Si riunisce in Italia il gruppo di lavoro Cyber del G7

Nato nel 2015 per dare continuità ai lavori sulle policy e strategie in ambito cyber per il mondo finanziario tra i paesi del G7, il gruppo comprende membri provenienti dal mondo bancario e finanziario di sette paesi:

- Canada (Bank of Canada, Department of Finance Canada,Office of the Superintendent of Financial Institutions);

- Francia (Directorate General of the Treasury, Prudential Supervision and Resolution Authority);

- Germania (Deutsche Bundesbank, Federal Financial Supervisory Authority, Federal Ministry of Finance);

- Italia (Banca d'Italia, CONSOB (Commissione Nazionale per le Societa e la Borsa), Ministero dell'Economia e Finanze);

- Giappone (Bank of Japan, Financial Services Agency, Japanese Ministry of Finance);

- Regno Unito (Bank of England, Financial Conduct Authority, His Majesty’s Treasury);

- Stati Uniti (Department of the Treasury, Federal Reserve Board of Governors,Securities and Exchange Commission).

In aggiunta ai membri del G7, ne fa parte l'Unione Europea (European Banking Authority, European Central Bank, European Commission).

Nei giorni scorsi si è riunito sotto la presidanza di ACN per affrontare alcuni dei temi più importanti del panorama cyber attuale, in particolare:

- interdipendenza tra cybersecurity e intelligenza artificiale. E' infatti di vitale importanza conoscere le opportunità che questa tecnologia offre e governare il rischio che ne deriva;

- policy per rafforzare la sicurezza e la resilienza dell’ecosistema digitale;

- maggiore collaborazione tra i paesi coinvolti, per rafforzare la sicurezza informatica delle infrastrutture in settori critici per la società e l’economia, incluso quello energetico.

Alcune brevi considerazioni:

- si continua a parlare di cyber security nei tavoli di lavoro ad altissimo livello, si continuano a scrivere norme e a dettare obblighi, ma cosa si sta facendo per portare l'argomento sui banchi delle scuole? Cosa si sta facendo per preparare gli insegnanti affinchè possano capire e spiegare le nuove tecnologie e i rischi correlati? Dalle richieste che mi arrivano sempre più frequenti direi niente!

- le problematiche legate alla cyber security sono note ormai da piu di vent'anni e sembra che non siano stati fatti grossi passi avanti, anzi. La sempre maggiore dipendenza della nostra società da strumenti digitali è uno dei principali fattori di rischio. Cosa potrebbe accadere se un giorno ci si svegliasse e non si avesse più a disposizione alcuno strumento digitale? Se un attacco particolarmente potente dovesse mettere in ginocchio contemporaneamente i principali sistemi informatici e di telecomunicazioni per un periodo di 10 giorni, la nostra società sarebbe in grado di garantire la sopravvivenza delle persone? Probabilmente no!

Si tratta di domande provocatorie ma penso che siano le domande giuste da seguire per tracciare la strada per un futuro più sicuro.

Alessandro Rugolo

Per approfondire:

- https://www.cybersecitalia.it/g7-cyber-frattasi-acn-infosharing-su-minacce-e-misure-per-difendere-le-nostre-democrazie/33631/

- https://home.treasury.gov/policy-issues/international/g-7-and-g-20/g7-cyber-expert-group

Cyber e Giappone: annunciato l'ingresso nel club del CCDCOE

E' del gennaio scorso la notizia che il Giappone si sta preparando ad entrare nel club cyber di Tallin come Stato partner.

Ciò conferma, se ancora ce ne fosse bisogno, il livello di interesse per la materia nel mondo. 

La notizia è stata data dopo un incontro tra il Primo Ministro estone Jüri Ratas e il Primo Ministro giapponese Shinzō Abe. 

La notizia è stata accolta con soddisfazione dal direttore del CCDCOE, Merle Maigre. 

Ma diamo uno sguardo, data l'occasione, alle attività del Giappone in ambito Cyber.

Cominciamo dal fatto che nel 2015, il 4 settembre per la precisione, il governo del Giappone ha rilasciato pubblicamente il documento strategico relativo alla cybersecurity. Nelle generalità è ben evidenziato che il documento ha lo scopo di dettare le linee guida per i "prossimi" tre anni, ciò significa che probabilmente al termine dell'anno in corso o al massimo nei primi mesi del 2019 vedremo un nuovo documento strategico giapponese.

E' molto interessante leggere il paragrafo 3, visione futura e obiettivi, da cui emerge con chiarezza che la sicurezza del cyberspace è vitale per la società giapponese, nella quale progetti di infrastrutture sociali quali "smart communities" o sistemi autonomi per veicoli automatici sono ormai dati per scontati. Nello stesso capitolo sono infatti indirizzati a livello di policy e con estrema chiarezza gli obiettivi legati al IoT.

Il capitolo 5 descrive la modalità di approccio da seguire per lo sviluppo delle capacità cyber ed ancora una volta è posto ben in evidenza il concetto legato alle esigenze dettate dall'IoT, si parla infatti di "cyber-physical space" e non solo di cyber space, questo per meglio descrivere l'impatto che questo nuovo dominio esercita sul mondo fisico. Nel capitolo infatti si parla esattamente di "creazione di sistemi IoT sicuri", da tutti  i punti di vista, compresa la promozione delle imprese che pongono la gestione in sicurezza al centro. La precisione con cui il documento entra nel merito potrebbe quasi essere considerata "puntigliosità" (se non fosse che per me hanno perfettamente ragione!) quando viene analizzata la necessità che i concetti di cybersecurity e IoT security siano ben compresi soprattutto a livello di Senior Executive Management. Questo perchè le persone più esperte dell'area di business possono essere un facilitatore ma, se non restano aderenti ai tempi, possono diventare in breve tempo un freno all'evoluzione; il documento arriva ad indicare che la figura e le funzioni del Chief Information Security Officer (CISO) devono essere posizionate, sia nel pubblico che nel privato, a livello di senior executive management.

Di un certo interesse è anche notare che la strategia giapponese è a tutto tondo, sia in termini di rafforzamento della cooperazione nel campo cyber con il resto del mondo (dall'ASEAN, al Nord America passando per l'Europa e l'Africa) sia in termini di capacità da sviluppare (da quelle tecnicnologiche alla preparazione del personale); proprio in questo senso va visto il recente annuncio di collaborazione con il CCDCOE.

Infine, ma non meno importante, il documento esamina le necessità di migliorare il settore della Ricerca e Sviluppo del mondo cyber. A tal fine si dice che tutti gli sforzi dovranno essere fatti per assicurare le risorse necessarie al settore, anche riallocando quelle già allocate in altri settori. Da ciò si può capire la differenza tra chi crede e investe nel settore cyber e chi invece pensa che sia sufficiente dire cosa fare senza però dedicare le necessarie risorse.

Tra le tante iniziative portate avanti in Giappone vi sono i corsi del SANS Institute, che mirano a creare una classe dirigente consapevole, capace in un prossimo futuro di guidare il nuovo mondo interlacciato in cui l'IoT sarà la norma e le smart cities il nostro nuovo ambiente sociale.

Detto questo, una domanda: ma in Italia che si sta facendo?

Alessandro RUGOLO

Per approfondire:
- https://news.err.ee/653903/japan-to-join-nato-cyber-defense-center-in-tallinn;
- https://www.sans.org/event/cyber-defence-japan-2018;
- http://www.mofa.go.jp/policy/page18e_000015.html.

Non esistono scorciatoie nel mondo della Cybersecurity!

Nel mio ultimo articolo: Intelligenza Artificiale: opportunità o rischio?, ho
cercato di evidenziare alcuni aspetti di ciò che sta accadendo nel campo della Intelligenza Artificiale nel mondo questo perchè, come tutte le novità, presenta degli aspetti positivi ma anche degli aspetti potenzialmente pericolosi E QUINDI DA CONOSCERE E TENERE A MENTE PER IL FUTURO!

Ora, per lo stesso motivo intervengo in una discussione portata avanti principalmente dai produttori di software legati alla Intelligenza Artificiale e utilizzati soprattutto per agevolarne la diffusione: l'impiego dell'Intelligenza Artificiale per la Sicurezza Informatica o meglio Cybersecurity.

Ho letto questa mattina sul sito Tom's Hardware Italia un articolo dal titolo accattivante "Cybersecurity: pochi talenti, meglio ricorrere alla IA" in cui si sostiene la tesi secondo cui l'Intelligenza Artificiale sarà una scelta "quasi obbligata" per il mondo della Cybersecurity a causa del fatto che gli esperti del settore cybersecurity sono troppo pochi e non sono in grado di coprire le richieste provenienti dalle società.

La scelta di soluzioni basate sulla intelligenza artificiale è presentata come una soluzione a basso costo al problema.
NIENTE DI PIU' SBAGLIATO a mio parere!

Ora, è sicuramente vero che gli esperti di Cybersecurity in Italia sono pochi, è altrettanto vero che la richiesta di esperti è superiore all'offerta (almeno così si dice... ma sarei curioso di vedere gli stipendi/compensi dei cosiddetti "esperti" per verificare la verità di questa affermazione!), però ci sono alcune cose che non vengono dette ed è su queste che vorrei attirare l'attenzione.

Chi ha una minima idea di come funzioni l'Intelligenza Artificiale (non parlo di chi si è fatto una idea leggendo romanzi o guardando i film di fantascienza!) sa bene che un qualunque robot necessita di essere istruito, anche quelli che sono in grado di imparare dai propri errori!) e per essere istruito occorre un esperto di Intelligenza Artificiale. Per istruire un robot nel campo della Cybersecurity, cosa ci occorre?

Primo punto: non troviamo esperti di Cyber e dunque cerchiamo un esperto di Intelligenza Artificiale su cui spostare il problema?

Secondo punto: gli esperti di Intelligenza Artificiale sono ancor meno (molti meno, oserei dire, soprattutto in Italia!) degli esperti di Cyber!

Risultato?

Se oggi abbiamo una richiesta di esperti di Cyber molto alta e una offerta bassa, sposando la tesi di Tom's Hardware Italia, in un prossimo futuro avremo una elevata richiesta di esperti di Cybersecurity e di Intelligenza Artificiale, esperti che, essendo ancor meno numerosi costeranno molto di più e, badate bene, non ne potremo fare a meno.
Ricordiamoci che non si crea un esperto di Intelligenza Artificiale in cinque minuti, ne tanto meno ci si improvvisa tale.

Leggendo queste mie parole qualcuno potrebbe essere tentato di chiedersi: e dunque? Cosa proponi?

In questo caso propongo di aprire gli occhi e le orecchie!
Tom's Hardware è una catena di giornali on line che si occupa di tecnologia, è una catena statunitense e, come sappiamo, gli Stati Uniti sono all'avanguardia nello sviluppo della Intelligenza Artificiale e delle tecnologie di sicurezza quindi è logico che si cerchi di creare nel mondo quella sensazione di non poter fare a meno di una nuova tecnologia.

Ed effettivamente non se ne può fare a meno a meno di (perdonate il gioco di parole) staccarsi dal mondo reale.
Ciò che intendo dire è che occorre fare attenzione e non pensare che esistano scorciatoie dove non esistono: se occorrono esperti di Cybersecurity occorre fare in modo che la scuola e le Università preparino (seriamente) i giovani alle nuove esigenze della società.

L'Intelligenza Artificiale è un nuovo mondo in cui occorre entrare con la consapevolezza dei rischi che corriamo e le Università italiane dovranno prendere atto (credo che lo stiano facendo!) delle nuove necessità preoccupandosi che vi sia un maggior numero di esperti di Intelligenza Artificiale e tra questi un certo numero di esperti di Cybersecurity perchè questo è l'unico modo serio di procedere, a meno di avere una montagna di soldi e rivolgersi alle grandi società ed affidarsi completamente ad esse!

Alessandro Rugolo

Per approfondire:

-https://www.tomshw.it/cybersecurity-pochi-talenti-meglio-ricorrere-ia-89355#disqus_thread;
-https://www.technologyreview.com/the-download/609275/a-lack-of-cybersecurity-talent-is-driving-companies-to-use-ai-against-online/

Injection, Broken Authentication ed XSS i principali rischi cyber.

Walter Ambu - CEO e fondatore di Entando

OWASP è uno standard per la produzione di applicazioni web sicure e se consideriamo che ormai quasi tutte le applicazioni sono web...

OWASP è anche un'organizzazione mondiale che ha lo scopo di migliorare la sicurezza del software (vedi articolo: Cyber defence: programmare in sicurezza è la base di tutto).

Tra le iniziative di maggior successo vi è la OWASP Top Ten, un elenco dei dieci principali rischi cyber nello sviluppo di applicazioni.

Nel 2013 è stata pubblicata l'ultima lista ancora valida mentre la prossima dovrebbe essere rilasciata a novembre 2017.

A inizio anno è iniziato il processo per aggiornare la lista ma il primo tentativo è andato a vuoto essendo stato bocciato dalla community.

La prima bozza della Top Ten del 2017, ancora in discussione indica i seguenti 10 maggiori rischi:

A1-Injection

A2-Broken Authentication and Session Management

A3-Cross-Site Scripting (XSS)

A4-Broken Access Control

A5-Security Misconfiguration

A6-Sensitive Data Exposure

A7-Insufficient Attack Protection

A8-Cross-Site Request Forgery (CSRF)

A9-Using Components with Known Vulnerabilities

A10-Underprotected APIs.

Un elenco non certo semplice da capire per chi non abbia approfondite conoscenze in campo di sicurezza informatica.

Proviamo quindi ad approfondire il significato di questi termini con Walter Ambu, fondatore di Entando, una start up che fa uso della metodologia OWASP per lo sviluppo sicuro di software.

Entando - il team

Ingegner Ambu, la sua società, la Entando, sviluppa software sicuro… Può aiutarci a capire qualcosa di più sulla metodologia di sviluppo? Di che tipo di software vi occupate? A che tipo di clienti vi rivolgete? Quanto dedicate alla ricerca e sviluppo? E, soprattutto, ci aiuta a capire meglio quali sono i principali rischi inseriti nella OWASP Top Ten?

Entando è una piattaforma software Open Source che semplifica la realizzazione di applicazioni web e mobile di nuova generazione ossia le “Modern Applications”.

Cosa intendiamo?

Oggi le aziende e le pubbliche amministrazioni, soprattutto quelle più grandi impegnate nella corsa verso la digitalizzazione, hanno due problemi: la rapidità e l’armonizzazione.

Da un lato, devono accelerare i tempi di rilascio delle applicazioni, prima che un loro competitor lo faccia. Dall’altro, devono fare ordine in un portafoglio di applicazioni sempre più ampio, caratterizzato da interfacce tutte diverse e da user experience incoerenti che creano problemi a chi le usa. Entando, grazie a pattern UX/UI (User eXperience/User Interface), funge da "armonizzatore" della user experience e da “acceleratore”, grazie alle moderne tecniche di software development basate su containers, devops, CI/CD (Continuous Integration/Continuous Development), microservizi.

Va da sé che Entando deve avere per natura, in quanto azienda Open Source, una forte propensione naturale per l’innovazione e la ricerca. Il team è composto da ingegneri del software, specialisti IT e Phd, che - a proposito di “modernità”- lavorano anche in modalità smart working.

In quanto alla sicurezza, Entando sviluppa seguendo la metodologia OWASP...

Ingegnere, come mai la sua società ha adottato questa metodologia? Quali sono i vantaggi? E' difficile applicarla alla produzione di software? Il personale svolge dei corsi? Collaborate con le Università?

Sviluppare Modern Applications per aziende e amministrazioni pubbliche significa dare garanzie di innovazione, qualità e sicurezza sul software prodotto. Per tale ragione Entando ha deciso di adottare le linee guida OWASP oltre a metodologie di controllo e verifica della qualità del codice.

Entando collabora attivamente con il Pattern Recognition and Applications Lab dell’Università degli studi di Cagliari (http://pralab.diee.unica.it) la cui divisione di sicurezza informatica è guidata dal Prof. Giorgio Giacinto. In particolare ha fatto parte di un progetto chiamato sTATA (http://stata.diee.unica.it) che consiste nella creazione di un distretto con competenze specifiche e avanzate nell’ambito della sicurezza informatica, all’interno del quale possano svilupparsi idee, soluzioni, e prodotti innovativi in risposta ai rischi di attacco informatico ai quali cittadini e aziende sono oggigiorno esposti. Questo progetto ha previsto ovviamente diverse fasi tra cui quella di formazione del personale Entando coinvolto nella realizzazione della piattaforma.

Sappiamo che ci sono ancora delle discussioni in corso sulla Top Ten 2017 e che dovremo ancora attendere per conoscere quella ufficiale. Ma lasciamo queste sottigliezze ai cultori della materia e proviamo a ragionare come se la Top Ten fosse già stata rilasciata.

In cima, già nel 2013 e per ora anche nella bozza di proposta per il 2017, si trova la categoria conosciuta come “Injection” di cui riporto la definizione: “Injection flaws, such as SQL, OS, XXE, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization”.

Ingegnere, in parole povere, per i non esperti, ci può spiegare di che si tratta?

Per Injection si intende un vasta classe di attacchi che consentono ad un malintenzionato di passare ad un software dei dati in ingresso che ne alterano l’esecuzione prevista. Si tratta di uno degli attacchi più pericolosi per le applicazioni web. Il risultato può variare dalla perdita di dati fino ad arrivare al furto di dati sensibili come le carte di credito.

Tra le diverse tipologie di Injection, SQL Injection è quella più nota.

SQL Injection è una pratica di hacking che consiste nel colpire applicazioni web che si poggiano su database. A causa della vulnerabilità l’aggressore è in grado di operare sul database, leggendo, alterando, o cancellando in maniera non autorizzata i dati in esso presenti.

Tra i casi reali in cui è stato utilizzato un attacco di questa categoria vi è quello del 2009 condotto ai danni della Heartland Payment System. In quella occasione furono rubate le credenziali di 130 milioni di carte di credito e debito.

Ma come si migliora la sicurezza di un sistema soggetto a questa vulnerabilità?

Occorre verificare la funzionalità dei controlli sui dati in ingresso, in modo che non sia possibile effettuare interrogazioni arbitrarie al database sfruttando una mancata o incorretta validazione dei dati ricevuti. Per essere ancora più chiari, se un form su un sito richiede l’inserimento di un userid, il software deve controllare che i dati inseriti dall’utente siano effettivamente del formato di un userid ed impedire che l’utente possa inviare dei dati differenti, magari una stringa che possa essere interpretata come un comando.

Grazie, ora credo sia più chiaro a tutti il significato di “Injection”.

Forse non tutti potranno comprendere a fondo i meccanismi alla base dell'attacco ma credo che la cosa più importante sia sensibilizzare le persone che l'uso di strumenti web può presentare dei rischi ma che esistono dei metodi per minimizzarli.

Ingegner Ambu, la seconda della lista è Broken Authentication and Session Management.

Di che cosa si tratta?

In questo caso abbiamo a che fare con una vulnerabilità in cui un aggressore è in grado di manipolare i dati che tipicamente vengono memorizzati nel cosiddetto “session token”, ossia un identificativo univoco per l’utente che naviga nelle pagine web e che viene utilizzato per scambiare dati tra la parte client e quella server di un’applicazione web. I famosi cookie abilitano questo meccanismo. In questo caso un aggressore può addirittura assumere identità altrui, modificare password ed entrare nei sistemi. Immaginiamo, per esempio, i danni che un hacker può fare entrando nel nostro conto bancario!

Può svuotarci il conto! E magari ottenere informazioni sui conti correnti di persone con le quali abbiamo dei rapporti di lavoro. Potenzialmente ciò mette a rischio non solo noi ma anche persone e aziende con le quali abbiamo a che fare.

Ingegner Ambu, non voglio certo portarle via troppo tempo chiedendole di analizzare tutte e dieci le vulnerabilità della lista ma credo che almeno la terza meriti attenzione: Cross-Site Scripting (XSS), di che si tratta?

Il Cross-Site Scripting è una tecnica piuttosto comune per eseguire un furto di identità.

In pratica un’applicazione prende in carico dei dati ricevuti in ingresso, per esempio da un form, senza operare alcun controllo di validazione, da questo punto di vista assomiglia alla tecnica dell’injection.

Malintenzionati possono quindi iniettare attraverso il browser del codice script nocivo, esempio del codice javascript, in un qualunque form del sito web causando il furto di identità di qualunque persona o la modifica di porzioni del sito web addirittura costringendo l’utente a scaricare un malware.

Ingegner Ambu la ringrazio per il tempo dedicatoci. Approfitto ancora della sua presenza e competenza per ripetere che tutte queste tecniche d’attacco possono essere almeno in parte rese inoffensive utilizzando le best practices della metodologia OWASP. In pratica l’impiego della metodologia OWASP consente di prevenire buona parte degli attacchi più comuni e pericolosi.

Esatto, OWASP è una metodologia di tipo preventivo. La sua applicazione in ogni caso non va considerata come una panacea contro tutti i mali ma è sicuramente molto utile e merita di essere studiata approfonditamente da tutti coloro che in qualche modo si occupano di sviluppo software e di sicurezza informatica. A tal proposito il 20 ottobre prossimo presso l’auditorium della facoltà di Ingegneria e Architettura, in Piazza d’Armi a Cagliari, si terrà l'Italy OWASP Day 2017. Un evento interessantissimo sotto il profilo della sicurezza del software.

Tra gli ospiti sarà presente il vice presidente di Synopsys, Gary McGraw, autorità riconosciuta a livello mondiale nel campo della sicurezza informatica.

Noi di Entando saremo presenti e vi sarà la possibilità di approfondire i concetti appena esposti e molto altro. Vi aspettiamo!

Alessandro RUGOLO

Per approfondire:

- https://www.owasp.org/index.php/Italy_OWASP_Day_2017

- https://www.computerworld.com/article/2527185/security0/sql-injection-attacks-led-to-heartland--hannaford-breaches.html

- https://www.w3schools.com/sql/sql_injection.asp