Cybersicurezza del futuro tra IA, carenza di skill e accessi on-demand

Cybersicurezza del futuro tra IA, carenza di skill e accessi on-demand
Il nuovo report Cybersecurity Trends: Looking Over The Horizon a cura di McKinsey & Company passa in rassegna alle grandi tendenze di cybersecurity che fra 3-5 anni avranno maggiori implicazioni per le organizzazioni.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Secondo il nuovo report Cybersecurity Trends: Looking Over The Horizon a cura di McKinsey & Company, nei prossimi tre-cinque anni le grandi tendenze di cybersecurity ad avere maggiori implicazioni per le organizzazioni saranno soprattutto tre.

L’accesso on-demand a piattaforme di dati e informazioni diffuse sta crescendo

Le piattaforme mobili, lo smart working e altri trend si basano sempre più sull’accesso ad alta velocità a set di dati ubiqui e di grandi dimensioni, esacerbando la probabilità di una violazione. Le aziende raccolgono molti più dati sui clienti (dalle transazioni finanziarie al consumo di elettricità alle visualizzazioni sui social media) per comprendere e influenzare il comportamento d’acquisto e prevedere più efficacemente la domanda. Nel 2020, in media, ogni persona sulla Terra creerà 1,7 megabyte di dati ogni secondo.

Per eseguire tali modelli di business, le aziende hanno bisogno di nuove piattaforme tecnologiche, compresi i data lake in grado di aggregare informazioni. Le aziende non solo stanno raccogliendo più dati, ma li stanno anche centralizzando, memorizzandoli nel cloud e concedendo l’accesso a una serie di persone e organizzazioni, comprese terze parti come i fornitori.

Gli hacker stanno usando l’IA per lanciare attacchi sempre più sofisticati

Gli aggressori utilizzano oggi strumenti avanzati come l’intelligenza artificiale, il machine learning e l’automazione. Nei prossimi anni, saranno in grado di accelerare (da settimane a giorni o ore) il ciclo di vita dell’attacco end-to-end, dalla fase di ricognizione a quella di exploit. Per esempio, Emotet, una forma avanzata di malware che prende di mira le banche, può cambiare la natura dei suoi attacchi.

Nel 2020, sfruttando l’IA avanzata e le tecniche di machine learning per aumentare la sua efficacia, ha utilizzato un processo automatizzato per inviare email di phishing contestualizzate che hanno intercettato altre email di minaccia. Altre tecnologie e skill stanno rendendo più diffuse forme di attacco già note, come il ransomware e il phishing.

Il ransomware as a service e le criptovalute hanno ridotto sostanzialmente il costo del lancio di attacchi ransomware, il cui numero è raddoppiato ogni anno dal 2019. Altri tipi di interruzioni spesso innescano un picco di questi attacchi. Durante l’ondata iniziale di COVID-19, da febbraio 2020 a marzo 2020, il numero di attacchi ransomware in tutto il mondo è aumentato del 148%. Gli attacchi di phishing sono aumentati del 510% da gennaio a febbraio 2020.

Il panorama normativo in continua crescita e le continue carenze di risorse, conoscenze e talenti surclasseranno la cybersecurity

Molte organizzazioni non hanno sufficienti talenti, conoscenze e competenze in materia di cybersecurity e la lacuna sta diventando sempre più grande. In generale, la gestione dei rischi informatici non ha tenuto il passo con la proliferazione delle trasformazioni digitali e di analytics, e molte aziende non sono sicure di come identificare e gestire i rischi digitali. Ad aggravare la sfida, i regolatori stanno aumentando la loro attenzione sulle capacità di cybersecurity aziendale, spesso con lo stesso livello di supervisione e attenzione applicato ai rischi di credito e liquidità nei servizi finanziari e ai rischi operativi e di sicurezza fisica nelle infrastrutture critiche.

