Traduttore automatico - Read this site in another language

Visualizzazione post con etichetta Cyber. Mostra tutti i post
Visualizzazione post con etichetta Cyber. Mostra tutti i post

sabato 8 febbraio 2020

Cosa bisogna sapere sul cyberspace per vivere bene...

(prima puntata)

Mi capita sempre più spesso che amici o semplici conoscenti mi rivolgano delle domande sul mondo cyber.
Spesso si tratta di domande volte a chiarire qualche aspetto particolare del quinto dominio,  altre volte si tratta di domande che mettono in evidenza la voglia di capire qualcosa di più di un mondo che è ormai necessario conoscere.
Alla prima categoria appartengono per esempio:
"Alessandro, che cos'è una APT*" oppure - cosa pensi della sicurezza del "tale" sistema di messaggistica? o ancora "quale algoritmo di cifratura è più performante?", tutte domande la cui risposta seppure apparentemente semplice non lo è affatto e che richiede una profonda conoscenza degli argomenti ma soprattutto la capacità di spiegare in modo elementare argomenti che facili non sono.
Alla seconda categoria appartengono invece alcune domande di base come "Ma si può sapere cos'è il cyberspace?", oppure  "Mi puoi indicare un corso di cyber per principianti?" o ancora più semplicemente "Mi spieghi qualcosa sulla cyber?". Queste apparentemente semplici domande sono talmente generali che spesso mi trovo invischiato in spiegazioni troppo lunghe e per niente alla portata di chi ho di fronte.
Allora mi rendo conto che ciò che a me sembra scontato, per la maggior parte delle persone con cui interagisco normalmente non lo è affatto!
Riflettendo sulla cosa ho pensato che forse sarebbe opportuno provare a scrivere degli articoli di base da usare a mo' di lezione, articoli brevi che affrontino argomenti complessi mirati al lettore curioso ma assolutamente inesperto o, magari a quello desideroso di apprendere un minimo di nozioni che gli servono per il suo lavoro quotidiano.
Questo tipo di pubblico è a mio parere molto numeroso ma poco propenso a leggere lunghi articoli tecnici o semplicemente sensazionalistici per cui difficilmente trova piacere o interesse nella lettura di un articolo sul mondo cyber.
Cosi ho deciso di cominciare a scrivere qualche breve articolo didattico a loro uso e consumo, questo è il primo e in questo si parlerà di "incidente cyber" e proverò a rispondere in modo chiaro, sintetico e senza alcun tecnicismo (il che in certi casi significa anche con un certo livello di semplificazione e imprecisione che spero mi verrà perdonato!) alle domande:
Cos'è un incidente cyber ?
Chi può essere interessato da un incidente cyber ?
Queste cose succedono anche in Italia ?
Perché dovrebbe succedere proprio a me ? 
Sono al sicuro se ho installato un buon antivirus ?

Certo, per capire fino in fondo di cosa stiamo parlando dovrei spiegare cos'è il cyberspace, ma non lo farò, lo darò per scontato nel senso che pian piano il lettore sarà portato a comprendere cosa sia il cyber space senza perdersi in definizioni che lasciano il tempo che trovano anche perché non consolidate.
Invece tutti sono interessati a capire cosa sia un incidente cyber, perché tutti possono subirlo, esattamente allo stesso modo in cui tutti gli automobilisti, ciclisti e pedoni sono interessati a sapere cosa sia un incidente stradale senza per questo dover conoscere l'intera rete stradale o la composizione dell'asfalto drenante o ancora il funzionamento della rete semaforica della propria città.
Allora diciamo subito che un incidente cyber è qualcosa che può accadere a tutti coloro che utilizzano uno strumento tecnologicamente avanzato senza prendere alcune minime precauzioni per la propria sicurezza, e quando parlo di strumento tecnologicamente avanzato parlo di smart phone, di smart watch, di tv connessa a internet o qualunque strumento, oggetto, robot, protesi, veicolo o "cosa" capace di ricevere dati dall'esterno, di elaborarli, di inviarne a sua volta e di compiere una qualunque azione. Una buona approssimazione di questo mondo è data da Internet.
Ma cominciamo dall'inizio, un incidente cyber può essere il blocco del cellulare a causa di un virus, il furto dei dati personali da un social network, il furto di identità avvenuto su Facebook, il rallentamento del pc con cui gioco la sera per rilassarmi dopo una giornata di lavoro, l'incidente d'auto causato da un problema alla centralina di controllo del motore, il furto di informazioni confidenziali o di brevetti, l'inefficienza di un sistema di controllo della produzione di una fabbrica di scarpe, il blocco di un software gestione delle fatture aziendale o il malfunzionamento dell'impianto dell'aria condizionata. Come vedete c'è un po' di tutto in quanto la tecnologia è impiegata ormai in tutti i campi.
La risposta alla seconda domanda, se avete capito il concetto, è semplicissima: chiunque può essere interessato ad un incidente cyber. Notate bene, ho detto chiunque, non ho detto "chi impiega strumenti tecnologici". Infatti, se un tempo chi non faceva uso della tecnologia (informatica in particolare) poteva salvarsi, da quando la società e i governi hanno cominciato a rendere i servizi al cittadino attraverso sistemi sempre più complessi e interdipendenti, tutti i cittadini possono subire un danno da un incidente cyber. Un esempio? Un vecchietto che si reca alla posta a ritirare la pensione potrebbe rientrarsene a mani vuote perché i sistemi sono bloccati (da un ransomware per esempio, più avanti vedremo di che si tratta).
Ma si pensa sempre positivo, per cui queste cose non capitano a me e non succedono in Italia. Invece no, queste cose capitano a tutti e possono accadere anche in Italia.
Sono in molti a pensare, sbagliando, di non avere niente che possa interessare un hacker per cui "io sono al sicuro".
Purtroppo questo modo di pensare porta a commettere errori molto gravi, per cui il mio consiglio è: siate sempre sospettosi… non date niente per scontato e non vi fidate mai di chi stà dall'altra parte di un computer, di una linea telefonica o di un servizio non richiesto, come da piccoli non vi fidavate di chi vi offriva una caramella!!!
In molti casi io, come chiunque di voi, non sono altro che una vittima inconsapevole di cose molto più grandi di me. Per esempio il mio computer (o il mio smart phone) potrebbe essere impiegato a mia insaputa da un hacker che sta conducendo un attacco contro una organizzazione che si trova dall'altra parte del mondo. Probabilmente io non mi renderei neppure conto della cosa se non fosse che negli ultimi giorni il mio computer è diventato molto più lento del normale… mi sarò preso un virus? La domanda sorge spontanea. Eppure, il mese scorso ho installato un ottimo antivirus che mi ha suggerito un caro amico che se ne intende, ed è pure gratis!
Non nascondo che anche io installo spesso antivirus gratuiti, o a pagamento, ma so a cosa vado incontro!
Ogni cosa che apparentemente non si paga ci costa comunque qualcosa senza che ce ne rendiamo conto. Spesso questo "qualcosa" non è altro che un pezzo di "informazione sul nostro comportamento".
Ma allora che facciamo, niente antivirus?
A questa domanda rispondo sempre che l'antivirus è utile… ma non è una soluzione se abbiamo qualcosa da difendere e ne siamo consapevoli. L'antivirus per essere efficace, anche in una azienda, deve essere solo una parte della sicurezza.

Per oggi mi fermo qui.
Qualcuno potrebbe pensare che ho detto delle banalità, delle cose ovvie. Rispondo in anticipo: si, ho detto delle cose ovvie, per chi le sa, ma non per tutti!
Spesso però dire delle banalità, come il "non accettare mai caramelle dagli sconosciuti", puo' salvare la vita per cui forse vale la pena dirle le banalità!
In ogni caso, se qualche lettore di questa nuova rubrica non ha paura a fare domande banali per soddisfare la propria curiosità, allora lasciate un commento, vi risponderò nel prossimo articolo, o quanto meno cercherò di rispondervi.
Dimenticavo, non fatevi problemi, non ci sono domande stupide, ma solo risposte stupide.

Alessandro Rugolo 

* Una APT è una forma particolarmente pericolosa di attacco, l'acronimo significa Advanced Persistent Threat. Una APT è di solito collegata ad un gruppo che agisce per conto di una organizzazione potente, spesso uno stato. Ma ne parleremo meglio più avanti...

domenica 22 luglio 2018

Singapore: attacco cyber ai sistemi informatici sanitari

Singapore,
una città-stato al centro del mondo economico e finanziario, in testa alla classifica pubblicata dal World Economic Forum nel Global Information Technology Report del 2016, davanti a nazioni come Finlandia, Svezia, Norvegia, Stati Uniti, Paesi Bassi, Svizzera, Regno Unito, Lussemburgo e Giappone. Solo per avere un termine di paragone, nel 2016 gli Stati Uniti erano in quinta posizione, l'Italia invece risultava quarantacinquesima, preceduta dal Costa Rica e seguita dalla Macedonia.
Con una popolazione di poco più di 5 milioni di persone, Singapore si attesta in testa a molte delle classifiche mondiali. Sicuramente può vantare uno tra i più alti Indici di Sviluppo Umano (HDI) e uno dei più alti PIL pro capite.
Eppure, forse proprio per questi motivi, Singapore si trova anche in testa di un'altra classifica, quella del paese dal quale partono il maggior numero di attacchi cyber al mondo, almeno a voler dare ascolto alla società israeliana Check Point che monitora attraverso i suoi sistemi l'andamento giornaliero degli attacchi (si registrano più di 10 milioni di attacchi al giorno!). 
Naturalmente non si ha la certezza matematica che un attacco provenga da uno Stato piuttosto che questo sia un semplice punto di passaggio ma in ogni caso le evidenze che si hanno consentono di vedere l'altra faccia della medaglia relativa al Networked Readiness Index (1).

Ma vediamo brevemente per quale motivo in questi giorni si è tanto parlato di Singapore.
La notizia apparsa sui giornali di tutto il mondo ci informa che sono stati sottratti i dati personali e sanitari di 1,5 milioni di persone dal sistema informativo sanitario.
Il 4 luglio gli amministratori del sistema informativo si sono resi conto di attività sospette nel database e hanno immediatamente dato l'allarme ed elevato le  misure di sicurezza, interrompendo, di fatto, l'attacco.
Dalle indagini che ne sono scaturite è stato possibile capire che si trattava effettivamente di un attacco cyber (per rendersi conto del fatto ci sono voluti 6 giorni) e non di un malfunzionamento e solo a questo punto è stato informato il Ministro della Salute e la Cyber Security Agency di Singapore.
Gli hacker hanno avuto la possibilità di agire indisturbati a partire dal 27 giugno e fino al 4 luglio.
Solo a questo punto si è iniziato a prendere provvedimenti necessari ad informare i pazienti della sottrazione dei dati, attività tutt'ora in corso.
L'accesso al sistema informatico sanitario sembra sia avvenuto per priviledge escalation. Ciò significa che gli hacker potrebbero avere avuto la possibilità di agire con le credenziali di amministratore del sistema e ciò fa pensare al fatto che il sistema informatico sanitario non sia l'unico colpito, questo perché in un sistema sociale che fa largo uso delle tecnologie dell'informazione e delle comunicazioni spesso gli amministratori devono accedere a sistemi remoti con i quali vi deve essere un certo livello di interoperabilità per lo scambio dei dati: solo a titolo di esempio potrebbe essere necessario scambiare dati con un sistema di pagamento o di rendicontazione ai fini amministrativi od ancora ad un sistema bancario per l'addebito di commissioni.
Seppure è vero che gli amministratori di rete e di sistema sono generalmente attenti e al corrente dei rischi che corrono, l'errore è comunque umano per cui avere avuto accesso al sistema per una settimana potrebbe aver consentito agli hackeer di effettuare attività di intelligence su altri sistemi in qualche modo correlati, attività che necessiteranno di tempo per essere analizzate.
Ma, ci si potrebbe chiedere, che importanza possono avere i dati personali sanitari? Cosa possono ottenere questi hacker dai pazienti del servizio sanitario?

Proviamo ora ad analizzare quali possibilità di guadagno hanno in mano gli hacker:
- il quadro sanitario di pazienti importanti potrebbe incidere in maniera significativa su decisioni politiche o investimenti societari;
- la conoscenza di dati personali associati al quadro sanitario (numero di telefono, indirizzo, magari anche dati della carta di credito o numeri di carta d'identità) può servire per attività di social engineering che mirano, per esempio, al furto di identità, causando ulteriori danni economici;
- la conoscenza dei sistemi interfacciati verso il sistema sanitario, ottenuta attraverso l'attacco, da sfruttare per successivi attacchi cyber;
Il danno maggiore però potrebbe essere quello portato all'immagine di Singapore. La prima della classe nell'indice NRI non può certo permettersi incidenti di questo livello!
E' facile capire come se da una parte il mondo ICT è da considerarsi un moltiplicatore di forza, dall'altra parte espone chi ne fa uso a rischi maggiori che vanno gestiti adeguatamente e in tempi consoni.
Al momento non è chiaro chi possa esserci dietro l'attacco. Secondo esperti cyber si è trattato di un attacco condotto con elevato livello di sofisticazione, ciò farebbe pensare a qualche organizzazione statuale, capace di condurre operazioni APT (advanced persistent threath) e se così fosse, ci si deve aspettare che non sia finita qui!
Staremo a vedere, nei prossimi mesi, quali saranno le conseguenze di questo attacco al sistema informativo sanitario di Singapore.
Nel mentre, possiamo porci alcune domande:
- in Italia cosa sarebbe accaduto in un caso simile? Quanto tempo avrebbero impiegano i nostri esperti a rendersi conto di essere sotto attacco?
- una volta capito di essere sotto attacco, sarebbe stata rispettata la direttiva NIS con particolare riferimento all'obbligo di gestione del rischio che prevede la denuncia degli incidenti cyber o avrebbero prevalso altre logiche e altri interessi?
Naturalmente sono convinto che i nostri esperti avrebbero agito al meglio, ma se è vero che siamo in 45 posizione (secondo l'indice NRI), fare del nostro meglio sarebbe stato sufficiente?

Alessandro Rugolo

Foto tratte da internet.

Note:
1. Il Networked Readiness Index misura la propensione degli Stati allo sfruttamento delle possibilità offerte dall'impiego delle tecnologie per l'informazione e le comunicazioni (ICT). Singapore era in testa alla classifica anche nel 2015.  

Per approfondire:
- https://www.todayonline.com/singapore/hackers-stole-medical-data-pm-lee-and-15-million-patients-major-cyber-attack-singhealth
- https://www.weforum.org/reports/the-global-information-technology-report-2016;
- https://www.openaccessgovernment.org/singapore-london-and-barcelona-named-top-global-smart-cities/42527/;
- http://reports.weforum.org/global-information-technology-report-2016/networked-readiness-index/;
- https://www.billingtoncybersecurity.com/singapore-ranks-number-1-cybersecurity-un-survey-top-cybersecurity-leader-keynote-321/;
- https://www.smartcity.press/singapore-smart-city-awards-2017/;
- https://www.gov.sg/news/content/channel-newsasia---singhealth-cyberattack-what-you-need-to-know;
- https://www.bloomberg.com/news/articles/2017-09-21/singapore-ranks-first-as-launchpad-for-global-cyber-attacks;
- https://threatmap.checkpoint.com/ThreatPortal/livemap.html;
- https://www.vanguardngr.com/2018/07/state-actors-likely-behind-singapore-cyberattack-experts/

sabato 14 luglio 2018

Anche la Germania ha la sua Cyber forza armata

(5 minuti di lettura - strategia)

Qualcuno ricorderà che l'estate scorsa il Presidente Trump ha annunciato la promozione ad Unified Combatant Command dello USCYBERCOM, dando di fatto il massimo riconoscimento possibile alla nuova dimensione di combattimento: il cyberspace.
Abbiamo anche visto come il resto del mondo si stia muovendo verso una riorganizzazione che tenga conto delle nuove accresciute minacce, sia procedendo alla stesura di documenti di policy nazionale
(è il caso dei documenti di strategia cyber della Cina, Giappone, Russia e Italia che in qualche modo abbiamo trattato...) sia stringendo rapporti di collaborazione o procedendo alle modifica organizzativa necessaria ad affrontare i nuovi trend.

Ma cosa sta facendo, nel mentre, la Germania?
E' dell'anno scorso la notizia che la Germania ha nominato il primo Generale responsabile del settore Cyber. Si tratta del Generale Ludwig Ruediger Leinhos, nominato Comandante del "Kommando Cyber und Informationsraum - KdoCIR" a partire dal 1 aprile 2017.
Il Comando Cyber dovrebbe raggiungere la Final Operational Capability (FOC) nel 2021, ma data la continua crescita della minaccia è verosimile che la Germania acceleri i suoi piani.
I dati ufficiali parlano di più di 300.000 attacchi cyber condotti contro la Germania nel solo anno 2017.
A favore del possibile cambio di passo per il raggiungimento della FOC gioca anche il recente attacco massivo dello scorso marzo 2018, quando le reti interne governative (IVBB) sono state oggetto di un massiccio attacco cyber attribuito variamente al gruppo hacker noto come Snake o al più noto filorusso Fancy Bear, ma ad oggi non vi sono certezze.

Dopo la notizia, alcune brevi considerazioni.

- Il cyber command tedesco non è un giocattolo. Nel solo anno 2017 sono stati investiti 2,6 miliardi di euro e il ministro della Difesa Ursula von der Leyen ha affermato che molti più fondi saranno necessari per attirare le menti più brillanti del settore. Questo fa capire come siano inutili quei semplici esercizi di pensiero cui siamo abituati che concludono normalmente con affermazioni del tipo: "senza oneri aggiuntivi per lo Stato". In Germania sembra che abbiano ben chiari i costi da sostenere per avere una organizzazione efficiente ed efficace, infatti la creazione della nuova organizzazione si basa su investimenti economici e di personale;
- il settore militare tedesco potrebbe richiedere finanziamenti per 41,5 miliardi di euro nel 2019, con un incremento del 12 percento rispetto all'anno in corso. Questo significa un investimento superiore all'1 % del PIL.
- il Ministero dell Difesa ogni anno necessita di circa 70 specialisti ogni anno per il settore e ha istituito un corso presso la Bundeswehr University di Monaco. Questo consentirà, unitamente ad altre forme di reclutamento, di raggiungere il numero di 15.000 cyber soldati previsto per il 2021. Occorrerà poi capire come mantenere "giovani" i cyber soldati e come assicurarsene la fedeltà.

Alessandro Rugolo








Per approfondire:
- https://www.irishtimes.com/news/world/europe/we-ll-fight-them-on-the-internet-germany-s-first-cyber-general-1.3039196;
- https://www.theatlantic.com/international/archive/2018/06/germany-cyberattacks/561914/;
- https://www.bmvg.de/de/aktuelles/staatssekretaer-zimmer-besucht-das-kommando-cyber--und-informationsraum--23684;
-https://tg24.sky.it/tecnologia/2017/04/05/la-germania-prepara-un-cyber-esercito-di-13-500-soldati.html;
- https://www.handelsblatt.com/politik/deutschland/bundeswehr-erhaelt-cyber-truppe-wir-suchen-haenderingend-nerds/13505076-2.html?ticket=ST-1666241-uYblUiSRzlFe2ZPtBmhB-ap4;



- https://www.theguardian.com/world/2018/mar/01/german-government-intranet-under-ongoing-attack.






sabato 16 giugno 2018

US e Thailandia: l’impiego del personale della riserva in ambiente Cyber.



Come si deve affrontare militarmente l’ormai costante pericolo derivante dalla quinta dimensione conosciuta col nome di cyberspace?
C’è chi si è posto il problema già da tempo e sta lavorando per risolverlo facendo ricorso ad un approccio misto, c’è chi invece non ha ancora capito che il problema non si può rimandare ma va affrontato, questo perché il tempo da dedicare a studiare il problema non c’è più!

Nel 2014 una notizia passata praticamente sotto silenzio, pubblicata sul “militarytimes” a firma di Andrew Tilghman, annunciava che negli Stati Uniti si era tenuta una esercitazione Cyber da cui era emerso che i “cyberwarriors” militari in servizio erano stati sconfitti dai “cyberwarrior” riservisti, questo perché nel settore molti civili sono impiegati a tempo pieno nel loro lavoro ormai da anni.

La questione fu subito portata all’attenzione degli strateghi per capire quale ruolo dovessero avere i riservisti all’interno della forza cyber del Pentagono.
La risposta è stata data nel 2015 con la pubblicazione del documento “The DoD Cyber Strategy dell’aprile 2015 in cui nell’ambito della definizione dello “Strategic Goal I” è detto chiaramente che: “The Reserve Component offers a unique capability for supporting each of DoD’s missions, including for engaging the defense industrial base and the commercial sector. It represents DoD’s critical surge capacity for cyber responders”.
Quanto accaduto negli Stati Uniti trova logica spiegazione nei forti legami da sempre esistenti tra l’ambiente industriale e quello militare che si può ritrovare in tantissimi programmi di ricerca e sviluppo portati avanti in primis dalla DARPA.
Il ricorso al mondo civile (di cui la riserva fa parte) per portare all’interno dell’ambiente militare uomini e capacità non facili da formare e da mantenere aggiornate è sicuramente importante in un ambiente come quello Cyber in cui l’evoluzione della minaccia richiede un continuo aggiornamento.
La lezione sembra quindi essere stata appresa dagli americani, ma che dire degli altri?
Un secondo esempio dell’impiego della riserva nell’ambiente cyber viene dalla Thailandia.
Il 18 maggio scorso sul Bangkok times è apparso un articolo firmato da Wassana Nanuam dal titolo “Military eyes taking on civilian cyber warriors” nel quale si afferma che il Ministero della Difesa sta lavorando ad un programma per l’arruolamento di civili riservisti all’interno dei team di cyber security.
Ci si potrebbe chiedere quali sono i vantaggi di reclutare esperti del settore dalla riserva:
- arruolamento di personale già preparato, senza dover aspettare anni e senza dover mettere in piedi la struttura organizzativa a supporto dell’addestramento;
- sempre personale nuovo disponibile (a patto che l’arruolamento sia fatto col criterio di mantenere i riservisti in servizio per un numero di anni limitato).
Tra le controindicazioni occorre mettere in conto che i riservisti più preparati vengono dall’ambiente industriale, che è lo stesso che fornisce le tecnologie alle Forze Armate, con le ovvie conseguenze, inoltre bisogna pensare che il personale più preparato non accetterà mai di lavorare al livello degli attuali stipendi quando fuori può guadagnare molto di più.
Naturalmente esistono molti altri pro e contro e ogni Stato si sta muovendo in direzioni diverse ma in ogni caso la discussione è aperta.
Qual’è la situazione in Italia nel settore? Si intende impiegare personale della riserva? Qual’è la preparazione del personale e delle strutture deputate al settore cyber?
Alcune risposte potrebbero arrivare dall’analisi dei risultati delle esercitazioni (come per esempio dalla Locked Shield) e dalla discussione aperta e franca che ne dovrebbe scaturire, ma sembra che vi siano ben poche informazioni disponibili al grande pubblico. Ci si potrebbe chiedere o forse, dovrebbe chiedere, il perché di una tale mancanza di discussione. Infatti ritengo che il modo migliore di migliorare si basi su una aperta e franca discussione sugli obiettivi da raggiungere e sui risultati intermedi conseguiti.


Alessandro RUGOLO

(immagine tratta da: https://www.militarytimes.com/news/your-military/2014/08/04/in-supersecret-cyberwar-game-civilian-sector-techies-pummel-active-duty-cyberwarriors/)

Per approfondire:
- https://www.militarytimes.com/news/your-military/2014/08/04/in-supersecret-cyberwar-game-civilian-sector-techies-pummel-active-duty-cyberwarriors/;
- https://www.bangkokpost.com/news/general/1467494;
- https://www.fifthdomain.com/dod/2018/04/25/defense-panels-want-the-pentagon-to-form-a-cyber-reserve-team-to-help-states/;
- https://www.reuters.com/article/us-usa-cyberwar/special-report-the-pentagons-new-cyber-warriors-idUSTRE69433120101005;

domenica 29 aprile 2018

Cyber e Giappone: annunciato l'ingresso nel club del CCDCOE

E' del gennaio scorso la notizia che il Giappone si sta preparando ad entrare nel club cyber di Tallin come Stato partner.
Ciò conferma, se ancora ce ne fosse bisogno, il livello di interesse per la materia nel mondo. 
La notizia è stata data dopo un incontro tra il Primo Ministro estone Jüri Ratas e il Primo Ministro giapponese Shinzō Abe. 
La notizia è stata accolta con soddisfazione dal direttore del CCDCOE, Merle Maigre. 
Ma diamo uno sguardo, data l'occasione, alle attività del Giappone in ambito Cyber.
Cominciamo dal fatto che nel 2015, il 4 settembre per la precisione, il governo del Giappone ha rilasciato pubblicamente il documento strategico relativo alla cybersecurity. Nelle generalità è ben evidenziato che il documento ha lo scopo di dettare le linee guida per i "prossimi" tre anni, ciò significa che probabilmente al termine dell'anno in corso o al massimo nei primi mesi del 2019 vedremo un nuovo documento strategico giapponese.
E' molto interessante leggere il paragrafo 3, visione futura e obiettivi, da cui emerge con chiarezza che la sicurezza del cyberspace è vitale per la società giapponese, nella quale progetti di infrastrutture sociali quali "smart communities" o sistemi autonomi per veicoli automatici sono ormai dati per scontati. Nello stesso capitolo sono infatti indirizzati a livello di policy e con estrema chiarezza gli obiettivi legati al IoT.
Il capitolo 5 descrive la modalità di approccio da seguire per lo sviluppo delle capacità cyber ed ancora una volta è posto ben in evidenza il concetto legato alle esigenze dettate dall'IoT, si parla infatti di "cyber-physical space" e non solo di cyber space, questo per meglio descrivere l'impatto che questo nuovo dominio esercita sul mondo fisico. Nel capitolo infatti si parla esattamente di "creazione di sistemi IoT sicuri", da tutti  i punti di vista, compresa la promozione delle imprese che pongono la gestione in sicurezza al centro. La precisione con cui il documento entra nel merito potrebbe quasi essere considerata "puntigliosità" (se non fosse che per me hanno perfettamente ragione!) quando viene analizzata la necessità che i concetti di cybersecurity e IoT security siano ben compresi soprattutto a livello di Senior Executive Management. Questo perchè le persone più esperte dell'area di business possono essere un facilitatore ma, se non restano aderenti ai tempi, possono diventare in breve tempo un freno all'evoluzione; il documento arriva ad indicare che la figura e le funzioni del Chief Information Security Officer (CISO) devono essere posizionate, sia nel pubblico che nel privato, a livello di senior executive management.
Di un certo interesse è anche notare che la strategia giapponese è a tutto tondo, sia in termini di rafforzamento della cooperazione nel campo cyber con il resto del mondo (dall'ASEAN, al Nord America passando per l'Europa e l'Africa) sia in termini di capacità da sviluppare (da quelle tecnicnologiche alla preparazione del personale); proprio in questo senso va visto il recente annuncio di collaborazione con il CCDCOE.
Infine, ma non meno importante, il documento esamina le necessità di migliorare il settore della Ricerca e Sviluppo del mondo cyber. A tal fine si dice che tutti gli sforzi dovranno essere fatti per assicurare le risorse necessarie al settore, anche riallocando quelle già allocate in altri settori. Da ciò si può capire la differenza tra chi crede e investe nel settore cyber e chi invece pensa che sia sufficiente dire cosa fare senza però dedicare le necessarie risorse.
Tra le tante iniziative portate avanti in Giappone vi sono i corsi del SANS Institute, che mirano a creare una classe dirigente consapevole, capace in un prossimo futuro di guidare il nuovo mondo interlacciato in cui l'IoT sarà la norma e le smart cities il nostro nuovo ambiente sociale.

Detto questo, una domanda: ma in Italia che si sta facendo?


Alessandro RUGOLO

Per approfondire:
- https://news.err.ee/653903/japan-to-join-nato-cyber-defense-center-in-tallinn;
- https://www.sans.org/event/cyber-defence-japan-2018;
- http://www.mofa.go.jp/policy/page18e_000015.html.

sabato 14 aprile 2018

Jeff Boleng si occuperà per il DoD dei software dell'F 35 Joint Strike Fighter

Jeff Boleng
13 aprile 2018: sul Washington Business Journal esce una notizia particolare, "The Pentagon has created a new post to guide how it buys software".

La notizia potrebbe sembrare banale ma a mio parere non lo è. Proviamo a capire perchè.

In primo luogo è opportuno dire che il nuovo assunto non viene proprio dal nulla. Si tratta infatti di Jeff Boleng, ex Ufficiale dell'Air Force, impiegato come Cyberspace Operation Officer per oltre vent'anni, ingegnere del software e insegnante di computer science presso la Air Force Academy. Dopo la carriera militare Jeff Boleng ha guidato il settore di Ricerca e Sviluppo della Carnegie Mellon University (ricordo che la Carnegie Mellon è stata la prima Università a creare un CERT nel lontano 1988, naturalmente finanziato dalla DARPA!).
Ora, il rientro "in servizio" di Jeff Boleng è significativo dell'importanza del settore dello sviluppo del software e delle acquisizioni militari ad esso legate.
Jeff Boleng in particolare ricoprirà la posizione di assistente particolare per le strategie di acquisizione dei software e il suo più pressante impegno sarà legato agli sviluppi dei software dell'F35 Joint Strike Fighter realizzato dalla Lockheed Martin Corporation.

Jeff Boleng è chiamato a guidare la nuova strategia di acquisizione e deployment dei software della Difesa Americana, una variante di "Agile" chiamata Continuous Capability Development and Delivery (C2D2, per gli amanti degli acronimi).

Questa mossa fa capire quanta attenzione venga posta dal DoD americano sul mondo del software militare, anche in considerazione degli enormi rischi legati alla dimensione Cyber.

Alessandro RUGOLO

Per approfondire:

https://www.bizjournals.com/washington/news/2018/04/13/the-pentagon-has-created-a-new-post-to-guide-how.html
https://www.theregister.co.uk/2018/01/30/f35_dote_report_software_snafus/

venerdì 13 aprile 2018

I micidiali cyber-artigli dell'orso russo. L’inarrestabile ascesa di Fancy Bear.

L’universo dei gruppi di hacker è estremamente vasto e variegato. Come detto nei precedenti articoli, mentre quelli “buoni”, i cosiddetti white hat o ethical hacker, costituiscono una vera e propria risorsa per la sicurezza informatica, peraltro mai sfruttata abbastanza, quelli “cattivi” imperversano nel cyberspazio causando danni che talvolta sono molto ingenti. Inoltre, questi ultimi spesso, cooperando tra loro, supportano le attività di organizzazioni criminali, movimenti politici o terroristici o, ancora, di strutture governative o private di intelligence, di sicurezza o di difesa. In particolare, esiste un gruppo di hacker che da ormai diversi anni è oggetto di approfondite ricerche e indagini da parte di molti paesi e di aziende di sicurezza, in quanto sarebbe in qualche modo collegato al governo russo e, nello specifico, ai suoi potenti servizi segreti militari (Glavnoje Razvedyvatel'noje Upravlenije - GRU). Tale cellula, a cui sono stati attribuiti i nomi in codice di Fancy Bear, APT28, Pawn Storm, Sofacy Group, Sednit e Strontium è considerata essere tra le più attive ed efficaci  a livello globale. Anche la sua storia, come quella di The Equation Group (v. articolo), si intreccia indissolubilmente con vicende politiche e militari di portata internazionale, ma non solo. Come si vedrà in seguito, nel “mirino” di Fancy Bear sarebbero finite anche molte personalità politiche invise al governo russo.

Veniamo alle caratteristiche che contraddistinguono il gruppo in questione. Come The Equation, Fancy Bear è specializzato in attività di intelligence condotte nel cyberspazio, attraverso sofisticate campagne di Advanced Persistent Threat (APT). Quindi anche gli hacker di questo gruppo sono molto abili nell’introdursi nelle reti altrui,  sfruttandone le vulnerabilità, e a svolgere attività di spionaggio a lungo termine senza farsi scoprire. Le “vittime preferite” di Fancy Bear sono aziende e organizzazioni che operano nel settore aerospaziale, energetico, della difesa, dell'informazione, enti governativi e dissidenti politici anti governo russo. La maggior parte degli obiettivi è concentrata nelle repubbliche ex-sovietiche, tuttavia la cellula opera anche a livello globale conducendo campagne dagli esiti talvolta clamorosi. Le analogie con il gruppo rivale americano The Equation sono molteplici, tra cui ne spiccano almeno altre tre in particolare. Prima. Fancy Bear opera a partire da almeno il 2004, quindi anche questa cellula ha maturato una grande esperienza nel condurre operazioni nel cyberspazio. Seconda. Le operazioni del gruppo poggiano su un’organizzazione che può essere sostenuta soltanto da una nazione in grado di dedicarvi ingenti risorse sia finanziarie sia di personale. Oltre agli operativi cyber veri e propri poi, le operazioni di Fancy Bear coinvolgono certamente un servizio di intelligence dotato di personale e strumenti adeguati ad analizzare l’enorme mole di dati che viene attinta dai numerosi target. Terza. La cellula russa non è immune da errori tanto che uno, in particolare, potrebbe costarle molto caro.

Prima di ripercorrere le gesta di Fancy Bear occorre fare la premessa di rito, tuttavia opportuna più che mai quando si tratta di un gruppo di hacker specializzato in campagne APT. Infatti, alla difficoltà di attribuzione degli attacchi, in questo caso,  si somma anche quella di non poterne stabilire con precisione la datazione. In generale se e quando si riesce a rilevare una campagna APT di questo gruppo, si riscontrano molte difficoltà nel risalire al momento preciso in cui essa è cominciata. Inoltre, in generale, questo tipo di attacchi si protrae per mesi o addirittura anni, pertanto diventa anche molto difficile quantificare i danni provocati, ovvero i dati acquisiti da Fancy Bear e il beneficio che hanno apportato a chi li ha potuti sfruttare. Infine, in almeno un caso questo gruppo avrebbe deliberatamente tentato di far attribuire un attacco a un'altra cellula cyber, cercando di rendere le indagini ancora più complesse.  Vediamo, quindi, una sintesi non esaustiva delle principali operazioni di Fancy Bear.

Nel 2008, nell'ambito della crisi tra Russia e Georgia, il gruppo avrebbe preceduto e accompagnato l'ingresso delle truppe russe in territorio straniero, lanciando una serie di attacchi a numerose reti e siti governativi georgiani. Ciò, oltre che a creare scompiglio tra la popolazione locale, sembra che abbia inciso in parte anche sull’operatività di alcune unità militari georgiane.
Più tardi, tra il 2014 e il 2017 Fancy Bear si è molto “interessato” a una serie di personalità ostili alla politica governativa russa. Tra questi Mikhail Khodorkovsky, capo di un gruppo industriale energetico (attualmente in esilio dopo aver scontato una decina di anni di prigione) che in passato aveva appoggiato il governo per poi osteggiarlo, Maria Alekhina, componente del gruppo musicale Pussy Riot’s ostile al Cremlino e Alexei Navalny, leader del partito anti-corruzione che ha “sfidato” Putin alle recenti elezioni presidenziali, nonché tutto il suo staff. Le attività di queste persone e di altri attivisti politici sarebbero state costantemente “monitorate” dalla cellula,  compromettendo e tenendo sotto controllo i loro dispositivi informatici e gli account di posta elettronica, dei social network e di altre applicazioni di comunicazione attraverso Internet.
Nel dicembre del 2014, invece, fu accertato che Fancy Bear era riuscito a introdursi nelle reti del Parlamento tedesco e che per sei mesi ne aveva esfiltrato una mole di dati mai quantificata.

Nell'aprile del 2015, invece, il gruppo si rese protagonista di un'azione di sabotaggio vera e propria, dai contorni non ancora chiariti del tutto. Spacciandosi quale fantomatica cellula di hacker del cyber-Califfato, rivendicó l'attacco che portò al blocco completo delle attività di una dozzina di canali satellitari del gruppo francese TV5 Monde, quale ritorsione verso l'impiego delle truppe d'oltralpe nella lotta a Daesh. Per più di tre ore i canali furono oscurati e dagli account Facebook e Twitter della TV furono inviati alcuni comunicati farneticanti, inneggianti alla lotta agli infedeli. L'attacco fu talmente ben studiato e preparato, e causò tali danni, che TV5 fu sul punto addirittura di chiudere i battenti.  Più tardi, indagini approfondite appurarono che per l'attacco fu impiegata un’infrastruttura di comando e controllo riconducibile,  senza ombra di dubbio, a Fancy Bear. Ma perché il gruppo avrebbe agito in tale modo? Forse ha utilizzato il falso movente del terrorismo per coprire una “prova generale” di un attacco distruttivo di più ampia portata o verso un obiettivo più pagante? Nessuno può ancora saperlo. Fatto sta che in tale frangente la cellula dimostrò tutte le sue capacità di penetrare in una rete e di renderne completamente inutilizzabili tutti i dispositivi (sembra che il gruppo durante tale attacco riuscì addirittura a prendere anche il controllo delle telecamere automatizzate negli studi TV).
Nel maggio dell'anno successivo, Fancy Bear prese di mira gli istituti di credito di diversi paesi e in agosto lanciò una campagna contro la NATO e la Casa Bianca, bersagliandone gli elementi con false e-mail. Tali comunicazioni contenevano un allegato che in realtà era un malware progettato per superare  le difese informatiche delle reti e aprire un canale di comunicazione con la centrale di comando e controllo del gruppo.
Nel 2016 l’Agenzia mondiale antidoping raccomandò la squalifica degli atleti russi alle olimpiadi, in esito alla scoperta di quella che fu definita una vasta campagna di “doping di stato”. Per tutta risposta, in agosto la rete dell’Agenzia fu oggetto di un'incursione di Fancy Bear, che diffuse in Internet una serie di informazioni relative ad atleti USA a cui erano state concesse, per motivi di salute,  talune eccezioni nell'uso di farmaci dopanti.
Lo stesso anno il gruppo provò a colpire sia il giornalista sia l’agenzia tedesca per la sicurezza del volo che stavano investigando sull’abbattimento del volo 17 della Malaysia Airlines sui cieli ucraini. Nello specifico, all'epoca entrambi erano riusciti a raccogliere importanti indizi di colpevolezza a carico del governo russo. Si tratta di una vicenda tuttora controversa ma, comunque, le indagini sull’incidente non furono mai compromesse da Fancy Bear.
Successivamente si è registrato quello che potrebbe essere considerato, a buon titolo, il miglior “colpo” del gruppo: l’attacco al cuore del sistema democratico della superpotenza rivale del governo ex sovietico, in occasione delle elezioni presidenziali USA del 2016. Di questa vicenda abbiamo già scritto,  mettendone in evidenza il potenziale effetto che avrebbe potuto giocare nell'ambito della corsa alla casa bianca (v. articolo) e adesso si è aggiunto un tassello che, se confermato, metterebbe in luce le responsabilità del GRU e, molto probabilmente, di Fancy Bear. Nell’estate del 2016, in piena campagna elettorale, dai server del Democratic National Congress (DNC) fu prelevata un'enorme quantità di dati, comprese migliaia di email collegate alla candidata Hillary Clinton e i dossier informativi sull’allora sfidante Donald Trump. Indipendentemente dai reali effetti sulla campagna elettorale (che comunque stanno lentamente emergendo) l’operazione cyber è stato un indiscusso successo strategico. Tuttavia taluni errori tattici commessi dagli hacker hanno permesso agli investigatori di attribuirne la paternità a Fancy Bear. Se ciò emerse quasi immediatamente (come anche il fatto che un altro gruppo russo - Cozy Bear, avrebbe condotto contemporaneamente un’operazione parallela ai danni del DNC) è  soltanto di poche settimane fa la scoperta della cosiddetta “pistola fumante”, ossia la prova del coinvolgimento diretto del GRU nella vicenda. Il Procuratore speciale che sta conducendo le indagini note come Russiagate, sulle presunte interferenze del Cremlino nelle elezioni USA e sul ruolo di Trump e del suo entourage, ha acquisito le evidenze raccolte da una società di sicurezza, recentemente pubblicate da un sito online, che dimostrerebbero il pieno coinvolgimento dell’intelligence russa nell’attacco al DNC. Nello specifico, tali indagini proverebbero che le informazioni prelevate dai server democratici sarebbero state passate da un agente del GRU a un consigliere di quello che poco dopo sarebbe diventato il Presidente USA. E se è vero che Fancy Bear è collegato al GRU, se ne deduce che tale cellula abbia ricoperto un ruolo di primo piano nella vicenda in questione.

Tuttavia il gruppo non si è posto target unicamente di natura politica, economica o finanziaria, tant'è che, essendo collegato alla branca militare  dell'intelligence russa, in almeno due circostanze avrebbe compiuto azioni nell'ambito di crisi che hanno visto l'impiego delle forze armate. Nello specifico, come detto in precedenza, è successo in Georgia nel 2008 e più recentemente durante il biennio 2014-2016 in Ucraina. Quest'ultimo caso è emblematico: appreso che l'esercito della ex repubblica sovietica utilizzava una App autoprodotta basata sul sistema operativo  Android, al fine di dirigere il tiro dei vecchi obici D-30 prodotti in piena guerra fredda, Fancy Bear ne avrebbe messo in circolazione una versione modificata ad hoc. 
La App non originale, oltre a svolgere apparentemente le stesse funzioni di quella vera, in realtà comunicava anche le posizioni dei pezzi di artiglieria alla centrale di comando e controllo in Russia. Risultato: circa il 20% dell'intero arsenale degli obici ucraini spazzato via con “inspiegabile” precisione.
Ancora più recentemente, lo scorso anno Fancy Bear sarebbe stato il colpevole della diffusione del ransomware NotPetya, di cui già abbiamo scritto in passato (v. articolo). Si tratta di uno dei peggiori attacchi di sempre, che dal suo primo obiettivo originale, un’altra volta l’Ucraina, si è rapidamente diffuso senza controllo a livello planetario, causando danni per diversi milioni di dollari (v. articolo).
Infine, a febbraio di quest'anno, con l’approssimarsi delle olimpiadi invernali, l’Agenzia Mondiale Anti Doping è stata oggetto di un nuovo attacco, simile a quello del 2016, da parte del gruppo russo. Anche in tale circostanza, il movente sarebbe stato la rappresaglia all'esclusione dalla competizione sportiva degli atleti russi.

In conclusione, Fancy Bear è certamente uno dei gruppi di hacker più attivi sia nel fronte interno sia in quello esterno alla propria nazione di riferimento. Peraltro, è anche una delle cellule più in vista nel panorama mondiale, a causa della risonanza delle proprie campagne cyber e dell’alta valenza degli obiettivi colpiti. Inoltre, se da un lato Fancy Bear non risulta particolarmente flessibile nelle tecniche, tattiche e procedure utilizzate per le proprie operazioni, dall'altro i primi report dell'anno prodotti dalle società di sicurezza, evidenziano che il gruppo sta notevolmente raffinando i suoi strumenti cyber, rendendoli ancor più sofisticati. Insomma, l'orso si sta affilando gli artigli e d'altronde, come dice il proverbio, “non scherzar con l'orso, se non vuoi esser morso”!  





Ciro Metaggiata

Principali fonti:
https://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/

http://www.chicagotribune.com/news/nationworld/ct-russian-hacking-20171102-story.html

https://researchcenter.paloaltonetworks.com/2018/02/unit42-sofacy-attacks-multiple-government-entities/

https://www.eset.com/int/about/newsroom/press-releases/research/fancy-bear-continues-to-spy-in-2017-eset-researchers-report/

https://www.welivesecurity.com/2016/11/11/sednit-a-very-digested-read/

https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html

http://www.lastampa.it/2018/03/23/esteri/guccifer-che-hacker-le-mail-della-clinton-un-agente-ufficiale-dei-servizi-militari-russi-TLNJlIhYtjMXV9SmWXQOQK/pagina.html

https://www.thedailybeast.com/exclusive-lone-dnc-hacker-guccifer-20-slipped-up-and-revealed-he-was-a-russian-intelligence-officer?ref=home

https://www.bleepingcomputer.com/news/security/uk-formally-accuses-russian-military-of-notpetya-ransomware-outbreak/

sabato 13 gennaio 2018

Chaos Computer Club vs italia!

Il 23 dicembre 2016 è entrato in vigore in Italia il cosiddetto FOIA, ovvero il
Freedom Of Information Act pubblicizzato come la legge che da a tutti i cittadini la possibilità di chiedere informazioni e documenti pubblici in modo gratuito, a similitudine di quanto si fa negli Stati Uniti già dal 1966.
Non voglio parlare della legge ma, semmai, dei suoi effetti e tra questi anche dei dei rischi ai quali si va incontro e che forse non sono stati tenuti pienamente in considerazione.
Per farlo mi avvarrò di materiale pubblicato su internet sul sito di un gruppo conosciuto col nome di Chaos Computer Club, una associazione di hacker (etici) tedesca nata il 12 settembre 1981 con sede in Berlino, che conta circa 5.500 membri registrati, costituiti in associazione senza scopo di lucro e dotati di un proprio codice etico.
Cosa centra, direte, una associazione tedesca di hacker con una legge italiana?
E' sufficiente dedicare una mezz'ora alla navigazione su internet per capirlo: Italy's surveillance toolbox, è il titolo del video pubblicato sul sito dell'associazione e mette in evidenza come si possa svolgere attività di intelligence utilizzando informazioni pubbliche, oggi ancor più facilmente di un tempo proprio grazie all'entrata in vigore della nuova legge.
Il video, registrato nel corso di un convegno del club del 30 dicembre scorso, mette in evidenza i risultati di uno studio condotto dal giornalista italiano Riccardo Coluccini. Lo scopo del progetto era quello di avvantaggiarsi dalla disponibilità di dati pubblici derivanti da attività di acquisto, dati richiesti dalle leggi sulla trasparenza e anticorruzione, per scoprire le capacità di sorveglianza possedute dal governo italiano.

dal video è facile capire come dall'impiego di dati pubblici e di informazioni ottenute grazie all'applicazione di leggi anticorruzione sia possibile analizzare informazioni quali:
- capacità nazionali del mondo della sorveglianza;
- società italiane che lavorano nel campo della sorveglianza;
- spese effettuate dal governo italiano o da sue componenti nel campo della sorveglianza;
- tecnologie impiegate nel settore;
- offerte economiche;
- rivenditori ufficiali di tecnologie straniere in Italia.
A titolo di esempio, nel corso del convegno sono stati analizzati nel dettaglio due progetti della società CY4GATE, il progetto WIFI CATCHER (sistema per la localizzazione di reti wifi) e il progetto NET-INT (piattaforma per la sorveglianza di telefonate, chat, instant messaging, social media e VoIP).
Come ho detto si tratta solo di un esempio, nel video vengono analizzate anche altre società italiane e progetti proposti. Informazioni ottenute, come già detto, grazie alle possibilità offerte dal ricorso al FOIA.
Tutte queste informazioni sono ora rese disponibili a tutti, infatti lo scopo del CCC è proprio quello di rendere libere e disponibili tutte le informazioni possibili.
Non voglio entrare nel merito della utilità del lavoro del CCC quanto piuttosto, mettendomi nei panni di uno Stato, dei rischi che possono nascere dal rendere libere le informazioni.
Tengo comunque a sottolineare il fatto che una Pubblica Amministrazione possa anche negare di rendere pubbliche delle informazioni qualora ritenga che queste vadano tutelate, cosa che è accaduta in più di una occasione e che lo stesso Coluccini ha ben evidenziato.
Il problema naturalmente non sta nelle informazioni in se stesse, ma nel come queste potrebbero essere utilizzate e da chi.
Cosa può accadere se invece che in mano ad hacker etici queste informazioni venissero utilizzate da hacker poco etici e molto interessati al profitto?
E ancora, chi ci dice che ciò non stia già accadendo?
Oggigiorno, la disponibilità di reti interconnesse rende il mondo sempre più piccolo, la tecnologia ci consente di raccogliere velocemente informazioni, analizzarle, elaborarle e utilizzarle (o venderle) come possibile.
Esistono strumenti che consentono di superare i confini di una rete informatica e di penetrare all'interno di società alla ricerca di segreti, progetti, brevetti o dati personali, finanziari ecc...
La domanda che mi pongo è la seguente: era proprio necessario fornire pubblicamente queste informazioni su società che lavorano per lo Stato in determinati settori?
Forse il FOIA andrebbe ripensato?

Alessandro Giovanni Paolo RUGOLO 


Per approfondire:
- http://www.funzionepubblica.gov.it/articolo/ministro/20-12-2016/freedom-information-act-0;
- https://media.ccc.de/v/34c3-9148-italy_s_surveillance_toolbox#t=1669.





sabato 16 dicembre 2017

Un attacco cyber può mettere a rischio la vita?

La risposta è si.

E' già cosi da tempo, anche se non se ne parla. 
Un attacco cyber è pericoloso quanto un attacco per mezzo di armi convenzionali e può mettere a rischio la vita di chi lo subisce o di chi vi si trovi coinvolto inconsapevolmente.
Chi non è abituato a considerare il cyberspace come una dimensione reale si potrebbe chiedere come sia possibile, ecco dunque di seguito alcuni esempi.

Partiamo dalla fine: è di questi giorni la notizia relativa al malware noto come Triton, conosciuto anche come Trisis. Triton è un malware che colpisce una specifica tipologia di sistemi chiamati Industrial Control Systems (per brevità userò d'ora in poi ICS). 
Gli ICS sono dei sistemi di controllo impiegati nei processi industriali per monitorare lo stato dei sistemi e prendere provvedimenti quando necessario, ovvero, generalmente quando qualche problema può trasformarsi in incidente più o meno importante. 
E' chiaro a tutti che se un sistema di controllo industriale si occupa di verificare che la quantità di zucchero utilizzata in un impasto per la produzione di industriale di ciambelle non superi una certa quantità prestabilita, qualora il sistema non funzionasse a dovere si correrebbe il rischio di mangiare ciambelle troppo dolci, ma cosa accadrebbe se nello stesso impianto di produzione il sistema di controllo industriale  sovrintendesse anche al controllo della temperatura dei forni con il compito di spegnere i forni qualora la temperatura superasse i 170 gradi, non funzionasse correttamente? 
Mi sembra chiaro che i rischi potrebbero essere diversi: da un minimo di bruciare un forno di ciambelle al pericolo di incendio, magari con la distruzione di un impianto a seguito di un incendio, con eventuali vittime umane!
Non è neppure necessario che il sistema di controllo industriale sovrintenda alla produzione di acido solforico o all'arricchimento dell'uranio per creare dei rischi per la vita umana.
Ma torniamo al nostro Triton o Trisis che dir si voglia. 
Questo malware è stato creato per attaccare un sistema di controllo industriale  creato dalla Schneider Electric: il Triconex Safety Instrumented System, un sistema che monitora le performance di sistemi critici e agisce secondo schemi prefissati qualora siano rilevati valori pericolosi o fuori norma.
Il malware identificato sembra sia in grado di interrompere un processo di un sistema di produzione industriale senza che vi sia un reale pericolo, creando chiaramente dei danni di tipo economico ai danni di chi viene colpito ma allo stesso modo l'attaccante può costringere il sistema a non fermarsi anche di fronte ad una condizione di malfunzionamento potenzialmente pericolosa.
Diverse società stanno studiando il malware, tra queste la Symantec, la FireEye e la Dragos.
Non è ancora noto da dove possa essere stato lanciato l'attacco e chi sia la società oggetto dell'attacco anche se notizie delle ultime ore parlano di un probabile attacco dell'Iran verso sistemi situati in industrie dell'Arabia Saudita
L'unica cosa certa al momento, come già detto sopra, è che sono stati colpiti impianti dotati di sistemi di controllo della Schneider Electric.
Attacchi simili ricordano molto da vicino l'attacco ai danni dell'Iran per mezzo dello Stuxnet.
Ricercatori di FireEye pensano che l'attacco tramite Triton sia parte della preparazione di un più ampio attacco a guida di una non meglio identificata organizzazione statuale. 

Un consiglio: i responsabili di sistemi industriali critici che impiegano sistemi di controllo della Schneider Electric effettuino dei controlli approfonditi sui sistemi operativi delle postazioni di controllo, soprattutto se vecchi sistemi operativi Microsoft, assicurandosi che tutte le patch di sicurezza necessarie siano installate dato che l'attacco pare sia stato effettuato ai di un computer dotato di un sistema operativo Microsoft. Inoltre nei prossimi giorni potrebbero essere rilasciate specifiche patch ed è più che mai opportuno che si faccia particolare attenzione a recepire con immediatezza eventuali indicazioni.


Alessandro Rugolo

Per approfondire:
- https://thehackernews.com/2017/12/triton-ics-scada-malware.html;
- https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html;
- https://www.schneider-electric.com/b2b/en/products/industrial-automation-control/triconex-safety-systems/;
- https://www.symantec.com/blogs/threat-intelligence/triton-malware-ics;
- http://www.securityweek.com/iran-used-triton-malware-target-saudi-arabia-researchers;
- https://dragos.com/.


sabato 16 settembre 2017

Un attacco Cyber alla base della collisione della Destroyer USS John S. McCain?

E' apparsa su vari giornali, fin dai primi giorni dopo l'incidente, la notizia delle indagini in corso sulla collisione avvenuta il 21 agosto nelle acque del Pacifico, ad est dello stretto di Malacca, tra la USS John S. McCain (classe DDG-56) ed una nave cisterna civile battente bandiera liberiana. Indagini particolari condotte dal "Navy cyber team", inviato per la prima volta sul campo per esplorare se in questa collisione, la quarta che coinvolge navi militari nell'anno, vi siano evidenze di un attacco cyber.
Il compito assegnato al Navy cyber team, oltre alla raccolta di dati e alle analisi di eventuali evidenze di attacco cyber, comprende quello ben più importante di capire come rendere di prassi l'analisi cyber in caso di incidenti di una certa rilevanza.
Le indagini sono state probabilmente sollecitate dalla notizia di un inspiegabile malfunzionamento del timone della nave militare.
Il Vice Adm. Jan Tighe (Deputy chief of naval operations for Information Warfare and the 66th director of Naval Intelligence) ha affermato che: “We will look for a couple of things. One, try to confirm cyber did not have anything to do with the collision and then how do we move forward in making sure these are a normal part of these investigations [..] It is something that we think about a lot and we have to have both the authorities and the human capital ready to respond.”
L'operazione, la prima della sua specie, è stata chiamata "Operation Orion Hammer".
Fino ad ora, nonostante la notizia delle indagini su un possibile attacco cyber, sembra non vi siano evidenze di alcun genere che portino a confermare i sospetti.
Una cosa è certa, a causa dell'incidente, il quarto nella zona, il Vice Adm. Joseph P. Aucoin, capo della Settima Flotta, a fine agosto è stato rimosso dall'incarico! 


Per approfondire:

- https://www.defensetech.org/2017/09/14/mccain-collision-investigation-test-case-navy-cyber-experts/
- http://freebeacon.com/national-security/navy-deploys-cyber-security-team-investigate-uss-john-mccain-collision/
- https://news.usni.org/2017/09/14/cyber-probes-part-future-navy-mishap-investigations-uss-john-s-mccain-collision
- http://breakingdefense.com/2017/09/mccain-collision-is-dry-run-for-navy-cyber-investigators/
- https://thenextweb.com/insider/2017/08/22/the-us-navy-is-investigating-possibility-of-cyber-attack-in-latest-collision/#.tnw_htv1eSgi
- https://news.usni.org/2017/08/25/navy-orion-hammer-investigation-uss-john-mccain-collision-turned-no-evidence-cyber-attack
- https://www.realcleardefense.com/2017/08/27/navy_039orion_hammer039_investigation_into_uss_john_mccain_296235.html
http://www.occhidellaguerra.it/gli-hacker-dietro-gli-incidenti-alla-flotta-usa-nel-pacifico/
- https://www.nytimes.com/2017/08/22/world/asia/us-navy-ship-collision-uss-mccain-search-sailors.html
- https://www.wsj.com/articles/u-s-navy-to-relieve-admiral-of-command-after-collisions-1503448987
- https://www.nbcnews.com/news/world/7th-fleet-commander-be-relieved-after-deadly-ship-collisions-n795091
Alessandro RUGOLO

martedì 2 maggio 2017

Locked Shield 2017: la più importante esercitazione Cyber del mondo

Foto Ministero della Difesa

Nei giorni tra il 24 e il 28 aprile si è tenuta presso il NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), in Tallin, l’esercitazione Locked Shields, la più grande e avanzata esercitazione di cyber defence al mondo.
L’esercitazione ha avuto lo scopo di esercitare gli esperti di sicurezza informatica nel proteggere i sistemi IT nazionali.
Ai team partecipanti è stato assegnato il compito di proteggere e mantenere efficienti i sistemi e i servizi di una ipotetica nazione (questi team di persone provenienti da tutto il mondo sono chiamati Blue Team). Nel corso dell’esercitazione i team sono stati sottoposti ad una serie di prove, dalla gestione di incidenti informatici a più ampie considerazioni di carattere legale, giuridico o strategico. Tutto è stato predisposto affinché l’esercitazione fosse il più realistico possibile, a tal scopo è stato fatto largo uso di tecniche di difesa e di attacco di nuova concezione e impiegate tutte le tecnologie emergenti disponibili.
Nello specifico, l’esercitazione Locked Shield 2017 consisteva nel mantenere l’operatività di reti e servizi di una base militare aerea di una nazione fittizia soggetta a complessi attacchi al sistema elettrico, agli UAV (unmanned aerial vehicles), ai sistemi di Comando e Controllo, alle infrastrutture informatiche critiche e così via.
Credo sia chiaro che la dimensione di questa esercitazione e la tipologia di problemi cui sono sottoposti i Blue Team pone sfide che spaziano all’interno dell’intero Cyber Space, quale che sia la definizione adottata.1
Più di 2500 possibili differenti tipologie di attacco possono essere eseguiti per testare le capacità dei Blue Team. Per questa esercitazione a partiti contrapposti infatti esistono anche i Red Team che hanno il compito opposto ai Blue Team, ovvero attaccare e distruggere (o rubare i dati, modificarli, renderli inservibili e distruggere così le capacità di Comando e Controllo avversarie), la rete e i servizi.
Oltre agli aspetti tattici dell’operazione, che mirano ad ottenere dei vantaggi pratici sul campo, una operazione di Cyber Defence (o di Cyber Attack!) può avere degli aspetti strategici per esempio agendo sul morale di una intera Nazione o mettendo alla berlina una industria mondiale del software. L’esercitazione Locked Shield quest’anno , per la prima volta, ha tenuto conto anche degli aspetti strategici di operazioni condotte nel Cyber Space.
L’esercitazione non è aperta a tutti ma la partecipazione avviene su invito. Alla attuale edizione hanno partecipato Team di 25 nazioni per un totale di 800 partecipanti. La sede stanziale dell’esercitazione è Tallin, in Estonia, ma i Blue Team hanno partecipato all’esercitazione dal proprio Paese, attraverso accessi sicuri alla rete.
L’esercitazione si è svolta in due tempi. In un primo tempo, il 18 e 19 aprile, è stata data a tutti la possibilità di esplorare la rete di esercitazione. Nel corso di tale fase i Team Blue hanno potuto costruire le mappe occorrenti per la difesa.
La seconda fase, quella attiva, ha visto impegnati i contendenti, tra questi il Blue Team italiano.
Dopo questa piccola introduzione che mira a dare a tutti un minimo di conoscenze sull’attività, ora vediamo più in dettaglio cosa è successo, attraverso la voce di alcuni partecipanti al Blue Team italiano appartenenti al gruppo di ricerca del Prof. Luigi V. Mancini del Dipartimento di Informatica della Università la Sapienza di Roma.
Professor Mancini,
come era composto il Team nazionale? Avete giocato tutti come Blue Team, è corretto?
Si. Il Team era composto da componenti della Difesa, Università ed Industrie, abbiamo lavorato tutti come Blue Team ma con compiti specifici, come ad esempio Legale, Forense, Rapid Response, Pubblica Informazione, Ticketing etc etc.
Avete avuto a disposizione i documenti dell’esercitazione? Che tipo di documentazione vi è stata resa disponibile? Avevate, o avete ricostruito, gli schemi di rete?
Naturalmente abbiamo avuto accesso alla piattaforma condivisa utilizzata per l’esercitazione in cui avevamo una descrizione sommaria dei sistemi. Abbiamo avuto l’accesso effettivo solo con la familiarizzazione del 18-19 Aprile, a quel punto avevamo accesso ai sistemi per toccare con mano alcune configurazioni.
Avevamo lo schema di rete, non dettagliato al massimo ma con i soli sistemi che dovevano essere a noi noti. Lo schema completo, con eventuali Rouge AP o macchine non segnalate, non era noto.
Quali erano gli obiettivi del Blue Team?
Il nostro obiettivo, come Blue Team, consisteva nel monitorare la rete ed effettuare una gestione degli eventuali incidenti, sotto l’aspetto tecnico, legale e comunicativo.
Chi giocava la parte del Red Team?
Il Red Team è composto da membri delle nazioni stesse collocati a Tallinn, in aggiunta a membri del CCDCOE e aziende. Rappresenta un gruppo tecnico che conosce in anticipo l'intera infrastruttura, e le relative vulnerabilità, ed in modo sistematico attacca i vari team in modo da valutare la capacità di risposta e monitoraggio.
Professor Mancini, secondo la sua esperienza, quanto può essere considerata realistica una siffatta esercitazione? Nel mondo reale il Cyberspace viene sottoposto a modifiche continue nei suoi componenti e gli eventuali attaccanti hanno dalla loro il tempo (APT è considerato il rischio maggiore), in questa esercitazione invece non vi è il tempo per studiare le abitudini degli utenti e per esplorare modalità di attacco. Questo limita fortemente le possibilità di attacco a un sottoinsieme del reale. Cosa ne pensa? Come dovrebbe essere organizzata e realizzata una esercitazione affinché sia il più possibile realistica?
L'esercitazione così composta è sicuramente un modo di addestrarsi a scenari reali, si inizia con il presupposto che i sistemi siano compromessi, quindi sicuramente una mentalità che dovrebbe essere utilizzata più spesso. La gestione di una infrastruttura complessa come quella della Locked Shield è sicuramente uno stimolo per i tecnici, e deve essere utilizzata dal sistema per sperimentare soluzioni innovative o  testare nuovi prodotti, siano essi Proprietari o Open Source. Uno degli aspetti più challenging dell'esercitazione è dato sicuramente dalle limitazioni in tempo e risorse, ad esempio il Blue Team non può monitorare tutto al meglio ma deve effettuare delle scelte ed il conseguente triage degli eventi in modo da capire cosa trattare con maggiore dettaglio o meno, il tutto garantendo l'esperienza utente, che deve continuare a lavorare senza alcun tipo di problema. Ci siamo trovati ad affrontare azioni utente che portavano rischi a livello di sicurezza, e quindi avevamo la necessità di mitigare queste azioni senza intaccare l'operatività dell'utente.
Professore,
la ringraziamo per queste sue prime risposte, sperando di poter approfondire ancora con Lei alcuni aspetti di questa esercitazione e, più in generale, di questo “cyberspace” che giorno dopo giorno stiamo cominciando a conoscere.

Alessandro RUGOLO, Ciro Metaggiata.

Note:
1Non esiste una definizione condivisa di Cyber Space. Potremmo adottare quella italiana prevista nel recente DPCM del 17 febbraio 2017 pubblicato in GU del 13 aprile 2017. L’Art. 2.h definisce lo spazio cibernetico come: “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi”. Altre definizioni ufficiali possono essere reperite al link: https://ccdcoe.org/cyber-definitions.html.
Fonti:


http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-esercitazione-internazionale-tecnica-Cyber-Defence.aspx