venerdì 30 agosto 2019

Creare una cyber startup innovativa: le principali opportunità in Italia

Possiamo affermare con certezza che le MPMI (micro e piccole medie imprese) rappresentano la “spina dorsale” dell’economia italiana. Infatti, considerando le sole “micro” (ossia quelle in cui l’organico è inferiore a 10 persone ed il fatturato o il totale di bilancio annuale non supera i 2 milioni di euro) occupano circa 8 milioni di connazionali.
Guardando all’ecosistema delle startup, l’ambito cyber security appare dinamico, prospero e di grande interesse. La numerosità delle realtà nascenti in questo campo è sintomo di un percorso di innovazione che si sta delineando, oltre che del progressivo aumento dell’attenzione nei confronti del tema della sicurezza dei sistemi e protezione delle informazioni.
L’Osservatorio Information Security & Privacy del Politecnico di Milano ha condotto durante il 2018 un’indagine volta ad analizzare le realtà più innovative in campo cyber security, con l’obiettivo di fotografare le dinamiche di sviluppo del mercato: l’anno trascorso è stato segnato da un aumento esponenziale degli attacchi cyber crime, caratterizzati da una crescente eterogeneità di modalità di attuazione e soggetti colpiti.
Tutte le organizzazioni sono pertanto chiamate a incrementare gli investimenti in prodotti e servizi legati alla sicurezza e alla protezione delle informazioni. Nello scenario delineato giocano certamente un ruolo fondamentale appunto le startup.
Con l’introduzione del decreto legge 179/2012, noto come Decreto Crescita, l’Italia si è dotata di una normativa organica volta a favorire la nascita e la crescita di nuove imprese ad alto valore tecnologico, le cosiddette startup innovative. Obiettivo della policy è sostenere lo sviluppo di un ecosistema imprenditoriale orientato all’innovazione, capace di creare nuova occupazione e di attrarre capitale umano e finanziario dal mondo.
Le imprese dotate dei requisiti di startup innovativa (tutorial per l’iscrizione) possono contare su un vasto complesso di agevolazioni, quali semplificazioni ed esenzioni regolamentari, incentivi fiscali, facilitazioni nell’accesso al credito e al capitale di rischio, e nuovi programmi di finanziamento: misure con il potenziale di incidere sull’intero ciclo di vita dell’azienda, dall’avvio alla fasi di espansione e maturità.
Vediamone insieme alcuni tratti essenziali.
La startup innovativa (e la cyber rientra nella definizione a pieno titolo!) è una società di capitali, costituita anche in forma cooperativa, residente in Italia o in altro Paese membro dell’UE purché abbia una sede produttiva o una filiale in Italia, che risponde a determinati requisiti e ha come oggetto sociale esclusivo o prevalente: lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico.
La sua funzione economica e sociale è di fondamentale importanza per l’Italia, in quanto la startup innovativa nella vision del nostro legislatore:
  • favorisce la crescita sostenibile, lo sviluppo tecnologico e l’occupazione, in particolare giovanile;
  • contribuisce allo sviluppo di nuova cultura imprenditoriale, alla creazione di un contesto maggiormente favorevole all’innovazione;
  • promuove maggiore mobilità sociale;
  • attrae in Italia talenti, imprese innovative e capitali dall’estero.
Date queste premesse, il legislatore italiano ha previsto un particolare favor nei confronti delle startup innovative, per le quali è stata predisposta un’ampia gamma di agevolazioni in continua evoluzione che include:
  1. Modalità di costituzione digitale e gratuita
  2. Esonero da diritti camerali e imposte di bollo
  3. Deroghe alla disciplina societaria ordinaria
  4. Proroga del termine per la copertura delle perdite
  5. Deroga alla disciplina sulle società di comodo e in perdita sistematica
  6. Esonero dall’obbligo di apposizione del visto di conformità per compensazione dei crediti IVA (Imposta sul Valore Aggiunto)
  7. Disciplina del lavoro tagliata su misura
  8. Facoltà di remunerare il personale in modo flessibile
  9. Remunerazione attraverso strumenti di partecipazione al capitale (es. stock option, schemi di work for equity)
  10. Incentivi fiscali per gli investitori in equity
  11. Raccolta di capitali tramite campagne di equity crowfunding (nel 2013, l’Italia è stato il primo Paese al mondo a regolamentare il mercato dell’equity crowdfunding, anche attraverso la creazione di un apposito registro di portali online autorizzati
  12. Facilitazioni all’accesso al Fondo di Garanzia (un fondo a capitale pubblico che facilita l’accesso al credito attraverso la concessione di garanzie sui prestiti bancari)
  13. Agenzia ICE: servizi ad hoc per l’internazionalizzazione delle startup
  14. Fail fast: In caso di insuccesso, le startup innovative possono contare su procedure più rapide e meno gravose rispetto a quelle ordinarie per concludere le proprie attività. Nello specifico, esse sono assoggettate in via esclusiva alla procedura di composizione della crisi da sovra-indebitamento e di liquidazione del patrimonio, con l’esonero, in particolare, dalle procedure di fallimento, concordato preventivo e liquidazione coatta amministrativa. Le startup innovative sono dunque annoverate tra i cosiddetti soggetti “non fallibili”.
  15. Trasformazione in PMI innovativa: in caso di successo, le startup innovative diventate “mature” che continuano a caratterizzarsi per una significativa componente di innovazione possono trasformarsi in PMI innovative. In questo modo, il legislatore (decreto legge 3/2015) ha inteso estendere il proprio campo d’intervento a tutte le imprese innovative, a prescindere dal loro livello di maturità. Le PMI innovative beneficiano infatti della gran parte delle misure previste per le startup innovative.

Quest’ultimo, magari, sarà un passo successivo: per ora è preferibile soffermarsi sulle opportunità offerte alle startup innovative e, ancor prima, sull’elaborazione di una business idea vincente e del relativo business plan!

Allora, se siete giovani e avete una buona idea, seguiteci, vi diremo come fare per realizzarla...

Danilo Mancinone

Per approfondire:

https://cyberstartupobservatory.com/cybersecurity-landscape-slide-italy/;

https://www.repubblica.it/economia/miojob/2018/09/01/news/italia_il_paese_delle_micro_imprese_danno_lavoro_a_8_milioni_di_persone-205374419;

https://www.cybersecurity360.it/cultura-cyber/lecosistema-delle-startup-cyber-security-perche-sono-importanti-per-attirare-lattenzione-sulla-protezione-delle-informazioni/;

https://blog.osservatori.net/it_it/cyber-security-e-sicurezza-informatica;

http://startup.registroimprese.it/isin/static/startup/index.html;

https://www.to.camcom.it/book/export/html/6141;

http://www.consob.it/web/investor-education/crowdfunding;

https://www.mise.gov.it/index.php/it/?option=com_content&view=article&viewType=1&idarea1=593&idarea2=0&idarea3=0&idarea4=0&andor=AND&sectionid=0&andorcat=AND&partebassaType=0&idareaCalendario1=0&MvediT=1&showMenu=1&showCat=1&showArchiveNewsBotton=0&idmenu=3377&id=2028760

giovedì 29 agosto 2019

Tutela dai rischi informatici: a che punto sono e cosa devono coprire le cyber-insurance

E’ interessante che in un recente articolo su The Insurance Insider un broker assicurativo di livello internazionale (AON) abbia dichiarato che stando ai dati da lui raccolti per il 2019, gli incidenti informatici superino già i totali degli interi anni 2015 e 2016.
In effetti è quasi quotidiano per ciascuno di noi impattare costantemente con notizie di cronaca relative a data breach, incidenti informatici e attacchi portati contro reti e sistemi di aziende ed enti pubblici.
Potrebbe suonare strano, ma è noto come i soggetti più colpiti da questi rischi siano proprio quelli che rappresentano oltre l’88% del nostro tessuto imprenditoriale nazionale, ovvero gli imprenditori appartenenti alla categoria delle MPMI. Spesso questa categoria ignora o non è sufficientemente a conoscenza dei potenziali impatti a cui la pervasività tecnologica li espone quasi a ciclo continuo. Basta citare come esempio (alquanto evocativo) la sfortunata vicenda dei cryptolocker –attualmente ancora in circolazione in veste sempre più evoluta- per richiamare alla mente quanto danno alla produttività possa fare il blocco delle basi di dati o il danneggiamento dei sistemi aziendali o istituzionali. Si tratta di una goccia distillata di criticità in un oceano di preoccupanti esempi possibili, eppure ancora poco noti a chi di dovere.
Date queste informazioni estremamente elementari e sotto gli occhi della collettività (crescita esponenziale degli incidenti informatici da un lato e assenza di awareness adeguata nei confronti delle potenziali vittime, rappresentanti il fulcro dell’industria di uno Stato) è alquanto semplice chiedersi: come fare per accrescere le tutele dai rischi informatici?
Una prima risposta, direi ovvia –il cui sviluppo non è oggetto di questo sintetico intervento- è quella di prestare la massima cura nella scelta e predisposizione di misure di sicurezza tecniche e organizzative adeguate, dal carattere progressivo e di facile adattabilità rispetto ai repentini cambiamenti che le tecnologie dirompenti comportano.
In secondo luogo, è sempre bene sottolineare l’assoluta importanza di una corretta formazione all’interno delle realtà di lavoro. E’ impossibile prevedere infatti il verificarsi del c.d. “errore umano”, ma la valorizzazione proprio di questo fattore costituisce un caposaldo imprescindibile nell’implementazione di una corretta gestione dei rischi, di qualsivoglia natura.
Il terzo punto da considerare per una corretta gestione dei rischi, qui oggetto di breve approfondimento, sono le cyber insurance.
Infatti, al netto delle prime due considerazioni (che non rappresentano un’alternativa a quest’ultima) una copertura assicurativa adeguata costituisce senza dubbio un valido sostegno per l’Ente pubblico o privato che ha preso coscienza al suo interno del potenziale rischio che realmente corre.
Di cosa parliamo quando parliamo di cyber insurance?
In poche parole, parliamo di pacchetti assicurativi –solitamente proposti dai grandi gruppi - che mirano a tutelare il sottoscrivente dalle conseguenze dei possibili danni subiti a causa dell’avverarsi di una minaccia informatica.
Si tratta di un mercato percepito come in forte crescita. Secondo una recente ricerca di Insurance Post, il 78% dei broker inglesi ritiene che il mercato delle polizze cyber rivesta un enorme potenziale di sviluppo, e sino ad oggi il 72% di loro ha già venduto una polizza sui rischi cyber.
Il mercato italiano, come di consueto, non ha ancora una sua definizione e non ha sviluppato un piano consolidato di massimali o premi; molti broker sembra abbiano scelto di esplorare questo mercato con molta, molta cautela.
Le uniche stime condivise, non certo incoraggianti, identificano un mercato da più o meno 100 milioni l’anno, cifra bassa ma proporzionata alla scarsa consapevolezza degli imprenditori e del settore pubblico, come poc’anzi ricordato.
Senza volersi impelagare in analisi di mercato, è comunque evidente che si tratta di una porzione di attività assicurativa destinata ad una rapida crescita. Proprio per questa ragione è piuttosto alta la possibilità che un affrettato sottoscrivente possa ricorrere –nella sua folle corsa verso un effetto palliativo del rischio informatico o per assenza di informazioni precise e nozioni sul tema- a prodotti assicurativi che non sempre rispecchiano le sue aspettative.
Da qui occorre allora farsi un’ultima domanda: quali rischi deve coprire (e garanzie legali deve fornire) una polizza sul rischio cibernetico, al fine di poter essere ritenuta valida?
Posto che i casi variano molto a seconda della specificità delle tecnologie utilizzate e dell’impatto che esse possiedono rispetto alla precisa attività che viene svolta dall’Ente o dall’azienda, ci sono alcuni punti che devono sicuramente essere presenti per poter valutare l’idoneità del prodotto assicurativo. In particolare la polizza deve ricomprendere tutele su:
  • Intrusione informatica da parte di terzi (basata sia su attacchi di rete che fisici);
  • Furto, divulgazione o cancellazione dei dati (sia colposa che dolosa)
  • Rischio reputazionale, familiare e d’immagine (dovuto a divulgazione di informazioni riservate vertenti sia su dipendenti che sull’azienda o l’ente stesso)
  • Furto d’identità e usurpazione di Social Media
  • Blocco dei sistemi produttivi automatizzati
  • Danni di sistema o al corretto funzionamento della rete
  • Furto di proprietà intellettuale digitalizzata
Una polizza ottimale potrebbe infine ricomprendere anche specifiche previsioni legate ai software aziendali utilizzati (o alla sottrazione delle licenze), valutandone le eventuali certificazioni, fornitori coinvolti, livello di rischio e impatto di eventuali system integrator agenti.
In assenza di uno o più di questi elementi, una valutazione legale del carnet di offerte proposte potrebbe essere un valido affiancamento per una corretta scelta, data la portata dell’investimento.
Anche se alcuni di questi elementi possono sembrare scontati ad un lettore formato su questi temi, in realtà per molti si tratta di argomenti a dir poco ostici, che avranno bisogno di essere masticati e digeriti non solo dal settore assicurativo ma anche da quello legale, amministrativo e istituzionale che troppo spesso rincorrono la tecnologia come in una folle gara il cui esito è quasi sempre ai danni del cittadino.

Avv. Andrea Puligheddu

sabato 10 agosto 2019

Versailles: la sconfitta umana per la vittoria politica

Il 28 Giugno 2019 ha compiuto un secolo il famoso Trattato di Versailles, firmato nel 1919. Questo fu il documento che mise fine alla Grande Guerra che, secondo le stime, dopo quattro anni e tre mesi contava 10 milioni di vittime. Il mondo fino ad allora non aveva mai dovuto affrontare una guerra così terrificante che fece tornare a galla vecchi dissapori e conflitti tra nazioni che sfruttarono il clima di instabilità politica per prendersi le loro rivincite. Il Trattato di Versailles è la prova di come la guerra e la pace, conseguente ad essa, siano state utilizzate da alcune nazioni per prendersi rivincite per umiliazioni risalenti alla seconda metà dell'ottocento.
Per capire come nacque realmente il trattato e da chi venne proposto dobbiamo tornare al 1871 quando in una Francia in crisi con l'imperatore Napoleone III catturato dai tedeschi dopo la sconfitta di Sedan, la fuga dell'imperatrice Eugenia e l'instaurazione di una nuova repubblica, i tedeschi vinsero la guerra franco-prussiana e il 28 Giugno 1871 le truppe prussiane sfilano per la capitale francese arrivando fino a Versailles dove il Kaiser tedesco, Guglielmo II, proclamerà la nascita dell'Impero tedesco, riottenendo con questa vittoria le tanto agognate regioni dell'Alsazia e della Lorena che Francia e Germania si contendevano già dal Medio Evo.
Per i francesi questi eventi rappresentarono la peggiore delle umiliazioni: un Kaiser che non solo vinse la guerra, ma che addirittura proclamò la nascita del suo impero nell'edificio in cui i sovrani di Francia amministrarono per circa un secolo la politica della nazione.
Il risentimento fu tale che per ben quarantotto anni la Francia attese il momento adatto per prendersi la sua rivincita: e lo farà proprio con il Trattato di Versailles.
Alla vigilia del 1914 le grandi nazioni europee erano più divise che mai: da una parte la Triplice Intesa con Francia, Gran Bretagna e Russia, dall'altra la Triplice Alleanza con Germania, Austria-Ungheria e Regno d'Italia. Le azioni belliche dell'Austria-Ungheria verso la Serbia bastarono a far scendere in campo la Russia e con il famoso assassinio dell'arciduca Francesco Ferdinando l'Europa entrò in guerra. Poiché la Triplice Alleanza era basata su un'unione difensiva, ed essendo stata l'Austria-Ungheria a innescare le scintille della guerra, l'Italia sciolse il patto e si schierò con l'Intesa che nel frattempo promise ai Savoia l'ottenimento di territori tra i quali il Trentino, l'Alto Adige e la Dalmazia (patto di Londra- 1915).
Nel frattempo la Turchia e la Bulgaria affiancarono l'Alleanza e formati gli schieramenti, il 28 Luglio 1914 iniziò la Grande Guerra.
La svolta si ebbe definitivamente nel 1917, essenzialmente per due ragioni: la prima riguarda lo zar Nicola II che dovette abbandonare la guerra a causa della rivoluzione civile capeggiata da Lenin che portò alla diserzione degli stessi soldati russi, all'abdicazione dello zar e allo sterminio della famiglia imperiale.
Era l'inizio del nuovo governo comunista, le cui idee erano temute da tutta l'Europa occidentale che cercò subito di isolare la Russia. Nel frattempo, con l'armistizio, la Russia perdeva i territori di Finlandia, Lettonia, Lituania ed Estonia.
L'altra ragione riguarda l'entrata in guerra degli Stati Uniti d'America che sotto il governo del presidente Wilson cercarono fin da subito dei compromessi per la pace.
Gli americani permisero alla Francia di mantenere le città prossime a Parigi e supportarono gli italiani che nel frattempo riuscirono a cacciare definitivamente gli austriaci nella battaglia di Vittorio Veneto.
Nel 1918 furono così firmati gli armistizi: l'Austria il 4 Novembre e la Germania l'11 Novembre.
A questo punto mancava solamente decidere come comportarsi nei confronti dei vinti e come far fronte agli ingenti danni che la guerra aveva causato nelle città di tutta Europa.
Erano tre le proposte:
  • la prima era quella degli Stati Uniti che prevedeva la creazione di una “Società delle Nazioni” nella quale si stabiliva che ad ogni stato (vittorioso e vinto) sarebbe stata concessa l'autodeterminazione, vale a dire la possibilità di decidere il proprio ordinamento istituzionale e la facoltà di decidere sulla propria economia detenendo all'interno dei propri confini la massima sovranità.
Altri importanti punti erano la riduzione degli armamenti in ogni stato, la creazione di un mercato egualitario tra nazioni, la creazione di delegazioni sempre pronte a risolvere attriti tra le nazioni in modo pacifico per evitare altre guerre e tra i famosi 14 punti di Wilson era prevista la creazione di uno stato sovrano polacco e la cessione dei territori promessi all'Italia con i trattati di Londra.
  • La seconda proposta ancora più moderata era quella della Gran Bretagna che era pronta a riaprire i commerci con le altre nazioni compresa la Germania e porgere perciò la mano in segno di pace alle nazioni con le quali si era scontrata precedentemente. Posizione dettata anche dalla paura che una punizione troppo severa nei confronti della giovane Repubblica di Weimar avrebbe potuto gravare sulla forza della Germania permettendo alla Francia di prevalere su di essa. Tant'è che la Gran Bretagna sostenne gran parte delle proposte statunitensi;
  • la terza proposta, quella della Francia, era la più drastica di tutte: prevedeva la restituzione dell'Alsazia e della Lorena; la demilitarizzazione di tutte le basi militari tedesche; lo sfruttamento delle risorse del territorio della Germania; la riduzione delle truppe tedesche a 100.000 unità e la privazione della flotta che sarebbe stata divisa fra Francia e Gran Bretagna. Per non parlare dell'ingente quantità di denaro (132 miliardi di marchi d'oro) che la Francia avrebbe utilizzato per far fronte ai danni prodotti dagli attacchi e dall'occupazione tedesca nel suo territorio e che nel frattempo avrebbero fatto collassare l'economia tedesca eliminando ogni possibilità di ripresa;
Essendo chiare le posizioni degli americani e degli inglesi la Francia fece di tutto per far prevalere la sua proposta. Durante i negoziati per la sottoscrizione del trattato di pace a Parigi erano presenti le Delegazioni di 32 nazioni ma la Germania e l'Austria-Ungheria non vennero invitate e la Francia inserì nel trattato ogni sua proposta riguardante la Germania, vista come unica colpevole. Nella stesura del trattato la Francia non mostrò nessuna pietà per la Germania trasformando un documento di pace in un diktat, cioè un ordine senza possibilità di discussione tant'è che se la Germania non avesse rispettato il trattato sarebbe stata invasa dalle truppe degli altri stati europei.
Alle condizioni precedentemente indicate, si doveva aggiungere che la Germania avrebbe dovuto cedere la città di Danzica alla Polonia, isolando in questo modo la Prussia orientale dal resto dei suoi territori, per non parlare della cessione di tutte le colonie in Africa e in Asia.
Come se non bastasse, per ottenere definitivamente la sua vendetta la Francia decise di far firmare il Trattato di Pace nella Reggia di Versailles il 28 giugno, durante il cinquantaduesimo anniversario della vittoria tedesca nella guerra franco-prussiana del 1871.
Questo trattato non verrà mai ratificato dagli Stati Uniti che non riusciranno a far nascere nemmeno la Società delle Nazioni poiché alle elezioni del 1918 il Partito Repubblicano bloccherà la ratifica per ben due volte così che solo Francia e Inghilterra firmeranno.
Sebbene nel 1932 durante la Conferenza di Losanna il debito tedesco nei confronti della Francia venne diminuito a 3 miliardi di marchi d'oro, la forte umiliazione che la Germania dovette subire e gli sfruttamenti del territorio da parte della Francia (miniere della Saar), non faranno altro che far nascere nella popolazione tedesca un fortissimo sentimento di rabbia che si paleserà pochi decenni più tardi nel totalitarismo hitleriano.
A discapito dell'Italia i trattati di Londra non vennero rispettati e per questo Vittorio Emanuele Orlando, rappresentante italiano a Parigi decise di non firmare alcun documento e abbandonare la Conferenza. L'Italia ottenne solo il Trentino, il Tirolo Cisalpino (l'Alto Adige), il Friuli e il territorio delle Alpi Giulie; mentre vennero negate agli italiani la Dalmazia e la città di Fiume (che verrà tuttavia conquistata da D'Annunzio che sarà costretto a cederla nel 1920). La guerra aveva logorato economicamente le casse del Regno tanto che nemmeno i governi riusciranno a ristabilirle facendo nascere anche in Italia come in Germania forti sentimenti di cambiamento e di rivoluzione che porteranno all'ascesa di Mussolini.


Sebbene il Trattato di Versailles sia ricordato anche come il documento con il quale si ridisegnarono i confini dell'Europa, il peso che esso ebbe dal punto di vista storico e le conseguenze che comportò la sua sottoscrizione ci mostrano un documento che non ricerca la pace, la coesione delle nazioni, il dialogo internazionale bensì un trattato elaborato per distruggere un nemico ma che al tempo stesso va a crearne un altro, ancora più temibile in quanto animato da un rancore mai provato prima. Un altro nemico ancora più pericoloso poiché forte del consenso pubblico di un paese debole e umiliato che voleva rinascere e vendicarsi delle dolorose sofferenze subite con un negoziato che celava in se sentimenti di vendetta e di rabbia.
L'anniversario è stato ricordato da diverse testate giornalistiche ma non con grandi conferenze che avrebbero potuto sottolineare l'errore commesso cento anni prima e magari impegnare gli stati a condannare trattati e soluzioni diplomatiche così estreme. Sarebbe potuto essere un opportunità per raccontare e per far conoscere a tutti una parte di storia tragica ed importante per tutto il mondo.
L'unica conferenza organizzata è stata quella Murska Sobota (Slovenia) ed è stata organizzata dall'Unione scientifica accademica di Pomurje (PAZU) con la partecipazione degli ambasciatori francesi, italiani, statunitensi, inglesi e giapponesi.

Filippo Schirru

mercoledì 7 agosto 2019

Sea Turtle

Tra i numerosi attacchi informatici che ogni giorno vengono scoperti, segnalati ma mai ammessi pubblicamente, spesso portati ai danni di grandi aziende private o pubbliche, uno in particolare ha destato attenzione a causa delle metodologie utilizzate per il suo svolgimento.
Il cosiddetto “Sea Turtle”, scoperto dal team di sicurezza informatica “Talos Intelligence” della multinazionale americana Cisco, una delle più importanti nel suo settore.
Talos ci parla di Sea Turtle come del primo attacco mai documentato che abbia compromesso sistemi DNS.
L’attacco aveva come bersaglio organizzazioni di sicurezza nazionale, grandi aziende energetiche e ministeri delgi affari esteri situate in Nord Africa e Medio Oriente ma per riuscire nel suo intento, altri bersagli secondari sono stati presi di mira, come telco e ISP.
Secondo il report di Talos, oltre 40 organizzazione in 13 paesi sono state compromesse tra il Gennaio del 2017 e la prima metà del 2019 ma la vera entità dei danni è ancora da stimare in quanto l’attacco non é ancora concluso..
Cosa rende questa campagna di attacco ai sistemi DNS così spaventosa agli occhi degli esperti della Cisco?
Per rispondere a questa domanda dobbiamo prima definire DNS.
DNS è l’acronimo per Domain Name System, il sistema che viene utilizzato per risolvere i nomi degli host in indirizzi IP, ossia associa ad un indirizzo ip un nome facile da ricordare all’utente. Questa è una delle funzionalità del DNS più importanti e che che possiamo vedere tutti i giorni.
La metodologia dell’attacco consiste nel manomettere i servizi DNS del bersaglio per poi reindirizzare un utente verso un server controllato dall’attaccante, questo porta in seguito all’acquisizione di credenziali e password degli utenti che vengono utilizzate per ottenere accesso ad altre informazioni.
Tutto ciò è stato possibile grazie a tecniche di attacco che prevedono l’utilizzo sia di spear phishing che l’utilizzo di exploit di varie applicazioni.
Sea Turtle ha agito a lungo e in maniera discreta. Chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.

Come ci dice Talos, vi sono tre possibili modalità attraverso le quali gli attaccanti avrebbero potuto accedere ai servizi DNS delle organizzazioni colpite:
1. Accedendo al DNS registrar (compagnia che fornisce nomi di dominio alle aziende e ne gestisce i record DNS attraverso il registry, ossia un database contenente tutti i nomi di dominio e le compagnie a cui essi sono associati), attraverso l’acquisizione delle credenziali di accesso appartenenti al DNS registrant (l’organizzazione colpita);
2. Attraverso il registrar stesso, entrando nel precedentemente citato registry e manomettendo i record DNS utilizzando l’ Extensible Provisioning Protocol (EPP), il protocollo utilizzato per accedere al registry. Ottenendo le chiavi EPP l’attaccante avrebbe potuto manomettere a proprio piacimento i record DNS del registrar preso di mira;
3. Il terzo metodo si basa sull’attacco diretto ai DNS registries per accedere ai record DNS, i registries sono una parte vitale del servizio DNS, in quanto ogni Top Level Domain si basa su di essi.
Sea Turtle ha agito a lungo e in maniera discreta, chi ha portato questo attacco, dice Talos, ha utilizzato un approccio unico in quanto i servizi DNS non vengono monitorati costantemente.
Talos scriveva questo report ad Aprile di quest’anno, ma ciò non ha fermato né rallentato l’attività del gruppo, tanto che a luglio Talos ha pubblicato un aggiornamento.
Sembra infatti che negli ultimi mesi sia stata utilizzata un'altra tecnica di attacco. Ogni entità attaccata puntava le sue richeste DNS ad un personale server manomesso, differente per ogni utente compromesso il che rende l’attacco ancora più difficile da sventare e tracciare.
Possiamo dire dunque che chiunque si trovi dietro a Sea Turtle è un gruppo senza scrupoli, guidato probabilmente da interessi nazionali e dotato di infrastrutture notevoli.

L’importanza dei servizi DNS è grande. L’intera struttura di Internet si basa su loro corretto funzionamento, ed insieme ad esso, la totalità dell’economia mondiale e servizi forniti da ogni società e governo.
Per questa ragione Talos si dice fortemente contraria alle metodologie con le quali la campagna Sea Turtle (e l'organizzazione o Stato che vi è dietro) sta mettendo in pratica questa serie di attacchi, 
Questa campagna potrebbe rappresentare l’inizio di una serie di attacchi mirati a manomettere in maniera più vasta e potenzialmente disastrosa il sistema DNS, portando a conseguenze che potrebbero colpire ognuno di noi.

Francesco Rugolo

Per approfondire:

martedì 6 agosto 2019

Quantum Computing e Crittografia

Una nuova frontiera per la Comunicazione


L’Essere Umano, per sua natura, ha necessità di evolversi e comunicare.
La Comunicazione è uno degli aspetti fondamentali nella crescita di un essere umano e questo si riflette in ogni sua attività. Ogni attività umana necessita di relazioni che vengono mantenute tramite il Linguaggio, di qualunque tipo esso sia, con ogni mezzo e forma, a prescindere dall’attività stessa o dal mezzo di comunicazione impiegato. I mezzi di comunicazione utilizzati dall’uomo si sono evoluti nel tempo diventando sempre più complessi, fino ad arrivare ai giorni nostri, permettendo all’uomo di comunicare a grandi distanze e in tempo reale, grazie alla tecnologia. 
La segretezza della comunicazione è sempre stata un fattore fondamentale, necessaria per il buon svolgimento delle attività umane. Per garantire la segretezza nasce la Crittografia, ovvero la Scienza che studia i metodi per garantire che un messaggio possa essere letto esclusivamente dal destinatario autorizzato. Questa esigenza, in realtà, era già sentita ai tempi degli Antichi Romani, quando Giulio Cesare, per comunicare gli ordini alle proprie truppe, utilizzava il proprio cifrario oggi conosciuto come il “Cifrario di Cesare”. 
Un cifrario è uno strumento creato appositamente per “cifrare” e “decifrare” messaggi attraverso l’uso di un semplice algoritmo. Il Cifrario di Cesare, per fare appunto un esempio, si può utilizzare per cifrare un testo “spostando” le lettere da cifrare di tre posizioni a destra, in questo modo:La parola “CIAO”, diventa “FLDR” (di seguito, un’immagine per spiegare lo “spostamento”).


Effettuando lo spostamento a ritroso di tre posizioni, il testo incomprensibile “FLDR” torna ad essere “CIAO”.
Ovviamente questo algoritmo ad oggi risulta essere molto “vulnerabile” e facilmente decifrabile, con un po’ di pazienza anche a mano, da semplici computer.

Ma soffermiamoci un secondo sul concetto di “algoritmo vulnerabile”.
E’ facile intuire come, anche dall’esempio riportato, la Crittografia ha giocato un ruolo importante in varie Campagne Militari, in ogni Epoca.
Ovviamente due Eserciti in guerra cercano di carpire informazioni l’un l’altro, sia per poter prevedere ed annientare le strategie nemiche prima della battaglia, sia per scoprirne i movimenti durante la stessa. Per sopperire a questa esigenza è nata la “crittoanalisi”, ovvero l’insieme dei metodi e gli studi per cercare di decifrare il messaggio senza conoscerne la “chiave”. 
Sempre facendo riferimento al Cifrario di Cesare, la “chiave” utilizzata da Giulio Cesare era tre (unitamente al senso orario o antiorario), ovvero il numero di posizioni per lo “spostamento” delle lettere dell’alfabeto. 
Una chiave diversa restituisce, quindi, come risultato un testo diverso, questo vuol dire che il mittente e il destinatario devono avere la stessa chiave, l’uno per cifrare e spedire il messaggio, l’altro per decifrarlo e leggerlo.
Da ciò deriva uno dei problemi principali nell’uso di questo tipo di algoritmi (crittografia simmetrica): la distribuzione della chiave. 
Forse l’esempio più famoso di crittoanalisi cui possiamo fare riferimento si ebbe durante la seconda guerra mondiale, quando Alan Turing realizzò la macchina “Colossus”, lontanissima parente dei moderni computer, designata a decifrare i messaggi cifrati con la macchina Enigma (in realtà il suo perfezionamento, ovvero la Lorenz SZ40 e SZ42).


Computer Colossus: il “decodificatore di Lorenz” poteva essere configurato dalla console a sinistra


E’ facile intuire che tramite la Crittoanalisi, se un Esercito riesce a decifrare le comunicazioni del nemico, può ottenere un enorme e fondamentale vantaggio.
In pratica, nei casi estremi, il nemico non può effettuare più nessuna mossa né approntare una strategia in segretezza. Questa possibilità di “rompere” gli algoritmi utilizzati per garantire la segretezza del nemico, ha portato ad una inesorabile rincorsa tra i matematici, con chi ha cercato di creare algoritmi sempre più complessi e chi ha cercato di decifrarli. In quel periodo, infatti, nacque l’unico cifrario perfetto, ovvero l’unico cifrario di cui è stata matematicamente provata la sicurezza e l’inviolabilità, il One Time Pad.

Il Cifrario di Vernam, chiamato anche “One Time Pad” (taccuino monouso), è un particolare algoritmo di cifratura, la cui sicurezza è stata matematicamente provata da Claude Shannon, ingegnere americano considerato il padre della Teoria dell’Informazione, nel 1949.

La sicurezza del One Time Pad si verifica se, e solo se:
- La chiave è lunga almeno quanto il testo da cifrare
- La chiave è “realmente randomica”, ovvero non sono ammessi programmi che generano numeri. Questo perché i software, per generare una sequenza di numeri casuali, utilizzano degli algoritmi che partono da “un punto di partenza”.
Questo punto di partenza (che può essere un numero ad esempio) fa si che la serie di numeri generati non sia realmente casuale. Per un aggressore, potrebbe essere possibile reperire il “punto di partenza” e con lo stesso algoritmo generare nuovamente tutti i numeri “casuali” generati in precedenza. Per questo motivo, i software di generazione di numeri vengono definiti come “pseudo-casuali” o “pseudo-random”.
- La chiave DEVE essere utilizzata una volta sola.
Questo fa scaturire dei problemi, in quanto è molto difficile scambiare messaggi molto lunghi, e una volta terminati i “pad”, deve essere rigenerata una chiave sempre realmente randomica, e scambiata con il destinatario.

Esempio di One Time Pad

Per sopperire a queste limitazioni, è stata ideata la “Crittografia Asimmetrica”, utilizzando dei cifrari “a chiave pubblica”.
Questo particolare tipo di algoritmi, largamente utilizzato per il web e le comunicazioni in tempo reale, come le chat, prevede che ad un individuo siano associate due chiavi, una strettamente personale (privata) ed una da condividere con tutti (pubblica). Un interlocutore può cifrare un messaggio con la chiave pubblica del destinatario, ma solo il destinatario potrà leggere il messaggio, decifrandolo grazie alla propria “chiave privata”. Dal momento che tutti i cifrari a chiave pubblica basano la propria sicurezza su funzioni matematiche complesse, per decifrare un messaggio senza conoscerne la chiave è richiesta una potenza di calcolo enormemente superiore alle macchine attualmente in commercio, rivelandosi praticamente impossibile, seppur teoricamente fattibile grazie ad un attacco brute-force (ovvero provare tutte le combinazioni possibili) oppure utilizzando una rete di computer che insieme cercano di forzare l’algoritmo tramite le vulnerabilità matematiche dello stesso. 

Ad oggi la Crittografia è presente praticamente in ogni momento della nostra vita, basti pensare ad esempio ai siti web che mettono a disposizione il protocollo “HTTPS”, ovvero un sistema di interscambio di dati tra il nostro browser, il programma che usiamo per navigare in Internet, e il sito web visitato.
Un altro esempio è la Cifratura end-to-end (ad esempio la cifratura di WhatsApp), ovvero un sistema di interscambio che permette solo agli interlocutori interessati di leggere il contenuto della comunicazione.Con la crittografia end-to-end neanche il server di Whatsapp stesso può leggere il contenuto dei messaggi scambiati. E’ comunque doveroso ricordare come l’applicazione Whatsapp e altre simili sono a codice chiuso, di conseguenza non è dato sapere al pubblico le effettive operazioni che l’applicazione fa.
E’ bene ricordare infatti, che anche se l’applicazione è pubblicamente riconosciuta come affidabile, non è un mistero che alcuni governi possano chiedere alle aziende interessate l’implementazione di backdoor (letteralmente “porte di servizio” per poter leggere i messaggi) o protocolli come il “ghost protocol” (ovvero un “interlocutore fantasma”, in questo caso il governo, che facendo parte della conversazione, potrebbe leggere i messaggi senza sforzo).

E’ facile constatare che la corsa alle tecnologie non ha freni e ciò può far pensare che andando avanti nel tempo tali cifrari possano essere “rotti” grazie a potenze di calcolo e processori sempre più potenti, ecco perché si corre ai ripari aggiornando gli algoritmi o creandone di nuovi, sempre più resistenti e sicuri.

Questo “rincorrersi”, però, potrebbe subìre un grosso mutamento, grazie ad una nuova tecnologia che sta nascendo in questi anni, che potrebbe davvero cambiare il mondo della comunicazione e della crittografia, ovvero il “Quantum Computing”.
Il Computer Quantistico è un nuovo tipo di elaboratore, il quale sfrutta i principi della Meccanica Quantistica per poter effettuare delle operazioni ed elaborare informazioni. Per poter funzionare, infatti, il Computer Quantistico non utilizza il bit ordinario, bensì il “qubit” o “quantum bit”. Il qubit si differenzia dal bit “classico” in quanto non è un semplice “0” o “1”, bensì, codifica l’informazione in base allo stato dell’atomo che si sta osservando. 
Per fare un esempio, il bit ordinario può essere rappresentato dal lancio della moneta nel classico “testa o croce”.
Il risultato del lancio rappresenta “0” o “1”, andando a codificare i bit.
Ora immaginate di prendere la stessa moneta, e di farla ruotare su se stessa, e immaginate che la moneta non si fermi mai. La moneta avrà due stati, che possono essere rappresentati come informazione binaria “0” o “1”. La stessa moneta può trovarsi, però, in “sovrapposizione di stati”, ovvero gli stati “0” e “1” possono combinarsi tra loro per dar vita ad un certo numero di nuovi stati.
Questa combinazione, ovvero il principio di sovrapposizione degli stati, permette di ampliare la codifica delle informazioni, permettendo di ampliare esponenzialmente le possibilità di calcolo. 
Il principio di sovrapposizione è il primo postulato della meccanica quantistica.
Esso afferma che due o più “stati quantici” possono essere sommati (sovrapposti), generando uno stato quantico valido.
Ogni stato, inoltre, è la somma (sovrapposizione) di più stati quantici.
Uno “stato quantistico”, o “stato quantico” è la rappresentazione matematica di un sistema fisico, ovvero una “porzione di universo” o un fenomeno, oggetto di studio.  
Basandosi sui principi della Meccanica Quantistica, sono stati costruiti dei sistemi molto complessi, denominati appunto “Computer Quantistici”.

La prima realizzazione di questo sistema risale al 2001, quando IBM crea il primo computer quantistico a 7 qubit.

Nel 2007, l’azienda “D-Wave Systems” realizza il primo elaboratore quantistico a 16 qubit.

Sempre D-Wave Systems, realizza nel 2011 il “D-Wave One”, ovvero un elaboratore a 128 qubit, il primo elaboratore quantistico ad essere commercializzato.

Nel 2013 viene prodotto il “D-Wave Two”, elaboratore a 512 qubit.

Tra il 2016 e il 2019, IBM mette a disposizione la cosiddetta “Quantum Experience” ovvero una piattaforma in Cloud, che mette a disposizione processori e network quantistici.


D-Wave Computer

Le due piattaforme (D-Wave e IBM) sono molto diverse tra di loro.
In dettaglio, il D-Wave Two è formato da circuiti di superconduttori.
Ogni superconduttore rappresenta un qubit.
Il sistema è mantenuto alla temperatura di -271 gradi centigradi.
All’innalzamento della temperatura, gli elettroni possono ruotare su se stessi, con uguale probabilità, sia in senso orario che antiorario, generando così la sovrapposizione di stati, necessaria al funzionamento del computer quantistico.

Processore a 128 qubits (Dwave Systems)

IBM Quantum Experience, invece, presenta un’infrastruttura connessa in Cloud la quale permette di poter programmare fino a 5 qubit ed eseguire il proprio software quantistico su di un processore quantistico, o su di un simulatore collegato in Cloud. Il Quantum Experience permette la creazione di software quantistici fino a 5 righe di “codice”, una per qubit.


Esempio di Console IBM per la programmazione di Software Quantistici

E’ facile notare come sia iniziata una “corsa al quantistico”, ma perché questo?
Il motivo principale di tale corsa al “quantum bit”, è da ricercarsi nell’ambito bellico, ovvero la “conquista” dell’informazione del nemico. Chiunque abbia un interesse bellico cerca di “rompere” i sistemi crittografici del nemico e , l’enorme potenza di calcolo del computer quantistico sembra promettere miracoli. Come ogni tecnologia, però, ogni strumento può essere utilizzato sia da chi attacca, sia da chi difende.

Ma torniamo per un attimo al Cifrario Perfetto, il One Time Pad.
Questo Cifrario non è utilizzato in ambito comune, in quanto la distribuzione della chiave è un problema non facilmente risolvibile in una normale rete informatica. Si è passati, quindi, a studiare tramite gli stessi principi della meccanica quantistica la possibilità di utilizzare il One Time Pad in un modo mai visto prima.
Due ricercatori e docenti universitari (Geraldo A. Barbosa - University of Southern California e Jeroen van de Graaf - Universite de ´Montreal) nel 2015 hanno presentato un sistema di creazione e distribuzione della chiave del One Time Pad, sfruttando il “rumore” presente in un cavo in fibra ottica al passaggio del fotone.
Il rumore è un’interferenza, una lieve alterazione, rispetto al segnale originario.
Il rumore è perfettamente casuale per cui può essere utilizzato per generare un numero illimitato di chiavi e anche per distribuirle facilmente, risolvendo i problemi del One Time Pad finora presentati. 
Sempre per l’utilizzo del One Time Pad è stata ideata la cosiddetta “Quantum Key Distribution” o QKD. Tramite la Quantum Key Distribution, è possibile, tramite i principi della meccanica quantistica, generare chiavi e distribuirle in maniera sicura, questo perché una qualsiasi misurazione su di un sistema quantistico ne altera lo stato (principio di indeterminazione), di conseguenza gli interlocutori scoprirebbero subito che qualcuno sta cercando di captare la chiave distribuita (e ovviamente, essendo la misurazione alterata, la chiave “catturata” non sarebbe quella corretta).

Per quanto riguarda gli utilizzi in ambito militare, gli scenari sono in costante evoluzione.

Se nel 2016 la Cina ha lanciato in orbita il primo satellite, il Micius, per comunicazioni quantistiche, in tutto il mondo si stanno studiando le possibilità di questi nuovi sistemi.
In dettaglio il satellite Micius (nome derivante da un antico filosofo cinese) è il primo satellite sperimentale facente parte di un progetto molto più grande di nome “QUESS” (Quantum Experiments at Space Scale), un progetto internazionale di ricerca nel campo della fisica quantistica. Gli obiettivi del progetto sono quelli di portare entro il 2020 una rete quantistica cifrata tra Asia e Europa, ed entro il 2030 di estendere tale network a livello globale. 
Il progetto QUESS mira a creare una rete non solo “crittograficamente” sicura, bensì anche impossibile da intercettare e ciò è possibile grazie ad un altro principio della fisica quantistica non presente nella fisica classica, detto “entanglement”. 
L’entanglement quantistico è un fenomeno che si verifica in particolari condizioni in cui uno “stato” quantistico non può essere studiato o descritto singolarmente, ma solo come “sovrapposizione di stati”.
Da questo ne consegue che la misurazione di uno stato determina simultaneamente anche il valore degli altri.

Un gruppo di ricercatori di Glasgow è riuscito a fotografare l’entanglement tra due fotoni:

Grazie a questo speciale fenomeno, il progetto QUESS è riuscito ad eseguire grazie al satellite Micius il primo teletrasporto di fotoni. Attualmente il progetto QUESS è in fase di sviluppo, e nonostante i limiti (la rete non può essere utilizzata con la presenza di luce solare), nel 2016 è stata effettuata la prima video-chiamata sulla rete quantistica. Ottenere, quindi, la supremazia in questo ambito potrebbe comportare un vantaggio enorme sui competitor.

Data la potenza di calcolo dei computer quantistici e il rischio effettivo che i cifrari attualmente in uso non possano resistere, i crittografi stanno studiando degli algoritmi, appositamente creati per resistere a questi elaboratori estremamente potenti. Da questo studio, nasce il termine “post-quantum cryptography”.

Ci sono, tuttavia, degli algoritmi che già possono resistere ad un attacco di un computer quantistico, se utilizzati con una chiave sufficentemente lunga.
Uno di questi è l’AES, ovvero l’Advanced Encryption Standard, il quale è utilizzato dal Governo Americano per proteggere i Documenti classificati come “top secret”, utilizzabile da chiunque ed incluso in numerosi Framework, ovvero dei pacchetti, per sviluppatori, per creare software.

Le varie aziende, come Microsoft e IBM, stanno rilasciando al grande pubblico anche dei simulatori del computer quantistico, per poter imparare a programmare su questo tipo di macchine.

Microsoft ha rilasciato anche un linguaggio apposito, chiamato “Q#” (Q-sharp) e degli esercizi, chiamati “Katas”, per imparare ad utilizzare questa nuova tecnologia.

E voi, siete pronti per il futuro? 

… perché, in fondo in fondo, è già qui!

Alessandro Fiori

Per approfondire: