giovedì 25 luglio 2019

CyberChallenge italiana: l'esperienza del team dell'Università di Cagliari

Già in passato abbiamo dato spazio alla attività chiamata CyberChallenge.IT, con un articolo che spiegava l'oggetto della gara e le procedure di selezione ed annunciava la fase finale per il 27 giugno.

Ora, a distanza di qualche mese possiamo tirare le somme ma abbiamo deciso di farlo assieme ai ragazzi di una delle squadre partecipanti: la squadra dell'Università di Cagliari coordinata dal Professor Giorgio Giacinto (1) e dal Dottor Davide Maiorca (2) in qualità di allenatore.


Cominciamo con il conoscere i partecipanti. Potete presentarvi in poche righe? Chi siete? Cosa studiate?

Sono Lorenzo Pisu, ho 20 anni e studio nel corso di laurea in informatica dell'Università di Cagliari.

Io sono Matteo Cornacchia e anche io sono iscritto al corso di laurea in informatica dell'Università di Cagliari.

Mi chiamo Francesco Meloni, sono laureato in ingegneria informatica e sono iscritto alla laurea magistrale in Computer Engineering, Cybersecurity and Artificial Intelligence presso l'Università di Cagliari.

Io sono Daniele Pusceddu, ho 19 anni e devo fare l'ultimo anno delle superiori all'Istituto Tecnico Industriale Scano a Cagliari, sezione informatica.

Complimenti ragazzi, so che non è andata benissimo ma sono sicuro che il prossimo anno andrà meglio. Per cominciare vogliamo sapere cosa si prova a partecipare ad una gara di squadra cosi particolare. Quali sensazioni avete provato? Cosa vi ha spinto a partecipare?

Partecipare alla gara è stata un'esperienza che ci ha messo a dura prova, sicuramente c'è
tanta adrenalina e uno sforzo mentale enorme ma è stata un'esperienza molto positiva e di
grande crescita sia a livello di competenze sia a livello personale. Penso che il motivo
principale per cui abbiamo partecipato sia quello di mettersi in gioco, quindi si lo rifarei ancora!

Per me la motivazione principale e stata sicuramente la mia curiosità già presente verso il campo della Cybersecurity.
All'interno dei corsi, ma soprattutto nelle fasi di preparazione e competizione nazionale, ho avuto la possibilità di confrontarmi con persone dai background più vari ma con tante passioni comuni.
Per me l'iniziativa è stata soprattutto una preziosa occasione per espandere la mia conoscenza non solo della sicurezza informatica, ma anche dell'ambiente, sia in termini di competizione, sia per le realtà istituzionali e private che la circondano. Posso dire senza ombra di dubbio che nel totale il programma è l'esperienza extracurricolare più preziosa a cui abbia mai partecipato.

L'aspetto che mi ha spinto a partecipare è stata senza dubbio la voglia di mettermi alla prova e imparare tanti aspetti tecnici della sicurezza informatica in un ambiente dinamico e competitivo. L'esperienza si è configurata in sè come una sfida che ha testato ampiamente le mie abilità tecniche e di lavoro di squadra. Io sono ormai grande per il target d'età dell'iniziativa, ma valutando il mio percorso e quello dei miei compagni durante tutta la Cyber Challenge, penso che per i ragazzi ancora al liceo o all'inizio dell'università sia un'occasione imperdibile per fare un grosso salto a livello di conoscenze e competenze nell'ambito della sicurezza informatica.


Parliamo ora dell'aspetto organizzativo. Come vi siete organizzati? Avevate nominato un leader? Come prendevate le decisioni?

Dal punto di vista organizzativo eravamo divisi principalmente in base a dei ruoli
stabiliti prima della gara grazie anche ai preziosissimi consigli del nostro coach Davide,
quindi non abbiamo individuato un leader tra di noi, abbiamo preso le decisioni comunicando
 e tenendo fede anche a quanto stabilito prima della gara.

All'interno del team di quattro persone, ci siamo divisi i compiti individualmente secondo le competenze acquisite e la confidenza nell'utilizzo del toolkit prodotto durante la breve fase di preparazione.
In questo modo le decisioni erano presentate, e di conseguenza venivano prese, dalla persona che più aveva la capacita di selezionare la risposta adeguata.

Successivamente alla creazione della squadra abbiamo stabilito dei compiti per organizzare la costruzione di un toolkit che automatizzasse l'invio di attacchi ai servizi nel contesto della gara e che si è rivelato uno strumento di successo. Durante la competizione ci siamo divisi in gruppi di lavoro da due persone che analizzassero i servizi preferiti da ciascuna coppia. Gli attacchi che venivano scritti venivano instradati automaticamente nella rete dal toolkit che è stato implementato.

Quale è stato l'aspetto più difficile della gara? Non parlo solo della fase finale ma di tutta la gara, a partire dall'inizio delle selezioni.

L'aspetto più difficile della gara è forse trovare la forza di volontà per non arrendersi mai, a volte capita di trovarsi di fronte a problemi enormi, sia durante la gara finale che durante le selezioni, dopo ore di tentativi nel risolverli si prova frustrazione ma bisogna continuare a provare sempre, solo così si riescono ad ottenere dei risultati.

Dal mio punto di vista personale, la parte che di gran lunga si è presentata come la più difficile lungo il percorso e stata non tanto quella tecnica individuale, ma la capacità di sfruttare al meglio le abilità individuali dei componenti del gruppo durante la fase finale.
Senza dubbio il campo che ha fatto da determinante lungo la finale nazionale è stata l'esperienza nel format di competizione e nel lavoro di squadra più in generale. 
Le università che non avevano una realtà di CTF preesistente (non necessariamente esclusiva del CyberChallenge), avendo meno di un mese per coordinarsi e preparare un toolset appropriato, si trovavano a fronteggiare un deficit di competenza essenzialmente insormontabile.
Nel nostro caso, proprio l'unicità della situazione ha reso l'esperienza particolarmente preziosa per la nostra formazione.

Per me l'aspetto più difficile della gara era sicuramente l'analisi necessaria per comprendere il funzionamento dei programmi e l'individuazione dei vettori di attacco. Spesso, vista la struttura dei servizi, ci si perdeva tra i moduli e si cercava con difficoltà la vulnerabilità nel codice sorgente, quando talvolta essa era molto più facilmente individuabile mediante un'analisi funzionale del programma e del suo comportamento. Una volta trovato il vettore d'attacco, una caratteristica comune a tutte le prove era il fatto che la modalità di exploit non si riconducesse a modalità standard o conosciute, ma era spesso ad hoc per il servizio.  

In cosa consisteva la prova finale?   

La gara finale consiste in un Attack and Defense in cui le varie squadre hanno tutti la stessa
macchina vulnerabile da difendere in cui ci sono contenuti dei flag che sono delle stringhe
di testo che se rubate permettono agli avversari di guadagnare punti. Ogni team attacca gli
altri sfruttando le vulnerabilità e allo stesso tempo cerca di difendersi dagli attacchi degli
altri team correggendo o "patchando" le vulnerabilità della propria macchina.

In pratica ogni team riceve una macchina virtuale identica. Lo scopo della CTF è di analizzare i servizi intenzionalmente vulnerabili presenti sulla macchina, e utilizzare tali informazioni per attaccare le macchine degli avversari e allo stesso tempo proteggersi dagli attacchi altrui. 

Ogni team disponeva di un server con gli stessi servizi esposti verso l'esterno. Tali servizi (che potevano essere siti web come anche eseguibili), avevano delle vulnerabilità. La prima fase della gara, quella di difesa, consisteva nel trovare queste vulnerabilità con l'obbiettivo di aggiustarle per rendere il proprio sistema inattaccabile e a sua volta capire come sfruttarle durante la fase di attacco sugli avversari.

Siete stati chiarissimi. Ma ora ditemi: avete pensato a come migliorare le performance per l'anno prossimo? Contate di partecipare nuovamente? Avrete modo, all'Università, di raccontare la vostra esperienza ai più giovani?

Si, al termine della gara abbiamo fatto un resoconto di cosa è andato bene e di cosa invece
si poteva migliorare, questo era forse l'obbiettivo più importante della gara, migliorarsi.
Inoltre questi resoconti ci aiutano a prepararci per altre gare a cui parteciperemo. Pensiamo e speriamo che avremo modo di raccontare l'esperienza ai più giovani, è una cosa molto importante, noi non abbiamo avuto la fortuna di avere qualcuno che avesse già partecipato alle edizioni passate quindi speriamo che la nostra esperienza possa essere di aiuto a chi parteciperà dopo di noi.

Questo era il primo anno un cui l'Università di Cagliari partecipava al CyberChallenge.
Indubbiamente l'esperienza di quest'anno avrà un significato ancora più profondo per chi avrà l'opportunità di cimentarsi nel CyberChallenge dell'anno prossimo.
In seguito agli eventi di quest'anno è stato creato un team con il quale abbiamo intenzione di partecipare a CTF future anche con il supporto di ragazzi, docenti e staff di supporto della competizione appena conclusa.
Per quanto mi riguarda, mi auguro che le nostre esperienze passate e presenti possano fare da trampolino ai futuri partecipanti di iniziative simili a Cagliari.

La nostra squadra è stata la prima a cimentarsi in questa sfida. Il supporto proveniva quindi unicamente dai nostri istruttori. Dopo la Cyber Challenge il gruppo di studenti che ha partecipato al percorso si è consolidato e periodicamente vengono organizzate delle sessioni di allenamento su challenge di vario tipo. Contiamo con questi allenamenti di migliorare la performance per i prossimi anni, fornendo maggiore supporto ai nuovi iscritti e una base di esperienza più forte e salda. Avendo seguito il percorso Cyber Challenge sino alla fine, se ne avrò la possibilità sarò lieto di raccontare la mia esperienza per motivare i futuri partecipanti a impegnarsi in questa esperienza con la stessa passione che ho maturato.

Infine sono curioso di sapere cosa pensate di fare al termine degli studi. Il mondo cyber in Italia necessita di esperti, come contate di procedere per prepararvi al lavoro? La partecipazione alla CyberChallenge.IT vi ha aperto qualche nuova strada?

Sicuramente una parte importante della preparazione al mondo del lavoro è lo studio, senza delle solide basi è difficile crescere in un ambiente lavorativo. Partecipare a CyberChallenge.IT ci ha sicuramente aperto nuove strade per il futuro sia dal punto di vista lavorativo che da quello scolastico.

All'interno del CyberChallenge abbiamo avuto la possibilità di confrontarci, sia localmente che a livello nazionale, con le realtà lavorative e di ricerca più disparate, accomunate dalla domanda per appassionati del settore.
Sicuramente si è trattata di un'esperienza che mi ha aperto gli occhi verso opportunità di cui non ero a conoscenza, permettendomi anche di esplorare opzioni con cui ero già familiare. Tuttavia, per ogni porta che si apre, i criteri di scelta si espandono.
In breve, non ne ho la minima idea.


Se doveste dare un consiglio ad una matricola sul percorso di studi da seguire, cosa gli suggerireste?

Il nostro consiglio per una matricola è quello di sfruttare le occasioni che durante il corso
di studi si possono presentare per cercare di arricchirsi il più possibile, occasioni come
CyberChallenge.IT sono da cogliere subito e permettono di scoprire quale strada è più adatta.

La cybersecurity è un campo non solo estremamente vasto ma richiedente un livello di competenza di base più alto di tante discipline scientifiche nella stessa area di formazione.
Al di là dalla imprescindibile formazione accademica avanzata nel campo dell'Informatica o disciplina affine, chiunque sia interessato a questo percorso di studi deve possedere motivazione costante e proattività nel proprio sviluppo individuale.

Come vedete il futuro dell'Italia riguardo la dimensione cyber? Se doveste dare un suggerimento ai nostri decisori, cosa direste?  

Bisogna investire nei giovani e bisogna offrire loro delle possibilità che possano far risaltare le loro capacità fuori dal classico percorso di studi

A mio parere, iniziative come il CyberChallenge hanno un potenziale impatto a lungo termine straordinario sull'occupazione e sulla sicurezza informatica dell'intera nazione. 
Mi auguro di poter assistere a iniziative simili, e al potenziamento di quelle esistenti, anche negli anni a venire.

Complimenti ragazzi, lo spirito è quello giusto per cui un in bocca al lupo a tutta la squadra, ai vostri tutors e a coloro che vi seguiranno. 
Però i complimenti vanno anche agli organizzatori della edizione. Se i ragazzi sono soddisfatti lo devono a chi ha fatto tanti sforzi per mettere in piedi la competizione. Naturalmente non finisce qui per cui vi aspettiamo, l'anno prossimo.

Grazie ragazzi…

Alessandro Rugolo

(1) Giorgio Giacinto è professore di ingegneria informatica presso l'Università di Cagliari 
(2) Davide Maiorca è ricercatore di ingegneria informatica presso l'Università di Cagliari .

http://www.difesaonline.it/evidenza/cyber/cyberchallengeit-sfide-la-cybersecurity-nazionale
https://cyberchallenge.it/
https://www.consorzio-cini.it/index.php/it/lab-cyber-security
https://www.unica.it/unica/

martedì 23 luglio 2019

Dati, Information Security e Cyber space


La maggior parte degli studiosi e dei responsabili politici sostengono che il cyberspazio favorisce il reato mentre una minoranza di studiosi non sono d'accordo. Le affermazioni approfondite sull'equilibrio tra il reato difesa e offesa nel cyberspazio sono fuorvianti perché un corretto bilanciamento può essere valutato solo per quanto riguarda specifiche competenze e tecnologie organizzative. Invece, troppo spesso si parla di equilibrio in considerazione dei costi; ossia, si tende a valutare il saldo che un caso o l'altro sono in grado di generare, dove per saldo si intende il valore meno i costi delle operazioni offensive e il valore meno i costi delle operazioni difensive. I costi delle operazioni informatiche sono, per lo più, calcolati in base alle competenze organizzative necessarie per creare e gestire in modo efficiente la complessa tecnologia dell'informazione. Se guardiamo allo scenario attuale, inoltre, il successo di un'attività offensiva deriva, principalmente, dalla cattiva gestione difensiva e dagli obiettivi relativamente più semplici che un'attività offensiva ha. Infatti si parla di asimmetria del fenomeno cyber proprio per la straordinaria differenza che c'è tra chi attacca e chi difende. Ovviamente non è sempre così.

Per fare un esempio, un'analisi empirica mostra che gli attacchi informatici basati su Stuxnet alle strutture nucleari iraniane, molto probabilmente, sono costati all'attaccante molto più che alla difesa. Però, i benefici percepiti sia dall'attaccante e, di contro, i danni percepiti dal difensore, erano probabilmente di due ordini di grandezza superiori ai costi realmente sostenuti, il che rende improbabile che i decisori si concentrassero sui costi.

In questo articolo, però, non vorrei concentrarmi sui costi che ho usato come cappello introduttivo, semplicemente per provare a rendere più "allettante" l'argomento e, forse, più alla portata di tutti. Ciò su cui mi voglio concentrare, invece, è il fatto di provare a ragionare secondo schemi differenti in cui la difesa informatica possa venire utilizzata in modo intelligente per attribuire il giusto valore agli oggetti più preziosi di ogni organizzazione, dopo le persone 😁: dati e informazioni. 
Negli  ultimi anni, le tecnologie di difesa informatica si sono evolute rapidamente per aiutare le aziende a proteggere le loro reti, limitare l'accesso e prevenire la perdita di dati. E il mercato ha assistito ad una escalation importante da questo punto di vista. Bene; e se ora provassimo a pensare diversamente? E se si iniziassero a sfruttare tutti i principi utilizzati nelle nostre strategie difensive di sicurezza dei dati al fine di adottare un approccio più proattivo? 
In sostanza, cosa succederebbe se ci mettessimo nell'ottica di pensare come pensano gli hacker, non solo per contrastarli ma anche per attribuire il giusto valore “ai beni da proteggere”? 
Ciò che intendo dire é che dati e informazioni hanno un valore che,  
se reso evidente attraverso strumenti e policy  di information e knowledge management, possono aiutare i tecnici a difendere in modo differenziato “beni” di valore differente e possono aiutare i CIO e CISO a chiedere le risorse necessarie in proporzione al “valore” da proteggere.

Alcuni strumenti e tecnologie di sicurezza dei dati possono effettivamente fornire una migliore visibilità in merito all'attività quotidiana e ci possono aiutare a scoprire il reale valore di tutti i dati che abbiamo protetto. Infatti, adottare un approccio di questo tipo può in ultima analisi condurre le imprese verso una maggiore consapevolezza dei dati che hanno tra le mani e, perché no, anche ad una maggiore efficienza, a nuove idee e ad una crescita.

Machine Learning e Intelligenza Artificiale

Le organizzazioni hanno cominciato ad adottare soluzioni di apprendimento automatico e di intelligenza artificiale (AI) nell'analisi dei dati e nella gestione dei dati stessi da un po' di tempo a questa parte. Perché non applicare queste tecnologie nel nostro approccio alla sicurezza dei dati al fine di estrarre un valore aziendale simile?

Molti strumenti di protezione dei dati, utilizzati in modo difensivo, consentono di identificare e catalogare le informazioni nei sistemi di rete per comprendere meglio i diversi livelli di sensibilità di tali dati. L'apprendimento automatico e i metadati applicati durante questo processo consentono di portare questa comprensione a un livello più approfondito creando un contesto intorno ai dati che consente alle organizzazioni di impostare criteri di sicurezza più personalizzati per la gestione delle informazioni.

Queste pratiche di gestione delle informazioni, in genere, rientrano ancora nel regno della difesa informatica - si sta reagendo per proteggere i dati contro la criminalità informatica. Tuttavia, le tecnologie di protezione dei dati che utilizzano i metadati consentono di contrassegnare i dati con vari dettagli e assegnare categorie per estrarne il valore reale. Conoscere il contesto più profondo intorno ai dati permette l’impiego di strategie e strumenti di protezione dei dati differenziati così da permettere al business di spingersi molto più in là del consueto.

Poiché le tecnologie di protezione dei dati rivelano il contesto più ampio dei dati, tale contesto offre ai professionisti della sicurezza dei dati un nuovo modo di parlare con i leader esecutivi dell'organizzazione. In sintesi, possono mostrare quanto sia prezioso un dato specifico , oltre a determinare quali dati siano realmente critici (e dovrebbero avere una protezione più rigorosa) e quali dati sono adatti per il consumo pubblico (e non necessitano di protezione avanzata).

Misurazione, monetizzazione e gestione dei dati

Quanti parlano dei dati come "il nuovo petrolio". In fondo, questa affermazione è diventata uno slogan. Come possiamo, però, realmente, quantificare il valore di questa nuova merce? Se riusciamo a classificare i nostri dati usando i metadati e cominciamo a capire il contesto intorno ad esso, il suo valore inizierà ad emergere.

Potremmo cominciare, quando produciamo un documento, con il porci delle domande differenti.

  • Si tratta di un documento riservato o é di libero accesso?
  • è stato taggato da qualcuno in R&d?
  • Si tratta di un documento riservato che è stato taggato da qualcuno in finanza?
  • Si tratta di informazioni finanziarie di natura patrimoniale o rappresentano, semplicemente, un rendiconto del flusso di cassa?
  • Per quanto tempo deve essere conservato?
E cosi via...

Supponiamo che si possano identificare, nel proprio sistema, 10.000 documenti contenenti dati R&D . Se si conosce il contesto intorno a quei documenti, si può iniziare a capire quanto vale ognuno di quei documenti oppure qual è il rischio finanziario per l'azienda in caso di perdita o furto.

Alcuni file e documenti contengono informazioni personali o informazioni sanitarie personali (PHI). I rischi finanziari legati a questo tipo di dati hanno più a che fare con le multe di inosservanza, la possibile responsabilità monetaria per clienti e dipendenti e i costi per superare i danni inerenti la reputazione del marchio. Altri documenti contengono dati che potrebbero stimolare l'innovazione e la crescita del business e il rischio finanziario può essere calcolato in base alle potenziali opportunità di guadagno.

Tramite i tag di metadati su altri tipi di file, e-mail e documenti, si possono ottenere ulteriori informazioni sui clienti o sui cicli di vendita. Ad esempio, se un'azienda ha un buon trimestre, si può guardare a ritroso per scoprire quante volte la parola "citazione" o "RFP" è apparsa nelle e-mail e nei documenti negli ultimi tre mesi e iniziare a prevedere i risultati del trimestre successivo.

Secondo la ricerca Gartner, entro il 2022, il 90% delle strategie aziendali menzionerà esplicitamente le informazioni come un asset aziendale critico. Attualmente, però, Gartner dice, "... la maggior parte delle informazioni e i business leader mancano delle informazioni e degli strumenti per monetizzare le informazioni ... perché il valore delle informazioni stesse è ancora in gran parte non riconosciuto, anche se il valore di altri beni immateriali, come i diritti d'autore, i marchi e i brevetti, viene misurato e riportato."

La monetizzazione delle informazioni fa parte della tendenza più ampia verso l'"infonomics", un termine coniato da Gartner per descrivere la disciplina dell'attribuzione di importanza economica all'informazione, nonostante i limiti degli attuali standard contabili. Sempre secondo Gartner, Infonomics identifica anche "i costi tangibili e intangibili di gestione, archiviazione, analisi e protezione dei dati".

Le aziende che misurano il valore dei propri dati possono effettuare investimenti più intelligenti in iniziative correlate ai dati stessi. Monetizzando i dati, le organizzazioni possono creare flussi di entrate supplementari, introdurre una nuova linea di business, ottenere efficienze nelle pratiche aziendali quotidiane e altro ancora.

Una strategia di protezione dei dati che estrae in modo proattivo il valore dai dati protetti pone l'IT in una nuova posizione di consulenza con la leadership esecutiva. Le conversazioni cambiano drasticamente. Invece di dire semplicemente, "Abbiamo un sacco di dati sensibili, e abbiamo bisogno di proteggerli," si può andare dai leader aziendali e dire, "Hey abbiamo circa un miliardo di dollari di dati e dovremmo gestirli adeguatamente, valorizzarli e proteggerli visto che, probabilmente, non lo stiamo facendo."

Non possiamo farcela da soli

Estrarre valore non è qualcosa che gli esseri umani possono fare da soli con un alto grado di precisione, e quando si tratta di sicurezza dei dati, la precisione è fondamentale, indipendentemente dal fatto che si stia tenendo un approccio difensivo o offensivo. Se si ha intenzione di fornire un livello di profondità intorno ai dati per proteggerli correttamente o per determinarne il valore, bisogna essere precisi.

Il training e la riqualificazione degli algoritmi di apprendimento automatico per riconoscere le categorie di dati personalizzati, l'accuratezza e la profondità del contesto intorno alle informazioni si espandono in modo esponenziale. Nel corso del tempo, gli utenti si abitueranno a taggare i dati con dettagli sempre più specifici per spiegarne il contesto; il che farà in modo di aumentarne il valore a dismisura. È l'esempio perfetto di esseri umani e tecnologie che lavorano in modo intelligente insieme.

Non solo i comportamenti relativi alla gestione delle informazioni possono diventare più specifici per un'azienda, proteggendo i dati ai livelli appropriati e soddisfacendo i requisiti di conformità alla sicurezza, ma si può iniziare a comprendere i dati, o per meglio dire l’informazione e la conoscenza, come un vero e proprio asset aziendale con la possibilità di portare il business ad un livello più alto di efficienza e successo.


lunedì 22 luglio 2019

La russa Sytech, contractor della FSB, hackerata!!! Progetti e dati resi pubblici

Iniziano ad arrivare le notizie, seppure con ritardo.
La società colpita non sembra una di quelle importanti, non è una grande società, non è nota al grande pubblico, eppure…
La questione è che la SyTech è una società che lavora per la Federal Security Service... della Russia!!!
La notizia, dicevamo, comincia a filtrare, nonostante le difficoltà dovute alla lingua.
Il 13 luglio scorso un gruppo hacker chiamato 0v1ru$ ha annunciato di aver hackerato la società (che lavora per l'FSB dal 2009) e di aver sottratto dalla sua rete interna circa 7,5 Tera byte di dati. Tra questi vi sono un certo numero di progetti che riguardano il dominio cyber.
La tipologia di attacco, che colpisce un anello della supply chaine per arrivare a colpire una organizzazione più grossa e meglio protetta, si chiama "supply chaine attack" ed è sempre più frequente.
Per dimostrare di aver effettivamente hackerato la società, il gruppo ha proceduto al più classico dei "defacement", modificando la home page del sito con l'immagine "yoba-face" ed ha pubblicato diverse schermate relative alla rete interna.
I dati sono stati passati ad un altro gruppo conosciuto come DigitalRevolution e già autore di imprese simili, che ha poi condiviso le informazioni rubate coi i media russi.
Sembra che la maggior parte dei progetti sottratti fossero sviluppati a favore della Unità Militare 71330, che si occupa di "signal intelligence".
Il sito BBC russo ha riportato un elenco dei progetti sottratti, questi sembrano essere i più interessanti:
- Nautilus, per la raccolta di dati dai social media (Facebook, LinkedIn...);
- Nautilus-S, per la de-anonimizzazione del traffico TOR ();
- Reward, per entrare sotto copertura in reti P2P;
- Nadezhda, uno strumento per esplorare la topologia della internet russa;
- Tax-3, per la creazione di una intranet sicura;
- Mentor, per monitorare comunicazioni via email.
Da altra fonti si apprende che l'attacco è avvenuto ai danni del server Active Directory della Sytech. Una volta ottenuto il controllo ci si è impadroniti dei dati.
Questo è solo un primo assaggio di una mole di documenti che, essendo stata resa pubblica, richiede ora solo il tempo per essere esplorata.
Ad oggi il sito della società russa risulta ancora spento.

Alessandro Rugolo

Per approfondire:
- https://www.bleepingcomputer.com/news/security/russian-fsb-intel-agency-contractor-hacked-secret-projects-exposed/;
- https://www.terabitweb.com/2019/07/20/russian-fsb-intel-agency-contractor-hacked-secret-projects-exposed/;
- https://www.zdnet.com/article/hackers-breach-fsb-contractor-expose-tor-deanonymization-project/;
- https://www.forbes.com/sites/zakdoffman/2019/07/20/russian-intelligence-has-been-hacked-with-social-media-and-tor-projects-exposed/#17d2f2f36b11;
- https://www.bbc.com/russian/features-49050982;
- https://www.cs.kau.se/philwint/spoiled_onions/techreport.pdf
- https://www.sytech.ru/


martedì 16 luglio 2019

Regin, il RAT usato contro la "Google Russa" Yandex


Nel mondo della sicurezza informatica, i potenziali rischi ad aziende ed istituzioni, sotto forma di malware e toolkit sono numerosi e diffusi.
Gruppi di esperti, spesso sponsorizzati da governi a fini di monitoraggio e spionaggio combattono una guerra che di virtuale ha solo i mezzi con i quali viene combattuta, ma dai risvolti più che tangibili, e di ciò ne è stata data la prova durante l’attacco all’Iran attraverso il malware Stuxnet (vedi articolo http://www.difesaonline.it/evidenza/cyber/la-guerra-segreta-degli-hacker-equation-group-il-braccio-armato-cyber).
Sempre dai creatori di Stuxnet, ossia dal gruppo di spionaggio informatico collegato alla NSA ( National Security Agency), si suppone provenga uno dei toolkit più complessi e potenti degli ultimi anni, il cosiddetto Regin.
Regin è categorizzato come un RAT (Renote Access Trojan), fu scoperto da varie compagnie di sicurezza informatica quali la Kaspersky labs e Symantec nell’autunno del 2013 anche se era presente e attivo ben da prima. 
Il primo utilizzo di Regin è datato 2008 con la sua versione 1.0, attiva fino al 2011.
Nel 2013 ritorna con una nuova versione 2.0 anche se si è speculato su possibili versioni intermedie attive durante questi due anni di pausa.
Ciò che rende speciale questo software è l’incredibile capacità di essere adattato al bersaglio preso di mira, spesso Istituzioni e compagnie. Regin ha colpito in larga percentuale Internet Service Providers e Telco situate prevalentemente in Russia e Arabia Saudita, ma ha arrecato problemi anche ad istituzioni e compagnie Europee.
Ma come fa Regin ad essere così efficace, come viene usato per appropriarsi di informazioni sensibili?
Regin presenta varie funzionalità, principalmente utilizzato per monitorare e rubare informazioni quali passwords e qualunque tipo di file, scattare screenshot, prendere il controllo di funzionalità di mouse e tastiera, monitorare il traffico di dati in una rete ecc.
L’architettura del software è complessa e modulare, divisa in 6 stadi. Di seguito per chi vuole approfondire ecco il link al documento Symantec che spiega in dettaglio l’architettura del framework con riferimenti alla tipologia di encrypting e i protocolli usati: https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/regin-top-tier-espionage-tool-15-en.pdf .
I vettori di infezione di Regin non sono chiari proprio a causa della sua possibilità di essere adattato a bersagli diversi in situazioni diverse. In un caso il vettore di infezione è stata l’applicazione Yahoo!instant messenger, in altri casi usb infette.
L’attività di Regin non si ferma ai soli anni 2008-2011 e 2013-2014 ma va avanti fino ai giorni nostri, con un ultimo grande attacco perpetrato ai danni del gigante Russo Yandex a fine 2018.
Tuttora non si possiedono tutte le informazioni necessarie per combattere e identificare Regin, che riesce a rimanere inosservato per mesi in una rete prima di essere scoperto.
Questo ci fa capire la complessità del software e l’importanza che ricopre nell’ambiente dello spionaggio informatico, un ambiente che al giorno d’oggi più che mai è teatro di guerre che hanno il potere di influenzare compagnie, istituzioni ed intere nazioni.
Francesco Rugolo


https://www.symantec.com/it/it/outbreak/?id=regin

https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/

https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-yandex.html

https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX

sabato 13 luglio 2019

Tata Communications and Thales join forces to address businesses’ data security concerns around IoT

Press Release 7/12/2019

Thales, a global leader in digital security, and Tata Communications, a leading global digital infrastructure provider, are working together to develop a secure global IoT connectivity solution. Tata Communications MOVE™ mobility and IoT platform and Thales’s T-Sure warranted digital identity offering is set to unlock the value in data generated by connected devices such as cars and trucks, whilst maintaining the integrity and security of IoT data.
In Tata Communications’ global Cycle of Progress   survey, 30% of IT decision makers cited security and 25% cited privacy issues as the biggest barriers to IoT adoption. The combined capabilities of Tata Communications and Thales aims to lower these barriers and enable businesses and manufacturers to make the most of the transformational potential of IoT by giving them peace of mind that their critical IoT data is protected against cyber-attacks.
Thales will provide its T-sure warranted digital identity solution to Tata Communications MOVE™ SIM cards, based on technologies from Gemalto, a Thales company. While Tata Communications MOVE™ encrypts the data in motion (in current use), T-Sure protects the information at rest (archived) on the SIM, therefore safeguarding data both on the network and at the device level. The two companies look to undertake a series of proof-of-concepts with customers to test this solution in action.
The need to protect IoT data is a major concern for the automotive industry, due to advancements in connected cars and autonomous vehicles coupled with the continued threat of cyber-attacks. The Thales and Tata Communications’ solution aims to secure the data that vehicles carry and provide control over data and applications, whilst keeping hackers and cyber-criminals at bay. Reliable communications from vehicles to infrastructure (V2I) and from vehicle to vehicle (V2V) will help unlock the value in data generated by vehicles in applications such as driving pattern analytics, emergency services or preventive maintenance.
Thus, the manufacturer will be able to gather data through the SIM to ensure a vehicle is operating safely, the dealership can use the SIM for keeping track of the maintenance logs, and the vehicle car owner can trust that his or her private information stays private. The solution aims to allow for multiple secure ‘vaults’ within the vehicle to which only the vault owner has access. This means that the manufacturer, dealership and vehicle owner will each have their own private, secure space to store information, run applications and establish communications, and the security of these vaults would be enabled and managed via the Tata Communications MOVE™ platform.  
The only thing that will allow IoT to fulfil its potential and bring about innovations like autonomous vehicles is totally trusted and secure data connectivity. The marriage of Tata Communications’ expertise in the connected automotive sector with Thales’s leadership position in IoT and data security, reinforced by the integration of Gemalto, is driving an offering that will give end users complete trust in the integrity of their data whilst opening up new business opportunities for manufacturers. 
Gareth Williams, Vice President, Secure Communications & Information Systems, Thales 
IoT could transform how businesses operate and how people engage with one another and with every ‘thing.’ Protecting data against cyber-attacks both at the device and network level is crucial to accelerate IoT adoption worldwide. Tata Communications MOVE™ together with Thales’s T-Sure solution aims to help businesses adopt IoT with confidence. It takes us closer to fulfilling our vision for a world where anything can be born connected – and born secure. 
Anthony Bartolo, Chief Product Officer, Tata Communications.
https://www.thalesgroup.com/en/united-kingdom/press_release/tata-communications-and-thales-join-forces-address-businesses-data