venerdì 22 marzo 2019

Hydro, il colosso norvegese dell'alluminio sotto attacco cyber

E' di qualche giorno fa (19 marzo) la notizia che una delle più grandi società di produzione di alluminio, la norvegese Hydro, abbia subito un attacco cyber.
L'attacco condotto attraverso l'uso di un ransomware, apparentemente mira ad ottenere un riscatto. 
Nel corso di una conferenza stampa il responsabile finanziario della società, Eivind Kallevik, ha annunciato che l'attacco è abbastanza grave.
Sembra che il virus non abbia avuto grosse conseguenze sulla produzione  (cosa alquanto difficile da credere!) infatti alcuni impianti sono stati disconnessi e altri sono stati attivati in modalità manuale.
La Norway's National Security Authority (NSM) incaricata di dare assistenza alla Hydro oltre che fornire aiuto ha in corso gli accertamenti del caso per individuare i responsabili dell'attacco. Il ransomware utilizzato è conosciuto col nome di LockerGoga ed è stato impiegato in combinazione con un attacco diretto contro il servizio di Active Directory. Ma è ancora troppo presto per essere sicuri, al momento si tratta infatti solo di ipotesi.

Supponendo che le prime ipotesi sul ransomware siano esatte, vediamo cosa ci dice TrendMicro su LockerGoga. Secondo la società di sicurezza informatica il ransomware LockerGoga ha fatto la sua apparizione di recente (gennaio), contro una società di consulenza ingegneristica francese, la Altran Technologies. La prima cosa che il malware fa una volta infettato un sistema, è cambiare le password degli utenti, rendendolo inaccessibile, quindi inizia a cifrare i file presenti nel sistema e invia sullo schermo un messaggio di richiesta di riscatto. L'impiego di sistemi diversi (dal pagamento del riscatto!) porteranno alla compromissione dei dati. Sembra che LockerGoga non abbia la capacità di diffondersi in rete a differenza dei suoi parenti WannaCry e Petya/NotPetya, invece ha la capacità di superare le difese messe in campo da molti sistemi di protezione (sandbox e machine learning). 

Alcune considerazioni:
Ancora una volta una grossa società è stata colpita, cosa che dimostra che il possedere (almeno teoricamente) grandi risorse non mette al riparo dal rischio. Ciò che occorre è una strategia di sicurezza e un impiego oculato delle risorse, umane e non.
La società produttrice di parti in alluminio occupa una grossa fetta del mercato europeo e americano (circa il 20 %), l'attacco ha avuto delle ripercussioni sul valore delle azioni ma i danni maggiori saranno presumibilmente dovuti alla necessità di rallentare o bloccare la produzione.  
Sembra che il ransomware non faccia uso di una catena di Comando e Controllo, e la cosa dunque farebbe pensare che il malware possa essere controllato dall'interno della rete stessa della Hydro.

Ancora una volta occorre evidenziare alcune problematiche che affliggono il nostro mondo, altamente informatizzato, ma ancora lontano dall'essere esente da problemi di tutti  i tipi.
La prima considerazione da fare, non legata al fatto in se, riguarda la velocità con cui si produce il software e si rilasciano nuove funzionalità, velocità che è andata sempre aumentando nel corso degli anni e che non depone certo a favore della buona esecuzione. 
La seconda riguarda la complessità: spesso, voler ricercare la semplicità di utilizzo da parte degli utenti (di tutti  i livelli, per esempio introducendo interfacce grafiche ecc.), ha portato ad un incremento esponenziale della complessità dei software (e dei sistemi in generale), complessità che, ancora una volta, è nemica del buon funzionamento.
La terza considerazione riguarda la generale mancanza di expertise nel campo della sicurezza informatica, evidenziata spesso in ambito Unione Europea ma che ancora non trova soluzione, se è vero infatti che sono aumentati i corsi universitari in sicurezza informatica è altrettanto vero che rimane una certa distanza tra queste ultime e il mondo industriale.
Infine, in molti paesi, la mancanza di finanziamenti pubblici del settore condiziona fortemente lo sviluppo di un tessuto di imprese capaci e pronte ad offrire i propri servizi di sicurezza a organizzazioni e società di piccole e medie dimensioni, limitando fortemente la capacità di crescita delle competenze a causa della mancanza di concorrenza.  
Occorrerebbe anche riflettere sulla crescita enorme delle società informatiche e cominciare ad interrogarsi sulla necessità di esigere da queste ultime una maggiore serietà professionale nel rilascio del software e dei sistemi.
Infine, ma non meno importante, è necessario iniziare a riflettere seriamente sulla invasività della informatica nel mondo attuale, non certo per cercare di limitarla, cosa ormai impossibile, ma per capire come limitare i danni in caso di attacco cyber e come poter garantire un sufficiente, alternativo, livello di comando e controllo non basato su tecnologie digitali.
Immagino già che qualcuno starà pensando: "Ecco, il ritorno di carta, penna o macchina da scrivere e servizio di fattorini... ma dove vive questo?", ebbene si, in alcuni casi la cosa potrebbe essere necessaria e per funzionare dovrebbe essere esercitata regolarmente per preservare un sapere che sta scomparendo. 

Alessandro Rugolo

Per approfondire:
- https://www.bbc.com/news/technology-47624207;
- https://www.bloomberg.com/news/articles/2019-03-19/hydro-says-victim-of-extensive-cyber-attack-impacting-operations-jtfgz6td;
- https://www.reuters.com/article/us-norsk-hydro-cyber-security/norway-say-hydro-cyber-attack-began-monday-evening-and-escalated-during-the-night-idUSKCN1R00TO?il=0;
- https://www.thelocal.no/20190322/norways-norsk-hydro-hit-by-ransom-cyber-attack.
- https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/what-you-need-to-know-about-the-lockergoga-ransomware

First Canadian Threat Report from Cybersecurity Firm Carbon Black Finds That 83% of Surveyed Canadian Businesses Have Been Breached During the Last 12 Months

PRESS RELEASE Mar 12, 2019
Surveyed businesses report phishing and ransomware are the most likely to spawn breaches
WALTHAM, Mass., March 12, 2019 —Carbon Black(NASDAQ: CBLK), a leader in cloud-delivered, next generation endpoint security, today released the results of its first Canadian Threat Report. The research demonstrates the apparent intensity of cyber threats facing Canadian businesses.
According to the research, attacks are increasing in volume and sophistication, causing regular security breaches affecting 83% of organizations surveyed. The report analyzes survey results from different industries, organization sizes and IT team sizes to build a picture of the modern attack and cyber defense landscape in Canada.
Key survey research findings:
  • 83% of surveyed Canadian organizations have been breached in the last 12 months
  • The average number of breaches per surveyed organization is 3.42
  • 76% of surveyed organizations have seen an increase in attack volumes
  • 81% of surveyed organizations say attacks have become more sophisticated
  • 85% of surveyed organizations plan to increase spending on cyber defense
Escalating cyber attacks
Of the 76% of Canadian businesses reporting an increase in cyberattacks, 25% said the volume has grown by 51% or more in the past year. In addition, 81% of surveyed businesses said they’ve witnessed an increase in attack sophistication.
Of note, 85% of Canadian organizations surveyed said they are planning to increase spending on cyber defense in response to the escalating threat landscape.
“Our first Canadian threat report indicates that organizations in Canada are under intense pressure from escalating cyberattacks,” said Tom Kellermann, Carbon Black’s Chief Cybersecurity Officer. “The research indicates increases across the board in attack volume and sophistication, causing frequent breaches. In response, an encouraging number of Canadian organizations are adopting threat hunting and seeing positive results. As threat hunting strategies start to mature, we hope to see fewer attacks making it to full breach status.”
The human factor plays a part in the attacks that lead to breaches, the survey found. Phishing attacks are at the root of one in five successful breaches, the survey noted.
Additionally, 59% of surveyed Canadian organizations said they are actively threat hunting, with one in five (20%) saying they have threat hunted for more than a year. A very encouraging 86% of those organizations report that threat hunting has strengthened their defenses. 
-ends-
Survey Methodology
Carbon Black commissioned a survey, undertaken by an independent research organization, Opinion Matters in January 2019.  250 Canadian CIOs, CTOs and CISOs were surveyed from companiesin a range of industries including: financial, healthcare, government, retail, manufacturing, food and beverage, oil and gas, professional services, and media and entertainment. This forms part of a global research project with other countries being surveyed including: Australia, Canada, France, Germany, Italy, Japan, Singapore and the UK.

Symantec to Host Tech Talk: “Integrated Cyber Defense”

press release 02/28/2019
MOUNTAIN VIEW, Calif.--(BUSINESS WIRE)-- Symantec Corp. (NASDAQ: SYMC), the world’s leading cyber security company, will host a Tech Talk webcast in conjunction with RSA® Conference 2019. Greg Clark, President and CEO, and Hugh Thompson, CTO, will discuss Symantec’s technology innovation and leadership in securing the cloud generation. Interested parties can find more information on Symantec’s Investor Relations website at http://symantec.com/invest.
No financial information will be presented on this webcast.
Date: Monday, March 4, 2019
Time: 11:00 am PT / 2:00 pm ET
Speakers: Greg Clark, President and CEO; Hugh Thompson, CTO

mercoledì 20 marzo 2019

Dojo by BullGuard Wins 2018 Broadband World Forum Award For Network Security

Press release

Prestigious award recognizes excellence in the broadband marketplace
SAN FRANCISCO and HERZLIYA, Israel – OCTOBER 29, 2018 – BullGuardthe award-winning consumer cyber security company, today announced Dojo by BullGuard has received the 2018 Broadband World Forum Award for Best Network Security. Broadband World Forum is an annual Informa event that brings together hundreds of innovators in the broadband community.

The annual Broadband World Forum Awards are regarded as the most prestigious recognition of excellence in the broadband industry. The 2018 categories were designed to showcase innovation in network technology, new products, or business models, as well as those delivering broadband for the social good.

Dojo by BullGuard’s cybersecurity solutions have been the recipient of numerous awards in the past year, including the GSMA 2018 GLOMO Award for Best Connected Consumer Device at Mobile World Congress Barcelona, the 2018 Fortress Cybersecurity AwardComputing’s 2018 Cloud Excellence Award, the 2018 Stratus Award for Cloud Computing, and the 2018 IoT Evolution Product of the Year Award, amongst others.

“It’s an honor to win the 2018 Broadband World Forum Award for Best Network Security for Dojo by BullGuard,” said Yossi Atias, General Manager of IoT Security at BullGuard. “In the next two years, more than 21 billion IoT devices will be connected around the world. Winning the Broadband World Forum Award for Network Security solidifies the opportunity and critical nature for CSPs and ISPs to mitigate the forecasted IoT-related cyberattacks.”

Dojo by BullGuard is an early pioneer and leader in the IoT security domain. Dojo enables CSPs to leverage their existing broadband services and offer a managed enterprise-grade cybersecurity services to their customers. Dojo Intelligent IoT Security Platform (DIP) is easily integrated into CSPs network via open APIs, providing an end to end solution for a wide range of IoT security use cases. Unlike other generic IoT platforms, DIP is designed from the ground up as a managed IoT security service for the CSP market. Service providers who implement the Dojo Intelligent Platform provide their end customers unprecedented multi-layered protection.

View a short video of the Dojo Intelligent IoT Security platform for CSPs and ISPs here.

lunedì 18 marzo 2019

ATTACK TRAFFIC UP BY 32 PERCENT IN 2018

Press release 


F-Secure’s research highlights increase in attacks but survey data shows companies still struggle with incident detection.

Helsinki, Finland – March 5, 2019: New research from cyber security provider F-Secure reports a significant increase in attack traffic in the latter half of 2018. But while attacks are increasing, it seems many companies are struggling with incident detection.
Attack traffic observed by F-Secure’s network of decoy honeypots in 2018 increased by 32 percent over the previous year, and increased fourfold in the latter half of 2018 compared with the first half of the year.
Recent survey data suggests that many companies may not have the visibility they need to catch attacks that make it past preventative measures like firewalls and endpoint protection. F-Secure’s survey* found that 22 percent of companies did not detect a single attack in a 12-month period. 20 percent of respondents detected a single attack during that time frame, and 31 percent detected 2-5 attacks.
For perspective, F-Secure’s detection and response solutions detected 15 threats in a single month at a company with 1300 endpoints,** and 7 threats in a single month at a company with 325 endpoints.*** Roughly one third of F-Secure’s survey respondents indicated that they were using a detection and response solution or service.
None of these trends surprise F-Secure Vice President of Cyber Security Products Research & Development Leszek Tasiemski.
“Today’s threats are completely different from 10 or even 5 years ago. Preventative measures and strategies won’t stop everything anymore, so I’ve no doubt that many of the companies surveyed don’t have a full picture of what’s going on with their security,” Tasiemski said. “Many organizations don’t really value security until an incident threatens to cost them a lot of money, so I’m not completely surprised that there are companies detecting zero attacks over the course of a year.”
Additional highlights in F-Secure’s research include:
  • Telnet was the most commonly targeted TCP port, which is likely the result of increasing numbers of compromised Internet-of-Things (IoT) devices searching for additional vulnerable devices
  • Companies working in finance and ICT detected the most attacks, while organizations in healthcare and manufacturing detected the fewest
  • The largest source and destination of observed attack traffic were US-based IP addresses
  • Nginx was the most popular source of web-based attacks
“We find that companies running detection and response solutions tend to have a better grasp of what they’re doing right and what they’re doing wrong. Ideally, the visibility these solutions have will show companies that they’re blocking most of the standard, opportunistic attacks, like the ones our public honeypots usually attract. But these solutions will also pick up what preventative measures like firewalls or endpoint protection miss, which makes detection and response a pretty invaluable part of a healthy security strategy,” said Tasiemski.
*Source: Survey consisted of an online survey of 3350 IT decision makers, influencers, and managers from 12 countries**Source: https://www.f-secure.com/documents/10192/2310496/RDS-Service-Overview.pdf/***Source: https://www.f-secure.com/documents/10192/2317861/F-Secure_Broad_Context_Detection_whitepaper-web.pdf/
More information


No More Ransom, a global anti-ransomware initiative, announces ESET as new partner


Press Release


20 December 2018:
 ESET – a global leader in information security software – has been announced as the latest partner of No More Ransom, an international initiative between Europol, the Dutch National Police and major cybersecurity organizations in the fight against ransomware. The collaborative project helps victims of ransomware attacks recover their personal data and has so far managed to decrypt the infected computers of 72,000 victims worldwide. 

With its 130 partners, the No More Ransom online portal hosts a collection of 59 free decryption tools from multiple security software vendors, covering 91 ransomware families. Users from around the world can access the tools for free in order to recover data held hostage by ransomware attacks. Launched in 2016, No More Ransom decryption tools have so far kept around USD 22 million out of the pockets of cybercriminals. 

ESET has long been helping ransomware victims recover encrypted data, its decryption tools having previously been downloaded over 250,000 times. Now two of these tools will also be available to a wider audience through the free, centralized and user-friendly platform of No More Ransom. 

Ransomware has grown to become one of the largest cyberthreats facing businesses and consumers, and the rise of GandCrab and SamSam in 2018 has shown how the threat continues to grow and adapt. One report recently revealed 40% of all successful malware-based attacks involve ransomware

The No More Ransom project recognizes that the fight against ransomware requires a joint effort, and ESET’s involvement represents its ongoing commitment to partner with law enforcement to fight cybercrime and allow everyone to enjoy safer technology.

ESET has previously collaborated with law enforcement agencies in large takedowns of malicious infrastructure, including the disruption of the Gamarue malware family. This global collaboration between the public and private sectors involved Microsoft, the FBI, Interpol and Europol. ESET also worked with various international organizations to uncover Operation Windigo, a widespread cybercriminal operation that seized control of tens of thousands of Unix servers. And most recently, the company partnered with law enforcement bodies and Google in the disruption of 3ve, a major online ad fraud operation.

ESET’s latest partnership will continue its commitment to collaborating with law enforcement and industry partners to create a safer digital world. Visit No More Ransom’s website for more information about the project, and find out more about ESET at https://www.eset.com/.

domenica 17 marzo 2019

Engineering: Perfezionata l'acquisizione di OmintechIT

Press release 15 marzo 2019

Al via il rebranding della società che si chiamerà Cybertech.

• Con una solida leadership a livello europeo nel segmento della sicurezza informatica e un giro d’affari di 28 milioni di euro nel 2018, l’ingresso di OmnitechIT - da ora in poi Cybertech - nel Gruppo Engineering rappresenta un ulteriore consolidamento in un’area altamente strategica.• Sul fronte industriale l’operazione mira ad ampliare il bouquet di soluzioni di Cybersecurity che Engineering integrerà nella propria offerta.• A livello di sistema, Engineering conferma il proprio ruolo di aggregatore delle migliori competenze italiane per farle crescere nel mondo attraverso la propria presenza internazionale e gli importanti investimenti in R&D che mette in campo.

Engineering, tra le principali realtà a livello globale che accompagna e guida aziende pubbliche e private nella Trasformazione Digitale, attraverso la propria controllata Engineering D.HUB ha perfezionato il closing dell’operazione di acquisto del 51% di OmnitechIT. Quest’ultima è nata in Italia e, dal 2007 ad oggi, ha saputo imporsi quale primo operatore su scala nazionale specializzato nella Cybersecurity e tra i principali player europei, toccando nel 2018 un volume di affari di 28 milioni di euro e un team di 300 persone con competenze specifiche di altissimo livello.
L’accordo prevede il contestuale rebranding della società acquisita in Cybertech e rappresenta un’intesa importante non solo per la sua valenza industriale in un mercato in piena espansione, ma anche per la sua valenza di sistema.
Paolo PandozyCEO di Engineering, ha sottolineato: “Abbiamo sempre investito in acquisizioni e continueremo a farlo. Quello della Cybersecurity è un mercato emblematico, estremamente parcellizzato, dove Cybertech è di gran lunga il più importante operatore italiano. Aggregare queste competenze alle nostre significa creare le condizioni per farle crescere contestualmente alla crescita esponenziale prevista per il mercato della sicurezza informatica, mettendo a fattor comune la nostra presenza internazionale e gli importanti investimenti in Ricerca&Sviluppo che ogni anno sosteniamo”.
E’ seguendo questo approccio che combina la solida crescita interna con un’attenta politica di acquisizioni, che Engineering ha registrato negli ultimi 10 anni un incremento del 67% dei ricavi netti e una crescita del 65% dei dipendenti.
L’intesa tra i due Gruppi mira a rafforzare la già importante leadership di Engineering che da sempre vede nelle soluzioni di Cybersecurity una parte cruciale e trasversale della propria offerta, pensata per affiancare i clienti nell’implementazione dei sistemi informatici, nell’integrazione delle tecnologie emergenti, nonché nella conseguente ridefinizione dei processi di gestione delle loro organizzazioni. È infatti proprio nello specifico segmento della sicurezza che l’accordo con Cybertech consentirà un ulteriore ampliamento del bouquet di soluzioni dell’offerta di Engineering.
Roberto MignemiCEO di Cybertech, ha aggiunto: “Nel corso di quest’anno abbiamo avuto diversi contatti con soggetti interessati alla nostra realtà, sia finanziari che industriali. Abbiamo scelto di unirci a Engineering perché abbiamo trovato una comune visione strategica rispetto allo sviluppo delle soluzioni di Cybersecurity e gli stessi valori che hanno guidato finora la nostra crescita. Abbiamo fatto una scelta industriale al fianco di una realtà estremamente solida, garantita da una comprovata gestione seria e corretta nell’interesse dei clienti, dei dipendenti e degli azionisti”.