Allo stesso tempo, le aziende affrontano requisiti di conformità più rigidi, risultato delle crescenti preoccupazioni sulla privacy e delle infrazioni di alto profilo, tanto che oggi ci sono circa 100 regolamenti sul flusso di dati transfrontalieri.

digital identity

Risposte alla prima tendenza: Le capacità zero-trust e i grandi set di dati per la sicurezza

  • Modello di sicurezza zero-trust (Zero Trust Architecture). In tutte le nazioni industriali, circa il 25% dei lavoratori ora lavora in remoto da tre a cinque giorni alla settimana. Il lavoro ibrido e remoto, l’aumento dell’accesso al cloud e l’integrazione dell’Internet delle cose (IoT) creano potenziali vulnerabilità. Una ZTA spinge l’attenzione della cyberdifesa a non limitarsi ai perimetri statici che circondano le reti fisiche e verso gli utenti, le risorse e i beni, mitigando così il rischio derivante dai dati decentralizzati. L’accesso è applicato in modo più capillare dalle politiche: anche se gli utenti hanno accesso all’ambiente dei dati, potrebbero non avere accesso ai dati sensibili.
  • Analisi comportamentale. I dipendenti sono una vulnerabilità chiave per le organizzazioni. Le applicazioni di analytics possono monitorare alcuni parametri come le richieste di accesso o lo stato di salute dei dispositivi e stabilire una linea di base per identificare un comportamento anomalo, intenzionale o non intenzionale, degli utenti o l’attività dei dispositivi. Questi strumenti non solo possono abilitare l’autenticazione e l’autorizzazione basate sul rischio, ma anche orchestrare misure preventive e di risposta agli incidenti.
  • Monitoraggio elastico dei log per grandi set di dati. Set di dati massicci e log decentralizzati derivanti da progressi come i big data e l’IoT complicano la sfida del monitoraggio delle attività. Il monitoraggio elastico dei log è una soluzione basata su diverse piattaforme open-source che, se combinate, permettono alle aziende di estrarre i dati di log da qualsiasi parte dell’organizzazione in un’unica posizione e poi di cercare, analizzare e visualizzare i dati in tempo reale.
  • Crittografia omomorfica. Questa tecnologia permette agli utenti di lavorare con i dati crittografati senza prima decifrarli e quindi dà a terzi e collaboratori interni un accesso più sicuro a grandi set di dati. Aiuta anche le aziende a soddisfare i requisiti di privacy dei dati più stringenti. I recenti progressi nella capacità di calcolo e nelle prestazioni rendono ora la crittografia omomorfa praticabile per una vasta gamma di applicazioni.

Risposte alla seconda tendenza: Utilizzare l’automazione per combattere i cyberattacchi sempre più sofisticati

  • Per contrastare gli attacchi più sofisticati guidati dall’AI e da altre capacità avanzate, le organizzazioni dovrebbero adottare un approccio basato sul rischio all’automazione e risposte automatiche agli attacchi. L’automazione dovrebbe concentrarsi sulle capacità difensive come le contromisure del Security Operations Center (SOC) e le attività ad alta intensità di lavoro, come la gestione delle identità e degli accessi (IAM) e il reporting. L’IA e il machine learning dovrebbero essere usati per stare al passo con i cambiamenti dei modelli di attacco. Infine, lo sviluppo di risposte automatiche sia tecniche che organizzative alle minacce ransomware aiuta a mitigare il rischio in caso di attacco.
  • Automazione implementata attraverso un approccio risk based. Con l’accelerazione del livello di digitalizzazione, le organizzazioni possono utilizzare l’automazione per gestire i processi a basso rischio e routinari, liberando risorse per attività a più alto valore. Criticamente, le decisioni di automazione dovrebbero essere basate su valutazioni e segmentazione del rischio per garantire che non vengano create inavvertitamente ulteriori vulnerabilità. Per esempio, le organizzazioni possono applicare patch automatiche, configurazioni e aggiornamenti software alle risorse a basso rischio, ma utilizzare una supervisione più diretta per quelle a più alto rischio.
  • Uso di AI e machine learning difensivo per la cybersicurezza. Così come gli aggressori adottano l’IA e le tecniche di apprendimento automatico, i team di cybersecurity dovranno sviluppare e ampliare le stesse capacità. In particolare, le organizzazioni possono utilizzare queste tecnologie e i modelli di outlier per rilevare e rimediare ai sistemi non conformi. I team possono anche sfruttare l’apprendimento automatico per ottimizzare i flussi di lavoro e gli stack tecnologici in modo che le risorse siano utilizzate nel modo più efficace nel tempo.
  • Soluzioni tecniche e organizzative al ransomware. Man mano che la complessità, la frequenza e la portata degli attacchi ransomware aumentano, le organizzazioni devono rispondere con cambiamenti tecnici e operativi. I cambiamenti tecnici includono l’utilizzo di archivi e infrastrutture di dati resilienti, risposte automatiche alla crittografia dannosa e autenticazione multifattoriale avanzata per limitare il potenziale impatto di un attacco, oltre ad affrontare continuamente la cyber igiene. I cambiamenti organizzativi includono la conduzione di esercitazioni a tappeto, lo sviluppo di playbook dettagliati e multidimensionali, e la prevenzione di tutte le opzioni e gli imprevisti – comprese le decisioni di risposta esecutiva – per rendere la risposta aziendale automatica.

funzionalità di protezione di BMC

Risposte alla terza tendenza: Incorporare la sicurezza nelle competenze tecnologiche per affrontare il crescente controllo regolamentare e le carenze di risorse

  • Sviluppo sicuro del software. Piuttosto che trattare la sicurezza informatica come un postulato, le aziende dovrebbero incorporarla nella progettazione del software fin dall’inizio. Un modo efficace per creare un ciclo di vita dello sviluppo software sicuro (SSDLC) è quello di avere team di sicurezza e rischio tecnologico impegnati con gli sviluppatori in ogni fase del processo.
  • Sfruttare X as a service. La migrazione dei carichi di lavoro e dell’infrastruttura in ambienti cloud di terze parti (come platform as a service, infrastructure as a service e i provider hyperscale) può rendere più sicure le risorse organizzative e semplificare la gestione per i cyberteam. I fornitori di cloud non solo gestiscono molte attività di routine di sicurezza, patch e manutenzione, ma offrono anche capacità di automazione e servizi scalabili. Alcune organizzazioni cercano di consolidare i fornitori per motivi di semplificazione, ma può anche essere importante diversificare i partner strategicamente per limitare l’esposizione a problemi di prestazioni o disponibilità.
  • Infrastructure and security as code. Standardizzare e codificare l’infrastruttura e i processi di control-engineering può semplificare la gestione degli ambienti ibridi e multicloud e aumentare la resilienza del sistema. Questo approccio permette processi come il patching orchestrato, così come un rapido provisioning e deprovisioning.
  • Distinta dei materiali del software. Con l’aumento dei requisiti di conformità, le organizzazioni possono mitigare l’onere amministrativo dettagliando formalmente tutti i componenti e le relazioni della catena di fornitura utilizzati nel software. Analogamente a una distinta dei componenti dettagliata, questa documentazione elencherebbe i componenti open-source e di terze parti in un codebase attraverso nuovi processi di sviluppo del software, strumenti di scansione del codice, standard industriali e requisiti della catena di fornitura. Oltre a mitigare i rischi della catena di fornitura, la documentazione dettagliata del software aiuta a garantire che i team di sicurezza siano preparati per le indagini normative.

CybersicurezzaIAMcKinseySkill
// Data pubblicazione: 28.03.2022
Condividi:
 

Chi è chi: identikit e ruoli dei gruppi di cybercriminali

blackcat western digitale
I gruppi di cybercriminali si stanno specializzando come sviluppatori di malware, provider di ransomware-as-a-service, broker di dati e altri ruoli ben poco edificanti.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Siamo ormai a un punto in cui i cybercriminali si sono affermati come attività organizzate e illecite piuttosto che come un’operazione di hacking da parte di una sola persona. Sono emersi infatti sempre più gruppi di ransomware e quelli esistenti continuano a prosperare in termini di successo, con violazioni ai danni di organizzazioni importanti che crescono a un ritmo a dir poco preoccupante.

Il crescente successo delle cosiddette “ransomware gang”, gruppi di estorsioni e attacchi DDoS non è affatto casuale. Dietro un nome di fantasia c’è una struttura organizzata che comprende attori delle minacce a diversi livelli che lavorano in sincronia per raggiungere l’obiettivo finale.

Sullo sfondo (ben poco edificante) di attacchi informatici in continua evoluzione che impiegano tattiche e tecniche sempre più recenti e sofisticate, abbiamo voluto stilare un identikit dei principali gruppi di cybercriminali e dei loro ruoli.

