lunedì 22 marzo 2021

IL PROGETTO QUANTUM-SECURE NET (PARTE 3/3): PRODOTTO EUROPEO DI QUANTUM KEY DISTRIBUTION

Quanto segue è la terza ed ultima parte della serie di articoli sulla crittografia quantistica, iniziata con i due precedenti articoli, dove venivano introdotti gli elementi fondamentali della cosiddetta minaccia quantum. In questa ultima parte viene presentato in dettaglio il progetto Q-Secure Net, già introdotto nella parte 1.
Prima di proseguire, consiglio di rileggere gli articoli precedenti sui seguenti link:
 

La sfida della Quantum Key Distribution (QKD)

Il progetto Quantum-Secure Net (Q-Secure Net) è un progetto finanziato dell’European Institute of Technology Digital (EIT Digital) il cui scopo è sviluppare e portare sul mercato un prodotto di rete di nuova concezione e generazione completamente Europeo, basato su tecnologia Quantum Key Distribution (QKD), che sia sostenibile in termini di costi e interoperabile con gli altri sistemi esistenti. Lo scopo del progetto è fornire una soluzione pronta per le telecomunicazioni, integrata nel funzionamento e nella gestione della rete, per garantire comunicazioni end-to-end (E2E) sicure a livello quantistico in contesti di alta sicurezza.

Proposta già nei primi anni 1980, la QKD è una tecnologia imparentata con il quantum computing per via del fatto che usa la stessa “terminologia” matematica: si può dire che in questo caso si parla di “quantum” senza l’attributo “computing”. La tecnologia ha impiegato quasi 40 anni per evolversi, tuttavia, ora è una delle principali aree di competizione tecnologica fra le nazioni, oltre al 5G, tra cui Cina, Corea e Stati Uniti. La QKD in particolare utilizza le proprietà quantistiche dei fotoni per effettuare lo scambio di una chiave crittografica simmetrica, che può essere utilizzata per criptare i messaggi che poi vengono scambiati tramite un canale “tradizionale”. La sicurezza di QKD si basa su fondamentali leggi della natura, che sono insensibili all’aumentare della potenza di calcolo, di nuovi algoritmi di attacco o di computer quantistici. Tale sistema permette, una volta introdotto, di dotare le infrastrutture di rete ad altissima sicurezza di comunicazioni incondizionatamente sicure.

Il progetto Q-Secure net

Il progetto Q-Secure Net ha l'obiettivo di fornire una soluzione economica e flessibile per servizi di comunicazione incondizionatamente sicuri basati sulla QKD, che funzioni con le attuali reti metropolitane in fibra ottica. Il capofila del progetto è Italtel. Fra i partner, Cefriel ha seguito due degli scenari applicativi, Politecnico di Milano e CNR hanno sviluppato la tecnologia QKD e i protocolli di correzione degli errori, Università Politecnica di Madrid e Telefonica hanno partecipato alla definizione del prodotto ed i test su rete metropolitana in fibra ottica.

Durante il progetto sono state sviluppate due applicazioni prototipali, aventi lo scopo di dimostrarne l’utilizzo nel contesto Blockchain e SSL, mostrando come la tecnologia QKD possa essere applicata sia al mercato finanziario che per rendere sicure le comunicazioni IoT (Internet of Things) e IIoT (Industrial IoT). Il prodotto è adatto a qualsiasi servizio che necessiti di una chiave di cifratura simmetrica, e si apre ad innumerevoli applicazioni e casi d’uso.

Lo Scenario SSL+PSK

La prima applicazione sviluppata è legata al protocollo SSL/TLS. Questi protocolli permettono una comunicazione sicura tra due entità operando al di sopra del livello di trasporto. Di solito, SSL utilizza certificati a chiave pubblica per l'autenticazione. In particolare, però, lo standard prevede già una speciale configurazione (SSL+PSK Pre-Shared Keys) che utilizza chiavi simmetriche, pre-condivise in anticipo tra le parti comunicanti, per stabilire una connessione SSL. Una configurazione implementata ad esempio, per supportare i casi in cui le parti comunicanti non possano usare la cifratura asimmetrica perché onerosa in termini di connettività o calcolo (es. IoT) o perché le parti sono già “accreditate” (es. ambito militare).

I passi dettagliati della comunicazione per SSL+PSK sono i seguenti, direttamente ispirati allo schema proposto Diffie-Hellman per le PKI.

  1. Alice e Bob ricevono su un collegamento QKD la stessa chiave crittografica (simmetrica)

  2. Alice usa la chiave simmetrica QKD per criptare una chiave temporanea di sessione, generata in modo casuale, che ha una durata di vita limitata e la invia a Bob, su un canale non sicuro (ethernet)

  3. Bob riceve il messaggio e lo decripta per ottenere la chiave temporanea di sessione.

  4. Alice e Bob usano la chiave temporanea di sessione con AES per crittografare i loro messaggi su ethernet fino alla scadenza della stessa (poi si ripete il passo 2). In caso di attacco attraverso il link QKD, Alice e Bob possono richiedere un'altra chiave QKD sicura.

Lo scenario è abilitante per i servizi VPN e IPSEC con QKD.

Lo scenario Decentralised Finance

Le tecnologie blockchain nascono a finire del 2009 con l’avvento del protocollo Bitcoin e si evolvono fino ai giorni nostri in una famiglia di protocolli e sistemi SW essenzialmente con l’obiettivo di creare una rete (network peer to peer) di “pari” in grado di scambiarsi un valore transazionale (valuta, asset con valore, certificazione) in maniera diretta, senza una terza parte fiduciaria. Eliminando così, attraverso il meccanismo del consenso condiviso, il bisogno di avere terze parti e attivando lo scambio diretto di beni, servizi. Questi sistemi hanno una applicazione in campo finanziario, sia nei processi interbancari, per esempio in scenari di tracciamento e ciclo di vita degli asset come le fatture (es., sconto fattura) sia nei processi e servizi che si possono creare a partire dai token (dando origine al fenomeno della finanza decentralizzata).

In particolare, nella Decentralised Finance (Defi), uno degli aspetti chiave è la interoperabilità dei sistemi e lo scambio di token e cripto valute, soggetto a sfide di sicurezza note e non indifferenti. Oggi i token derivati di Ethereum sono decine di migliaia, e sono “tecnicamente” interoperabili tra di loro, il che significa che applicazioni diverse possono scambiarsi questi token proprio come ci si scambiano delle valute o delle azioni nelle borse commerciali. Queste operazioni oggi sono affidate a Exchange centralizzati che sono spesso soggetti a problemi di sicurezza e rappresentano l’unico elemento ancora centralizzato in sistemi peraltro totalmente peer-to-peer.

In questo contesto “finanziario”, c’è sempre, un “nodo” della rete, detto in gergo tecnico portafoglio (wallet) che è abilitato a scambiare il valore, ossia il token. Tale nodo possiede delle informazioni specifiche che gli permettono di eseguire la transazione.

Inoltre, negli scenari Fintech attuali, ci sono molteplici cripto-valute e reti, un elemento di debolezza riconosciuto. Il “passaggio” da una criptovaluta ad un’altra, da un token ad un altro, tra due sistemi e due wallet, richiede il passaggio da una terza parte fidata, contraddicendo il paradigma della decentralizzazione. Questa situazione, per esempio nel contesto Ethereum, viene risolta passando, in alcuni casi, come recentemente proposto, attraverso il meccanismo dell’Atomic Swap. L’Atomic Swap è una delle possibili soluzioni proposte per far interagire differenti reti blockchain, ed è un “sistema” per il passaggio sicuro direttamente tra nodi partecipanti a diverse reti blockchain, di una informazione (hashlock o timelock1) necessaria a sbloccare il cambio di valuta.

Questa informazione simmetrica, permette di accoppiare reti diverse, ed è quindi importante, in ottica di evoluzione delle reti blockchain in contesti finanziari, mantenerla sicura.

Nella configurazione sperimentale oggetto del progetto, l’Atomic Swap avviene non più su una rete di telecomunicazione “comune”, ma si avvale di un QKD Link, che permette di trasferire in modo sicuro il parametro di hashlock/timelock fra due nodi di una rete Algorand (si noti che nel gergo Algorand viene usato il termine Atomic Transfers). Questa soluzione comporta un aumento della sicurezza intrinseca dello scambio e quindi, rende possibile usare gli Atomic Swap anche con le criptovalute.

Sviluppi previsti

In un anno il progetto Q-Secure Net ha portato alla realizzazione di un prodotto pronto per le prime applicazioni di mercato, ma che ha le potenzialità per cogliere le opportunità da un mercato in fortissima crescita. Nell’articolo è stato citato un primo naturale scenario di utilizzo della QKD, per connessioni con elevati requisiti di sicurezza o dove è importante la everlasting security.

Sono interessanti anche le reti di dispositivi dotati di QKD Link. Una prima architettura di reti "hop-by-hop" è stata dimostrata in Europa nel 2008 dal progetto SECOQC; in tali reti i messaggi passano tramite differenti nodi relay collegati da QKD Link. In questo caso la decrittazione / ricodifica e rilancio del messaggio viene effettuata ad ogni nodo intermedio con differenti chiavi QKD (si veda Figura 1).



Figura 1 - In una rete "hop-by-hop" i dati seguono un percorso fatto di nodi relè “trusted”, collegati da QKD Link. La decodifica/ricodifica del messaggio è fatta ad ogni nodo intermedio, usando la codifica one-time-pad tra la chiave locale, distribuita dal QKD, ed il messaggio segreto M, decifrato localmente dalla connessione precedente. Le diverse associazioni di chiavi sono simboleggiate da colori diversi.



Enrico Frumento*, Nadia Fabrizio*, Paolo Maria Comi+


* CEFRIEL Politecnico di Milano, Viale Sarca 226 – 20126 Milano

+ Italtel, Via Reiss Romoli – loc. Castelletto – 20019 Settimo Milanese (Mi)



Lavori Citati

[1]

Digital Tech, “Q-Secure Net Factsheet,” 2019. [Online]. Available: https://www.eitdigital.eu/fileadmin/files/2020/factsheets/digital-tech/EIT-Digital-Factsheet-Q-Secure-net.pdf.

[2]

R. Alléaume, C. Branciard, J. Bouda, T. Debuisschert, M. Dianati, N. Gisin, M. Godfrey, P. Grangier, T. Länger, N. Lütkenhaus, C. Monyk, P. Painchault, M. Peev, A. Poppe, T. Pornin, J. Rarity, R. Renner, G. Ribordy, M. Riguidel, L. Salvail, A. Shields, H. Weinfurter and A. Zeilinger, “Using quantum key distribution for cryptographic purposes: A survey,” Theoretical Computer Science, vol. 560, pp. 62-81, 2014.

[3]

W. Diffie and M. Hellman, “New directions in cryptography,” IEEE Transactions on Information Theory, vol. 22, pp. 644-654, 1976.

[4]

M. Herlihy, “Atomic Cross-Chain Swaps,” in ACM Symposium on Principles of Distributed Computing, 2018.

[5]

S. Micali, “Algorand’s Forthcoming Technology,” 26 5 2019. [Online]. Available: https://medium.com/algorand/algorands-forthcoming-technology-bcd17989c874.

[6]

CORDIS, “Development of a Global Network for Secure Communication based on Quantum Cryptography,” 2008. [Online]. Available: https://cordis.europa.eu/project/id/506813.



1 Il servizio di Atomic Swap può essere configurato in due modi: hashlock o timelock. Hashlock è una funzione che limita la spesa dei fondi fino a quando un certo dato non viene reso pubblico (come prova crittografica. Timelock limita la spesa dei fondi fino a un determinato momento futuro.

Che cos'è la cyber kill chain?

In diversi articoli abbiamo accennato alla cosiddetta "cyber kill chain" ma a ben guardare non abbiamo mai veramente spiegato di che si tratta. 

Oggi in questo breve articolo ripercorriamo la nascita del modello e cerchiamo di capire assieme qualcosa di più.

Il concetto di Cyber Kill Chain è stato pubblicato per la prima volta dalla Lockeed Martin, principale industria americana del settore Difesa, nel white paper: "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", di Eric M. Hutchins, Michael J. Cloppert e Rohan M. Amin.

Consiglio a tutti di leggere il documento nella sua interezza in quanto molto interessante. Nel nostro caso ci limitiamo a prendere ciò che ci sembra più utile, in particolare nell'introduzione troviamo una prima definizione di cyber kill chain:

"The phrase “kill chain” describes the structure of the intrusion, and the corresponding model guides analysis to inform actionable security intelligence".

Gli autori si sono preoccupati dunque dello sviluppo di un modello di attacco cyber che servisse ad agevolare i difensori allo sviluppo di tecniche di mitigazione dei rischi, questo per ostacolare efficacemente un ipotetico intruder nel suo lavoro. Il modello aveva anche lo scopo di agevolare la "prioritizzazione" degli investimenti nelle nuove tecnologie.

Non è un caso che proprio un’industria della difesa abbia introdotto il concetto della Cyber Kill Chain, si tratta semplicemente di un adattamento all’ambito cyber di un concetto militare, difatti in origine era un modello a fasi utile a identificare i vari passaggi necessari all’esecuzione di un attacco.

L'analisi della kill chain permette di capire come un avversario per raggiungere il suo obiettivo debba riuscire a progredire attraverso tutta la catena, mettendo bene in evidenza quali azioni di mitigazione sono efficaci per interrompere la kill chain stessa.

Il paper è rivolto in particolare alla analisi di quegli avversari dotati di capacità e risorse sufficienti a condurre delle campagne APT (Advanced Persistent Threath).  

Ma vediamo in cosa consiste questa cyber kill chain. Si tratta di un processo costituito da sette fasi:

La prima fase si chiama Reconnaissance (perlustrazione) e, come ben evidenzia il nome, consiste nell'effettuazione di ricerche per identificare e selezionare l'obiettivo, ricerche su internet di informazioni relative all'obiettivo, alle tecnologie che impiega, agli indirizzi email e al personale nonché le relazioni sociali. Questa fase è fondamentale per la definizione del target iniziale utile per arrivare a quello finale magari con un movimento laterale, ad esempio verrà colpito l’impiegato in fondo a destra per poter arrivare infine al CEO dell’azienda.

La seconda fase si chiama Weaponization (armamento) e consiste creare o identificare un malware utilizzabile per l'attacco, di solito si tratta di un accoppiamento di un software per l'accesso remoto (cavallo di troia) e di un exploit (software che sfrutta una vulnerabilità del sistema). Spesso per guadagnare l’accesso ad un sistema, vengono sfruttati gli zero day da cui ancora non c’è difesa poiché sono delle nuovissime vulnerabilità che devono ancora essere "patchate" proprio perché appena scoperte.

La terza fase si chiama Delivery (consegna) e consiste nella trasmissione della arma cyber (weapon) all'obiettivo. Normalmente si impiegano email con link a siti fasulli o documenti allegati contenenti malware per la distribuzione alla vittima. Ma anche chiavette USB, infrarossi, bluetooth, supporti ottici, tastiere o mouse con un malware “nidificato” nel firmware o altri metodi sono possibili.  

La quarta fase è conosciuta come Exploitation (sfruttamento) e consiste, generalmente, nello sfruttamento di una o più vulnerabilità da parte dei software malevoli introdotti nel sistema sotto attacco. E’ doveroso sottolineare che vengono adottate le più avanzate tecniche di obfuscation (spesso addirittura tecniche inedite) per rendere queste azioni totalmente invisibili ai nostri “radar” siano essi firewall, IDS, IPS, filtri mail, antivirus e SIEM.

La quinta fase si chiama Installation (installazione) e consiste nell'installare all'interno del sistema obiettivo allo scopo di consentire all'attaccante di poter restare all'interno del sistema a suo piacimento, la cosiddetta persistenza. Di solito si usano a tale scopo dei Malware Trojan (RAT Remote Access Trojan), vengono aperte delle porte nella rete, o vengono create delle backdoor. In questa fase il sistema viene silenziosamente ma pesantemente modificato, possono essere modificate chiavi di registro, files di sistema fin’anche le partizioni di avvio). Questo è uno dei motivi per cui l’esito del ripristino dei “sistemi compromessi” non è mai scontato.

La sesta fase è chiamata Command and Control (C2 o C&C, Comando e Controllo) e consiste nello stabilire una solida catena di comando e controllo che consenta all'attaccante di dare ordini e ricevere feedback. Questa fase è particolarmente importante in una APT. 

La settima fase si chiama Actions on Objectives (azioni sugli obiettivi) e consiste nel vero e proprio attacco al sistema obiettivo. In genere si tratta di esfiltrare dati, che più in generale significa esplorare il sistema, raccogliere dati, cifrarli e esfiltrarli. In altri casi si tratta di rendere i dati indisponibili, in genere cifrandoli per chiedere in seguito un riscatto (i famosi Ramsomware). In altri casi si tratta di modificare i dati (cosa accadrebbe se venisse alterata di qualche frazione di millimetro la dimensione di un pezzo di ricambio di un’aereo?). L'attaccante potrebbe anche avere solo interesse a raccogliere dati utili ad attaccare un altro sistema più remunerativo.

Ogni fase può essere a sua volta suddivisa in diversi step, più o meno numerosi.

Naturalmente il modello sviluppato dalla Lockeed Martin per scopi difensivi può e viene impiegato anche per scopi offensivi, soprattutto in relazione alle prime fasi di reconnaissance e weaponization. 

Naturalmente esistono tante varianti della cyber kill chain, sviluppate da diverse società, ma l'obiettivo è sempre lo stesso ovvero aiutare a capire il modus operandi dell'attaccante allo scopo di capire come sconfiggerlo o, più in generale, come moderare i rischi.     


Alessandro Rugolo e Lino Proceddu

Per approfondire:

LM-White-Paper-Intel-Driven-Defense.pdf (lockheedmartin.com)

Seven_Ways_to_Apply_the_Cyber_Kill_Chain_with_a_Threat_Intelligence_Platform.pdf (lockheedmartin.com)

giovedì 18 marzo 2021

Whaling: cos’è e quali sono i rischi

Negli ultimi anni, gli attacchi cyber si sono evoluti, cambiando forma ed intensità. La crisi sanitaria globale ha costretto una gran parte dei lavoratori al cosiddetto smartworking, il telelavoro. Ciò ha determinato un profondo aumento della superficie d’attacco a disposizione dei criminal hackers.

Durante lo scorso anno si è parlato molto del whaling o whale phishing. Concepito come una versione più evoluta e recente del phishing, questo attacco è anche conosciuto come CEO fraud, poiché l’azione è finalizzata a colpire dirigenti e componenti senior dell’azienda, ottenendo l’accesso ai loro devices per rubare informazioni o denaro.

Le modalità di attacco sono le stesse utilizzate dal phishing , ma nel caso del whaling, la comunicazione fittizia (es. email) sembra essere inviata da un manager di pari livello o da qualcuno che riveste una posizione importante nella stessa azienda .

L’obiettivo dell’attacco è quello di ottenere informazioni riservate sull’azienda o a far commettere alla vittima azioni pericolose per l’azienda stessa. Solitamente, la comunicazione avviene tramite e-mail proveniente, almeno apparentemente, da una fonte affidabile e, in alcuni casi, contenenti perfino il logo dell’azienda. Come evidenzia Kasperski, la fiducia all’interno di un’azienda è molto alta ed è più facile, in questo modo, cadere nella trappola.

Il whaling è potenzialmente più efficace del phishing in quanto l’obiettivo è una persona in vista, un membro di alto livello dell’azienda. Proprio per questo, gli hackers possono utilizzare le informazioni disponibili sui social media e in rete per “customizzare” l’attacco.

Secondo quanto analizzato dal National Cyber Security Centre (NCSC) britannico, infatti, l’e-mail contiene informazioni riguardanti la vittima (sia essa organizzazione o individuo), trasmette un senso di urgenza ed è scritta in un linguaggio adatto al contesto (solitamente un linguaggio economico).

Quali sono i rischi per l’azienda? Il whaling è una forma di social engineering che spinge la vittima a cliccare sul link presente nell’e-mail il quale diffonde un malware, oppure la costringe a inviare soldi all’account bancario dell’hacker. L’evoluzione di questi attacchi, attraverso l’utilizzo di un linguaggio sempre più tecnico, l’utilizzo di siti falsi realizzati ad hoc e di riferimenti ai dati personali della vittima, ha reso sempre più difficile la loro individuazione.

Inoltre, il NCSC ha rilevato alcuni casi in cui i manager aziendali hanno ricevuto anche chiamate telefoniche che confermavano le richieste presenti nell’e-mail, dando vita alla tattica di social engineering denominata cyber-enabled fraud.

Come ci si difende da questi attacchi? Poiché il whaling è un’evoluzione del phishing, le precauzioni da adottare sono molto simili. Innanzitutto, bisogna verificare l’indirizzo email prima di cliccare su eventuali link presenti in un’email. Nel caso specifico del whaling, gli attori malevoli sono particolarmente facilitati dalle informazioni riguardanti i manager aziendali presenti sui social media o altrove; inoltre, durante gli eventi pubblici, quali conferenze o eventi dell’azienda, i senior sono particolarmente esposti a questi attacchi.

Il report Phishing Trends and Intelligence pubblicato da PhishLabs nel 2019 ha messo in luce dei dati molto interessanti riguardanti il 2018. Tali dati mostrano come ci sia stato un incremento del 40,9 % degli attacchi di phishing, colpendo principalmente servizi finanziari, email, cloud, di pagamento e SaaS. Inoltre, la maggior parte delle email non conteneva alcun malware, mirando prettamente a rubare le credenziali.

Dato l’incremento esponenziale di questi attacchi, le aziende dovrebbero implementare programmi di formazione che aumentino la consapevolezza dei dipendenti sui rischi del phishing e del whaling. Inoltre, il dipartimento IT delle aziende più grandi dovrebbe incrementare le finte campagne di whaling, in modo da verificare il livello di consapevolezza del personale aziendale. Infine, come riporta Kasperski, le aziende possono dotarsi di software anti-phishing che forniscono alcuni servizi come l’URL screening e link validation.


Davide Lo Prete


https://www.ncsc.gov.uk/guidance/whaling-how-it-works-and-what-your-organisation-can-do-about-it

https://www.rapid7.com/fundamentals/whaling-phishing-attacks/

https://www.kaspersky.com/resource-center/definitions/what-is-a-whaling-attack

https://www.cybersecurity360.it/nuove-minacce/attacchi-whaling-la-caccia-informatica-alle-balene-che-minaccia-ceo-cfo-e-tutti-i-c-level/



martedì 2 marzo 2021

il caso SolarWinds, facciamo il punto

In un articolo del 14 dicembre 2020 abbiamo parlato di FireEye e di come sia stata hackerata. E' stata la stessa società, l'8 dicembre scorso, ad informare il pubblico di quanto accaduto.
Abbiamo quindi ripreso la notizia una settimana dopo con l'articolo di Ciro Metaggiata

Noi allora avevamo provato a porci qualche domanda sulla base di quanto era noto e ad abbozzare qualche risposta. Oggi, a quasi tre mesi dall'accaduto, possiamo provare a fare qualche passo avanti certi che dell'attacco, oggi noto come Solorigate, si continuerà a parlare a lungo.

Intanto è stato chiarito che l'attacco è avvenuto per il tramite di una società fornitrice di software per FireEye (e non solo!), la società si chiama SolarWinds ed è basata in Texas.

Una cosa che possiamo vedere immediatamente è l'effetto dell'attacco sulle due società: la FireEye ha mantenuto il valore delle sue azioni, che anzi è cresciuto mentre la SolarWinds ha perso!



Questo solo per dire che genere di "effetti" può avere un cyberattack, dal punto di vista economico per intenderci, se qualcuno ancora dovesse avere dei dubbi sugli effetti nel mondo reale. In questo caso gli effetti che ho mostrato sono solo quelli sul produttore del software, ma se dovessimo stimare le perdite economiche dovute a questo attacco la cosa dovrebbe comprendere l'analisi di circa 18.000 organizzazioni statali e non, e la cifra che verrebbe fuori potrebbe essere spaventosamente alta. Lasciamo correre.

SolarWinds ha sviluppato un prodotto che viene impiegato dai suoi clienti per aggiornare i sistemi. E' per esempio il caso di Microsoft e di tanti altri che utilizzavano il prodotto di SolarWinds conosciuto con il nome di "Orion", un prodotto impiegato da molte organizzazioni e società per gestire le risorse IT. Probabilmente ad inizio 2020 SolarWinds ha inviato degli aggiornamenti che contenevano una backdoor, cosa che ha consentito agli hacker di accedere ai sistemi, di esplorarli ed esfiltrare dati, ma probabilmente anche di modificare parte dei dati acceduti. Questo significa che gli hacker hanno avuto almeno sei mesi di tempo prima di essere scoperti. 

Secondo quanto riportato ultimamente dai giornali, gli investigatori ritengono che tra gli hacker vi siano elementi russi e che si sia trattato di una campagna di spionaggio. In merito c'è da dire che l'amministrazione Biden sta lavorando all'attribuzione dell'attacco. 

Tra le vittime, oltre a FireEye che ha denunciato per prima l'accaduto, si trovano alcune delle principali istituzioni americane tra cui il dipartimento di Stato, il Tesoro, Homeland Security, Energia e Commercio, National Institute of Healt, e National Nuclear Security Administration ma anche diverse società tra le più grandi al mondo elencate tra le Fortune 500, tra cui Microsoft, Cisco, Intel, Deloitte...

Secondo le analisi degli esperti, gli hacker una volta guadagnato l'accesso alle reti e sistemi delle vittime, in molti casi hanno manipolato una parte del software Microsoft chiamato "Active Directory Federation Services" che si occupa di rilasciare le "identità digitali" per gli utenti, chiamate "SAML Tokens". 

Ora la discussione, anche politica, si incentra sul fatto che questa tecnica di attacco era già conosciuta almeno dal 2017 quando un ricercatore israeliano, Shaked Reiner, descrisse questa tecnica di attacco con il nome di "Golden SAML Attack". Sono infatti in molti a pretendere spiegazioni sul perché le reti ed i sistemi americani non siano adeguatamente protetti nonostante gli ingenti investimenti sostenuti nel settore. 

Sono sicuro che vi sarà ancora molto da dire sul caso SolarWinds, però voglio concludere con una considerazione: la nostra società è sempre più dipendente da Internet e dai sistemi digitali. Dipendenza che però è sempre più messa sotto assedio dalla crescita dei rischi associati agli attacchi cyber. Probabilmente è arrivato il momento che gli Stati inizino a lavorare seriamente e assieme per ridurre i rischi attraverso una seria strategia condivisa a meno che non si voglia rischiare di cancellare gli ultimi 50 anni di sviluppo digitale per ricercare una nuova, sostenibile e sicura strada...

Alessandro RUGOLO

Per approfondire:

FireEye hackerata, da chi? - Difesa Online

Sunburst: una Pearl Harbor Cyber? - Difesa Online

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc

FireEye Discovered SolarWinds Breach While Probing Own Hack - Bloomberg

Inline XBRL Viewer (sec.gov)

SolarWinds hack: Biden administration says investigation is likely to take "several months" - CNNPolitics

WH will 'sharpen the attribution' with Russia after SolarWinds hack (nypost.com)

Here's a simple explanation of how the massive SolarWinds hack happened and why it's such a big deal (businessinsider.fr)

Golden SAML: Newly Discovered Attack Technique Forges Authentication to Cloud Apps (cyberark.com)

What is Solorigate - Cybersecurity Insiders (cybersecurity-insiders.com)