Intelligenza ArtificialeCloud SecurityCyberArkTutela privacy

Chip sottopelle e sicurezza informatica: intervista con Len Noe, tra cyberpunk e realtà

di pubblicato il nel canale Security Chip sottopelle e sicurezza informatica: intervista con Len Noe, tra cyberpunk e realtà

Abbiamo intervistato Len Noe, istrionico hacker che è passato dal mondo black hat a lavorare per CyberArk, a margine della UK Cyber Week. Ci ha parlato di chip impiantati sottopelle, ChatGPT e privacy in un mondo sempre più connesso in cui la cultura non riesce a tenere il passo dell'evoluzione tecnologica, con tutti i rischi che ciò comporta

 

"Biohacker: la minaccia umana". Questo è il titolo della presentazione che Leonard Noe, hacker americano black hat passato al "lato chiaro", ha tenuto alla UK Cyber Week all'inizio di aprile. Una presentazione in cui Noe ha mostrato come l'uso di impianti cibernetici non sia un tema da fantascienza, ma una realtà odierna con la quale bisogna fare i conti. L'abbiamo intervistato per capire meglio questo tema complesso e come difendersi dagli attacchi portati avanti da chi, come lui, ha deciso di impiantare nel proprio corpo dei chip, ma anche quale sia la sua prospettiva sulla sicurezza più in generale, da quella aziendale fino a quella dei nostri dati personali.

I biohacker: dal cyberpunk alla realtà

Si capisce che Len Noe è una persona fuori dal comune già al primo sguardo: è uno di quei casi in cui se è comunque vero che l'abito non fa il monaco, in ogni caso quantomeno dice molto. Con una barba estremamente lunga e tatuaggi su tutte le braccia che vengono messi in bella mostra, Noe è sicuramente un uomo dall'aspetto fuori dal comune. Si dice sempre che non bisogna giudicare un libro dalla copertina, ma è inevitabile notarla come prima cosa: nel caso di Noe dice molto su quello che è poi il carattere, quantomeno quello che tiene in pubblico, esplosivo e istrionico. È lui stesso a confermarlo: "mi sono sempre sentito diverso, e ho cominciato con i tatuaggi quando avevo quindici anni, per poi passare ai piercing e alle modifiche corporee intorno ai venti."

Ma tanto l'aspetto fisico quanto il modo di fare sono in realtà mezzi per raggiungere uno scopo: comunicare delle idee in maniera tale che restino impresse negli interlocutori. Un metodo che si rivela certamente efficace, a giudicare dalla reazione del pubblico durante e dopo la presentazione che Noe ha tenuto alla UK Cyber Week. Le idee che Noe cerca di comunicare sono, in realtà, relativamente semplici: bisogna fare attenzione con le nostre vite digitali, siano esse relative a noi come singoli individui o come aziende, e adottare il giusto approccio alla sicurezza, sia fisica che digitale.

Noe è un biohacker, ovvero una persona che ha deciso di impiantare dei chip sotto la propria pelle. Ne ha diversi, tutti usati per scopi diversi, in entrambe le mani; uno di questi è una vera e propria carta di credito che usa per pagare semplicemente avvicinando la mano al lettore. È proprio questa prospettiva inusuale che attrae molti alla sua presentazione, in cui Noe parla di come siano ormai moltissime le persone con impianti sottocute come lui (ce n'era almeno un'altra tra il pubblico!) e di come sia tempo di considerare la loro esistenza.

Nel suo discorso, Noe ha infatti mostrato come un hacker dotato di chip impiantati sotto la cute possa evadere pressoché ogni controllo, grazie anche al fatto che in molti Paesi sono in vigore leggi che impediscono di effettuare indagini corporali invasive. Noe fa un esempio chiaro e indicativo: con un chip impiantato nella mano (e un po' d'ingegneria sociale) si copia il tesserino di un tecnico di un data center, e lo si usa poi per entrarvi. In caso si venga fermati, non c'è alcun dispositivo, né vi è alcuna prova che sia stato commesso un crimine per entrare nell'edificio: di fatto non è possibile fare alcunché contro l'hacker, che può semplicemente dire "ho trovato le porte aperte e non sapevo fosse vietato entrare".

