Traduttore automatico - Read this site in another language

martedì 10 dicembre 2019

Europeancybersecuritychallenge: Italia seconda in classifica.

Intervista a Emilio Coppa, Giovanni Lagorio e Mario Polino allenatori della squadra italiana di cyber defender "TEAM ITALY" formata da allievi del percorso formativo Cyberchallenge.IT (https://cyberchallenge.it/team).

Emilio Coppa è un assegnista di ricerca presso il Dipartimento di Ingegneria informatica, automatica e gestionale della Sapienza Università di Roma. Ha ricevuto un dottorato in Informatica nel 2015 e i suoi interessi di ricerca si focalizzano su tecniche di analisi statica e dinamica del software. Dal 2017 fa parte del comitato organizzativo di CyberChallenge.IT ed è uno dei responsabili della squadra nazionale per l'European Cyber Security Challenge (ECSC).

Giovanni Lagorio è ricercatore presso il DIBRIS dell'Università di Genova. Interessato alla sicurezza informatica e ad attività di ethical hacking, è fra i fondatori del team ZenHack e organizzatore di CyberChallenge.IT per la sede di Genova. Dal 2019 è uno dei responsabili della squadra nazionale di cyber-defender per l'European Cyber Security Challenge (ECSC).

Mario Polino è assegnista di ricerca presso il DEIB del Politecnico di Milano dove si occupa di Malware e Binary Analysis. Dal 2009 partecipa a competizione CTF con il team Tower of Hanoi e dal 2018 con mhackeroni. Dal 2019 è l’allenatore del team nazionale di cyber-defender per l'European Cyber Security Challenge (ECSC)

Prima di tutto una breve panoramica sui componenti della squadra. Quali sono le città di provenienza? Quali i corsi di studio di provenienza?
Ricordiamo ai nostri lettori che i componenti della squadra vengono dal percorso di formazione CyberChallenge.IT, organizzato dal Laboratorio Nazionale Cybersecurity del CINI, che ha visto inizialmente 20 ragazzi formarsi in ciascuna delle 18 sedi universitarie partecipanti. Terminato il periodo di formazione, ciascuna sede ha selezionato quattro ragazzi per formare la squadra locale che ha partecipato alla finale nazionale a Chiavari, lo scorso 27 Giugno.
Grazie alla finale nazionale è stato possibile formare il team nazionale.
Il team è composto da dieci ragazzi che provengono da diverse realtà italiane.
Andrea Biondo (il capitano) e Riccardo Bonafede sono due studenti dell’Università degli studi di Padova. Il primo vive a Cassier (Treviso) ed è attualmente iscritto alla Magistrale in Informatica, mentre il secondo viene da Padova e sta completando la Triennale in Ingegneria Informatica. Sempre dal Veneto arriva Antonio Groza, che vive a Mirano (Venezia) e dopo essersi diplomato nel 2018 all’ITIS Levi Ponti ha deciso di intraprendere direttamente una carriera professionale.
Marco Bonelli, Andrea Laisa e Samuele Turci studiano a Milano. Marco viene da Terni e frequenta la triennale in Ingegneria Informatica presso il Politecnico di Milano. Andrea invece viene da Bergamo, studia sempre al Politecnico di Milano ma è iscritto alla triennale in Informatica. Infine, Samuele viene da Gatteo (Forlì-Cesena) ed è iscritto alla triennale in Informatica presso l’Università degli Studi di Milano.
A Roma studiano tre partecipanti del team: Qian Matteo Chen, Dario Petrillo e Michele Lizzit. Matteo vive a Roma ed è uno studente triennale di Informatica presso l’Università La Sapienza di Roma. Anche Dario vive a Roma e studia alla Sapienza, ma frequenta la triennale di Ingegneria Informatica. Infine, Michele vive a Pasian di Prato (Udine) e frequenta la Triennale in Management and Computer Science presso la Libera Università Internazionale degli Studi Sociali (LUISS) Guido Carli.
Scendendo geograficamente ancora più a sud, Davide Palma studia alla triennale di Informatica dell’Università degli studi di Bari e vive a Apricena (Foggia).

Con quale criterio sono stati selezionati i componenti della squadra nazionale a partire dai partecipanti alla finale?
Il pool di scelta era composto dai partecipanti di CyberChallenge.IT del 2019, ma anche degli anni precedenti. L’iniziativa è stata molto efficace e ha introdotto a questo tipo di competizioni molti giovani capaci, che nel tempo sono migliorati tanto fino ad arrivare a competere ai massimi livelli nonostante la loro giovane età. Scegliere non è stato facile, ci sono molti ragazzi in gamba, ma alcuni vincoli sulla composizione della squadra presenti nel regolamento della competizione hanno semplificato questa scelta. 
Tutti e 10 i giocatori devono avere meno di 25 anni, e 5 di loro devono essere sotto i 20 anni. Ci sono tantissimi ragazzi bravi con meno di 25 anni. Meno, invece, per quanto riguarda la fascia fino ai 20. Questo regolamento divide fondamentalmente la squadra in due quote: Senior (21-25) e Junior (minori di 20 anni). Abbiamo quindi realizzato due classifiche, una per i Senior e una per i Junior, in cui abbiamo valutato le prestazioni dei candidati negli eventi passati. In particolare, abbiamo valutato la prova locale, cioè la sfida individuale che ogni partecipante di CyberChallenge.IT ha affrontato alla fine del percorso di formazione, la competizione nazionale, che si svolge a squadre fra le varie sedi, ma anche competizioni esterne a cui diversi membri del team finali hanno preso parte. Il risultato è stato un team formidabile e il posizionamento al secondo posto ne è la conferma.

A questo punto passiamo alla fase di allenamento e di costruzione del vero e proprio "gioco di squadra". Come avete gestito la diversa provenienza geografica e di formazione di base?

L’allenatore ha selezionato i partecipanti scegliendo, di proposito, una formazione eterogenea, essenziale per essere pronti ad affrontare ogni tipo di sfida. La diversa provenienza geografica, invece, è stata mitigata organizzando, a metà settembre, un ritiro di quattro giorni presso la Scuola IMT Alti Studi di Lucca. Lì i ragazzi hanno avuto modo di conoscersi, formando una squadra vera e propria, grazie a varie attività di gruppo. Fra queste, anche attività non strettamente legate all’informatica, ma non meno importanti, quali, per esempio, ripresa e montaggio del video, goliardico, di presentazione della squadra e birrate serali.
Potete raccontarci come si è organizzata la squadra in termini di divisione dei compiti? E’ stato nominato un capo o è emerso un leader spontaneo? Sicuramente questo aspetto è strettamente legato al tipo di competizione. Potete darci una breve descrizione della modalità di gioco?

Grazie al raduno di Lucca, il team è stato in grado di identificare le competenze che ogni membro del team poteva mettere a disposizione ai fini della competizione.
Come capitano della squadra, abbiamo immediatamente visto in Andrea Biondo il migliore candidato: parte del team che ha vinto CyberChallenge.IT 2018, membro dei team CTF Spritzers e mHACKeroni, membro della nazionale per ECSC nel 2018 e anche co-autore di articoli scientifici in conferenze di rilievo nell’ambito della cybersecurity.

La competizione si è svolta in due giornate seguendo un format jeopardy, in cui i team devono risolvere delle challenge per ottenere dei punti. Ogni challenge può essere vista come una sfida informatica, sia software che hardware, che replica uno scenario reale ma in un contesto isolato, permettendo ai ragazzi di divertirsi senza fare danni nel mondo reale. Esempi concreti di queste sfide possono essere dei portali web in cui occorre ottenere accesso amministrativo oppure dei sistemi embedded su cui identificare delle falle per far eseguire azioni non autorizzate.

Le 36 challenge preparate dagli organizzatori rumeni sono state egualmente divise fra i due giorni di gara, non permettendo ai ragazzi di risolvere challenge del primo giorno durante la seconda giornata. Il punteggio di ogni challenge è stato ottenuto in modo dinamico: tale meccanismo evita di dover assegnare un punteggio a priori in base alla difficoltà stimata (sempre molto difficile da valutare).

Oltre alle challenge hardware e software, gli organizzatori hanno assegnato ulteriori punti in base alla capacità dei vari team di: (a) superare una escape room caratterizzata da sfide hardware entro un tempo massimo di 30 minuti, (b) presentare in 5 minuti la soluzione di una delle challenge risolte ad una giuria composta da non esperti.

Durante le ultime due ore di gara, la scoreboard con i punteggi è stata oscurata, in attesa della premiazione avvenuta la sera del giorno dopo.

E ora veniamo ai momenti di gara, divisa in tre giornate. Potete descriverci quali sono state le emozioni provate dalla squadra durante le giornate? L'Italia già dalla seconda parte della prima giornata faceva parte del gruppo di testa, conquistando anche il primo posto in diverse fasi della gara. Come sono stati vissuti questi momenti?
Quale è stato l'aspetto più difficile della gara? Quale quello che vi ha dato più soddisfazione?

All’inizio eravamo tutti molto emozionati ma, una volta che abbiamo iniziato ad affrontare le varie sfide, la concentrazione era tale da non farci pensare molto ad altro.
Alcune challenge hanno richiesto diverse ore e il lavoro congiunto di vari membri, un po’ per difficoltà tecniche, un po’ perché non era chiarissimo cosa si doveva fare e la comunicazione con gli organizzatori era a volte difficoltosa. Chiaramente, rimanere bloccati per ore su una sfida può essere estremamente frustrante ma, come si dice, chi la dura la vince, e alla fine siamo riusciti a risolverne molte. Far parte del gruppo di testa fin da subito ci ha creato un po’ di tensione, ma ogni sfida risolta ci ha dato una grande carica e fiducia in noi stessi, che ci hanno aiutato a mantenere la grinta per tutte quelle ore.
Il team ha funzionato molto bene e questo aspetto ha dato i suoi frutti, portandoci in alto in classifica. È questo, probabilmente, l’aspetto che ci ha dato più soddisfazione.


Ora che la gara è terminata portando a casa il secondo posto, quali sono i riflessi di questa esperienza che avranno sicuramente un effetto nelle vostre attività future nel campo della didattica e della ricerca? Qualcuno dei ragazzi ha pensato di lanciarsi nel lavoro con una start-up? Quando pensano al loro futuro si vedono in Italia o all'estero?


Faremo sicuramente tesoro di questa esperienza; alcuni ragazzi hanno già esperienze lavorative e stanno considerando anche la possibilità di lanciarsi in qualche startup. Altri puntano invece ad attività di ricerca: c’è chi pensa a un dottorato e chi invece vorrebbe entrare a far parte del settore ricerca e sviluppo di qualche grossa industria. Fortunatamente per il nostro paese, quando pensano al futuro alcuni si vedono in Italia, anche se non manca chi considera la possibilità di andare a lavorare per qualche colosso informatico dall’altra parte dell’oceano.

Per quanto riguarda la squadra, continuerà a partecipare ad altre competizioni? Cosa intendete fare per condividere la vostra esperienza coi più giovani?
Sicuramente la squadra parteciperà anche il prossimo anno a ECSC, alcuni membri supereranno il limite di età e quindi il team dovrà per forza cambiare un po’. Ma queste sono valutazioni da fare a valle della prossima edizione di CyberChallenge.IT dove ci aspettiamo, come è successo in passato, che i membri attuali del team aiutino a formare le nuove leve.

Nel frattempo, subito dopo la competizione in Romania, una grossa fetta del team è volato ad Abu Dhabi per la Hack in The Box CyberWeek, dove hanno preso parte in due competizioni diverse:
  • Una parte di loro ha partecipato e vinto la “Cyber Battle of The Emirates” una competizione pensata per giovani che si affacciano al mondo dei Capture the Flag e della security più in generale.
  • Un'altra parte ha invece preso parte al ProCTF come “mhackeroni”. Il ProCTF è una competizione senza restrizioni di età, e pensata per professionisti. Il Team mhackeroni è arrivato al terzo posto.

Molti dei giocatori del Team Italy, ma anche gli altri partecipanti di CyberChallenge.IT, dopo questa esperienza continuano a giocare nei team locali delle varie sedi universitarie. Queste squadre sono formate non solo da novizi, ma anche da giocatori di lunga data, che durante l’anno si sfidano in varie competizioni. Esiste una lista pubblica dei Team Italiani che hanno assorbito partecipanti di CyberChallenge.IT o che sono nati proprio dai ragazzi che hanno partecipato a questa iniziativa: https://cyberchallenge.it/ctf-teams

Uno di questi team è il team “mahckeroni” (https://mhackeroni.it/) che oramai da diversi anni partecipa al DEF CON CTF, una delle competizioni più difficili di questa categoria. Per partecipare a questa competizione bisogna qualificarsi vincendo uno degli eventi selezionati. Non ci sono restrizioni di età, numero, o professione, e a questo tipo di competizioni prendono parte anche molti professionisti del settore. E solo le migliori 16 squadre al mondo riesco a vincere un posto per la finale di Las Vegas. Diversi membri del “Team Italy” fanno parte della squadra “mhackeroni” che lo scorso Agosto si è piazzata al 5° posto di questa competizione.

Grazie per il vostro impegno, teneteci informati sulle vostre attività. Difesaonline e i suoi lettori vi sostengono. In bocca al lupo a tutti!

Giorgio Giacinto

https://europeancybersecuritychallenge.eu/

sabato 7 dicembre 2019

APT 32 hackera BMW e Hyundai?

E' di qualche giorno fa la notizia che degli hackers hanno colpito BMW e Hyundai.
Gli hackers si sarebbero infiltrati nella rete aziendale di BMW già da questa estate utilizzando un toolkit chiamato Cobalt Strike, utilizzato come backdoor per muoversi verso le reti dei due giganti dell'automobile e, presumibilmente, esfiltrare dati,  associato all'impiego di siti web fake. 
Nell'articolo di zdnet si lascia intendere che BMW abbia volontariamente permesso agli hacker di restare all'interno della propria rete per seguire i loro movimenti e comportamenti e cosi cercare di individuare la provenienza dell'attacco, bloccando quindi l'accesso solo a novembre. Per quanto riguarda la Hyundai non si sa praticamente niente.
Secondo quanto riportato dalle riviste tedesche Bayerischer Rundfunk e Taggesschau che per prime hanno rivelato l'accaduto, il gruppo responsabile sarebbe conosciuto con la sigla APT  32 (Advanced Persistent Threath 32) o anche Ocean Lotus che farebbe capo al governo vietnamita, cosi affermano gli esperti della German Cybersecurity Organisation (DCSO) anche se ammettono che non vi siano prove in merito. 
Il gruppo è attivo dal 2014 e sembra che negli ultimi anni abbia preso di mira in particolare le industrie del settore automobilistico. Toyota Australia, Toyota Japan e Toyota Vietnam sono state tra le vittime precedenti. 
Secondo varie fonti l'attacco si pone nel contesto della guerra industriale tra case automobilistiche.
Secondo alcune fonti gli hacker non avrebbero rubato dati sensibili e non sono riusciti nel loro intento di penetrare nelle reti della sede centrale di Monaco.
Ancora una volta l'industria è oggetto di attacchi informatici, a dimostrazione dell'interesse che il settore ha per gli hacker. Il settore automobilistico non è solo possibile fonte di dati personali degli acquirenti ma anche ben più paganti informazioni relative a segreti industriali, brevetti e eventuali difetti delle parti meccaniche, per non parlare dei danni all'immagine subiti.
Facciamo attenzione, checché se ne dica la guerra economico-industriale è sempre in corso.
E se colossi come BMW e Hyundai ne sono vittime… nessuno è al sicuro!
Cosa fare allora?
Primo: informarsi, sempre.
Secondo: formare il personale della propria società, i tecnici, i quadri e i dirigenti, ognuno al proprio livello. I dirigenti in particolare non devono fare i tecnici ma devono capire come adattare la propria organizzazione al mondo attuale e al livello di rischio cyber esistente.
Terzo: dedicare le giuste risorse al settore cyber, effettuando una attenta analisi del rischio.
Quarto: aiutare a creare una società migliore, per esempio appoggiando campagne di informazione presso le scuole. E' dalle scuole infatti che escono futuri operai, impiegati e dirigenti. 
Lasciare allo Stato il peso di cambiare la società è una utopia. L'impegno di tutti consente invece di accelerare il processo di digitalizzazione della nostra società e di ridurre i rischi.

Alessandro Rugolo

Per approfondire:

https://www.zdnet.com/article/bmw-and-hyundai-hacked-by-vietnamese-hackers-report-claims/
https://www.br.de/nachrichten/wirtschaft/fr-autoindustrie-im-visier-von-hackern-bmw-ausgespaeht,RjnLkD4
https://www.tagesschau.de/investigativ/br-recherche/bmw-hacker-101.html
https://www.technadu.com/vietnamese-hackers-apt32-hacked-hyundai-bmw/86959/
https://www.cobaltstrike.com/
https://attack.mitre.org/groups/G0050/
https://dcso.de/

L'estronauta sulla luna e il telelunofono

Torna tra noi "L'estronauta sulla luna" con una nuova serie di avventure.
La piccola Giulia a breve andrà in prima elementare. Un passaggio obbligato della nostra vita, accompagnato da tanti piccoli (e grandi) cambiamenti. Sicuramente il più importante è quello della maggiore indipendenza. Riuscirà il nostro amico Gionzo a guidare la sua piccola amica per prepararla a questa nuova avventura? Vediamolo assieme, a cominciare da questa nuova avventura intitolata...

L'estronauta sulla luna e il telelunofono

- Nonno, nonno... sono arrivata! La voce squillante della piccola Giulia annunciava l'arrivo della gioia in persona. Era sempre cosi. Appena si apriva lo sportello dell'auto parcheggiata nel cortile di fronte alla sua casa Giulia si precipitava verso l'ingresso annunciando il suo arrivo al nonno e ai vicini. Non ci si poteva sbagliare.
- Ciao piccola! Disse il nonno aprendo la porta. Giulia era già attaccata alla sua gamba e lo tirava verso l'esterno.
- Sei pronto? Sei pronto? Dobbiamo andare, il centro commerciale chiude tra un'ora e tu mi hai promesso il telelunofono, ti ricordi? La mamma e il papà di Giulia alla fine avevano ceduto. Era inutile opporsi all'infinito. Era arrivato il momento. Il nonno non aveva bisogno di parlare, leggeva sulle loro facce la preoccupazione. 
- Vieni qua piccola. Disse prendendola in braccio. Prima di andare al centro commerciale sentiamo cosa ne pensa il nostro amico Gionzo, magari ci può consigliare qualche modello particolare.
- Si dai, chiamiamolo… io voglio il nuovo modello con le antennine verdi… cosi lo collego al casco potenziato come fa Gionzo. E mentre parlava Giulia si agitava tra le braccia del nonno come fosse un'anguilla.
- Calmati piccola mia, andiamo a sederci vicino al camino che qui fa freddo. Poi chiamiamo Gionzo e vediamo che ci può consigliare… e mentre diceva queste parole, con la testa salutava i genitori di Giulia che quatti quatti uscivano di casa. Giulia ormai era al sicuro, nel mondo fantastico del suo amico Gionzo. Avrebbero potuto fare la spesa con tutta calma.
- Dunque, sentiamo che ci dice Gionzo. Disse il nonno mentre prendeva il cellulare per chiamare il suo amico. 
- Speriamo che ci sappia consigliare. Io non ne capisco tanto di queste nuove tecnologie...
- Si nonno - urlò Giulia mentre correva in cerchio sul tappeto di fronte al camino - chiamalo e chiedigli tutte queste cose sulle nuove techiologie...
- Tecnologie… Giulia, non techiologie. La corresse il nonno sapendo che la nipotina aveva una capacità incredibile di apprendere anche e soprattutto mentre correva da una parte all'altra della stanza. Era fatta cosi, non si fermava un attimo ma imparava subito!
- Allora, Gionzo, ho qui la piccola Giulia che chiede consiglio… - disse il nonno a voce alta per attirare l'attenzione della nipotina, portandosi il cellulare all'orecchio - … sui modelli di telelunofoni per bambine speciali. Ci puoi aiutare? E mentre parlava al telefono strizzava l'occhio alla piccola Giulia che si era fermata di colpo e attendeva col fiato sospeso come se dalle parole di Gionzo dipendesse la sua stessa vita...
- Si, hai capito bene, Giulia vuole un telelunofono, lei pensava al modello con le antenne verdi, tu cosa ci consigli? Il nonno parlava sicuro, deciso, ma mentre ascoltava il suo corrispondente lontano il suo viso si rabbuiava fino a quando...
- Capisco, grazie Gionzo, allora ci sentiamo più tardi, in bocca al lupo! A Giulia non era sfuggita ne una parola ne una espressione del nonno e lei stessa era diventata scura in volto, preoccupata per qualcosa che non sapeva ma che intuiva dovesse essere di una gravità assoluta.
Le ultime parole del nonno erano state decisive…
- Cosa è successo a Gionzo nonno… disse Giulia con la voce rotta dall'emozione. I suoi occhioni erano diventati umidi e si vedeva che mancava poco e si sarebbe messa a piangere. Giulia aveva capito subito che era successo qualcosa a Gionzo. 
- E' rientrato a casa vero? Non dirmi che è successo qualcosa al mio amico Giovanbattistamarialorenzo - perché, meglio ricordarlo, questo era il nome per intero di Gionzo - durante il viaggio di ritorno. Forse era la prima volta che Giulia chiamava Gionzo col suo nome completo. Il nonno la guardò in faccia, la prese tra le braccia e la fece sedere a cavallo della sua gamba che cominciò a muoversi su e giù come faceva sempre con Giulia per tranquillizzarla.
- Si, è successo qualcosa… Giulia lanciò un urlo di preoccupazione e si portò le mani alla bocca, in un gesto che non lasciava speranze. 
- Nonno, nonno, possiamo aiutarlo vero? Dimmi di si, cosa possiamo fare? Chiamiamo la polizia? Dimmi, cosa possiamo fare? Le parole erano state pronunciate tutte assieme, mischiate ad una serie di singhiozzi che facevano pena. Sembrava quasi che a parlare non fosse Giulia ma il volpesce dalle due lingue che Gionzo aveva incontrato qualche tempo prima nel corso delle sue avventure sulla luna. 
- Giulia, calmati! Disse il nonno con la faccia più seria del solito. 
- Sai bene che Gionzo è in gamba e vedrai che riuscirà ad uscirne anche questa volta. E poi ha sempre con se il suo casco potenziante e il telelunofono con cui possiamo restare in contatto e provare ad aiutarlo. Per cui calmati e asciugati gli occhi, non è piangendo che possiamo aiutare Gionzo! Le ultime parole erano state pronunciate con una fermezza che aveva convinto Giulia che il suo nonnino era il più forte nonno del mondo. Sicuramente doveva essere stato un eroe da giovane. Nella sua mente il nonno doveva aver affrontato chissà quanti draghi e salvato chissà quante principesse...
- Allora - disse il nonno - vediamo cosa possiamo fare per aiutare Gionzo. E mentre parlava si massaggiava il mento per far capire che occorreva una seria riflessione.
- Ma io non so cos'è successo. Dai nonnino, sarò forte, non piangerò, dimmi la verità, cos'è successo a Gionzo? La piccola Giulia questa volta aveva parlato con decisione, pronta a fare qualsiasi cosa per aiutare il suo amico Gionzo. Pure se si fosse trattato di raggiungerlo sulla Luna, Giulia l'avrebbe fatto. 
- Brava, così si ragiona. Aiutami ora. Portami quel quaderno e qualche pennarello che magari ci possono servire. Non aveva neanche finito la frase che già Giulia correva verso la scrivania per prendere quello che il nonno aveva chiesto e che nella sua immaginazione era una specie di arma potenziante che avrebbe aiutato a salvare il comune amico di tante avventure...
- Ecco nonno. Disse Giulia porgendo con attenzione il quaderno e i pennarelli.
- Grazie. Dunque vediamo. Come posso dirtelo. Gionzo si è perso - la faccia di Giulia divenne pallida - ma sta bene e ha già indossato il suo casco potenziante - Giulia riprese fiato, visibilmente tranquillizzata - e ci chiede di aiutarlo. Si è perso nel cyberspazio!
- Il Cibospazio!?! Disse Giulia non avendo la più pallida idea di cosa potesse significare quella parola mai sentita prima… E proprio mentre stava per chiedere spiegazioni, e sarebbero dovute essere convincenti. Qualcuno suonò il campanello...
Giulia, super eccitata saltò giù dalle gambe del nonno e corse alla porta. Si mise in punta di piedi per vedere dallo spioncino chi veniva ad interrompere il loro momento magico...
- Francesco !!! Urlò con gioia, e senza attendere, guardato il nonno per ricevere l'autorizzazione, aprì la porta. Francesco era il suo cugino preferito. Era grande lui, aveva almeno dieci anni, forse anche di più… e a lei piaceva giocare con Francesco. Il telelunofono avrebbe potuto aspettare, pensò Giulia, tanto Gionzo non era veramente in pericolo… col suo casco potenziante e con l'aiuto del nonno avrebbe sicuramente risolto i suoi problemi e sarebbe riuscito a ritornare sulla Terra, dalla sua famiglia numerosa che lo attendeva...

Alessandro Rugolo

mercoledì 27 novembre 2019

Lockheed Martin: qualche aggiornamento sulle analisi dei rischi cyber

(A volte ritornano…)

Qualche mese fa ci siamo soffermati ad analizzare i rischi cyber relativi all’F-35, e questo ha incluso un’analisi della rete (ovviamente di ciò che è pubblicaente visibile) della casa produttrice, la società Lockheed Martin, leader nel settore degli armamenti, dei voli spaziali, dei veicoli e degli equipaggiamenti militari. (vedi articolo: http://www.difesaonline.it/evidenza/cyber/f-35-analisi-sui-rischi-cyber-del-caccia-di-quinta-generazione )

L’articolo di oggi prende vita in realtà da un’esigenza che dovrebbe essere primaria per chiunque voglia affrontare le sfide quotidiane relative alla sicurezza informatica, ovvero le modifiche nel “campo di battaglia” e delle minacce in gioco.

Per capire meglio il “mutamento” dello scenario, è buona norma per chi difende analizzare periodicamente i propri asset, in quanto chi attacca cerca sempre di scoprire nuovi punti deboli della struttura.
Lasciar passare troppo tempo significa aumentare sensibilmente il rischio.

In questo articolo vedremo proprio questo cambiamento e potremo analizzare da vicino come per lo stesso dominio la situazione sia radicalmente diversa.

Come sempre, il primo step da eseguire è il cosiddetto “information gathering”, ovvero la raccolta di informazioni che ci servono per eseguire l’analisi vera e propria.
In questo caso, verifichiamo se per il Dominio “lockheedmartin.com” siano presenti indicatori validi di compromissione.

Per semplificarci il lavoro, possiamo utilizzare le API di VirusTotal (Application Programming Interface – una serie di funzioni richiamabili per eseguire una serie di operazioni anche con linguaggi di programmazione diversi e programmi di terze parti), per verificare se un determinato file (o dominio, nel nostro caso...) debba essere approfondito.


Come si può evincere, non sono presenti file che possono considerarsi sospetti, quindi possiamo effettuare una nuova ricerca tramite la piattaforma “ThreatCrowd” per cercare altri elementi correlabili al Dominio e ai propri sotto-Domini:


Fonte: ThreatCrowd

Possiamo quindi visualizzare i dati dalla piattaforma in formato tabellare:


Fonte: ThreatCrowd

Tra le informazioni forniteci, la piattaforma restituisce l’email “lm-nic@lmco.com”. A questo punto possiamo ri-analizzare il dominio “lmco.com” e osservare quindi la differenza con la precedente analisi. Stavolta eseguiremo questa ricerca con le API di VirusTotal per poterci semplificare il tutto:



Possiamo osservare da subito che la situazione è cambiata dalla precedente analisi, ovvero non sono presenti gli stessi hash dell’analisi precedente.

In un’analisi reale, dovremmo analizzare tutti gli hash trovati, per avere effettivamente una buona visione di insieme.
In questo caso prenderemo come riferimento due hash in particolare, il primo:

1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0

ed il secondo hash:
907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80

Per studiare la natura del primo hash, possiamo affidarci sempre alla piattaforma “VirusTotal” che grazie all’analisi del comportamento del malware, ci può fornire un ottimo approfondimento sui Domini, gli IP contattati e le varie modifiche al registro di sistema e file system che possono aiutarci a capire se un sistema sia compromesso o meno.

Si può osservare il comportamento del primo malware semplicemente cliccando questo link:

Come si può osservare, abbiamo l’analisi comportamentale.

Cliccando sul pulsante “Full Report” in alto a destra, è possibile visualizzare il report della sandbox.
La sandbox permette di eseguire il malware in uno spazio isolato e sicuro, ed analizzarne le azioni per prendere poi le dovute azioni, come il blocco degli IP o dei domini malevoli.

NOTA BENE:
Eseguire questo tipo di operazione è potenzialmente dannoso, in quanto si va letteralmente ad eseguire un malware su una propria macchina.
Eseguire questo tipo di analisi SOLO E SOLTANTO SE SI E’ PERFETTAMENTE CONSCI DEI RISCHI E PERFETTAMENTE IN GRADO DI FARLO IN TOTALE SICUREZZA!

Fonte: DrWeb vxCube

Analizzando invece il secondo malware, è possibile notare qualcosa di diverso:

Link all’analisi comportamentale:

Dall’analisi del comportamento è possibile notare che il malware, oltre a provare a contattare il Dominio della Provincia di Milano, ha un comportamento del singolare, comprensibile dall'analisi degli IP contattati.
Questa sotto riportata è la lista parziale degli IP contattati:


Fonte: VirusTotal


E' possibile notare che gli IP contattati dal malware seguono un “pattern” particolare.
Il pattern interessante è il “10.152.152.x”

Questo pattern coincide con la rete di una diffusa soluzione di anonimizzazione, ovvero Whonix.
Whonix è una macchina virtuale, il cui Gateway reindirizza in modo automatico e “trasparente” (ovvero non c’è bisogno di interazione o conoscenza dell’operazione da parte dell’utente) tutta la connessione sul network Tor (la più diffusa soluzione di anonimizzazione sul web).

Come riportato sulla pagina ufficiale del progetto (consultabile al link: https://www.whonix.org/wiki/Other_Operating_Systems ) per poter reindirizzare tutto il traffico di un client su Tor, tramite il Gateway di Whonix è sufficiente impostare i seguenti parametri:

## increment last octet of IP address on additional workstations
IP address 10.152.152.50
Subnet netmask 255.255.192.0
Default gateway 10.152.152.10
Preferred DNS server 10.152.152.10

E’ interessante notare come il malware cerchi di contattare questo tipo di rete.
Da ciò possiamo dire che o si tratta di una fortuita coincidenza, oppure ci troviamo di fronte ad un possibile caso di data leak.

Ovviamente, sia il CERT Nazionale che lo US-CERT sono stati avvisati immediatamente.

Ricordo che tutta l’analisi è basata su dati pubblicamente accessibili e consultabili da chiunque.

Come fatto nel precedente articolo dobbiamo avvisare che dal momento che non si ha visione della rete interna, la situazione riscontrata potrebbe essere frutto di sistemi Antivirus, IPS, Honeypot, Sandbox o altri sistemi difensivi.

Come dimostrato, la situazione tra due analisi può cambiare radicalmente, consiglio pertanto una scansione regolare della propria rete e dei propri sistemi.

Il consiglio è sempre lo stesso: non dobbiamo vedere la sicurezza come un “prodotto”, bensì come un processo.
Lo studio e relativa analisi degli asset ci aiuta a tenere sotto controllo le minacce, le quali sono mutevoli nel tempo ed evolvono con le nostre difese.
E’ fondamentale tenere traccia dei cambiamenti e delle evoluzioni delle minacce per non farsi trovare impreparati.

Alessandro Fiori

venerdì 22 novembre 2019

Northrop Grumman Calls for Expressions of Interest from Australian Industry for AIR6500


Company seeking Australian partners via Industry Capability Network (ICN) Gateway
18 november 2019
CANBERRA, Australia – Nov. 19, 2019 – Northrop Grumman Corporation (NYSE: NOC) is seeking expressions of interest from Australian industry to join them in their efforts to support the Royal Australian Air Force (RAAF) with Project AIR6500. Under AIR6500, the RAAF will develop a 5th generation multi-domain joint battle management system (JBMS) to enable coordination of air battle management, joint weapons employment, and ground-based air defence in operational theatres.
“Northrop Grumman aims to lead industry support to the RAAF as it fields a survivable, scalable and modern, next-generation JBMS under AIR6500. We’re committed to a sovereign capability that’s designed and developed through close collaboration with other Australian industry members,” said Chris Deeble, chief executive, Northrop Grumman Australia. “We recognize that a program of this size, scope and complexity will demand the most innovative, best-of-breed capabilities and a prime systems integrator partnering with Australian industry who can deliver world class capabilities to the Australian Defence Force.”
Northrop Grumman is engaging with a range of industry members, including small businesses, with the goal of creating an Australian AIR6500 solution that brings the best capability for the best value. The ICN Gateway Portal will serve as the primary vehicle for potential suppliers to register expressions of interest and share information about their competencies and skills. 
Northrop Grumman delivers agile, modular open systems network architectures and complex, system-of-systems integration that enable joint and coalition interoperability. Our approach increases situational awareness, facilitates rapid and cost effective technology insertion and modernization, and reduces cost per engagement to deliver affordable solutions and accommodate changing environments.
Northrop Grumman is a leading global security company providing innovative systems, products and solutions in autonomous systems, cyber, C4ISR, space, strike, and logistics and modernization to customers worldwide. Please visit news.northropgrumman.com and follow us on Twitter, @NGCNews, for more information.
Press Release
https://news.northropgrumman.com/news/releases/northrop-grumman-calls-for-expressions-of-interest-from-australian-industry-for-air6500

La Brigata dei "guerrieri ombra"


É di qualche giorno fa la notizia circa la costituzione del 127th Cyber Battalion della Army National Guard dello Stato dell'Indiana. La nuova unità, basata a circa 75 miglia da Indianapolis, è il quinto battaglione di questa tipologia costituito negli ultimissimi anni, unitamente al 123rd e al 124th, entrambi basati in Virginia e al 125th e 126th, rispettivamente ubicati in Columbia e South Carolina. Tali reparti hanno in comune lo stesso comando sovraordinato, ossia la 91st Cyber Brigade, costituita nel febbraio 2017 in Virginia, dopo appena sette mesi dall'avvio del relativo progetto. Traendo spunto dalla citata notizia, vediamo di seguito in cosa consiste proprio la Brigata cyber dei "guerrieri ombra" (dal relativo motto "umbra bellatores"), ovvero come è articolata e che capacità è in grado di esprimere.
Innanzitutto va detto che le capacità cyber della 91st Cyber Brigade, unità della National Guard, si inquadrano in un contesto molto più ampio, composto dalle capacità delle Forze Armate formate da militari professionisti full time, che fanno capo ai Cyber Command di Esercito, Aeronautica, Marina e Corpo dei Marines, riuniti sotto lo U.S. Cyber Command. Esistono poi anche le capacità espresse dalle numerose Agenzie federali di intelligence e di law enforcement (NSA, CIA, FBI, ecc.). In generale, ciò che distingue le unità cyber della Guardia Nazionale, oltre allo status di cittadini-soldati "part time" dei suoi componenti, è l'orientamento delle capacità espresse: se le unità cyber delle Forze Armate sono orientate a compiere tutto lo spettro delle operazioni nel cyberspace, la Brigata dei guerrieri ombra, pur essendo anche lei in grado di esprimere l’intera gamma capacità cyber, ha il compito primario di pianificare e condurre operazioni prevalentemente difensive sul territorio nazionale, mediante le unità dipendenti dai Battaglioni come il citato 127th.
Ognuno dei cinque Battaglioni sin qui costituiti è capace di operare sulle reti e sui sistemi informatici militari, su quelli del Ministero della Difesa o su quelli appartenenti a qualsiasi altra struttura statale o privata ed è formato da quattro unità subordinate, ossia: una Compagnia di cyber security, una Compagnia di cyber warfare e due Cyber Protection Team (CPT), per un totale di circa cento, tra uomini e donne della Army National Guard. Nello specifico, le Compagnie di cyber security conducono attività di vulnerability assessment (ricerca dei “punti deboli” - errori di programmazione o di configurazione - di reti e sistemi informatici), analisi forensi a seguito di eventi o incidenti di sicurezza (analisi volte a individuare le caratteristiche degli attacchi informatici, quali: tecniche utilizzate, origine, presumibile scopo, ecc.) valutazioni della sicurezza e supporto agli operatori di infrastrutture critiche (impianti di produzione di energia elettrica, gestori di reti idriche, ospedali, ecc.) e, infine, consulenza nel campo della cyber security in generale. Le Compagnie di questo tipo, attraverso il rispettivo Comandante, esercitano l’autorità necessaria per l’assolvimento delle missioni assegnate nei confronti dei dipendenti team di cyber security, di supporto alla cyber security o di supporto alle infrastrutture critiche, nel quadro di operazioni difensive nello spazio cibernetico. Le Compagnie di cyber warfare, invece, sono in grado di ricoprire o di supportare il ruolo di opposing force (i “cattivi”) nell’ambito di esercitazioni cyber, di condurre tutto il ventaglio di attività militari nel cyberspace, ivi comprese quelle di ISR (Intelligence, Surveillance and Reconnaissance). Tali unità sono in grado di enucleare team di network warfare, di cyber analisi e di cyber support, esercitando su di essi la direzione e l'indirizzo per la condotta di tutte le tipologie di cyber operations (quindi anche di quelle offensive). Infine, i CPT hanno il compito di condurre operazioni cyber difensive su reti militari, che possono comprendere anche la fornitura di servizi e di consulenza in conformità al quadro normativo federale e dei rispettivi Stati di appartenenza, quali validazioni/ispezioni ai Comandi militari, vulnerability assessment, opposing forces, critical infrastructure assessment, supporto per attività di theater security cooperation e supporto per addestramento e advisory and assistance. È interessante notare che i CPT hanno il compito di intervenire entro quattro ore dall'attivazione da parte del Comando superiore, in caso di una crisi cibernetica. Inoltre, i CPT dei Battaglioni già operativi, come ad esempio il 169th CPT basato a Baltimora, sono impiegati stabilmente in operazioni e partecipano attivamente anche a tutte le principali esercitazioni cyber.
Tornando alla notizia di apertura, in una recente intervista il Brig. Gen. Lyles dell'Indiana National Guard ha illustrato gli ulteriori passi da compiere affinché il 127th Cyber Battalion diventi pienamente operativo e ha sottolineato alcuni aspetti interessanti del progetto. In particolare, l'alto Ufficiale ha evidenziato che l'organico del Battaglione sarà completato nei prossimi due anni sia convertendo ai nuovi incarichi cyber personale già arruolato nella National Guard sia arruolando "nuovi talenti" direttamente dal mondo civile. Nel contempo l'unità riceverà il necessario addestramento e sarà equipaggiata con materiali peculiari, al fine di raggiungere gli standard operativi previsti. Il Generale Lyles ha anche posto l'attenzione su come la scelta della sede in cui è stato costituito il Battaglione non sia stata casuale, bensì ben ponderata. È stato scelto lo Stato dell'Indiana in quanto si tratta di un ambiente particolarmente "fertile" per la cyber: sul suo territorio sono presenti molte professionalità sia militari che civili, nonché Università e centri di ricerca operanti nello specifico settore. In buona sostanza, questo ambiente favorevole, non solo ha consentito di formare la nuova unità con una relativa facilità ma consentirà alla stessa di implementare le sue capacità altrettanto rapidamente, generando un circolo virtuoso tra il mondo militare e quello civile, accademico e industriale.
Al riguardo, giova evidenziare che quanto si sta realizzando nella National Guard potrebbe costituire un valido riferimento a cui le nostre Forze Armate potrebbero ispirarsi, con le dovute proporzioni, allo scopo di dotarsi rapidamente di capacità cyber, assumendo un ruolo di primo piano nel rafforzamento del Paese in tale settore. D'altronde qualcosa di analogo è già stato posto in essere in Francia, Nazione molto più vicina alla nostra realtà, in cui ai militari professionisti delle unità cyber delle Forze Armate, molto simili per struttura e compiti ai Cyber Battalion statunitensi, si aggiungono riservisti "a contratto determinato" e riservisti che prestano servizio a titolo gratuito. In particolare, gli elementi che potrebbero essere presi a modello sono: l'orientamento prevalentemente difensivo delle unità cyber, comunque in grado di condurre ogni tipo di operazione, che operano a supporto delle attività militari e, qualora richiesto, anche nei confronti di reti e sistemi appartenenti ad altre Amministrazioni dello Stato e/o agli operatori di infrastrutture critiche; la fisionomia e il concetto di impiego dei CPT; il ricorso a professionalità già esistenti sul territorio, ancorché non a carattere continuativo. Tutto ciò, applicato nel nostro Paese, consentirebbe di creare un "bacino" di esperti militari del settore, di professione o meno, sempre aggiornati e prontamente impiegabili sia in Patria che nei Teatri Operativi. Inoltre, tale potenziale della Difesa potrebbe essere messo immediatamente a disposizione dell'intera Nazione in un'ottica realmente dual use che, date le caratteristiche trasversali del cyberspace, connota naturalmente tanto le minacce quanto le capacità cyber volte a contrastarle. In definitiva, si tratterebbe di una risorsa molto preziosa per il nostro Paese, che non necessariamente entrerebbe in gioco soltanto in caso di crisi cibernetica ma che, al contrario, potrebbe funzionare da catalizzatore affinché la Nazione cresca rapidamente nel settore della cyber security, sempre più cruciale per l'economia, la società e la sicurezza.

Ciro Metaggiata

Fonti:







martedì 12 novembre 2019

SICUREZZA 2019: AI e APT con DIFESAONLINE


Dal 13 al 15 novembre a Milano-Rho, fiera della SICUREZZA, ci vediamo alla "Cyber Arena", area espositiva, formativa ed informativa totalmente dedicata alla Cyber Security.
Obiettivo? Aiutare aziende ed organizzazioni a capire quali sono i rischi che dobbiamo affrontare nel mondo digitale iperconnesso di oggi.
Un grazie a chi ha contribuito alla realizzazione della Cyber Arena, Business International-Fiera Milano Media, Associazione Italiana Professionisti Security Aziendale (AIPSA) e Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali (ANRA).  

Noi saremo presenti con due interventi il pomeriggio del primo giorno, nella Cyber Arena del padiglione 5.


Alle 15.15 Antonio Vecchio ci parla di Intelligenza Artificiale e sviluppo umano (purtroppo Carlo Mauceli non potrà essere con noi. Buon lavoro Carlo!) e di come la AI possa essere vista come una opportunità oltre che come una sfida. 

Alle 16.00 Alessandro Rugolo ci parla di Advanced Persistent Threath e degli ipotizzabili scenari futuri. Dalla guerra classica alla guerra cibernetica, all'impiego della dimensione cyber per influenzare il mondo che ci circonda, colpire obiettivi fisici, raccogliere dati e informazioni ed anche in questo caso come si aprano delle ottime opportunità nel campo delle nuove imprese e una particolare attenzione alla normativa nazionale e internazionale del settore.

Antonio e Alessandro non saranno soli, presenti infatti diversi amici e collaboratori di Difesa Online che animeranno gli interventi completandoli con spunti e punti di vista differenti.

L'informazione, nel campo Cyber come ovunque, è l'elemento vincente sotto tutti i punti di vista.

Per tutti i tre giorni Difesa Online sarà presente alla Fiera della Sicurezza con uno stand per incontrare i nostri lettori, spiegare il progetto che ci guida e, perché no, trovare sponsor che ci aiutino ad andare sempre più avanti!

La Redazione di Difesa Online

https://sicurezza.businessinternational.it/
http://www.sicurezza.it/it/content/convegni
http://www.difesaonline.it/