Redazione RHC : 22 Agosto 2025 11:05
Gli esperti di sicurezza parlano sempre più spesso di “Q-Day”, il momento in cui i computer quantistici saranno in grado di gestire i moderni algoritmi di crittografia. Le previsioni dei principali attori, da IBM e Google agli analisti di Gartner, si riducono a una data allarmante: il traguardo potrebbe arrivare già nel 2029. Il paradosso è che non ci saranno segnali d’allarme clamorosi. I server continueranno a rispondere alle richieste, i browser apriranno pagine familiari, i sistemi aziendali rimarranno operativi. Cambierà solo la parte invisibile del quadro: gli aggressori che da anni “raccolgono” dati crittografati aspetteranno il momento in cui potranno essere letti.
All’inizio di quest’estate, Keyfactor ha riunito gli scienziati attorno a un tavolo per discutere il confine tra consapevolezza e reale preparazione. L’incontro ha fatto eco a un sentimento che i dirigenti della sicurezza ripetono da tempo in privato: nessuno conosce la data esatta, quindi ha senso comportarsi come se la corsa fosse già iniziata. L’azienda ha pubblicato delle raccomandazioni per la compilazione di un inventario crittografico, che di solito è il punto di partenza per qualsiasi transizione importante. Senza una conoscenza approfondita dei protocolli, delle chiavi, delle librerie e dei dispositivi coinvolti nei processi aziendali, è impossibile pianificare la sostituzione.
Il giorno dei quanti, qualunque esso sia, sarà avvertito dalle chiavi pubbliche come RSA-2048 che è stato il cavallo di battaglia delle firme digitali, dello scambio di chiavi, del TLS nei browser web, della crittografia delle e-mail e di una serie di script incorporati per decenni.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Il National Institute of Standards and Technology ha già approvato una serie di algoritmi post-quantistici e la strada è formalmente tracciata. Il problema è la scalabilità. Il co-fondatore di Keyfactor, Ted Shorter, stima che persino l’aggiornamento molto più soft da SHA-1 a SHA-2/256, iniziato intorno al 2007, abbia richiesto al settore circa 12 anni per essere completato. Le organizzazioni hanno dovuto affrontare incompatibilità, il rischio di compromettere le integrazioni legacy e una carenza di personale, e quindi la migrazione si è protratta a lungo. Quasi due decenni dopo, ci sono ancora clienti che hanno SHA-1 in agguato negli angoli della loro infrastruttura.
Il lato commerciale del problema aggiunge inerzia. I team tecnici giocano a whack-a-mole da anni con un flusso costante di incidenti, e la ristrutturazione strategica delle criptovalute è stata relegata in fondo alla lista delle priorità.
Quando la sicurezza spiega i rischi, alcuni manager li vedono come “un altro Y2K”, che presumibilmente può essere rinviato se la minaccia non si manifesta entro un paio d’anni. L’errore di percezione colpisce i dati con un lungo ciclo di vita. I registri finanziari sono spesso tenuti a essere conservati per almeno sette anni, gli identificativi dei conti bancari sono validi per decenni, i satelliti rimangono in orbita ben oltre il completo deprezzamento delle apparecchiature di terra. Tom Patterson di Accenture ricorda il progetto del primo satellite quantistico: la crittografia non è la prima cosa a cui si pensa, ma è impossibile “riposizionare” il dispositivo nello spazio: la protezione deve essere installata prima del lancio.
La storia del Y2K rende davvero difficile valutare con lucidità i rischi attuali. Alla fine degli anni ’90, il mondo si stava preparando a un problema tecnico dovuto al formato dell’anno a due cifre. Governi, banche, infrastrutture: l’intero ecosistema ha speso centinaia di miliardi di dollari per aggiornare e riscrivere il codice. Alla vigilia di Capodanno, nulla è crollato e gli sforzi di un esercito di ingegneri si sono rivelati pressoché invisibili. Anni dopo, sono emersi gli effetti collaterali della “finestra” (windowing): alcuni parchimetri e sistemi di pagamento sono saltati nel 2020. Veterani di quegli eventi come Peter Zatko (Mudge), ora CIO della DARPA, ricordano di essere stati in servizio in contatto con la Casa Bianca e sottolineano: “non si è verificato alcun disastro” proprio perché le persone hanno lavorato. Altri ricordano: i paesi con una preparazione minima hanno superato la pietra miliare quasi senza dolore, il che significa che c’era più panico che fatti. Entrambe le versioni sono comode a posteriori, ma entrambe si riducono a un punto: un problema su larga scala può essere prevenuto solo in anticipo.
In questo senso, la transizione post-quantistica è più complessa del Y2K. La data non è ancora stata fissata; nessuno pubblicherà un comunicato stampa per annunciare che la chiave ha finalmente ceduto.
Gli aggressori raccoglieranno silenziosamente il set di dati e l’energia necessaria, proprio come i crittoanalisti un tempo si occuparono di Enigma, e lavoreranno su quegli array che saranno preziosi negli anni a venire. Il ricercatore Marin Ivezic di Applied Quantum richiama l’attenzione sul bilancio energetico: decifrare una singola chiave RSA-2048 può richiedere giorni e megawatt, quindi non è prevista una “demolizione” di massa della crittografia in un colpo solo.
Il settore, tuttavia, sta iniziando a muoversi. Il rapporto “Digital Trust Digest: Quantum Readiness Edition” di Keyfactor del 30 luglio ha rilevato che metà dei 450 dirigenti della sicurezza IT intervistati ha ammesso di non essere preparata, ma l’argomento è già entrato nelle agende di consigli di amministrazione, assicuratori e autorità di regolamentazione. I requisiti di conformità spingeranno le grandi istituzioni finanziarie, banche, società di telecomunicazioni ed enti governativi più velocemente di altri. Le aziende più piccole potrebbero seguire una traiettoria diversa: alcune aspetteranno che hardware e software cambino e “passeranno” direttamente alla nuova crittografia; per coloro che vivono interamente nel cloud, gli hyperscaler si occuperanno di parte del lavoro.
L’agenda pratica per i prossimi anni sembra concreta. Abbiamo bisogno di un registro completo degli ambienti crittografici: protocolli, librerie, centri di certificazione, formati di chiavi e loro durata. Poi, implementazioni pilota di algoritmi NIST dove i rischi sono più elevati e un piano di compatibilità per non “abbandonare” integrazioni obsolete. Sarà necessaria l’automazione, perché una migrazione manuale di questo tipo è insostenibile. E dovremo rivedere costantemente le policy crittografiche , tenendo conto proprio di questa incertezza temporale.
Il mondo digitale ha un calendario difficile: da qualche parte nel futuro si profila l'”Epocalisse” del 2038, un altro bug nel sistema di riferimento universale UNIX. Ma questo è un problema per il prossimo futuro. La protezione post-quantistica richiede impegno ora, mentre le minacce rimangono teoriche e invisibili. Se tutto verrà fatto in tempo, “non succederà nulla” – e questo sarà il principale indicatore di successo.
RedazioneUn nuovo strumento chiamato SpamGPT è apparso sui forum underground ed è rapidamente diventato oggetto di discussione nel campo della sicurezza informatica. Il software malevolo combina le capacità...
Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) al laboratorio Santa Rita. Disclaimer: Questo rapporto include screenshot e/o t...
SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...
Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...
A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...