La conclusione per il caso specifico è che non basti più fermarsi a un metodo di autenticazione, mentre più in generale Noe afferma che va ripensata la sicurezza non solo informatica, ma anche fisica all'interno delle aziende. "Dato che non c'è un metodo sicuro per rilevare i chip, [nell'esempio del data center] basta implementare un sistema con tesserino e PIN. Non è necessariamente qualcosa che non riesco [come hacker] a superare, ma almeno non è più l'unico elemento che garantisce la sicurezza."

Ma non si tratta solo delle aziende: anche gli individui devono ripensare il proprio approccio alla vita digitale. "Quando si parla dei telefoni, io dico sempre a tutti che non possono toccare il mio. I nostri telefoni hanno più dati su di noi dei nostri portafogli, ma se ti chiedessi di mostrarmi il tuo portafogli non lo faresti, mentre non ci sarebbero problemi se ti chiedessi di vedere il tuo telefono. Alla fine, è tutto un discorso di consapevolezza e di modifica dei comportamenti, e in ultima analisi torniamo al punto di avere un unico livello di sicurezza [come nel caso del data center]. Se riesco a ottenere un accesso iniziale al tuo telefono, potenzialmente posso infiltrarmi nella rete della tua azienda, ma non dovrei poter accedere a tale rete senza un qualche altro fattore di autenticazione oltre al telefono. Non si tratta dunque di rilevarmi, ma di avere sufficienti punti di controllo nelle tecnologie usate tali da non permettermi di fare granché."

"A questo proposito, dico da anni che penso che noi professionisti della sicurezza stiamo facendo un gran disservizio [al settore e alle aziende] nel continuare ad adottare metodi per tenere fuori i malviventi. La verità è che, per il modo in cui la tecnologia e le aziende si sono evolute, non li teniamo fuori in ogni caso. Secondo me quindi non si tratta di fermarli, ma di rilevarli il più in fretta possibile e applicare dei rimedi. Voglio dire, nella realtà dei fatti abbiamo consulenti, fornitori e quant'altro che accedono alle reti aziendali, l'idea che possiamo tenere fuori solo i 'cattivi' non funziona anche solo da un punto di vista di usabilità. Dobbiamo usare i controlli corretti, ovvero l'autenticazione multi-fattore adattiva: l'utente si sta collegando da un dispositivo noto, da un luogo plausibile, in un momento normale? Dobbiamo cominciare ad analizzare i dati e guardare al comportamento delle entità sulla rete, perché non è detto che si riesca a intercettarmi [come hacker]."

Questo commento è interessante, in particolare alla luce di un concorrente di CyberArk che ha recentemente affermato di poter prevenire il 100% degli attacchi. Un'affermazione sicuramente forte e che va in controtendenza rispetto, appunto, a quanto affermano molti esperti come Noe. "Credo che quest'azienda si sia data la zappa sui piedi da sola da un punto di vista legale. Non credo sia una situazione nella quale vorrei trovarmi. Non vorrei nemmeno dire che posso offrire quel tipo di protezione, perché persone simili a come ero io [hacker black hat, NdR] la prenderebbe come una sfida. C'è un motivo per cui la maggior parte degli hacker black hat non è stata presa: perché sono bravi in quello che fanno. Ma non sarei particolarmente preoccupato delle cause legali, quanto più della reputazione: nel settore della cybersicurezza ci vogliono anni a costruirsi una reputazione, e secondi a distruggerla."

"C'è poi un altro aspetto. Non parlo per assoluti perché non so cosa verrà domani. Prendiamo ChatGPT: in CyberArk lo usiamo [a scopo di ricerca, NdR] per creare malware polimorfico. Non sappiamo cosa avverrà domani e non sappiamo cosa non sappiamo oggi. Microsoft afferma semplicemente: dai per scontato di avere una breccia nella tua rete, dai per assunto che ci siano dei malfattori e agisci di conseguenza. Io prendo questo concetto e lo sposto semplicemente un po' più in là. Non importa se io sono un ragazzino con qualche script raccolto da Internet o un hacker con degli impianti: dovremmo semplicemente avere delle tecnologie tali per cui non importa chi compia l'attacco, non ci dev'essere un single point of failure [ovvero un elemento che da solo è in grado di determinare la compromissione dell'intero sistema, NdR] nella protezione dei dati fondamentali. E non bisogna essere sorpresi che si parli anche degli attacchi fisici."

A proposito di fisicità, la domanda sorge spontanea: perché impiantarsi dei chip sottocutanei? Perché inserire tecnologia non strettamente necessaria all'interno del proprio corpo?

"L'idea di potermi interfacciare con un computer direttamente è per me incredibile. Passo comunque la maggior parte del mio tempo davanti a una tastiera, quindi poterlo fare senza dover digitare alcunché è secondo me il prossimo passo nell'evoluzione umana."

"L'aspetto che trovo interessante è che lo scetticismo e i problemi collegati [agli impianti cibernetici] si manifestano solo quando è una scelta volontaria. Se dovessi ricevere l'impianto di un'interfaccia uomo-macchina perché ho perso un braccio, nessuno batterebbe ciglio; ma siccome voglio mettere una carta di credito nella mia mano, così da poter pagare con un tocco, la gente dice che è sbagliato. Alcuni estremisti religiosi in Rete dicono che ho 'il marchio della Bestia', ma non è vero: voglio solo pagare comodamente. Penso che proprio i chip delle carte di credito saranno ciò che porterà alla diffusione degli impianti sottocutanei."

Una vita digitale trasparente: l'importanza dimenticata della privacy

Quando ci è stata offerta l'opportunità di intervistare Len Noe, uno dei punti più interessanti era la promessa di trovare qualunque informazione online sull'intervistatore. Un modo come un altro per mostrare quanto le nostre vite digitali siano fragili e quante informazioni siano disponibili online su di noi. Una buona metà dell'intervista è stata proprio su questo punto e su come la nostra cultura non sia progredita di pari passo con l'evolversi della tecnologia; per molti versi, anzi, si è perso quel concetto di riservatezza (inteso in entrambi i sensi di privacy e di essere riservati) che ha caratterizzato quantomeno la nostra storia recente.

Noe ha dunque dimostrato praticamente come fosse possibile trovare molte informazioni su di me usando alcune applicazioni di open source intelligence, in breve "osint", che scansionano il Web alla ricerca di informazioni su una persona e le raccolgono mostrandole all'interno d'interfacce semplici da usare. Il processo è stato semplicissimo e ha richiesto solo l'immissione del mio nome nelle applicazioni; ci sono voluti pochi minuti per arrivare a dei risultati. Va messo l'accento sulla durata di questo processo: "pochi minuti" significa meno di cinque. Con mio sollievo non è emerso nulla di cui non fossi al corrente, dunque sono state mostrate solo informazioni che sapevo essere pubbliche, ma vederle tutte insieme nello stesso momento è stato comunque impressionante.

Il problema più grande che emerge è quello proprio della privacy e di quanto i dati su di noi siano fuori dal nostro controllo. In Europa la situazione è tutto sommato buona, in termini relativi, anche per via dell'introduzione di leggi volte a tutelare fortemente la privacy degli individui; negli Stati Uniti, invece, si vede chiaramente quanto l'assenza di regole abbia creato una situazione al limite del distopico. Noe mi mostra un sito chiamato BeenVerified e afferma: "chiunque può fare una ricerca, basta abbonarsi per circa 10 dollari al mese. Non si possono usare le informazioni ottenute in questo modo per scopi che riguardano l'impiego, l'assicurazione, le transazioni commerciali... In pratica eliminano ogni caso d'uso legittimo. Cosa rimane, dunque? Il fatto che possa cercare dettagli intimi su tua moglie solo perché ne ho voglia!"

Mi mostra come sia possibile cercare informazioni su di lui "che includono i miei profili sui social media, le scuole a cui sono andato, veicoli venduti quasi vent'anni fa, il primo appartamento che abbia mai avuto, tutti i numeri di telefono, le email, gli indirizzi della mia famiglia... Ci sono le mie ex-mogli, le loro famiglie... Ed è completamente legale." Secondo Noe, in Europa è molto più difficile trovare questo tipo di informazioni e non ci sono strumenti legali simili.

"Basta andare su GitHub e digitare "osint" per trovare centinaia di applicazioni differenti. Ma parliamo solo delle sorgenti aperte che sono legali. Se guardiamo alla quantità di dati che i grandi nomi della tecnologia raccolgono, è assurdo. Google raccoglie 36 tipi di dati su ciascun utente, ogni minuto di ogni giorno", ci dice Noe. "Ma non è abbastanza, quindi per dimostrare quanti dati siano disponibili su di noi mi sono rivolto al nostro nuovo signore e padrone computerizzato, ChatGPT. Mi sono presentato e gli ho poi chiesto di dirmi qualcosa sul mio conto. Mi ha dato una mia biografia. Gli ho allora chiesto di darmi delle informazioni sulla mia famiglia e, tra le altre cose, mi ha dato i nomi dei miei nipoti [Noe è nonno, NdR]. Mi ha detto a quali eventi ho partecipato lo scorso anno. Basta chiedere e si ottiene di tutto. Mi hanno domandato: l'IA è un amico o un nemico? Be', dipende. È uno strumento."

Se è però possibile trovare tutte queste informazioni tramite uno strumento lecito, viene da domandarsi cosa sia possibile trovare usandone di illegali. Il problema è che tutte queste informazioni possono essere usate per scopi illeciti e consentono, ad esempio, a possibili malintenzionati di costruire truffe molto elaborate e in cui vengono usate informazioni corrette per arrivare al risultato finale. Anche l'ingegneria sociale diventa molto più semplice, potendo accedere a tutti questi dati. È evidente, dunque, che c'è un problema perché in questo modo si facilita la vita dei criminali.

"Il problema poi è che siamo noi stessi a pubblicare moltissime di queste informazioni. Che siano playlist su Spotify, liste dei desideri sui siti di shopping o altro, noi siamo il prodotto e gli affari vanno alla grande. E non c'è tecnologia che possa fermare questo approccio. Servono, di nuovo, modifiche dei comportamenti con ulteriori controlli di sicurezza. Se anche si cancella qualcosa da Internet, posso sempre usare la Wayback Machine e vederlo comunque", dice Noe.

Ciò che emerge è che pensiamo ancora analogicamente come società. L'evoluzione tecnologica non è stata accompagnata passo passo da un'evoluzione altrettanto veloce nel modo di pensare e di considerare i nostri dati e le nostre vite digitali. Molte persone non capiscono che qualunque informazione pubblicata su Internet rimane poi lì virtualmente per sempre e questa mancanza di comprensione le porta poi a cadere nella trappola di quella che in inglese è chiamata oversharing, ovvero la sovracondivisione, la pubblicazione di troppe informazioni personali.

Per quanto paradossale possa apparire, le persone più a rischio sono proprio quelli cosiddetti "nativi digitali", un'espressione che in realtà assume meno significato ogni giorno che passa. Sono infatti i più giovani, e più in generale proprio quelli cresciuti pensando che sia normale condividere qualunque genere di informazione online, che hanno meno strumenti per comprendere quanto tali comportamenti siano dannosi e controproducenti. L'aspettativa di molti è che i più giovani siano maggiormente in grado di gestire questi aspetti perché vi sono abituati, ma è in realtà esattamente quest'abitudine che li lascia privi di quelle difese di cui sono invece dotate (in varia misura, come sempre avviene) le persone con più anni sulle spalle.

Come si può dunque gestire questa situazione? "Io cerco di farlo andando in giro per il mondo a parlare di questi problemi, nella speranza che qualcuno ascolti il mio messaggio. Ma io sono solo una persona e CyberArk è solo un'azienda; non siamo che ingranaggi in un meccanismo molto più ampio. La speranza è che qualcuno che ha ascoltato la mia presentazione di oggi prenda quelle informazioni e le faccia proprie; ma nel caso peggiore, quantomeno i presenti le hanno sentite."

Ciò che rimane dall'incontro con Noe è proprio questo punto: una maggiore attenzione alla propria presenza online, sia personale sia aziendale, è d'obbligo e serve un cambio di prospettiva per affrontare seriamente la questione. L'introduzione di strumenti normativi volti a tutelare maggiormente la privacy delle persone è un fatto molto positivo, ma non può essere l'unico elemento. Dall'altro lato dev'esserci la consapevolezza da parte nostra, come privati cittadini e come professionisti, che le informazioni sui nostri dispositivi elettronici sono a rischio e che bisogna proteggerle in tutti i modi possibili. Il rischio è, altrimenti, quello di perdere (ancor più) il controllo delle nostre informazioni, con tutti gli effetti negativi che ciò comporta.

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TorettoMilano10 Maggio 2023, 15:23 #1
articolo interessante, mi ha fatto sorridere l'aneddoto dell'hacker che sfrutta falle del sistema tramite chip sottopelle e non gli possono dire nulla
agonauta7810 Maggio 2023, 17:11 #2
Curioso scoprire che più si va avanti con la tecnologia e più emergono patologie mentali
T_zi10 Maggio 2023, 21:03 #3
Semplicemente inquietante. E' incredibile come è facile convincere le persone a rinunciare a qualsiasi cosa, come la sacralità del proprio corpo, con la promessa di rendere la loro vita più semplice e comoda.

Già per chi preferisce, oltre alla possibilità di pagare con bancomat, ci sono i sistemi NFC dal cellulare o ancora più semplicemente dallo smartwatch. Come se poi fosse "scomodo" pagare con i contanti
Il fatto che si arrivi a pensare di impiatarsi un chip nel corpo, per avere la comodità di pagare più velocemente, è una di quelle cose di cui non riuscirò mai a capacitarmi.

Poi è tutto fun and games, finché non ti disattivano il chip e non puoi più comprarti da mangiare perchè hai postato su internet un'opinione discordante da quella che va per la maggiore, oppure ti sei rifiutato di sottoporti ad un trattamente medico coercitivo dai dubbi benefici e profili di sicurezza, ehm ehm
GuardaKeTipo10 Maggio 2023, 23:53 #4
In pratica digitalizzare al 100% ogni cosa porta inevitabilmente ad almeno una breccia nella sicurezza... evolversi sì ma lasciare qualcosa di "analogico" (per usare un termine dell'articolo)... è quasi fondamentale.
Penso che impiantare il chip della carta di credito sottopelle sia un pericoloso precedente che un giorno potrebbe portare a risvolti inquietanti

Comunque grazie, l'articolo è interessante e la sua lettura scorre velocemente
lucale11 Maggio 2023, 00:53 #5
Originariamente inviato da: T_zi
Semplicemente inquietante. E' incredibile come è facile convincere le persone a rinunciare a qualsiasi cosa, come la sacralità del proprio corpo, con la promessa di rendere la loro vita più semplice e comoda.


Infatti secondo me sarà facilissimo convincere le persone, anzi non ci sarà nemmeno bisogno di convincerle a farsi impiantare un chip sottopelle perché, a parte qualche caso particolare come il tizio eccentrico dell'articolo, saranno soprattutto le generazioni future a volerle a tutti i costi, dato che così va il mondo e le persone tendono ad adattarsi nel bene o nel male a ciò che si ritrovano dopo che sono nate.

Noi stessi abbiamo accettato e voluto molte cose nell'ultimo secolo a discapito di altre in nome della comodità, alcune delle quali probabilmente subendo lo stesso livello di inquietudine da parte dei nostri antenati se avessero saputo prima come sarebbe stato il mondo attuale, sia dal punto di vista tecnologico, etico e morale.

Quindi tutto ciò che per noi è inquietante riguardo al futuro, sarà la normalità ed un qualcosa di irrinunciabile per le generazioni a venire e così via... perciò, razzi loro
Totix9211 Maggio 2023, 15:59 #6
Ah... ma non era roba da gomblottisti? ne parlavano già 10 anni fa
Già m'immagino gli allocchi che se lo fanno senza pensarci due volte, in nome della "comodità" certi allocchi si venderebbero anche la mamma, vendono anche se stessi, e ovviamente gli ideatori di ste cose se la ridono.
Più andiamo avanti e più vedo masse di rinco...

Originariamente inviato da: GuardaKeTipo
Penso che impiantare il chip della carta di credito sottopelle sia un pericoloso precedente che un giorno potrebbe portare a risvolti inquietanti

Proprio così
UtenteHD11 Maggio 2023, 16:50 #7
E' da una vita che ci pensano mi sa, prima o poi troveranno la scusa giusta, magari la sicurezza, magari una nuova crisi grave futura, o chissa' cosa, tanto le cose negative accadono, basta attendere quella giusta.
euscar11 Maggio 2023, 22:19 #8
Originariamente inviato da: T_zi
Semplicemente inquietante. E' incredibile come è facile convincere le persone a rinunciare a qualsiasi cosa, come la sacralità del proprio corpo, con la promessa di rendere la loro vita più semplice e comoda.

Già per chi preferisce, oltre alla possibilità di pagare con bancomat, ci sono i sistemi NFC dal cellulare o ancora più semplicemente dallo smartwatch. Come se poi fosse "scomodo" pagare con i contanti
Il fatto che si arrivi a pensare di impiatarsi un chip nel corpo, per avere la comodità di pagare più velocemente, è una di quelle cose di cui non riuscirò mai a capacitarmi.

Poi è tutto fun and games, finché non ti disattivano il chip e non puoi più comprarti da mangiare perchè hai postato su internet un'opinione discordante da quella che va per la maggiore, oppure ti sei rifiutato di sottoporti ad un trattamente medico coercitivo dai dubbi benefici e profili di sicurezza, ehm ehm


Pienamente d'accordo.
Totix9211 Maggio 2023, 22:49 #9
Originariamente inviato da: T_zi
Semplicemente inquietante. E' incredibile come è facile convincere le persone a rinunciare a qualsiasi cosa, come la sacralità del proprio corpo, con la promessa di rendere la loro vita più semplice e comoda.

Già per chi preferisce, oltre alla possibilità di pagare con bancomat, ci sono i sistemi NFC dal cellulare o ancora più semplicemente dallo smartwatch. Come se poi fosse "scomodo" pagare con i contanti
Il fatto che si arrivi a pensare di impiatarsi un chip nel corpo, per avere la comodità di pagare più velocemente, è una di quelle cose di cui non riuscirò mai a capacitarmi.

Poi è tutto fun and games, finché non ti disattivano il chip e non puoi più comprarti da mangiare perchè hai postato su internet un'opinione discordante da quella che va per la maggiore, oppure ti sei rifiutato di sottoporti ad un trattamente medico coercitivo dai dubbi benefici e profili di sicurezza, ehm ehm


Quoto!!
futuristicone12 Maggio 2023, 22:07 #10
sarà un vero progresso il chip sottocutaneo renderà ogni cosa davvero comoda speriamo che venga presto resa obbligatoria dai governi come per il green pass, inoltre poter tracciare ogni persona per motivi di sicurezza è fantastico.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^