Contesto

La CSAW è un evento di sicurezza informatica nato nel 2003 nella New York University degli Stati Uniti, e si ripete ogni anno grazie all’impegno di studenti provenienti da tutto il mondo. In Europa la sede organizzatrice è l’"INP - Esisar" di Valence, Francia.

Quest’anno, tra le varie conferenze e giochi, è nata la Cybersecurity Awarenesss Communication Challenge (CAC²), una competizione nella quale l’obiettivo è creare una strategia di comunicazione mirata ad aumentare la consapevolezza nel pubblico non tecnico.

Cybersecurity Awareness Communication Challenge banner

Pre-gara

Dopo il brutto risultato ottenuto nella Embedded Security Challenge nella CSAW dell’anno scorso, ho deciso di lasciare il posto a compagni di squadra nuovi che potessero potenzialmente essere più produttivi e motivati rispetto a me.

Nel fare questo ho approfittato della nascita della nuova competizione: è decisamente meno tecnica rispetto allo standard medio di CSAW, e permette la partecipazione anche a ragazzi che non hanno le mani in pasta nel mondo della sicurezza informatica. Partecipando mi sarei potuto cimentare in qualcosa di nuovo con un mio gruppo di amici.

Per sfortuna non sono stato ripagato con lo stesso entusiasmo e sono riuscito a trascinare con me soltato Ryan, un mio amico ed ex compagno di classe che sta provando a diventare un illustratore da autodidatta.

Fase di qualificazione

Nella fase di qualificazione non era obbligatorio l’invio di alcun mockup, ma solamente un documento che descrivesse il progetto che si desidera presentare, l’argomento di sicurezza informatica trattato, l’obiettivo da raggiungere (il messaggio da far recepire) e il target.

Cliccando qui è possibile scaricare il documento che abbiamo inviato come Team Mashers per le qualificazioni.

Il documento apre con un’introduzione contenente qualche statistica ed informazione utile pensata per la componente non tecnica della giuria. Il secondo capitolo riguarda lo studio dei papabili target, ed il terzo continua con un piccolo approfondimento sulla falsa sensazione che i giovani che più utilizzano internet siano anche i più preparati ad usarlo consapevolmente. Nel quarto capitolo, viene identificata la nostra strategia di comunicazione.

I punti principale da tenere in mente sono:

  • La fascia d’età 18-35 anni è sia quella che utilizza più internet, sia quella in proporzione più vulnerabile agli attacchi informatici che impiegano almeno in parte l’ingegneria sociale.
  • Pur non avendo a disposizione molte statistiche sul tema, è secondo noi ragionevole ipotizzare che il gruppo di persone under 35 che guardano animazioni giapponesi o che comunque conoscono, almeno di vista, alcuni dei loro personaggi abbiano una più alta probabilità di essere abituali utilizzatori di internet rispetto alla persona media.
  • L’uso dello stile giapponese di disegno in campagne pubblicitarie o di sensibilizzazione è ormai mainstream, e cionostante non ancora abusato.
  • Grafiche realizzate in questo stile possono essere utilizzate sia in formato poster che come post sui social media, come fatto da AVIS FVG e l’aeronautica militare, che hanno ottenuto risultati soddisfacenti.
  • Se sono istituzioni pubbliche a iniziare campagne di questo tipo, è probabile che l’impatto della campagna digitale sia maggiore. Sia la mascotte dell’AVIS che quella dell’aeronautica hanno fatto il giro del web italiano in poche settimane.
  • Campagne basate sulla stampa di poster sono poco costose, mentre una campagna digitale (ipotizzando sia gestita da un team di esperti in comunicazione digitale) ha un costo consistente ma estremamente minore rispetto agli spot pubblicitari televisivi, sia nella realizzazione che nell’acquisto dello “spazio”.

Nell’ultimo capitolo viene riassunta l’ideale strategia implementativa:

  • Si creano grafiche che abbiamo un formato valido sia per la stampa che per la pubblicazione sui principali social media.
  • Si attaccano i poster in licei e università.
  • Si inziano le campagne sulle pagine social di istituzioni pubbliche o, se questo non è possibile, si creano dei profili appositi.
  • Si sfruttano le metriche dei social media e si fanno interviste agli studenti per raccogliere dati che aiutino a stimare l’impatto delle campagne.

Pre-finale

Come un fulmine a ciel sereno, a metà ottobre abbiamo ricevuto la notizia di essere passati in finale.

La mail nella quale viene annunciata la nostra qualificazione alla finale

L’entusiasmo è stato veramente tanto: non ci aspettavamo nulla e pensavamo di non aver fatto un ottimo lavoro, ed invece ci siamo guadagnati il viaggio a CSAW è la possibilità di fare bene in finale.

A questo punto è arrivato però il momento di creare dei proof-of-concept e un po’ di mock-up. Nell’arco di una ventina di giorni avremmo dovuto creare un piano per implementare la strategia proposta, e realizzarlo praticamente.

Il nostro piano iniziale è stato quello di tenere fede quanto più possibile a ciò che avevamo scritto nel documento di qualificazione: avremmo creato e stampato dei poster con sopra dei messaggi che comunicassero informazioni utili per difendersi dagli attacchi di phishing, per poi andare a fare delle interviste nei luoghi dove sono stati affissi questi poster.

Riassunto: disastro. Io non avevo mai provato ad implementare una strategia di comunicazione, e Ryan si è dovuto interfacciare per la prima volta con un vero e proprio cliente, tra l’altro anche molto indeciso e con una deadline da rispettare. Ci siamo resi conto delle nostre carenze, e più volte abbiamo dovuto scartare lavori che avevamo già iniziato perchè non sapevamo cosa volessimo comunicare di preciso.

Sono così passati i primi 10 giorni, con solo altri 10 giorni per creare qualcosa. Il tempo per recuperare l’illustrazione c’è, ma quello di fare una campagna di interviste per raccolta dati un po’ meno: il tempo di avere finalmente qualcosa di pronto e sarebbe già vicino il giorno di partenza per la Francia, puntare solo su questo è una scelta troppo rischiosa.

Il punto di forza sul quale volevamo puntare era la fattibilità in termini di tempo e di budget, non potevamo partire per la Francia a mani vuote.

Dopo aver valutato parecchie alternative, l’idea mi è venuta dopo aver visto un post sul quishing, tipo di attacco in grande crescita: attacchiamo QR in giro per la città e creiamo un sito/counter per far vedere quante persone ci cascano.

GIF che mostra il comportamento del sito

Anche stavolta siamo caduti nella trappola del “sì, ci metteremo un attimo!”, ma in questo caso l’obiettivo è stato alla nostra portata e siamo riusciti ad arrivare ad un risultato che ci soddisfacesse.

Il sito è stato implementato e pubblicato da me in pochi giorni (grazie a @Flame, host e proprietario del dominio 🫰). Il front-end è rimasto lo stesso sin dalla primo rilascio, mentre il back-end ha sofferto le continue nuove idee mie e di Flame. Il risultato finale è stato un sito con un counter generale ed un counter specifico per i QR (ogni categoria di QR ha un’ID), che utilizzi poi i cookie per evitare che una persona che entra più volte sul sito possa incrementare i vari counter. Se poi una persona visita il sito senza passare per un QR (per essere più precisi e tecnici: se qualcuno visita il sito senza che sia specificato l’URL parameter contenente l’ID di un QR) non incrementa alcun counter, perchè possiamo dare per scontato sia un visitatore “ospite” a cui è stato passato il link. Viene inoltre salvato l’orario di visita di ogni nuovo utente per scopi utili alla nostra ricerca, possiamo così capire se c’è qualche legame interessante tra alcuni orari ed il numero di nuove vittime.

Per pubblicizzare il sito, abbiamo deciso di stampare dei semplici sticker con QR con sopra un personaggio di un anime. Per capire quanto è importante lo stile di disegno e l’inclusione di personaggi conosciuti, abbiamo creato 2 varianti di QR: una accompagnata da illustrazioni ufficiali con copyright non commerciale permissivo, ed altre con personaggi chibi creati molto velocemente da Ryan.

Esempio di QR sticker attaccati in giro per Roma

Lenovo e Logitech sponsorizzatemi grazie (ʃƪ˘ﻬ˘)

Finale

I 4 giorni in Francia sono stati molto, MOLTO intensi.

Il 7 ci siamo svegliati alle tre per prendere l’aereo delle 6:10 per Lione ed arrivare a Valence verso le 10.

Una volta arrivati ci siamo subito messi al lavoro per essere il più produttivi possibile:

Noi ed i membri dei TRX sdraiati per terra in un parco formando la scritta TRX

Una colazione francese in boulangerie, una merenda in un bar, e un pranzo in burgeria dopo abbiamo iniziato a cercare un posto dove stampare i nostri poster di gara. Non sapevamo però che trovare una stamperia a Valence fosse difficile quanto trovare un francese che parla inglese…

Bancone di una boulangerie

Nel mezzo del cammin di nostra vita, dopo un’ora di disperata ricerca e dopo aver perso qualche membro per strada (il richiamo del letto iniziava a farsi sentire) siamo entrati in una fottuta cartiera, dove abbiamo trovato un artista decisamente eccentrico e che in tasca portava il pepe più piccante che abbiamo mai provato (?) disposto a stampare i nostri poster. Ha anche complimentato il nostro caro artista Ryan per il suo disegno per il poster.

Li avremmo però trovati pronti solo alle 18, ovvero esattamente quando il social event doveva iniziare. Nessun problema: siamo andati a fare il check-in della casa (nella quale il codice per il self check-in era sbagliato, ed è stato guessato a casissimo da Ryan (si erano sbagliati di un numero)), power-nap di 20 minuti, preparazione per il social event e poi subito fuori.

Ci è costato tanto tempo a piedi, ma ne è valsa veramente la pena. Una copia digitale del poster:

Poster CSAW

(In copertina: Aura la Ghigliottina, Frieren)

Poi subito: tornati in camera a posare il poster e ci siamo catapultati al social event. Cena veloce, fotona:

Foto social event con i partecipanti della Cybersecurity Awareness Communication Challenge

e poi subito in camera. Ho perso subito Ryan che è andato a nanna, mentre io sono andato a Champ de Mars a fare il matto provando ad alta voce il pitch che mi ero preparato per la finale del giorno dopo.

Il giorno di gara siamo arrivati alle 8 all’ESISAR, abbiamo fatto colazione, mi sono accorto di aver dimenticato gli sticker in stanza, li sono andati a riprendere, e sono tornato giusto in tempo per l’inizio dei pitch.

Ce la siamo cavata bene, aiutati anche da un’idea del membro dei TRX magicfrank, che ci ha proposto di stampare il QR che rimandasse al nostro sito/counter per appiccicarlo sopra al QR originale del poster (che era sbagliato, era il sito del GDPR in italiano).

Non posso dire di essere soddisfatto del mio pitch, ma c’è da dire che avevo tante scusanti (era anche in inglese 😵‍💫), ed in linea con quello degli altri partecipanti.

Abbiamo passato il resto della mattinata e il pomeriggio a presentare il progetto anche ad alcuni ospiti provenienti da scuole e aziende, ma temo che la language barrier fosse troppo spessa per permettere loro di comprendere a pieno il progetto…

Verso le 5 è iniziata la cerimonia di premiazione, prima della quale abbiamo ricevuto dei preziosissimi feedback dai giudici Ange e Dominique (grazie ancora).

Senza troppi fronzoli si è andati subito al dunque, e dopo la presentazione dei vincitori della ARC, sorpresona!

Foto di noi sul palco per la vittoria

Foto di noi col trofeo

È stata veramente una grande soddisfazione. C’è da dire che siamo partiti col pensiero di costruire un progetto che ci permettesse di andare in Francia in modo decoroso, ma pian piano che lo modificavamo si è sempre più strutturato, e con lui sono sempre di più aumentate le nostre speranze di vittoria. Per migliorarlo sono stati necessari grandi sforzi da parte di Ryan e sacrifici da parte mia. Potevamo sicuramente fare meglio, ma per ora va bene così: abbiamo fatto il necessario per strutturare e validare la nostra idea, che potremo eventualmente applicare in futuro con un progetto ancora più studiato e strutturato.

Post-finale

Meritato riposo francese. Io e Ryan abbiamo iniziato la giornata successiva a mezzogiorno (colpa mia)

Foto di una colazione in cioccolateria con vista su Champ de Mars, piazza di Valence

In qualche modo ‘sta colazione in cioccolateria mi è costata quanto una normale colazione in un bar romano. Dentro alla bustina ci stanno anche dei macarons (che prima di provarli lì ero convinto che universalmente non sapessero di nulla, e invece son buonissimi).

Poi visitina al parco di Valence, quello della foto TRX

Vista sulla piazza principale del parco di Valence, ancora con l’allestimento per le olimpiadi di Parigi

Mi è piaciuto tantissimo che abbiano tenuto l’allestimento fatto per le olimpiadi di Parigi. Probabilmente è solo pigrizia, ma l’effetto dal vivo, nel quale la piazza inizia a rivelarsi piano piano, prima nascosta da Champ de Mars e poi piano piano scoperta camminandoci incontro, è veramente spettacolare.

Avvistamento unico in un parco pubblico

Animali fantastici e dove trovarli

Touching grass con 2000 cose appresso

Letteralmente io al parco

E poi siamo andati al museo d’arte ed archeologia di Valence (con esposizione pubblica gratuita)…

Foto di un corridorio dov’è allestita l’esposizione pubblica

…e alla chiesa di Sant’Apollinare.

Scorcio della chiesa di Sant’Apollinare a Valence

Sono rimasto stupito dalla quantità e la qualità dei quadri italiani che abbiamo trovato a Valence. Forse dovrei iniziare ad esplorarne di più anche in patria.

Infine, ahimè, è arrivato il 10 novembre, e con lui era anche momento di sbolognare. Dopo una breve visita a Lione…

Foto di noi al centro commerciale

…siamo in arrivati all’aeroporto di St Exupery, (forse) pronti a ripartire.

Foto di gruppo con i TRX in aeroporto

Verso la nostra odiata e amata Roma.

Foto dal finestrino dell’aereo di ritorno

Conclusione

Scrivo questo blog post nelle prime ore libere che ho trovato da quando son tornato, esattamente 7 giorni dopo esser ripartito ed arrivato a Roma. Devo dire che la vita di sempre non mi manca mai, certe emozioni riesco a sentirle solo quando sto lavorando ad un progetto che esula dal mio percorso accademico.

Mi sono veramente divertito nella progettazione e la messa in pratica, arrivando ad attaccare sticker in giro, che non è una gran cosa, ma sicuramente non avrei mai avuto il coraggio di farlo in pubblico se non fosse stato per una competizione del genere. Più vado avanti e più mi sembra che l’università, com’era per la scuola prima, siano semplicemente un’ancora da portare dietro nel modo meno fastidioso possibile. Probabilmente un problema di mentalità.

Portare a compimento un’impresa di questo tipo insieme a Ryan, che conosco ormai da 7 anni, ha semplicemente un effetto diverso. Sono sicuro che sia io che lui ne siamo usciti maggiormente consapevoli dei nostri punti di forza e debolezza, e dei prossimi passi da fare per migliorarci, non solo nel settore della comunicazione.

Entrambi abbiamo mosso con la CaC² un piccolo primo passo in due mondi che entrambi abbiamo iniziato a conoscere da tempo, ma che non avevamo mai toccato con mano. Per Ryan è stata principalmente una prova di illustrazione commerciale, ed ha quindi dovuto imparare ad usare i vari elementi del disegno per incutere certe emozioni allo spettatore. Per entrambi è stata una prova di design, che invece non è arte, e quindi non era nella sfera di conoscenze di Ryan, ma richiede comunque una creatività che non mi era mai stata richiesta prima d’ora, ed in qualche modo siamo riusciti a cavarcela. Io invece mi sono occupato della parte di comunicazione a 360 gradi, dalla scelta delle parole all’ordine delle cose da presentare durante il pitching, oltre a cosa presentare.

Sicuramente arrangiarci e fare tutto da soli ci ha dato un po’ di tutto, anche perchè abbiamo portato a termine tutti i processi senza fare uso di qualsivoglia tipo di intelligenza artificiale. Abbiamo ora degli strumenti in più per capire in cosa e come specializzarci, come procedere nel settore della comunicazione in un senso più grande e generale.

Non so per Ryan, ma io oltre ad una grande motivazione sento anche un grande peso, la consapevolezza di poter prendere tante strade alternative, e di poterlo fare adesso. Potrei semplicemente prendere ciò che è stato fatto in questa gara e farne tesoro, ma sento di dover mettere in pratica e migliorare ciò su cui si è lavorato in queste settimane.

Grazie per essere arrivato fino a qui. Se hai suggerimenti, proposte, o vuoi semplicemente contattarmi, puoi trovarmi su LinkedIn. Lo so, un po’ formale, ma rispondo velocemente e non mordo, giuro!

ε=ε=┏( >_<)┛

Io e Ryan a Champ de Mars