Locked Shield 2018 ai blocchi di partenza!

Anche quest'anno a Tallin (ma in effetti in tutta Europa) si terrà, come di consueto, l'esercitazione Cyber più grande al mondo: Locked Shield.

Usando le informazioni delle precedenti esercitazioni e facendo un minimo di OSINT vediamo di capire su cosa potrebbe essere incentrata.

Cosa sappiamo?

- sappiamo che l'anno scorso l'esercitazione si è tenuta tra il 24 e il 28 aprile;

- sappiamo che tra il 15 e il 17 maggio prossimi si terrà il workshop dal titolo: "Locked Shields Forensics Challenge", in cui saranno discussi  i risultati della esercitazione e presentate le possibili soluzioni per gli aspetti forensi.

- sappiamo che l'anno scorso le date sono state più o meno simili.

Tanto per cominciare, nonostante non si abbiano ancora notizie ufficiali, mi aspetto che l'esercitazione si svolga nelle stesse date, probabilmente tra il 23 e il 27 aprile o al massimo nella settimana successiva.

Per capire su cosa sarà incentrata mi rifaccio agli argomenti che saranno trattati nella "Forensics Challenge", quelli già disponibili anche se molto generici e nelle sfide principali che il mondo Cyber ha dovuto affrontare nell'ultimo anno.

Vediamo se emerge qualcosa di utile dall'analisi.

Tra il 15 e il 17 maggio nel corso della "Locked Shields Forensics Challenge" saranno trattati i seguenti aspetti:

• Malicious traffic analysis
• Ntfs file system analysis
• File analysis
• Various OS artefacts analysis
• User behaviour analysis
• Malware identification. 

Mentre nel corso dell'anno abbiamo dovuto affrontare le seguenti principali problematiche:

- NotPetya e WannaCry;

- Spectre e Meltdown;

Tra le minacce emergenti invece troviamo:

- possibili varianti di WannaCry, Spectre e Meltdown;

- attacchi di tipo "Ghostly Cryptomining";

- cloud hacking;

- social engineering tactics;

- new denial of service attack tactics;

- sandbox vulnerability;

- Process Doppelganging. 

Tra le nuove tecnologie abbiamo invece:

- quantum computer e quantum cryptography;

- identità digitale su blockchain;

- IoT.

Dello scenario esercitativo non ho trovato niente su internet ma è probabile che il sistema da difendere sia un sistema delle dimensioni di una nazione che fa uso di tecnologie conosciute, basate su cloud e magari con identita digitali e una criptomoneta su blockchain. Non ci sarebbe da stupirsi se in rete si trovassero anche dispositivi generici (IoT) che notoriamente non sono studiati per essere sicuri. 

Ora, mettendo a sistema quanto sopra riportato posso effettuare delle supposizioni su come potrebbe svolgersi l'esercitazione e su alcuni tipi di attacchi che i Blue team potrebbero essere chiamati a fronteggiare.

In primo luogo, vedendo che nella sessione "Forensics Challenge" di maggio si trova la voce "user behviour analysis" mi vien da pensare che l'attacco partirà da utenti interni, magari contagiati attraverso allegati di posta elettronica contenenti codice malevolo. I blue team dovranno dunque concentrarsi  sull'analisi comportamentale di utenti e dispositivi (IoT). 

Probabilmente il malware potrebbe sfruttare la tecnica di injection chiamata Process Doppelganging, emersa a fine 2017, questo giustificherebbe anche l'indicazione di effettuare analisi su File Sistem NTFS.

L'obiettivo finale dell'attaccante potrebbe essere quello di impadronirsi delle risorse computazionali distribuite per fare soldi attraverso attività di ghostly Mining.

Naturalmente tutto ciò non sono altro che speculazioni basate sulle pochissime informazioni disponibili. Una cosa è certa, a breve ci sarà l'esercitazione e allora, ancora una volta, Blue Teams e Red Teams si affronteranno sul campo Cyber.

In bocca al lupo e, dato che è un gioco, vinca il migliore.

Alessandro RUGOLO
 Per approfondire:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html;
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-cyber-defence-exercises.html;
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-threats-of-2018/;
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attacks-2017/
- https://niccs.us-cert.gov/training/search/champlain-college-online/operating-system-forensics;
- https://thehackernews.com/2017/12/malware-process-doppelganging.html


  

Locked Shield 2017: la più importante esercitazione Cyber del mondo

Foto Ministero della Difesa

Nei giorni tra il 24 e il 28 aprile si è tenuta presso il NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), in Tallin, l’esercitazione Locked Shields, la più grande e avanzata esercitazione di cyber defence al mondo.

L’esercitazione ha avuto lo scopo di esercitare gli esperti di sicurezza informatica nel proteggere i sistemi IT nazionali.

Ai team partecipanti è stato assegnato il compito di proteggere e mantenere efficienti i sistemi e i servizi di una ipotetica nazione (questi team di persone provenienti da tutto il mondo sono chiamati Blue Team). Nel corso dell’esercitazione i team sono stati sottoposti ad una serie di prove, dalla gestione di incidenti informatici a più ampie considerazioni di carattere legale, giuridico o strategico. Tutto è stato predisposto affinché l’esercitazione fosse il più realistico possibile, a tal scopo è stato fatto largo uso di tecniche di difesa e di attacco di nuova concezione e impiegate tutte le tecnologie emergenti disponibili.

Nello specifico, l’esercitazione Locked Shield 2017 consisteva nel mantenere l’operatività di reti e servizi di una base militare aerea di una nazione fittizia soggetta a complessi attacchi al sistema elettrico, agli UAV (unmanned aerial vehicles), ai sistemi di Comando e Controllo, alle infrastrutture informatiche critiche e così via.

Credo sia chiaro che la dimensione di questa esercitazione e la tipologia di problemi cui sono sottoposti i Blue Team pone sfide che spaziano all’interno dell’intero Cyber Space, quale che sia la definizione adottata.¹

Più di 2500 possibili differenti tipologie di attacco possono essere eseguiti per testare le capacità dei Blue Team. Per questa esercitazione a partiti contrapposti infatti esistono anche i Red Team che hanno il compito opposto ai Blue Team, ovvero attaccare e distruggere (o rubare i dati, modificarli, renderli inservibili e distruggere così le capacità di Comando e Controllo avversarie), la rete e i servizi.

Oltre agli aspetti tattici dell’operazione, che mirano ad ottenere dei vantaggi pratici sul campo, una operazione di Cyber Defence (o di Cyber Attack!) può avere degli aspetti strategici per esempio agendo sul morale di una intera Nazione o mettendo alla berlina una industria mondiale del software. L’esercitazione Locked Shield quest’anno , per la prima volta, ha tenuto conto anche degli aspetti strategici di operazioni condotte nel Cyber Space.

L’esercitazione non è aperta a tutti ma la partecipazione avviene su invito. Alla attuale edizione hanno partecipato Team di 25 nazioni per un totale di 800 partecipanti. La sede stanziale dell’esercitazione è Tallin, in Estonia, ma i Blue Team hanno partecipato all’esercitazione dal proprio Paese, attraverso accessi sicuri alla rete.

L’esercitazione si è svolta in due tempi. In un primo tempo, il 18 e 19 aprile, è stata data a tutti la possibilità di esplorare la rete di esercitazione. Nel corso di tale fase i Team Blue hanno potuto costruire le mappe occorrenti per la difesa.

La seconda fase, quella attiva, ha visto impegnati i contendenti, tra questi il Blue Team italiano.

Dopo questa piccola introduzione che mira a dare a tutti un minimo di conoscenze sull’attività, ora vediamo più in dettaglio cosa è successo, attraverso la voce di alcuni partecipanti al Blue Team italiano appartenenti al gruppo di ricerca del Prof. Luigi V. Mancini del Dipartimento di Informatica della Università la Sapienza di Roma.

Professor Mancini,

come era composto il Team nazionale? Avete giocato tutti come Blue Team, è corretto?

Si. Il Team era composto da componenti della Difesa, Università ed Industrie, abbiamo lavorato tutti come Blue Team ma con compiti specifici, come ad esempio Legale, Forense, Rapid Response, Pubblica Informazione, Ticketing etc etc.

Avete avuto a disposizione i documenti dell’esercitazione? Che tipo di documentazione vi è stata resa disponibile? Avevate, o avete ricostruito, gli schemi di rete?

Naturalmente abbiamo avuto accesso alla piattaforma condivisa utilizzata per l’esercitazione in cui avevamo una descrizione sommaria dei sistemi. Abbiamo avuto l’accesso effettivo solo con la familiarizzazione del 18-19 Aprile, a quel punto avevamo accesso ai sistemi per toccare con mano alcune configurazioni.

Avevamo lo schema di rete, non dettagliato al massimo ma con i soli sistemi che dovevano essere a noi noti. Lo schema completo, con eventuali Rouge AP o macchine non segnalate, non era noto.

Quali erano gli obiettivi del Blue Team?

Il nostro obiettivo, come Blue Team, consisteva nel monitorare la rete ed effettuare una gestione degli eventuali incidenti, sotto l’aspetto tecnico, legale e comunicativo.

Chi giocava la parte del Red Team?

Il Red Team è composto da membri delle nazioni stesse collocati a Tallinn, in aggiunta a membri del CCDCOE e aziende. Rappresenta un gruppo tecnico che conosce in anticipo l'intera infrastruttura, e le relative vulnerabilità, ed in modo sistematico attacca i vari team in modo da valutare la capacità di risposta e monitoraggio.

Professor Mancini, secondo la sua esperienza, quanto può essere considerata realistica una siffatta esercitazione? Nel mondo reale il Cyberspace viene sottoposto a modifiche continue nei suoi componenti e gli eventuali attaccanti hanno dalla loro il tempo (APT è considerato il rischio maggiore), in questa esercitazione invece non vi è il tempo per studiare le abitudini degli utenti e per esplorare modalità di attacco. Questo limita fortemente le possibilità di attacco a un sottoinsieme del reale. Cosa ne pensa? Come dovrebbe essere organizzata e realizzata una esercitazione affinché sia il più possibile realistica?

L'esercitazione così composta è sicuramente un modo di addestrarsi a scenari reali, si inizia con il presupposto che i sistemi siano compromessi, quindi sicuramente una mentalità che dovrebbe essere utilizzata più spesso. La gestione di una infrastruttura complessa come quella della Locked Shield è sicuramente uno stimolo per i tecnici, e deve essere utilizzata dal sistema per sperimentare soluzioni innovative o  testare nuovi prodotti, siano essi Proprietari o Open Source. Uno degli aspetti più challenging dell'esercitazione è dato sicuramente dalle limitazioni in tempo e risorse, ad esempio il Blue Team non può monitorare tutto al meglio ma deve effettuare delle scelte ed il conseguente triage degli eventi in modo da capire cosa trattare con maggiore dettaglio o meno, il tutto garantendo l'esperienza utente, che deve continuare a lavorare senza alcun tipo di problema. Ci siamo trovati ad affrontare azioni utente che portavano rischi a livello di sicurezza, e quindi avevamo la necessità di mitigare queste azioni senza intaccare l'operatività dell'utente.

Professore,

la ringraziamo per queste sue prime risposte, sperando di poter approfondire ancora con Lei alcuni aspetti di questa esercitazione e, più in generale, di questo “cyberspace” che giorno dopo giorno stiamo cominciando a conoscere.

Alessandro RUGOLO, Ciro Metaggiata.

Note:

1Non esiste una definizione condivisa di Cyber Space. Potremmo adottare quella italiana prevista nel recente DPCM del 17 febbraio 2017 pubblicato in GU del 13 aprile 2017. L’Art. 2.h definisce lo spazio cibernetico come: “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi”. Altre definizioni ufficiali possono essere reperite al link: https://ccdcoe.org/cyber-definitions.html.

Fonti:

https://ccdcoe.org/locked-shields-2017.html;

https://ccdcoe.org/cyber-definitions.html

http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-esercitazione-internazionale-tecnica-Cyber-Defence.aspx