Initial Access Broker (IAB)

Gli Initial Access Broker (IAB) vendono l’accesso alle reti aziendali a un acquirente disposto a pagare (anche profumatamente). Questo viene fatto attraverso veri e propri marketplace di violazione dei dati, forum o canali di app di messaggistica chiusi e gruppi di chat. Gli IAB, tuttavia, non eseguono necessariamente successive attività dannose come l’esfiltrazione, la crittografia e l’eliminazione dei dati. Spetta all’acquirente decidere come intende sfruttare questo accesso, se cioè rubare segreti commerciali, distribuire ransomware, installare spyware o divulgare i dati esfiltrati.

“In passato, gli Initial Access Broker erano utilizzati principalmente per vendere l’accesso aziendale a criminali che intendevano distruggere i dati di un’azienda o rubarne IP o dati finanziari” afferma Ben Richardson, ingegnere software senior presso Cloud RADIUS, un provider di autenticazione per il cloud senza password. “All’epoca non erano così richiesti, principalmente perché il volume degli attacchi era basso. Normalmente venivano assunti da concorrenti commerciali per spionaggio e furto”.

Richardson afferma che l’era del ransomware ha causato un “aumento esponenziale” nella domanda di IAB. Questi broker ora trovano nuovi affari attraverso bande di ransomware, che li assumono per compromettere le aziende target.

X-as-a-service

Nel contesto attuale, il termine x-as-a-service indica spesso piattaforme ransomware as a service (RaaS) o malware as a service (MaaS) che costituiscono un modello di business relativamente nuovo. Proprio come il modello SaaS (software-as-a-service), RaaS è un metodo per fornire strumenti ransomware e kit di phishing a pagamento agli “affiliati” che cercano di portare avanti attacchi informatici.

“Con x-as-a-service questi provider possono rimanere legalmente al sicuro poiché, in quanto fornitori, non sono responsabili di come viene utilizzato il loro servizio” afferma Logan Gilbert, global solutions architect di Deep Instinct. Essendo fornitori di servizi, questi gruppi guadagnano indipendentemente dal successo degli attacchi dei clienti. “Sono fornitori di servizi a tutti gli effetti e realizzare valore operativo dipende dai loro clienti.”

In passato, per condurre un’operazione di attacco su vasta scala servivano hacker esperti, ma i modelli x-as-a-service hanno allentato (e non di poco) tali barriere all’ingresso. “Inizialmente, i criminali informatici erano hacker esperti che generalmente conducevano operazioni su vasta scala da soli” afferma David Kuder, analista senior di CriticalStart.

“Tutto ciò era però molto dispendioso in termini di risorse e comportava molti rischi. Negli ultimi anni, i criminali informatici hanno preso di mira le grandi organizzazioni ottenendo enormi profitti. Quando questa strategia ha iniziato a prendere piede, più criminali si sono spostati nello spazio x-as-a-service alla ricerca di initial access broker, ransomware-as-a-service e malware-as-a-service. L’avvento del modello x-as-a-service ha così consentito ai criminali informatici di essere esperti in un solo ambito e di sfruttare al contempo le competenze degli altri gruppi”.

vulnerabilità di Log4j

Ransomware affiliates

I ransomware affiliates possono essere visti come “appaltatori” versatili assunti da gruppi di ransomware per svolgere attività operative, che vanno dall’acquisto dell’accesso iniziale alle reti tramite IAB fino al procurarsi credenziali rubate e dump di dati (che potrebbero aiutare nella ricognizione) e all’esecuzione dell’attacco.

Dopo aver eseguito con successo un attacco e un’estorsione, i ransomware affiliates guadagnano una commissione dall’importo del riscatto pagato dalla vittima colpita dal ransomware. Per accelerare i loro attacchi, i ransomware affiliates possono noleggiare piattaforme RaaS per crittografare i file e utilizzare in modo intensivo tutti gli strumenti, i servizi e gli exploit esistenti a loro discrezione.

“Con una tariffa relativamente bassa, i ransomware affiliates ottengono l’accesso piuttosto facilmente a un prodotto e servizio e possono quindi concentrarsi sugli aspetti operativi dell’estorsione di un’organizzazione, piuttosto che su tutto il processo che vi sta dietro”, afferma Gilbert.

