lunedì 27 aprile 2020

Steganalisi e Machine Learning: una risposta europea

La steganografia è un meccanismo segreto di codifica delle informazioni attraverso un qualsiasi mezzo di trasmissione. Il suo utilizzo è noto sin dall’antica Grecia anche se è entrata ufficialmente nei glossari sul finire del XV secolo. Sia la codifica che il mezzo di trasmissione sono segreti, ovvero noti solo alle parti che intendono comunicare in maniera occulta. La steganografia si presenta dunque come strumento ideale per la realizzazione di canali di comunicazione segreti che possono essere utilizzati in scenari sofisticati di spionaggio, crimine informatico e violazioni della privacy di soggetti pubblici e privati.

La steganografia si differenzia dalla crittografia, in cui la codifica delle informazioni e il mezzo di trasmissione sono in genere noti (si pensi ad esempio al protocollo HTTPS usato dal sito che ospita questo articolo). In questo caso la privatezza dell’informazione è garantita dal meccanismo di codifica che rende (estremamente) difficile1 l’invio/estrazione dell’informazione senza la conoscenza di informazioni aggiuntive, note come chiavi di cifratura/decifratura. Tali chiavi sono note solo alle parti autorizzate alla comunicazione (ad esempio, il vostro browser e il nostro server web).

Il processo di analisi della steganografia è anche noto come steganalisi. In prima istanza questo processo si prefigge di rilevare la presenza di steganografia in uno o più mezzi di trasmissione, e solo in seconda istanza può procedere all’estrazione del messaggio nascosto.

L’efficacia delle tecniche di steganalisi è strettamente dipendente dal grado di sofisticazione e “personalizzazione’’ delle tecniche steganografiche utilizzate da un malintenzionato avversario.

Il caso più semplice da affrontare è quello in cui la steganografia viene effettuata tramite strumenti “a scaffale”. Questo caso riflette un avversario con basso (o nullo) livello di conoscenza della steganografia, e che semplicemente utilizza strumenti implementati e resi disponibili da altri: in sicurezza informatica un tale avversario viene spesso denominato script kiddie.

In ambito digitale esistono molti software che implementano steganografia e la maggior parte di questi combina tecniche crittografiche. In Tabella 1 vengono mostrati esempi di software open-source che impiegano entrambe le tecniche.

Naturalmente, gli strumenti “a scaffale” sono in genere disponibili anche a chi intende effettuare steganalisi. Nell’implementare la steganografia, ciascun software lascia in genere (più o meno implicitamente) degli artefatti caratteristici nei file manipolati, che possono essere studiati per costruire delle firme (fingerprinting). Queste firme possono essere usate in fase di steganalisi per identificare non solo la presenza di steganografia, ma lo specifico strumento utilizzato, nonché l’estrazione dei contenuti nascosti [7,8]. La maggior parte dei sistemi di steganalisi utilizza questo meccanismo [9].

È facile osservare che ci si trova in un circolo vizioso (“arms-race”) che prevede un incremento della sofisticazione delle tecniche e degli strumenti usati sia da chi intende usare steganografia, sia da chi invece intende smascherarla e rilevarne i contenuti nascosti. Fra i due profili, in genere la prima figura è avvantaggiata, poiché potrà in ogni momento cambiare mezzo di trasmissione e/o codifica delle informazioni per sfuggire alla rilevazione.

Ad esempio, un avversario potrebbe modificare l’implementazione del software di steganografia per sfuggire al fingerprinting, o addirittura implementare tecniche steganografiche totalmente nuove. Ciò naturalmente ha un costo –non siamo più in presenza di script kiddie– ma tale costo può essere ben bilanciato dalle motivazioni (es. vantaggi strategici/economici da parte di un’organizzazione di cyber-spionaggio).

Questa situazione è ben nota nel campo della sicurezza informatica: in genere è molto più semplice attaccare i sistemi informatici che difenderli. Le istanze di malware si manifestano in continue varianti “polimorfiche” proprio per evadere i meccanismi di rilevazione in essere per la protezione dei sistemi (es. firme degli antimalware).

In questo scenario, il machine learning (apprendimento automatico da esempi) può rappresentare una sofisticata arma al servizio di chi intende smascherare la steganografia. Tramite tecniche di machine learning è infatti possibile mettere a punto automaticamente un modello di steganalisi a partire da un insieme di campioni di file con e/o senza steganografia.

La maggior parte degli approcci proposti utilizza il cosiddetto apprendimento supervisionato a due classi (steganografia presente/assente), che prevede l’utilizzo di campioni sia con che senza steganografia, per determinare automaticamente differenze di rilevanza statistica. Questo metodo è particolarmente utile per rilevare la presenza di varianti di tecniche steganografiche note (es. implementate in nuovi software) per cui non esistono firme.
Esempi di vari algoritmi basati su apprendimento supervisionato per la rilevazione di steganografia in immagini sono stati implementati in una libreria open-source chiamata Aletheia [10].

Firme e apprendimento supervisionato possono fornire buona accuratezza quando si tratta di rilevare tecniche di steganografia nota e sue varianti, ma sono soggetti ad evasione in presenza di tecniche totalmente nuove, ad esempio, dal profilo statistico significativamente diverso da quello osservato sui campioni usati per l’addestramento.

Per questo, altri studi [11,12] hanno invece proposto l’uso di tecniche di apprendimento non supervisionato – anomaly-based. Questo approccio prevede il solo utilizzo di campioni in cui la steganografia è assente, per la costruzione automatica di un profilo normale. La presenza di anomalie (“outlier”), ovvero deviazioni da questo profilo, può essere dunque utilizzata per rilevare tecniche steganografiche totalmente sconosciute. Questo approccio, tuttavia, deve focalizzarsi su aspetti (feature) la cui deviazione dalla norma sono alto indice di manipolazione per offrire buona accuratezza. Si pensi, ad esempio, al confronto tra dimensione specificata nell’intestazione di un file, rispetto alla dimensione effettiva.

Poiché ciascuna tecnica di steganalisi ha i suoi pregi, spesso è utile una combinazione di esse: firme, apprendimento supervisionato e non [12]. Lo sa bene la Commissione Europea che ha finanziato a questo scopo un progetto strategico, denominato SIMARGL - Secure intelligent methods for advanced recognition of malware, stegomalware & information hiding methods (Grant Agreement n° 833042 – www.simargl.eu).

Il progetto, con un budget totale di 6 milioni di euro, mira alla creazione di sistemi avanzati di steganalisi applicata alla rilevazione di (stego)malware, software malevolo sempre più utilizzato dal crimine informatico e stati nazionali in azioni di spionaggio. In questo progetto, attori internazionali del calibro di Airbus, Siveco, Thales, Orange Cert, FernUniversität (coordinatore del progetto), si affiancano a tre “italiane” nel contrasto allo stegomalware: Pluribus One, spin-off dell'Università di Cagliari, partecipa come software provider e developer; CNR, Unità di Genova, mette in campo gli algoritmi di rilevamento Energy-Aware basati sull'intelligenza artificiale; Numera, società operante nell’ambito dell’ICT con sede a Sassari, sottoporrà al “vaglio” di SIMARGL alcuni dei propri sistemi rivolti al mercato del credito.

In totale, sono 14 i partner internazionali (partecipano al consorzio anche Netzfactor, ITTI, Warsaw University, IIR, RoEduNet, Stichting CUIng Foundation) provenienti da 7 paesi che metteranno in campo intelligenza artificiale, sofisticati prodotti già disponibili e algoritmi di machine learning in via di perfezionamento, al fine di proporre una soluzione integrata in grado di affrontare diversi scenari e di agire a diversi livelli: dal monitoraggio del traffico di rete al rilevamento di bit offuscati all’interno di immagini.

La sfida del progetto SIMARGL è appena iniziata e fornirà concrete risposte al problema dello stegomalware nei prossimi due anni: il progetto si concluderà infatti nell’aprile del 2022.

È importante sottolineare che il machine learning (e più in generale l’intelligenza artificiale) è una tecnologia neutra (come tantissime altre tecnologie). Nello specifico è di uso duale [13] e non appartiene al dominio dei buoni. In principio, il machine learning può anche essere usato per sviluppare tecniche steganografiche più sofisticate, polimorfiche, basate sui dati. Prepariamoci, perché questo scenario potrebbe rappresentare il futuro delle minacce informatiche (e forse un pezzo di futuro è già presente).


Igino Corona e Matteo Mauri


Note:

1.  Il grado di difficoltà identifica in genere la robustezza della codifica.

Riferimenti: 







[7] Pengjie Cao, Xiaolei He, Xianfeng Zhao, Jimin Zhang, Approaches to obtaining fingerprints of steganography tools which embed message in fixed positions, Forensic Science International: Reports, Volume 1, 2019, 100019, ISSN 2665-9107, https://doi.org/10.1016/j.fsir.2019.100019.

[8] Chen Gong, Jinghong Zhang, Yunzhao Yang, Xiaowei Yi, Xianfeng Zhao, Yi Ma, Detecting fingerprints of audio steganography software, Forensic Science International: Reports, Volume 2, 2020, 100075,ISSN 2665-9107, https://doi.org/10.1016/j.fsir.2020.100075



[11] Jacob T. Jackson, Gregg H. Gunsch, Roger L. Claypoole, Jr., Gary B. Lamont. Blind Steganography Detection Using a Computational Immune System: A Work in Progress. International Journal of Digital Evidence, Winter 2003, Issue 1, Volume 4

[12] Brent T. McBride, Gilbert L. Peterson, Steven C. Gustafson. A new blind method for detecting novel steganography, Digital Investigation, Volume 2, Issue 1, 2005, Pages 50-70, ISSN 1742-2876,



Hackers all'attacco della U.S. AIR FORCE (che ringrazia)!

The Defense Digital Service is a SWAT team of nerds working to improve technology across the Department of Defense”. Questa frase campeggia nella homepage del Defence Digital Service DDS, un’agenzia del Dipartimento della Difesa degli Stati Uniti d’America che ha per missione l’innovazione e la trasformazione in senso tecnologico del predetto Dipartimento e, in particolare “use design and technology to improve government services, strengthen national defense, and care for military members and their families”. Per fare ciò, l’agenzia conta tra le proprie fila, oltre a interessantissime figure professionali come quella dei “bureaucracy hackers”, anche i citati “nerds”, che il sito Garzanti Linguistica definisce “nell’uso giovanile, giovane dall’aspetto goffo e insignificante, che sublima la propria condizione con una grande abilità e passione per computer e videogame | studente che ottiene buoni risultati grazie all’ostinata applicazione, ma non brilla per intelligenza; secchione”. Ma che apporto potrà mai dare un’agguerrita squadra di “secchioni” al Dipartimento della Difesa della superpotenza militare per eccellenza? Certamente hanno delle validissime idee di successo che ad altri, evidentemente, non vengono in mente. Un chiaro esempio è il programma “Hack the Pentagon”, che ha dato origine ad altre iniziative molto interessanti nel campo del bug hunting, tra cui, in ordine di tempo, si è posta in evidenza “Hack the Air Force 4.0”, che ha visto verso la fine del 2019 un “battaglione” di hackers lanciarsi all’assalto dell’infrastruttura tecnologica dell’aeronautica statunitense. Vediamo in cosa consiste questo genere di attività e quali risultati consente di ottenere. 

Più di una volta, su queste pagine, si è cercato di valorizzare la figura dell’hacker etico (o white hat hackers) che, essenzialmente, è un appassionato di informatica che si dedica a ricercare le vulnerabilità di sicurezza dei sistemi informatici (errori di programmazione e/o di configurazione), segnalandole al relativo sviluppatore piuttosto che all’utilizzatore o alle autorità. Nata come una figura per certi versi “romantica”, contrapposta a quella dell’hacker non etico (o black hat hacker), che sfrutta le vulnerabilità di sicurezza per attaccare i sistemi, quella dell’hacker “buono” è divenuta nel tempo anche una riconosciuta figura professionale. Peraltro, per accedere a tale professione è necessario conseguire impegnative certificazioni basate su standard internazionalmente riconosciuti, tanto che la figura del Certified Ethical Hacker è molto richiesta da parte sia di aziende private che di organizzazioni statali. Proprio tale preziosa figura, mai sfruttata abbastanza nel nostro Paese, soprattutto nella sua declinazione “amatoriale”, è al centro dei programmi di bug hunting (o di bug bounty) come Hack the Air Force 4.0, che si pongono l’obiettivo di cercare le falle di sicurezza dei sistemi informatici mediante competizioni tra hackers. In particolare, la competizione riguardante i sistemi dell’aeronautica statunitense si inquadra nella più ampia iniziativa “Hack the Pentagon”, programma di bug bounty lanciato nel 2016, ideato e gestito dal citato DDS avvalendosi dell’azienda di servizi HackerOne, che funge da interfaccia con una community a livello globale che conta più di 500.000 hacker etici. Nello specifico, tale programma si pone l’obiettivo di organizzare ed eseguire eventi di bug hunting focalizzati sui sistemi del Dipartimento della Difesa, al fine di rilevare e risolvere eventuali falle di sicurezza sconosciute persino ai rispettivi produttori. Ancorché la maggior parte degli hacker etici sia mossa da motivazioni che riguardano la gratificazione personale, tali eventi prevedono dei premi in denaro per i vincitori. In tale contesto, negli scorsi mesi di ottobre e novembre si è svolta la citata Hack the Air Force 4.0, una competizione che ha visto impegnati 60 hackers coordinati da HackerOne, nello “stress test” dal punto di vista della sicurezza del Virtual Data Center della U.S. Air Force, ossia il cloud che eroga i servizi informatici della Forza Armata. La quarta edizione della competizione dedicata all’Aeronautica ha consentito di rivelare ben 460 vulnerabilità di sicurezza e ha permesso di elargire premi per 290.000 $. Nel complesso, Hack the Pentagon ha permesso di scoprire 12.000 vulnerabilità fino ad allora sconosciute e che sarebbero potute essere scoperte e sfruttate da qualche malintenzionato. Insomma, quest’ultima edizione, a detta dei responsabili del programma, ha confermato che si tratta di un programma di successo sotto molti punti di vista. Immaginiamo quali possano essere i punti di forza dei programmi di bug hunting del DDS e, in generale, di iniziative simili.


Il primo, più immediato, consiste nel consentire al Dipartimento della Difesa di rendere i propri sistemi certamente più sicuri, in quanto le falle di sicurezza sono ovviamente prontamente rimosse prima di venir rese pubbliche, di conseguenza gli hacker non etici si dovranno impegnare molto di più nel scovare eventuali ulteriori vulnerabilità. Anche l’aspetto finanziario del programma è evidentemente vantaggioso, visto che prosegue ormai da 4 anni. Probabilmente, i premi in denaro, gratificanti per i vincitori, sono degli investimenti particolarmente vantaggiosi anche per il Dipartimento, conscio delle “parcelle” molto più alte degli hacker certificati e delle aziende in cui operano. Oltretutto e questo è il terzo aspetto di successo, ricorrendo ai programmi di bug hunting non ci si affida a un’azienda in particolare, bensì a una comunità eterogenea di hacker, ognuno con capacità ed esperienze diverse e soprattutto non legati ad alcun specifico produttore di hardware o software. Ciò, consente di ottenere dei risultati realmente indipendenti, che peraltro non sono frutto di un asettica valutazione “in laboratorio”. Per capire meglio le potenzialità dei programmi di bug hunting, si pensi che con la stessa metodologia, lo scorso anno, mediante una competizione tra hacker sviluppata in due fasi e dedicata al jet F-15 dell’U.S. Air Force, sono state scoperte alcune vulnerabilità di sicurezza di un sistema critico per l’intera piattaforma d’arma, ossia il Trusted Aircraft Information Download Station, deputato a raccogliere i dati acquisiti dai sensori e dalle telecamere dell’aereo durante il volo. Tant’è, che nei piani del DDS c’è l’intenzione in futuro di mettere alla prova anche i vettori aerei veri e propri, nonché le piattaforme satellitari. Altro punto positivo delle competizioni di bug hunting con molta probabilità consiste nella "fidelizzazione" degli hacker con le Forze Armate e il coinvolgimento del mondo industriale. Insomma, l’instaurazione di quel circolo virtuoso che in molte sedi, comprese queste pagine, è stato evidenziato essere uno degli elementi che dovrebbero stare alla base di una strategia di cyber security nazionale. In tal modo, infatti, i militari prendono coscienza dell’ineludibile esigenza di potersi avvalere di sistemi ideati e sviluppati per essere sicuri, senza trascurare alcun aspetto e della necessità di doverli testare continuamente durante l’intero ciclo di vita, dalla loro acquisizione alla dismissione. Dall’altro lato, gli hacker etici, oltre a cimentarsi in sfide stimolanti, sanno di rendersi utili per il proprio Paese, contribuendo attivamente alla sua sicurezza. Oltretutto, le Forze Armate possono fare scouting e gli hackers possono valutare l’opportunità di intraprendere la carriera militare. Infine, ultimo aspetto, le aziende vengono spinte a sviluppare software e hardware sempre più sicuri, magari assumendo proprio gli stessi hacker che scoprono le falle dei loro sistemi. Certo, secondo il DDS ci sono anche alcuni lati negativi da migliorare, principalmente riferiti agli aspetti legali dei contratti di cui si avvale il Dipartimento della Difesa per la fornitura e gestione dei servizi informatici. Tuttavia, il bilancio di competizioni quali Hack the Air Force è certamente di gran lunga positivo per tutte le parti coinvolte.

Al termine di questa breve disamina dei programmi di bug hunting del DDS, giova evidenziare ancora una volta quanto il variegato mondo degli hacker etici possa rappresentare, anche per l’Italia, una validissima risorsa. In questo periodo caratterizzato da migliaia di drammi familiari causati dalle conseguenze della COVID-19, emerge ancor di più forte l'ineludibile esigenza di poter disporre di sistemi, reti e servizi informativi che siano in grado di garantire un adeguato livello di sicurezza. Da essi, peraltro, non dipendono soltanto le nostre vite, bensì anche l’economia del paese, resa ancor più fragile dalle conseguenze della pandemia tuttora in corso. Ciò, a dispetto di tecnologie spesso superate, eterogenee, complesse, non sviluppate per essere aderenti ai requisiti di sicurezza, anche minimi e a dispetto di minacce subdole, più o meno sofisticate ma sempre riconducibili ad attori spietati, senza scrupoli, numericamente soverchianti, ben organizzati e spesso con ingenti risorse a disposizione. Per far fronte a questo spaventoso scenario c’è bisogno dell’aiuto di tutti, professionisti o meno e di tutte le loro migliori capacità ed energie. Pertanto, c’è bisogno più che mai anche degli hacker etici, una risorsa ancora per lo più sconosciuta o non considerata in maniera adeguata e quindi non sfruttata abbastanza.
Perciò, lunga vita ai nerds!

P.S.: mentre in molti Paesi si continua a straparlare di cyber security con insufficiente concretezza, le autorità australiane, qualche settimana fa, hanno “dichiarato guerra” ai cyber criminali che approfittano dell’emergenza causata dalla COVID-19 per colpire cittadini, ospedali, istituzioni e aziende australiane. Attenzione, non si tratta una guerra fatta di decreti, di carte bollate, di lunghe indagini, di denunce e di processi. E’ una guerra affidata all’intelligence militare australiana (Australian Signals Directorate) e condotta ricorrendo anche a cyber attacchi mirati, rivolti ai cyber criminali, chiunque siano e da chiunque siano sponsorizzati. Vediamo che succede.

Ciro Metaggiata

Per approfondire:






sabato 25 aprile 2020

Swiss Crypto AG scandal e alcune considerazioni di sicurezza per l'Italia che verrà

Tutti abbiamo sentito parlare di quanto sia pericolosa la Società Huawei grazie all'impiego della tecnologia 5g ed infatti è sulla lista nera americana in quanto apparentemente capace di spiare le comunicazioni di tutti.
Se proviamo a fare una semplice ricerca su Bing delle parole chiavi "Huawai 5G USA" saltano fuori più di 9 milioni di risultati mentre su Google addirittura 33 milioni, con Yandex sono "solo" 28 milioni... In testa alla lista appaiono sempre gli articoli che la guerra economica e di spionaggio tra Stati Uniti e Cina.
Lo scandalo di Cambridge analitica è un altro indice dell'importanza dei dati e dello spionaggio continuo esercitato da tutti, Stati e industrie, per gli scopi più disparati.
Se facciamo la ricerca con "Cambridge Analytica scandal" otteniamo dei numeri più modesti: con Bing abbiamo circa 1 milione di risultati, con Google abbiamo circa 1.2 milioni di risultati, con Yandex invece addirittura 2 milioni di risultati.
Se facciamo una ricerca su "Swiss Crypto AG scandal", su Bing abbiamo circa 14 mila risultati, su Google abbiamo circa 200 mila risultati, su Yandex abbiamo invece addirittura 4 milioni di risultati.

Ora poniamoci alcune domande: perché queste differenze?
La risposta non è semplice e comprende un misto di tecnologia, lingua utilizzata, interesse nel diffondere l'informazione da parte degli Stati e delle grandi società e tanto, tanto altro: in pratica ciò che sto dicendo è che i motori di ricerca influenzano gli utilizzatori.
Non credo, fino a qui, di aver detto niente di strano.

Prendiamo ora in considerazione, solo per un attimo, l'ultima ricerca effettuata: Swiss Crypto AG scandal.

Lo scandalo è recente. E' stato scoperto e denunciato pubblicamente dal Washington Post e dalla ZDF appena l' 11 febbraio 2020 (e questo in parte giustifica il basso numero di riferimenti su Google e Bing) ed è probabilmente il più grande scandalo legato allo spionaggio occidentale, eppure quali sono i risvolti verso i governi occidentali?
Per capire di cosa stiamo parlando forse però è necessario fare un passo indietro.
La società svizzera Crypto AG è una società che produceva dispositivi di cifratura che venivano considerati sicuri fin dagli anni '50 e fino al 2018, dunque per quasi 70 anni. Il fondatore, Boris Hagelin, negli anni 50 fece un accordo verbale con la CIA per vendere i suoi dispositivi solo ai paesi amici, questo per impedire lo studio e la diffusione della tecnologia ritenuta all'avanguardia.
Negli anni '70 la CIA e la tedesca BND cominciarono a lavorare assieme sulle apparecchiature della Crypto AG modificandole per poter più facilmente rompere i codici e avere facile accesso ai messaggi. Secondo un articolo della SaltDNA anche l'Italia ricade tra i paesi illecitamente spiati dalle due agenzie grazie ai dispositivi "sicuri" della Crypto AG. 
Cosa significa questo in termini semplici? 
Significa che i messaggi segreti scambiati con gli apparati della società erano, probabilmente, registrati e ascoltati da USA e Germania, per non parlare dei più stretti alleati, ovvero i famosi paesi del "Five Eyes": UK, Canada, Australia, Nuova Zelanda e USA.
Cosa significa ciò in termini di fiducia?
Significa che non ci si può fidare di nessuno, ne dei nemici, ne degli alleati. 
Con ciò non voglio dire che bisogna rompere le alleanze o cambiare alleanza ogni soffio di vento, non ha alcun senso. 
Voglio dire che uno Stato serio, degno di questo nome, deve organizzarsi per avere le capacità di produrre o controllare gli strumenti da impiegare per la propria sopravvivenza in tempo di guerra come in tempo di pace.
Nel mondo in cui viviamo ciò significa capacità di AI, Cyber, Analisi dei dati, armamenti, ricerca...

Non essere dotati di una capacità strategica, tecnologica, industriale o di conoscenza, significa dipendere dagli altri, e non sempre gli altri fanno i nostri interessi...

Dimenticavo, qualche nostro bravo politico si è interessato alla cosa, magari chiedendo una indagine in merito?
Non so, ma me lo auguro… infatti, essere alleati non significa essere disposti ad accettare qualunque comportamento della controparte nei nostri confronti!

Alessandro RUGOLO


Per approfondire:

https://www.zdf.de/nachrichten/politik/cryptoleaks-bnd-cia-operation-rubikon-100.html

https://www.zdf.de/nachrichten/politik/cryptoleaks-bnd-cia-operation-rubikon-100.html

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/

https://www.theguardian.com/us-news/2020/feb/11/crypto-ag-cia-bnd-germany-intelligence-report

https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scandalo-senza-precedenti-cambridge-analytica-allennesima-potenza/

https://saltdna.com/news/how-governments-used-swiss-crypto-ag-encryption-devices-to-spy-on-countries-for-decades

https://www.cryptomuseum.com/people/boris_hagelin.htm

https://uk.pcmag.com/cpus-components/124845/report-cia-used-swiss-firm-to-spy-on-allies-foes-via-hacked-encryption-tech

https://www.agendadigitale.eu/sicurezza/privacy/crypto-ag-che-deve-insegnare-lo-scandalo-privacy-al-governo-italiano/

giovedì 23 aprile 2020

Kudankulam Nuclear Power Plant (Kknpp) Cyber security incident: cos'è accaduto nel 2019?

Kudankulam Nuclear Power Plant  |  Photo Credit: IANS
Sfogliando un report indiano sull'impiego delle nuove tecnologie nel settore della Difesa sono capitato per caso su un breve articolo che parlava delle indagini condotte nella Centrale Nucleare di Kudankulam, in India, a seguito di un incidente cyber occorso a fine ottobre 2019.
La notizia forse è stata sottovalutata in Italia ma a mio parere merita un breve approfondimento.
Tutti conoscono la storia dell'attacco cyber al sito di arricchimento dell'uranio iraniano (Stuxnet) ed è abbastanza intuitivo capire il danno che potrebbe arrecare un attacco ad una centrale nucleare per cui riteniamo opportuno far conoscere ciò che accade nel mondo.
La centrale nucleare di Kudankulam è la più grande centrale nucleare indiana, appartiene alla società governativa Nuclear Power Corporation of India Limited (NPCIL), ed è situata nel distretto di Tirunelveli, nello stato di Tamil Nadu. La costruzione della centrale è iniziata nel 2002, le prime due unità hanno cominciato a produrre elettricità nel 2013 e 2016 e altre due unità sono in costruzione. 
Il progetto di costruzione risale ad un accordo del 1988 tra l'India e la Russia e la società russa Atomstroyexport, sussidiaria della più nota Rosatom.
La notizia di una compromissione dei sistemi della centrale è emersa sui social ma la società ha inizialmente negato l'accaduto.
Il 30 ottobre 2019 la società ha rettificato la sua posizione, ammettendo l'incidente. Secondo la NPCIL solo un PC connesso ad Internet per motivi amministrativi, subito isolato, è stato compromesso. La rete interna per la gestione della centrale non è stata compromessa.
L'attacco è stato attribuito al virus Dtrack RAT, impiegato solitamente dal gruppo nordcoreano Lazarus Group come strumento di spionaggio per la raccolta di dati dai sistemi infetti.
L'incidente era stato segnalato già dal 4 settembre agli organi governativi competenti dal ricercatore e analista di sicurezza indiano Pukhraj Singh. 
Una strana coincidenza ha determinato che il 19 ottobre uno dei due reattori sia stato fermato. 

Come sia andata lo dice il governo con una Press Release di fine novembre in cui afferma che effettivamente vi è stato un attacco, condotto attraverso la rete amministrativa della centrale, connessa ad Internet. 

Il sistema di controllo della Centrale non è stato affetto dal virus.

Le indagini sono state condotte dal Computer & Information Security Advisory Group (CISAG)-DAE in coordinazione con la Indian Computer Emergency Response Team.

Alcune brevi considerazioni:
- la prima reazione della società è stata quella di negare l'accaduto, e questo la dice lunga sul suo comportamento. Negare senza neanche investigare non può essere considerato un comportamento serio e responsabile da chi gestisce un sistema potenzialmente pericoloso. 
- Dopo aver negato l'accaduto, sono passati all'ammissione, dicendo però che false informazioni erano state messe in giro sui social networks e che non è possibile attaccare il "Nuclear Power Plant Control System". Anche questa seconda affermazione è quanto meno rischiosa, siamo infatti più che convinti che nulla sia ormai impossibile, ma soprattutto che la troppa certezza di invulnerabilità in questo settore sia foriera di sottovalutazioni e sventure;
- come mai nella nostra area non si è parlato dell'incidente? Forse che far finta di niente allontani il pericolo? Mi spiace, noi siamo fermamente convinti che i problemi si risolvano affrontandoli e il primo passo consiste nel parlarne, informarsi, studiare...


Alessandro Rugolo

Per approfondire:
- https://www.timesnownews.com/india/article/cyber-attack-targeted-kudankulam-nuclear-power-plant-confirms-npcil-malware-traced-to-n-korea-s-dtrack/510009;
- https://www.indiatoday.in/india/story/kudankulam-nuclear-power-plant-dtrack-north-korea-atms-1614200-2019-10-30;
- https://gbhackers.com/kudankulam-cyberattack/;
- https://www.news18.com/news/tech/cyber-attack-on-kudankulam-nuclear-plant-did-happen-systems-not-affected-npcil-2367437.html;
https://pib.gov.in/Pressreleaseshare.aspx?PRID=1592498

martedì 21 aprile 2020

Geopolitica, Cyberthreat, Cyber Risk: Impatti, Valutazione, Dinamiche e Consapevolezza

Premessa

L’impatto tecnologico sulla vita sociale ed economica non è oggetto di scelte, ma è inevitabile, nel bene e nel male, limitarsi soltanto a subire questo radicale ed ineluttabile processo di trasformazione della società corrisponde all’incapacità di coglierne compiutamente gli aspetti vantaggiosi, che sono molti. In questo senso la scelta fra essere o meno consumatori di tecnologia non è libera o opzionale. Chi non investe in sviluppo tecnologico sceglie una via non solo di declino economico, ma anche sociale e culturale.
L’uomo e la sua sicurezza devono costituire la prima preoccupazione di ogni avventura tecnologica.

Geopolitica, Cyberthreat, Cyber Risk: Impatti, Valutazione, Dinamiche e Consapevolezza

La geopolitica di ieri si occupava della geografia come elemento fondamentale per stabilire le reali possibilità di movimento degli eserciti e per le necessarie linee di rifornimento, per la possibilità di instaurare traffici commerciali via mare e via terra, difendibili in modo semplice e poco costoso. Nell’era digitale, la geopolitica tratta delle reti di telecomunicazione, dei cavi sottomarini, degli hub e dei landing point attraverso i quali passa il traffico di internet, della possibile manipolazione degli elettori tramite l’utilizzo dei social e dei big data, degli attacchi cibernetici alle infrastrutture critiche che possono essere in grado di mettere in ginocchio un intero Paese.
Si tratta di scenari in grado di spostare il baricentro delle sfere d’influenza e, come è normale che sia, anche di tanto business. La comprensione di tutto questo non può non passare dalla necessità che tutto ciò che è cyber debba essere trattato come un problema di gestione del rischio e non come un problema della sola funzione IT, come, purtroppo, ancora troppo spesso avviene.
Prima di arrivare a questo, però, vorrei chiarire una volta per tutte il concetto di cybersecurity e, a questo riguardo, usiamo la definizione data dal NIST:
Prevention of damage to, protection of, and restoration of computers, electronic communications systems, electronic communications services, wire communication, and electronic communication, including information contained therein, to ensure its availability, integrity, authentication, confidentiality, and nonrepudiation
Partendo da questa definizione e compreso l’ambito nel quale ci muoviamo, nel corso dell’ultimo decennio, si è parlato moltissimo e, spesso a sproposito, di cyber security e si è affermato con sempre più convinzione il paradigma per cui la sicurezza informatica costituisca l’ultima grande sfida globale che coinvolge individui, aziende, stati ed organizzazioni internazionali. Affermare questo al tempo del covid-19 fa sorridere ma tant’è. Definirla una sfida, comunque, presupporrebbe un piano articolato di contromisure che, qualora implementato, sia in grado di superare la problematica conducendo la vittima verso il traguardo finale, libera da qualunque preoccupazione.
La sicurezza informatica non è una sfida e nemmeno è la sfida del XXI secolo. La sicurezza informatica costituisce un tragitto, una strada, verosimilmente, molto articolata che prevede diverse intersezioni e, decisamente, nessun traguardo, piuttosto, forse, delle tappe “positive” che, se completate, non azzerano del tutto il cammino fin lì percorso.
Questa immagine, seppure legata alla strategia di sicurezza offerta da Microsoft che non è desiderio di chi scrive, pubblicizzare, rende bene l’idea del viaggio che si deve intraprendere.


Se la cybersecurity non è la sfida del XXI secolo, allora cos’è? Possiamo dire che quello che per la società 4.0 costituisce una minaccia concreta e problematica sono gli attacchi cibernetici, identificati nei dieci rischi più probabili e a più alto impatto dal rapporto Global Risks realizzato anche quest’anno dal World Economic Forumi.
È il rischio cyber la vera minaccia che individui, aziende, stati ed organizzazioni internazionali sono chiamati a fronteggiare nella nuova era dominata dall’industria 4.0.
L’esigenza di creare nuovi modelli di business per aumentare la produttività delle industrie ha portato a una generale tendenza verso l’automazione, l’informatizzazione, la virtualizzazione, il cloud e verso tutte le funzionalità presenti nel mondo mobile. L’insieme di queste caratteristiche definisce l’industria 4.0 a cui le varie componenti sociali sono chiamate a rapportarsi e su cui opera il rischio dei cyber attacchi.
In questo scenario, pensare di associare la cybersecurity al solo mondo dell’Information Technology fa sorridere mentre, al contrario, sapere che l’ambito nel quale opera è molto più ampio, aiuta a comprenderne i rischi e, si spera, a prevenirli.
Probabilmente molti ricorderanno la notizia dell’annessione da parte della Russia della regione ucraina della Crimea, avvenuta nel febbraio e marzo del 2014. Quella notizia scioccò il mondo intero e rappresentò una sorpresa anche per molti analisti ed esperti che monitoravano e osservano tutt’ora l'attività russa. Alcuni fra quegli esperti, però, capirono in anticipo quale fosse la strategia.
In particolare, Volker Kozokii, tenente colonnello ed esperto di sicurezza informatica delle forze armate tedesche, era uno di quelli ed il suo ruolo, ancora oggi, è quello di tenere traccia delle minacce legate alla sicurezza digitale cercando di elaborare le corrette contromisure. Questo ha sempre permesso a Kozok di avere una vista privilegiata dello scenario attuale che potremmo definire di guerra ibrida, estremamente complessa, ma che merita grandissima attenzione.
Tantissime volte abbiamo sentito questa frase: “I conflitti militari di oggi, raramente, si svolgono solo sui campi di battaglia con armi convenzionali”. Tutt’altro. Quando parliamo di conflitti, tra questi bisogna sempre includere gli attacchi informatici alle infrastrutture critiche così come le varie forme delle cosiddette “weaponized informationiii”, destinate a seminare confusione e insicurezza nella popolazione.
Nel caso dell'invasione dell'Ucraina da parte della Russia, ciò che Kozok e i suoi colleghi notarono, nel gennaio 2014, fu una sorta di apertura clandestina proveniente dalla Russia. Essi osservarono che la Russia stava installando quello che sembrava un cavo sottomarino attraverso lo stretto di Kerch, uno stretto tra il Mar Nero e il Mar d'Azov. Mentre monitoravano i progressi relativi ai lavori di posa di quel cavo lungo 46 chilometri, divenne evidente che il punto d’arrivo di quel cavo sarebbe stata la penisola di Crimea.
L'esistenza del cavo suggerì che la Russia stesse facendo una mossa per collegare l'infrastruttura critica dell'Ucraina con la propria. In particolare, sembrava che il cavo russo avrebbe portato comunicazioni internet ad alta velocità che potevano bypassare i fornitori di servizi ucraini.
I membri del team di Kozok riuscirono a rafforzare tale deduzione attraverso l'uso sofisticato dei sistemi di informazione geografica iv(GIS). Erano in grado di esaminare la costruzione del cavo attraverso la localizzazione mostrando i cavi sottomarini a livello mondiale e i nodi di collegamento verso Internet. Da tutto ciò, il team era in grado di dedurre che la Russia mirava a controllare le comunicazioni online. Negli annali della guerra, questo rappresentò un momento decisivo.
Era la prima volta che un paese aveva organizzato un attacco militare pianificando, al contempo, in modo estremamente furbo e intelligente, la messa in opera di reti di comunicazione attraverso un cavo marino", spiegò Kozok durante un’intervista. "Qualcuno doveva guidare fino in Crimea come se fosse un semplice turista, prima dell'invasione, e individuare in modo preciso il punto di ingresso del cavo. Dovevano realizzare quei piani senza, effettivamente, avere ancora il controllo del Paese.
La Russia continuò ad impiegare tecniche di guerra ibride in Ucraina. Gli hacker russi lanciarono un attacco informatico contro la rete elettrica ucraina nel 2015, tagliando l'elettricità a 250.000 persone. Quasi esattamente un anno dopo, gli hacker causarono un altro blackout.
È ormai ampiamente chiaro che gli attacchi informatici rappresentano un pericolo e vanno oltre l’obiettivo “computer”. Il tema della cybersecurity riguarda le infrastrutture critiche, incluse le utility, che rappresentano la base delle comunità.
--------------------------------------------------------------------------------------
La capacità del mondo di promuovere l’azione collettiva di fronte a una crescente serie di gravi sfide ha raggiunto livelli di crisi significativi con il peggioramento delle relazioni internazionali. Nel frattempo, un rallentamento delle prospettive economiche, causato anche da tensioni geopolitiche, sembra destinato a ridurre ulteriormente il potenziale di cooperazione internazionale.
Trasformazioni complesse, sociali, tecnologiche e legate al lavoro, stanno avendo un profondo impatto e tra le minacce globali indicate nella quindicesima edizione del Global Risks Report, promossa dal World Economic Forum, spicca il cyber risk.
Il mondo sta affrontando un numero crescente di sfide complesse e interconnesse, dal rallentamento della crescita globale, passando per la persistente disuguaglianza economica fino ad arrivare a cambiamenti climatici, alle tensioni geopolitiche e al ritmo accelerato della Quarta rivoluzione industriale.
Esponenti autorevoli di Marsh & McLennan, partner strategici di lunga data, hanno ribadito come il persistente finanziamento insufficiente delle infrastrutture critiche in tutto il mondo stia ostacolando il progresso, lasciando imprese e comunità più esposte ad attacchi informatici e a catastrofi naturali, non riuscendo a sfruttare al massimo le capacità di difesa.
La tecnologia continua a svolgere un ruolo profondo nel plasmare il panorama dei rischi globali per individui, governi e imprese.
Le nuove “instabilità” sono causate dall’ approfondimento dell’integrazione delle tecnologie digitali in ogni aspetto della vita.
Esempio ne è la rivelazione che il Governo americano ha fatto a proposito di un attacco hacker del luglio 2018 tramite il quale gli attaccanti erano riusciti ad ottenere l’accesso alle sale di controllo di alcune aziende di servizi pubblici. La potenziale vulnerabilità delle infrastrutture tecnologiche critiche è diventata sempre più un problema di sicurezza nazionale, tanto che la seconda interconnessione di rischi più frequentemente citata nel rapporto 2020 è l’associazione di cyber-attacchi con l’eventuale sabotaggio di infrastrutture informatiche critiche.
Ecco perché non c’è mai stata una necessità più urgente di un approccio collaborativo e multi-stakeholder ai problemi globali delle “società interconnesse e globalizzate”.

Il cluster dei rischi cyber crea una sorta di triangolo posizionato nel quadrante in alto a destra della mappa.  

E qui, entra in gioco il concetto di rischio informatico, molto ben spiegato nell’articolo “Macro Dinamiche del Rischio Cyber” v. Si definisce rischio informatico il prodotto scalare tra la gravità, intesa come impatto, delle conseguenze che un evento cibernetico determinerebbe e la probabilità che tale evento pericoloso, ossia la minaccia, si realizzi e dunque: R= I x P
I rischi vengono, pertanto, valutati determinando l’entità dei danni potenziali sul sistema che la minaccia potrebbe provocare in caso di suo accadimento, considerando la probabilità che la minaccia causi sempre il maggior danno possibile al suo verificarsi. Le conseguenze della stessa sul sistema dipendono anche in larga misura dal valore dei beni interessati e l’esame delle conseguenze per ogni tipo di minaccia rappresenta un altro aspetto dell’analisi del rischio. Il livello di rischio cibernetico è sempre da considerarsi infatti come una relazione tra il rischio stesso e la valorizzazione dell’asset informatico associato.
Come per molte malattie, il rischio cyber è amplificato, anzi, “si nutre” di altri fattori digitali che sono strettamente correlati tra di loro.
Dal 2017 al 2020, la popolazione globale passerà da 7,7 a 7,8 miliardi di persone crescendo di 100 milioni di unità (+1%), mentre la “popolazione” dei dispositivi IOT connessi alla rete passerà da 8,4 miliardi a 20,4 miliardi con un incremento di 12 miliardi di oggetti (+242%) il che, credo, rende chiara la misura dell’enorme velocità a cui viaggia il mondo digitale. La velocità estrema è, quindi, il tratto principale che caratterizza gli ecosistemi digitali e che influisce in modo così significativo sul rischio cyber. Tutto viene consumato in grande fretta e di conseguenza, il ciclo di vita delle tecnologie si riduce drasticamente.
Dopo il 2008 abbiamo assistito alla rapida crescita del numero di dispositivi costantemente connessi, ad un’economia che dipende sempre di più da algoritmi di Intelligenza Artificiale, alla crescita del potere dei social ed al rischio delle fake news, alla crescita dello sfruttamento dei contenuti personali dovuto allo spostamento sempre più avanti del trade-off tra privacy e servizio.
Ed in questo contesto, indubbiamente, ci sono almeno due fattori, tra gli altri, che giocano un ruolo fondamentale nel rischio cyber:
  • Il fattore umano
  • La complessità, l’obsolescenza e il patching
Il fattore umano è certamente uno dei rischi principali ed è anche un paradosso. Da una lato la rivoluzione digitale ha in molti modi potenziato le nostre capacità: attraverso i social ci ha offerto la possibilità di intrattenere tantissime relazioni contemporaneamente, di dire sempre la nostra anche su temi che solo due decenni fa sarebbero rimasti al più relegati alla cerchia di amici più ristretta.
Da un altro lato, invece, ci ha regalato aspetti negativi come la polarizzazione delle opinioni, gli haters, i troll, le fake news, un contesto insomma ottimo per “distruggere” consenso ma per niente in grado di “costruirlo”. In questo mondo che viaggia alla velocità della luce, questi super individui le cui capacità sono potenziate da Internet e dai social, sorprendentemente, si scoprono estremamente vulnerabili al social engineering, al phishing, al pretexing, ecc. che si confermano essere i canali più di frequente utilizzati in fase di innesco di attacchi anche complessi. Tra tutti i casi accaduti, credo che quello che più di tutti ha avuto un’eco enorme, rientra sicuramente lo scandalo di Cambridge Analyticavi.
I legami tra politica, tecnologia, impatto sociale e manipolazione dei dati sono rappresentati in quella che è stata la storia che meglio evidenzia come il rischio tecnologico sia enorme se non guidato per fini di bene. In merito allo scandalo, mi piace riportare dal libro denuncia “La dittatura dei dativii”, le parole di Brittany Kaiserviii, la talpa che ha contribuito a far conoscere al mondo come i dati degli utenti nei social network vengono usati per manipolare e minacciare la democrazia:
  • E così, mi ero ritrovata a far parte della maggiore operazione condotta da Cambridge Analytica, che consisteva nel raccogliere più dati possibili sui cittadini statunitensi e nello sfruttarli per influenzare le intenzioni di voto degli americani . Avevo potuto rendermi conto di come le inadeguate norme sulla privacy di Facebook e la totale mancanza di controllo del governo federale sui dati personali avessero reso possibile tutto questo. Ma, soprattutto, avevo capito che Cambridge aveva utilizzato le sue risorse per far eleggere Donald Trump."
  • "Sanno cosa compri. Sanno chi sono i tuoi amici. Sanno come manipolarti. Settanta like erano sufficienti per sapere di quella persona più di ciò che sapevano i suoi amici; centocinquanta like più di quello che sapevano i suoi genitori; trecento like più del suo partner. Oltre i trecento si era in grado di conoscere un individuo meglio di quanto conoscesse se stesso."
Per quanto riguarda il secondo fattore, il costante aggiornamento degli strati del software di sistema sui quali le applicazioni basano il loro funzionamento, è condizione fondamentale per ridurre le vulnerabilità e, di conseguenza, la superficie esposta ad un potenziale attaccante. L’attività di aggiornamento di una release del software di sistema si chiama patching. Molto spesso, sia per l’obsolescenza dell’hardware che non supporta le nuove release del software di sistema che per l’obsolescenza delle applicazioni che hanno bisogno di interventi, spesso, “importanti” per potere funzionare con le nuove release, l’attività di patching non può essere eseguita. Si generano, quindi, una serie di vincoli che indeboliscono, considerevolmente, il sistema nel suo complesso. Se poi, come capita spesso, l’obsolescenza è collegata ad un’elevata complessità dello scenario infrastrutturale, allora la soluzione del problema diventa enormemente più complessa se non strutturalmente non possibile a meno di utilizzare soluzioni cloud che, quantomeno, aiutano a mitigare il problema.
Insomma, il contesto è complesso e in molti ambiti ci ritroviamo senza difese. Ci dobbiamo preparare al fatto che una fetta consistente del rischio cyber non possa essere mitigato ma vada gestito con altre strategie. Se l’opzione di mitigazione è diventata più difficile da attuare, anche il concetto di tolleranza al rischio va ridefinito. Potremmo essere obbligati a coesistere con un elevato livello di rischio anche se la nostra tolleranza al rischio è relativamente bassa e, dunque, per obbligo e non per scelta di business. È necessario che i consigli di amministrazione delle aziende siano consapevoli di questa situazione allo scopo di assumere le decisioni più opportune in relazione ai segmenti di business prioritari. Sappiamo bene che il fatto di essere oggetto di un cyber attack non è questione di “se” ma solo di “quando”. Sappiamo anche che la “sicurezza totale” non è una categoria realizzabile e che i nostri avversari sono sconosciuti e godono di molti vantaggi strategici. Da soli ci possiamo, soltanto, muovere alla cieca con poca probabilità di successo. Assieme, però, possiamo recuperare molti punti di svantaggio ed arrivare ad avere la meglio sui nostri avversari.
Quello che serve, quindi, è una solida roadmap mondiale che sia parte di una “call to action” globale rivolta ad istituzioni, imprese e industria specializzata per un impegno ad accettare la sfida delle minacce informatiche e, possibilmente, vincerla. Non è certamente una sfida semplice da vincere ma, prendendo spunto dalle parole del Presidente JFKix, “una comunità accetta le sfide che ha di fronte proprio perché non sono semplici, perché ci danno l’occasione di mettere a frutto il meglio delle nostre capacità e del nostro impegno”.

Carlo Mauceli