Oggi incontriamo Nicola Lopatriello, Sviluppatore front-end e Penetration tester

Raccontaci come sei approdato in GFM.

Ho conosciuto GFM circa 7 anni fa tramite passaparola. In quel periodo lavoravo in un negozio di assistenza informatica nel paese in cui vivevo, in provincia di Matera – un lavoro che ho fatto per dieci anni – mentre frequentavo il corso universitario online di Sicurezza dei sistemi e delle reti informatiche dell'Università degli Studi di Milano. Allora ero acerbo in materia di sviluppo software, ma grazie al clima positivo, la seniority di altri colleghi e la voglia di imparare non è stato difficile muovere i primi passi in questa realtà.

Che ambiente hai trovato?

Un ambiente che mi piace molto, perché si è creato da subito un bellissimo rapporto di fiducia e di familiarità, che continua tuttora. È proprio quello che cerco e so che è una cosa difficile da trovare in azienda, dove a volte le dimensioni dell'organizzazione complicano un po' le cose. Siamo un gruppo ristretto, tra noi c'è grande unità e coesione.

Secondo te qual è il segreto di questo clima positivo?

Chi costruisce l'azienda ha una filosofia precisa, non è rigido, ma flessibile e tollerante. Di conseguenza le nuove persone che arrivano condividono i valori del team. Il valore che ci tiene insieme è l'amicizia, la familiarità: il nostro non è un ambiente fatto di rivalità, ci si aiuta sempre tra colleghi, penso che questa non sia una cosa scontata in un ambiente lavorativo.

Con quale progetto hai iniziato? E quale stai seguendo ora?

Il primo è stato "Kirk", un progetto sviluppato per Vodafone e che ho seguito dall'inizio alla fine, assieme a Greta. Da circa tre anni mi occupo di LSI, una piattaforma cloud multi-tenant che contiene un set di tool per il monitoraggio di grandezze fisiche ambientali. Negli ultimi mesi ho lavorato all'interfaccia grafica di un tool in grado di agevolare il processo di labeling di immagini relativo al training di un algoritmo di Intelligenza Artificiale.

Nel frattempo ci risulta che ti occupi molto attivamente anche di Cybersecurity…

È vero: da circa un anno ci stiamo avvicinando a questo mondo in maniera attiva e sto cercando di portare il mio contributo in azienda. Siamo reduci da mesi intensi di formazione e ci stiamo concentrando sui "penetration test" relativi ad applicazioni web: una scelta naturale, visto che come società ci occupiamo proprio di sviluppare applicazioni web.

Spieghiamolo bene ai nostri lettori: cos'è un "penetration test"?

Un "penetration test" è una simulazione di un attacco informatico su un sistema, una rete o un'applicazione per valutare la sua sicurezza. Tuttavia, a differenza di un attacco reale, un "penetration test" viene eseguito con il consenso del proprietario del sistema. L'obiettivo principale è quello di identificare le vulnerabilità e fornire come risultato finale un report contenente tutte le informazioni utili, ovvero i passi necessari per replicare la vulnerabilità e i suggerimenti per porvi rimedio. Brevemente, i "penetration test" possono essere di tre tipi. White-box: l'attaccante ha pieno accesso alle informazioni sul sistema, incluse documentazioni, codici sorgente e credenziali. Grey-box: l'attaccante ha un accesso limitato alle informazioni sul sistema, può conoscere, ad esempio, alcune credenziali di base o informazioni parziali sulle applicazioni. Black-box: l'attaccante non ha alcuna informazione interna sul sistema. In questo caso l'approccio è simile a quello di un hacker esterno che cerca di compromettere il sistema senza averne conoscenze pregresse.

Quali sono i rischi legati a un'applicazione web vulnerabile?

Principalmente la compromissione di dati e cioè il rischio che i dati del sistema vengano sottratti e - spesso - utilizzati per ricattare l'organizzazione, richiedendo un pagamento in cambio della non divulgazione o della loro restituzione. Teniamo poi presente che un'applicazione vulnerabile può anche essere solamente il mezzo attraverso cui attaccare sistemi terzi più complessi. In questo scenario, l'applicazione vulnerabile rappresenta solo un anello debole in una catena più ampia.

Che impatto ha la Cybersecurity sul lavoro di GFM?

Come società di sviluppo software abbiamo il dovere di cercare di rilasciare ai nostri clienti software sicuri e facciamo quindi il possibile per essere informati sulle vulnerabilità note. È chiaramente un trade-off tra costi e benefici: un software può anche essere affetto da vulnerabilità, ma l'importante è avere intanto la consapevolezza di un eventuale rischio, insieme a strategie di Disaster Recovery.

Secondo te qual è la sfida più grande che deve affrontare oggi la Cybersecurity?

La crescente complessità degli attacchi. Gli aggressori sono sempre più abili nel creare attacchi mirati e sofisticati, utilizzando tecniche avanzate come l'ingegneria sociale, il phishing oppure i ransomware. Questo richiede agli esperti di sicurezza di essere costantemente un passo avanti, adottando misure di difesa proattive e aggiornando continuamente le strategie di sicurezza informatica. È da ricordare anche che spesso l'anello più debole di tutta la catena è l'utente finale e quindi a chi si occupa di Cybersecurity sarà richiesto un impegno sempre maggiore nel sensibilizzare e formare gli utenti.