla tutta).

Questo particolare modello di business è nato negli Stati Uniti molto tempo fa, da qualche parte durante il secolo appena trascorso. Al giorno d’oggi, in USA le class action dei consumatori sono diventate un vero e proprio business. Ci sono siti Internet dedicati che controllano l’andamento di queste cause, inviano email dove si aggiorna della nascita di nuove class action o accordi e spiegano come entrare a far parte di queste cause in un paio di click. Dieci dollari qui, altri dieci dollari là… e riescono a racimolare un bel gruzzoletto.

Allora, le multinazionali con guadagni da milioni e milioni di dollari neanche notano gli effetti di queste class action. Per le aziende non dalle dimensioni spropositate, come ad esempio le piccole compagnie di software, il denaro da dedicare alle risoluzioni di queste class action viene preso dai fondi dedicati allo sviluppo di nuove tecnologie; spesso, è più facile dichiarare bancarotta e ricominciare tutto daccapo.

Io non so quante decine di migliaia di avvocati si guadagnino la pagnotta in questo modo o quali siano i profitti effettivi (si è calcolato circa 6-8 miliardi di dollari); quello che so è che si tratta di un fenomeno piuttosto diffuso. E so anche per certo (lo hanno ammesso loro stessi) che il motivo principale per cui questi avvocati intraprendono class action è per guadagno e soddisfazione (passare direttamente al minuto 2:11 del video).

Non c’è da stupirsi. I costi sono minimi (non hanno bisogno neanche di comprare i brevetti!) e i tribunali tendono a prendere le parti dei consumatori -“vittime”, nel tentativo di proteggerli dagli “eccessi del capitalismo”. È normale anche che la controparte (le aziende obiettivo dell’estorsione) preferiscano trovare un accordo prima di arrivare in tribunale: molti non possono permettersi una causa (i cui costi non sono pochi), oppure risulta più facile e più economico pagare il riscatto invece di impelagarsi in inconvenienti legali e burocratici. Il risultato finale è la crescita esponenziale del numero di avvocati che si occupano di cause di questo tipo per far soldi.

Siete ancora convinti che questi avvocati stiano cercando giustizia e non soldi facili?

Vi faccio un altro esempio…

Uno dei nostri concorrenti (si tratta di una notizia di pubblico dominio ma preferisco comunque non fare nomi) ha chiuso un accordo per risolvere una class action pagando 700 mila dollari agli avvocati della controparte, 1,25 milioni di dollari a organizzazioni di terze parti e 9 dollari più tre mesi di abbonamento gratuito al prodotto per ogni consumatore che ha partecipato alla class action! Per farvi capire quanto si preoccupino di salvaguardare gli interessi del consumatore. 🙂

Proprio un anno fa abbiamo scoperto di essere obiettivo di questi “paladini dei consumatori”. Ma non avrebbero dovuto perdere tempo con noi…

Abbiamo una politica molto rigida nel caso di comportamenti senza scrupoli come questi: nessun tipo di accordo o compromesso. Lottiamo fino alla fine. Questa scelta comporta delle difficoltà, ne siamo coscienti, e soprattutto dei costi ma ne vale la pena, soprattutto quando scappano con la coda tra le gambe e non si fanno più vedere.

Come dicevo, esattamente un anno fa siamo stati oggetto d’interesse per una di queste cause ignobili, avviata da una certa Barbara Machowicz (e il suo rappresentante legale, lo studio Edelson). Riguardava il nostro prodotto gratuito Kaspersky Security Scan (KSS). Hanno dichiarato che, attraverso KSS, si cercava di indurre in maniera fraudolenta ad acquistare il software a pagamento. Kaspersky Security Scan sarebbe stato creato a proposito per individuare malware indesiderati, vulnerabilità dei software e altri problemi di sicurezza e per “spaventare” l’utente circa minacce alla sicurezza totalmente inesistenti.

Per la cronaca (sicuramente è una coincidenza), Edelson è lo stesso studio di avvocati che si è occupato della causa che ha interessato il nostro concorrente e che abbiamo menzionato qualche riga fa. Analizzando ancora più in dettaglio (è dai dettagli che si scopre il marcio), ci siamo resi conto che con noi hanno usato praticamente gli stessi metodi impiegati nella causa portata avanti contro il nostro concorrente: in sostanza, la nostra citazione era stata copiata dall’altra parola per parola. È come se utilizzassero un template di MS Word con alcuni spazi in bianco che compilavano di volta in volta. 🙂

Non sto a dire quanto siano state diffamanti le loro accuse prive di fondamento… non voglio aggiungere nulla in merito, sarebbe inopportuno. Comunque non abbiamo ignorato le loro dichiarazioni, né le abbiamo prese alla leggera. Dopo aver ricevuto la citazione in tribunale (nonostante le accuse fossero totalmente senza senso), abbiamo analizzato ciò che avevamo d’avanti e, in quattro e quattr’otto, tutto è diventato più chiaro.

Kaspersky Security Scan analizza il computer alla ricerca di programmi dannosi e sospetti, vulnerabilità nelle applicazioni, impostazioni non corrette e altri particolari che potrebbero compromettere la sicurezza del dispositivo. La signora Machowicz ha analizzato il suo computer con KSS e, nonostante non siano stati trovati virus, il programma ha segnalato alcune vulnerabilità, tra cui impostazioni rischiose di Windows e Internet Explorer, avvio automatico di USB e CD, cookies salvati e memoria cache di dati ricevuti via https. KSS ha giustamente decretato il seguente verdetto: “Il tuo computer potrebbe essere a rischio. Problemi rilevati!”

Continua a leggere:I “paladini dei consumatori” vi stanno alle calcagna? Ribellatevi!

Crittografia e sicurezza nel mondo reale: alla ricerca di un equilibrio

La proposta di David Cameron di vietare le comunicazioni personali criptate nel Regno Unito ha scatenato numerosi dibatti e ha sollevato diverse questioni importanti.

La proposta includerebbe vietare nel Regno Unito servizi quali Whatsapp, iMessage o Snapchat. Tecnicamente è possibile farlo, ma non è così facile promuovere l’idea anche perché riguarderebbe ogni canale di comunicazione che utilizzi la criptografia.

Personalmente dubito che tale misura apporti un aumento significativo della sicurezza offline in Gran Bretagna.

Il compito dei servizi di sicurezza e delle forze dell’ordine è quello di proteggere l’utenza dai criminali, dai terroristi e da ogni sorta di minaccia. La proposta di Cameron si muove dunque in questa direzione: i servizi di sicurezza vorrebbero poter accedere alle nostre comunicazioni per poter bloccare e prevenire le attività illegali e proteggere così le persone.

Allo stesso tempo, però, la criptografia è vitale per la cybersicurezza. Viene usata soprattutto per mantenere le comunicazioni al sicuro dagli hacker e dai cybercriminali.

Dobbiamo smettere di proteggere i nostri dati e le nostre comunicazioni online all’insegna di una maggiore sicurezza nel mondo reale? Dubito seriamente che dovremmo farlo.

Penso che anche se la proposta passasse, il divieto di usare la crittografia nelle comunicazioni online non aumenterebbe la sicurezza del mondo offline. Secondo me, non farà altro che danneggiare lo stato della cybersicurezza ed esporrà gli utenti privati, così come le aziende, a ogni sorta di cyber-attacco, hackeraggio e spionaggio.

I governi hanno tentato diverse volte di compromettere la cyber sicurezza per ottenere dati riservati. Per esempio, ci siamo imbattuti in malware disegnati con la collaborazione del governo (come Flame) capaci di sfruttare software legittimi, quali Microsoft Update, per nominarne uno.

Non so che tipo di informazioni di valore riescano ad ottenere durante queste operazioni, ma l’esistenza di certi malware non contribuisce di certo alla sicurezza cibernetica globale.

Forse il vero problema sta nel fatto che i leader mondiali e i servizi di sicurezza trovino che la sicurezza e la cyber sicurezza siano in contraddizione tra loro, mentre, in realtà, l’ultima dovrebbe essere parte integrante della prima.

Il mio 2014: una corsa, un salto e la terra è nostra

Mancano pochi giorni alla fine dell’anno e così, prendendo spunto dal titolo di una nota canzone degli The Smith (Rush And A Push And The Land Is Ours, che più o meno potremmo tradurre con “una corsa, un salto e la terra è nostra”) ho pensato fosse giunto il momento di tirare le somme su questo 2014 che sta per finire. Ma prima di tutto voglio augurare a tutti Felice Anno Nuovo: vi auguro il meglio per questo 2015 che sta per arrivare!

Ed ora cosa, quando, dove, come, perché e tutto il resto…

Un po’ di geografia prima di tutto

Tre anni fa mi è venuto in mente di stilare una lista con quelli che secondo me sono i 100 posti al mondo da non perdere (su cui poi ho scritto il post a cui rimanda il link), una lista di quelli che personalmente ritengo i luoghi più belli al mondo. Non sono ancora stato in tutti i posti che menziono, molti sono ancora “da vedere”. Ma mi emoziona l’idea che ci siano ancora posti “da vedere” all’interno della mia lista dato che continuo a spuntarne continuamente (normalmente durante i viaggi d’affari, anche se è difficile cerco sempre di prendere due piccioni con una fava).

Nel 2014, sei nuovi posti sono stati eliminati dalla lista dei luoghi “da vedere”:

– la Patagonia;
– la grande isola di Hawaii (maggiori informazioni qui e qui);
– i Fiordi norvegesi;
– le isole Curili;
– i tunnel di Gerusalemme;
Katmandu, Nepal.

Che altri luoghi ho visitato che non erano inclusi nella Top 100?

Quattro posti fantastici:

– le scogliere dell’Irlanda dell’ovest (maggiori in informazioni qui e qui);
– le scogliere del sud del Portogallo;
– Monaco e Monte Carlo;
– il monte Fuji (di nuovo).

Le coste irlandesi dovevano essere incluse nella Top 100, ma per poterle includere bisognava eliminarne qualche altro luogo. Ma quale? Non è facile…

Qui invece alcuni degli eventi e avvenimenti più interessanti del 2014, quasi tutti lontani dalle esotiche località incluse nella mia Top 100:

– l’incontro con Angela Merkel;
– l’acquisto di un elefante;
– il lancio dello spacecraft Soyuz a Baikonur;
– provare l’assenza di gravità;
– andare in onda sul principale canale televisivo giapponese;
– il nostro ufficio nominato “Best Office in Moscow – 2014”.

Il marchio EK

Sono anni che esercito il ruolo di PR di Kaspersky Lab, ma quest’anno è stato un anno particolarmente intenso…

– più di 50 interviste in diretta di alto livello
– più di 40 presentazioni;
– 30 conferenze stampa;
– 3 sessioni fotografiche.

I dati e gli eventi appena descritti ci offrono il seguente quadro:

– 95 voli, 375 ore di volo;
– 45 nuove città (forse qualcuna in più dato che alcune sono state solo di passaggio);
– 3 nuovi paesi: Kazakistan, Nepal e Lussemburgo.

Se trasferiamo tutti i dati su di una mappa, ecco il risultato. I punti rossi sono i viaggi di lavoro, mentre quelli verdi i viaggi di piacere/turismo:

Continua a leggere:Il mio 2014: una corsa, un salto e la terra è nostra

Grande festa per il Natale e per salutare il 2014

Come da tradizione, si è svolta la nostra festa annuale per scambiarci gli auguri di buon Natale e Felice anno nuovo. Quelli che molti chiamano la “cena aziendale”, anche se le nostre feste ogni anno vanno sempre fuori dagli schemi…

Venerdì scorso circa 1.700 persone tra lavoratori Kaspersky Lab e ospiti provenienti da tutto il mondo si sono riunite (me compreso) nell’enorme “Olimpijskij”di Mosca per una ipermega festa. Abbiamo mangiato, bevuto e ci siamo divertiti; abbiamo ballato, ci siamo fatti quattro risate e ci siamo scambiati dei premi. Poi abbiamo partecipato (e assistito) al grande spettacolo su ghiaccio dove in scena c’erano ben 110 nostri dipendenti. Abbiamo continuato a ballare per ore e ore… tutto per salutare l’anno che sta per concludersi e per accogliere degnamente il nuovo.

new-year-xmas-party-2015-1

Continua a leggere:Grande festa per il Natale e per salutare il 2014

Gravità zero, un vero spasso

Proprio in questi giorni ho scoperto un piccolo difetto della mia fantastica Sony RX-100: purtroppo non scatta foto in assenza di gravità! Invece di fare la foto, è apparso sullo schermo la spia “rilevamento caduta” e si è spenta da sola. Ma io non l’ho lanciata! Però, in un certo senso, qualcosa è “sceso”: la gravità… a zero! Sony, lo so che in questo momento avete cose più importanti a cui pensare, ma per favore date un’occhiata a questa funzione!!

Zero gravity experience

In seguito ho scoperto che è possibile disattivare questa funzionalità, ma in quel momento, quando stavamo per entrare in gravità zero, lottare contro il menù multi-funzione della macchina fotografica era l’ultima cosa che mi veniva in mente di fare. Per fortuna non abbiamo dimenticato nulla questa volta, tutti coloro che hanno preso parte a quest’avventura in assenza di gravità avevano la propria macchina fotografica (ve ne parlerò a breve) e hanno potuto scattare un sacco di foto durante tutta la durata dell’esperienza…

Questa è l’unica foto che ho potuto scattare io:

Zero gravity experienceSiamo saliti tutti a bordo di questo bestione, una nave spaziale come di quelle che girano attorno alla terra

Dunque, com’è stare in assenza di gravità, proprio a gravità zero? Che cosa si prova?

Ve lo mostro con un piccolo esperimento…

Salite su di una sedia e poi saltare su e giù.

No, davvero. Dico sul serio!

Zero gravity experience

Continua a leggere:Gravità zero, un vero spasso

Finali Mondiali ad Abu Dhabi

Il tempo vola… Sono già passate due settimane da quando mi trovavo ad Abu Dhabi per un’iniezione di adrenalina e solo ora ho avuto il tempo di mettermi davanti al computer per raccontare la mia esperienza. Mi spiace per il ritardo, ragazzi, è che ogni tanto ho bisogno di staccare completamente per qualche giorno e passare del tempo con la mia famiglia. Per cui ha lasciato un attimo da parte tutto il resto… Bene, riprendiamo.

Come vi ho detto, sono stato ad Abu Dhabi (Emirati Arabi Uniti) per le Finali Mondiali.

1 Continua a leggere:Finali Mondiali ad Abu Dhabi