giovedì 27 gennaio 2022

L'INGEGNERIA SOCIALE: UNA MINACCIA SUBDOLA DA CONTRASTARE CON "ATTENZIONE"

Leggevo qualche tempo fa dell'aumento dei casi di "vishing":  il furto di credenziali attuato tramite una telefonata pretestuosa in cui un impostore (o una segreteria telefonica appositamente predisposta allo scopo illecito) si finge l'amministratore di un sistema informativo, ad esempio di una banca online.

La notizia già di per sè fa scalpore perché le vittime, spesso pensionati e bassi redditi, si sono ritrovati con il conto corrente prosciugato da imbroglioni in possesso di codici utente e password carpiti durante le telefonate; ma balza ulteriormente agli occhi perché il medesimo articolo evidenziava che l'Abf - l'Arbitro Bancario Finanziario a cui ci si può rivolgere per la risoluzione delle controversie tra i clienti e gli istituti di credito -  avrebbe dato ragione alle banche, che accuserebbero i clienti di essere troppo creduloni.

Indubbiamente gli attacchi di social engineering - definiti dall’esperto statunitense Christopher Hadnagy come "ogni atto tendente a influenzare una persona, per spingerla ad intraprendere un'azione che non necessariamente è nel suo migliore interesse" - sono una minaccia attuale e pericolosa. Essa è favorita da tre aspetti in particolare: la diffusione delle tecnologie dell'informazione e dei servizi on-line; lo stato di analfabetismo tecnologico generale e la leggerezza nel condividere dati personali online; ed infine dalla generale non inclusività delle interfacce utente software che pone serie barriere tecnologiche ad anziani, bambini e disabili.

Ma d'altra parte va detto che non si tratta di minacce nuove: le truffe nelle case degli anziani da parte di sedicenti funzionari dell'ENEL, ad esempio, sono figlie delle medesime tecniche manipolative. E lo stesso Hadnagy, nel suo libro “Social Engineering: the science of human hacking”, fa osservare che sono tecniche antiche come il mondo, citando come prima fonte storica di attacco di ingegneria sociale il passo di Genesi 27, in cui Giacobbe, travestendosi e impersonando suo fratello Esau, raggira il padre cieco ed anziano - Isacco - carpendone la benedizione.

Ma vediamo di approfondire due aspetti di particolare interesse: cosa c'è di nuovo e cosa di vecchio negli odierni attacchi di ingegneria sociale.

Gli aspetti di novità sono il portato dello stato della tecnica: computer, smartphone e tablet hanno creato un universo parallelo e le attività sociali si sono traferite nel mondo virtuale. Sono nati nuovi vettori di attacco e le procedure offensive si sono evolute. Ecco allora che, oltre al già menzionato vishing, sono nati il "phishing" - cioè l'attacco realizzato con una email truffaldina, finalizzato al furto di identità del malcapitato o all'infezione del suo client con virus informatici - e lo "smishing", l'equivalente del primo, attuato però tramite un SMS sul telefonino della vittima.

Di vecchio c'è la vulnerabilità sfruttata: il naturale processo di rilassatezza, di minor presenza a sé stessi, che caratterizza la maggior parte delle ore di veglia del nostro cervello e che è fisiologicamente messo in atto per ragioni di economicità dei processi cognitivi. Quando siamo in una situazione normale, che non consideriamo di pericolo, la mente va in "eco-mode", in automatico, e reagisce agli stimoli secondo una risposta preconfezionata, figlia dell'esperienza fatta in casi analoghi: in sostanza, si risparmiano energie mentali per quando, invece, ci si troverà in una situazione inconsueta, percepita come pericolo, ed in cui servirà il massimo dell'attenzione e dell'energia - "adaptive mode" - per rispondere alla minaccia secondo un comportamento stavolta non pre-confezionato, ma adattato al contesto specifico.

Tutta qui l'arte del truffatore, dell'ingegnere sociale: la capacità di presentare alla vittima un contesto informativo che non venga percepito inusuale, pericoloso, anormale; che anzi gli ricordi similitudini con esperienze ampiamente vissute o con nozioni acquisite nel passato; e su cui la risposta comportamentale possa essere "automatica", inconsapevole.

Su questo aspetto gli psicologi sociali hanno scritto pagine di considerazioni e prodotto migliaia di ricerche. La psicologa statunitense Ellen Langer, in particolare, ha presentato gli esiti di un famoso laboratorio - noto in bibliografia come l'esperimento della fotocopiatrice (Langer 1978) - in cui ha parlato di "insensatezza delle azioni riflessive". Ed ha dimostrato che, nelle interazioni sociali, sia verbali, che scritte, la mente umana agisce di norma con una azione riflessiva del tutto slegata dal significato sostanziale della richiesta; e legata alla sola rispondenza formale, strutturale del paradigma comunicativo.

Più precisamente, la scienziata ha dimostrato che, quando siamo tranquilli ed assorti nei nostri pensieri, rispondiamo ad una richiesta che ci viene fatta analizzando semplicemente la struttura formale, stilistica della frase: se questa ci pare "convenzionale" e non ci allarma, entriamo in uno stato di acquiescenza, di fatto spalancando le porte alla persuasione e, purtroppo, anche alla manipolazione.

Ora, sarebbe troppo semplice e scontato limitarsi ad esclamare: "bisogna prestare attenzione" o "non bisogna essere creduloni". Chi afferma così, non sta tenendo conto dei meccanismi mentali sopracitati. Ciò che bisogna fare invece è porre in essere una articolata politica sociale e di sicurezza che si muova su almeno tre capisaldi principali.

Anzitutto spingere l'acceleratore sull'abbattimento del "divario digitale" che caratterizza larghe fasce di popolazione e segnatamente attraverso mirate e reiterate campagne informative che inducano automatismi comportamentali di sicurezza, non ultima l'educazione alla riservatezza online.

Investire, inoltre, su tecnologie e applicazioni software che richiamino l'attenzione dell'utente in caso di elementi di inaffidabilità dell'interlocutore o di compromissione dei dispositivi.

Infine incentivare l'industria ed il mercato dei servizi informatici allo sviluppo di interfacce utente più inclusive che consentano l'accesso sicuro alla tecnologia anche agli utenti più fragili nelle relazioni sociali.

domenica 23 gennaio 2022

West Point Strategic Concept Seminar: a febbraio si comincia!

Tra pochi giorni si terrà l'atteso "West Point Strategic Concept Seminar" organizzato dal Social Sciences Research Lab, guidato dal direttore, il tenente colonnello Jordan Becker.

L'iniziativa, lanciata lo scorso settembre, ricade sotto gli auspici della policy planning unit del segretario generale della NATO, Stoltenberg.
Con questa iniziativa gli Stati Uniti d'America si preparano alla definizione del nuovo NATO Strategic Concept .
La prima riunione si terrà in modalità mista il 3 e 4 febbraio 2022 e vedrà la partecipazione di studiosi di tutto il mondo, chiamati a dare il proprio contributo in merito.
Di cosa si parlerà ?

Le due giornate di studio saranno articolate in dieci panels che toccheranno i principali aspetti legati alla possibile evoluzione dell'Alleanza Atlantica.

Di particolare interesse il panel 4: "NATO has added two new domains of operations (cyber, space) over the last decade. What strategic choices does the integration of these new domains pose? How should NATO’s strategic posture change in response to current and foreseeable technological evolutions?"

Gli studiosi partecipanti cercheranno di rispondere ad alcune domande legate all'evoluzione della minaccia cyber e alla rapida crescita del dominio spaziale ma anche e soprattutto alle mutue relazioni tra i due nuovi domini.

Cosa dovrà contenere il nuovo NATO Strategic Concept per affrontare l'attuale contesto strategico, politico e tecnologico?
Negli ultimi dieci anni la NATO è cambiata, così come è cambiato il contesto socio-politico e in particolate tecnologico. Sono stati aggiunti due nuovi domini delle operazioni, il Cyber Space e lo Spazio.
Cos'altro fare per ridisegnare una NATO più vicina ai Paesi membri?

E' chiaro a tutti che i domini Cyber e Spazio hanno subito, negli ultimi dieci anni, una crescita esponenziale. 
Nuovi concetti, nuovi attori e nuove minacce, non solo di origine statuale ma anche privata, che includono le grandi industrie mondiali dell'informatica e delle tecnologie spaziali e aeronautiche.
Cos'hanno in comune i due nuovi domini? Quali invece le differenze?  
Il primo punto che accomuna i due domini è evidente a tutti ed è legato alla assenza di confini. A ben guardare questa affermazione è intrinsecamente in contrasto con il proposito della NATO di proteggere gli Alleati e i loro confini

E' realistico pensare che la NATO possa rispondere militarmente a seguito di un attacco ransomware di difficile se non impossibile attribuzione certa? Valgono ancora i riferimenti agli altri domini? Se si, con quali armi la NATO dovrebbe rispondere? Ad un attacco cyber contro un satellite si può rispondere con un'azione terrestre? 
Singoli stati l'hanno fatto, ma è ipotizzabile un tale comportamento da parte della NATO?

Se osserviamo il dominio spaziale potremmo pensare che quanto meno l'attribuzione di un attacco è più semplice. Ma ne siamo poi così certi?

A ben guardare non è sempre così. Il dominio spaziale infatti è talmente interconnesso al dominio cyber che tutti i problemi di attribuzione di quest'ultimo sono molto spesso applicabili per estensione al primo. Pensiamo alle comunicazioni satellitari, all'identificazione e georeferenziazione, alla identificazione automatica.
Poniamoci la domanda: cosa potrebbe accadere se un gruppo criminale (appoggiato o meno da uno stato) riuscisse ad ottenere il controllo di un satellite o, peggio, di una costellazione?

Di domande simili ne esistono decine, e nessuna ha una risposta semplice.
Ecco perché è necessario che il nuovo concetto strategico della NATO includa una chiara visione dei domini Cyber e Space

Una forte indicazione in questo senso dovrebbe spingere gli stati membri a focalizzare meglio i due nuovi domini militari e a collaborare per garantire la sicurezza comune, a sviluppare e realizzare studi coordinati per migliorare la resilienza dell'Alleanza nel suo complesso oltre che dei singoli stati e, in definitiva dovrebbe aiutare a sviluppare una vera cultura strategica comune.
  

venerdì 14 gennaio 2022

L'exploit dei Mastri Birrai


Il mondo decadente di un futuro prossimo, una famosa fabbrica di birra, una serie di strani omicidi, una bravissima hacker...

Cos'hanno in comune questi elementi?

Apparentemente niente.

Apparenza... "apparènza s. f. [dal lat. tardo apparentia, der. di apparere «apparire»]. – 1. Ciò che appare, che si mostra alla vista; quindi aspetto, e anche contegno, comportamento esteriore [..] Per lo più si contrappone alla sostanza, a ciò che è in realtà: l’a. inganna; lasciarsi guidare dalle a.; tutte le a. (cioè tutti gli indizî esteriori) sono contro di lui; tenere molto alle a., alle manifestazioni esterne e convenzionali..."

Eppure, al di la delle apparenze, il legame esiste e si chiama Leda - alias Hop(e)!

Kyber, la città in cui è cresciuta Leda, era solo l'ombra di ciò che doveva essere stata un tempo. 

Il "Copper Mug", il locale di Scorch, era diventato in breve tempo la "scuola" di Leda e il suo posto di lavoro. Scuola, perché li aveva appreso cosa si potesse fare con la conoscenza del mondo digitale, lavoro, come cameriera tuttofare. Il suo mentore si chiamava Lady Rigger, L@r@ per gli amici.

La storia si svolge attorno a pochi personaggi e ad un attacco cyber: v-ransomware, ai danni della Kyros, una delle più antiche fabbriche di birra al mondo, nota per la sua Cervogy e per la leggendaria Ninkasi Ale...

Potrei continuare a raccontarvi il romanzo ma preferisco lasciarvi il gusto di leggerlo. 

Una sola avvertenza: il romanzo può essere letto almeno in due modi diversi, e forse il miglior modo non è il più apparente. 

A piè pagina trovate note e link utili al lettore per intraprendere un percorso parallelo, quello che conduce ad approfondire gli aspetti reali degli attacchi e delle tecnologie impiegate nel romanzo.

Così, se si vuole, sarà possibile scoprire un mondo che in buona parte già esiste e il cui limite risiede solo nella capacità immaginativa dell'uomo. Allora provate a seguire le indicazioni e non stupitevi se il mondo reale è più complesso di quanto avreste potuto mai immaginare.

Grazie agli autori, Marco Rottigni (RoarinPenguin) e Andrea Danesi Visconti (TheF001), per averci portato per mano in questo mondo in cui realtà e fantasia si intrecciano senza sosta... sperando che "L'exploit dei Mastri Birrai" sia solo il primo di una lunga serie di romanzi a sfondo cyber.


Alessandro Rugolo   

venerdì 7 gennaio 2022

Non solo protezione dell’IT

(una reale visione d’insieme nella protezione di un ecosistema aziendale)

Scenario

Verkada, Triton, Colonial Pipeline… non sono parole misteriose di un gioco a quiz, ma semplicemente lo specchio della realtà che stiamo affrontando in cui sia il confine tra digitale e reale sia la protezione da minacce di malintenzionati sono sempre più labili.

Scenari di attacchi digitali a dispositivi industriali, chiamati anche OT o IoT, sono sempre più all’ordine del giorno; con un impatto importante sulla nostra privacy, le nostre imprese o ancor peggio la vita di ognuno di noi se parliamo di infrastrutture critiche quali oleodotti, ospedali, ecc.

  • Verkada – Marzo 2021 – “un gruppo di hacker afferma di aver violato un'enorme quantità di dati delle telecamere di sicurezza raccolti dalla startup della Silicon Valley Verkada Inc., ottenendo l'accesso ai feed live di 150.000 telecamere di sorveglianza all'interno di ospedali, aziende, dipartimenti di polizia, carceri e scuole.”

  • Triton – 2017 e 2019 – “hacker utilizzano il malware Triton per bloccare impianti e sistemi industriali, Il malware è stato progettato per colpire sistemi industriali e infrastrutture critiche”.

  • Colonial Pipeline – Giugno 2021 – “l’hacking che ha bloccato il più grande gasdotto degli Stati Uniti e ha portato a carenze in tutta la costa orientale è stato il risultato di un'unica password compromessa. Gli hacker sono entrati nelle reti di Colonial Pipeline Co. attraverso un account di rete privata virtuale, che consentiva ai dipendenti di accedere in remoto alla rete informatica dell'azienda. L'account non era più in uso al momento dell'attacco, ma poteva ancora essere utilizzato per accedere alla rete di Colonial”

In questo contesto è con grande speranza che vediamo affermarsi sempre più nel mondo IT e Cybersecurity concetti quali “Zero Trust”, “Continuità Operativa”, “Protezione dispositivi industriali”, ecc. Tuttavia, spiegare alle realtà aziendali come proteggere dispositivi industriali, che spesso e volentieri hanno una media di 30/40 anni di anzianità, in un edificio isolato sia fisicamente che digitalmente, non è sempre cosa semplice.

Questo articolo vuole cercare di aprire uno spaccato su questo scenario e aiutare a comprendere come le logiche di protezione dei dispositivi industriali (spesso e volentieri chiamati dispositivi Operation Technology – OT, o i più recenti dispositivi Internet of Thing - IoT) possano intersecarsi con le classiche logiche dei dispositivi appartenenti al mondo IT che la maggior parte di noi conosce, evidenziando come sia possibile applicare concetti quali Zero Trust anche ad un mondo legacy come quello industriale.

Quali dispositivi?

Innanzitutto definiamo cosa intendiamo con Dispositivi OT/IoT, utilizzando per semplicità la seguente nomenclatura:


Va da sé che in una realtà operante ad esempio nel mondo manifatturiero, dove magari abbiamo una prevalenza di dispositivi in ambito industriale (OT), si possano trovare tre ecosistemi ben precisi:

  1. Un ambiente IT con hardware tra i 5 ed i 10 anni, che utilizza protocolli quali TCP/IP, HTTPS e dove vengono applicati (o almeno dovrebbero essere applicati) concetti di protezione di base dell’identità quali Multi Factor Authenthication (MFA), di protezione della posta da spam/phishing, di protezione da antimalware, ecc;

  2. Un ambiente OT, con hardware datato a piacere, che utilizza protocolli strettamente specifici e - come logiche di sicurezza - utilizza prettamente un criterio di “isolamento”;

  3. Un ambiente Cloud, utilizzato sia per estendere la capacità del proprio datacenter
    on-premise sia per applicazioni/servizi che per motivi di scalabilità, tempo o banalmente di costi, è più efficiente avviare dal cloud.

Dispositivi OT

Focalizziamo l’attenzione di questo articolo sul secondo punto : gli ambienti OT. Generalmente troviamo dispositivi OT legacy (più vecchi) e Industrial IoT, dispositivi di impronta più recente: questi controllano le apparecchiature fisiche - quindi la tecnologia comune come i sistemi di riscaldamento, ventilazione e condizionamento dell'aria (HVAC) - nonché le apparecchiature specifiche del settore per la produzione - cioè gli impianti petroliferi e del gas, i servizi pubblici, i trasporti, le infrastrutture civili e altro ancora.

Questi sistemi OT sono spesso monitorati dall'ambiente IT per fornire analisi aziendali e altri approfondimenti sulle operazioni aziendali fisiche. Sebbene le piattaforme informatiche e le reti IP sottostanti siano simili all'IT, gli ambienti OT sono diversi per diversi aspetti:

  • l'insieme di misure e strumenti atti a prevenire o ridurre gli eventi accidentali è la principale voce di sicurezza OT (Safety); questo è in netto contrasto con il mondo IT che si concentra sull'insieme delle azioni e degli strumenti in risposta ad una minaccia in atto, organizzata proprio allo scopo di arrecare danni ai sistemi informatici (Security).

Questa differenza è dovuta al fatto che un guasto del sistema OT potrebbe causare direttamente danni fisici o morte: ad esempio ai dipendenti che lavorano su, o vicino a, macchinari pesanti; clienti che utilizzano/consumano un prodotto, cittadini che vivono/lavorano vicino a una struttura fisica, ecc.

  • Come abbiamo già anticipato l'hardware/software OT è molto più vecchio rispetto ai sistemi IT perché le apparecchiature fisiche hanno cicli di vita operativi molto più lunghi rispetto ai sistemi IT tipici (in molti casi fino a 10 volte più lungo). Non è raro trovare apparecchiature vecchie di 50 anni che sono state modernizzate ai sistemi di controllo elettronico.

  • L’approccio di sicurezza dei sistemi OT è diverso dal mondo IT perché questi sistemi spesso non sono stati creati tenendo conto delle minacce e dei protocolli moderni (e spesso si basano su cicli di software portati fino a "fine vita"). Molte best practice consolidate di sicurezza IT come l'applicazione di patch software non sono pratiche o sono completamente inefficaci in un ambiente OT e anche se fossero applicate selettivamente avrebbero un effetto sicurezza comunque limitato.

Abbiamo accennato al criterio di “isolamento” dei dispositivi OT, per applicare il quale si possono implementare diverse logiche:

  • Hard Boundary: completa disconnessione del traffico, spesso dispositivi scollegati fisicamente (“air gap”);

  • Soft Boundary - basato su un firewall o un altro filtro del traffico di rete, come qualsiasi limite di sicurezza, un confine “soft” richiede monitoraggio e manutenzione per rimanere efficace nel tempo. Sfortunatamente, vediamo molti casi in cui le organizzazioni impostano regole firewall per bloccare il traffico, senza un approccio completo di persone/processi/tecnologie per integrare la sicurezza nella gestione delle modifiche, monitorare attentamente le anomalie, verificare continuamente le modifiche, testare il confine con simulazioni di attacco, ecc.

  • Segmentazione interna: isolando gruppi di sistemi OT l'uno dall'altro come ulteriore impedimento agli attacchi. Questa pratica richiede che i modelli di comunicazione/traffico siano compatibili con questo approccio ed una manutenzione continua sia verso il controllosia verso la gestione delle eccezioni.

Queste pratiche di sicurezza applicano bene i principi di zero trust, sebbene siano vincolate a configurazioni statiche e controlli di rete a causa dell'età dei sistemi OT.

L’Ambiente Industriale ed il “mondo esterno”

Dal 1990, la Purdue Enterprise Reference Architecture (PERA), alias Purdue Model, è stato il modello standard per l'organizzazione e segregazione, delle misure di sicurezza del sistema di controllo aziendale e industriale (ICS) e delle funzioni di rete, indicando i seguenti Livelli operativi:

  • Livello 0 — Il processo fisico — Definisce i processi fisici effettivi.

  • Livello 1 — Dispositivi intelligenti — Rilevamento e manipolazione dei processi fisici (Sensori di processo, analizzatori, attuatori e relativa strumentazione)

  • Livello 2 — Sistemi di controllo — Supervisione, monitoraggio e controllo dei processi fisici (Controlli e software in tempo reale; DCS, interfaccia uomo-macchina (HMI); software di controllo di supervisione e acquisizione dati (SCADA)).

  • Livello 3 — Sistemi operativi di produzione — Gestione del flusso di lavoro di produzione per produrre i prodotti desiderati. Gestione dei lotti; sistemi di gestione dell'esecuzione e delle operazioni di produzione (MES/MOMS); sistemi di gestione delle prestazioni di laboratorio, manutenzione e impianto; storici dei dati e relativo middleware.

  • Livello 4 — Sistemi logistici aziendali — Gestione delle attività relative all'operazione di produzione. Ad esempio l’ERP ne è il sistema principale; stabilisce il programma di produzione di base dell'impianto, l'uso dei materiali, la spedizione e i livelli di inventario.

Dalla definizione del PURDUE Model i livelli 0-3 (OT Environment) sono cambiati poco rispetto alla restante architettura cioè il livello 4, che riflette un approccio più moderno grazie ai principi di zero trust e l’avvento della tecnologia mobile e cloud.

L’ avvento della trasformazione digitale, la cosiddetta Industria 4.0, ha richiesto delle analitiche volte ad efficientare gli aspetti business: aumentando la correlazione del volume sempre maggiore di dati di produzione con un mondo IT ed un mondo Cloud. Grazie alla raccolta dei dati provenienti dai dispositivi OT/IoT con servizi ad esso dedicati e la potenza di calcolo a disposizione, l’ approccio cloud ha permesso l'applicazione di logiche di analisi predittiva e prescrittiva.

Ma, come abbiamo visto inizialmente, sappiamo che gli attacchi alla sicurezza informatica si estendono sempre più agli ambienti IT, IoT, OT richiedendo che i processi di risposta agli incidenti (e le strategie di prevenzione) convergano verso un approccio unificato, che si estenda a tali ambienti pur dovendo adattarli alle capacità e ai limiti di ciascuno.

Ecco quindi che un’arma utile per fronteggiare questi attacchi sempre più diversificati consiste nell’adottare soluzioni di protezione OT/IoT.

Esistono molteplici soluzioni di protezione del mondo industriale, cioè di dispositivi OT/IoT, alcune delle quali basate su un approccio a livello di rete chiamato monitoraggio passivo o Network Detection and Response (NDR) - che ha un impatto zero sulle reti industriali: viene implementato un sensore di rete in sede (appliance fisica o virtuale), che si connette alla porta SPAN di uno switch. Tale sensore identifica attività anomale o non autorizzate utilizzando analisi comportamentali e informazioni sulle minacce specifiche per IoT/OT, senza alcun impatto sulle prestazioni dei dispositivi.

A prescindere dalle singole funzionalità delle soluzioni, queste sono le quattro caratteristiche fondamentali:

  1. Possibilità di asset management dei dispositivi OT/IoT: spesso e volentieri una realtà aziendale non è a conoscenza di tutti i dispositivi presenti al suo interno. Il primo obiettivo di tali soluzioni è realizzare un inventario completo di tutti gli asset IoT/OT, analizzare protocolli industriali proprietari, visualizzare la topologia di rete ed i percorsi di comunicazione, identificare i dettagli delle apparecchiature (produttore, tipo di dispositivo, numero di serie, livello di firmware e layout backplane);

  2. Identificare le vulnerabilità dei dispositivi: patch mancanti, porte aperte, applicazioni non autorizzate e connessioni non autorizzate; rilevare le modifiche alle configurazioni del dispositivo, alla logica del controller e al firmware;

  3. Rilevare attività anomale o non autorizzate utilizzando l'analisi comportamentale e l' artificial intelligence sulle minacce compatibili con IoT/OT, ad esempio rilevando immediatamente l'accesso remoto non autorizzato e i dispositivi non autorizzati o compromessi. Analizzare il traffico cronologicamente e catturare minacce come malware zero-day o esplorare le acquisizioni di pacchetti (PCAP) per un'analisi più approfondita;

  4. Per raggiunger una visione olistica occorre poter riportare tali alert e minacce verso un SIEM/SOAR monitorato dal Security Operation Center (SOC); garantendo sia una più alta interoperabilità con altri strumenti di service ticketing sia una riduzione del tempo di riconoscimento e remediation (MTTA, MTTR) dei Security Analyst verso una potenziale minaccia.

E’ possibile applicare logiche di Zero Trust ad ambienti OT/IoT? Assolutamente sì ed è un punto fondamentale nella visione olistica di protezione che stiamo fornendo:

Questo perché anche in un ambiente industriale è fondamentale mantenere delle solide linee guida:

  • Sull’identità forte per autenticare i dispositivi - Registrare i dispositivi aziendali di qualsiasi tipo, valutare le vulnerabilità e le password non sicure, utilizzare autenticazione passwordless ove possibile, fornire accessi meno privilegiati per ridurre la superficie di impatto di un eventuale attacco ed i relativi danni che può arrecare.

  • Sull’integrità del dispositivo - per bloccare l'accesso ai non autorizzati o identificare i dispositivi che necessitano di una remediation per vari motivi, monitorando le minacce in modalità proattiva per identificare comportamentali anomali.

  • Utilizzare una configurazione centralizzata ed un solido meccanismo di aggiornamento - per garantire che i dispositivi siano aggiornati e in buono stato.

A volte pensare ad attacchi in ambito dispositivi IoT sembra fantascienza o molto lontano dal nostro quotidiano ma gli attacchi citati inizialmente sono un buon punto di partenza per farci cambiare idea, inoltre di seguito, vorrei farvi riflettere su un ulteriore esempio non molto lontano da ciò che potrebbe capitare in ogni contesto lavorativo:

Conclusione

E’ essenziale per le realtà aziendali valutare la sicurezza dei propri sistemi IoT e OT con lo stesso rigore applicato ai sistemi IT: mentre ai PC, ad esempio, viene normalmente richiesto di disporre di certificati aggiornati, i dispositivi IoT vengono spesso distribuiti con password predefinite di fabbrica e tenuti in quella configurazione per decenni.

Se è vero che in una catena di attacco l’anello umano è certamente l’anello più debole, e qui la “formazione/educazione” è la prima vera attività che occorre avviare, è altresì vero che la sicurezza della catena da un punto di vista tecnico dipende dall'elemento più debole che purtroppo, nel mondo OT, è quasi sempre presente.

La tecnologia è qui per aiutarci e supportarci ma soprattutto deve essere in grado di fronte alle minacce citate di ridurre il possibile impatto e consentire una rapida ripresa della produzione e/o continuità aziendale, dopo un potenziale attacco.

A tal fine più che le singole funzionalità, comunque rilevanti, è importante l’integrazione che si riesce ad ottenere con tali soluzioni perché i malintenzionati agiscono senza regole e senza confini di dispositivi, identità, reti, ecc.

L’unico modo di proteggersi è proprio favorire una “visione d’insieme” in modo da rendere più semplice l’analisi, la rilevazione e la remediation.


Simone Peruzzi

Riferimenti


Google Dorks, questi sconosciuti...

Cosa significa Google Dorks? 

Google dork è una tecnica di ricerca avanzata che può aiutare a scoprire dei dati nascosti dal motore di ricerca Google. 

C’è chi li definisce “comandi di Google” oppure una strategia basilare di hacking. Si tratta, di fatto, di “operatori”, tramite i quali è possibile creare dei filtri più dettagliati per una ricerca. Ovvero, vengono utilizzate principalmente per affinare i risultati di ricerca, al fine di avere link più specifici. 

E’ doveroso evidenziare che i Dork i più famosi e utilizzati, ovviamente, sono quelli di Google (Google Dork) che approfondiremo in questo articolo. 

Tecnicamente parlando, all’interno della query di ricerca, si inseriscono parole chiave particolari e/o operatori logici e caratteri speciali per avere risultati più specifici e trovare pagine che possono corrispondere al nostro criterio di ricerca. Un filtro di ricerca è una frase, una keyword che ha un significato particolare per il motore di ricerca come per esempio:

- inurl: per restringere la ricerca solo all'interno delle url;

- intext: restituisce le pagine web che contengono il termine cercato al loro interno;

- site: per restringere la ricerca su un particolare sito;

- filetype: , per restringere la ricerca ad un tipo di file.

Come iniziare ad usare Google Dork? 

I google Dork hanno una sintassi basilare del tipo “dork: parametro”.

Provate ad utilizzare, per esempio, i seguenti semplici comandi per iniziare a cercare dettagli sensibili e fare pratica con i Google Dork. 

Ci si può sbizzarrire a trovare informazioni su se stessi o sulla organizzazione presso cui si lavora, digitando per esempio:

- <il proprio nome> filetype:pdf , che restituirà la parola o frase cercata solo su file Pdf;

- <il proprio nome> filetype:pdf OR filetype:xlsx OR filetype:docx , che effettuerà la stessa ricerca su file pdf o xlsx o docx.

Possono essere utilizzati operatori logici di base come not, or e and. 

Vediamo di seguito alcuni caratteri speciali da utilizzare e le loro funzionalità.  


Google Dorks: a cosa servono? 

I google dorks sono utilizzati per diversi scopi. Per esempio per effettuare una ricerca più approfondita da parte di un comune utente, come abbiamo provato a fare poco sopra inserendo il nostro nome seguito dall’operatore filetype. 
Possono anche servire in ottica SEO (Search engine optimization) a fini di marketing. Per esempio per trovare le pagine con errori di indicizzazione, quindi che i motori di ricerca non mostrano. 
Per scoprirlo è sufficiente inserire nella query “site: il nome del tuo sito”.



I Google Dorks sono anche molto impiegati nel settore della cyber security. 
Infatti tramite l’utilizzo di questa tecnica è possibile rilevare sistemi affetti da vulnerabilità, per esempio, inserendo una parola chiave di un particolare prodotto. 
La query "inurl:wp-admin" mostrerà i siti che utilizzano WordPress come tecnologia, se questa un giorno dovesse risultare vulnerabile sarebbe molto semplice per un hacker sapere chi la utilizza. 
Questa tecnica può essere utilizzata anche per ricercare massivamente informazioni su persone. Proviamo a pensare ad un malintenzionato a cui interessano persone con una determinata caratteristica facilmente trovabile sui social network (esempio: mansione lavorativa). 
E' sufficiente scrivere una stringa di ricerca sul browser, specificando i siti dove effettuare la ricerca, senza doverli consultare singolarmente. 
Per esempio, “segretaria site:linkedin.com OR site:facebook.com”. 
La ricerca può essere ulteriormente perfezionata utilizzando parole chiave o altri termini oppure il database di Google Hacking (Google Hacking DB) che contiene sorgenti di frasi e parole. 
In ultimo, i Google Dork possono essere utilizzati per capire quali informazioni sono presenti su di noi o sulla nostra attività ed effettuare le modifiche desiderate. 

In conclusione, Google Dork è una “leva” che può essere utilizzata da chiunque volesse approcciarsi alla cyber security, studiare o leggere documentazione più specifica o in generale ottimizzare le proprie ricerche. 

Alessio Buttitta

Per approfondire:

Google Dorks: A Beginner’s Guide - The Dark Web | Uncensored Hidden Darknet Gateway (the-dark-web.com)

Top 20 Google Hacking Techniques - Best Google Dorks and Hacks (securitytrails.com)


martedì 4 gennaio 2022

Il valore di eXpanded Detection and Response

In CyberSecurity, cosa significa eXpanded Detection and Response (XDR)?
Che caratteristiche ha un sistema XDR?
Come può aiutare chi è stato colpito da un attacco?

LA CYBERSECURITY RICHIEDE OLISMO

Una delle mie convinzioni in tema di CyberSecurity è che gli attacchi si realizzino sugli endpoint; o, quantomeno, che il punto di contatto tra il mondo digitale e l’utente sia strumentale e fondamentale affinché un attacco possa aver luogo.

È infatti l’endpoint il posto in cui l’utente – da sempre l’anello più debole della catena di difesa – interagisce con il cyber-verso, si espone online, viene compromesso da un tentativo di attacco.

In questi tempi moderni di remotizzazione digitale e utilizzo massivo del cloud, la propagazione degli effetti di un attacco è caratterizzata da una viralità ed una pervasività impressionanti.

Tutto ciò mette a durissima prova le capacità delle aziende di rilevare e rispondere in tempi adeguati a mitigare l’impatto, così come dannosissime conseguenze in termini reputazionali, finanziari e di continuità operativa.

Oltre agli esempi più immediati, la veridicità di quanto affermato resta anche negli scenari più complessi: un utente accede con una forma di autenticazione forte ad un ambiente di sviluppo, essendo responsabile della configurazione di un sistema di risorse cloud; durante il processo di terraforming (termine tipicamente utilizzato per definire la fase di configurazione) dimentica una istruzione per ridurre la lista di IP che possono accedere all’istanza di storage configurata. Ecco create – sempre grazie all’interazione tra l’utente e il cyber-verso avvenuta tramite un endpoint – le condizioni ideali per un attacco di data leak in cloud. 
Un altro esempio calzante potrebbe essere un'architettura di Active Directory configurata male, con i sistemi che appartengono al dominio non standardizzati e molti di questi fuori supporto. In caso di attacco diventa importante supportare la resilienza dell'ecosistema, la cui postura di sicurezza è evidentemente non ottimale, correlando indicatori di anomalie con le informazioni provenienti dall'asset management. 

Nascono quindi due domande importanti:

Come rilevare nel modo più olistico possibile questi eventi anomali, unendo tutti i puntini per aumentare la comprensione del contesto e dell’urgenza al fine di prioritizzare l’intervento?

Come effettuare questo rilevamento nel modo più rapido possibile, per accelerare risposta e rimedio?

COSA È IL DWELL TIME

Più in generale, l’annoso problema è nella minimizzazione del dwell time: questo il nome del tempo che intercorre tra la compromissione di un ecosistema e il rimedio del danno, passando per il momento intermedio in cui la compromissione viene rilevata.





Stando a un report di Mandiant del 2021, il numero medio di giorni di dwell time nel 2020 in EMEA è aumentato a 66 giorni, da 54 che era nel 2019. Non solo questa cifra è un segnale di peggioramento medio, ma espandendo il dato medio troviamo una situazione molto preoccupante1, che riporto nell’illustrazione che segue – presa dal report.

Figura 1 - Fonte: Mandiant M-Trends Report 2021


Il dato che deve far riflettere riguarda il dwell time relativo agli attacchi esterni, cioè quelli in cui l’organizzazione riceve notifica della compromissione dall’esterno in quanto non in grado di rilevare la compromissione per tempo con risorse proprie.
In 225 giorni il pianeta Venere compie un giro intero intorno al Sole! Immaginate il livello di danno che un attaccante motivato potrebbe apportare all’organizzazione che è riuscito a compromettere. Per avere un quadro più preciso dei danni e costi che derivano da questi attacchi, in cui la permanenza offre all’attaccante tutto il tempo di eseguire ogni tipo di azione negli ecosistemi compromessi, è possibile far riferimento al report Data Breach Investigation Report di Verizon
 
RISOLVERE IL PROBLEMA: DA EDR A XDR, PASSANDO PER MDR


Per mitigare questo problema potenziando le capacità richieste, negli anni scorsi sono emerse soluzioni di Endpoint Detection and Response. 
L’aiuto tangibile di un EDR è a due livelli:
- rilevamento e blocco preventivo di un tentativo di compromissione, con azioni attive simili a quelle di un antivirus sofisticato.
- identificazione del contesto post-compromissione, al fine di semplificare il rilevamento delle anomalie sfuggite alla prevenzione e permettere azioni di risposta per mitigare il danno: ad esempio quarantena di file, terminazione di processi in esecuzione, isolamento controllato in rete della macchina infetta.

Questi strumenti molto potenti ed efficaci sono spesso sottoutilizzati dalle aziende a causa della scarsità o dell’incompetenza di risorse interne. Tale situazione ha stimolato la richiesta e la nascita di specifici servizi che facessero economia di scala nelle competenze e risorse necessarie per esercire in modo efficace sistemi di rilevamento e risposta per conto terzi.

Questi servizi vanno sotto il nome di Managed Detection and Response o MDR.

Si diceva però all’inizio di come la complessità crescente della biodiversità digitale, che caratterizza ogni organizzazione moderna, comportasse un problema di visibilità dell’intero ecosistema IT. Scarsa visibilità che rappresenta un limite enorme alle attività di rilevamento e risposta così importanti per una corretta postura di cybersecurity.

Questa esigenza olistica ha determinato l’evoluzione del concetto di EDR verso una detection e response espansa a coprire tutto il panorama digitale di un’organizzazione: da qui l’acronimo XDR, eXpanded Detection and Response.

Un sistema XDR permette di concentrarsi sul comportamento anomalo tipico di una strategia di attacco, considerando i segnali dell’intero ecosistema adeguatamente normalizzati e correlati per essere consumabili da esseri umani.

Non solo quindi la telemetria visibile sull’endpoint, fatta di file, di processi e di comunicazioni di rete ricevute e iniziate verso l’esterno; bensì informazioni dall’ambiente circostante sull’interazione che l’endpoint ha avuto con lo stesso e con entità simili, quindi altri endpoint, oppure dispositivi IoT, router, firewall, proxy, sistemi di gestione identità, risorse cloud e molto altro.

Questa logica spiega perché XDR viene considerato da molti CISO una soluzione ad annosi problemi che tutt’ora affliggono l’efficacia e l’efficienza della CyberSecurity difensiva.

Un XDR è caratterizzato da tre importanti tratti distintivi:

- la capacità di integrarsi con elementi circostanti in modo bidirezionale: cioè ricevendo flussi di informazioni sugli eventi tracciati, ma anche inviando istruzioni su reazioni che possono essere eseguite solo da questi elementi. Un esempio con un sistema proxy sarebbe di bloccare la navigazione verso uno specifico sito web, in quanto fonte di download malevoli.

- la capacità di analizzare la telemetria ricevuta e rilevata: cioè normalizzare e correlare enormi quantità di dati praticamente in tempo reale, sfruttando forme di intelligenza artificiale (IA) che permettano di trovare segnali, sentieri di briciole di pane lasciate dall’attaccante, in mezzo a enormi spiagge di granelli di sabbia molto simili tra loro. Questa operazione non sarebbe certamente alla portata di nessun team di security operations ed è tipicamente demandata a infrastrutture cloud per l’elevata capacità computazionale e di memorizzazione dati che richiede.
Da notare che la intelligenza artificiale deve essere di tipologia supervised, cioè beneficiare di una pre-istruzione che permetta di identificare il malevolo dall’anomalo e dal normale. Per approfondire le diverse tipologie di IA, rimando all’interessante articolo che Orazio Danilo Russo ha pubblicato lo scorso luglio.

- La capacità di rispondere in modo attivo, sfruttando interfacce di comunicazione chiamate API (Application Programming Interface), tramite le tecnologie con cui si integra. Di norma questa azione avviene seguendo delle procedure precodificate chiamate Playbook, che descrivono le varie sequenze di operazioni in modo da accelerare ed automatizzare il più possibile la risposta.

Va da sé che la capacità olistica messa in campo da un sistema XDR ben integrato con il proprio ecosistema IT potenzia enormemente le risorse specializzate, sia quelle interne all’organizzazione che quelle eventualmente attivate tramite un servizio MDR.

La domanda a conclusione di questo articolo potrebbe quindi essere: come misuro l’efficacia di un sistema XDR?

La risposta che vorrei proporre è strutturata in due ambiti: valutazione qualitativa e metriche.

Da un punto di vista qualitativo l’XDR dovrebbe potenziare tre aree:

- Security Analytics, cioè l’insieme di dati aggregati, correlati e processati che supportano il processo di monitoraggio della postura di sicurezza e rilevamento tempestivo di minacce a tale postura.

- Proactive Threat Hunting, cioè l’attività di identificazione di minacce in modo proattivo a partire da anomalie oppure da segnali tenui, scremando efficacemente l’enorme rumore di fondo. Quanto diventa più facile unire i puntini per capire – magari utilizzando un unico identificativo per ogni incidente – cosa è successo retrospettivamente, al fine di pianificare il prosieguo delle operazioni?

- Automated Incident Response, cioè l’aumento della velocità di reazione nella risposta all’incidente fino alla mitigazione o al rimedio.

Dal punto di vista quantitativo, l’adozione di una soluzione XDR dovrebbe permettere di iniziare a sviluppare metriche su tempo medio di rilevamento attacco (MTD, da Mean Time to Detect) e tempo medio di risposta/rimedio (MTR, da Mean Time to Respond/Remediate).

Oppure raffinare le misurazioni già attivate alla luce delle nuove capacità, per verificare la bontà dell’investimento e bilanciare meglio i modelli ibridi che prevedano l’utilizzo di servizi esterni e risorse interne combinate.

Marco Rottigni


1 Report Mandiant M-Trends 2021: https://www.mandiant.com/resources/m-trends-2021

domenica 2 gennaio 2022

Alexa, Intelligenza Artificiale e buon senso

Ci si potrebbe chiedere cosa significa "buon senso", magari cercando una definizione sul dizionario Treccani, da cui si avrebbe: "Capacità naturale, istintiva, di giudicare rettamente, soprattutto in vista delle necessità pratiche: un uomo pieno di b.; anche in esclam., un po’ di b., che diamine!..."

Ma probabilmente al giorno d'oggi non aiuterebbe, almeno questo mi vien da pensare leggendo i titoli di giornale di questo fine d'anno 2021:

- Forbes, 28 dicembre 2021: "A Crisis Is Averted After Amazon’s Alexa Tells Child About Lethal Viral Challenge", di Edward Segal;

- Bleeping Computer, 28 dicembre 2021: "Amazon Alexa slammed for giving lethal challenge to 10-year-old girl", di Ax Sharma;

- The Guardian, 29 dicembre 2021: "Amazon’s Alexa device tells 10-year-old to touch a penny to a live plug socket";

- CNBC, 29 dicembre 2021: "Amazon’s Alexa assistant told a child to do a potentially lethal challenge", di Sam Shead;

- CyberNews, 28 dicembre 2021: "Amazon's Alexa tasked a 10-year-old with a lethal challenge", di Vilius Petkauskas.

Per coloro che non vogliono o non possono leggere in inglese, il riassunto è presto fatto: il 26 dicembre una mamma, Kristin Livdhal, ha twittato che la sua bambina di dieci anni ha chiesto ad Alexa di proporle una sfida e Alexa ha risposto di aver trovato sul web (su ourcommunitynow.com) una sfida molto semplice: inserisci per metà corsa un caricabatteria di un telefono in una presa di corrente e poi tocca i poli scoperti con una moneta". Attenzione, non fatelo! Potrebbe essere pericoloso!

Il tweet, neanche a dirlo, ha sollevato un'ondata di polemiche (e una montagna di like) e tante persone hanno forse realizzato che l'Intelligenza Artificiale di Alexa potrebbe essere pericolosa e questa è una cosa buona, magari qualcuno ricomincia ad usare il cervello!

Anche io leggendo la notizia mi sono stupito. 
Infatti quando avevo quattro o cinque anni, per gioco, senza che nessuno me lo suggerisse, ho infilato le dita in una presa di corrente e la cosa non è stata piacevole anche se per fortuna senza conseguenze. Attenzione, non fate neanche questo! Potrebbe essere pericoloso!

Da allora sono passati un bel po' di anni e in diverse occasioni mi sono affidato al buon senso e in linea di massima le cose sono andate bene, vi faccio alcuni esempi:
- ho evitato di inserire la testa nel forno per asciugare i capelli, ho pensato infatti che mi sarei potuto bruciare i capelli;
- ho evitato di fermare una macchina in movimento mettendomi in mezzo alla strada, e ancor più incredibilmente ho evitato di far guidare la mia macchina ad un bambino piccolo, pensando che magari avrei potuto provocare qualche incidente;
- ho evitato di lasciare un'arma carica in cucina, dove magari mio figlio avrebbe potuto trovarla e per errore farsi del male;
- ho evitato di asciugarmi i capelli col fon mentre stavo ancora a mollo nella vasca da bagno...

Ecco, vi sarete chiesti perché tutti questi esempi di semplice buon senso, la risposta è semplice: perché anche il buon senso va aggiornato con il cambiare della società, fino ad includervi la necessità di evitare di lasciare i bambini alla mercé di strumenti digitali che non conosciamo e non capiamo, esattamente come occorre evitare di lasciare un flacone di medicinali a portata dei bambini, perché questo può essere P E R I C O L O S O !!!!

Un'ultima cosa: la tecnologia non è buona ne cattiva di per se, dipende solo da come noi (esseri umani dotati di buon senso) la utilizziamo. 

Buon 2022 a tutti.

Alessandro Rugolo 


Per approfondire: