domenica 28 ottobre 2018

Il futuro della Siria e la Grande Assente: l’Europa!


Come annunciato i primi di settembre, il meeting internazionale sul futuro della Siria si è tenuto ad Istambul il 27 ottobre: Russia, Turchia, Francia e Germania seduti intorno al tavolo delle decisioni.

Il primo obiettivo è quello di garantire il mantenimento del fragile cessate il fuoco e favorire la creazione della buffer zone intorno a Idlib, ma gli interessi in gioco sono ben altri.

Il meeting segue di solo qualche mese un altro meeting, dove i protagonisti erano solo in parte differenti: Russia, Turchia e Iran.

Gli interessi in gioco sono enormi. Influenza, armi, petrolio, gas, porti sul Mediterraneo, stabilità della zona e lotte intestine...

Da parte della Russia è importante la possibilità di accrescere la propria influenza sul Mediterraneo orientale attraverso l’acquisizione di uno sbocco sul mare in territorio Siriano ma anche gli interessi economici legati alla promessa di costruire la prima centrale nucleare in Turchia ed estendere così il mercato della tecnologia nucleare ad un paese di 80 milioni di abitanti.

Da parte della Turchia, la necessità di stabilizzare la zona di confine ma anche la consapevolezza di avere un ruolo di rilievo in quanto ponte tra Russia e potenze occidentali, non dimentichiamo che la Turchia, nonostante le polemiche, fa sempre parte della NATO. Sullo sfondo anche le acquisizioni di armamenti hanno la loro importanza, la Turchia è in attesa di ricevere il sistema antimissile S400, proprio dalla Russia, sistema che dovrebbe essere consegnato a metà 2019 con grande disappunto degli USA.

Ma cosa dire su Francia e Germania?

La presenza dei due paesi è sicuramente più difficile da spiegare.

Certo, l’interesse per la stabilizzazione della regione è forte per entrambi, sia dal punto di vista economico che militare, in particolare per l’accesso alle risorse petrolifere e di gas presenti nella zona e che hanno già spinto in precedenza ad azioni avventate che hanno destabilizzato la Libia e che continuano a tenere nel caos tutto l’Oriente. La Germania ha i suoi interessi nell’appoggiare la Russia, come la Francia ha i suoi interessi nell’appoggiare gli USA, interessi economici e di scelte di campo, tutto comprensibile... ma che dire della Grande Assente, l’Europa?

Probabilmente è proprio nella Grande Assente che occorre ricercare le motivazioni nascoste della presenza di Francia e Germania, considerate non tanto singolarmente, ma come motore dell’Europa. Quale che sia il motivo, l’Europa fa una ben magra figura di fronte ai grandi del mondo, ancora una volta assente.

Dove sono finite le aspirazioni a diventare qualcosa di più di un semplice organismo regolatore, visto da tanti paesi principalmente come freno allo sviluppo ed esclusivamente come organo produttore di normative più o meno inutili ma assolutamente inadeguato quando si tratta di prendere decisioni importanti?

Fino a quando l’Europa sarà assente dai tavoli che contano?

Quando si capirà che l’Unione Europea non è una istituzione che vive di vita propria ma che deve essere di qualche utilità ai paesi membri, se si vogliono evitare le Brexit, Franxit, Italexit e così via?

E poi, la mancanza di una Europa forte significa la presenza, talvolta ingombrante, degli amici Occidentali ma anche Orientali…



Restiamo in attesa e per ora accontentiamoci di vedere due rappresentanti al tavolo delle decisioni...



Alessandro RUGOLO

Foto: Reuters/Murad Sezer:



Per approfondire:






sabato 27 ottobre 2018

Cosa fare se anche Linux è insicuro?

Image result for linux bug x.org
Tra le poche certezze che ho sempre avuto in merito ai sistemi operativi posso citare sicuramente "Linux è meglio di Microsoft"... 
Ma è veramente così?

E' di questi giorni la scoperta di un bug che consente di fare Priviledge escalation sui principali server Linux.
Il bug è identificato con il codice CVE-2018-14665 e sembra sia stato identificato da Narendra Shinde.
Il problema non si trova nel codice del kernel di Linux ma, almeno così sembra, nel codice delle interfacce grafiche più usate sulle distribuzioni Linux, X.org server, a partire dalla versione 1.19.0.
Ciò significa che da circa due anni a questa parte tutti i sistemi che usano X.org server potenzialmente sono soggetti ad attacchi basati su priviledge escalation.
Per essere chiari, i sistemi affetti da questa vulnerabilità sono OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux e CentOS!

Non penso sia opportuno ne necessario proseguire nella analisi tecnica del problema, nei link di approfondimento a fine articolo è possibile trovare le informazioni occorrenti e i suggerimenti per la risoluzione del problema. 
Ciò che mi interessa è invece approfondire alcuni aspetti spesso sottovalutati e per farlo cercherò di porre alcune semplici domande alle quali tenterò di dare risposta.
In primo luogo, cosa è successo a Unix, poi Linux negli anni passati?
E poi, chi decide se e come applicare le patch di un sistema in uso o il passaggio alla versione successiva?

Senza dubbio chi, come me, ha una certa età, si è scontrato con la necessità di utilizzare la linea di comando di Unix o di Linux o entrambe, cosa che oggi è molto spesso sostituita dall'impiego di una versione grafica. 
L'introdizione della grafica è stata un successo per i sistemi, avvicinando molti utenti potenziali, rendendo i sistemi Unix/Linux più simili ai sistemi Windows, ma allo stesso tempo è stato necessario incrementare la complessità. In poche parole, mentre prima si avevano a disposizione sistemi potenti e relativamente leggeri, l'introduzione della grafica ha appesantito il codice.  

I SO Linux sono generalmente appannaggio dei tecnici, sono impiegati all'interno dei data center per la gestione delle reti e dei sistemi informatici che necessitano di alte prestazioni, questa è la loro caratteristica, ma spesso sono poco conosciuti dai manager e dai decisori che si affidano ai tecnici. Comportamento corretto o meno, difficile da dire. Chi meglio di un bravo tecnico può dire cosa occorre ad un sistema perchè funzioni meglio? Probabilmente nessuno. Ma chi ha la responsabilità dell'azienda?
Chi risponde giuridicamente degli errori?
Chi paga in caso di mancatto rispetto della normativa sulla privacy o in caso di sottrazione di segreti industriali, militari o di Stato?

Ora, credo sia chiaro che i tecnici devono avere la loro autonomia ma penso sia altrettanto chiaro che  in una organizzazione seria debba essere impiegato un sistema di analisi del rischio che prenda in considerazione anche il rischio tecnologico e l'analisi delle patch (funzionali e di sicurezza) deve essere tenuta in considerazione, come l'analisi del rischio nel passaggio da una versione alla successiva.

Il processo che ha spinto verso la grafica è molto simile a quello che ha spinto e spinge tuttora in direzione della virtualizzazione... mi auguro che chi ha scelto la virtualizzazione l'abbia fatto consapevolmente!

Ciò che mi è sempre più chiaro è il fatto che occorre fare le cose semplici, affinchè sia possibile esercitare un controllo efficace, e questa è una regola che credo possa essere sempre valida, a maggior ragione nel campo informatico.
Sicuramente in ambiente critico occorre fare in modo che il personale tecnico sia in grado di lavorare impiegando strumenti sicuri e seguendo procedure chiare.
La capacità di impiegare sistemi operativi Linux like da linea di comando è dunque, a mio parere, una capacità da preservare, senza farsi attirare troppo dal sbandierata facilità di sistemi grafici che come contropartita aumentano la complessità del codice e la superficie di attacco.  

Alessandro RUGOLO

Per approfondire:
- https://www.nushinde.com/
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives-root-permission-on-linux-and-bsd-systems;
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-intel;dist=unstable;
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability/

domenica 21 ottobre 2018

Rapporto Clusit 2018

Anche quest'anno è stato rilasciato il "Rapporto Clusit", redatto dalla "Associazione Italiana per la Sicurezza Informatica" cui fanno parte esperti del mondo scientifico e industriale ma anche delle pubbliche istituzioni, in qualche modo interessati al settore della sicurezza informatica.
Il rapporto si basa sui dati del SOC* di Fastweb e dei dati ufficiali di Polizia Postale e delle Comunicazioni, del CERT Nazionale e del CERT-PA.
Per avere copia del rapporto in pdf è sufficiente compilare una richiesta on-line.

Il Rapporto analizza i principali attacchi avvenuti nel mondo e in Italia, fornendo un quadro interessante e allo stesso tempo preoccupante per il lettore informato. Per gli autori del rapporto il 2017 può essere considerato come “l’anno del trionfo del Malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia”.

Non starò a raccontarvi ciò che ho trovato nel rapporto, scritto ottimamente e per tutti per cui chi è interessato potrà leggerlo e approfondire per proprio conto, voglio solo evidenziare, ancora una volta, quanto già detto in precedenza nei miei articoli e ben evidenziato anche nel Rapporto Clusit: "a nostro avviso il problema più grave ed urgente rimane la cronica (e drammatica) insufficienza degli investimenti in cyber security nel nostro Paese".

Il problema degli investimenti tocca tutti i settori del sistema Paese Italia, dalla Scuola alla Difesa, ma non sembra destinato a cambiare in meglio. La mancanza di investimenti è dovuta alla mancanza di sensibilità nei confronti di un settore ritenuto erroneamente essenzialmente "tecnico" invece che, come effettivamente è, "strategico".
La mancanza di investimenti è inoltre causa della mancanza di personale specializzato nel settore, sia tra le figure tecniche che, soprattutto, tra le figure di alto livello che potrebbero aiutare nella scelta delle strategie da seguire e consigliare correttamente i decisori. 

In definitiva, secondo il Rapporto Clusit, la situazione è grave e "ci pone sostanzialmente ultimi tra i paesi avanzati e rischia di condizionare seriamente lo sviluppo dell’Italia ed il benessere dei suoi cittadini nei prossimi anni".

Purtroppo, ancora una volta, non posso far altro che condividere questo punto di vista, augurandomi che le cose possano, un giorno, cambiare.

Alessandro RUGOLO

* SOC= Security Operation Center.


Per approfondire:
- https://clusit.it/rapporto-clusit/
- http://www.difesaonline.it/evidenza/cyber/cyber-security-cos%C3%A8-un-soc

venerdì 19 ottobre 2018

Jean-Marc ROYER: Le monde comme projet Manhattan

Editore Le passeger clandestin, 2017
Pagg. 354
19 euro

Cosa sappiamo del progetto Manhattan e dei test nucleari che dagli anni 40 del secolo scorso al giorno d'oggi hanno liberato nell'ambiente sostanze inquinanti radioattive?
Lo tsunami che ha colpito il Giappone l'11 marzo del 2011 è stato la causa dei problemi della centrale di Fukushima?
Le bombe atomiche sganciate su Hiroshima e Nagasaki erano realmente necessarie per vincere la guerra col Giappone?

Il libro di Jean-Marc ROYER: "Le monde comme projet Manhattan", cerca di dare una spiegazione a queste e altre domande "scomode".

Ma chi è Jean-Marc Royer?
Ingegnere della Scuola nazionale dell'aviazione civile, studioso di storia, psicanalisi e sociologia, il suo approccio multidisciplinare consente di vedere gli argomenti trattati da diversi punti di vista e di mettere in evidenza alcuni aspetti spesso trascurati (più o meno volontariamente) in quanto scomodi.

Una delle massime che accompagnano la storia riguarda la sua validità: "la storia viene scritta da chi vince", si sente spesso dire a voce bassa, come se ci si vergognasse di dire apertamente quella che si sente essere una verità scomoda. 
Cosa penserebbe il popolo se sapesse... che la storia è scritta sistematicamente da chi vince al fine di consolidarne le posizioni? Naturalmente questa è solo una provocazione...
Ma forse, nel caso del Progetto Manhattan, sicuramente per l'autore del libro, la storia è stata scritta e riscritta per assecondare un progetto di dominio globale. Il progetto Manhattan non ha riguardato solo un breve periodo che ha condotto gli Alleati alla vittoria della 2° Guerra Mondiale ma si è esteso ben oltre, e forse, i suoi effetti sono presenti ancora oggi.

L'analisi impietosa dei fatti basata sulle testimonianze storiche, l'intreccio di poteri forti come l'industria della guerra, il potere politico americano e la categoria degli scienziati del nucleare di ieri e di oggi, permette di iniziare a sollevare il velo di piombo che era stato calato consapevolmente sulla storia mondiale.

Un'ultima domanda: dove finisce l'uso corretto delle armi in guerra e dove comincia il genocidio? 

Le monde comme projet Manhattan, un libro da leggere che fa riflettere sulla nostra civiltà...

Alessandro RUGOLO

sabato 13 ottobre 2018

I sistemi d'arma statunitensi sono vulnerabili ad attacchi cyber? Così sembra secondo...

Se ci si limita a leggere le notizie sul cyber space (e relativi attacchi) si è portati a pensare che questi problemi siano tipici del mondo civile e che non hanno niente a che vedere con i sistemi d'arma degli stati più avanzati ma a ben guardare e rivolgendosi verso strutture informative più specifiche del mondo cyber, come per esempio il SANS Institute, si scopre che anche i sistemi d'arma statunitensi sono soggetti a vulnerabilità.
E' proprio nella newsletter del SANS institute che questa mattina ho letto del rapporto governativo US compitato dal "Governmental Accountability Office" per il Senato degli Stati Uniti dal titolo "Weapon System Cybersecurity, DOD just beginning to grapple with scale of vulnerabilities". 
Il report analizza le criticità del settore relativo agli armamenti e mette in evidenza le lacune di alcuni sistemi, soprattutto di quelli più vecchi realizzati quando ancora si avevano poche evidenze delle potenzialità di un cyber attack. 

Ma il fatto che un sistema sia di recente progettazione e realizzazione non mette al riparo da problemi di sicurezza. La complessità, l'interdipendenza da altri sistemi, la necessità di provvedere ad aggiornamenti funzionali e, talvolta, la scoperta di vulnerabilità legate ai software di base (è il caso dei sistemi operativi per esempio) costringe l'industria e la Difesa a riprendere più e più volte i sistemi per effettuare i correttivi del caso.
Il report è dunque un ottimo documento per capire quali sono i rischi cui un sistema d'arma moderno è soggetto e come si deve procede per evitare errori macroscopici partendo dal fatto che la "cybersecurity è il processo relativo alla protezione delle informazioni e dei sistemi informativi attraverso la prevenzione, l'individuazione e la risposta agli attacchi. La cybersecurity mira a ridurre la probabilità che un attaccante possa accedere ai sistemi del DoD e limitare i danni che esso potrebbe fare qualora riuscisse ad accedervi". 
Il report riporta alcuni potenziali effetti negativi che possono essere sfruttati da avversari dotati di capacità di cyber attack, contro sistemi d'arma in qualche modo dipendenti da software, dai più banali quali ad esempio la possibilità di accensione e spegnimento di un sistema d'arma o la modifica di un obiettivo di un missile fino a attacchi più elaborati come la modifica del corretto livello di ossigeno di un pilota di caccia.
Gli Stati Uniti hanno in programma investimenti per circa 1.600 miliardi di dollari per i prossimi anni e i rischi legati alle nuove tecnologie e alle potenziali vulnerabilità cyber sono considerati elevati.
Questo li ha spinti a mettere in piedi delle strutture e dei processi di controllo allo scopo di limitare i danni economici e il fallimento di progetti ma gli ha anche consentito di raccogliere dati sui software e sulle vulnerabilità presenti nei sistemi d'arma di valore inestimabile.
Ci si potrebbe domandare se qualche cosa di simile viene posta in essere negli altri paesi, per esempio nel nostro, dove gli investimenti sono naturalmente minori in quanto attagliati alle ambizioni e agli obiettivi da raggiungere ma, proprio per questo, molto più soggetti a pericolo di fallimento. 
Negli USA, se un progetto fallisce, è molto probabile che ve ne sia un altro con obiettivi simili che arrivi a buon fine, ma da noi (o più in generale nei paesi di piccola e media grandezza europei) il fallimento di un progetto di un sistema d'arma condurrebbe probabilmente alla mancata realizzazione di una capacità operativa con le conseguenze che è possibile immaginare.
Tutto ciò spinge a pensare che l'unica soluzione percorribile sia superare le distanze esistenti (e a volte create ad arte) tra i paesi europei e realizzare dei programmi comuni: l'alternativa è quella di restare legati a politiche delle grandi potenze e anche ai loro "dictat" in campo economico e di sviluppo dell'industria militare e delle nuove tecnologie. 

Alessandro RUGOLO

Per approfondire:


- https://www.sans.org/;
- https://www.gao.gov/assets/700/694913.pdf;