Sviluppatori di malware ed exploit

Questa classe di attori delle minacce crea exploit per vulnerabilità note o zero-day che vanno oltre i semplici esercizi di proof-of-concept (PoC). Questi attori possono anche sviluppare malware che racchiudono al loro interno exploit per molteplici vulnerabilità come abbiamo visto con Gitpaste-12, che racchiude da 12 a oltre 30 exploit.

Molti attacchi ransomware possono iniziare con l’implementazione di codice da parte degli aggressori per prendere di mira i dispositivi di accesso, le applicazioni, le VPN e i singoli componenti software più diffusi, come Log4j, integrati nelle applicazioni.

“In passato, gli sviluppatori di malware e exploit potevano variare da “script kiddies” a hacker molto esperti, ma nel tempo, con l’aumento della collaborazione tra gli attori delle minacce, gran parte dello sviluppo di malware sofisticato avviene all’interno dei team di sviluppo, con cicli di vita e documentazione di sviluppo software come ci si aspetterebbe di vedere in un’azienda di software legittima”, continua Gilbert.

L’opinione di Gilbert è ulteriormente corroborata da recenti fughe di notizie che puntano i riflettori sul funzionamento interno dei gruppi di ransomware. L’anno scorso, un affiliato scontento appartenente alla gang Conti (Ryuk) ha fatto trapelare i dati proprietari del gruppo, inclusi strumenti di pen-test, manuali scritti in russo, materiale di formazione e documenti che sarebbero stati forniti agli affiliati del gruppo ransomware.

L’aumento dell’utilizzo delle criptovalute e la loro adozione mainstream hanno inoltre dato vita a una classe “di nicchia” di sviluppatori di exploit. Gli sviluppatori esperti in crittografia con una comprensione avanzata dei protocolli blockchain possono infatti sfruttare vulnerabilità zero-day e non patchate prima che queste vengano corrette. La pratica è diventata dilagante ed evidente con i più eclatanti hack di criptovaluta.

A febbraio, il furto di criptovalute di Wormhole per un valore 326 milioni di dollari è derivato da una vulnerabilità senza patch rivelata dal GitHub del progetto e visibile a chiunque. Poly Network ha subito il “più grande hack DeFi” l’anno scorso con un furto di criptovalute da 611 milioni di dollari da parte di un presunto hacker white hat che voleva far luce sulle vulnerabilità della sicurezza nella piattaforma. L’hacking da 34 milioni di dollari di quest’anno su Crypto.com è un altro esempio di sviluppatori di exploit di nicchia che stanno emergendo sempre più spesso.

Gruppi di minaccia persistente avanzata (APT)

Il termine minaccia persistente avanzata (APT) ha tradizionalmente descritto gli attori delle minacce degli stati-nazione o i gruppi di cybercrminali sostenuti da uno stato con un obiettivo specifico: sabotaggio o spionaggio politico per un lungo periodo di tempo, se non semplicemente un guadagno finanziario. Ora, le tattiche utilizzate dai gruppi APT vengono adottate anche da attori di minacce non affiliati.

I gruppi APT utilizzano spesso malware personalizzato con ampie capacità di sorveglianza e invisibilità. Uno degli attacchi APT più noti di tutti i tempi è l’incidente di Stuxnet, che ha sfruttato più vulnerabilità zero-day di Windows dell’epoca per infettare i computer, diffondersi e causare danni reali alle centrifughe delle centrali nucleari. Si ritiene che questo worm informatico estremamente sofisticato sia stato creato da agenzie di intelligence statunitensi e israeliane.

Un esempio più recente di attacco APT che prende di mira i sistemi di controllo industriale è il malware TRITON. Scoperto nel 2017, TRITON è stato scoperto dopo che aveva colpito un impianto petrolchimico dell’Arabia Saudita con il possibile obiettivo di provocare un’esplosione. Fortunatamente, un bug nel codice del malware ha attivato l’arresto di emergenza dei sistemi critici e ha sventato il peggio.