sabato 16 marzo 2019

Intelligenza Artificiale per i campi di battaglia e per la sicurezza



Sempre più spesso, quasi quotidianamente, si viene a conoscenza che in un qualche particolare settore sia stato realizzato un qualcosa di nuovo e di innovativo impiegando quella che viene definita “Intelligenza Artificiale” (I.A.), una disciplina che viene dottrinalmente inserita nell’informatica ma che in realtà si basa sulla convergenza, come si vedrà, di diverse altre discipline. In via preliminare, occorre sottolineare che l’I.A. ha prodotto una vera e propria rivoluzione tecnologica che investe praticamente ogni settore delle attività umane, dall’ambito professionale a quello industriale, da quello commerciale a quello ricreativo. Attualmente, infatti, non vengono realizzati unicamente costosissimi prototipi, che richiederanno ancora molti anni di studi e ricerche per giungere ad un possibile impiego, ma vengono anche prodotti apparati ed apparecchiature che, a breve, potrebbero già essere ampiamente diffusi e diventare quindi una comune realtà quotidiana per tutti, come per esempio la cosiddetta “living technology” o la “domotica della casa”. Senza tralasciare il fatto che molti oggetti già di uso comune (es. il telefono cellulare, non a caso chiamato “smartphone”), sono da tempo dotati di “unità” di I.A. al proprio interno. Tra i numerosissimi settori che già si avvalgono ampiamente della I.A., è presente, a pieno titolo, la “Robotica”, ora intesa come una vera e propria Disciplina a se stante ma che si avvale dell’apporto significativo di molte altre “discipline” quali l’ingegneria robotica, l’elettronica, l’automazione, l’informatica, la cibernetica, la telematica e la meccatronica. Un’analisi storica del fenomeno sarebbe troppo lunga e dispersiva ma si può ragionevolmente affermare che i primi significativi risultati applicativi “Robotica-I.A.” si sono avuti nell’ambito delle varie attività aerospaziali e missilistiche già negli anni ’80. Tralasciando ora, ovviamente, tutta la numerosa e diversificata tipologia di umanoidi relegati per il momento al mondo della Fantascienza (Automi, Robot, Cyborg e Replicanti), è necessario comunque ricordare che un Robot (da “robota”, parola ceca che significa “lavoro pesante”) è sostanzialmente una macchina (con qualsiasi tipo di fattezze, compresa quella umana) in grado di svolgere un compito automatizzato per effetto di una programmazione. Tuttavia, se tale robot è dotato di una I.A. di livello avanzato può essere in grado di svolgere il proprio compito in totale autonomia decisionale senza alcun intervento o controllo umano. Per inciso, in tale contesto il concetto di “autonomo”(in contrapposizione con “radioguidato”, “teleguidato”, “filoguidato” vale a dire “semi-autonomo” in quanto ricettore di una forma di “comando a distanza”) può avere due significati diversi, ovvero a seconda che una determinata “apparecchiatura” sia vincolata/soggetta o meno ad una programmazione. Infatti una apparecchiatura autonoma, dotata però di A.I., è in grado di “acquisire” in continuazione informazioni dall’ambiente circostante esterno tramite i propri “organi rilevatori” (i suoi vari sensori), di “confrontare” tali informazioni con il proprio enorme bagaglio di dati interni (i “big data”), di “processarle”, ovvero di interpretarle e valutarle correttamente, quindi di “pensare” autonomamente (ovvero di decidere) in via non programmata e infine di “agire” di conseguenza modificando le proprie azioni, fornendo delle reazioni corrette agli stimoli esterni in modo continuativo e in “totale autonomia decisionale”. Tale capacità viene riconosciuta come una vera e propria “forma di capacità cognitiva” dell’apparecchiatura stessa, che risulta così essere in grado di gestire una situazione esterna continuamente mutevole grazie all’impiego di particolari strutture funzionali, quali le reti neurali, e di strutture logiche particolarmente avanzate. Si è sostanzialmente passati da “macchine non intelligenti” che agiscono in modo intelligente (in quanto programmate) a “macchine intelligenti” che agiscono in modo intelligente e senza (teoricamente) alcuna ingerenza esterna. Nell’arco degli ultimi 20 anni la I.A. è stata oggetto di un velocissimo progresso tecnologico che ha consentito numerose applicazioni nei più svariati settori delle attività umane grazie alle recenti elevatissime capacità acquisite in campo informatico e cibernetico:
  • velocità di calcolo (si è passati da 1 operazione al secondo, nel secolo scorso, a 39 milioni di miliardi di operazioni al secondo nel 2018);
  • capacità di calcolo (numero di operazioni contemporanee);
  • capacità elevatissima di immagazzinamento di dati e di informazioni;
  • disponibilità di sensori sempre più sofisticati e precisi;
  • ampia cinestesia (capacità di impiegare ed integrare più sensori contemporaneamente);
  • elevata precisione dei servomeccanismi asservibili;
  • sfruttamento mirato dei risultati acquisiti nell’ambito delle nanotecnologie;
  • elevata sicurezza cibernetica;
  • grande riduzione di consumo energetico (con riduzione di volume e peso delle batterie).
Nel merito, non solo le grandi compagnie multinazionali tecnologiche, come le famose “Quattro Grandi” occidentali (GAFA: Google, Amazon, Facebook, Apple) o le corrispettive “Quattro Grandi” orientali (BATX: Baidu, Alibaba, Tencent, Xiaomi), hanno investito ingenti quantità di denaro in grandi progetti, ma anche altri centri di eccellenza tecnologica ….ed un certo numero di strutture industriali definite “ad alta tecnologia” (e delle quali sono state volutamente divulgate solo le finalità commerciali). Al riguardo, non si può non menzionare comunque il Giappone, da sempre affascinato dalla realizzazione di robot con fattezza antropomorfe, che sta realizzando una vasta gamma di modelli di robot per le più disparate esigenze, dai più evidenti “pupazzi-robot” (gli “Animatroni”) ai più sofisticati ed impressionanti Androidi (con fattezza da uomo) e Ginoidi (con fattezze da donna) creati dal famoso Prof. Hiroshi Ishiguro.
Per quanto riguarda invece il settore militare, si fa risalire la cosiddetta “Corsa all’Intelligenza Artificiale con finalità belliche” all’anno 2010, anno in cui si era sostanzialmente materializzato un gruppo formato da 6 Nazioni in competizione, ovvero Stati Uniti, Russia, Gran Bretagna, Cina, Corea del Sud e Israele, a cui si sono poi aggiunti anche il Giappone, l’Olanda, l’Iran e gli Emirati Arabi Uniti....per quel che se ne può sapere al momento. Di fatto, il Ministero della Difesa U.S.A., per riunire le proprie capacità tecnico-militari in ambito “I.A.” e per contrastare i notevoli progressi raggiunti dagli altri Paesi, ha costituito in data 27 giugno 2018, per una sua piena operatività dal 1°gennaio 2019, il “Centro Interforze per l’Intelligenza Artificiale” (JAIC – Joint Artificial Intelligence Center). L’idea di poter inviare in battaglia mezzi privi di presenza umana a bordo o di poter impiegare robot umanoidi (ovvero gli Androidi) al posto dei soldati in carne ed ossa non è certamente nuova. Naturalmente si è ancora lontani dal poter creare delle infaticabili macchine da guerra per sostituire o rimpiazzare gli umani in prima linea o in attività belliche ad elevato rischio. In ogni caso un grosso balzo in avanti è avvenuto quando è stato deciso di elevare il livello tecnologico dei Droni (tecnicamente chiamati “Vehicles”), ovvero quei mezzi costruiti per poter essere impiegati, a seconda della propria specifica tipologia, in attività militari in cielo, in terra, o in mare (ma anche sotto la superficie del mare) e in grado di operare senza uomini a bordo (per l’appunto Unmanned”) . Partendo quindi dai Droni, adeguatamente implementati con la I.A., si sono potuti creare dei nuovi “Dispositivi” in grado di poter “prendere una decisione e di agire” in un modo totalmente autonomo, ovvero in modo indipendente da un eventuale controllo umano remoto. I nuovi robot con finalità belliche presentano ormai una vasta gamma di tipologìe che spaziano da costosissimi prototipi con fattezze androidi a dispositivi robotizzati terrestri, aerei, di superficie e subacquei che potrebbero già essere facilmente realizzati su vasta scala industriale. Alcune applicazioni della “robotica militare” forniscono già da ora delle prestazioni tattiche di estremo rilievo ma, essendo ad alta classifica di segretezza, non vengono ovviamente pienamente divulgate. In termini generali, tuttavia, si può affermare che i robot militari totalmente autonomi (senza controllo, con controllo opzionale o con controllo limitato solo all’azione di fuoco) presentano quattro principali configurazioni:
  • da normale drone (veicoli, velivoli natanti di varie dimensioni con differenti capacità operative);
  • da robot umanoide (con fattezze umane, in grado di effettuare un “percorso di guerra”, affrontando ostacoli, correndo, saltando e sparando a dei bersagli);
  • da robot animaloide (con fattezze animali come squali, razze, tonni per la sorveglianza subacquea oppure gatti selvatici, bisonti e muli per il trasporto sia di carichi pesanti come mortai, casse di munizioni, apparecchiature che di carichi più delicati come i feriti);
  • con la forma ritenuta più funzionale per l’assolvimento della specifica missione (es. la “sfera per ricognizione anfibia”, in grado di flottare sulla superficie del mare, di muoversi verso terra e di rotolare sulla spiaggia e su basse dune).
Al momento i robot realizzati per finalità militari possono assolvere diversi compiti e compiere varie missioni quali: sorveglianza, sorveglianza armata, vigilanza, ricognizione, pattugliamento, rastrellamento, trasporto logistico, “avvicinatori” di truppe, evacuazione di truppe e feriti, inutilizzazione di ordigni esplosivi, sminamento, attività di protezione delle forze operative, attività di controllo, attività di difesa delle installazioni nonché, quando necessario o previsto, l’ingaggio del nemico con le armi da fuoco. Tra i tanti, merita una particolare menzione il Sentry Gun/Killer Robot “SGR-A1” della Hanwha Aerospace (ex Samsung Techwin), proficuamente impiegato in Corea del Sud per il controllo del confine lungo la zona demilitarizzata. E’ un robot fisso (ma pare esista anche una versione mobile non pubblicizzata) dotato di molti sensori integrati (infrarossi, camera termica, intensificatore di luce…) in grado di individuare eventuali intrusi sia di giorno che di notte nel settore assegnato, impartire ordini agli sconosciuti, eseguire le procedure di riconoscimento e, se necessario, (a seguito di autorizzazione da parte della centrale operativa da cui dipende) aprire il fuoco con una mitragliatrice Daewoo K3 (cal. 5.56x45mm.) e/o con un lanciagranate multiplo Milkor MGL (cal. 40x51mm). In buona sostanza il fatto di rendere totalmente autonomo l’impiego delle armi da parte di un robot non è più un problema tecnologico ma quasi eminentemente etico. Emergono così gli aspetti politici, legali, morali e filosofici al contorno della questione che fanno inevitabilmente scaturire una serie di domande:
  • si può impiegare un robot intelligente in battaglia e fargli decidere, in piena autonomia, se aprire il fuoco, ed uccidere, basandosi unicamente sui parametri, sui criteri etici, sulle regole di ingaggio, sulle leggi di guerra e sulle leggi di diritto umanitario immagazzinate in una sua memoria di riferimento?
  • quali azioni sono ipotizzabili per non incorrere in crimini di guerra e sino a che punto è autorizzabile l’uso letale della forza?
  • in caso di reazione ad una minaccia, il suo processo decisionale deve privilegiare una reazione immediata o una reazione deliberata?
  • quali criteri possono essere impiegati affinché sia possibile poter discriminare, da parte del robot, un essere umano “combattente” da un essere umano “non combattente”?
  • in caso di cattura, il robot potrebbe essere riprogrammabile dal nemico o da organizzazioni terroristiche?
  • in caso di cattura, il robot può capire di essere stato catturato ed autodistruggersi per evitare di essere “riprodotto e perfezionato” dal nemico attraverso la “reverse engineering”?
  • è ipotizzabile prevedere che il robot, per l’appunto “non umano” (e quindi con scarsa possibilità di fare appello ad un senso di umanità), possa essere dotato di un software che agisca da “moderatore etico e morale” (come stabilito dalle “3 leggi della robotica” formulate da Asimov)?
  • in quali teatri operativi ed in quali tipologie di missioni potrebbero essere impiegati come “assetti pregiati” al posto dei militari?
A tali domande potranno essere fornite delle giuste ed esaustive risposte solo se i molti “argomenti al contorno” verranno adeguatamente approfonditi nella sedi opportune e da personale realmente preparato dal punto di vista professionale, etico e morale. Sarebbe inutile far affrontare certe delicate tematiche ai soliti opinionisti, politici, giornalisti, sociologi, psicologi, filosofi, religiosi, costituzionalisti e legulei che riescono a dare sempre di più il meglio di se stessi nelle varie trasmissioni televisive.


Contrammiraglio
Marco Bandioli


martedì 12 marzo 2019

La NSA presenta Ghidra, potente strumento per il reverse engineering



Se un giorno ci dovessimo trovare ad analizzare un manufatto tecnologico alieno, per comprenderne il principio di funzionamento, replicarne la tecnologia e acquisire quella nuova conoscenza, ci troveremo a dover compiere un processo di reverse engineering, ovvero partendo da un prodotto finito, “smontarlo” per capire che cosa è, cosa fa e come lo fa.
Durante la RSA Conference di San Francisco (tenuta il 5 Marzo 2019), convegno internazionale sulla sicurezza informatica, la National Security Agency, l’organismo governativo degli Stati Uniti preposto a difendere il paese da attacchi di qualunque tipo, ha presentato Ghidra, uno strumento open source per la sicurezza informatica sviluppato dall’Agenzia.
Lo strumento scritto in Java, non serve per violare ma bensì per i processi di reverse engineering In questo caso, permette di scomporre (decompilare) un programma per rivelarne i codici, permettendo di risalire o intuire ciò che veramente il software analizzato è in grado di fare.

Gli SRE (Software Reverse Engineering) svolgono un processo essenziale per gli analisti di malware poiché, grazie a essi si è in grado di “editare” le righe di codice dei programmi, ricavando così preziose e vitali informazioni, reali o potenziali funzioni, gli autori del codice e da dove potrebbe venire l’attacco. Questo permette di attuare le necessarie azioni (contromisure) atte a vanificarlo o a ridurne l'impatto.

Ghidra è uno dei tanti strumenti open source rilasciato dalla Nsa. Rob Joyce, capo delle operazioni Cyber della NSA ha sottolineato come l’Agenzia stia lavorando a Ghidra da diversi anni (a dirla tutta è in uso da circa una decina, come appare su WikiLeaks Vault7, CIA Hacking Tools) e come questo sia uno strumento molto potente e particolarmente versatile. Il programma dispone di una interfaccia grafica (GUI) interattiva ed è compatibile con Windows, Mac OS e Linux, dispone inoltre di un meccanismo di annullamento/ripristino che consentirà agli utenti di provare le teorie sul possibile funzionamento del codice analizzato.

Joyce, ha definito Ghidra come un “contributo alla comunità della sicurezza informatica della nazione” ma la natura open source del potente software dell’NSA lo rende, di fatto, un appetibile strumento anche per tutte le altre nazioni. Questa notizia ha avuto un grande impatto ed ha reso la community molto eccitata e preoccupata allo stesso tempo. Si è pensato alla presenza di una backdoor nel software stesso (e alcuni utenti dicono di averla trovata poche ore dopo il rilascio, sospetta apertura connessione sulla porta 18001 quando il software viene avviato in modalità debug) oppure, sono nati alcuni sospetti sulla possibilità che questo rilascio al mondo intero sia in realtà conseguenza di uno spostamento, da parte dell’Agenzia, verso una suite di SRE molto più sofisticata. Il rilascio avrebbe dunque lo scopo di dare l’illusione al mondo della community cyber che “lo stato dell’arte” di questo tipo di software per la cyber sicurezza sia quello raggiunto da Ghidra, in modo tale che se un programma, dalla struttura inedita e non contemplata dall’ormai superato tool, venisse analizzato sarebbe visto solo come un ET, strano, non del tutto capito, semplicemente un buffo e non pericoloso “alieno”.


Enrico Secci 

- https://www.wired.com/story/nsa-ghidra-open-source-tool/
- https://www.wired.it/internet/web/2019/03/07/nsa-ghidra-malware/
- https://itsfoss.com/nsa-ghidra-open-source/
- https://systemscue.it/ghidra-la-svolta-opensource-della-nsa/14730/
- https://www.securityinfo.it/2019/03/06/ghidra-il-tool-di-reverse-engineering-dellnsa-disponibile-per-tutti/
https://www.nsa.gov/resources/everyone/ghidra/

domenica 10 marzo 2019

Citrix Raises Bar for SD-WAN Security

Press release

MAR 5, 2019


Company enables new capabilities to easily apply people-centric security policies across branches and applications

FORT LAUDERDALE, Fla.--(BUSINESS WIRE)-- The days of manually applying security policies across branch locations are officially over. At least for customers of Citrix Systems, Inc. (NASDAQ: CTXS). The company today announced next-generation capabilities within its SD-WAN solution that enable enterprises to easily administer user-centric policies and connect branch employees to applications in the cloud with greater security and reliability.
“Today’s enterprise is more distributed than ever, requiring IT to provide secure access to corporate systems and data across multiple locations, networks and clouds,” said Chalan Aras, Vice President, SD-WAN and Intelligent Traffic Management, Citrix. “In the past, this meant manually applying security policies across branch locations. With enhanced security features delivered as part of Citrix® SD-WAN companies can now easily extend user-centric policies to the branch and connect employees to applications in the cloud with a few clicks.”


Simplified Branch Networking
Citrix SD-WAN helps enterprises deliver a reliable, high-performance workspace experience when accessing SaaS apps, cloud workloads, virtual apps and desktops or traditional data center resources. With Citrix SD-WAN, enterprises can:
  • Simplify branch networking by converging WAN edge capabilities, including built-in stateful firewall, WAN Optimization and more.
  • Define security zones to apply different policies for different users.
  • Provide integrated, single sign-on, remote access and content inspection in a single solution.
  • Easily on-board, manage and monitor services.
  • Confidently break out internet traffic from branches to optimize WAN resources.
Easy Administration
By integrating with a series of third-party APIs, Citrix allows enterprises to take security to the next level and:
  • Synchronize location information with the Citrix SD-WAN management plane.
  • Establish IPsec tunnels between branches and security enforcement points for traffic inspection and threat prevention with high availability.
  • Automatically apply controls to protect users and applications whether they are connecting to SaaS applications or services over the internet.
“With the API integration between Citrix SD-WAN and the Zscaler Cloud Security Platform, enterprises can enable secure local breakouts for applications and resources hosted on the Internet simplifying operations, lowering cost and complexity and ultimately providing a fast and secure user experience,” said Punit Minocha, Senior Vice President of business and corporate development, Zscaler.
Zscaler is part of a robust global ecosystem of Citrix SD-WAN technology partners helping large enterprises and SMBs alike securely transition to the cloud and simplify branch networking and the first to enable Citrix’s new integration capabilities.
“Companies today demand flexibility and choice in how they defend their networks,” Aras said. “Our new API integrations are designed to provide this and enable them to accelerate their cloud migrations in an efficient and cost-effective way.”


https://investors.citrix.com/press-releases/press-release-details/2019/Citrix-Raises-Bar-for-SD-WAN-Security/default.aspx

sabato 9 marzo 2019

US cybercom attacca la russa Internet Research Agency


Talvolta capita che accadano fatti importanti ma che in Italia nessuno vi dia peso. Questo è successo, ancora una volta, a fine 2018.


Secondo il New York Times, peraltro non smentito, lo US Cyber Command ha infatti eseguito una operazione ufficiale cyber offensiva (la prima?) contro un obiettivo russo: la "Internet Research Agency" di San Pietroburgo.
Il New York Times ha infatti riportato le "confidenze" di varie persone che hanno lavorato al progetto, garantendone l'anonimato naturalmente.
Il motivo dell'attacco sembra essere legato alla prevenzione di campagne di disinformazione legate alle elezioni di metà mandato del presidente Trump.
In effetti la Internet Research Agency è conosciuta da tempo in occidente come la fabbrica della disinformazione, che ospita un migliaio di "troll" che agiscono per conto del governo russo.
Non voglio certo entrare nel merito della disinformazione ma semplicemente indicare che tra il combattere una guerra mondiale cyber nascosti dietro gruppi più o meno segreti e il compiere una azione di attacco cyber preventivo alla luce del sole c'è una bella differenza! 
L'attacco, inoltre, non è stato compiuto contro uno dei tanti cyber sfigati ma contro la Russia, uno degli stati più potenti ed organizzati da questo punto di vista, o almeno questo è quanto ci è stato sempre detto.

Il fatto mi induce a riflettere.

In primo luogo, se si pensa a quanto accaduto lo scorso novembre, si può leggere l'operazione alla Occidentale, ovvero come "Operazione preventiva per scongiurare illegittime interferenze nelle elezioni presidenziali", oppure alla maniera convenzionale, come aggressione contro uno Stato sovrano. Ognuno la pensi come vuole, tanto non cambia niente in quanto come tutti sappiamo, in queste cose si applica... il Diritto Internazionale (la legge del più forte?)!
Comunque la si legga, si può però dire che gli USA, con questo attacco hanno dato vita ad un nuovo corso. Hanno innescato una miccia pericolosa, in quanto le "cariche esplosive" si trovano disseminate in tutto il mondo e non solo in Russia e negli USA, hanno messo a rischio dunque l'intera comunità mondiale in quanto eventuali risposte potrebbero causare "danni collaterali! ai sistemi di tutto il mondo, interconnessi o meno. Hanno poi, infine, con il loro agire, bellamente dichiarato di essere loro i più forti al mondo, infatti non si può spiegare altrimenti un attacco alla luce del sole.
Ed è su quest'ultimo punto che mi voglio concentrare. Vi invito infatti a dare uno sguardo ai vari elenchi APT (Advanced Persistent Threat) disponibili on line. Vi accorgerete che quelli elencati non sono tutti, ma solo una parte, quella legata ai supposti attacchi dei "cattivissimi" russi, cinesi, nordcoreani, iraniani e così via. 
Mai una volta che a condurre un APT sia uno stato occidentale (buono per definizione?).
Di tanto in tanto vi è un qualche gruppo non bene identificato, magari quando ha agito (ma sicuramente è un caso!) contro gli interessi cinesi o russi.
Bene, direte, la guerra è guerra.
Vero, ma un tempo (anche se non sempre!) si aveva la decenza di dichiarala la guerra, non fosse altro per cercare di regolare il conflitto e affinché chi stava nei dintorni capisse da che parte schierarsi, o, talvolta, per cercare di limitare i danni collaterali.
Una guerra nel cyberspace lascia tutti coloro che non si sono preparati (e sono ancora in tanti!) in balia di conseguenze incalcolabili a priori, ma d'altra parte è questo il significato neanche troppo nascosto del detto "la guerra è guerra".
Un'ultima cosa, questa "iniziativa" spinge a favore della "separazione" della Internet russa da quella mondiale. Come infatti si sa da tempo vi sono delle iniziative, sia russe sia cinesi, per "staccarsi" da internet così come oggi la conosciamo. Russia e Cina, dunque, sempre più vicine... siamo sicuri che questo sia l'interesse dell'Occidente?

Ad ognuno la libertà di fare le proprie considerazioni...   

Alessandro Rugolo 

Per approfondire:
- https://www.washingtonpost.com/world/national-security/us-cyber-command-operation-disrupted-internet-access-of-russian-troll-factory-on-day-of-2018-midterms/2019/02/26/1827fc9e-36d6-11e9-af5b-b51b7ff322e9_story.html?noredirect=on&utm_term=.9b8b230904b2;
- https://www.lawfareblog.com/new-contours-cyber-conflict;
- https://www.cybercom.mil/
- https://www.fireeye.com/current-threats/apt-groups.html
- https://attack.mitre.org/groups/