Chi è Elio Magliari
«Mi chiamo Anuar Elio Magliari e sono un giovane ingegnere software originario della Toscana ma cresciuto a Sora, una città della Ciociaria. Mi sono formato in Ingegneria Informatica con una specializzazione in Cybersecurity. Oggi lavoro presso Logistics Reply, dove progetto e sviluppo soluzioni digitali nel campo della logistica e trasporti. Ho una passione profonda per l’informatica, in particolare per i sistemi distribuiti, la sicurezza dei dati e lo sviluppo web. Mi considero ambizioso, curioso e orientato al futuro. Il mio obiettivo? Crescere come professionista e contribuire allo sviluppo di tecnologie innovative e sicure.»
Il primo incontro con la cybersecurity
RP: Elio, come hai scoperto il mondo della cybersecurity e cosa ti ha affascinato di più durante i tuoi studi al Politecnico di Torino?
EM:
Il mio primo incontro con la cybersecurity risale all’adolescenza, quando, da adolescente “smanettone”, mi divertivo a esplorare i videogiochi in modi non convenzionali: dopo aver completato un livello cercavo stratagemmi per ottenere risorse e personaggi extra senza dover sottoscrivere abbonamenti. Quell’approccio ludico mi ha spinto a studiare i fondamenti della sicurezza informatica “sul campo”: dai concetti base di brute-force fino alla configurazione di semplici firewall domestici e alle prime nozioni di crittografia e vulnerabilità.
Al Politecnico di Torino ho potuto trasformare quella curiosità in competenze tecniche solide. Tra i vari corsi, è stato lo studio della Public Key Infrastructure (PKI) a catturare la mia attenzione: comprendere come una gerarchia di Certification Authority, unita ai meccanismi di revoca dei certificati, dia vita a una “catena di fiducia” digitale, alla base di HTTPS e della firma elettronica, è stato per me un vero punto di svolta, perché coniuga rigore matematico e utilizzo pratico in infrastrutture reali.
Nel passaggio dalla triennale alla magistrale ho poi potuto integrare queste conoscenze con un percorso più orientato allo sviluppo software: oggi so progettare e realizzare strumenti di sicurezza fin dal primo requisito funzionale, fino al rilascio in ambiente di produzione. Questo mix di teoria e pratica resta il motore del mio interesse verso la cybersecurity, ma soprattutto verso il software.
A cosa servono i certificati X.509v3
RP: La tua tesi si concentra sui certificati digitali X.509v3. In parole semplici, a cosa servono questi certificati e perché sono così importanti ogni volta che navighiamo su Internet?
EM:
Un certificato X.509v3 è essenzialmente un documento elettronico, emesso da un ente denominato Certificate Authority (CA), che associa in modo sicuro una chiave pubblica a un’identità (come un nome di dominio, un’organizzazione o un individuo).
Ma perché abbiamo bisogno di questo ente? Non potremmo emettere i certificati da soli? È proprio qui il punto: così come nelle transazioni bancarie abbiamo bisogno di una banca che certifichi il passaggio di denaro da un conto a un altro, anche nella sicurezza informatica abbiamo bisogno di un’entità di fiducia che garantisca che una chiave crittografica (pubblica) sia effettivamente associata a una determinata identità.
In realtà, questo principio non è applicabile a tutto il settore, poiché da alcuni anni esiste il concetto di blockchain, che offre un modello alternativo di fiducia decentralizzata. Tuttavia, si tratta di un discorso a parte.
Il certificato digitale riporta questa associazione, includendo tutti i dati necessari per l’identificazione e per stabilire una comunicazione cifrata. Utilizzando la chiave pubblica presente nel certificato, è possibile cifrare dati che solo il legittimo titolare della corrispondente chiave privata potrà decifrare.
Ogni volta che apriamo una connessione HTTPS, il browser scarica il certificato del server, ne verifica la firma della CA, controlla la validità temporale e l’eventuale revoca (tramite OCSP o CRL) e, se tutto risulta regolare, stabilisce un canale cifrato. In questo modo possiamo essere certi di comunicare davvero con “www.amazon.it” e non con un impostore, evitando così attacchi di tipo man-in-the-middle.
Senza i certificati X.509v3, il protocollo TLS non sarebbe in grado di garantire né l’autenticazione né la riservatezza dei dati in transito. Questa versione è la più utilizzata: quasi il 100% dei certificati in circolazione riporta proprio questa versione.
Questo successo si deve principalmente all’introduzione delle estensioni, che hanno reso il formato più flessibile e sicuro. Tra le più importanti c’è il campo Signed Certificate Timestamp (SCT), introdotto a seguito di gravi eventi come i breach delle CA DigiNotar e Symantec. Ad esempio, DigiNotar fu compromessa e permise l’emissione di certificati falsi usati per spiare cittadini iraniani. Quel caso dimostrò quanto fosse vulnerabile l’intera infrastruttura se anche solo una CA veniva compromessa.
DigitalCertiAnalytics: uno strumento per analizzare milioni di certificati
RP: Raccontaci del progetto “DigitalCertiAnalytics”: com’è nata l’idea, e quali problemi concreti cerca di risolvere il software che hai sviluppato?
EM:
L’idea è nata dall’esigenza di analizzare su scala massiva milioni di certificati per valutarne conformità e anomalie. Esistevano pochi strumenti in grado di svolgere questo tipo di analisi, e quelli disponibili offrivano scarsa possibilità di personalizzazione e flessibilità secondo i propri interessi di ricerca.
L’obiettivo era sviluppare un sistema integrato per raccogliere, validare, comparare e visualizzare metriche, analizzando aspetti come:
- livello di validazione (DV/OV/EV),
- tempi di expiration,
- presenza di SCT,
- configurazione di OCSP Stapling,
tutto su dataset composti da decine di milioni di domini.
Il progetto nasce come evoluzione di una tesi precedente, dove un collega aveva analizzato circa 1 milione di certificati in 21 giorni no-stop. Un tempo troppo lungo per pensare a un utilizzo pratico.
Con questi presupposti è nato DigitalCertiAnalytics, in grado di analizzare 20 milioni di certificati in circa 54 ore, comprensive di download e analisi! Inoltre, il sistema integra un modulo di verifica di conformità, per controllare che i certificati rispettino i requisiti internazionali e individuare quelli non conformi.
Cosa rivelano i dati sulla sicurezza online
RP: Analizzando milioni di certificati digitali, hai trovato qualcosa di sorprendente o preoccupante sulla sicurezza online, sia in Italia che all’estero?
EM:
L’analisi è stata condotta su due dataset da 10 milioni di certificati ciascuno: uno globale, l’altro europeo.
Nel dataset globale:
- 1,77% dei certificati non include alcun SCT, compromettendo la Certificate Transparency.
- Solo il 47,93% implementa OCSP Stapling.
- Appena lo 0,08% implementa OCSP Must-Staple.
Questo è preoccupante: OCSP Stapling evita che l’utente debba fare richieste a server OCSP (potenzialmente rivelando interessi sensibili). Must-Staple lo rende obbligatorio, ma è usato pochissimo.
Inoltre, persistono certificati con una validità superiore ai 398 giorni previsti dal CA/B Forum. Questo può generare picchi critici di rinnovo.
Interessante anche l’analogia con altri settori: gli Stati Uniti innovano, la Cina produce, l’Europa regolamenta. I certificati europei risultano infatti più conformi agli standard rispetto a quelli globali.
La sicurezza è (anche) una questione umana
RP: Nel tuo lavoro quotidiano, quanto contano oggi la protezione dei dati e la consapevolezza digitale?
EM:
Oggi, la protezione dei dati è un vero requisito di affidabilità. Ma senza cultura della sicurezza, i sistemi restano vulnerabili.
Serve combinare:
- strumenti di auditing,
- configurazioni “secure by default”,
- formazione per gli utenti.
Come si dice in cybersecurity: il punto debole della catena è l’utente.
Un caso storico emblematico è Stuxnet: primo malware pensato per causare danni fisici (centrifughe per uranio in Iran). Diffuso tramite USB, si mascherava da driver firmato da Microsoft. Fu installato inconsapevolmente da un tecnico ingannato durante un soggiorno in albergo.
Questo dimostra che anche le reti isolate possono essere violate, e che l’errore umano è spesso il punto d’ingresso.
