sabato 31 marzo 2018

Meltdown: considerazioni sull'impatto sui sistemi classificati

Image result for meltdownMeltdown, un termine il cui significato è sinonimo di "disastroso collasso", oppure "catastrofe nucleare" è entrato nell'uso comune a causa dei problemi di sicurezza evidenziati su alcune tipologie di processori tra cui praticamente tutti i processori Intel, parte dei processori AMD e così via, realizzati dal 2010 ad oggi.
Sono veramente pochi i processori non colpiti da questa vulnerabilità (o da Spectre, per certi versi molto simile), tra questi buona parte degli ARM, gli SPARC e i Raspberry.
Ma di che si tratta? 
Cosa è realmente Meltdown?
E soprattutto, quale impatto può avere sui sistemi informatici ed in particolare sui sistemi classificati impiegati in ambiente militare?

Con questo articolo cercherò di fare un po di chiarezza su questa vulnerabilità e sul potenziale impatto nel mondo della sicurezza e, tanto per cominciare, è utile ribadire che la vulnerabilità è hardware e non software.
Questo fa un po la differenza rispetto a ciò che siamo abituati a sentire. In pratica, per fare un paragone con il mondo delle automobili, è come se in (quasi) tutte le auto del mondo si scoprisse che un particolare del motore per un difetto di progettazione sia soggetto a rottura, probabilmente in un caso del genere le case produttrici sarebbero costrette a ritirare dal mercato il modello incriminato e a risarcire il consumatore, oppure a richiamare in fabbrica le auto per una sostituzione gratuita del pezzo.
Con Meltdown questo non è avvenuto, forse perchè ancora non vi è una vera consapevolezza dei diritti del consumatore e forse perchè nonostante il clamore suscitato dalla notizia sono ancora troppo pochi coloro che sono in grado di capire la reale dimensione del problema.
In ogni caso ribadisco che Meltdown colpisce determinate famiglie di processori di diverse marche, indipendentemente dal Sistema Operativo che vi è installato sopra!
Ma in che cosa consiste il malfunzionamento?
Per capire come agisce Meltdown occorre sapere come funziona un sistema operativo, almeno nelle sue linee essenziali.
In primo luogo è utile dire che il compito principale di un sistema operativo consiste nel fornire una serie di servizi e garanzie di sicurezza affinchè i programmi che vi girano sopra si comportino come il progettista della sicurezza vuole. 
L'approccio progettuale alla sicurezza è particolarmente sentito per i sistemi militari o, più in generale, per sistemi che trattano informazioni che hanno un elevato valore.
Una delle caratteristiche principali dei Sistemi Operativi consiste nella sua capacità di garantire la "separazione della memoria" tra processi e utenti differenti in quanto ogni utente o processo deve poter accedere solo alla memoria che gli viene riservata.
I Sistemi Operativi moderni, affinchè siano impiegabili, anche allo scopo di sfruttare al massimo le caratteristiche delle CPU di nuova generazione, hanno introdotto alcune caratteristiche che velocizzano determinate operazioni, teoricamente senza diminuirne la sicurezza.
1. La prima di queste caratteristiche consiste nella possibilità di eseguire più processi in parallelo, ovvero di svolgere compiti differenti o a favore di utenti o programmi differenti dando loro l'impressione che siano gli unici a poter disporre di tutte le potenzialità del computer. Per fare ciò è necessario usare particolari tecniche di assegnazione della memoria che vanno sotto il nome di "virtual page memory".
2. Per evitare che utenti o processi potessero disturbarsi a vicenda e causare danni scrivendo dei dati in uno spazio di memoria già impiegato, magari proprio dal Sistema Operativo, è stato introdotto il concetto di "protection domain". In pratica il Sistema Operativo assegna ad ogni utente o processo un livello al quale è associata la possibilità di poter impiegare una certa area di memoria. Quando un processo cerca di accedere ad un'area di memoria per cui non è autorizzato generalmente viene "terminato".
3. La terza caratteristica legata alla architettura dei nuovi processori, normalmente dotati di più unità di calcolo, consiste nella possibilità di eseguire istruzioni o operazioni in parallelo o, in certi casi, di eseguire la stessa istruzione su valori diversi per velocizzare determinate operazioni. Si tratta di funzionalità conosciute come "instruction pipeline" e "speculative execution". Su ciò si basa il concetto di "Out-of-order execution" ovvero l'esecuzione di istruzioni di un programma non ancora necessarie ma che probabilmente dovranno essere eseguite.
4. Infine, per sfruttare l'enorme velocità di calcolo dei moderni processori sono state introdotte particolari tipi di memoria il cui accesso in scrittura e lettura avviene in tempi molto inferiori rispetto alla memoria presente in un hard disk normale. La presenza di queste memorie chiamate di "cache", associate all'analisi dei dati più utilizzati, consente al processore di non rimanere troppo spesso disoccupato in attesa che gli vengano forniti i dati necessari che si trovano nell'hard disk.
Bene, la questione è semplice. 
Se è vero che le caratteristiche suindicate sono state introdotte per sfruttare le caratteristiche dei nuovi processori, è altrettanto vero che quanto fatto ha aumentato non di poco la complessità dei sistemi e di conseguenza la possibilità di introdurre delle vulnerabilità non banali, ed è questo il caso di Meltdown.
Ora, occorre sapere che uno degli utenti del computer è il Sistema Operativo, esso è considerato "utente privilegiato" e può compiere particolari operazioni, non concesse ad un utente generico.
Meltdown permette di superare il concetto di "separazione della memoria", consentendo ad un processo o utente non autorizzato di venire a conoscenza dei dati presenti in spazi di memoria non propri sfruttando un tipo di attacco chiamato "side channel attack", in particolare un tipo di side channel attack chiamato "chache side channel attack" che consiste nel dedurre il contenuto della cache misurando i tempi di caricamento dei dati da parte di un altro processo in esecuzione. 
Meltdown riesce a fare ciò utilizzando a suo vantaggio le caratteristiche dei moderni processori a 64 bit viste sopra per raggiungere il suo obiettivo ovvero rubare i dati dall'area di memoria destinata ai processi del kernel del Sistema Operativo.
Dato lo scopo di questo articolo e la complessità dell'argomento non ha senso proseguire nella descrizione dei particolari di funzionamento di questo tipo di attacco, quanto piuttosto cercare di comprendere le implicazioni di sicurezza di questo attacco in relazione ai sistemi informatici militari.
Una prima considerazione va fatta sul concetto di verifica e certificazione dei sistemi.
Questo perchè, come spero sia ora chiaro, quasi tutti i processori in combinazione con i Sistemi Operativi più utilizzati risultano essere soggetti all'attacco Meltdown, tra questi vi sono anche i sistemi operativi Windows 7 client e windows server 2008 R2 a 64 bit, che se si va a vedere sul sito dei sistemi certificati Common Criteria sono certificati per l'uso nei sistemi classificati di buona parte delle nazioni del mondo.
Possibile che nel corso dei test nessuno abbia notato il comportamento insicuro dei sistemi?
Occorre forse ripensare alle modalità con cui i Centri di Validazione eseguono i test, forse troppo incentrati sul testare quanto dichiarato dalle case produttrici, senza indagare (molto) oltre?
Eppure vi sono chiare indicazioni di possibili problemi sulle architetture dei processori sin dal lontano 1995, ad opera della National Security Agency.
Una seconda considerazione riguarda invece la possibilità di applicazione di patch di sicurezza.
Non appena si è saputo di Meltdown, le principali case produttrici di software hanno cercato di porre rimedio attraverso modifiche software ai problemi architetturali dell'hardware.
Tra queste la Microsoft che ha immediatamente rilasciato la patch, ma con che risultato?
The hacker news in un articolo di qualche giorno fa ha pubblicato lo studio del

Alessandro RUGOLO

Per approfondire:
- https://meltdownattack.com/meltdown.pdf;
- https://thehackernews.com/2018/03/microsofts-meltdown-vulnerability.html;
- Cenni su processori INTEL: https://www.tomshw.it/differenze-i-processori-intel-75496;
- Cenni su processori ARM: https://www.ilsoftware.it/articoli.asp?tag=Differenza-tra-processori-ARM-e-x86_14683;
- Cenni sui processori SPARC: http://www.pcpedia.it/Il-Processore/ultrasparc.html;
- Cenni sui processori Raspberry: https://opensource.com/resources/raspberry-pi;
- https://www.commoncriteriaportal.org/

giovedì 29 marzo 2018

Wannacry colpisce Boeing: la legge del contrappasso colpisce ancora?

Workers assemble aircraft at Boeing’s plant in North Charleston, S.C., where the cyberattack started.  (Bruce Smith/AP)Chi non conosce Boeing?
La compagnia statunitense principale nel campo aerospaziale sembra sia stata colpita dal malware conosciuto con il nome di WannaCry, un virus della famiglia dei ransomvare particolarmente distruttivo.
In effetti la potenza di WannaCry sembra derivare dal fatto che impiega uno strumento informatico sviluppato dalla National Security Agency chiamato Eternal Blue, diffuso dal gruppo hacker "Shadow Brokers".
Eternal Blue sfrutta una vulnerabilità di Microsoft Windows che consente all'attaccante di diffondersi in automatico attraverso computer vulnerabili-
Ora, che anche un produttore di queste dimensioni e capacità possa essere colpito da un malware creato dalla NSA del suo stesso paese può e deve far pensare.
Ricordiamoci infatti che WannaCry circola ormai da diverso tempo e ci dovrebbe essere stato tutto il tempo di applicare le "patch" sicurezza ma evidentemente anche la Boeing ha qualche problema. 
Altre considerazioni possono essere fatte in merito alla denuncia del fatto, sicuramente apprezzabile, in particolare se, come viene affermato, il malware non ha colpito la linea di produzione dell'azienda.

Ma tutto ciò è forse ancora prematuro, potrebbe anche trattarsi di semplice strategia preventiva e nei prossimi giorni potremmo scoprire che la Boeing, come la città di Atlanta, sono solo le prime vittime di una nuova infezione mondiale.

Alessandro Rugolo

Per approfondire:

- http://www.adnkronos.com/soldi/economia/2018/03/29/boeing-colpita-virus-wannacry_cBv5XQGTWFWzxXUe8vOzuK.html;
- https://www.nytimes.com/2018/03/28/technology/boeing-wannacry-malware.html;
-

venerdì 16 marzo 2018

La Via Crucis a Porto Torres, di Giovanni Dettori

Ancora una volta mi metto al computer per presentare una mostra dell'amico incisore Giovanni Dettori. 
Ancora una volta, dico, ma con la certezza che non sarà l'ultima!


Questa volta le opere di Giovanni saranno esposte nella splendida cornice fornita dalla Basilica di San Gavino a Porto Torres.
I sardi conoscono bene la storia di questo martire, militare di famiglia romana, convertitosi e martirizzato, ma forse non tutti hanno visitato la Basilica e allora questa potrebbe essere l'occasione giusta per unire alla visita storico-religiosa il piacere di assistere alla presentazione della "Via Crucis" di Giovanni Dettori. Opera immensa, realizzata con passione e pazienza e, potrei dire, ancora in itinere.
La mostra sarà inaugurata prima di Pasqua, il 27 marzo alle ore 19.00 e terminerà il 2 aprile.



Giovanni è nato a Sassari ma ha vissuto e vive tuttora a Porto Torres dove lavora con passione.
Noi abbiamo avuto il piacere di passare ore piacevoli in compagnia di Giovanni che, disponibile come pochi, ci ha illustrato le tecniche impiegate per incidere il legno e per la stampa su carta. Abbiamo assistito al momento della nascita di una sua opera e non potremo mai dimenticarlo!
Vi invito dunque a vincere la riservatezza e ad avvicinarvi all'autore, a stringergli la mano e a parlare con lui. 
Giovanni 
Vi renderete conto del fascino che emana e, magari, potreste avere la fortuna di essere invitati ad assistere alla stampa di una sua opera, forse proprio di uno dei pannelli della Via Crucis, oppure di un paesaggio della Sardegna o di una Madonna con Bambino.
Comunque vada vi garantisco che ne varrà la pena!
Giovanni sarà li, a spiegare a tutti ciò che ha realizzato, con la sua simpatia e l'aria da Sardo verace che lo contraddistingue. 
Scambiate qualche parola con lui, sull'arte della xilografia in Sardegna o sull'amore per la pittura, lo studio, i libri... guardatelo fisso negli occhi, vi potrete leggere molto più di ciò che potrà dirvi con le parole.

Alessandro Rugolo e Giusy Schirru

Per approfondire:
http://tuttologi-accademia.blogspot.it/2017/06/la-via-crucis-di-giovanni-dettori.html


domenica 4 marzo 2018

Smartphone, Coltan e guerra nel Congo

Il titolo dell'articolo potrebbe lasciare un attimo interdetti: cosa c'entrano i telefoni cellulari con la guerra nel Congo? E, cos'è quella parola nel mezzo: Coltan?

Devo dire che anche io non ero molto informato sulla questione. Per me tutto è cominciato con la lettura del libro di Noam Chomsky e Andre Vltchek dal titolo "Terrorismo Occidentale". Il libro è un viaggio attraverso il mondo visto con gli occhi di Chomsky e Vltchek.
E che viaggio!
Già nelle prime pagine compare il termine "Coltan". Lo sottolineo e mi riprometto di andare ad approfondire alla fine del capitolo, poi però mi fermo, torno indietro, rileggo... e lo faccio subito.

Inserisco sul mio browser alcune parole chiave: coltan, war, congo.

La prima cosa che trovo è un articolo del "The Guardian" in cui si dice che il presidente Trump vuol sospendere temporaneamente una legge (Dodd-Frank financial reform) che in pratica impedisce alle multinazionali statunitensi di commerciare in minerali provenienti dal Congo e di utilizzarli per la produzione di beni di consumo. L'articolo è del febbraio 2017. 
Proseguo le ricerche e mi imbatto in un altro articolo sempre del 2017 apparso su Newsweek. In questo si discute sulle possibili conseguenze della sospensione della riforma Dodd-Frank, entrata in vigore nel corso della Presidenza Obama. 
Proseguo la ricerca.
In un articolo del 15 aprile 2017 apparso sul Corriere della Sera dal titolo: "Congo, l'inferno del Coltan e la manodopera della disperazione" l'autore Andrea Nicastro esordisce proprio con alcune notizie sul Coltan e anche io penso sia arrivato il momento di saperne di più.

Cos'è, dunque, il coltan?
Coltan è l'abbreviazione per Columbite-Tantalite con cui ci si riferisce ad una roccia composta principalmente da due minerali, la Columbite - (Fe, Mn)Nb2O6 - e la Tantalite - (Fe, Mn)Ta2O6. La Columbite-Tantalite ad alto tenore di Tantalio è molto ricercata nell'industria elettronica in quanto utilizzata per la produzione di componenti elettronici. 
Ma dove si trova la Columbite-Tantalite?
Per capirne di più diamo uno sguardo ai dati dello US Geological Survey’s:

Come si può vedere i maggiori produttori sono Congo e Rwanda, sarà un caso che questi due stati non riescono a trovare pace?
Ma andiamo avanti nelle ricerche cercando di trovare risposta ad alcune altre domande:
- quali sono i paesi che importano il Coltan?
- quali sono le società che ne fanno uso?
- cosa sta facendo il "poliziotto mondiale" per far cessare la guerra degli smartphone?
Nel 2011 il ricercatore del MIT ha pubblicato uno studio dal titolo: "Coltan, the Congo and your phone. The connection between your mobile phone and human right abuses in Africa", titolo rappresentativo della situazione.
Secondo lo studio p principali gruppi mondiali che gestivano le fonderie per la estrazione del Tantalio  erano tre:
- Cabot Corporation (USA);
- H C Starck (Germany);
- Ningxia Corporation (Cina).
Dallo stesso paper apprendiamo che i principali produttori di condensatori che poi vengono utilizzati nei dispositivi elettronici erano:
- AVX Corporation (Kyocera Group, Giappone);
- Kemet “the capacitance company” (USA);
- NEC (Giappone);
- Samsung (Corea del Sud);
- Vishay (USA).
Dal 2011 la situazione può essere leggermente cambiata ma la sostanza resta.
Gruppi armati di provenienza diversa controllano i proventi del traffico (illegale) di materie prime.
Tra i gruppi armati indicati nello studio vi erano elementi di:
- Lord’s Resistance Army (LRA);
- Uganda People’s Defence Forces (UPDF);
- Rwandan Patriotic Army (RPA);
- Forces démocratiques de libération du Rwanda (FDLR);
- Armée Patriotique Rwandaise (APR);
- Armée Nationale Congolaise (ANC)
- Forces armées de la République démocratique du Congo (FARDC).
Se da una parte esistono delle norme che impongono alle società di verificare la provenienza delle materie prime (proibendo l'uso di materie provenienti da territori in guerra), dall'altro lato della barricata esistono miliardi di consumatori di tecnologie che non possono fare a meno dell'ultimo modello di smartphone.
Nel mezzo, i produttori fanno i loro interessi.
Chi ci rimette sono le "non persone" di cui si parla tanto spesso nel libro di Noam Chomsky e Andre Vltchek che ho citato all'inizio dell'articolo.
Più di 5 milioni di vittime provocate dalla violenza della guerra tra gruppi armati che controllano il territorio della Repubblica Democratica del Congo e le frontiere.


Recentemente il governo venezuelano ha iniziato a considerare la possibilità di estrarre il Coltan dai suoi giacimenti dell'Amazzonia, promettendo il rispetto delle popolazioni autoctone. Sarà un nuovo Congo?
Lo vedremo nei prossimi anni...
Nel mentre, nel nostro piccolo possiamo fare qualcosa?
Si.
Quando decidiamo di cambiare lo smartphone facciamolo perché ci serve realmente e non per inseguire una moda o per accontentare il capriccio di nostro figlio...


Alessandro Rugolo

Per approfondire:

- https//www.theguardian.com/us-news/2017/feb/08/trump-administration-order-conflict-mineral-regulations
- http://www.newsweek.com/congo-conflict-minerals-dodd-frank-trump-623235
- http://www.corriere.it/esteri/17_aprile_13/inferno-coltan-2adccda8-2218-11e7-807d-a69c30112ddd.shtml
- http://espresso.repubblica.it/internazionale/2015/02/27/news/l-inferno-senza-fine-nelle-miniere-di-coltan-del-congo-1.201671?refresh_ce
- https://minerals.usgs.gov/minerals/pubs/commodity/niobium/mcs-2017-tanta.pdf
- http://www.3wan.net/
- http://web.mit.edu/12.000/www/m2016/pdf/coltan.pdf
- https://www.telesurtv.net/english/news/Venezuela-Explores-Initial-Stages-of-Coltan-Mining-20170908-0025.html
- http://www.newsweek.com/2015/02/13/where-apple-gets-tantalum-your-iphone-304351.html

Foto tratte da Internet.

sabato 3 marzo 2018

Vivere felici in Madagascar... il libro di Vittorio Conte


Qualche settimana fa ho scritto la recensione di un libro, "Vivere felici in Madagascar con 500 euro al mese o creare un’attività con pochi soldi", di Vittorio Conte.
Oggi pomeriggio, nella splendida cornice offerta dalla associazione Incontrando, nel cuore di Roma, abbiamo finalmente incontrato l'autore.
La serata è trascorsa piacevolmente in compagnia, parlando delle opportunità che offre questa terra ancora in buona parte selvaggia. 
Il Madagascar infatti ha una superficie circa doppia rispetto all'Italia e una popolazione di soli 20 milioni di abitanti, questi numeri possono far capire quante e quali occasioni ancora offra a chi è dotato di un minimo di spirito d'avventura. Vincenzo Iscaro ha fatto da padrone di casa presentando l'autore e guidando gli ospiti nel viaggio virtuale per l'Isola, una delle più grandi al mondo.
Naturalmente con l'occasione Vittorio Conte ha presentato il suo libro e si è offerto di fare da guida a chi volesse andare a trovarlo il prossimo ottobre.
Nel corso della serata sono state evidenziate le occasioni che l'isola offre a chi vuole fare del turismo rispettoso dell'ambiente e delle tradizioni malgasce o a chi invece decidesse di cambiar vita e trasferirsi in pianta stabile in questo paese.
Un'occasione da non perdere...
Infine  mi sembra doveroso ringraziare i veri padroni di casa, la signora Maria Teresa e suo figlio Filippo, che con i loro modi gentili ci hanno fatto sentire in famiglia. 
A loro un grosso in bocca al lupo per sempre migliori successi alla guida dell'associazione Incontrando.

Alessandro Rugolo

INTERconNETtiamoci ma con la testa!

L'Italia è un paese strano, un paese in cui alla inconcludenza delle istituzioni si affiancano (e suppliscono!) le eccellenze personali. 
Oggi vi voglio raccontare un caso in cui l'iniziativa di un singolo ha fatto e sta facendo tanto nel campo della sicurezza informatica.
C'è da dire che il singolo è anche un amico e si chiama Piero Fontana, orgogliosamente toscano, esperto nel campo informatico, membro dei Lions e Colonnello del Corpo Ingegneri dell'Esercito.
Ieri ho incontrato Piero, dopo tanti anni, e al di la del piacere personale di poter prendere un caffè assieme e ricordare le nostre passate avventure, sono stato piacevolmente sorpreso dalla sua iniziativa "INTERconNETtiamoci ma con la testa!".
In che consiste, vi chiederete?
Semplicemente nell'educazione alla sicurezza informatica dei futuri cittadini italiani, oggi bambini delle scuole elementari, rendendoli più consapevoli di quali siano i pericoli in Internet.
Gli incontri sono di due tipi:
- quelli per i ragazzi, in cui si spiegano le opportunità che offre la rete e i rischi cui ci si espone; tali incontri mirano a far capire ai ragazzi come ci si deve comportare su Internet per evitare o ridurre i rischi;
- quelli per i genitori e per il personale delle scuole, in cui si entra anche nel merito degli aspetti legali dei comportamenti sulla rete.
L'iniziativa veramente lodevole ha riscosso un notevole successo e i numeri lo provano:
- 167 incontri;
- 12.500 ragazzi raggiunti;
- 3100 tra insegnanti e genitori.
L'iniziativa ha riscosso tanto successo che si sta pensando di estenderla anche in altre regioni.

Complimenti Piero, continui a stupirmi!

Alessandro RUGOLO


Per seguire le attività visita la pagina: www.facebook.com/interconnettiamoci