Traduttore automatico - Read this site in another language

sabato 17 ottobre 2020

Sicurezza Informatica: sai distinguere tra una buona e una cattiva Intelligenza Artificiale?


L’imprescindibile ruolo di Adversarial Machine Learning ed eXplainable Artificial Intelligence nella progettazione di sistemi per la rilevazione di attacchi informatici basati su AI.

Il futuro converge sempre più verso un modello basato su collaborazione uomo-macchina, in cui le macchine sono ubique e progettate per svolgere compiti che all’uomo risultano difficili, se non impossibili, pericolosi e/o costosi. Per perseguire questi obiettivi, specie quelli più complessi, le macchine implementano sempre più tecniche di Intelligenza Artificiale (AI).

Tutte le moderne tecnologie di intelligenza artificiale sono basate sul concetto di apprendimento automatico da esempi, meccanismo base dell’apprendimento umano e più in generale di tutte le specie viventi, necessario per l’adattamento a scenari inediti e quindi per la sopravvivenza. A partire da una serie di esempi, un algoritmo di Machine Learning (ML), costruisce un modello statistico in grado di generalizzare tali esempi, attraverso informazioni a più alto livello che li caratterizzano come classe. Il processo di generalizzazione è di fatto una sintesi degli esempi di partenza e può permettere di riconoscere automaticamente nuove istanze di quella stessa classe. 

In sicurezza informatica, la classe di interesse è in genere un attacco informatico.

In questo scenario, gli algoritmi di ML devono operare ed apprendere in un ambiente ostile, caratterizzato dalla presenza di un avversario intelligente determinato ad eludere i meccanismi di rilevazione. La stragrande maggioranza degli algoritmi di ML reperibili “a scaffale” non è stata pensata per operare in un tale scenario e può risultare incredibilmente vulnerabile [1] se attaccata. 

Gli attacchi possono essere di tre tipologie principali e complementari:

  • Information gathering: l’avversario acquisisce informazioni (confidenziali) sul sistema obiettivo e i sistemi/utenti ad esso collegati, tipicamente effettuando delle interrogazioni ed interpretandone le risposte;

  • Evasion: l’avversario modifica le istanze di attacco per sfuggire alla rilevazione (evadere), sfruttando delle debolezze intrinseche nel modello statistico appreso;

  • Poisoning: l’avversario inserisce degli esempi ad-hoc per inficiare la corretta generalizzazione da parte dell’algoritmo (in sostanza avvelena gli esempi, dall’inglese poison, veleno).

Gli attacchi di “information gathering” sono utili all’avversario per mettere a punto un profilo del sistema obiettivo, e rivelare informazioni di dettaglio sul modello di ML appreso, ad esempio, verificando quando una certa richiesta viene ammessa e quando invece viene bloccata. Tali attacchi possono causare violazioni di confidenzialità delle informazioni usate dal sistema per l’apprendimento [2].

Gli attacchi di “information gathering” sono inoltre fondamentali per lo sviluppo di attacchi evasion e poisoning. Attraverso un meccanismo interrogazione-analisi risposta, è possibile costruire un modello surrogato che riflette in maniera accurata il comportamento del sistema obiettivo. È stato dimostrato come sia possibile costruire “off-line”, ed in maniera automatica, attacchi evasion e poisoning contro un modello surrogato, per poi trasferirli con efficacia verso il sistema obiettivo [3]. Un aspetto chiave è rappresentato dal fatto che lo stesso modello surrogato è costruito attraverso ML e tale algoritmo può essere completamente diverso da quello effettivamente usato dal sistema obiettivo. È dunque possibile costruire, automaticamente e con successo, attacchi evasion/poisoning senza conoscere i dettagli sull’algoritmo ML impiegato dal sistema obiettivo.

Gli attacchi di tipo “evasion” sono comuni a qualsiasi sistema di rilevazione, ma in questo caso essi fanno leva su limiti inerenti:

  • rappresentatività statistica degli esempi usati per l’addestramento e la verifica delle prestazioni;

  • capacità discriminante delle informazioni (feature) estratte da ciascun esempio;

  • capacità di generalizzazione del modello di base utilizzato dall’algoritmo di apprendimento.

Gli attacchi di “poisoning”, d’altro canto, mirano ad incrementare (spesso a dismisura) i suddetti limiti attraverso l’inserimento di esempi “avvelenati” fra quelli usati dall’algoritmo per l’apprendimento. Tali attacchi possono rendere il modello statistico appreso totalmente inutile, anzi dannoso, ad esempio perché causa troppi falsi allarmi.

Per far fronte a queste tipologie di attacco, negli anni recenti è emerso un nuovo campo di ricerca: l’Adversarial Machine Learning, che si occupa appunto dello sviluppo di sistemi ML capaci di fornire buone prestazioni anche in ambiente ostile [4]. Possiamo vedere l’Adversarial ML come un modo più “saggio” di apprendere da esempi e prendere decisioni, che tiene conto di possibili interrogazioni e manipolazioni dati effettuate da un avversario intelligente.

L’obiettivo dei sistemi di Adversarial ML è quello di:

  • limitare la quantità e la qualità delle informazioni che un avversario può raccogliere in automatico attraverso attacchi information gathering;

  • creare un apprendimento robusto, capace di far fronte alla presenza di un certo numero di esempi completamente sbagliati da cui “imparare”;

  • rinunciare a pronunciarsi (e sollevare un allarme) se gli esempi che si trova di fronte sono significativamente diversi (a livello statistico) da quelli da cui ha “imparato”.

Ma c’è un altro aspetto ancora più importante. Sin dalla fase progettuale, il sistema di rilevazione deve tenere conto delle caratteristiche (feature) difficilmente manipolabili di un’istanza attacco (es. caratteristiche la cui manipolazione è controproducente per la riuscita dell’attacco), in maniera da incrementare in maniera significativa il costo di eventuali manipolazioni da parte di un avversario. In questo senso, occorre fare particolare attenzione ai sistemi basati su Deep Learning - ovvero reti neurali complesse - ormai “trending”, in cui il sistema apprende automaticamente le feature dall’insieme di esempi, ma in cui non esiste alcun criterio di sicurezza in tal senso. Dunque, feature apparentemente molto discriminanti (sugli esempi usati per la verifica di prestazioni) potrebbero essere facilmente manipolate da un avversario (in fase operativa) per evadere la rilevazione.

Il punto è che tipicamente queste informazioni non sono disponibili sui dati di addestramento. Diventa dunque fondamentale innescare un processo continuo in grado di:

  • reperirle attraverso una accurata analisi dell’applicazione specifica;

  • inglobarle nel modello stesso di base utilizzato dall’algoritmo di apprendimento.

Entrambe le fasi necessitano di un esperto di dominio.

Ed ecco che torniamo al concetto di interazione uomo-macchina. Uomo e macchina possiedono base, conoscenza e capacità complementari, ed è dunque fondamentale instaurare un canale di comunicazione efficace capace di mettere a fattor comune efficacemente tali prerogative e in definitiva raggiungere gli scopi per cui l’interazione è stata pensata.

Se lo sviluppo di Adversarial ML tratta del flusso di informazione che dall’uomo va verso la macchina, spiegabilità e consapevolezza sono termini che si riferiscono in particolare al flusso di informazione che dalla macchina va verso l’uomo.

I sistemi basati su AI devono fornire le informazioni chiave all’uomo perché questi capisca, nel modo più semplice possibile, perché hanno preso una certa decisione (spiegabilità - explainability), affinché l’uomo possa contribuire in maniera efficace al processo, ad esempio, inviando alla macchina informazioni in grado di correggere eventuali errori di valutazione. Tale spiegabilità è a sua volta fondamentale per la consapevolezza (awareness) dell’uomo circa gli eventi elaborati dalla macchina. In sicurezza informatica, la situational awareness - consapevolezza dello stato di sicurezza dei sistemi monitorati - è uno degli obiettivi ultimi, e dunque la spiegabilità dei processi di elaborazione della componente AI diventa di cruciale importanza.

Ancora una volta i sistemi basati su Deep Learning risultano inadeguati: essi hanno la caratteristica di rendere imperscrutabili le decisioni prese. Esistono lavori di ricerca che cercano di ovviare a questo deficit, ma il problema sta alla radice dell’algoritmo di apprendimento, che rientra fra quelli di tipo black-box “a scatola chiusa.”

Ogni qual volta si parla di AI applicata alla sicurezza informatica, è dunque fondamentale rivolgersi verso sistemi basati su Adversarial ML e XAI (eXplainable AI), progettati sin dal principio per operare in ambiente ostile e rispondere in pieno ai requisito della spiegabilità delle decisioni.


Igino Corona


(co-founder di Pluribus One srl : https://www.pluribus-one.it

Note:

[1] Biggio, B., Corona, I., Maiorca, D., Nelson, B., Srndic, N., Laskov, P., Giacinto, G., Roli, F.: Evasion attacks against machine learning at test time. In Blockeel, H., ed.: European Conference on Machine Learning and Principles and Practice of Knowledge Discovery in Databases (ECML PKDD). Volume 8190., Springer-Verlag Berlin Heidelberg, Springer-Verlag Berlin Heidelberg (2013) 387–402

[2] Shokri, R., Stronati, M., Song, C., Shmatikov, V.: Membership inference attacks against machine learning models. In: 2017 IEEE Symposium on Security and Privacy, SP 2017, San Jose, CA, USA, May 22-26, 2017, IEEE Computer Society (2017) 3–18

[3] Demontis, A., Melis, M., Pintor, M., Jagielski, M., Biggio, B., Oprea, A., Nita- Rotaru, C., Roli, F.: Why do adversarial attacks transfer? explaining transferability of evasion and poisoning attacks. In: 28th Usenix Security Symposium. Volume 28th USENIX Security Symposium (USENIX Security 19)., USENIX (08/2019 2019) 321–338

[4] Sicurezza del Machine Learning, Stato della ricerca sulla sicurezza del Machine Learning - https://www.pluribus-one.it/it/ricerca/sec-ml/sec-ml-ricerca

[5] B. Biggio, F. Roli, Wild patterns: Ten years after the rise of adversarial machine learning, Pattern Recognition, Elsevier, vol. 84, 317–331, 2018 - https://www.sciencedirect.com/science/article/abs/pii/S0031320318302565

[5] B. Biggio, M. Mauri, Is Artificial Intelligence Safe? - https://www.pluribus-one.it/it/chi-siamo/blog/81-artificial-intelligence/73-is-ai-safe

[6] C. Baraniuk, Machine mind hack: The new threat that could scupper the AI revolution, New Scientist - https://www.newscientist.com/article/mg24232270-200-machine-mind-hack-the-new-threat-that-could-scupper-the-ai-revolution/

[7] K. Quach, Fool ML once, shame on you. Fool ML twice, shame on... the AI dev?, The Register https://www.theregister.com/2019/02/21/ai_attack_transfer/

[8] F. Roli, M. Mauri, Artificial Intelligence: past, present, and future. Part I - Short history of Artificial Intelligence - https://www.pluribus-one.it/it/chi-siamo/blog/81-artificial-intelligence/75-ai-history

[9] F. Roli, M. Mauri, Artificial Intelligence: past, present and future. Part II - The Good, the Bad and the Ugly - https://www.pluribus-one.it/it/chi-siamo/blog/81-artificial-intelligence/76-good-bad-ugly-in-ai

[10] D. Bass, Artificial Intelligence vs. the Hackers, Bloomberg - https://www.bloomberg.com/news/articles/2019-01-03/artificial-intelligence-vs-the-hackers

[11] L. Hay Newman, AI Can Help Cybersecurity. If It Can Fight Through the Hype, Wired - https://www.wired.com/story/ai-machine-learning-cybersecurity/

[12] T. Simonite, AI Has a Hallucination Problem That's Proving Tough to Fix, Wired - https://www.wired.com/story/ai-has-a-hallucination-problem-thats-proving-tough-to-fix/

venerdì 16 ottobre 2020

Le botnet: una delle più grandi minacce del cyberspace


Microsoft: un esempio da seguire per la loro distruzione...

La Cybersecurity è una responsabilità condivisa, che influisce su tutti noi. Bisogna partire da questa assunzione di responsabilità per comprendere a pieno un fenomeno che mina alla base la società nella quale viviamo.

Ogni giorno le organizzazioni sottraggono tempo e risorse preziose al proprio core business per difendersi e rimediare agli attacchi informatici. Tuttavia, affidandosi a decine di strumenti complessi, spesso non connessi tra di loro, le aziende rimangono in pericolo, poiché i cybercriminali possono sfruttare questo gap. In questo scenario, i team addetti alla sicurezza sono impegnati in una faticosa lotta per rispondere adeguatamente alla continua evoluzione della natura delle minacce e del profilo dei criminali informatici, mentre i professionisti più esperti in ambito sicurezza sono sempre pochi sul mercato del lavoro.

Per questa ragione, è sempre più necessario che le società che operano nel campo della sicurezza informatica si assumano il compito di rendere sicuro lo spazio cibernetico, e la notizia di pochi giorni fa che Microsoft ha smantellato una grande operazione portata avanti da gruppi hacker che avrebbe potuto influenzare le elezioni presidenziali statunitensi di novembre va letta in quest’ottica. 

La rete smantellata si chiamava Trickbot ed era una cosiddetta “botnet”, cioè una rete di dispositivi infettati con software maligni che, in questo caso, era arrivata a interessare oltre un milione di dispositivi. Attraverso la diffusione di “ransomware”, software che bloccano un computer chiedendo un riscatto, queste reti possono interrompere alcuni processi legati al voto, come gli scrutini elettronici o le consultazioni delle liste elettorali ma non solo.

Le botnet sono diventate una delle principali minacce ai sistemi di sicurezza di oggi. Sono sempre più utilizzate dai cybercriminali perché consentono di infiltrarsi in quasi tutti i dispositivi connessi a Internet, da un riproduttore DVR ai mainframe aziendali.

Molti cybercriminali utilizzano le botnet per fare cryptojacking, ovvero il mining illegale di criptovalute su sistemi informatici di terzi. Si tratta di una tendenza destinata ad aumentare per cui sempre più computer verranno infettati con malware di mining e verranno rubati sempre più portafogli digitali.

Oltre a essere pericolosi strumenti di persuasione politica e cryptojacking, le botnet sono una minaccia per aziende e consumatori perché diffondono malware, lanciano attacchi a siti web, rubano dati personali e truffano inserzionisti pubblicitari. Insomma, le botnet sono chiaramente un grosso problema, ma siamo sicuri di sapere esattamente cosa sono e come funzionano? E come si fa a proteggere i propri dispositivi e dati personali? La prima cosa da fare è capire come sono fatte. A quel punto, potremo imparare a proteggere i nostri dispositivi.

Significato di botnet

Per capirne meglio il funzionamento, proviamo a dare una definizione di botnet. Il termine “botnet” è la fusione dei termini “robot” e “network” (rete). In generale, le botnet sono proprio questo: una rete di robot utilizzati per commettere cybercrimini. I cybercriminali che le controllano vengono chiamati botmaster o bot herder che, tecnicamente, significa “mandriani”, sottolineando come l’efficacia di una botnet dipenda dalla sua estensione.

Dimensione di una botnet

Per creare una botnet, i botmaster hanno bisogno di controllare migliaia di dispositivi infetti (bot) e connessi a Internet. Le dimensioni di una botnet dipendono direttamente dal numero di bot connessi. Più grande è la botnet, più danni fa.

I cybercriminali utilizzano le botnet per ottenere un effetto dirompente e amplificato. Ordinano al loro esercito di bot infetti di sovraccaricare un sito web fino al punto in cui questo smette di funzionare e viene negato l’accesso ai visitatori. Gli attacchi di questo tipo vengono chiamati Distributed Denial of Service (DDoS), che in inglese significa “interruzione distribuita del servizio”.

Infezioni da botnet

Normalmente, le botnet non vengono create per danneggiare un solo computer, ma per infettare milioni di dispositivi, come illustra il caso del marzo 2020 della botnet Necurs. Spesso, per inglobare i computer nelle botnet, i botmaster utilizzano virus di tipo Trojan. La strategia è questa: l’utente infetta inconsapevolmente il proprio sistema aprendo un allegato fraudolento, facendo clic su un annuncio popup o scaricando un software infetto da un sito web non affidabile. Una volta infettato il dispositivo, la botnet può visualizzare e modificare i dati personali presenti, utilizzarlo per attaccare altri computer e commettere altri crimini informatici.

Alcune botnet più complesse possono addirittura espandersi automaticamente, trovando e infettando nuovi dispositivi senza l’intervento diretto del botmaster. I bot di queste reti cercano continuamente altri dispositivi connessi a Internet da infettare e prendono di mira quelli in cui il sistema operativo non è aggiornato o che sono sprovvisti di un software antivirus.

Inoltre, le botnet sono difficili da rilevare: utilizzano una quantità irrisoria di risorse del computer per non interferire con il normale funzionamento dei programmi e non destano alcun sospetto nell’utente. Le botnet più avanzate sono anche in grado di modificare il proprio comportamento in base ai sistemi di cybersicurezza dei computer per evitare di essere rilevate. Nella maggior parte dei casi, gli utenti non sanno che i propri dispositivi sono connessi a una botnet e controllati da cybercriminali. Ma la cosa peggiore è che le botnet continuano a evolversi, e le nuove versioni sono sempre più difficili da rilevare.

Infine, le botnet hanno bisogno di tempo per crescere. Molte rimangono inattive finché il numero di bot connessi è abbastanza alto. A quel punto, il botmaster le attiva e comanda a tutti i bot di realizzare un attacco DDoS o un invio di massa di spam.

Le botnet possono infettare praticamente qualsiasi dispositivo connesso a Internet. PC, portatili, dispositivi mobili, DVR, smartwatch, telecamere di sicurezza e perfino gli elettrodomestici intelligenti possono essere inglobati da una botnet.

Da questo punto di vista, lo sviluppo dell’Internet of Things è una manna dal cielo per i botmaster, che avranno sempre più opportunità di espandere le proprie botnet e causare danni ancora maggiori. Prendiamo ad esempio il caso di Dyn, la grande azienda di infrastrutture per Internet che nel 2016 ha subito uno dei peggiori attacchi DDoS su larga scala. In quell’occasione è stata utilizzata una botnet fatta di telecamere di sicurezza e DVR. L’attacco ha messo in crisi Internet, rendendola inutilizzabile in vaste aree degli Stati Uniti.

Botnet sul web

Uno degli aspetti più controversi del Web è che rende disponibile a tutti qualsiasi risorsa, anche quelle illegali. Di fatto, gli hacker non hanno neanche bisogno di saper creare botnet. Su Internet è possibile comprarle o addirittura affittarle! Dopo aver infettato e inglobato migliaia di dispositivi, i botmaster cercano altri cybercriminali che hanno bisogno di una botnet. Così, i compratori possono sferrare altri cyberattacchi o rubare dati personali senza essere esperti di informatica.

La legislazione in materia di botnet e cybercrimine è in costante evoluzione. Dato che le botnet stanno diventando una minaccia sempre più seria per le infrastrutture di Internet, i sistemi di telecomunicazione e addirittura per le reti di distribuzione elettrica, prima o poi agli utenti verrà richiesto di garantire la sicurezza dei propri dispositivi. È probabile che in futuro le normative di cybersicurezza attribuiranno più responsabilità agli utenti per i crimini commessi con i loro dispositivi.

Struttura delle botnet

Le botnet possono essere progettate in due modi, entrambi destinati a massimizzare il controllo dei botmaster sui bot:

  • Modello client-server. In questo tipo di botnet un server controlla le trasmissioni di dati di ciascun client, come nella struttura classica di una rete. Il botmaster utilizza un software apposito per creare i server Command and Control (C&C), che impartiscono istruzioni a ciascun dispositivo-client. Questo modello è ottimo per mantenere il controllo sulla botnet, ma ha diversi svantaggi: per le forze dell’ordine è abbastanza facile localizzare il server C&C e ha un solo centro di controllo. Una volta distrutto il server, la botnet non esiste più.

  • Peer-to-peer. Invece di affidarsi a un server C&C centrale, le botnet più recenti si basano su una struttura peer-to-peer (P2P). In una botnet P2P ciascun dispositivo infetto funziona sia come client sia come server. Ogni bot ha un elenco degli altri dispositivi infetti e li contatta quando ha bisogno di aggiornare o trasmettere informazioni. Le botnet P2P sono più difficili da smantellare per le forze dell’ordine perché mancano di un’origine centrale.

Prevenzione contro le botnet

A questo punto dovrebbe essere chiaro che per prevenire l’infezione da botnet è necessario adottare una strategia su più fronti, basata principalmente su regole per una navigazione sicura e un sistema di protezione antivirus la cui responsabilità è nelle mani dell’utente. In particolare dovrà:

    • Aggiornare il sistema operativo

    • Non aprire allegati di email di mittenti sconosciuti o sospetti

    • Non scaricare file da reti P2P e di file sharing.

    • Non fare clic su link sospetti

    • Utilizzare software antivirus e di protezione dell’endpoint.

Ciò che possiamo fare come utenti ci permette di limitare il rischio di diventare parte di una botnet ma se torniamo a come abbiamo iniziato l’articolo, è chiaro che lo smantellamento di una botnet non è un’azione che può essere realizzata da una singola azienda. Serve la collaborazione da parte di tanti attori e l’intervento delle componenti giuridiche. Nel caso specifico, come in altri casi del recente passato, Microsoft ha avuto l’autorizzazione a procedere con la distruzione della rete da parte del tribunale dell’Eastern District della Virginia.

La giusta tecnologia e le corrette operazioni non bastano a garantire al mondo la massima sicurezza possibile: è necessario rafforzare l’intero ecosistema, unire le forze dell’intero settore IT e collaborare direttamente con governi e istituzioni democratiche. Microsoft ha recentemente compiuto significativi passi avanti in questa direzione, collaborando con aziende tecnologiche, policy maker e istituzioni decisive per il processo democratico in difesa delle elezioni di metà mandato. Il programma “Defending Democracy” è finalizzato alla protezione delle campagne politiche dalle intromissioni dei cybercriminali, all’aumento della sicurezza del processo elettorale, alla difesa contro la disinformazione e a una maggiore trasparenza della pubblicità politica online. Parte del programma è rappresentato dall’iniziativa AccountGuard, che assicura protezione informatica all’avanguardia senza costi aggiuntivi a tutti i candidati e agli uffici per le campagne elettorali a livello federale, statale e locale, così come ad altre organizzazioni decisive per il processo democratico. Nel corso del primo mese hanno aderito ad AccountGuard oltre 30 organizzazioni. L’iniziativa, concentrata in un primo tempo sulle attività dei maggiori partiti nazionali, è ora estesa non solo a comitati di rappresentanza dei due partiti principali degli Stati Uniti, ma anche a think tank e campagne di alto profilo.

Carlo Mauceli


domenica 11 ottobre 2020

Cyber tregua USA - Russia ... e se passasse per le operazioni contro Trickbot?


A prestar fede al Washington Post, lo US Cyber Command nei giorni scorsi è stato impegnato in una operazione preventiva avente come obiettivo la botnet Trickbot.

L'operazione aveva lo scopo di complicare la vita ai gestori di una delle più estese botnet al mondo (probabilmente più di due milioni di pc infetti). Trickbot è impiegata per condurre campagne di ransomware ma anche per diffondere fake news allo scopo di influenzare gli elettori. 

L'effetto ricercato ha proprio a che fare con le elezioni presidenziali americane che si svolgeranno da qui a qualche settimana.

Sempre secondo l'articolo, l'operazione è una conseguenza della nuova dottrina militare del Comandante del US Cyber Command (nonchè direttore della NSA) Paul Nakasone: "Persistent engagement".


Il primo a segnalare ciò che accadeva alla botnet Trickbot è stato Brian Krebs sul suo sito, KrebsonSecurity, che ha spiegato come, a fine settembre, sia stato iniettato sulla catena di C2 di Trickbot un file di configurazione costruito ad arte per bloccare, almeno temporaneamente, la botnet. Circa dieci giorni dopo è accaduta la stessa cosa, facendo pensare che si sia trattato di una attività pianificata e non di un errore. 

Secondo la società di threat intelligence Intel 471, nel secondo attacco contro la botnet sono stati immessi dati sbagliati allo scopo di ritardarne le operazioni di ripristino. 

Perché prendersi il disturbo di "infastidire" le attività di una botnet lo svela al Washington Post un anonimo del US Cyber Command, come abbiamo detto.

Si tratta principalmente di disturbare le operazioni di disinformazione condotte attraverso la botnet, dirette a influenzare le elezioni presidenziali americane. 

Credo sia interessante mettere questa notizia a sistema con quanto sta accadendo sul piano diplomatico nel campo cyber.

Sul New York Times del 25 settembre è apparso un interessante articolo in cui si afferma che il presidente russo, Vladimir Putin, avrebbe chiesto agli USA di stipulare una tregua nel cyberspace. Naturalmente Putin non ha ammesso di aver responsabilità nelle attività di influenza condotte nel corso di precedenti elezioni.

Il messaggio del presidente Putin è in quattro punti, semplice e lineare:

1°. Restaurare un dialogo bilaterale onnicomprensivo, ad alto livello, interagenzia, sulla questione chiave di assicurare la Information Security su scala internazionale;

2°. Mantenere dei canali di comunicazione sempre aperti tra le agenzie competenti (USA e Russia) per il tramite dei "Nuclear Risk Reduction Centers", i "Computer Emergency Respons Teams" e Ufficiali di alto livello sulle questioni relative agli organismi che si occupano di assicurare la sicurezza nazionale, comprese le informazioni.

3°. Sviluppare e concludere congiuntamente un accordo bilaterale intergovernativo sulla prevenzione di incidenti nello spazio delle informazioni a similitudine di quanto per la prevenzione di incidenti in alto mare del 25 maggio 1972.

4°. Scambiare, secondo un formato accettabile, garanzie di non intervento negli affari interni, compresi i processi elettorali, per mezzo di strumenti ICT e di high-tech.

Questa dichiarazione apre a due scenari:

- nel primo, la Russia mette le capacità Cyber sullo stesso livello di quelle nucleari e propone di studiare un qualche sistema per ridurne l'impiego in futuro;

- nel secondo scenario la Russia usa questa proposta come prosecuzione delle sue operazioni di influenza, cercando di spaccare l'opinione pubblica occidentale con una proposta di "pace cyber" che senza ombra di dubbio avrà molti seguaci e altrettanti oppositori!

Alessandro Rugolo

Per approfondire:

https://krebsonsecurity.com/2020/10/attacks-aimed-at-disrupting-the-trickbot-botnet/

https://public.intel471.com/

https://www.washingtonpost.com/national-security/cyber-command-trickbot-disrupt/2020/10/09/19587aae-0a32-11eb-a166-dc429b380d10_story.html

https://www.nytimes.com/2020/09/25/world/europe/russia-cyber-security-meddling.html

http://en.kremlin.ru/events/president/news/64086

giovedì 1 ottobre 2020

Microsoft - l'importanza della sicurezza e della privacy al tempo del Covid


L’obiettivo di Microsoft è quello di democratizzare l’accesso alla tecnologia, così che tutti possano beneficiarne, mantenendo come priorità la tutela della privacy e la sicurezza dei dati.”, (Satya Nadella, A.D. Microsoft)


Rivoluzione Digitale significa il passaggio graduale da una tecnologia elettronica analogica a tecnologie elettroniche digitali, il cui principale protagonista è Internet e gli strumenti che lo adoperano, come computer o telefoni cellulari digitali. Questa rivoluzione ha cambiato in maniera significativa il nostro approccio alla cultura, al mondo del lavoro, al modo in cui passiamo il tempo libero.

In tutti gli aspetti della vita sociale, la digitalizzazione dell’informazione è diventata indispensabile, un elemento chiave che ha modificato anche il modo di interagire con il prossimo.

Con l’avvento dell’era digitale, infatti, si evolvono le modalità di accesso alle informazioni. Mutano i mezzi con cui accediamo ai contenuti informativi, si trasforma il modo in cui i media, le aziende o personaggi pubblici comunicano con il proprio pubblico, attraverso il sito web o blog piuttosto che i canali social.

Nei possibili scenari futuri ipotizzati, la rivoluzione digitale è un evento storico di cui facciamo parte e che sta trasformando la società in tutti i suoi aspetti; così come il rapporto tra le persone e il mondo del lavoro, che offre oggi nuove possibilità di occupazioni legate al mondo digitale.

Ci sono state ampie discussioni al riguardo perché la tecnologia crea si nuovi casi d’uso, nuove opportunità, ma anche pericoli reali o potenziali e solleva interrogativi complessi sul suo impatto sociale: lavoro, privacy, sicurezza, inclusione, equità. Un processo innovativo senza etica, o semplicemente un comportamento che non tenga conto delle variabili intangibili, sta mostrando di non essere in grado di soddisfare quel ruolo sociale che in una visione moderna gli compete. Tutto questo in attesa di una legislazione che ancora arranca, intenta a inseguire invece di prevenire.

Sono tanti i personaggi che hanno dato il loro parere.

La tecnologia è sì uno strumento, ma siamo noi a darle un valore. Posso servirmi di un coltello per tagliare il pane o uccidere una persona, ma il coltello per spalmare il burro è diverso dal coltello da combattimento. Ciò significa che la neutralità e la dualità possono essere orientate positivamente fin dal principio — sottolinea il filosofo Luciano Floridi — In questo senso la tecnologia digitale appare molto più orientata a migliorarci la vita che a rovinarcela, nel senso che sostiene ciò che abbiamo già e consente di fare ciò che finora non era possibile. È opportunità di sviluppo ma deve essere guidata”

La “galassia digitale”, e in particolare la cosiddetta “intelligenza artificiale”, si trova proprio al cuore del cambiamento d’epoca che stiamo attraversando. L’innovazione digitale, infatti, tocca tutti gli aspetti della vita, sia personali sia sociali. Essa incide sul nostro modo di comprendere il mondo e anche noi stessi” così scrive Papa Francesco nella lettera Humana communitas, inviata alla Pontificia Accademia per la Vita (PAV) in occasione del suo 25° anniversario.

Anche la comprensione che l’essere umano ha di sé stesso pone l’accento sulla centralità delle relazioni e dell’informazione: l’organismo opera sulla base di informazioni ed è connesso con altri organismi analoghi, immersi in un ambiente condiviso con altri agenti informazionali, naturali e artificiali. È quello che si indica con il termine “infosfera”. Nella realtà in cui siamo immersi, in cui le connessioni si moltiplicano, non ha più neanche senso porre la domanda se si è online o offline. Sarebbe più corretto dire che siamo “onlife”, un neologismo che alcuni pensatori utilizzano per esprimere l’inestricabile intreccio tra vita e universo digitale. E le interazioni si infittiscono non soltanto tra gli esseri umani e i dispositivi, ma anche tra i dispositivi stessi, sovente senza che noi neanche ce ne accorgiamo, come avviene nel cosiddetto «Internet delle cose».

Perché questa introduzione? Perché partire da queste considerazioni?

La risposta è semplice. Perché è arrivato il covid-19 e questo tsunami ha fatto sì che molte discussioni passassero, non dico in secondo piano, ma accelerassero nel processo di acquisizione e di utilizzo per lasciare, però spazio, ad altri termini che, in ogni caso, negli ultimi mesi hanno rappresentato le parole chiave con cui definire l’evoluzione dei nostri comportamenti: sicurezza, privacy, responsabilità e territorialità dei dati.

Le ultime vicende hanno mostrato con forza come le dinamiche digitali e gli interessi pubblici, di cittadini e Stati, ormai siano strettamente intrecciati. Il problema di fondo è che viviamo un momento di confusione, in cui si stanno alternando tentativi (spesso ambigui e contraddittori) di autoregolamentazione da parte delle piattaforme e tentativi di normazione da parte degli Stati.

Se da un lato le prime oscillano tra mosse “di facciata” volte a rassicurare utenti e Governi circa la loro volontà di tutelare i nostri dati e le necessità di business che mirano al profitto ad essi legato, le iniziative degli Stati appaiono spesso contraddittorie, confuse, e con impatti ad oggi imperscrutabili (che oscillano tra l’inefficacia e il rischio di censura e soffocamento dell’innovazione).

Scandali come Cambridge Analytica o i grandi data breaches che tra gli altri hanno colpito Google, Facebook e la catena di alberghi Marriott, hanno, insomma, contribuito a segnare la fine di un certo modo forse un po’ naif d’intendere il web.

In questo scenario anche Microsoft riveste un ruolo fondamentale pur rimanendo una società il cui business principale è legato ai servizi e non certamente ai dati. Eppure, troppo spesso, viene accomunata ad altri giganti del web che non hanno le medesime caratteristiche né, tantomeno, sviluppano lo stesso business, Negli ultimi tempi, Microsoft è assurta alle cronache per l’incremento esponenziale che i servizi di comunicazione e collaborazione, basati sulla piattaforma O365, hanno avuto. In Italia l'azienda ha assistito a un aumento del 775% del numero di chiamate e di meeting fatti su Teams in un mese.

Ovviamente non sono mancati i dubbi, le discussioni e, spesso, anche le critiche relative all’adozione da parte delle aziende italiane di questa piattaforma. Critiche relative, ad esempio, legati a dubbi quali:

  • Garantire le misure minime di sicurezza, riservatezza e protezione dei dati personali;

  • La sicurezza della rete utilizzata per i collegamenti remoti;

  • Che fine fanno i dati raccolti e archiviati durante le comunicazioni;

  • Chi può accedere ai dati;

giusto per citarne alcuni.

Mi sembra, pertanto, corretto fornire una serie di delucidazioni che non hanno la pretesa di essere esaustive ma che possono aiutare a fare un po' di chiarezza.

Prima di farlo partiamo, però, da alcune considerazioni del CEO di Microsoft, Satya Nadella: “L’obiettivo di Microsoft è quello di democratizzare l’accesso alla tecnologia, così che tutti possano beneficiarne, mantenendo come priorità la tutela della privacy e la sicurezza dei dati.”

"Quando iniziamo a parlare di sicurezza informatica, voglio iniziare con la missione di Microsoft", ha detto Nadella. "La nostra missione di consentire a ogni persona e organizzazione del pianeta di ottenere di più è ciò che guida tutta la nostra agenda di innovazione tecnologica, come interagiamo con i nostri clienti, come ci presentiamo con i nostri clienti, come collaboriamo con l'ecosistema più ampio. Guida tutto ciò che facciamo."

Oggi, i dipendenti accedono a dati sensibili su sistemi on-premise e basati su cloud, utilizzando tutto, da laptop e desktop a sensori internet di cose e dispositivi proprietari. Ma mentre i vantaggi aziendali di tale connettività sono enormi, anche la minaccia per la sicurezza informatica è aumentata.

"Stiamo adottando un approccio di principio con un impegno forte per garantire che i nostri clienti possano fidarsi della tecnologia digitale che usano", ha affermato Nadella. "Abbiamo quattro pilastri su cui si basa la nostra strategia. Quando si tratta di privacy, ci assicureremo che i tuoi dati siano privati e sotto il tuo controllo. Quando si tratta di conformità, gestiremo i tuoi dati in conformità con la legge del terreno. Saremo anche trasparenti sia sulla raccolta dei dati che sull'utilizzo dei dati. Infine, ci assicureremo che tutti i tuoi dati siano al sicuro."

Non dimentichiamoci, quindi, che la sicurezza è un viaggio ed è solo grazie alla realizzazione di tutte le fermate che costituiscono questo viaggio che si possono ottemperare i giusti requisiti che ogni persona ed ogni azienda esige.


Carlo Mauceli

domenica 27 settembre 2020

Gli Stati Uniti primi al mondo in ambito cyber

Questo, in sintesi, quanto viene affermato nel National Cyber Power Index (NCPI) 2020 del Belfer Center for Science and International Affairs.
Lo studio condotto prende in esame le capacità cyber e la volontà all'impiego di trenta Nazioni, redigendo una classifica in testa alla quale si trovano gli Stati Uniti, seguiti a qualche lunghezza da Cina e Regno Unito. Solo quarta la Russia. A seguire i Paesi Bassi, la Francia, la Germania, il Canada, il Giappone e l'Australia.
Tra le prime dieci nazioni vi sono quattro appartenenti alla cosiddetta "Five eyes", solo la Nuova Zelanda è più indietro, occupando la quindicesima posizione.
Sempre da una analisi sommaria si nota che tre  nazioni su dieci sono europee, Paesi Bassi, Francia e Germania.
Ma, ci si potrebbe chiedere, come è stata stilata la classifica?
E perché una nuova classifica dato che già ne esistono altre?
Iniziamo col dare risposta alla prima domanda.
Il Belfer Center nasce nel 1973 come istituto statunitense, situato a Cambridge, nel Massachusetts con lo scopo di occuparsi di analisi e studi internazionali nel campo del nucleare e del controllo degli armamenti. Il suo campo d'azione negli anni si è ampliato ed oggi comprende anche il dominio cyber.
Con questo studio - parole di Eric Rosenbach (1) - il team del Belfer Center ha prodotto il miglior modello per censire la potenza cyber (di uno Stato).
Il gruppo di lavoro, bisogna riconoscerlo, ha fatto un ottimo lavoro nella identificazione dei possibili obiettivi nazionali alla base dello sviluppo e impiego del cyber power:

1. Surveilling and Monitoring Domestic Groups;
2. Strengthening and Enhancing National Cyber Defenses;
3. Controlling and Manipulating the Information Environment;
4. Foreign Intelligence Collection for National Security;
5. Commercial Gain or Enhancing Domestic Industry Growth;
6. Destroying or Disabling an Adversary’s Infrastructure and
Capabilities;
7. Defining International Cyber Norms and Technical Standards.

Ha quindi identificato le capacità cyber dei trenta Stati presi in considerazione e la loro volontà e capacità di impiegarle allo scopo di raggiungere i suoi obiettivi.

Come detto in precedenza esistono già altri indici che misurano in qualche modo il cyber power.
Tra questi abbiamo trattato in un precedente articolo  del GCI (Global Cybersecurity Index) del International Telecommunications Union.
Esiste un secondo indice che analizza la maturità di 75 Paesi nel settore cyber e dei servizi digitali, si tratta del Potomac Institute's Cyber Readiness Index.
Il terzo indice, sviluppato da Economic Intelligence Unit & Booz Allen Hamilton, si chiama Cyber Power Index e misura il cyber power dei Paesi del G20 ma non comprende le capacità di cyber offensive essendo incentrato principalmente su indicatori economici.

Nello studio si effettua un paragone tra le diverse metodologie, da cui risulta la maggior precisione del nuovo indice. Da notare che sia nel GCI del ITU, sia nel CPI il Regno Unito risultava al primo posto, posizione occupata nel nuovo indice dagli Stati Uniti.

Molto interessante notare che secondo il NCPI, seppure il primato nel settore cyber sia in generale attribuito agli Stati Uniti, la Cina è indicata come la nazione con il maggior punteggio in relazione al "Intent" che è definito come:

"measurement of the quality and quantity of government planning initiatives (i.e. national cyber security strategies, crisis plans, and other related government planning documents). It is a subjective assessment of the government’s “observed behavior” on cyber relevant issues".

Ciò è in linea con la narrativa generale statunitense che descrive la Cina come una nazione estremamente aggressiva in tutti i campi.

In definitiva, lo studio è molto interessante e dovrebbe essere approfondito, soprattutto in relazione al fatto che l'Italia risulta essere in ventinovesima posizione su trenta Paesi !


Alessandro RUGOLO
 
Note:

(1) Eric Rosenbach è Co-Director del Belfer Center e Former Chief of Staff and
Assistant Secretary for the U.S. Department of Defense

Per approfondire:
https://www.belfercenter.org/publication/national-cyber-power-index-2020/;
https://www.difesaonline.it/evidenza/cyber/global-cybersecurity-index-2017-italia-al-31%C2%B0-posto-discesa
https://www.itu.int/pub/D-STR-GCI.01-2018
https://www.potomacinstitute.org/images/CRIndex2.0.pdf
https://www.smartdatacollective.com/cyber-power-index/

giovedì 17 settembre 2020

The TIDoS Framework

Per gli amanti di Kaly Linux, Metasploit è il framework impiegato per eseguire attività di Penetration Testing...
eppure, negli ultimi tempi, qualcosa di nuovo si è fatto avanti: TIDoS.

Cosè TIDoS?

Si tratta di un nuovo "Offensive Web Application Penetration Testing Framework", realizzato come progetto dal Team CodeSploit.

Vediamo in che consiste:

La versione su GitHub è la 1.7, ed è dichiarata come stabile. 
Il linguaggio di programmazione principale è python per il 95,6 %.
per un totale di 108 moduli.

Il framework è articolato intorno a cinque fasi:

- Reconnaissance Phase: di cui fanno parte 50 moduli;

- Scanning & Enumeration Phase, con 16 moduli;

- Vulnerability Analysis, con 37 moduli;

- Exploit Castle, con un solo modulo;

- Auxilliares, con 4 moduli.

La prima fase, reconnaissance, generalmente consiste nella pianificazione delle attività e nella raccolta di informazioni sull'obiettivo e sulle potenziali vulnerabilità. 
Naturalmente ricordo a tutti che l'attività di penetration testing è una attività che deve essere condotta in determinate circostanze e con le dovute autorizzazioni, non si tratta di condurre un attacco contro un obiettivo ma di individuare le vulnerabilità di un possibile obiettivo per aiutarlo a ridurle o eliminarle.

Tra i tanti moduli della prima fase (che potete trovare qui) si trovano:
- Nping Enumeration;
- WhoIS Lookup, per la raccolta di informazioni sul dominio di interesse;
- GeoIP Lookup, per individuare la posizione fisica di un obiettivo;
- DNS Configuration Lookup, che scarica la configurazione del DNS.

Interessante il modulo Wayback Machine Lookup, che serve per reperire backup di siti web, per esempio per verificare o ritrovare informazioni modificate o cancellate nel tempo.

Teoricamente le fasi andrebbero eseguite in sequenza.
In ogni fase è presente un modulo che consente di automatizzare le attività.
Il framework è ancora in sviluppo e l'autore ammette che potrebbero esserci dei malfunzionamenti su cui sta lavorando.

Una cosa è certa, le immagini delle schermate disponibili ci riportano indietro di un po di anni, cosa piacevole per certi versi... attendiamo gli sviluppi!


Alessandro Rugolo

Per approfondire:

https://www.metasploit.com/
https://github.com/0xInfection/TIDoS-Framework
https://www.cisco.com/c/en/us/products/security/what-is-pen-testing.html
https://www.facebook.com/0xInfection/?ref=page_internal
https://www.imperva.com/learn/application-security/penetration-testing/#:~:text=%20Penetration%20testing%20stages%20%201%20Planning%20and,cross-site%20scripting%20%2C%20SQL%20injection%20and...%20More%20
https://www.elastic.co/guide/en/siem/guide/current/nping-process-activity.html
https://nmap.org/nping/
http://web.archive.org/
https://www.blackhatethicalhacking.com/tools/the-tidos-framework/

domenica 13 settembre 2020

Intel Launches World’s Best Processor for Thin-and-Light Laptops: 11th Gen Intel Core

More than 150 Designs in Development, Including 20 Verified Under New Intel Evo Platform Brand


NEWS HIGHLIGHTS
  • Intel launches 11th Gen Intel® Core™ processors with Intel® Iris® Xe graphics, the world’s best processors for thin-and-light laptops1, delivering up to 2.7x faster content creation2, more than 20% faster office productivity3 and more than 2x faster gaming plus streaming4 in real-world workflows over competitive products.
  • Intel® Evo™ platform brand introduced for designs based on 11th Gen Intel Core processors with Intel Iris Xe graphics and verified through the Project Athena innovation program’s second-edition specification and key experience indicators (KEIs).
  • More than 150 designs based on 11th Gen Intel Core processors are expected from Acer, Asus, Dell, Dynabook, HP, Lenovo, LG, MSI, Razer, Samsung and others.
SANTA CLARA, Calif., Sept. 2, 2020 – Intel today unleashed a new era of laptop performance with the launch of its next-generation mobile PC processors and the evolution of its broad ecosystem partnerships that are propelling the mobile PC industry forward. New 11th Gen Intel Core processors with Intel Iris Xe graphics (code-named “Tiger Lake”) are the world’s best processors for thin-and-light laptops with unmatched capabilities for real-world productivity, collaboration, creation, gaming and entertainment across Windows and ChromeOS-based laptops.
Leveraging Intel’s new SuperFin process technology, 11th Gen Intel Core processors optimize power efficiency with leading performance and responsiveness while running at significantly higher frequencies versus prior generations. More than 150 designs based on 11th Gen Intel Core processors are expected from partners including Acer, Asus, Dell, Dynabook, HP, Lenovo, LG, MSI, Razer, Samsung and others.