Social engineering: un attacco da mezzo milione di euro
RP: C’è un altro attacco informatico, magari meno noto, che ti ha colpito e che credi debba essere incluso nella formazione alla sicurezza?
EM:
Sì, il caso del Signor Confindustria di Bruxelles, riportato da La Repubblica il 30 settembre 2017. Un’email apparentemente firmata dal direttore ordinava il trasferimento urgente di 500.000 euro.
Era falsa. I soldi furono trasferiti e sparirono.
Questo caso mostra come la fiducia possa essere manipolata. È bastata un’email, niente malware sofisticati.
L’esempio pratico: hackerare (eticamente) Il Fatto Digitale
RP: Puoi raccontarci un esempio concreto, tratto da una tua esperienza personale, che evidenzi quanto sia essenziale investire nella sicurezza informatica?
EM:
Un esempio concreto? Proviamo a hackerare “Il Fatto Digitale”.
Analizzando il sito, sembrava sicuro. Nessun bottone di login. Ho provato ad aggiungere “/login” all’URL… e voilà! Pagina di login con possibilità di registrarsi.
Ho creato un account con una email temporanea. Dentro la dashboard si poteva:
- vedere autori, articoli, bozze,
- leggere commenti dei lettori,
- pubblicare articoli.
Obiettivo raggiunto: permessi non autorizzati ottenuti.
Ovviamente non ho fatto nulla di malevolo. Ho segnalato la vulnerabilità: era un esempio perfetto di Zero Day Vulnerability.
Suggerisco di implementare un ruolo di revisione che approvi ogni pubblicazione. È un rischio lasciare aperta al pubblico una funzionalità del genere.
Questo episodio dimostra cosa significa fare ethical hacking: individuare e segnalare falle in buona fede, contribuendo alla sicurezza.
Le competenze necessarie per una carriera nella cybersecurity
RP: Da giovane ingegnere, quali sono secondo te le competenze più richieste oggi per lavorare nel campo della cybersecurity e quali consigli daresti a chi vuole intraprendere questa carriera?
EM:
Chi vuole lavorare nella cybersecurity deve:
- conoscere crittografia e PKI,
- analizzare traffico di rete con Wireshark,
- scrivere script in Python o Go per testare vulnerabilità,
- saper comunicare con chi non è tecnico (manager, clienti),
- gestire il rischio.
Consiglio anche di contribuire a progetti open source: si impara molto, si conoscono altri professionisti, si fa esperienza pratica reale.
Progetti futuri e ambizioni
RP: Guardando avanti: che progetti hai per il futuro, sia con DigitalCertiAnalytics sia nel mondo del lavoro?
EM:
Sto collaborando con la mia relatrice per pubblicare un articolo scientifico su DigitalCertiAnalytics. Spero che possa essere utile e ispirare altri.
Nel mondo del lavoro, mi affascina sempre di più la progettazione e lo sviluppo software. In Logistics Reply, contribuisco a creare infrastrutture solide e sicure, fondamentali soprattutto nei trasporti.
Mi piacerebbe anche esplorare attività non strettamente legate alla cybersecurity, per ampliare il mio bagaglio di competenze.
Conclusione
L’esperienza di Elio Magliari ci ricorda che la cybersecurity non è solo una disciplina tecnica, ma un ecosistema che intreccia etica, consapevolezza e responsabilità. Dalla sua prima curiosità adolescenziale fino allo sviluppo di strumenti avanzati come DigitalCertiAnalytics, Elio incarna la figura del professionista moderno: competente, critico, ma soprattutto consapevole dell’impatto sociale della tecnologia.
Nel suo racconto emerge con forza un principio fondamentale: difendere è più complesso che attaccare, ma anche infinitamente più significativo. E se oggi possiamo navigare su Internet con un minimo di fiducia, lo dobbiamo a chi — come Elio — lavora ogni giorno per rendere le infrastrutture digitali più sicure, trasparenti e resilienti.
In un mondo dove la velocità del cambiamento è costante, servono menti che sappiano unire il rigore dell’analisi tecnica alla capacità di comunicare, formare e ispirare. Questo è il valore aggiunto di giovani professionisti come Elio: non solo costruire sistemi più sicuri, ma costruire una cultura della sicurezza, capace di coinvolgere tutti — tecnici e non — in una sfida che riguarda ognuno di noi.