Presentati i corsi di formazione OSINT di Intelli|Sfèra!

Intelli|Sfèra ha presentato la propria offerta di formazione in Open Source Intelligence (OSINT, Intelligence delle Fonti Aperte) e – in esclusiva – in Unaffected Source Intelligence (Intelligence delle Fonti Originarie).

Entrambe le tipologie sono basate sulla proposta di Teoria Generale per l’Intelligence delle Fonti Aperte illustrata nei volumi Open Source Intelligence Abstraction Layer (Epoké, 2014) e Open Source Intelligence Application Layer (Epoké, 2017).

Operazione “Open Source Intelligence Application Layer” al via!

Sono felice ed emozionato di comunicarvi che finalmente Open Source Intelligence Application Layer, edito nella collana Ricerche, Scienze Politiche e Sociali di Edizioni Epoké, è stato mandato alle stampe.

Il volume sarà presto disponibile sul sito dell’Editore e sui maggiori online store nazionali.

Nel frattempo potete scaricare l’indice e guardare la bellissima copertina (vi ricordo anche che continua ad essere disponibile il PRIMO volume della trilogia dedicata alla mia proposta di Teoria Generale dell’Intelligence delle Fonti Aperte: Open Source Intelligence Abstraction Layer).

 

Buon vento, Intelli|sfèra!

Intelli|sfèra non è una azienda, non è una società, non è un marchio e nemmeno un prodotto. Intelli|sfèra è un concetto, una visione, un modo nuovo di intendere la consulenza nel settore dell’Intelligence delle Fonti Aperte.

www.intellisfera.it

Il rischio informatico… il punto di vista di un “infocentrico”

Non mi sarei mai aspettato un regalo per il 10 giugno, la festa della Marina Militare Italiana. Ma dopotutto la festa è certamente della amata Forza Armata ma anche di tutti noi marinai. Di solito trascorro questa giornata dedicando alla Marina Militare un paio di brandy e indugiando dentro un container – buio e polveroso – pieno di vecchi ricordi, senza nemmeno una lampada a pile.

Questa volta però è andata assai diversamente: proprio oggi infatti è uscita l’intervista fatta al sottoscritto da Simona Riccio, Brand Ambassador Mashable, che ringrazio di vero cuore per questo inaspettato, graditissimo e tempestivo “regalo”.

Potete leggere “Rischio di contagio” a questo indirizzo ma vi consiglio anche di ascoltare l’audiopresentazione di Simona.

Buona lettura!

Una “cultura della cybersecurity”? Ma anche no!

Premessa-confessione numero uno: quello che avete appena letto è ovviamente un titolo “ad effetto”. Serve per avere la speranza di trattenervi fino alla fine di queste righe.

Premessa-confessione numero due: chi scrive non è un esperto di “cyber” e nemmeno di sicurezza informatica, non nel senso “professionale” del termine almeno.

In ogni caso, giusto o sbagliato che sia, la questione “cyber” e quella della ICT security sono tematiche che lambiscono anche l’OSINT in termini – diciamo così – di conseguenze informative. Pertanto non è intelligente far finta che non esistano e bollarle come “non di competenza”.

Ebbene, WannaCry è l’argomento del giorno e probabilmente non è questa la sede per affrontare una discussione tecnica nel merito del fenomeno. Quel che è certo, comunque, è che “l’argomento di questo giorno” durerà in realtà qualche settimana o forse qualche mese. Certamente durerà fino al momento in cui l’attenzione mediatica non verrà catturata da un qualche altro fenomeno (più o meno simile a questo) che soppianterà l’affaire WannaCry.

Ad ogni modo, in questi giorni molte utilissime informazioni sono state fornite dai media affinché gli utenti di un certo particolare sistema operativo a finestre (che non è quello della mela morsicata e nemmeno quello del pinguino) potessero mettersi in una condizione di “ragionevole sicurezza”: buone prassi nell’uso della posta elettronica, modalità affidabili di aggiornamento del sistema operativo, impiego e configurazione di antivirus e firewall e così via. Tutte prescrizioni assolutamente utili che potenzialmente possono fare la differenza tra una normale fruttuosa giornata di lavoro (o di divertimento) e un potenziale Pearl Harbor digitale in ufficio (o a casa).

Di qui l’appello accorato da parte di molti autorevoli esperti finalizzato al raggiungimento di una diffusa cultura della cybersecurity tra gli utenti. Ciò vuol dire che chi usa sistemi informatici (per lavoro e per diletto) necessariamente deve anche essere pratico di politiche di backup, di configurazione di firewall, di sistemi per la gestione e l’aggiornamento di password “robuste”, deve conoscere le minacce e saper riconoscere tempestivamente il comportamento dei più comuni malware, deve essere in grado di impiegare i sistemi di crittografia a doppia chiave, deve essere in grado di scegliere – con orientamento alla massima sicurezza – un sistema operativo invece di un altro e così via. Tutto questo pena l’esposizione a rischi indicibili in termini di perdita di dati, informazioni, danneggiamenti di hardware e software, con conseguenti costi stratosferici di ripristino.

Insomma tanto l’utente standard (general purpose, si sarebbe detto una volta) quanto quello professionale – commercialista, architetto, professore universitario, medico, eccetera – oltre a saperne di contabilità e fisco, architettura, didattica, chirurgia e via dicendo, per poter lavorare tranquillamente con la tecnologia ICT che il mercato, pagando, gli offre (ed è chiaro che al giorno d’oggi non può scegliere di fare diversamente) deve necessariamente anche essere un… mezzo esperto di sicurezza informatica (il termine – da interpretarsi in senso affettuoso – identifica un ipotetico profilo di competenze che va dal collega “bravo col computer” che si chiama quando si blocca la coda di stampa, al funzionario amministrativo, per lo più autodidatta, al quale vengono affidate mansioni da sistemista o “responsabile CED”).

Per come stanno le cose oggi deve essere così, non si può negare. Però a una domanda – di quelle che sorgono spontanee – uno deve pure provare provare a farsela, se non altro perché magari può capitare di imbattersi casualmente in qualche risposta.

La domanda è: ma perché?

Perché accettiamo tutte questa – grave – criticità nell’uso delle tecnologie ICT? Perché siamo disposti ad impegnarci, a studiare, ad investire tempo e denaro nel farci formare (o nel formarci) per essere più sicuri quando usiamo le tecnologie ICT? Perché siamo così teneri con la tecnologia ICT e non lo siamo allo stesso modo con altre tecnologie che impieghiamo quotidianamente e alle quali ogni tanto affidiamo anche la vita?

Perché quando guidiamo l’automobile – che pure è un sistema tecnologico complesso – a 190 chilometri orari sulle autostrade (svizzere…) pretendiamo di non doverci preoccupare di che prestazioni avranno le sospensioni, gli pneumatici e i freni a disco a quella particolare velocità, su quella particolare vettura, su quella strada, in quelle particolari condizioni climatiche, con quel particolare carico?

Perché quando prendiamo l’ascensore per fare 20 piani pretendiamo di non doverci occupare di come il meccanismo di fermata (elettromeccanico si presume) arresterà correttamente la cabina al piano giusto – né 2 centimetri sopra né 2 centimetri sotto il livello stabilito – tanto nel caso in cui l’ascensore viaggi vuoto quanto nel caso in cui trasporti 12 persone e un cane di media taglia (senza museruola)?

Ancora più banalmente: perché quando usiamo la fotocopiatrice per riprodurre un documento di 70 pagine fronte-retro inserito nell’alimentatore automatico sfacciatamente pretendiamo di non doverci preparare al caso in cui l’apparecchio inceppi la carta, frigga il toner, surriscaldi il tamburo incendiandosi totalmente?

Pretendiamo di non doverci occupare di queste cose semplicemente perché quando acquistiamo una automobile, quando decidiamo di prendere un ascensore o quando firmiamo un contratto per il leasing di un fotocopiatore da 35 pagine al minuto sappiamo che spendiamo i nostri soldi per un oggetto che in linea di massima farà esattamente quello che deve fare, svolgendo esattamente il compito per il quale è stato progettato e commercializzato, con un livello di sicurezza assolutamente soddisfacente.

Nessuno di noi si sognerebbe – oggi – di dover impratichirsi nel richiudere la testata del motore con la chiave dinamometrica (o nello spurgo del circuito dei freni) prima di comprarsi l’automobile. Nessuno di noi immaginerebbe oggi di dover imparare perfettamente la manovra di sblocco di un ascensore (o una prova di carico dei cavi d’acciaio) prima di usarlo, così come sicuramente nessuno di noi ha fatto un corso antincendio prima di usare la fotocopiatrice “grande” che sta negli uffici del Direttore al primo piano (il corso antincendio però sarebbe utile in ogni caso ? )

Nessuno di noi, in buona sostanza, sarebbe disposto a farsi una completa cultura motoristica, ascensoristica, antincendio solo per essere in grado di andare la mattina in ufficio e sperare di tornare a casa in orario e senza troppe ustioni.

Dato che invece è esattamente questo quello che facciamo con l’ICT, perché siamo disposti a farlo? Quindi mi ripeto: perché decidiamo di essere così teneri con l’ICT? Intendiamoci, non che io abbia una risposta definitiva a questa domanda. Anzi non ne ho nemmeno una che sia lontanamente soddisfacente. Ciò non toglie, però, che porsi le domande (possibilmente quelle giuste) sia l’unico modo per affrontare ciò che non conosciamo (e in effetti anche ciò che conosciamo).

In linea di massima mi sento di aderire all’idea del filosofo Luciano Floridi (nella speranza di non averla eccessivamente semplificata o peggio mal interpretata): è tutta una questione di design. Ovvero: è tutta una questione di come vogliamo che questo nuovo “mondo” – l’infosfera – sia e di come vogliamo che sia il nostro modo di essere in questo mondo (l’onlife).

Dopodiché – e concludo – è tutta una questione di capire la differenza tra come vorremmo che fosse questo mondo e come in realtà lo stiamo costruendo. Siamo sicuri che lo stiamo facendo nel modo giusto? Che lo stiamo facendo come vorremmo? Non sarà forse che invece di adattare la tecnologia all’uomo e al suo ambiente stiamo adattando noi e il nostro ambiente alla tecnologia?

Per cui, non me ne vogliate, la mia risposta alla domanda “una cultura della cybersecurity è indispensabile?” per il momento rimane… ma anche no!

Chiosa finale: tutto quanto sopra non significa affatto che non debbano esserci bravissimi esperti di cybersecurity. Anzi paradossalmente più gli esperti di cybersecurity saranno bravi, di minor “cultura della cybersecurity” noi utenti-semplicemente-utenti avremo bisogno.

E di questo saremo loro eternamente e sinceramente grati.

Appunti sulla architettura sistemica delle Fonti in OSINT

Ebbene si.

Nella imminenza della pubblicazione di Open Source Intelligence Application Layer (Edizioni Epoké) ho pensato bene (o almeno così spero…) di scrivere qualcosa che lo introducesse e che contemporaneamente lo collegasse al precedente Open Source Intelligence Abstraction Layer (Epoké, 2014).

Insomma un fil rouge – per dirla alla francese – per tenere a mente l’idea e gli scopi della mia “trilogia” relativa alla proposta di una Teoria Generale per l’Intelligence delle Fonti Aperte almeno fino al momento in cui l’ultimo atto – l’Open Source Intelligence Fusion Layer – non verrà finalmente forgiato dal piombo vivo grazie alle operose linotype (non è affatto vero, la stampa sarà assolutamente moderna e di altissima qualità).

In questo lavoro introduco (e anticipo) l’esigenza di arrivare alla impostazione di una “dottrina delle fonti” nella disciplina dell’Intelligence delle Fonti Aperte e lo faccio proponendo un salto concettuale (forse epocale?) dal consueto paradigma “fonte aperta/fonte riservata” verso un più rappresentativo, almeno a mio modo di vedere le cose, concetto di fonti “affected” e fonti “unaffected” (tematiche che, per chi vorrà approfondire, saranno ampiamente trattate nell’Application Layer).

Infine mi tuffo in qualche considerazione a braccio circa il cosiddetto diritto all’oblio (right to be forgotten per gli anglofoni) e i suoi effetti sulla struttura sistemica delle fonti.

D’accordo o meno con quello che state per trovare, io vi auguro comunque buon divertimento e buona lettura!

Download (PDF, 1.01MB)

Alla ricerca dell’algoritmo perduto

Ebbene si: può capitare a tutti. Una domenica come tante, vuota di impegni. Un piccolo infortunio che ti costringe a casa, le festività ormai passate, colombe e uova di Pasqua ormai già smaltite e… et voilà! ritrovarsi ad aver perso l’intero pomeriggio su internet è un attimo.

Può capitare a tutti, dicevo (anche ai più virtuosi). Ma c’è un vecchio adagio (non ricordo con precisione né l’origine né i dettagli) che sostiene che il valore del “tempo perso” si misura nel modo in cui si “perde tempo”. Insomma si può perdere tempo con grande professionalità, o utilità, o ristoro. Ma si può anche perdere tempo in modo disperatamente vano.

Cercando di evitare almeno l’ultima ipotesi, in questo scampolo di weekend ho creduto bene di impiegare (bene) il tempo nel cercare un argomento che (ben) mi facesse perdere tempo e se possibile – diciamo così – con un certo stile.

Tralasciando per un momento tutti gli argomenti che anche lontanamente sono riconducibili a fatti bellici, strategici, economici o di costume m’è parso di capire che in questi giorni la “questione” con la quale si può “ben perdere” più tempo possibile sia quella dell’algoritmo (o degli algoritmi).

Limitandoci al contesto nazionale si osservano ormai “questioni algoritmiche” in ogni dove: a sinistra, a destra (da intendersi sia in senso posizionale che socio-politico), telegiornali, talk show, convegni più o meno istituzionali e – come riferito da affidabilissime fonti famigliari (mia madre) – anche dal parrucchiere. Sorvolando sul fatto che – a voler ascoltare i media, i giornalisti e anche qualche pseudo esperto –  da un mondo cibernetico staremmo velocemente passando ad un mondo algoritmico, dove gli algoritmi saranno tassati e dotati di responsabilità personale, m’è parsa una buona idea – dovendo perdere del tempo – perderlo con un argomento praticamente “nullo”, sul quale a ben vedere non c’è praticamente un bel niente da argomentare, studiare, proporre. Niente da inventare insomma: l’algoritmo.

Tuttavia, con riferimento a quanto si diceva sopra, non è tanto il cosa si argomenta, ma il come lo si argomenta.  E perciò iniziamo. Scegliendo per l’occasione un metodo consapevolmente, dichiaratamente, massicciamente non scientifico (che alla fine forse è anche un “non metodo”…) ho voluto googlare la parola “algoritmo” limitando la ricerca ad alcuni domini del top-level-domain nazionale.

Tra questi domini ho selezionato tre grandi aree: Istituzioni, partiti politici e Università.

Per mantenere la “perdita di tempo” entro limiti eticamente accettabili per un individuo che lavora, ha una famiglia e ha degli obblighi sociali, ho ulteriormente limitato il numero di ricerche ad un massimo di due o tre per ogni area. Non è affatto un campione significativo, ma la significatività non è quel che sto cercando (sempre che essere maggiormente significativo non mi faccia perdere tempo in modo più elegante, ma questo è tutto da dimostrare).

Di seguito una immagine (che, come noto, vale più di mille parole…) illustra i risultati ottenuti (il numerello da tener d’occhio è quello della riga in basso, subito dopo il “Circa..:”).

Veniamo dunque ai numeri, area per area:

Istituzioni

  • sul dominio senato.it Google indicizza 1.140 risultati relativi alla parola “algoritmo”
  • sul dominio camera.it Google ne indicizza invece 1.250
  • sul dominio governo.it (e qui le cose migliorano) Google ne indicizza soltanto 37.

Partiti politici

  • sul dominio beppegrillo.it Google indicizza 406 risultati relativi alla parola “algoritmo”
  • sul dominio partitodemocratico.it Google ne indicizza invece 37
  • sul dominio forza-italia.it Google non ne indicizza nessuno (ma non è detto che non ne parlino altrove, ovviamente… ;) )

Università

  • sul dominio di.uniroma1.it (il Dipartimento di Informatica dell’Università Sapienza di Roma) Google indicizza 1.520 risultati (nella fascia di Camera e Senato, dunque)
  • sul dominio di.unipi.it (il Dipartimento di Informatica dell’Università di Pisa) Google sorprendentemente ne indicizza… soltanto 7 (sette).

Queste le prime reazioni ai risultati registrate al “bar dello sport” sotto casa:

  1. vince il dipartimento di informatica della Sapienza con 1.520 risultati… Mbè ci sta che scrivano di algoritmi, è il dipartimento di informatica, che diamine!  
  2. perdono il dipartimento di informatica di Pisa e Forza Italia rispettivamente con 7 e zero risultati… va bene Forza Italia, ma come sarebbe che sul sito del dipartimento di informatica dell’Università di Pisa si scriva così poco di algoritmi? Cosa gli insegnano ai nostri ragazzi? 
  3. in fondo alla classifica il Governo e il Partito Democratico, sorprendentemente con lo stesso numero di occorrenze: 37… lo stesso numero di occorrenze? E’ chiaro che si sono messi d’accordo per non parlarne, deve esserci un “ordine di scuderia”! Non ci si può proprio fidare di nessuno al giorno d’oggi…
  4. sulla parte alta della classifica invece Camera e Senato discutono in modo significativo di algoritmi rispettivamente con 1.250 e 1.140 risultati… Ecco, con tutti i guai che abbiamo in Italia questi si mettono a perdere tempo parlando di stupidaggini, di algoritmi! Alla faccia della gente che lavora! (e che magari giornalmente esegue o disegna algoritmi… NdA).

A cosa serve tutta questa disamina? A un bel nulla! Ovvero esattamente come il 98% delle narrazioni che ascoltiamo in questi giorni attorno alla parola (e, attenzione, non al concetto) di algoritmo. Al massimo, ma proprio al massimo, possono servire a perdere un po’ di tempo e -ahinoi – a perderlo nella maniera meno intelligente.

In conclusione, dato che la definizione di algoritmo (giusta o sbagliata, bella o brutta che sia) ve la potete agevolmente ricavare di Wikipedia (unitamente ad una sconfinata quantità di informazioni interessanti) io inserirò qui una (piccola) parte della definizione presente nel Dizionario di Filosofia di Nicola Abbagnano. Dopodiché ognuno di noi potrà, se vorrà, decidere di perdere il proprio tempo nel modo che più preferisce o che ritiene più (o meno!) produttivo. Eccola che arriva:

Più precisamente un A. (algoritmo, NdA) è una procedura meccanica – una mera manipolazione di simboli (cifre, lettere dell’alfabeto, ecc.) – che, applicata a un certo input (o argomento dell’A.) appartenente a un insieme di possibili input, elabora un output o risultato, in un tempo finito e in un numero finito di passi. Questa caratterizzazione è di tipo intuitivo – in ultima analisi è una semplice descrizione – e non può essere considerata una definizione in senso proprio.

Chissà se in Parlamento le forze politiche discutono di “algoritmo” in questo senso. E se no, chissà in che senso ne discutono. E se (ripeto SE) ne discutono in un certo determinato senso, chissà che senso sarà!

Spiace però constatare che ancora una volta (come era recentemente successo per “cibernetica”) anche per “algoritmo” politica e media (è sempre più difficile distinguere – per lo meno al livello non formale – le due cose) debbano sempre e per forza imporre la loro distruttiva, incoerente, sciatta costruzione di senso.

Parole di plastica, le definì qualcuno che aveva la vista lunga.

Il futuro incombe. Auguriamoci buona fortuna.