Tuttavia, i gruppi APT non si limitano allo sfruttamento di sole apparecchiature fisiche e la maggior parte delle campagne APT impiega attacchi di spear-phishing per infiltrarsi nella rete, propagare silenziosamente il carico utile, esfiltrare dati, impiantare backdoor persistenti e condurre sorveglianza segreta sulle loro vittime.

“I gruppi APT sono passati dall’essere miopi nei loro obiettivi e obiettivi a essere più furtivi e strategici” afferma John Fung, direttore delle operazioni di sicurezza informatica presso MorganFranklin Consulting. Fung fa anche notare le preoccupanti tendenze odierne dei gruppi APT, che si spostano sempre più spesso per compromettere il software e il codice sorgente a monte, come abbiamo visto con l’attacco alla supply chain di SolarWinds, che alla fine è stato attribuito a hacker sostenuti dalla Russia. “Vedo questo come un evento ad alto impatto e bassa frequenza da cui le organizzazioni devono difendersi in modi diversi in base al profilo di rischio e alla loro tolleranza”, ha affermato Fung.

Credit immagine: Depositphotos.

Credit immagine: Depositphotos.

Data e information broker

I termini “data broker” o “information broker” (IB) si riferiscono sia a una classe legittima di fornitori di servizi, sia ad attori illeciti. Ad esempio, gli IB legittimi e i servizi di aggregazione dei dati possono acquisire dati da fonti pubbliche come atti giudiziari, registri immobiliari e registri di vendita di proprietà, profili di social media, elenchi telefonici e atti di matrimonio per raccogliere informazioni su persone e aziende. Tali informazioni possono quindi essere legalmente condivise a pagamento con esperti di marketing, ricercatori e aziende.

I data broker illegittimi si impegnano invece in pratiche illegali come la vendita di materiali compromessi e dump di dati riservati sul dark web e sui marketplace di violazione dei dati. In effetti, Kuder collega la pratica dell’intermediazione di dati alla catena IAB, in quello che può essere descritto come un accordo di affiliazione unico.

“Questi gruppi APT/RaaS forniscono supporto, accesso al portale, abbonamenti mensili ai propri clienti e spesso si affiliano con i clienti stessi. In tali accordi di affiliazione, i gruppi RaaS prendono una percentuale dei profitti che qualsiasi affiliato guadagna da un attacco ransomware. Oltre ai dati sensibili, molti di questi gruppi compromettono anche le informazioni sui dipendenti/clienti delle organizzazioni a cui si rivolgono. Le informazioni sensibili vengono poi esfiltrate e pubblicate su uno dei tanti siti del dark web. Questi dati possono includere informazioni sulla carta di credito, cronologia degli acquisti e credenziali dell’account e vengono venduti insieme ad altre offerte”, afferma Kuder.

Criminalità clandestina

“Sebbene il panorama della criminalità informatica potesse essere molto più semplice da decifrare anni fa, i diversi ruoli chiave assunti oggi dai cybercriminali (dagli IAB ai fornitori as-a-service) si sono evoluti dalla semplice opportunità di monetizzare fasi specifiche della catena di attacco” afferma Drew Schmitt, analista di intelligence sulle minacce di GuidePoint Security.

In precedenza gli aggressori eseguivano un intero attacco in modo indipendente, attività che richiedeva spesso tempo e non garantiva risultati di successo. Individui e gruppi hanno presto trovato la loro nicchia nel tempo e “si sono resi conto che potevano aumentare esponenzialmente i propri profitti vendendo una parte della catena di attacco o vendendo lo stesso malware (con configurazioni diverse) a un gruppo più ampio di acquirenti. Grazie a questo modello sono stati in grado di fare più soldi facendo sostanzialmente meno lavoro”.

Quando diversi gruppi hanno assunto ruoli principali nella criminalità clandestina, è emerso un ambiente commerciale competitivo che ha portato alla creazione di gruppi concorrenti e a una serie di mercati naturali. “Man mano che questi mercati sono diventati più solidi, l’asticella di ingresso per eseguire con successo attacchi informatici si è abbassata notevolmente, permettendo anche ai meno esperti in materia di hacking di condurre le proprie operazioni criminali”, conclude Schmitt.

brokercybercriminaligruppi criminaliMalwareRansomwareSicurezza
// Data pubblicazione: 16.03.2022
Condividi: