Traduttore automatico - Read this site in another language

Visualizzazione post con etichetta Tallin. Mostra tutti i post
Visualizzazione post con etichetta Tallin. Mostra tutti i post

domenica 1 luglio 2018

Dopo il Giappone anche la Romania annuncia l’ingresso nel Cyber Defence Centre of Excellence di Tallinn (CCDCOE).

(3 minuti di lettura - strategia)

La notizia è stata pubblicata il 15 giugno scorso sul sito del CCDCOE. L’annuncio ufficiale è stato dato nel corso di una visita del Primo Ministro della Romania, la signora Viorica Dăncilă, in Estonia. Nel corso dell’incontro si è detto che la Romania prenderà parte alle attività del CCDCOE già dal prossimo anno. Il Direttore del CCDCOE, la signora Merle Maigre, ha ringraziato il Primo Ministro per l’intenzione espressa. Il CCDCOE attualmente è una struttura accreditata presso la NATO che si occupa di ricerca, addestramento e esercitazioni nel settore della cyber defence. Il CCDCOE prende in esame non solo gli aspetti legati alla tecnologia ma anche tutto ciò che riguarda aspetti strategici e operativi nonché legali, da ricordare che il Tallin Manual 2.0 è senza ombra di dubbio il più completo manuale relativamente all’applicazione del Diritto Internazionale alle cyber operations.

Presso il CCDCOE ogni anno si tiene la più complessa esercitazione di cyber defence al mondo (Locked Shield) come pure la conferenza internazionale sui conflitti cyber (CyCon) che raggruppa i maggiori esperti cyber al mondo (l’ultima conferenza si è tenuta dal 30 maggio al 1 giugno 2018).
Il centro è finanziato e alimentato da 21 nazioni: Austria, Belgio, Repubblica Ceca, Estonia, Finlandia, Francia, Germania, Grecia, Ungheria, Italia, Lettonia, Lituania, Paesi Bassi, Polonia, Portogallo, Slovacchia, Spagna, Svezia, Turchia, Regno Unito e Stati Uniti d’America.
Dopo la notizia alcune brevi considerazioni:
- sembra che i paesi europei (e non) stiano prendendo sempre più a cuore tutto ciò che ha a che vedere con la cyber defence, indice di accresciuta sensibilità al problema ormai mondiale;
- per una volta sembra chiaro a tutti che l’unione fa la forza e il CCDCOE sta concentrando in un unico centro di competenza le risorse europee. Ciò è un vantaggio da una parte ma anche uno svantaggio, infatti occorrerà trovare dei meccanismi che incentivino il personale che viene formato a restare in Europa. Se infatti in Italia ancora è debole la richiesta di personale con determinati skills, la cosa non vale per gli Stati Uniti;
- in Italia ancora non è chiaro (o forse non pubblico) il processo messo in atto per “migliorare dalle esperienze”. Negli anni l’Italia ha partecipato alle esercitazioni internazionali ma non si sono avuti ritorni pubblici per cui è quanto meno difficile capire quale sia il livello di preparazione del personale italiano partecipante;
- l’Italia non ha una vera e propria industria informatica e i concetti di cyber security sono ancora poco conosciuti come pure il processo di pianificazione delle operazioni cyber (difesa ed attacco). Ciò significa che in caso reale il personale in grado di partecipare ad operazioni con altri stati è presumibilmente numericamente ridotto;
- in ultimo, ma non meno importante, occorrerà primo o poi iniziare a fare delle considerazioni sulla espansione del CCDCOE. Il rischio è, come al solito, che una struttura simile, se ha senso quando i paesi partecipanti sono più o meno allo stesso livello ed hanno dei chiari obiettivi condivisi, perda di significato ed utilità quando l'espansione avviene troppo velocemente e senza aver dei chiari obiettivi. Vedremo cosa ci riserva il futuro.
In ogni caso mi sento, per una volta, di poter considerare il bicchiere mezzo pieno. Infatti è indubbio che negli ultimi anni sono stati fatti enormi passi avanti soprattutto nel campo della sensibilizzazione. Ormai tutti i giorni si sentono discutere temi legati in qualche modo alla cyber security. Ora però è il momento di compiere un ulteriore sforzo, magari iniziando ad introdurre nelle scuole di ogni ordine e grado gli strumenti e le abilità necessarie a vivere ed operare in un mondo sempre più interconnesso, in cui la dimensione del Cyber space riveste un ruolo innegabilmente importante.

Alessandro Rugolo

Photo of the visit (credits to CCDCOE, photographer Arno Mikkor)

Per approfondire:

domenica 8 aprile 2018

Locked Shield 2018 ai blocchi di partenza!


Anche quest'anno a Tallin (ma in effetti in tutta Europa) si terrà, come di consueto, l'esercitazione Cyber più grande al mondo: Locked Shield.
Usando le informazioni delle precedenti esercitazioni e facendo un minimo di OSINT vediamo di capire su cosa potrebbe essere incentrata.
Cosa sappiamo?
- sappiamo che l'anno scorso l'esercitazione si è tenuta tra il 24 e il 28 aprile;
- sappiamo che tra il 15 e il 17 maggio prossimi si terrà il workshop dal titolo: "Locked Shields Forensics Challenge", in cui saranno discussi  i risultati della esercitazione e presentate le possibili soluzioni per gli aspetti forensi.
- sappiamo che l'anno scorso le date sono state più o meno simili.

Tanto per cominciare, nonostante non si abbiano ancora notizie ufficiali, mi aspetto che l'esercitazione si svolga nelle stesse date, probabilmente tra il 23 e il 27 aprile o al massimo nella settimana successiva.
Per capire su cosa sarà incentrata mi rifaccio agli argomenti che saranno trattati nella "Forensics Challenge", quelli già disponibili anche se molto generici e nelle sfide principali che il mondo Cyber ha dovuto affrontare nell'ultimo anno.

Vediamo se emerge qualcosa di utile dall'analisi.

Tra il 15 e il 17 maggio nel corso della "Locked Shields Forensics Challenge" saranno trattati i seguenti aspetti:
  • Malicious traffic analysis
  • Ntfs file system analysis
  • File analysis
  • Various OS artefacts analysis
  • User behaviour analysis
  • Malware identification. 
Mentre nel corso dell'anno abbiamo dovuto affrontare le seguenti principali problematiche:
- NotPetya e WannaCry;
- Spectre e Meltdown;

Tra le minacce emergenti invece troviamo:
- possibili varianti di WannaCry, Spectre e Meltdown;
- attacchi di tipo "Ghostly Cryptomining";
- cloud hacking;
- social engineering tactics;
- new denial of service attack tactics;
- sandbox vulnerability;
- Process Doppelganging. 

Tra le nuove tecnologie abbiamo invece:
- quantum computer e quantum cryptography;
- identità digitale su blockchain;
- IoT.

Dello scenario esercitativo non ho trovato niente su internet ma è probabile che il sistema da difendere sia un sistema delle dimensioni di una nazione che fa uso di tecnologie conosciute, basate su cloud e magari con identita digitali e una criptomoneta su blockchain. Non ci sarebbe da stupirsi se in rete si trovassero anche dispositivi generici (IoT) che notoriamente non sono studiati per essere sicuri. 

Ora, mettendo a sistema quanto sopra riportato posso effettuare delle supposizioni su come potrebbe svolgersi l'esercitazione e su alcuni tipi di attacchi che i Blue team potrebbero essere chiamati a fronteggiare.

In primo luogo, vedendo che nella sessione "Forensics Challenge" di maggio si trova la voce "user behviour analysis" mi vien da pensare che l'attacco partirà da utenti interni, magari contagiati attraverso allegati di posta elettronica contenenti codice malevolo. I blue team dovranno dunque concentrarsi  sull'analisi comportamentale di utenti e dispositivi (IoT). 
Probabilmente il malware potrebbe sfruttare la tecnica di injection chiamata Process Doppelganging, emersa a fine 2017, questo giustificherebbe anche l'indicazione di effettuare analisi su File Sistem NTFS.
L'obiettivo finale dell'attaccante potrebbe essere quello di impadronirsi delle risorse computazionali distribuite per fare soldi attraverso attività di ghostly Mining.

Naturalmente tutto ciò non sono altro che speculazioni basate sulle pochissime informazioni disponibili. Una cosa è certa, a breve ci sarà l'esercitazione e allora, ancora una volta, Blue Teams e Red Teams si affronteranno sul campo Cyber.
In bocca al lupo e, dato che è un gioco, vinca il migliore.

Alessandro RUGOLO
 Per approfondire:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html;
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-cyber-defence-exercises.html;
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-threats-of-2018/;
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attacks-2017/
- https://niccs.us-cert.gov/training/search/champlain-college-online/operating-system-forensics;
- https://thehackernews.com/2017/12/malware-process-doppelganging.html