Intervista a Dario Durando, AV malware analyst per Fortinet (Singapore). Cyber security e fuga di cervelli

Italia: sono quasi le 15 quando il nostro messaggio whatsapp viene spedito, nella calma post pranzo di una giornata primaverile. Singapore: sono quasi le 21 di sera quando Dario Durando, il nostro italian del mese, legge il messaggio e compare la doppia spunta blu.

Questa volta, il passa-parola ha funzionato: ci avevano parlato di Dario come “uno di quegli italiani che fa un mestiere fighissimo all’estero”. E la realtà non è tanto lontana dalle promesse: a 27 anni lavora a Singapore nel campo della sicurezza informatica come AV malware analyst per Fortinet, una compagnia americana di cyber security. In pratica, studia quei programmi che cercano di rubare i nostri dati personali.

Originario di Padova, prima di arrivare in Asia Dario è passato per l’Australia (dove ha fatto un semestre di scuola superiore in Australia), per Torino (dove ha fatto l’università) e anche per la Francia (dove ha fatto l’erasmus). Da buon italiano ama la musica, il calcetto e i viaggi, ma anche le competizioni di hacking CTF (capture the flag), cucina e fotografia.

 

Ciao Dario! Partiamo subito dal tuo lavoro, forse uno dei più richiesti (e interessanti) al momento: di cosa ti occupi di preciso e quali sono le tue responsabilità a Singapore?

Lavoro per Fortinet, una compagnia americana di sicurezza informatica che produce vari tipi di hardware e software rivolti ad aumentare la sicurezza dei sistemi, principalmente delle aziende. Si tratta di una compagnia di medie dimensioni, sicuramente non nell’ordine di grandezza di altre compagnie della silicon valley, ma certamente conosciuta dalle persone del settore.

Per quanto mi riguarda, faccio parte di un gruppo di ricerca che si occupa di reverse engineering di malware, ovvero di scovare e capire come funzionano tutti quei programmi che hanno come scopo rubare informazioni o danneggiare sistemi digitali. Più precisamente studio malware per sistemi basati su sistema operativo Android (quello dei telefoni cellulari per intenderci) e per il mondo IoT (internet of things), ovvero tutte quelle apparecchiature come telecamere, televisori, termostati, router, che in questo periodo vengono chiamate smart. Le nostre scoperte vengono pubblicate sul blog della compagnia e, di tanto in tanto, se la nostra ricerca si rivela veramente interessante, abbiamo l’opportunità di andare a esporla ad altri esperti del settore in varie conferenze in giro per il mondo.

 

Nel campo della sicurezza informatica, come siamo messi in Italia? Esistono corsi di laurea e posti di lavoro adeguati?

Beh, diciamo che di lauree su questi temi ne esistono parecchie, ma le principali sono informatica e ingegneria informatica (che sembrano la stessa cosa ma sono in realtà due corsi di laurea differenti, per quanto con molto in comune). Inoltre, il mondo dell’informatica gode di un privilegio enorme: la possibilità di ottenere tutte le informazioni necessarie tramite una semplice ricerca online. Conosco molti eccellenti programmatori, italiani e non, che non hanno frequentato i corsi di lurea che ho menzionato prima, e molte volte nemmeno hanno frequentato l’università. In questo settore è solo necessario essere capaci.

Detto ciò, in Italia esistono posti di lavoro di questo tipo. E i laureandi in questo tipo di lauree sono estremamente ricercati. Per fare un esempio, ho ricevuto 5-6 offerte di lavoro la settimana dopo essermi laureato. Sfortunatamente i lavori che vengono offerti, per quanto molti, erano decisamente sottopagati rispetto alla media europea, e veramente poco interessanti.

 

Sicurezza e informazione sono due parole su cui si sta incentrando sempre più il dibattito a livello mondiale. La crescente minaccia hacker, la diffusione a nostra insaputa dei nostri dati personali (penso all’ultima vicenda Facebook): come ci si può proteggere da tutti questi nuovi rischi derivanti dal vivere perennemente connessi e della maggior parte dei quali non siamo nemmeno a conoscenza?

Sfortunatamente è veramente difficile difendersi da questo tipo di rischi. Prendendo il caso Facebook, ad esempio, non basta essere attenti a ciò che si pubblica o leggere attentamente l’EULA (end-user license agreement, i termini e le condizioni che bisogna accettare prima di accedere al servizio). Per l’utente medio, ciò che avviene dietro le quinte di queste piattaforme è qualcosa di paragonabile a magia nera, e sarebbe insensato credere che questi utenti possano avere controllo su qualcosa del genere. Perfino per esperti del settore e ricercatori è estremamente difficile scoprire questo genere di cose, soprattutto nel caso di grandi compagnie come Facebook che mantengono il loro codice sorgente segreto. In questo specifico caso, anche se un utente non ha mai avuto un account Facebook, esiste la possibilità che i suoi dati siano stati raccolti ugualmente, tramite servizi pubblicitari da loro posseduti, o altri servizi posseduti da Facebook, come Whatsapp o Instagram. In questi casi molte volte è necessario che qualche indagine venga svolta per scoprire quello che effettivamente avviene.

 

Proprio sulla vicenda Facebook: da esperto del settore, cosa ne pensi? Zuckerberg sta giocando bene le sue carte o rischia di perdere definitivamente la fiducia dei suoi utenti? Ma è realistico pensare che questo porterebbe alla fine del social network?

Sicuramente è un bel colpo per Facebook, e il social network ne sta risentendo. Zuckerberg ha fatto multipli interventi pubblici ed ha addirittura comprato pagine intere di vari giornali americani ed inglesi per scusarsi con i suoi utenti. Per ora sta cercando di correre su due binari paralleli: da un lato si sta assumendosi la responsabilità di ciò che è accaduto, ma dall’altro sta anche cercando di mostrarlo come un errore in buona fede.
Personalmente, non ho modo né mezzi per sapere se ciò che sostiene sia la verità o meno. In ogni caso, si tratta molto probabilmente della mossa migliore dal punto di vista mediatico. Tuttavia dubito che Facebook venga completamente abbandonato. Sicuramente molte persone abbandoneranno la piattaforma, ma probabilmente la grande maggioranza dell’utenza rimarrà. Non esiste al momento nessuna vera concorrenza per il colosso di Menlo Park, e le persone tendono a dimenticare piuttosto facilmente.

 

Facciamo un passo indietro: come e quando sei arrivato a Singapore? E soprattutto – perché la scelta di trasferirti proprio lì? Faceva tutto parte di un tuo piano ben progettato oppure quella di partire è stata più una necessità?

Sono arrivato a Singapore nell’estate del 2016, ormai quasi due anni fa. Poco dopo la laurea, ho contattato una persona all’interno di Fortinet con cui avevo avuto la possibilità di lavorare in Francia, durante il mio secondo anno di laurea magistrale, e tramite questa persona sono riuscito a ottenere un colloquio. Al tempo c’era la possibilità di lavorare in Francia oppure di andare a far parte di un nuovo laboratorio a Singapore. La mia scelta è stata dettata soprattutto dalla curiosità per una zona del mondo a me completamente sconosciuta e dalla possibilità di entrare in un team di ricerca durante i suoi inizi, cercare di far parte della creazione di qualcosa.

 

Il lavoro a Singapore è strutturato diversamente rispetto a quello in Italia? Penso ad orari di lavori flessibilità, alla meritocrazia, alla responsabilità, o anche alla possibilità di emergere e far carriera nonostante la giovane età…sono problemi solo italiani?

Singapore è famosa per avere ritmi di lavoro sfiancanti. Detto questo, io mi trovo ad avere una flessibilità che mi fa quasi sentire in colpa rispetto a molti miei amici che lavorano in altri settori qui a Singapore. L’importante è essere efficienti nel proprio lavoro, non passare il cartellino alle 9 e alle 18, e questo è estremamente gratificante. Ciò non significa che ognuno può fare quello che vuole, ma semplicemente che si viene valutati in base a quanto si produce, in base a vari indici di produttività (KPI, key performance indicator) e non in base a quando si entra e si esce.

Mi sento poi molto fortunato a lavorare in questo settore. Per quanto ho avuto modo di notare, è uno dei più meritocratici: il punto di partenza è simile per tutti e non è necessario pagare nulla di più di un computer e di una connessione internet per avere accesso a una enorme quantità di materiale didattico. Tornando a parlare di social network, nel mio settore questi svolgono un ruolo enorme nel mettere in contatto persone con interessi simili e permettono a chiunque di condividere la propria ricerca. Esistono moltissimi ricercatori indipendenti che sono diventati conosciuti e rispettati nel settore solo tramite il loro handle di twitter, prima ancora che si sapesse il loro vero nome. Ovviamente non sto dicendo che queste persone si guadagnano da vivere tramite tweet, ma questo tipo di atteggiamento si rispecchia molto nell’industria che si occupa di ciò, almeno per quanto ho avuto modo di osservare in prima persona.

Chiaramente questo non è strettamente legato a svolgere il mio lavoro a Singapore piuttosto che in Italia, ma è più che altro una piccola riflessione sul mondo della tecnologia in generale. Mi risulta molto difficile paragonare i due mondi lavorativi, principalmente perché in Italia ho solo sostenuto qualche colloquio, prima di trasferirmi in Asia.

Come ho detto, mi sono trasferito principalmente per curiosità. Non mi esprimo su meritocrazia, flessibilità e responsabilità perché non ne ho esperienza diretta, sebbene abbia sentito storie non molto positive da amici e colleghi universitari che attualmente lavorano in Italia. L’unica cosa su cui posso fare un paragone è sul tipo di lavoro che mi è stato proposto: per quanto mi riguarda, in Italia sarei sostanzialmente stato forzato a lavorare in università per fare qualcosa che mi interessasse, con tutti i problemi che lavorare in università in patria comporta. Infine, per quanto veniale possa sembrare, il salario gioca una parte fondamentale nella scelta di un posto di lavoro, e anche da quel punto di vista l’Italia è molto indietro anche rispetto ai paesi confinanti come Francia e Germania.

 

Com’è realmente vivere a Singapore, quali sono le difficoltà che affronti ogni giorno in questa nuova vita così lontana da casa? Essere italiani viene visto come un valore aggiunto, ti senti ben accolto, oppure ci sono dei pregiudizi che hai dovuto superare?

Devo ammettere che quando sono arrivato ero timoroso del cibo asiatico. Le mie uniche esperienze risalevano a qualche riso alla cantonese e involtino primavera durante gli anni universitari a Torino. Mi sono dovuto ricredere. L’Asia ha un panorama culinario estremamente vasto e ricco, e l’elitarismo culinario di cui la maggior parte di noi italiani soffriamo ha dovuto cedere di fronte a Pho vietnamiti, curry thailandesi, granchi piccanti singaporeani e via dicendo.

La città si presta molto alla vita da lavoratore: molto pulita, molto efficiente e con una vasta quantità di attrazioni ed eventi. Singapore però è anche molto strana. È una città cosmopolita, con quattro lingue ufficiali (inglese, mandarino, malese e tamil) e abitata da persone di tutto il mondo. Nonostante questo, i singaporiani non sono tendenzialmente molto aperti, eccezion fatta per le giovani generazioni, e tendono a rimanere abbastanza chiusi nei loro sottogruppi etnici. Non è raro incontrare qualche anziano scorbutico e meno volenteroso a comunicare con gli “ang mo”, che sarebbero sostanzialmente le persone bianche. Va considerato che Singapore è una nazione molto giovane, con un passato coloniale importante e soprattutto molto recente (lo stato festeggerà la sua 53esima indipendenza questo agosto).

 

Passando agli studi: la tua formazione scolastica/universitaria è partita dall’Italia per arrivare poi in Australia e in Francia. Immagino che in tutti questi posti si studi diversamente: potresti aiutarci a fare una sorta di sistemi educativi a confronto? Punti di forza e punti negativi, ovviamente.

Il mio primo contatto con un sistema diverso è stato nel 2007, quando ho svolto un semestre di scuola superiore in Australia. Al tempo mi colpì molto come la scelta fosse molto più nelle mani dello studente rispetto all’Italia. Un carico didattico limitato a 6 materie, di cui 2 obbligatorie (inglese e matematica) e 4 a scelta. Un sistema che permette totale libertà nella scelta delle materie, incoraggia gli studenti a scegliere ciò a cui loro sono effettivamente interessati, aumentando la possibilità di creare eccellenze avendo classi collaborative e interessate, ma al tempo stesso limitando la conoscenza dello studente medio. Sebbene non penso questo sia un metodo perfetto, ho trovato studenti più motivati in un paesino di provincia australiano che in antiche scuole in grandi città italiane.

Il periodo in Francia è avvenuto durante la mia carriera universitaria. È stata una rivoluzione per me. Durante i miei 4 anni al Politecnico di Torino ero stato abituato a ore e ore di studio teorico dei problemi delle reti, delle teorie su cui gli algoritmi utilizzati si basavano. In Francia sono stato catapultato nella pratica, nella effettiva creazione di questi protocolli, mi ha insegnato moltissimo. Non voglio dire che il sistema italiano sia inferiore rispetto a quello francese, perché sarebbe riduttivo. Sono felice di aver avuto modo di godere di entrambi, perché sono convinto che uno senza l’altro non avrebbe senso di esistere. Sarebbe bello si potesse creare una sorta di via di mezzo tra la teoria e la pratica.

 

Si parla spesso (e a volte a sproposito) della cosiddetta “fuga di cervelli”: te cosa ne pensi? Secondo la tua esperienza, quali sono le cause e le possibili soluzioni affinché i nostri talenti non sentano più il bisogno di scappare via? Ma soprattutto: secondo te l’estero offre veramente così tante opportunità da spingere giovani come te a mollare tutto?

Nella maggior parte dei casi, la più grande attrattiva al di fuori della volontà di esplorare e della curiosità personale, risulta quasi sempre essere il salario. L’Italia è costantemente uno o due passi indietro rispetto agli altri paesi in questo ambito. È difficile criticare qualcuno che decide di andare a lavorare in Francia o Germania quando viene pagato il 50-60% in più per lo stesso tipo di lavoro. Inoltre ho la sensazione che ci sia un generico scetticismo nei confronti del mondo tecnologico in Italia. Faccio fatica a nominare conferenze di rilievo nel mio ambito in Italia, mentre sono molte quelle svolte in altri paesi anche europei, come ad esempio Francia e Germania. Le eccellenze in Italia esistono, ma è difficile sentirsi valorizzati quando si è costretti a lavorare quanto i propri pare all’estero venendo pagati la metà.

 

Ti manca mai l’Italia? Pensi che ormai la tua vita sia a Singapore oppure hai in programma di tornare a casa? E cosa consiglieresti ai tanti giovani che vorrebbero fare il tuo stesso lavoro?

L’italia mi manca enormemente. Se riuscissi a trovare un lavoro paragonabile a quello che ho al momento in Italia, non esiterei un momento. Sfortunatamente è estremamente difficile di questi tempi.
Per i ragazzi che desiderano intraprendere una carriera nel mondo della sicurezza informatica direi di informarsi online, leggere blog, seguire ricercatori su twitter, ma soprattutto essere curiosi e capire cosa è che li stimola di più. Se desiderate frequentare un corso universitario rivolto a questo mondo, fatelo. Se pensate di poter imparare più velocemente da autodidatti, fatelo. Se volete creare i vostri software, fatelo. L’importante è imparare attivamente ed essere capaci e disposti ogni giorno a imparare qualcosa di nuovo. È un mondo enorme e non si finisce mai di imparare. La presunzione di sapere tutto è il più grande nemico che potete incontrare nel vostro percorso.

 

 

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento