sabato 29 maggio 2021

"FARE RETE" PER DIFENDERE LA "RETE": IL CASO MITRE ATT&CK

Come accennato in un mio precedente articolo, qualsiasi hacker ha un "profilo operativo di attacco", riconoscibile dall’osservazione delle sue Tattiche, Tecniche e Procedure operative (TTPs); in risposta - dalle evidenze scaturite dalle investigazioni e dallo studio dei numerosi attacchi informatici e cibernetici - le strutture di intelligence e di cyber-security hanno da tempo affinato adeguate contromisure di prevenzione e repressione.

Diversi sono i sistemi di caratterizzazione e catalogazione degli attacchi cibernetici, in genere ragionati per "modus operandi" dell’avversario; alcuni risultano ovviamente coperti dal segreto degli Stati e delle Alleanze o dal riserbo investigativo delle agenzie di contrasto, al fine di mantenere la superiorità informativa sul nemico o l’efficacia dell’azione giudiziario-repressiva. Esistono però anche iniziative di condivisione pubblica di questo importante quadro di conoscenza: il primo e più importante caposaldo difensivo, infatti, è la messa a fattor comune di un glossario, di un metodo e di un set di misure di sicurezza largamente conosciute ed applicate tra chi condivide reti, sistemi informativi e servizi informatici.

Merita evidenza a tal proposito l'iniziativa di The MITRE Corporation, organizzazione no-profit attiva sin dal 1958. Fondata sull'operatività di centri di ricerca e sviluppo finanziati con fondi pubblici statunitensi, MITRE è attiva nel supporto R&D a favore del Governo degli Stati Uniti d’America. MITRE ha sviluppato un archivio di conoscenza pubblicamente accessibile - il MITRE ATT&CK - che espone in modo indicizzato, le tattiche di attacco cyber. L'acronimo ATT&CK sta per "Adversarial Tactics, Techniques and Common Knowledge". 

Nella libreria le TTPs sono descritte individuando le vulnerabilità sfruttate ed elencando i gruppi criminali di maggiore interesse, i loro profili di operatività ed codici malevoli utilizzati, descrivendone gli algoritmi e gli effetti. Per ogni categoria, MITRE ATT&CK associa le contromisure ritenute generalmente idonee a prevenire o mitigare le tattiche, per rispondere con efficacia e su più fronti ai vari incidenti, comprese le misure necessarie per il monitoraggio e il rilevamento di elementi "dormienti" o "sotto-copertura" operanti clandestinamente nei sistemi informativi o nelle reti.

Il data-base ha una interfaccia grafica intuitiva e multi-modale, per cui la ricerca può essere fatta indifferentemente che si parta dalle tattiche, piuttosto che dalle tecniche, dalle contromisure, dai codici malevoli oppure dai gruppi criminali osservati. L'archivio permette di finalizzare la ricerca per tipo di infrastruttura o di tecnologia: si possono dunque verificare le specifiche metodologie di attacco ed i modelli di minaccia cibernetica che mirano a client, portatili o desktop che siano, piuttosto che alle infrastrutture centralizzate di elaborazione, memorizzazione e servizio oppure ancora alle reti, cablate o radio che siano.

Una sezione dell’applicazione è dedicata alle minacce ai sistemi di controllo industriale (ICS). Qui la catalogazione delle azioni offensive e l’indicazione delle misure di difesa e risposta si fa più complicata e meno immediata. La causa è l'eterogeneità dell’ambiente tecnologico industriale, comprensibilmente affetto da soluzioni infrastrutturali legacy e spesso sviluppate in-house. La scarsa standardizzazione si traduce in una diversificazione di piattaforme, protocolli ed applicazioni che rende difficile uniformare le tecniche di detection e mitigation comunemente suggerite. MITRE ATT&CK mitiga il problema suggerendo una categorizzazione di alto livello degli asset di controllo industriale che semplifica e guida l'utente nell'adattamento di filosofie di protezione e risposta alla propria specifica piattaforma tecnologica.

L'applicazione inoltre propone un percorso di addestramento all'uso efficace delle risorse messe a disposizione, nonché una sezione dedicata all’alimentazione, affinamento e aggiornamento dell’archivio. Quest'ultima è agevolata da una interfaccia di raccolta delle segnalazioni di nuove evidenze che gli utenti del web inviano per contribuire a questo sforzo di "conoscenza collettiva condivisa.

Insomma una risorsa comune, questa di MITRE ATT&CK, che non può non far parte dell'armamentario di un security professional e la cui interazione consiglio vivamente sia a chi si sta formando, sia a chi - già maturo nella professionalità - intende collaborare portando elementi di esperienza personale o segnalando - nella sezione "Contribute" - nuove TTPs osservate.

È anche così che si migliora il sistema collettivo di prevenzione e risposta: facendo rete per difendere la rete!"


Orazio Danilo Russo


Per approfondire:

https://www.mitre.org/

https://attack.mitre.org/

giovedì 27 maggio 2021

L’attacco all’infrastruttura TOR – Le criptovalute il vero obiettivo

Parlando di anonimato in rete e di navigazione nel Dark Web si fa spesso riferimento a Tor. Nell’immaginario comune Tor è visto sia come metodo di comunicazione Internet per abilitare l’anonimato online sia come strumento per l’accesso alla “rete oscura”. È necessario, pertanto, fare un po' di chiarezza nonché sfatare alcuni miti.

La prima differenza sostanziale riguarda il fatto che la navigazione nel Dark Web è profondamente diversa rispetto alla navigazione in incognito, detta anche navigazione privata, che viene offerta come opzione su tutti i browser. Questa differenza va sottolineata perché, troppo spesso, è oggetto di alcune false credenze: la navigazione in incognito ha semplicemente il vantaggio di non salvare la cronologia di navigazione, i cookie, i dati dei siti e le informazioni inserite nei moduli dei siti ma è molto lontana dal garantire un reale anonimato al navigatore. 

Il provider di servizi Internet traccia tutte le attività in ogni caso, conosce l’indirizzo IP e può identificare la posizione del internauta. 

Inoltre, la navigazione in incognito non ci permette in alcun modo di entrare nel Dark Web che rappresenta un mondo a parte rispetto al Web che tutti noi navighiamo.

Deep Web e Dark Web sono due mondi diversi

Dark Web e Deep Web sono due mondi molto diversi e in un certo senso non comunicanti tra loro. Infatti, è bene sottolineare come tutti noi navighiamo, abitualmente, nel Deep Web che, per definizione, indica l’insieme delle pagine presenti sul web che non sono indicizzate dai comuni motori di ricerca quali Google, Bing, ecc. Ne fanno parte nuovi siti, pagine web a contenuto dinamico, web software, siti privati aziendali, reti peer-to-peer. L’opposto del Deep Web si chiama Surface Web che è costituito, invece, da pagine indicizzate dai motori di ricerca. Pertanto, Deep e Surface Web sono le due facce della stessa medaglia con la differenza che la prima non è indicizzata e, dunque, potremo raggiungerla solo se ne conosciamo l’URL. Consideriamo Deep Web la pagina del nostro profilo Facebook, così come la pagina web della nostra casella Hotmail e i siti dei Cloud Service Provider dove sono archiviati i nostri file così come le tante pagine aziendali, governative, finanziarie a solo utilizzo interno, presenti sul web, ma non indicizzate. L’immagine seguente, dove il web viene rappresentato come un iceberg, illustra in modo efficace i concetti espressi.

Il Dark Web è, invece, una frazione molto piccola del web. Si tratta di un mondo separato e poco accessibile, che si appoggia sulle Darknet che sono reti chiuse per accedere alle quali sono necessarie particolari configurazioni. Le principali Darknet sono:

  • Freenet, poco utilizzata;

  • I2P;

  • Tor, The Onion Router, che è ormai diventata la più famosa e usata tra queste reti.

È importante sottolineare che navigare nel Dark Web non ha nulla a che vedere con la navigazione in incognito dei browser. I browser tradizionali, infatti, non ci permettono di accedere al Dark Web. Per entrare nel Dark Web servono strumenti appropriati. Il browser più noto ed utilizzato è Tor che cerchiamo di descrivere per conoscerlo meglio e per sfatare un falso mito: navigare nel Dark Web non è illegale, salvo che non lo si utilizzi per azioni illecite.

Tor

La Darknet Tor esiste dal 1998 quando la US Navy la realizzò utilizzando la tecnologia “onion routing” sviluppata per garantire l’anonimato. Nel 2006 è stata resa di pubblico dominio e nello stesso anno è nata Tor Project Inc., organizzazione no profit con sede in USA. Si tratta di un’infrastruttura hardware dedicata e costituita da server che la ospitano. Oggi Tor è diretta da Bruce Schneier, crittografo e tecnologo della sicurezza di fama mondiale il cui blog, dedicato ai temi della cyber security, è tra i più noti e frequentati in tutto il mondo. Le organizzazioni che costituiscono Tor Project sono, tra le altre, lo US Department of State Bureau of Democracy, lo Human Rights e il Labor. Pertanto, direi che è evidente come Tor Project non sia un’associazione clandestina o finalizzata al crimine informatico. Tutt’altro, come, peraltro, si può leggere nel sito: “Defend yourself against tracking and surveillance. Circumvent censorship”.

Per questi motivi, Tor è una rete di comunicazione usata soprattutto da giornalisti, attivisti politici e whistleblowers di Paesi meno democratici dove è necessario aggirare la censura e la sorveglianza per esprimere il proprio parere. Il fatto che sia usata anche dai “cattivi” non ne inficia il valore. È, senza dubbio, la rete Darknet più popolare e conosciuta ed è utilizzata in tutto il mondo da oltre 750.000 utenti Internet ogni giorno.

Infrastruttura di Tor


La rete Tor è costituita da alcune migliaia di server sparsi nel mondo. Nello specifico, stiamo parlando di un numero che si aggira tra 6.000 e 8.000 “relay” e di quasi 3.000 “bridge”, quasi tutti gestiti da volontari. I dati di navigazione non fluiscono direttamente dal client al server ma il transito passa attraverso i relay Tor che operano da router, realizzando, così, un circuito virtuale crittografato a strati, esattamente come una “cipolla”, da cui il nome Onion.

Per questo motivo gli URL della rete Tor hanno il TLD, Top Level Domain, che non è il classico .com o .it ma .onion. Quando si avvia la navigazione aprendo il browser Tor, vengono scelti in maniera casuale tre nodi in modo da costituire una catena di navigazione.

In ogni passaggio, la comunicazione viene crittografata e questo avviene per ciascun nodo. Il fatto, inoltre, che ogni nodo della rete conosce solo il precedente e il successivo, rende difficile essere in grado di risalire al client di partenza. Ci sono tre tipi di relay nel sistema di navigazione Tor:

  • guard/middle relay;

  • exit relay;

  • bridge.

Come abbiamo detto, per ragioni di sicurezza, il traffico Tor passa attraverso almeno tre relay prima di raggiungere la sua destinazione. Il primo è il guard relay, il secondo è un middle relay che riceve il traffico e lo passa infine all’exit relay (figura sottostante).

I relay intermedi, guard e middle, sono visibili solo all’interno della rete Tor e, a differenza del relay d’uscita, non fanno apparire il proprietario del relay come la fonte del traffico. Ciò significa che un relay intermedio è generalmente sicuro. Potremmo averlo anche nel server di casa nostra, diventando così un nodo dell’infrastruttura Tor. Il relay di uscita è l’ultimo nodo che il traffico Tor attraversa prima di raggiungere la sua destinazione. I servizi a cui i client Tor si connettono, come, ad esempio, il sito web, il servizio di chat, il provider di posta elettronica, ecc. vedranno l’indirizzo IP del relay di uscita invece dell’indirizzo IP reale dell’utente Tor. Ciò significa che è l’indirizzo IP del relay di uscita che viene interpretato come la fonte del traffico.

La topografia della rete Tor viene completata con i Bridge. È importante sapere che la struttura della rete Tor prevede che gli indirizzi IP dei relay Tor siano pubblici. Pertanto, se un governo o un ISP volesse bloccare le rete, potrebbe farlo facilmente mettendo nelle blacklist gli indirizzi IP di questi nodi Tor pubblici. Per questa ragione esistono i Bridge che, essendo nodi che non sono indicati nell’elenco pubblico come parte della rete Tor, rendono più difficile bloccare l’intera rete da parte dei governi e degli ISP. I bridge sono strumenti essenziali per l’elusione della censura nei Paesi che bloccano regolarmente gli indirizzi IP di tutti i relay Tor elencati pubblicamente, come Cina, Turchia e Iran.

Di fatto si usano al posto del nodo di entrata, normalmente indicato come server di un dato Paese, per impedire, appunto, all’ISP di sapere che si sta usando Tor.

Per usare Tor attraverso i bridge è necessario conoscere in anticipo l’indirizzo di almeno un bridge. Tor project distribuisce gli indirizzi IP dei bridge con diversi mezzi, tra cui il sito web e la posta elettronica.

È chiaro che, in questo modo, è possibile che anche un avversario ottenga queste informazioni ed è per questa ragione che, al di là delle misure di protezione utilizzare da Tor Project, la cosa migliore è trovare in un altro Paese una persona di fiducia o un’organizzazione che mantenga, per chi lo richiede, un bridge offuscato “privato”. In questo caso, privato significa che il bridge è configurato con l’opzione PublishServerDescriptor 0. Senza questa opzione, il Tor Project saprà dell’esistenza del bridge e potrebbe distribuire ad altre persone il suo indirizzo che, così, rischierebbe di finire nelle mani di un avversario.

È possibile impostare l’utilizzo dei bridge dalla configurazione di rete del browser Tor.

Quando appare la finestra di benvenuto, cliccare sul bottone +


e nella finestra di dialogo, alla la voce “
Ulteriori Impostazioni” scegliere “Configurazione di Rete” e, successivamente, selezionare l'opzione “Configure a Tor bridge or local proxy

I bridge sono meno stabili e tendono ad avere prestazioni più basse rispetto agli altri nodi di entrata.

La rete Tor si affida a volontari che offrono i loro server e la loro banda. Chiunque, quindi, può mettere a disposizione un proprio computer per creare un relay della rete Tor. L’attuale rete Tor è sottodimensionata rispetto al numero di persone che la utilizzano, il che significa che Tor ha bisogno di più volontari per accrescere il numero dei relay. Gestendo un relay Tor, come viene spiegato nella pagina dedicata del sito Tor Project, si può contribuire a migliorare la rete Tor rendendola:

  • più veloce e, di conseguenza, più utilizzabile;

  • più robusta contro gli attacchi;

  • più stabile in caso di interruzioni;

  • più sicura per i suoi utenti perché spiare più relay è più difficile che farlo su pochi.

C’è un ultimo aspetto da considerare, peraltro peculiare e che rappresenta un problema non trascurabile: la sicurezza va a scapito della velocità. Il “giro del mondo” che dovrà fare il flusso dei dati, come abbiamo spiegato, renderà la navigazione lenta. Non bisogna quindi pensare di usare Tor per lo streaming, il file sharing o per attività che richiedano grandi flussi di dati.

Quanto è sicuro ed anonimo Tor?

In teoria dovrebbe essere sicura e garantire l’anonimato di chi lo utilizza. In pratica esistono dubbi – anche fondati – sulla sua reale sicurezza. Sullo stesso sito Tor Project, nella pagina di supporto, alla domanda: “Sono completamente anonimo se utilizzo Tor?”, viene data la seguente risposta: “In generale, è impossibile avere un anonimato totale, perfino con Tor. Anche se ci sono alcune pratiche da mettere in atto per accrescere il proprio anonimato, mentre si utilizza Tor, ma anche offline. Tor non protegge tutto il traffico Internet del tuo computer quando lo utilizzi. Tor protegge soltanto applicazioni che sono configurate correttamente, in modo da far passare il proprio traffico attraverso Tor”.

Detto ciò, mentre Tor è anonimo in teoria, in pratica i “nodi di uscita”, in cui il traffico lascia il protocollo “cipolla” sicuro e viene decifrato, possono essere stabiliti da chiunque, comprese le agenzie governative. Chiunque gestisca un nodo di uscita può quindi leggere il traffico che lo attraversa.


Ed infatti, ahimè, per più di 16 mesi, si è assistito all’aggiunta di server dannosi alla rete Tor al fine di intercettare il traffico ed eseguire attacchi di stripping SSL agli utenti che accedono a siti dove si opera con le criptovalute.

Gli attacchi, iniziati a gennaio 2020, sono consistiti nell'aggiungere server alla rete Tor e contrassegnarli come "relè di uscita", che, come spiegato in precedenza, sono i server attraverso i quali il traffico lascia la rete Tor per rientrare su Internet pubblico dopo essere stati resi anonimi.

Questi server sono serviti ad identificare il traffico diretto ai siti Web di criptovalute ed eseguire un attacco di stripping SSL, ossia un tipo di attacco volto a declassare il traffico da una connessione HTTPS crittografata a HTTP in chiaro.

L’ipotesi più probabile è che l'attaccante abbia declassato il traffico a HTTP al fine di sostituire gli indirizzi IP dei server di criptovaluta con i propri e dirottare, così, le transazioni per profitto personale.

Gli attacchi non sono nuovi e sono stati documentati ed esposti per la prima volta l'anno scorso, ad agosto, da un ricercatore di sicurezza e operatore del nodo Tor noto come Nusenu.

All'epoca, il ricercatore disse che l'aggressore era riuscito a inondare la rete Tor di relè di uscita Tor dannosi in tre occasioni, portando il picco della loro infrastruttura di attacco a circa il 23% della capacità di uscita dell'intera rete Tor prima di essere chiuso dal team Tor.

Ma in una nuova ricerca pubblicata di recente e condivisa con The Record, Nusenu ha detto che nonostante le loro operazioni siano state esposte pubblicamente, le minacce sono continuate e sono ancora in corso.

Secondo Nusenu, gli attacchi hanno raggiunto e superato un quarto dell'intera capacità di uscita della rete Tor in due occasioni all'inizio del 2021, raggiungendo il picco del 27% a febbraio 2021.

La seconda ondata di attacchi è stata rilevata, proprio come la prima, e i relè di uscita Tor malevoli sono stati rimossi dalla rete Tor, ma non prima che l'infrastruttura di attacco fosse viva e intercettasse il traffico Tor per settimane o mesi.

Il motivo principale per cui gli attacchi hanno funzionato per più di un anno è stato perché l'attore malevolo ha aggiunto relè di uscita dannosi “a piccole dosi” riuscendo così a nascondersi all’interno della rete e costruendo l’infrastruttura malevola con il tempo.


L’ultimo attacco è stato individuato, però, velocemente per il fatto che la capacità di uscita della rete Tor era passata da circa 1.500 relè di uscita giornalieri a più di 2.500, un valore che nessuno poteva ignorare.

Nonostante siano stati rimossi più di 1.000 server, Nusenu ha anche detto che dal 5 maggio 2021, l'aggressore controlla ancora tra il 4% e il 6% dell'intera capacità di uscita della rete Tor, con attacchi di stripping SSL ancora in corso.

Nell'agosto 2020, il Tor Project ha emesso una serie di raccomandazioni su come le operazioni del sito Web e gli utenti di Tor Browser potrebbero proteggersi da questo tipo di attacchi. Gli utenti che utilizzano il browser Tor per accedere alla criptovaluta o ad altri siti finanziari sono invitati a seguire i consigli forniti sul sito.

È chiaro che non esiste infrastruttura che non sia attaccabile e che gli attacchi sono volti, sempre di più, a colpire aree di interesse crescente quali, appunto, come riportato nell’articolo, il mercato delle criptovalute. 

Nessuno, in sintesi, può ritenersi al sicuro. 

Nemmeno con la navigazione in incognito.


Carlo Mauceli


venerdì 21 maggio 2021

CONOSCERE LE CYBER-TATTICHE DELL'AVVERSARIO

Qualsiasi attività di sicurezza informatica e di protezione cibernetica si basa sulla determinazione di un confine da presidiare (il perimetro di sicurezza) e sulla stima dell'eventualità di subirvi un danno connesso a circostanze più o meno prevedibili (la valutazione del rischio).

Il rischio va valutato tenendo in debita considerazione la minaccia e le vulnerabilità che questa può sfruttare; le condizioni predisponenti a contorno; la probabilità di attuazione e successo della condotta dannosa; ed infine l'entità delle perdite che si possono arrecare.

Fermiamoci in questa sede a considerare soltanto il primo elemento: la minaccia; e cerchiamo di fissare alcuni punti fermi che ci aiutino ad affrontare un difficile, ma non impossibile, metodo di studio del nostro avversario. Si, perché le battaglie, prima che con le armi, si vincono grazie alla conoscenza dell'avversario: della sua "DENA", acronimo tradizionalmente noto nelle Scuole militari per Dislocazione, Entità, Natura ed Atteggiamento del nemico; ed in particolare delle sue TTPs, cioè delle sue Tattiche, Tecniche e Procedure operative.

Per quanto scaltro e dotato, il nostro avversario dovrà pur sempre seguire un filo conduttore, se vuole avere successo. E la logica e l'esperienza ci permettono di concettualizzare un "percorso di danno" o se volete un "ciclo di vita della minaccia" che bisogna tenere presente se si vogliono fare analisi del rischio ed investimenti di sicurezza efficaci e focalizzati.


Tipicamente questo ciclo parte da una fase preparatoria, dove l'avversario monitora dall'esterno le reti, i sistemi informativi ed i servizi informatici della vittima con attività ricognitive: ad esempio con strumenti di active scanning o di Host information gathering, alla ricerca di vulnerabilità o di dati di dettaglio sulle configurazioni dei sistemi perimetrali o sulle procedure di accesso fisico ai data center ed ai desktop. In questa fase, inoltre, l'avversario acquisisce le risorse necessarie a condurre l'attacco, come ad esempio la creazione di botnet per lanciare azioni di Denial of service o il noleggio di Virtual Private Server per assicurarsi l'anonimato.

Dopo questa fase preparatoria, similmente alle operazioni tattiche offensive nelle manovre terrestri, vi è la penetrazione del muro di difesa, tipicamente nel punto più vulnerabile ove, con tecniche diverse quali ad esempio il furto di credenziali personali o l'installazione di malware su pendrive regalate a personale interno all'organizzazione, l'avversario si assicura una "testa di ponte"  che gli consenta di installare dei codici malevoli all'interno del perimetro di sicurezza.

Segue la fase dell'Execution dei codici malevoli con cui l'avversario sferra l'attacco e/o si garantisce il controllo sotto copertura (e l'anonimato può durare mesi o anni come cellula dormiente) di parte dei sistema, della rete o del servizio per attuare ulteriori predisposizioni e strategie di intelligence e compromissione.


In questa fase l'avversario può condurre tattiche di Persistence, finalizzate per l'appunto a mantenere il varco di accesso, la "testa di ponte" all'interno del perimetro di sicurezza nonostante attività di cut-off quali ad esempio il restart o il cambio credenziali; di Privilege Escalation, con cui tenta di garantirsi privilegi di accesso di livello più alto, quali ad esempio quelli ghiotti di amministrazione di sistema; di Defense Evasion, con cui cerca di mascherarsi alle attività di monitoraggio e detezione del sistema di sicurezza; di Credential Access, finalizzate a rubare le credenziali di accesso; di Discovery, con cui osserva -stavolta dall'interno - l'ambiente, orientando meglio le proprie strategie di attacco o rivedendo i suoi obiettivi; di Lateral Movement con cui si espande, acquisendo il controllo di segmenti di rete contigui o di partizioni di server ad accesso controllato o di sistemi informativi remoti;  di Collection con cui individua, analizza e raccoglie le informazioni che vuole rubare;  di C2 con cui stabilisce canali di comunicazione fantasma per garantirsi dall'esterno il comando e controllo del sistema compromesso; ed infine tattiche di Exfiltration o di Impact a seconda che l'obiettivo dell'attacco sia di rubare informazioni o di interrompere l'operatività del sistema; oppure di entrambi, come nel caso dei tristemente noti Ransomware più evoluti che estraggono una copia dei dati per minacciarne la pubblicazione sul darkweb, contestualmente cifrando e rendendo indisponibile parte o tutta la memoria che li contiene.

Per ciascuna di queste tattiche, esistono tecniche e procedure hacker sottili ed evolute, nonché algoritmi di penetration, exfiltration e impact appositamente sviluppati dai cyber criminali.

Fortunatamente però sono tattiche conosciute al mondo dell'intelligence e della cybersecurity che ha sviluppato a sua volta strategie di contromisura in termini di protezione,  monitoraggio, detezione, mitigazione e risposta.

Ma di questo parleremo in una prossima occasione.

Orazio Danilo Russo

Per approfondire:

Che cos'è la cyber kill chain? - Difesa Online

https://doi.org/10.6028/NIST.SP.800-30r1

https://www.dni.gov/index.php/cyber-threat-framework

MITRE ATT&CK®




giovedì 13 maggio 2021

Venticento: una eccellenza made-in-Italy nella sicurezza informatica cresce!

In altri articoli avevamo già trattato del SOC (Security Operation Center) definendolo come una unità organizzativa complessa, generalmente centralizzata, che si occupa di identificare, gestire e porre rimedio ai problemi di sicurezza informatica, costituito da processi, strumenti e persone. Per completezza espositiva, nella gestione del cyberspace andrebbero citati, oltre ai SOC, anche i NOC (Network Operations Center) e gli IOC (Infrastructure Operations Center).

In Italia esistono alcuni SOC gestiti dalle più grandi società del complesso mondo ICT, tra questi abbiamo avuto modo di conoscere ad esempio il team di Leonardo SpA, Italtel SpA, Engineering Ingegneria Informatica SpA. Le aziende citate sono diventate dei veri e propri MSSP, ossia Managed Security Service Provider.

Tutte queste aziende infatti hanno investito in modo mirato sui rispettivi core business per meglio posizionarsi sul “mercato globale”, perché tale è per sua natura, in quanto nasce e vegeta sul www (world wide web), indirizzando gli sforzi sugli sviluppi legati alla threat intelligence in ambito cyber.

Fa piacere vedere che anche l’Italia si sta organizzando per le sfide del mercato.

In questo articolo parleremo di un’impresa italiana con sede a Bresso (MI), la Venticento Srl, un’azienda informatica nata nel 2005 con lo scopo di erogare servizi di assistenza tecnica e sistemistica a quelle aziende che necessitano di rendere più efficaci e produttivi i propri processi di business tramite azioni di miglioramento e ottimizzazione delle infrastrutture informatiche. Venticento sta affrontando con successo una nuova sfida: portare il servizio Managed Detection and Response (MDR), un servizio di cyber security che assiste il cliente dalla fase di detection a quella di incident response, alle PMI Italiane, per poi replicare il modello e proporlo anche sulle sue sedi internazionali.

I risultati raggiunti in soli tre lustri sono davvero notevoli. Ripercorriamone rapidamente le tappe.

  • Venticento nasce nel settembre 2005 con lo scopo di erogare servizi di assistenza tecnica e sistemistica ai clienti ereditati da esperienze precedenti dei soci fondatori.

  • Nel 2006 vengono instaurati i primi importanti rapporti di partnership con Sophos e Microsoft.

  • Tra il 2007 e il 2009 la società rafforza il proprio business dei servizi, generando un cospicuo fatturato nell’ambito dei prodotti di security, affrontando importanti esperienze di consolidamento server in ambito VMware e aumentando la propria forza lavoro, arrivando a 10 dipendenti.

  • Nel 2010 inizia ad esplorare il mondo dei servizi cloud, concentrando gli sforzi su Microsoft BPOS, oggi Office 365, ed ampliando il proprio servizio di service desk, erogando servizi a sedi estere di clienti italiani.

  • Nel 2011 e 2012 matura importanti esperienze all’estero svolgendo attività di standardizzazione e consolidamento di infrastrutture IT e realizzando Start Up di sistemi informativi in vari paesi Europei e negli Usa.

  • Nel 2014 fonda a New York 20100 US, per affrontare le nuove sfide d’oltreoceano.

  • Nel 2016 rafforza, ulteriormente la partnership con Sophos per rimanere un punto di riferimento per il vendor in Italia, diventando uno dei pochi partner al mondo con la certificazione Synchronized security specialist.

  • Nel 2017 viene instaurata una forte partnership con FireEye e Qualys.

  • Nel 2018 fonda a Hong Kong 7Cento HK, per garantire ai propri clienti il servizio NOC “Follow the Sun” 24 x 7 x 365.

  • Nel 2020 viene inclusa nella classifica del Financial Times tra le 1000 aziende europee che hanno registrato la più rapida crescita tra il 2015 e il 2018: + 209,9%. Nello stesso anno viene decretata “Campione della Crescita” 2021 dall’ITQF (Istituto Tedesco Qualità e Finanza) in quanto il giro d’affari della Venticento è aumentato maggiormente nel triennio 2016-2019.

Alla luce dei risultati, abbiamo pensato di sentire il CEO, Enrico Dellù.

Secondo Dellù il successo di Venticento è da ricercarsi nelle sue tre peculiarità: l’internazionalizzazione, la capacità profonda di fare customer care e quella di presentarsi come partner consulenziale dei clienti.

La mission aziendale è assicurare la protezione dei dati dei clienti e la tranquillità nella conduzione del business, garantendo consulenza ed assistenza proattiva a 360 gradi, 7 giorni su 7 e 24 ore al giorno. Per questo il suo core business si qualifica come system integrator e managed services provider. Il target di riferimento è la media impresa, un mercato enorme che ha esigenze specifiche e che il team specializzato di Venticento cerca sempre di soddisfare al meglio. Per rispondere nel modo più completo a queste esigenze, ci racconta Enrico Dellù, sono state aperte sedi anche negli Stati Uniti (a New York nel 2014) e nella regione amministrativa speciale di Hong Kong, in Cina, nel 2018. Ossia nei paesi in cui c’è una maggiore concentrazione di unità imprenditoriali per il mercato target.

I punti di forza di Venticento sono la conoscenza profonda del mercato, la flessibilità e la qualità del lavoro made-in-Italy, molto apprezzato nei confini nazionali e soprattutto oltre gli stessi, garanzia di eccellenza per i vendor internazionali con cui l’azienda ha instaurato importanti partnership.

Tra i progetti per il futuro, Venticento annovera l’ingegnerizzazione dei servizi MDR per aumentare la propria offerta di servizi di sicurezza gestita (MSS) e lo sviluppo di un servizio specifico per il mondo del retail per dare assistenza agli store diffusi in tutto il mondo e l’espansione all’estero.

Concludendo, secondo chi scrive, non è necessario avere la sede nella Silicon Valley o magari essere quotati al Nasdaq per poter vantare tassi di crescita da capogiro, anche in Italia, infatti, ci sono imprese di notevole successo, anche se meno note , la cui performance assume un significato particolare perché realizzata in un contesto di prolungata crisi economica.

Ciò che serve è crederci, lavorare sodo e parlare con i clienti, spiegando i rischi cui ormai ogni impresa è soggetta e come questi possono essere gestiti e ridotti, anche attraverso dei servizi di sicurezza proattivi.

Ci vediamo mercoledì 19 maggio 2021, alle 21.00 come sempre su Difesa Online.

Assieme a noi saranno presenti Enrico Dellù, CEO di Venticento, Marco Rottigni, CTSO EMEA presso Qualys, Carlo Mauceli, CTO Microsoft Italia, Simone Rapizzi CTO di Whetu.

Danilo Mancinone e Alessandro Rugolo

Link utili per approfondire:

https://www.difesaonline.it/evidenza/cyber/cyber-security-cos%C3%A8-un-soc

http://venticento.com/it

https://whetu.com/about.html

https://www.microsoft.com/security/blog/2020/10/21/addressing-cybersecurity-risk-in-industrial-iot-and-ot/

https://www.qualys.com/

https://www.leonardocompany.com/it/home

https://www.eng.it/

https://www.italtel.com/it/

https://istituto-qualita.com/listituto/

https://www.ci.security/resources/news/article/what-is-managed-detection-and-response-mdr

lunedì 10 maggio 2021

Quant'è vulnerabile l'infrastruttura energetica statunitense?

E' quanto stanno scoprendo gli americani in questi giorni.

Certo, non è la prima volta che capita, ma probabilmente è la prima volta che capita un problema di queste dimensioni.

La società Colonial Pipeline, responsabile della gestione del principale oleodotto della costa orientale statunitense, venerdì 7 maggio ha dovuto spegnere i sistemi a causa di un attacco informatico alla sua rete. 

Secondo gli investigatori si è trattato di un attacco ransomware. 

La società ha annunciato di essersi rivolta ad una delle principali società di cybersecurity americane, la FireEye Mandiant per procedere alle investigazioni e gestire la difficile fase di ripristino dei servizi.

Molti sistemi sono stati spenti per limitare il contagio del ransomware ed ora la società, assieme alla FireEye e ai dipartimento di stato per l'energia, è impegnata nel ripristino dei servizi in sicurezza. La gravità della situazione e delle possibili conseguenze hanno reso necessario informare il presidente Biden di quanto accaduto.

Le prime indagini fanno pensare al gruppo cyber conosciuto come DarkSide ma ancora niente di ufficiale è stato detto. L'attribuzione è sempre complessa nel mondo cyber e spesso è guidata dall'intelligence e dal contesto. Non è possibile generalmente essere certi del responsabile di un attacco cyber, a meno di rivendicazione dello stesso.

E' forte la preoccupazione per la possibile ricaduta sui prezzi dei carburanti alla pompa in caso di prolungata interruzione del servizio. Ma questo è solo ciò che si vede immediatamente, la punta dell'iceberg. Quanto il sistema della costa orientale dipenda dall'oleodotto della Colonial Pipeline si può valutare solo guardando quali altre infrastrutture  sono collegate ad esso. 

Per esempio, Iran Press fa notare che l'oleodotto serve alcuni dei più grandi e trafficati aeroporti, compreso l'aeroporto Hartsfield Jackson, di Atlanta, il più trafficato aeroporto al mondo per traffico passeggeri.

Le conseguenze, in caso di prolungato blocco dell'oleodotto potrebbero essere gravi per tutte le infrastrutture produttive della costa est, ma potrebbero avere anche dei risvolti politici sulla campagna del presidente Biden a favore delle energie pulite e del cambiamento climatico.

Infine, ma non meno importante, sembra che durante l'attacco siano stati sottratti circa 100 GB di dati della società. Ciò potrebbe avere dei risvolti significativi e impatto a medio lungo termine sulla reputazione della Colonial Pipeline e sui piani futuri, investimenti, progetti e brevetti della stessa. 


Alessandro Rugolo 

Per approfondire:

Cyber attack shuts down U.S. fuel pipeline ‘jugular,’ Biden briefed | Reuters 

Colonial pipeline: Cyberattack forces major US fuel pipeline to shut down - CNNPolitics

Cyber Security Experts & Solution Providers | FireEye

Media Statement: Colonial Pipeline System Disruption (colpipe.com)

Cyber attack shuts down US fuel pipeline ‘jugular' (iranpress.com)

'Jugular' of the U.S. fuel pipeline system shuts down after cyberattack - POLITICO

Cyber attack shuts down U.S. fuel pipeline 'jugular,' Biden briefed (globalbankingandfinance.com)

Colonial Hackers Stole Data Thursday Ahead of Shutdown - Bloomberg

sabato 1 maggio 2021

The rise of cyber crime

Potrebbe sembrare il titolo di un film, ma non lo è.

Si tratta molto più semplicemente di banale realtà!

Ogni giorno crescono le notizie relative ad attacchi hacker, realizzati a danno di ospedali, industrie, servizi bancari... ogni giorno la nostra società digitale scopre di possedere delle fondamenta costruite secondo criteri errati e i risultati sono ormai palesi.

Quando abbiamo aperto questa rubrica, diversi anni fa ormai (era la fine del 2014), pochi in Italia si interessavano alla materia. Oggi se ne parla nei telegiornali, esistono corsi universitari e, purtroppo, gli attacchi sono sempre più frequenti. 

Perchè?

Ci si potrebbe chiedere. Cosa impedisce di rimediare e migliorare i sistemi che oramai sappiamo bene, spesso sono dei colabrodo dal punto di vista della sicurezza?

Le risposte sono tante. Fondamentalmente l'industria del software ha dimostrato e continua a dimostrare di non essere matura, come d'altronde l'industria dell'hardware dimostra le stesse mancanze. Il mondo del digitale, in tutte le sue espressioni, è ben lontano dall'essere perfetto. Una delle problematiche più rilevanti è da ricercarsi però nella mancanza di personale specializzato in sicurezza informatica che, messo a sistema con la mancanza di lungimiranza di imprenditori e pubbliche amministrazioni riguardo la propensione agli investimenti nel settore, porta alle conseguenze che conosciamo. Non parlo però di acquisizione di sistemi, ma principalmente di formazione e informazione. 

Se guardiamo le statistiche (almeno quelle relative ai casi noti e descritte nel rapporto Clusit 2021) ci rendiamo conto che circa il 30 % degli attacchi sono di tipo "ransomware" ovvero consistono nella cifratura di parte dei dati e nella richiesta di riscatto in cambio del loro "rilascio". 

Ebbene, questo tipo di attacco, ransomware, va generalmente a buon fine in quanto i sistemi informatici della organizzazione e i processi relativi alla sicurezza informatica non sono strutturati adeguatamente. Attacchi di questo genere, almeno i più semplici (e sono una grande quantità) possono infatti essere sventati "semplicemente" facendo ricorso ai back-up, se qualcuno a pensato di farli!

Ecco perchè dico e insisto ogni volta sulla formazione.

Il personale che si occupa della sicurezza informatica deve essere formato adeguatamente!

Ogni azienda, ogni organizzazione pubblica o privata dovrebbe, anzi DEVE, rendersi partecipe nella lotta al cyber crime e investire in programmi di formazione, prevenzione e risposta alla minaccia interna. 

Questo è un "must"! 

C'è da dire che non tutti gli attacchi ransomware sono dello stesso tipo. Esistono per esempio degli attacchi che mirano ad ottenere un riscatto in cambio del silenzio sulle informazioni rubate. 

Questo è il caso, per esempio, di quanto accaduto qualche giorno fa raccontato dalla BBC

Il dipartimento della polizia metropolitana di Washington DC sembra sia stato attaccato da un gruppo (di origine russa?)di nome Babuk, che ha sottratto dati dal sistema informativo ed ora minaccia di rilasciarli se non viene pagata. Di quali dati si tratta? Niente di importante, sono solo dati personali. Si tratta infatti dei dati personali... degli informatori! 

In questa variante di ransomware i dati vengono criptati ma anche esfiltrati e il rischio è dunque duplice. In questo caso non è sufficiente avere i back-up dei dati. Bisognava agire preventivamente, magari con una bella campagna interna mirata a spiegare ai propri dipendenti il rischio legato al social engineering e agli attacchi di phishing. Perchè nella maggior parte dei casi, dietro un attacco riuscito di questo genere la ragione è da trovarsi nel comportamento errato degli utenti del sistema. Una email adescatrice può essere sufficiente per dare inizio ad un attacco, non dimentichiamocelo mai quando apriamo gli allegati.  

Cosi non dobbiamo stupirci se su Repubblica ci imbattiamo nella notizia di un "sospetto attacco telematico" realizzato a danno della Banca di Credito Cooperativo di Roma dove, un gruppo chiamato "DarkSide" ha cifrato i dati e reso impossibile il normale svolgimento delle attività. Gli attacchi cyber sono ormai all'ordine del giorno e non esiste una soluzione semplice al problema.

Alessandro Rugolo 

Per approfondire:

Rapporto Clusit – Clusit

Cyber-attack hackers threaten to share US police informant data - BBC News

Un sospetto attacco telematico blocca le filiali della Bcc di Roma - la Repubblica

Le filiali della Bcc di Roma sono state coinvolte in un sospetto attacco informatico - City Roma News