Locked Shield 2018 ai blocchi di partenza!

Anche quest'anno a Tallin (ma in effetti in tutta Europa) si terrà, come di consueto, l'esercitazione Cyber più grande al mondo: Locked Shield.

Usando le informazioni delle precedenti esercitazioni e facendo un minimo di OSINT vediamo di capire su cosa potrebbe essere incentrata.

Cosa sappiamo?

- sappiamo che l'anno scorso l'esercitazione si è tenuta tra il 24 e il 28 aprile;

- sappiamo che tra il 15 e il 17 maggio prossimi si terrà il workshop dal titolo: "Locked Shields Forensics Challenge", in cui saranno discussi  i risultati della esercitazione e presentate le possibili soluzioni per gli aspetti forensi.

- sappiamo che l'anno scorso le date sono state più o meno simili.

Tanto per cominciare, nonostante non si abbiano ancora notizie ufficiali, mi aspetto che l'esercitazione si svolga nelle stesse date, probabilmente tra il 23 e il 27 aprile o al massimo nella settimana successiva.

Per capire su cosa sarà incentrata mi rifaccio agli argomenti che saranno trattati nella "Forensics Challenge", quelli già disponibili anche se molto generici e nelle sfide principali che il mondo Cyber ha dovuto affrontare nell'ultimo anno.

Vediamo se emerge qualcosa di utile dall'analisi.

Tra il 15 e il 17 maggio nel corso della "Locked Shields Forensics Challenge" saranno trattati i seguenti aspetti:

• Malicious traffic analysis
• Ntfs file system analysis
• File analysis
• Various OS artefacts analysis
• User behaviour analysis
• Malware identification. 

Mentre nel corso dell'anno abbiamo dovuto affrontare le seguenti principali problematiche:

- NotPetya e WannaCry;

- Spectre e Meltdown;

Tra le minacce emergenti invece troviamo:

- possibili varianti di WannaCry, Spectre e Meltdown;

- attacchi di tipo "Ghostly Cryptomining";

- cloud hacking;

- social engineering tactics;

- new denial of service attack tactics;

- sandbox vulnerability;

- Process Doppelganging. 

Tra le nuove tecnologie abbiamo invece:

- quantum computer e quantum cryptography;

- identità digitale su blockchain;

- IoT.

Dello scenario esercitativo non ho trovato niente su internet ma è probabile che il sistema da difendere sia un sistema delle dimensioni di una nazione che fa uso di tecnologie conosciute, basate su cloud e magari con identita digitali e una criptomoneta su blockchain. Non ci sarebbe da stupirsi se in rete si trovassero anche dispositivi generici (IoT) che notoriamente non sono studiati per essere sicuri. 

Ora, mettendo a sistema quanto sopra riportato posso effettuare delle supposizioni su come potrebbe svolgersi l'esercitazione e su alcuni tipi di attacchi che i Blue team potrebbero essere chiamati a fronteggiare.

In primo luogo, vedendo che nella sessione "Forensics Challenge" di maggio si trova la voce "user behviour analysis" mi vien da pensare che l'attacco partirà da utenti interni, magari contagiati attraverso allegati di posta elettronica contenenti codice malevolo. I blue team dovranno dunque concentrarsi  sull'analisi comportamentale di utenti e dispositivi (IoT). 

Probabilmente il malware potrebbe sfruttare la tecnica di injection chiamata Process Doppelganging, emersa a fine 2017, questo giustificherebbe anche l'indicazione di effettuare analisi su File Sistem NTFS.

L'obiettivo finale dell'attaccante potrebbe essere quello di impadronirsi delle risorse computazionali distribuite per fare soldi attraverso attività di ghostly Mining.

Naturalmente tutto ciò non sono altro che speculazioni basate sulle pochissime informazioni disponibili. Una cosa è certa, a breve ci sarà l'esercitazione e allora, ancora una volta, Blue Teams e Red Teams si affronteranno sul campo Cyber.

In bocca al lupo e, dato che è un gioco, vinca il migliore.

Alessandro RUGOLO
 Per approfondire:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html;
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-cyber-defence-exercises.html;
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-threats-of-2018/;
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attacks-2017/
- https://niccs.us-cert.gov/training/search/champlain-college-online/operating-system-forensics;
- https://thehackernews.com/2017/12/malware-process-doppelganging.html


  

Futuro?

Deutsch Version

La crisi era arrivata, come prevedibile, ma le sue conseguenze non erano state previste...
Da anni le cose non andavano bene, la situazione politica del paese era drammatica.

La disaffezione alla politica aveva allontanato dal settore il meglio della società, che aveva completamente abdicato a favore di una classe di politici mediocri, eredi dei moti del '68. Anche la classe dirigente del settore pubblico era ancora quella proveniente dalle università del 18 politico!

Sarebbe bastato qualche anno e un po di serietà da parte di tutti per risollevarsi ma nessuno credeva più nel futuro, si viveva alla giornata aspettando, o forse temendo, il momento in cui sarebbero cambiate le cose... poi avvivò la crisi del petrolio, i prezzi del barile cominciarono a salire senza freni.

In neanche un anno il prezzo del barile passò da 70 a 150 dollari a causa di speculazioni e di palesi errori di valutazione di chi allora era convinto di guidare il mondo. Il raddoppio del prezzo del petrolio influenzò tutto il mercato mondiale nei diversi settori, provocando fenomeni inflattivi completamente fuori controllo. In Europa l'instabilità raggiunse il massimo quando alcuni paesi furono costretti a lasciare l'Unione a causa del fallimento del sistema politico aggravato dal crollo delle borse e da gravi fenomeni legati alla rinata potenza delle cosche mafiose che si sostituirono in toto all'ormai fallito sistema politico.

Recrudescenze nazifasciste spesso alimentate dalla mancanza di una politica seria di controllo dell'immigrazione dai paesi dell'est, provocarono reazioni al limite dell'irrazionalità da parte degli storici alleati d'oltreoceano. Titoli quali "Liberiamo l'Europa dai nuovi nazisti" facevano tutti i giorni bella mostra sulle prime pagine dei principali quotidiani statunitensi. La Gran Bretagna fece la prima mossa lasciando la NATO per chiudersi in un isolazionismo quasi incomprensibile vista la situazione, provocando forti proteste franco tedesche che videro in ciò quasi una dichiarazione di guerra. Pochi giorni dopo il Congresso americano annunciò lo stanziamento straordinario di 500 miliardi di dollari per il completamento del programma di difesa dai missili balistici. Fu la goccia che fece traboccare il vaso.

La NATO, già in crisi, si sciolse come neve al sole e due giorni dopo i primi ordigni nucleari colpirono alcune delle più importanti città europee e statunitensi.

Parigi, Bonn, Roma, Washington, Bruxelles furono cancellate dalle carte geografiche... per sempre...
L'Occidente si cancellò da solo dalla faccia della terra... grazie a Dio!

Alessandro Giovanni Paolo RUGOLO
(Roma, 04 luglio 2008)