IT Life: Raoul Chiesa, il profiler degli hacker

Sicurezza
Raoul Chiesa

Raul Chiesa ha scandagliato il mondo dell’hacking, da quello etico a quello governativo, militare, mercenario e del cybercrime, identificando nove differenti macro-tipologie di hacker. E’ amico dell’hacker più famoso al mondo ma lavora con i più importanti criminologi nella lotta contro la criminalità via internet combattendo hacker criminali, cyber bullismo, cyber stalking… Con risvolti sociali molto interessanti. A IT Life racconta la sua storia

Raoul Chiesa si presenta da solo. E’ un fiume in piena nel raccontare la sua esperienza, dal primo progetto con le Nazioni Unite – l’Hacker Profiling Project – all’ultima sua nuova start-up, Security Brokers che ama definire “il suo sogno da sempre”. Lui che è un guru nel mercato della sicurezza IT, che tiene convegni e lancia progetti da telefilm americani stilando i profil degli hacker e combattendo cyber bullismo e cyber stalking, lui che è amico di Kevin Mitnick, l’hacker più famoso al mondo… A lui direttamente la parola…

Raoul Chiesa
Raoul Chiesa, Founding Partner & President di Security Brokers

1 – Qual è stato il progetto migliore della sua carriera? Quello che più  lo ha appassionato, per le novità che portava, per la sfida tecnologica?
Decisamente e senza alcun dubbio, l’Hacker’s Profiling Project, “HPP”. Si tratta di un progetto di ricerca internazionale, che ho portato avanti sin dal lontano 2003 con l’agenzia delle Nazioni Unite “UNICRI” (United Nations Interregional Crime & Justice Research Institute). HPP ha fotografato, nel dettaglio, il mondo dell’hacking, da quello etico a quello governativo, militare, mercenario e del cybercrime, identificando 9 differenti macro-tipologie di hacker. Ne sono fiero, per diversi motivi…
Innanzitutto perché ne è nato un libro, “Profilo Hacker” (Apogeo), primo ed unico nel suo genere in Italia. Il libro è poi stato tradotto in lingua inglese e venduto in tutto il mondo, soprattutto negli USA, con il titolo di “Profiling Hackers: the Science of Criminal Profiling as applied to the World of Hacking”. Ora… esportare negli States due argomenti quali il criminal profiling e l’hacking non è da tutti, direi. Oltre ad avere, di fatto, inventato il criminal profiling infatti, gli USA hanno “inventato due cose molto importanti, i cowboys e gli hackers”, – come ricorda spesso il mio amico Kevin Mitnick, l’hacker più famoso al mondo.
In secondo luogo, HPP è l’unico progetto dell’UNICRI con budget uguale a zero: non abbiamo mai chiesto soldi, il team di lavoro ha lavorato per pura passione e voglia di sfida, usando i (tanti) venerdì sera ed i fine settimana, spendendo di suo per viaggiare e partecipare alle conferenze hacker di mezzo mondo. Questo ci riempie davvero di orgoglio, perché con HPP abbiamo costruito qualcosa che non c’era, che non esisteva, e che ci invidiano e riprendono in tutto il mondo, dell’FBI Academy di Quantico (sì, quella dei telefilm) sino alle multinazionali di soluzioni di security molto noti, arrivando persino al nostrano DIS (i Servizi di intelligence) i quali hanno ufficialmente riportato nei loro report sulla sicurezza nazionale i 9 profili hacker emersi dal nostro lavoro all’UNICRI, identificandoli come “i profili degli hacker” su cui lavorare ed operare.
Infine, HPP mi ha appassionato così tanto non solo perché è ancora in corso (dovremmo concludere tra il 2015 ed il 2017), ma soprattutto perché è nato per caso, come tutte le cose belle.
Nel 2002 e 2003 insegnavo all’UNICRI i temi del cybercrime, ed incontrai una collega, nella quale scoprii una splendida amica ed una bravissima professionista. Lei mi insegnò il criminal profiling, io le insegnai l’hacking, e da lì nacque l’idea di fare un progetto su un mondo, un digital underground che viene troppo spesso generalizzato ed analizzato  in maniera superficiale.
Qualche anno dopo il Prof. Silvio Ciappi, noto criminologo, si unì a noi, e man mano persone davvero uniche come Alessio Pennasilico, Elisa Bortolani, Nicoletta Bressan, si unirono a noi, guidati dallo spirito della passione “allo stato puro”. Ad oggi il progetto va avanti, lo seguo con la bravissima collega Francesca Bosco (UNICRI), ma per le prossime fasi di ricerca abbiamo bisogno di donors, di finanziatori, di aziende e governi lungimiranti, che vogliano aiutare l’Istituto in questa ricerca davvero unica.

Raoul Chiesa
Raoul Chiesa

2- Quale progetto sta seguendo oggi di particolare innovazione?
Anche qui, non ho esitazioni: la mia nuova start-up, Security Brokers. E il motivo non è perché è l’azienda che ho da poco creato, dopo aver fondato alla fine degli anni ’90 una delle prime società vendor-independent italiane nel mondo dell’Information Security e che ho completamente lasciato nel 2012. Il motivo è un altro. Security Brokers (SB) era il mio sogno di sempre, ed è una società davvero innovativa. Siamo una “SCpA”, che sta per “Società Cooperativa per Azioni”. Ma siamo anche in “Dual Governance2, ed a “Mutualità Prevalente”. Questo, in breve, significa che abbiamo la solidità di una SpA, ma siamo elastici, e che dobbiamo per legge dare almeno il 51% delle commessa ai nostri Soci. Questo permette alleanze davvero forti e  totalmente trasparenti verso i nostri clienti, cosa che invece spesso non avviene, nè con le normali “partnership” nè  con le ATI, Associazioni Temporanee di Imprese.
SB ci permette di crescere sia linearmente che dinamicamente, di avere un capitale sociale variabile, di essere snelli e veloci, ma solidi, di essere molto interessanti per gli investitori, di operare in contesti internazionali e non solo italiani. In SB ho messo insieme le migliori persone incontrate in quasi 20 anni di esperienza nel mio settore: persone di cui mi fido, persone dalle quali non ci si deve guardare le spalle (come invece spesso succede con le società normali), professionisti noti per le loro forti specializzazioni, la loro etica e la caratteristica di essere dei visionari, nell’accettazione positiva del termine; persone che amo per la passione che mettono in ciò che fanno.
SB è quindi molto di più che un’azienda, è un progetto, anche sociale: ci stiamo occupando (tanto) di cyber bullismo e cyber stalking, la nostra divisione di Digital Forensics opera con le Forze dell’Ordine nel contrasto al cybercrime ed alla pedofilia on-line, amiamo andare ad insegnare ed educare nelle scuole ed in quei posti dove, purtroppo, raramente si spiega come stanno veramente le cose.

3 – Quale tecnologia utilizzava dieci anni fa?
Direi la stessa di oggi: computer portatili, connessioni wireless e mobili, cifratura dei dati. La velocità in tutti questi dispositivi e standard tecnologici è cambiata, è migliorata, ma la tecnologia in senso stretto, quella no, è rimasta la stessa. A volte ripenso invece alla tecnologia che usavo venti, venticinque anni fa, quando ero un ventenne e, prima ancora, un teenager molto “geek”: modem, PC fissi, un “palmarino” della Fujitsu, precursore in qualche modo dei netbook di oggi. Usavo il videotel, le reti X.25 a commutazione di pacchetto, andavo su internet (ma c’erano gopher, FTP ed i newsgroup, mentre il WWW aveva visto da poco la luce), “bucavo” il CERN di Ginevra per chattare sui sistemi VMS con Tim Barners Lee e “volavo” con la mia tastiera di adolescente da una parte all’altra del mondo, incontrando gente “strana” come Kevin Mitnick, Kevin Poulsen, Julian Assange, Fiber Optic e tanti altri i quali, nel corso degli anni, sono diventati i guru del mondo digitale di oggi.

4 – Quale tecnologia secondo lei si userà nei prossimi dieci anni?
Schermi flessibili, connettività always-on, e quello che penso arriverà già con il 5G, o forse subito dopo: l’utente come operatore mobile di sè stesso. Wearing devices (google glass per capirci, ma anche altro),  gestione vocale e gestuale. Spero, però, che la tecnologia del prossimo futuro nasca con la security “by design” e non “accrocchiata” all’ultimo momento, come una pezza da apporre per risolvere le magagne. La sicurezza delle informazioni come facilitatore, come valore aggiunto, come investimento e risparmio nel breve e medio termine, e non vista invece come un costo, una “scocciatura”, che e’ poi quello che avviene oggi. Abbiamo costruito una società che si poggia interamente sul digitale, ma le cui fondamenta sono instabili, fragilissime, e mi aspetto dei crolli da un momento all’altro, date anche le tante avvisaglie.

Raoul Chiesa
Raoul Chiesa

5 – Qual è il suo eroe tecnologico e qual è invece il suo personaggio negativo (se lo ha)?
Steve Wozniak, il co-fondatore della Apple, è il mio eroe. Però, anche se so che ciò che sto per dire stupirà i suoi lettori, considero Snowden un eroe, un uomo che ha fatto una scelta molto, molto
importante. Questa scelta avrà forti ripercussioni in tutto il mondo, ed in parte le sta già avendo. A livello negativo….. vedo, purtroppo, nel settore dell’Information Security, tante, troppe persone che si “improvvisano” esperti. Questo accade sia nel consulting classico che, per esempio, nel mondo della Digital Forensics, ma anche nella Cybercrime Intelligence ed in altre aree di operatività. Il peggio è quando questo accade in ambito istituzionale, con tanti pseudo-esperti chiamati in ruoli istituzionali.

6 – Qual è stata la sua tecnologia preferita? Quella che più ha amato?
Le reti X.25. E l’Amiga 2000 della Commodore! Avere, nei primi anni ’90, suono stereo (la Sound Blaster sui PC era molto più “arretrata”), 4096 colori ed una macchina così potente…. era come avere la rocket science agli inizi del secolo scorso!

7 – A parte l’azienda attuale in cui lavora, quale azienda lei ammira per il lavoro che sta facendo nell’IT?
Un’azienda che ammiro è DELL/SonicWall, per tanti motivi. Innanzitutto, l’anzianità (e quindi, l’esperienza sul campo), dato che sono nati nel 1991. Sono stati i primi a fare dispositivi di sicurezza con hardware proprietario e codice proprietario, senza andare quindi su prodotti “off-the-shelf” e nemmeno su raffazzonamenti di codice open source, come invece tanti altri fanno. Lato “sicurezza”, non credo abbiano avuto più di quattro o cinque vulnerabilità in oltre dieci anni… il che, nel settore IT, è un vero e proprio record. Infine, hanno un management con imprinting nord europeo (e quindi, precisione e dedizione al lavoro), ma un approccio corporate all’americana nella gestione globale delle problematiche e necessità dei loro Clienti. Ah, dato che siamo in Italia… il loro Country Manager è un caro amico ed una delle persone più competenti e corrette che io abbia mai incontrato nella mia vita.

Raoul Chiesa
Raoul Chiesa

8- Qual è la sfida più grande per un dipartimento IT oggi?
Fosse solo una! Il budget. Il fare capire al management come, oramai tutta l’azienda si basi sull’IT. Il Byod. I cambi repentini di tecnologia. Le furbizie dei vendor. La politica italiana (intesa come leggi sulla privacy e la sicurezza dei dati) che ieri ti diceva di fare A, oggi di fare B e domani ti fare C…

9 – Favorevole al Cloud o contrario al Cloud?
Contrarissimo. O meglio, contrario ad un Cloud “tanto per fare”, senza cognizione di causa. Contrario nell’avere i nostri dati personali fuori dall’EU; favorevole ai Cloud privati, ad un Cloud sicuro, alle policy; su questo fronte, CSA (Cloud Security Alliance) sta facendo un grandissimo lavoro.

10 -Cosa voleva fare da bambino?
Il pilota di aerei. Ma quando poi, da piccolo, i medici mi dissero che dovevo portare gli occhiali…..e quindi capii che in Accademia non mi avrebbero mai preso, ho chiesto il primo home computer ad 8 anni…ed è iniziata la mia vita in questo strano mondo che è l’Information Security.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore