mercoledì 30 dicembre 2020

2020: un anno di Hacking

Il cyberspazio è la cosa più complessa che l’uomo abbia mai costruito: da un lato, rappresenta l’unione di migliaia di reti che rendono difficile anche solo avere una fotografia istantanea di chi vi è connesso, dall’altro è una sorta di stratificazione di programmi software e protocolli sviluppati negli ultimi quarant’anni. Questa complessità è generatrice di vulnerabilità: dagli errori software alle errate configurazioni e alle debolezze nei protocolli, che vengono sfruttate dai cybercriminali per sottrarre dati o arrecare danni.

La cybersecurity è considerata una delle principali emergenze in tutto il mondo assieme al cambiamento climatico e alle migrazioni di persone e sono allo studio iniziative concrete per affrontare tale emergenza. Blocco della operatività di aziende, controllo surrettizio dei servizi di infrastrutture critiche, furto della proprietà intellettuale o di informazioni cruciali per la sopravvivenza di un’azienda, sono esempi delle minacce che un Paese deve affrontare.

In un mondo sempre più digitalizzato, gli attacchi informatici suscitano allarme nella popolazione, causano danni ingenti all’economia e mettono in pericolo la stessa incolumità dei cittadini quando colpiscono reti di distribuzione dei servizi essenziali come la sanità, l’energia, i trasporti, vale a dire le infrastrutture critiche della società moderna ma anche piattaforme che offrono servizi che per molti sono diventati una commodity quali Netflix, Play Station, ecc. Nel nostro Paese, interi settori di eccellenza, come la meccanica, la cantieristica, il made in Italy, il turismo, l’agroalimentare e i trasporti, potrebbero subire pesanti ridimensionamenti di fatturato a causa di attacchi perpetrati nel cyberspazio da stati sovrani o da concorrenti.

Un attacco informatico di successo potrebbe rappresentare un momento di non ritorno per la credibilità di un’azienda, lo sviluppo del suo business e la capacità di vendere prodotti in un regime di sana concorrenza. Ugualmente, un attacco informatico riuscito potrebbe destabilizzare il mercato azionario facendo sprofondare interi Paesi nel caos oppure bloccare i rifornimenti di gas in inverno o la gestione del ciclo dei rifiuti urbani.

Molte volte i danni di attacchi informatici dipendono da un anello debole e spesso questo è il fattore umano. L’uomo è ormai parte integrante del cyberspazio e rappresenta la più importante e impredicibile vulnerabilità di questo macrosistema. Un click sbagliato può in alcuni casi distruggere qualsiasi linea di difesa tecnologica di un apparato, di un’organizzazione, di un Paese. Sono le persone che si fanno “pescare” da una campagna di phishing, che usano come password il nome del gatto o del consorte, che usano lo stesso smartphone per far giocare i figli e per accedere alla rete aziendale. Esse sono le prime ad aprire le porte ai criminali verso i siti, le reti e i database delle loro organizzazioni, con effetti pericolosi e imprevedibili.

Non solo l’industria, ma anche la democrazia può essere oggetto di attacchi cyber. Le “fake news” sono l’evoluzione degli attacchi basati su ingegneria sociale: create e diffuse attraverso il cyberspazio, le false informazioni tendono a confondere e destabilizzare i cittadini di un Paese, immergendoli in uno spazio informativo non controllato, con un insieme pressoché infinito di sorgenti di notizie.

L’anno che sta per volgere al termine è stato lo spot migliore che il cybercrime potesse avere. Il 2020 è stato un anno difficile per molte ragioni e, non ultima, le violazioni e gli attacchi che hanno colpito in maniera indiscriminata, a livello mondiale, utenti finali ed organizzazioni di qualsiasi settore. La minaccia ransomware ha dominato i titoli dei giornali, con un flusso infinito di compromissioni che hanno colpito scuole, governi e aziende private a cui ha fatto da contraltare anche una quantità enorme di dati violati. Il tutto, mentre i criminali chiedevano riscatti per milioni di dollari.

Come ogni anno, amo tracciare il “meglio” di quanto avvenuto nell’anno appena passato. È un modo per ritornare bambino, quando l’ultimo giorno dell’anno mi sedevo davanti alla televisione e, innamorato di sport come sono sempre stato, amavo guardare
 “Un anno di sport😊



Qui, usando un titolo simile e, senza dubbio, più drammatico, possiamo assistere ad “Un anno di Hacking”. 

Possiamo affermare che non si salva più nessuno ed è importante riconoscere come, soprattutto in merito agli ultimi attacchi, non sia più da considerare una impresa ardita associare il termine “geopolitica” al digitale. In effetti, la geopolitica porta in sé un riferimento geografico, quello di un’analisi delle dimensioni di potere contestualizzate nel territorio. Per questo motivo la geopolitica ha spesso mostrato dei limiti, diventando a volte il pretesto per sviluppare un pensiero realista piuttosto datato, in quanto molto legato alle frontiere e all’estendersi del dominio del controllo. Seguendo questo filone può, dunque, sembrare un controsenso associare una riflessione sulle conseguenze del digitale nella politica internazionale a una riflessione geopolitica, anche perché il digitale del world wide web veicola l’idea di un “non territorio”, o piuttosto quella di un territorio universale. L’uso del termine geopolitica, però, non è casuale: nello scenario internazionale si sta, difatti, in misura crescente assistendo a una serie di sviluppi che tendono verso una territorializzazione del dominio digitale, una dimensione che sembra intrisa di tendenze contradittorie, fra aperture e chiusure ma che mostra un denominatore comune e cioè il fatto che gli attacchi informatici non hanno confini, che vengono perpetrati ai danni delle infrastrutture critiche e degli operatori di servizi essenziali e che, sempre più, assumono la dimensione politica, atta a mettere in ginocchio i singoli Paesi. 

L’attacco a Solarwinds

Il 2020 ha deciso di lasciarci, come ultimo regalo, una delle più devastanti violazioni degli ultimi anni, non tanto come dimensione economica, forse, ma come ingegneria e sottigliezza dell’attacco.

Gli hacker, che molti funzionari pubblici sostengono possano avere alle spalle il governo russo, hanno iniziato a compromettere il sistema di distribuzione del software Orion di SolarWinds dalla fine del 2019. Come abbiamo imparato a conoscere, Solarwinds è una delle più importanti aziende americane nell’ambito dello sviluppo di soluzioni per il monitoraggio delle reti, utilizzate da decine di migliaia di organizzazioni. Gli hacker hanno violato i server di aggiornamento riuscendo, così, a generare un effetto domino tramite il quale avrebbero avuto la possibilità potenziale di violare tutti i clienti dell’azienda. Ci vorrà molto tempo prima che gli investigatori riescano a valutare il danno. Questo perché non tutti coloro che hanno installato gli aggiornamenti “malevoli” hanno, poi, ricevuto attacchi. Ciò di cui si è sicuri è che la società di sicurezza FireEye ha dichiarato che gli hacker hanno cercato informazioni in merito ai propri clienti governativi e hanno rubato strumenti utilizzati dal Red Team, non di dominio pubblico, utilizzati dall’azienda per testare le difese della sicurezza dei clienti stessi. Nel frattempo, i funzionari americani hanno affermato che dozzine di email del Dipartimento del Tesoro sono state compromesse. Sebbene la portata complessiva di un simile attacco e, soprattutto, gli effetti della violazione non saranno noti se non tra qualche mese, è già chiaro che l’attacco a SolarWinds ha messo in luce come la “supply chain” possa essere debole e come in uno scenario simile la catena di cui ogni azienda rappresenta un anello sia estremamente critica. Non si può e non si deve più considerare la sicurezza come un elemento che appartiene ad una singola entità.

È importante sottolineare come la compromissione a livello industriale sia venuta alla luce dall’indagine di FireEye che è stata oggetto dell’attacco e non da parte di alcuna delle agenzie di sicurezza governative. Si tratta solo di un caso oppure questo episodio dimostra la diversa forza e capacità delle aziende nel comparto della sicurezza informatica?

Compromissione massiccia degli account di Nintendo e Twitter

A luglio Twitter ha perso il controllo dei suoi sistemi interni a causa di un attacco hacker realizzato attraverso una truffa basata su criptovalute. La violazione è stata notevole perché ha compromesso gli account di politici, celebrità e dirigenti d'affari, molti dei quali con milioni di follower. Nonostante il danno sia stato modesto in termini economici (circa 100.000 dollari in Bitcoin e alcuni dati personali rubati) risulta chiaro che un attacco come questo avrebbe potuto essere utilizzato per fare ben altri danni. Si provi per un momento a pensare agli effetti che un simile annuncio avrebbe potuto avere sui mercati internazionali in termini di manipolazione degli stessi. Un altro elemento che ha reso particolarmente critico questo attacco è stato chi l'ha perpetrato e le tattiche utilizzate. Le autorità hanno accusato un diciassettenne, un diciannovenne e un ventiduenne che avrebbero utilizzato attacchi di tipo “spear phishing” per rubare una password amministrativa ad un dipendente di Twitter che era in smart working durante la pandemia COVID-19. Nintendo, nel mese di aprile, ha subito una compromissione simile.

Attacchi Ransomware all’ospedale Universitario di Dusseldorf, Garmin e Foxconn


Si tratta di violazioni separate, ma messe insieme, sottolineano come non ci sia stato solo un prezzo in danaro da pagare per le organizzazioni colpite ma anche l’impatto su milioni di persone coinvolte in modo diretto o indiretto. La messa fuori uso dei sistemi dell’ospedale di Dusseldorf ha provocato la morte di un paziente che, in fin di vita, è stato respinto dal Pronto Soccorso ed è morto mentre veniva trasportato in un ospedale più lontano. E’ possibile o anche probabile che il paziente sarebbe morto comunque, ma la compromissione mette in luce, se ce ne fosse ancora bisogno
, di come gli attacchi informatici non solo possono provocare la morte ma abbiano un impatto sugli equilibri sociali e sulla vita di tutti i giorni.

L'attacco a Garmin ha causato un blocco di quattro giorni di tutti i servizi GPS non solo per gli amanti dello sport ma anche per le compagnie aeree che avevano necessità di pianificare mappe e rotte di volo.

Un altro attacco con richiesta di riscatto che ha attirato l'attenzione è stata la violazione del gigante elettronico Foxconn. Gli attaccanti hanno chiesto 34 milioni di dollari per permettere all’azienda di tornare in possesso dei dati. Si è trattato della richiesta di riscatto più alta mai registrata in precedenza, naturalmente tra quelle rese pubbliche.

Data breaches hitting Marriott and EasyJet

Si è trattato di due attacchi separati che hanno avuto lo stesso esito: la compromissione di dati personali appartenenti a centinaia di milioni di persone. Per Marriott si tratta della seconda volta in tre anni. Stiamo parlando di una perdita di informazioni per oltre cinque milioni di ospiti. La violazione di EasyJet ha colpito nove milioni di passeggeri.

An iPhone zero-click exploit and the extraction of an Intel CPU crypto key

Non tutti gli hacker sono cattivi. Anzi, molto spesso, siamo in presenza di “hacker buoni” che, a volte, sono così eleganti che vanno ammirati per l’ingegno e la bontà d’animo che li caratterizza. Nel 2020 la palma di migliore va data a Ian Beer, membro del gruppo di ricerca di vulnerabilità del progetto Zero di Google. Ha ideato un attacco che, finché Apple non ha sviluppato l’aggiornamento, gli ha dato accesso a qualsiasi iPhone si agganciasse al suo punto malevolo di accesso Wi-Fi. Il suo attacco non richiedeva che l’utente dell’iPhone facesse qualcosa ma dimostrava come lo sfruttamento di una vulnerabilità, in gergo exploit, potesse permettere la diffusione malevola da un dispositivo all’altro purché questi facesse parte della stessa area, in questo caso definita da una rete Wi-Fi. L’exploit è una delle caratteristiche di hacking più impressionanti nella storia recente e mostra il danno che può derivare da una singola vulnerabilità. Ricorda un po' l’esempio della mela marcia. Apple ha sviluppato la patch per il difetto (buffer overflow flaw) scoperto da Beer dopo essere stata avvisata da Beer stesso in modo privato. Un altro degli attacchi Top del 2020 è stato l'estrazione di una chiave segreta usata per criptare il microcodice su una CPU Intel; una prima assoluta negli annali della sicurezza e del reverse enigineer. La chiave permette di decriptare gli aggiornamenti del microcode che Intel fornisce per fissare le vulnerabilità di sicurezza e altri tipi di bug. Avere una copia decriptata di un aggiornamento può permettere agli hacker di fare reverse engineer e di risalire al baco di sicurezza.

C’è un vecchio detto nel mondo della sicurezza secondo il quale “gli attacchi possono soltanto migliorare”.

Il 2020 ha dimostrato che il detto è, assolutamente, vero, e possiamo essere certi, senza ombra di dubbio e senza volere essere uccelli del malaugurio, che nel 2021 sarà lo stesso.

L’augurio è che questa frase

Un Paese che non mette la cybersecurity al centro delle proprie politiche di trasformazione digitale è un Paese che mette a serio rischio la propria prosperità economica e la propria indipendenza.

che ci ha accompagnato in questi anni possa essere, finalmente, smentita.

Buon 2021

Carlo Mauceli


Per ulteriori approfondimenti:



martedì 22 dicembre 2020

IMD WORLD DIGITAL COMPETITIVENESS RANKING 2020: Italia al 42° posto

Digital competitiveness ranking 2018, 2019 and 2020

Ancora un risultato da dimenticare!

Questa volta a dirlo è un'organizzazione svizzera, si tratta dell'International Institute for Management Development, IMD in breve.

L'IMD, nato nel 1990 dall'unione di due istituti svizzeri, è un istituto privato che si occupa di studi economici e manageriali ed offre prodotti di altissimo livello (MBA ed Executive MBA). Da diversi anni ormai pubblica alcuni report annuali incentrati sullo sviluppo economico e sulla competitività, da differenti punti di vista.

Le principali classifiche sono tre:
- World Competitiveness Ranking, da cui emerge chiaramente che piccoli paesi, ben guidati, sono più competitivi di grandi paesi. In prima posizione Singapore, seguito da Danimarca, Svizzera, Paesi Bassi e Hong Kong. Gli Stati Uniti d'America occupano la decima posizione, mentre la Cina è ventesima e la Russia cinquantesima. L'Italia in questa classifica è quarantaquattresima su 63 stati, preceduta dall'India e seguita dalle Filippine.
- World Talent Ranking, per questa classifica vengono misurati tre fattori chiave: "Investment and Development" che misura le risorse impiegate per far crescere la forza lavoro interna, "Appeal", che misura l'attrazione esercitata da un paese nei confronti dei talenti locali e stranieri, "Readiness" che misura qualità delle abilità e competenze disponibili in un paese. In questa graduatoria la prima posizione è detenuta saldamente dalla Svizzera, seguita nell'ordine da Danimarca, Lussemburgo, Islanda e Svezia, gli Stati Uniti d'America sono quindicesimi, la China quarantesima e la Russia cinquantaquattresima. L'Italia risulta essere trentaseiesima, preceduta dalla Polonia e seguita dalla Grecia.
- World Digital Competitiveness Ranking, per questa classifica, che in definitiva è quella che più ci interessa, sono analizzati 52 criteri, da cui si possono calcolare tre fattori principali: "Knowledge", "Technology", "Future Readiness", impiegati per stilare la classifica finale. In questa classifica troviamo in prima posizione gli Stati Uniti d'America, per il terzo anno consecutivo. Singapore occupa la seconda posizione, Danimarca, Svezia e Hong Kong sono rispettivamente terza, quarta e quinta. La Cina occupa la sedicesima posizione mentre la Russia è solo quarantatreesima. L'Italia si posiziona quarantaduesima, prima della Russia e dopo il Cile. 
Entriamo nel merito di quest'ultima classifica. 
Dalla lettura dello studio è possibile notare che gli USA sono in prima posizione principalmente per merito dei fattori "Knowledge" e "Future Readiness", in particolare dalla concentrazione scientifica, dall'impiego dei robots nel settore educativo e della ricerca, dalla disponibilità di capitali e dalla attitudine adattativa di imprese e forza lavoro.
L'Italia negli ultimi cinque anni è passata dalla trentaseiesima posizione alla quarantaduesima, registrando i punteggi più bassi nel settore "Training & Education" (58° posto) e "Capital" (54° posto).
Particolarmente preoccupanti, a mio parere, alcuni valori del fattore "Talento", in particolare l'incapacità ad attirare dall'estero personale di elevate capacità e la scarsa esperienza internazionale ma anche il basso livello di abilità digitali (51°), per non parlare del 60° posto nel addestramento del personale dipendente.
L'impressione che ho avuto dalla lettura del report è quella di un paese bloccato, vecchio, incapace di reagire, nel quale mancano investimenti e capacità digitali. 
Spero di sbagliarmi!  

sabato 19 dicembre 2020

Sunburst: una Pearl Harbor Cyber?


L’
ANNUS HORRIBILIS TERMINA CON LA SCOPERTA DI UNA DELLE OPERAZIONI DI CYBER SPIONAGGIO PIÙ SPREGIUDICATE DELLA STORIA

Tra qualche anno, quando l’attuale terribile pandemia sarà finalmente sotto controllo, il 2020 non sarà ricordato soltanto per l’esplosione dell’infezione da COVID-19 e per le sue tremende conseguenze, bensì probabilmente rappresenterà anche una pietra miliare per gli studiosi e per i professionisti (nonché per i curiosi come me) della dimensione cyber, a seguito di una vicenda che sta assumendo i contorni di una delle più spregiudicate spy-story di successo di tutti i tempi. Il riferimento è all’attacco cyber subito dalla società informatica statunitense SolarWinds, i cui prodotti, diffusi a livello globale, sono stati impiegati quali “cavalli di troia” per penetrare nelle reti e nei sistemi di aziende ed enti governativi di mezzo mondo, i veri obiettivi dell’attività di spionaggio. In gergo, questa tipologia di attacco viene denominata “supply chain cyber attack e, in realtà, dietro questi termini altisonanti e apparentemente complessi, si celano declinazioni moderne di tecniche di spionaggio che esistono da molto tempo: la sicurezza dell’obiettivo viene compromessa indirettamente, attaccando la relativa “catena logistica”, ossia un bene o un servizio fornito legittimamente da una terza parte (tipicamente un’azienda). Nell’ambito cyber, si tratta di beni o servizi informatici di cui ormai nessuna azienda o ente governativo può fare a meno per svolgere i propri compiti. Un esempio eclatante di questo tipo di cyber attacco è l’operazione che la National Security Agency, secondo l’ex collaboratore Edward Snowden, avrebbe posto in atto per anni facendo in modo che venissero distribuiti in commercio apparati di rete prodotti da un’azienda leader a livello mondiale, appositamente modificati dall’Agenzia, al fine di poter intercettare e ritrasmettere tutte le comunicazioni trattate da tali sistemi. Oppure, l’incredibile vicenda di Crypto-AG (v. articolo), azienda con sede in Svizzera che ha prodotto e distribuito macchine cifranti a Paesi sia appartenenti alla NATO che al di fuori dell’Alleanza (per un totale di 130 governi!), anch’esse modificate allo scopo di consentire all’intelligence USA e tedesca di intercettare le comunicazioni classificate di Paesi “amici” e di avversari per oltre 50 anni! Infine, un altro esempio di supply chain cyber attack è costituito da NotPetya, un malware devastante, “inoculato” nel 2017 nell’aggiornamento di un software di gestione aziendale molto diffuso in Ucraina (v. articolo). Al riguardo, se è vero che, verosimilmente, non sarà mai possibile quantificare il reale impatto di queste operazioni, è certo che, considerati l’alto numero di obiettivi coinvolti e la durata dell’attività offensiva compiuta, in tutti i casi si tratta di una mole di informazioni intercettate o distrutta immensa, con danni gravissimi per la sicurezza delle vittime. Lo stesso scenario sta emergendo anche per l’attacco a SolarWind mano a mano che stanno filtrando i dettagli (ovviamente quelli che si vogliono far sapere) delle indagini in corso. Potrebbe trattarsi dell’equivalente cyber dell’attacco alla base navale di Pearl Harbor del 1941, ossia di un atto ostile così vasto e dalle conseguenze così gravi, da implicare una risposta senza precedenti, magari che non si sviluppi soltanto nella dimensione cyber? Cosa succederà adesso?

Procediamo con ordine. Pochi giorni fa la società FireEye, azienda leader nel campo della cyber security, ha reso noto di essere stata vittima di un grave attacco cyber che, tra l’altro, avrebbe permesso l’esfiltrazione di alcuni software sviluppati per effettuare i test di sicurezza per conto dei propri clienti (v. articolo). In particolare, si è appreso che tale attacco è stato perpetrato sfruttando un aggiornamento del sistema Onion di SolarWinds compromesso ad arte, ossia apparentemente “genuino” ma, in realtà, modificato per consentire di penetrare nei sistemi e nelle reti di FireEye. Questo particolare dell’attacco, una volta noto, ha conseguentemente allargato l’orizzonte delle indagini anche a tutte le altre aziende ed enti statali che si avvalgono degli stessi servizi di SolarWinds, obiettivi che potrebbero essere stati colpiti fin dallo scorso marzo, periodo a cui risale la distribuzione dell’aggiornamento fraudolento in questione. La lista delle vittime si arricchisce di ora in ora sulla base delle analisi in corso sulle prove raccolte e comprende ormai migliaia di soggetti pubblici e privati distribuiti a livello globale (si parla di oltre 17.000 vittime), nella maggior parte dei casi comunque concentrati negli USA. Pertanto cercare di fornire un elenco aggiornato lascia il tempo che trova. Tuttavia, senza paura di essere smentiti, è possibile affermare che in molti casi si tratta di enti governativi afferenti a settori anche cruciali (come, ad esempio, il Dipartimento per l’Energia USA) e di aziende di primo piano su scala mondiale che, a loro volta, forniscono prodotti e servizi. In particolare, una volta aggiornati i propri sistemi Onion con il software modificato, l’attaccante si è potuto introdurre nelle reti degli obiettivi e in molti casi ne ha preso il controllo, lanciando ulteriori attacchi sfruttando la “breccia” aperta nei sistemi difensivi altrui. Allo stato attuale non si ha ancora contezza né dei dati trafugati in tal modo né delle ulteriori conseguenze degli attacchi, in quanto sono state impiegate tecniche particolarmente sofisticate per sviare le indagini (in gergo, per “offuscare” gli indizi). Questo particolare, unitamente alle tecniche di programmazione impiegate per far apparire come originale l’aggiornamento di SolarWinds compromesso, intanto battezzato SUNBURST, sono ritenute essere indici di capacità di altissimo livello possedute da parte dell’attaccante. Già, chi c’è dietro tale ardita operazione? Come di consueto, le indagini non consentono di attribuire con certezza la paternità dell’azione di spionaggio, tuttavia si tratta certamente di un’organizzazione in possesso di ingentissime risorse (personale tecnico esperto, finanziamenti, personale addetto alla pianificazione, infrastrutture, ecc.) appartenente a un governo o sponsorizzata necessariamente da una nazione. Oppure si potrebbe trattare di un gruppo criminale che offre servizi al miglior offerente, divenuto il leader del mercato nero delle informazioni nel dark web, il “lato oscuro” di Internet. Chi può dirlo? Nessuno con assoluta certezza. Qualche analista ed esponenti dell’attuale Amministrazione USA ritengono che sia implicato il gruppo di hacker noto con i nomi in codice APT29, Cozy Bear, CozyCar, CozyDuke o Office Monkeys, che sarebbe legato al Služba Vnešnej Razvedki (SVR), il servizio estero di intelligence russo (che il 19 dicembre ha festeggiato i suoi primi 100 anni di storia) e che vanterebbe un curriculum di sofisticate operazioni cyber particolarmente corposo. Tuttavia, il governo della Federazione Russa ha prontamente negato qualsiasi coinvolgimento. Le indagini sono appena cominciate e, come accade quasi sempre in questi casi, difficilmente saranno raccolte prove sufficienti a individuare con ragionevole certezza i colpevoli e a punirli penalmente. Sarà anche molto difficile quantificare i danni subiti dalle vittime e sapere che fine hanno fatto le informazioni sottratte, o meglio “copiate”, senza che nessuno se ne accorgesse. In definitiva, non è possibile ricostruire completamente tutte le operazioni che ha compiuto l’attaccante nell’arco dei circa otto mesi di “permanenza” nei sistemi e nelle reti delle vittime. Questo scenario ha portato alcuni osservatori a trarre un’inquietante conclusione: dovremo fare i conti con le conseguenze di questo attacco per molti mesi o anni, in quanto l’attaccante potrebbe aver disseminato le reti e i sistemi target di altri malware. Infatti, se è vero che si tratta di un gruppo particolarmente esperto ed efficiente, gli analisti fanno notare che sicuramente è stata pianificata in anticipo l’eventualità che l’operazione venisse scoperta e, pertanto, ritengono che siano state predisposte tutte le misure volte a continuare la campagna di spionaggio, anticipando le contromisure delle vittime. Ultimo aspetto della vicenda, forse solo apparentemente secondario, è quello finanziario: SolarWinds è una società quotata in borsa e un attacco del genere potrebbe risultare fatale per la sua reputazione e, quindi, per il suo futuro. Inoltre, pare che ci sia chi è riuscito a lucrare sopra tutta la questione, compiendo movimenti di mercato più che sospetti.

In conclusione, puntualmente, ogni anno in questo periodo ci ritroviamo su queste pagine a fare consuntivi sulla cyber security, da cui scaturiscono scenari dalle tinte sempre più fosche. Ogni anno “l’asticella” viene spostata sempre più in alto, avvicinandosi pericolosamente alla soglia dello scontro vero e proprio tra Stati e i limiti tecnologici vengono immancabilmente abbattuti, superando spesso la stessa immaginazione. In tale contesto, se da un lato la società diventa sempre più dipendente dalla dimensione cyber, dall’altro questa è ormai diventata un terreno di caccia totalmente privo di regole sia di governi che di gruppi criminali senza scrupoli. La preda di questa caccia senza quartiere è l’informazione che, in un mondo sempre più interconnesso, costituisce la chiave di volta per dominarlo dal punto di vista militare, finanziario, economico, scientifico, tecnologico o politico. Chi non l’ha ancora capito o chi non vuole accettare questa realtà, è destinato a soccombere.

Buon 2021!


Ciro Metaggiata


Foto NASA https://solarsystem.nasa.gov/solar-system/

Principali fonti:

https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scandalo-senza-precedenti-cambridge-analytica-allennesima-potenza/

https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-attack-examples

https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backdoors-in-cisco-products.html

https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-include-cisco-intel-a-15619

https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-customers/

https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/

https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/

https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/

sabato 12 dicembre 2020

FireEye hackerata, da chi?

La società statunitense FireEye, colosso della cyber security, in questi giorni ha denunciato di essere stata vittima di hacker, probabilmente supportati da uno stato.

Ricordiamo che FireEye è la società che supporta agenzie governative e stati della Federazione, tra cui FBI ed NSA, per non parlare dell'industria americana.

E' stata FireEye ad informare i propri clienti dell'accaduto attraverso un post sul blog della società in cui si descrivono gli hackers come altamente professionali e si dice che l'attacco è stato effettuato impiegando tecniche e procedure mai impiegate prima e studiate appositamente per l'occasione, cosa che fa pensare che ci sia dietro uno stato ben addentro nel settore con intendo di effettuare attività di spionaggio.

FireEye sta collaborando con FBI e Microsoft per svolgere tutte le indagini necessarie. 

Nel corso delle investigazioni FireEye si è accorta che gli hacker hanno sottratto alcuni degli strumenti impiegati dai propri Red Teams per eseguire attività di pentesting. Strumenti che se impiegati da malintenzionati potrebbero essere molto pericolosi. La società ha affermato che, per precauzione, ha sviluppato più di 300 tools per minimizzare l'impatto dell'eventuale impiego di tali strumenti contro i propri clienti (o del rilascio di tali strumenti al pubblico).

In un altro post la società spiega quali tools sono stati sottratti e indica un elenco di contromisure già rilasciate.

Che dire di più? Sembra che tutto stia procedendo per il meglio...

Ma mi viene spontaneo esprimere qualche mio pensiero a voce alta.

In primo luogo tutti sanno che i tools per fare penetration testing sono generalmente pubblici (ma non quelli privati delle società che li hanno sviluppati per proprio business), ciò che fa la differenza sono le capacità delle organizzazioni che li impiegano, la capacità di una organizzazione di sostenere una operazione per lungo tempo, l'esperienza degli hacker...

I tools di penetration testing sono in pratica delle armi, più o meno potenti, che vengono usati (dai buoni) per testare i sistemi amici e indicare come è possibile proteggerli meglio. Se concordate fino a qui, concorderete sul fatto che trattandosi di "armi" personalizzate, sicuramente erano ben custodite e pensare che una delle principali società del settore si sia fatta sottrarre delle "armi" da un altro stato, quando si sa che gli Stati Uniti sono i più forti nel settore, beh, diciamo che qualche dubbio viene. Se le cose stanno così, è più facile pensare ad un furto dall'interno che non ad un attacco dall'esterno. Inoltre sembra che questa volta la FireEye non abbia indicato quale stato potrebbe essere dietro all'attacco, cosa strana dato che una delle sue attività è proprio quella di individuare la provenienza delle ATP. 

La società ha affermato che tra i tools sottratti non vi sono Zero-Day exploits ne tecniche non note. Però ha anche affermato di aver rilasciato più di 300 contromisure... anche in queste frasi mi sembra vi siano delle contraddizioni. A cosa servono delle specifiche contromisure se non vi è niente di nuovo? Se fosse vero che non gli è stato sottratto niente di nuovo non penso sarebbe stato necessario rilasciare centinaia di tools di contromisure... ma tant'è!

Infine, e purtroppo si tratta della questione più sensibile, siamo sicuri che non sia stato sottratto altro? Spesso, per poter effettuare lavori di pentesting, occorre raccogliere informazioni sui sistemi che si vuol rendere più sicuri, informazioni che in mano a persone capaci mostrano i punti deboli dei sistemi. Sappiamo che la FireEye lavora con agenzie nazionali americane per cui è pensabile che tra i dati in suo possesso vi siano anche dati riguardanti le infrastrutture critiche sulle quali stanno lavorando o hanno lavorato. Se questi dati sono andati in mano a malintenzionati, semplici criminali o stati nemici, le cose potrebbero complicarsi per tutti... 

Alessandro Rugolo 


Per approfondire:

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc

FireEye, a top U.S. cybersecurity company, says it was hacked (nbcnews.com)

Unauthorized Access of FireEye Red Team Tools | FireEye Inc

FireEye hacké ! Ses outils Red Team ont été dérobés ! (programmez.com)

GitHub - fireeye/red_team_tool_countermeasures

FireEye piraté : le géant de la cybersécurité y voit la main d’un Etat - CNET France

FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State - The New York Times (nytimes.com)

Cappuccetto rosso e la scalata oltre la nuvola

(Come diventare un hacker)

C’era una volta il mondo reale…

Fra cento anni con questa premessa racconteremo una favola per fare andare a nanna i nostri bis-bis nipoti. Cominceremo parlando di una dolce bimbetta a cui la nonna regalò una cappa di velluto rosso che lei indossò per mettersi al computer prima di entrare nel cloud del cyber-domain. Cappuccetto rosso voleva diventare una hacker...

Come tutti quelli della sua razza, era una meticcia: metà macchina e metà nerd. Non aveva una vita sociale e faceva tutto da sola, capiva i numeri che scendevano dalla parte alta degli schermi, indossava sempre cappucci ed era nata sapendo tutto”.

Partendo da luoghi comuni e banalizzazioni, questa favola insegnerà ai nostri piccoli quei valori che li trasformerà in adulti responsabili.

Ma poi i bambini cresceranno e si porranno delle domande a cui dovremo essere pronti a rispondere in modo abbastanza semplice da essere compresi ma sufficientemente esaustivo da evitare approfondimenti imbarazzanti.

Ed allora il piccolo, con la lingua che si affaccerà dai buchi lasciati dai denti da latte chiederà: “Bis-Bis-nonno, cosa sono gli hacker?”

Sono quelli che utilizzano le proprie competenze informatiche per esplorare computer e reti di computer e per sperimentare come estenderne l'utilizzo. Alcuni sono cattivi e vengono chiamati cappelli neri, “black hat”, altri invece sono buoni e, ovviamente li chiameremo cappelli bianchi, ovvero “white hat”1. I primi sono dei truffatori, imbroglioni o ladri che violano i sistemi informatici a scopo malevolo. A volte si limitano a rubare dati, altre volte si arricchiscono a scapito dei conti correnti di ignari proprietari, altre volte ancora s’intromettono nei sistemi automatizzati a scopo di terrorismo. Quelli sono i più cattivi di tutti perché a volte incendiano le fabbriche ed inquinano fiumi. Altre volte fanno precipitare gli aerei2 o provocano sinistri tra le nostre automobili autonome3.

Dopo una breve sosta per un sorso d’acqua fresca, il nonno continua...

Bisognava correre ai ripari e, nelle prime due decadi del secolo scorso (nota: mi riferisco al XXI secolo, quello che va dal 2001 d.C. al 2100 d.C.), le aziende iniziarono a proteggersi. Vennero creati gruppi di risposta alle emergenze informatiche4 e li popolarono con le migliori professionalità: nacquero i “blue team” della cyber-security. Sono loro che usano i sistemi di monitoraggio e aiutano gli amministratori a mantenere aggiornate le misure di sicurezza di reti e sistemi5. Ogni attività strana o sospetta viene intercettata dai loro potenti strumenti6 che scansionano miliardi di pacchetti digitali e scovano ogni anomalia che rappresenta un indizio di un’infezione messa in opera dai black hat. Se c’è un incidente, i blue team sono i primi ad intervenire. Svolgono indagini per identificare l’attaccante e scoprono le falle che hanno permesso di assestare il colpo. Il cloud è un posto più sicuro quando loro sono a lavoro. Sono le guardie armate della rete”.

La realtà è che purtroppo, troppo spesso, ci si deve accontentare di chiudere la stalla quando i buoi sono già fuggiti. Sarebbe meglio prevenire ma, per farlo bisognerebbe esser capaci di prevedere.

E’ ovvio che per prevedere l’attacco bisogna padroneggiare le tecniche degli attaccanti. Ma chi può farlo? Gli informatici sono addestrati a far funzionare i loro sistemi, gli amministratori sono addestrati a proteggerli e la cyber-polizia è addestrata a difendere, indagare e reprimere. Nessuno di loro sa come attaccare.

Così, alla fine ci si rese conto che per battere i black hat servivano degli hacker che mettevano le loro tecniche al servizio dei buoni. Fu allora che comparvero i “cappelli bianchi”.

I white hat sono coloro che violano i sistemi informatici allo scopo di informare i proprietari delle vulnerabilità. Sono come dei ladri assunti dal proprietario della banca che, allo scopo di testare i sistemi di sicurezza, provano ad entrare nella cassaforte ed uscire con una refurtiva simulata. In questo modo chi ha il compito di tenere il muro solido studia le migliori tecniche di costruzione; il fabbro che costruisce la cassaforte la dota di una porta anti-sfondamento con una chiave robusta; la guardia all’ingresso si addestra a riconoscere i comportamenti sospetti; la polizia impara ad intervenire per interrompere il crimine prima che sia troppo tardi e il direttore adotta regole atte a minimizzare il rischio e a gestire la crisi. Fuori dalla metafora, i white hat verificano che i programmatori e gli amministratori di rete abbiano reso robusti i loro sistemi7, le chiavi ed i protocolli crittografici siano inattaccabili8, i blue team si addestrino a riconoscere attività malevole, i manager imparino a calcolare i rischi, allochino le risorse e sviluppino politiche aziendali idonee a gestire gli incidenti.

Quando i white hat diventano parte di un’organizzazione, si costituiscono in red team. Loro studiano e si documentano di continuo. Devono sempre stare un passo avanti a tutti perché nel cyber domain arrivare secondi equivale ad arrivare ultimi. Per questo, sviluppano procedure dinamiche e flessibili. Hanno una catena di comando e controllo cortissima per evitare che i loro segreti arrivino a chi non deve sapere.

Ma questo apre ad un grosso rischio. Giovenale si chiederebbe “Quis custodiet ipsos custodes?” ovvero “chi controlla i controllori”? La risposta sarebbe complessa ma ad un bambino la spieghiamo semplice9. Nessuno può farlo10. Quindi, il red team deve avere livelli di moralità indiscussa e godere della massima fiducia dei vertici.

Pur di rimandare ancora un po’ l’ora in cui si spegne la luce, i nostri nipotini, inevitabilmente ci faranno un’altra domanda:

Bis-bis-nonno, come si diventa un white hat?

Noi parleremo di una leggenda che narra di black hat che abbandonano il lato oscuro per tornare alla luce ma questo, forse, è stato possibile all’inizio. Oggi nessuno autorizza di buon grado il ladro-sedicente-pentito a forzare la propria serratura e, con la domanda del mercato, l’offerta ha iniziato ad organizzarsi per formare professionisti nel settore. Con questo spirito sono nati i corsi di Hacker Etico. Il problema è che queste certificazioni sono basate sulla conoscenza semantica. Un famoso meme recita: “ho messo bene 93 crocette su 100! Questo fa di me un Ethical Hacker!”. Mi spiace infrangere un così bel sogno ma no, purtroppo le cose sono più complicate di così.

Da quando la cyber-security ha raggiunto una maggiore maturità esistono corsi e certificazioni che portano ad imparare i rudimenti e valutano le competenze dei professionisti.

La certificazione più richiesta è quella data dalla Offensive Security che, al termine del corso dallo stampo meramente pratico11 sottopone ad un esame della durata di 24 ore. È una specie di gioco “ruba bandiera”. Si pratica in un ambiente virtuale appositamente preparato. In breve, si deve riuscire ad aggirare le misure di sicurezza di alcuni computer remoti e leggere la stringa segreta di codice. È un esame difficile in cui si dimostrano competenze tecniche e resilienza alla fatica. Si corre contro il tempo. Però, il corso dà soltanto i rudimenti e poi, da lì in avanti si deve sbattere la testa e trovare la soluzione degli enigmi. Il loro motto è “try harder” ovvero “impegnati di più”. La filosofia è che in internet c’è tutto, bisogna solo saper trovare la soluzione al problema12. Questo è l’approccio “fare per capire”.

Da un’idea completamente opposta, “capire per fare”, nascono i corsi della SANS (certificazioni GIAC) e della eLearnSecurity. Ma le similitudini tra queste ultime due aziende finiscono qui. I corsi della SANS13 sono più tradizionali. Si strutturano in due fasi, una frontale in presenza ed una basata su manuali. L’eLearnSecurity, invece, è solo online. Prima s’impara la teoria tramite migliaia di lastrine contenenti un paio di concetti ciascuna, poi si guardano i video di chi opera con gli strumenti descritti ed infine si svolgono i laboratori pratici. In caso di difficoltà ci sono i forum interni per cercare o chiedere risposte.

Così facendo si costruisce un bagaglio culturale che si traduce in un metodo di lavoro. È vero che su internet c’è tutto ma c’è anche il contrario di tutto e se non si conoscono i migliori strumenti e le migliori pratiche chiunque si può perdere nella nuvola.

Nel suo intento di accompagnare i discenti nelle loro scelte, la eLearnSecurity consiglia dei Training Paths, ovvero dei percorsi formativi che consentono ai professionisti della cyber-security di raggiungere una certa maturità. I percorsi proposti vanno dalla difesa aziendale e la risposta agli incidenti (Blue team), al Network e Web Application Pentester14 (Red Team).

Essendo Cappuccetto innamorata del colore “rosso”, decise che il primo corso che avrebbe frequentato sarebbe stato il Penetration Testing Student. Dopo aver letto e riletto tutto il materiale aveva deciso di acquistare i laboratori e l’esame per testare e certificare le competenze acquisite”.

Non è un corso facile ma può essere seguito e superato da chiunque abbia voglia di impegnarsi per qualche mese, guardare video e tutorial, provare laboratori didattici. L’esame si svolge in un ambiente realistico e dura tre giorni, è elementare ma non scontato, impegnativo ma non frustrante. Si va di corsa ma senza fretta. Bisogna trovare il modo di violare un server web configurato male e sfruttare questa “porta” per accedere all’area privata. Una volta dentro al perimetro, trovarvi le vulnerabilità ed estrapolare dati sensibili.

Lei era stata una studentessa diligente e, grazie ai tanti appunti presi, la conoscenza della teoria e la competenza data dalle prove nei laboratori, Cappuccetto Rosso aveva ottenuto la prima certificazione prestigiosa: lei era diventata un eJPT, ovvero un “eLearnSecurity Junior Penetration Tester”.

Essendo che il mondo del lavoro della cyber-security è più affamato del lupo, dopo pochi giorni aveva iniziato a ricevere offerte ed aveva trovato un lavoro. Aveva sperimentato le attività di OSINT15, si era sentita un’agente del controspionaggio16, aveva trovato informazioni sensibili che, senza l’autorizzazione dei propri clienti, erano state sottratte. Aveva testato sistemi e reti individuando falle e vulnerabilità. Le aveva segnalate ai colleghi del blue team i quali avevano preso provvedimenti per rendere la loro fetta di mondo virtuale più robusta. Con l’esperienza maturata da giovane hacker del Red Team (e tanta voglia di mettersi in gioco), era pronta per iniziare nuove sfide ed intraprendere il processo eCPPT e diventare una Professional Penetration Tester Certificato. Lì avrebbe imparato nuove tecniche e raggiunto nuovi traguardi che le permetteranno di acquisire, un giorno, la certificazione da Penetration Tester eXtreme17.

Poi un giorno Cappuccetto Rosso si accorse di essere cresciuta, sposò un hacker pentito ed assieme ebbero tanti figli… e tutti vissero felici e contenti.

Ora è tardi però, dunque a dormire caro nipotino mio...


Fabrizio Colalongo


1 Questa distinzione è molto comune ma è considerata superficiale dagli operatori del settore.

2 Nessun incidente di questo tipo si è ancora verificato.

3 Molti organi d’informazione già da anni danno notizie in tal senso.

4 Computer Emergency Response Team.

5 Si tratta di una semplificazione, i compiti dei Blue Team sono innumerevoli.

6 Ad esempio i SIEM: Security Information And Event Management: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.

7 Fase di hardening: idealmente il codice di programmazione dovrebbe essere privo di vulnerabilità (es. buffer overflow) e i sistemi di rete devono prevedere strumenti di protezione (es. firewall, policy, ecc.). Purtroppo, per ragioni di economicità e funzionalità una certa dose di rischio dev’essere sempre accettata.

8 La crittografia è una branca piuttosto complessa della matematica teorica. La sicurezza dipende da molti fattori eterogenei. La segretezza perfetta esiste ma è inapplicabile in un contesto reale pertanto dev’essere accettata una certa dose di rischio che i matematici sanno calcolare. Sviluppare i propri codici crittografici è pericoloso ma piuttosto diffuso tra i crittografi in erba, gli hacker sanno sfruttare queste falle. Per approfondimenti si rimanda a “Jonathan Katz, Yehuda Lindell - Introduction to Modern Cryptography_ Principles and Protocols-Chapman and Hall”.

9 La scienza del diritto applicata all’informatica e specializzata in cyber.

10 Anche qui si fa una semplificazione, il red team agisce in forza di un contratto molto preciso che definisce in maniera puntuale i limiti. L’eccedere tali limiti può comportare conseguenze civili e pesanti sanzioni penali.

11 PWK - Penetration testing With Kali Linux.

12 È stata presa da esempio la prima delle certificazioni della Offensive Security, ovvero la OSCP (Offensive Security Certificated Professional). L’offerta di questa prestigiosa azienda si arricchisce di altri corsi ancora più pregiati e difficili tutti orientati alla formazione di stampo offensive, ovvero red team.

13 La SANS offre corsi prestigiosissimi, ma dal costo molto elevato, in ogni campo della cyber-security.

14 Breve di PENetration TESTER.

15 Open Source INTelligence.

16 Sull’argomento si rimanda ad un mio precedente articolo: “mi chiamo security, cyber-security. Google Hacking e Shodan: l'intelligence che non ti aspetti”.

17 Le seguenti precisazioni sono d’obbligo:

  • Nessuna certificazione prova di per sé l’abilità dell’operatore di cyber-security, il percorso del penetration tester è principalmente basato sull’esperienza sul campo;

  • Esistono percorsi di formazione altrettanto validi rispetto a quelli descritti; il racconto è basato sulla esperienza personale dell’autore e non ha alcun valore scientifico;

  • Il fine dell’articolo non è pubblicitario e non c’è alcun legame tra l’autore, l’editore e le aziende che forniscono corsi e certificazioni.

mercoledì 9 dicembre 2020

EU Strategic Compass

In questi giorni l'Unione Europea sta discutendo della strategia militare futura. L'iniziativa in questione si chiama "Strategic Compass" e, come dice il nome, dovrebbe definire la rotta per il futuro dell'Unione Europea in campo militare e non solo. 

Se ne parla nei principali forum internazionali e nei think tank di Francia, Germania, Spagna e... allora vediamo di capire assieme di che cosa si tratta e del perché è importante.

Lo Strategic Compass è una delle iniziative più importanti e dibattute in merito alla Sicurezza e Difesa dell'Unione Europea nel corso della attuale presidenza tedesca del Consiglio Europeo. 

L'iniziativa ha lo scopo di formulare una prima analisi congiunta dei rischi relativi a sicurezza e Difesa dell'UE, di trovare un accordo su degli obiettivi strategici chiari e raggiungibili per rafforzare l'unione e dovrà inoltre fungere da guida politica per il futuro processo di pianificazione militare. Il documento evidenzia le sfide, le idee e le raccomandazioni in merito ai quattro basket individuati: gestione delle crisi, resilienza, sviluppo capacitivo e partnership. 

Sul sito del DGAP (German Council of Forein Relations - Deutsche Gesellschaft für Auswärtige Politik), il principale forum tedesco indipendente attivo dal 1945 che si occupa della politica estera del paese, lo scorso 11 novembre è stato pubblicato un articolo riassuntivo relativo al EU Strategic Compass, unitamente al report. Dall'articolo apprendiamo che il 21 settembre la DGAP e il Ministro della Difesa tedesco hanno ospitato un workshop sullo EU Strategic Compass e sui suoi quattro basket. All'evento erano invitati i principali think-tankers europei. 

Il dibattito era guidato da tre domande di fondo:

- quali argomenti dovrebbero essere trattati a livello strategico nei quattro basket tematici?

- è possibile individuare dei punti relativi alla diversa percezione del rischio da parte dei singoli stati membri?

- quali misure sono necessarie affinché l'iniziativa (lo Strategic Compass) possa rappresentare un reale valore aggiunto per l'Unione Europea?   

La discussione ha permesso di approfondire le questioni strategiche relative a sicurezza e difesa dell'Unione Europea, individuando alcuni elementi chiave trasversali a tutti e quattro i basket. 

Si tratta di concetti generali. 

Il primo di questi è relativo alla espansione dell'agenda dell'UE per i temi della sicurezza e Difesa. Espansione che riguarda sia il numero delle crisi in Europa, sia il numero sempre crescente delle nuove capacità da sviluppare, sia la complessità dei domini in cui si opera.   

Il secondo concetto riguarda l'attesa o l'aspettativa che si ripone sulla capacità dello Strategic Compass di fungere da guida. In effetti questo dovrebbe essere lo scopo fondamentale. 

Infine, è stato posto in evidenza che il successo di questa iniziativa risale alla volontà degli stati membri di voler migliorare le cose, garantendone un seguito. Non è possibile pensare che allo scadere del semestre tedesco l'iniziativa si mantenga da sola, dovrà essere garantito l'impegno degli stati membri per i prossimi due anni, almeno.

Dalla discussione sono inoltre emerse delle raccomandazioni di seguito sintetizzate:  

1. E' necessario convergere su un ristretto set di priorità, ciò allo scopo di garantire una risposta alle crisi più veloce, unita ed efficace.

2. E' importante che i lavori sul dialogo strategico nel 2021 proseguano nel modo corretto prima di pensare di ristrutturare strumenti e istituzioni esistenti.

3. Occorre stabilizzare i progressi fatti nell'ambito dello Strategic Compass, mettendo in evidenza i risultati attraverso ulteriori documenti, per esempio un piano per l'aggiornamento e la realizzazione della sicurezza e difesa, come pure l'impiego di strumenti migliori per assicurare coerenza e conformità.

4. Ogni qualvolta possibile, deve essere applicato il principio di sussidiarietà, ma la resilienza dell'Unione Europea può essere raggiunta solo attraverso l'interazione di differenti livelli e attori: tra istituzioni UE, tra UE e gli stati membri, tra settore pubblico e privato, tra attori civili e militari, tra UE e NATO.

5. Nell'ambito dello sviluppo capacitivo, è molto importante impiegare la natura consensuale del Common Security and Defence Policy (CSDP) per lavorare a stretto contatto con gli stati membri che preferiscono impiegare il NATO Defence Planning Process (NDPP). E' necessario fare in modo che gli obiettivi stabiliti dal Consiglio Europeo siano tenuti in conto dagli stati membri. 

6. Occorre iniziare ad interrogarsi su come si può semplificare il processo di prioritizzazione delle capacità e come rafforzare le strutture politiche e l'integrazione tra expertise militare senza modificare i trattati e senza sconvolgere il panorama istituzionale esistente.

7. Bisogna attribuire le giuste priorità alle partnership in funzione della capacità di raggiungere obiettivi ben definiti.

8. Infine occorre rendere realmente complementari UE, NATO e ONU. Affrontare e definire il problema della suddivisione del lavoro tra partners, sia tra i membri della UE, sia all'interno della UE, sia tra civili e militari, a riguardo della resilienza e della gestione delle crisi.  

E' facile intuire che dietro ognuna delle raccomandazioni esiste un mondo di interessi legati allo sviluppo della società nell'Unione Europea, non solo militare ma anche e soprattutto civile. 

Per fare un esempio, il rafforzamento e la suddivisione dei compiti tra organizzazioni internazionali (al punto otto) avrà dei risvolti sulla definizione delle linee guida nello sviluppo dell'industria della Difesa (Europea ma anche, potenzialmente, mondiale). La stessa considerazione può esser fatta (sul punto cinque) in merito al processo di sviluppo capacitivo. Chi tra gli stati saprà meglio interpretare i regolamenti futuri meglio saprà garantire sviluppi alla filiera nazionale. Può sembrare egoistico, ma è così. Quando si parla di sicurezza si parla implicitamente o esplicitamente di Base Industriale e Tecnologica della Difesa. Chi meglio saprà indirizzare gli investimenti europei sarà più capace di agevolare l'industria nazionale, in ottica europea ma pur sempre nazionale.

Ecco perché occorre partecipare alle discussioni attraverso tutti i mezzi, condividere le informazioni con i think-tank nazionali e Europei e, in definitiva, fare "influenza". 

Non è detto che con il prossimo cambio della presidenza semestrale del Consiglio Europeo l'iniziativa prosegua, ma qual è l'alternativa? Ricominciare daccapo per i prossimi sei mesi, e poi ancora per quelli successivi e cosi via? Pensiamoci bene... perché significa buttare tempo e lavoro, e nel frattempo altri paesi vanno avanti, sia in Europa sia, soprattutto, nel resto del mondo.    

Purtroppo in Italia, forse, si è troppo presi dalle "faccende di casa" per guardare oltre il proprio naso. Questo comportamento è spesso causa dei nostri mali: non lamentiamoci poi se gli altri Paesi decidono per noi!

Alessandro Rugolo

Per approfondire:

'Strategic Compass': EU considers military doctrine, new tank development | Reuters

Strategic Compass: Developing strategic principles - EU2020 - EN

The EU’s Strategic Compass and Its Four Baskets | DGAP

The EU's Strategic Compass - GERMAN-FOREIGN-POLICY.com (german-foreign-policy.com)

Can the EU's Strategic Compass steer European defence? | Centre for European Reform (cer.eu)

'Strategic Compass': EU considers military doctrine, new tank development - Metro US

The EU Global Strategy: A compass for our action in difficult times - European External Action Service (europa.eu)