Traduttore automatico - Read this site in another language

giovedì 22 luglio 2021

INTERNET-OF-THINGS, UNA TECNOLOGIA A RISCHIO SISTEMICO. ECCO IL PERCHE’

Per Internet-of-Things (IoT) si intendono tutte quelle tecnologie che abilitano all’uso degli oggetti intelligenti, cioè dei sensori e degli attuatori che, collegati ad internet, si riesce a programmare o usare a distanza tramite, ad esempio, un’applicazione dal telefonino o un programma dal computer di una centrale operativa. E’ il caso della sensoristica che, ad esempio, serve le telecamere con le quali si monitorano gli animali domestici quando si è fuori casa, oppure dell’autovelox comunale che trasmette automaticamente le foto delle targhe delle auto alla polizia locale, piuttosto che del misuratore di pressione di un reattore nucleare che veicola un allarme alla centrale di controllo; ed è il caso, per intenderci, del relè intelligente che accende il sistema di irrigazione del giardino di casa, o il servo-mezzo di apertura delle porte di una metropolitana automatica, oppure il sistema di controllo della saracinesca di sfiato del troppopieno di una diga sovrastante un paesino di montagna.

Questi oggetti intelligenti miglioreranno sempre di più la qualità della vita delle persone, l’efficacia e la redditività dei processi industriali, la sicurezza delle Nazioni. Ma è un fatto che oggi introducano nuovi rischi, la cui probabilità di accadimento è generalmente più alta dei corrispondenti rischi di sicurezza cui sono sottoposti i computer, i tablet e gli smartphone.

E la ragione di ciò è semplice: mentre i governi, il mondo accademico e l’industria dei computer e dei software hanno alle spalle molti decenni di ricerca e sviluppo in tema di cybersicurezza delle tecnologie dell’informazione, le case costruttrici degli oggetti intelligenti e gli sviluppatori dei sistemi di controllo industriale - siano essi dispositivi di nuova concezione, piuttosto che versioni adattate di modelli tradizionali - non hanno esperienza col patrimonio di conoscenze di protezione cibernetica acquisite e sviluppate nel mondo IT.

Inoltre, la spinta a inserire intelligenzaa basso costo, che ha come conseguenza uso di sistemi a capacità computazionale ridotta, e limitato consumo energetico per evitare uso di batterie ad alta capacità, rende in molti casi non utilizzabili le soluzioni sviluppate per server, PC e smartphone, oggetti per i quali non esiste la barriera del costo.

La risultante è che oggi i dispositivi IoT - a differenza di quanto accade in modo oramai sistematico per la supply chain dei dispositivi e dei software IT - generalmente non vengono prodotti incorporando le necessarie funzionalità di cybersicurezza che aiutino a mitigare i relativi rischi, né esistono di massima analoghe capacità in grado di supportare gli utilizzatori nella fase di installazione e funzionamento.

E come fattore di rischio predisponente, si consideri pure che questi sensori ed attuatori, che sono concepiti internet-ready, hanno spesso anche funzionalità plug&play, cioè si collegano alla rete ed iniziano a funzionare senza necessità di attività preliminari di installazione e configurazione, né per loro natura hanno la funzionalità - tipica nel mondo IT - del blocco sessione dopo un tempo di inattività. Un recentissimo studio ha dato atto di come, durante il lockdown, nel silenzio di uffici chiusi al pubblico, gli IoT abbiano continuato ad operare non controllati, esponendo a rischio le reti aziendali e le facilities.

Questo gap va colmato al più presto ed il mondo scientifico sta sviluppando, di concerto con l’industria e con le agenzie di controllo e regolazione, una serie di requisiti e raccomandazioni che - sull’esempio di quanto già in atto in ambito IT - spingano a considerare specifiche assunzioni di rischio e mirino a presidiare distinte aree di mitigazione.

Le assunzioni di rischio da prendere in considerazione sono fondamentalmente tre. Anzitutto che gli oggetti intelligenti saranno sempre più sfruttati per condurre attacchi coordinati con effetti tangibili, come anche la partecipazione ad attacchi DDoS (Distributed Denial of Service: per i non addetti ai lavori, si tratta dell’attacco ad un server finalizzato ad “ingolfarlo” per impedire che eroghi il servizio) contro altre organizzazioni, l'intercettazione del traffico di rete o la compromissione di altri dispositivi sullo stesso segmento di rete. Vale come esempio per tutti l’evento del 21 ottobre 2016 allorché, a seguito della creazione di una delle più grandi botnet formate da IoT, cioè da una rete clandestina di oggetti intelligenti segretamente controllati all’insaputa dei legittimi proprietari, vennero creati DDoS su servizio DNS (Domain Name System: per i neofiti è un pò come la guida telefonica o l’indirizzario stradale che Internet usa per associare l’indirizzo numerico ai nomi dei siti web o dei domini di posta elettronica). Tale attacco impedì l'accesso degli utenti alle più grandi risorse web degli Stati Uniti, inclusi Twitter, Spotify e PayPal.

Le altre due valutazioni riguardano il fatto che: i dispositivi IoT che contengono dati, verranno fatti bersaglio di attacchi CIA (Confidentiality, Integrity, Availability) per rubare, compromettere o rendere indisponibili le informazioni ivi salvate o per essi trasmessi; e che gli attacchi agli Internet-of-Things potranno essere sferrati per compromettere la privacy degli individui.

Da qui la necessità di assicurare la protezione fisica dei dispositivi, la sicurezza logica dei dati e, per i casi in cui siano trattati dati personali, la tutela del diritto alla riservatezza.

Sotto questo profilo, i produttori dovranno assicurare il presidio tecnologico in cinque aree di mitigazione consistenti nel: mantenere un inventario aggiornato e puntuale di tutti i dispositivi IoT e delle loro caratteristiche rilevanti (Asset Management); identificare e mitigare le vulnerabilità note nel software dei dispositivi, ad esempio installando patch e modificando e impostazioni di configurazione (Vulnerability Management); evitare l'accesso fisico e logico non autorizzato ed improprio (Access Management); prevenire l'accesso e la manomissione dei dati salvati nel dispositivo od in transito che potrebbero esporre informazioni sensibili o consentire la manipolazione o l'interruzione delle operazioni del dispositivo (Data Protection); ed infine le attività di Incident Detection con cui monitorare e analizzare l'attività del dispositivo IoT per evidenziare indicatori di compromissione dei dispositivi e dei dati. 

La questione è molto seria e non secondaria. Tanto che il Presidente degli Stati Uniti ha firmato qualche giorno addietro il "Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems" con cui lancia la Iniziativa presidenziale per la messa in cybersicurezza degli sistemi di controllo industriale (OT). Ed investe in modo sistemico tutta la supply chain delle tecnologie IoT: i fabbricanti e gli installatori dovranno affrontarla lungo tutto il ciclo di vita della tecnologia, a partire dalla fase di ricerca, sviluppo e produzione pre-vendita, con le corrette attività tecniche finalizzate ad assicurare le caratteristiche e le funzionalità di cybersicurezza. Sarà necessario, inoltre, che proseguano nelle attività informative e di supporto post-vendita al fine di garantire la necessaria assistenza tecnica all’utenza finale, anche con riferimento all’uso di piattaforme cloud già oggi proposte dalla supply chain IT per la cifratura delle comunicazioni tra oggetti intelligenti.

Non va sottaciuto, da ultimo, che tutto ciò si tradurrà inevitabilmente in aumento sia dei costi di produzione, che delle risorse necessarie per assicurare il funzionamento, la manutenzione e la qualità del servizio: questi costi ricorrenti potrebbero rendere i dispositivi IoT non più appetibili in molti contesti.


Orazio Danilo Russo, Giorgio Giacinto, Alessandro Rugolo



Per approfondire:

https://blog.osservatori.net/it_it/iot-sicurezza-privacy

https://www.akamai.com/it/it/multimedia/documents/white-paper/akamai-mirai-botnet-and-attacks-against-dns-servers-white-paper.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf

https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices

https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/national-security-memorandum-on-improving-cybersecurity-for-critical-infrastructure-control-systems/

martedì 20 luglio 2021

Estonia e Russian Special Services' influence operations in Cyberspace

Secondo il report annuale "International security and Estonia" del 2021, la Russia continua ad essere la principale minaccia alle democrazie occidentali, anche nel cyberspace. 

Il report dell'Estonian Foreign Intelligence Service è giunto ormai alla sesta edizione e può essere considerato, a mio parere, un ottimo documento sia in termini di contenuto informativo sia di influenza.

Senza mai dimenticare che ogni Stato, nel pubblicare informazioni di intelligence, persegue principalmente i propri scopi (non sempre dichiarati), proviamo a vedere assieme quali informazioni ci vengono date sulle operazioni di influenza russe nel cyberspace.

In primo luogo sembra che la Russia abbia effettuato ed effettui operazioni di influenza da anni, in particolare utilizzando come vettore di infezione email preparate con lo scopo di infettare i dispositivi di persone selezionate, tecnica conosciuta col nome di spear phishing. Spesso si pensa allo spear phishing come ad una tecnica che prenda di mira i vertici delle aziende, ed in parte è così, ma esistono altre categorie, meno vulnerabili perché più esperte, ma spesso più remunerative, per esempio gli amministratori di rete e di sistema. Riuscire ad ingannare questi ultimi consente di ottenere informazioni tecniche utili per compromettere l'intera rete aziendale.

Sempre secondo il report, una tecnica usata dai servizi russi consiste nel compromettere i siti utilizzati frequentemente dagli obiettivi attenzionati tramite degli spyware. Questo tipo di attacco si chiama watering hole.

Quanto detto fino ad ora non ha direttamente a che fare con "influence operation" ma più in generale con la raccolta di informazioni utili ad operazioni successive.

Le operazioni di influenza stanno però diventando sempre più importanti, grazie all'adattamento di tecniche classiche, tra cui le cosiddette "active measures" condotte (in passato) dal KGB e oggi trasformate nelle "hack-and-leak operations". Queste sono operazioni di influenza che consistono nel sottrarre informazioni sensibili attraverso operazioni di hacking e nel ridistribuirle e renderle pubbliche in determinati momenti per creare problemi mirati a colpire persone o governi. Una di queste operazioni si è vista nel 2019 quando dei documenti riguardanti la possibile privatizzazione del sistema sanitario nazionale del Regno Unito e le discussioni in merito con gli USA furono sottratti e distribuiti sui social per creare malumore e influenzare l'elettorato. 

Nel documento non è scritto esplicitamente che tale operazione sia stata compiuta dalla Russia, ma il solo riportarla come esempio la accomuna strettamente al contesto (in questo caso dunque si potrebbe parlare di una operazione di influenza all'interno del report).   

Altro settore in cui, sempre secondo il report, la Russia agirebbe é quello delle Fake News ed in particolare delle Deep Fake. L'impiego di tecnologie digitali sempre più avanzate rende possibile la manomissione o la produzione di video, audio o messaggi in tutto verosimili e praticamente impossibile la verifica della veridicità al di la di ogni ragionevole dubbio. Inoltre occorre tenere presente che spesso le operazioni di influenza non si appoggiano sulla capacità di giudizio razionale delle persone ma anzi, vanno a toccare la loro sensibilità irrazionale provocando reazioni non sempre controllabili.

In definitiva le operazioni di influenza russe nel mondo continueranno grazie allo sfruttamento delle capacità tecnologiche e del dominio cyber, anche perché poco costose e molto efficaci.

Il report International security and Estonia 2021 naturalmente non si ferma qui e riporta tantissime informazioni interessanti sulla Russia, sulla Cina e sulla percezione che l'Estonia ha dei rischi che la circondano o, forse, sulla percezione dei rischi che l'Estonia vuole mostrare al mondo di avere.  

Naturalmente il tutto va contestualizzato. Ricordo che l'Estonia è uno dei paesi in cui il livello di digitalizzazione è più elevato, grazie anche ad investimenti della NATO e comunità europea. Ciò significa, di conseguenza, che è anche più soggetta ai conseguenti rischi cyber... 

Buon approfondimento !

Alessandro RUGOLO  

Per approfondire:

Estonian Foreign Intelligence Service (valisluureamet.ee)

lunedì 19 luglio 2021

Windows contro Sourgum

È sabato 17 Luglio 2021 ed insieme a Alessandro Rugolo, Danilo Mancinone, Giorgio Giacinto e le rispettive famiglie ci troviamo vicino a Dorgali, piccolo paese nel centro della Barbagia per un pranzo sardo in allegria.

Carlo, questa settimana il mio Windows ha fatto ben due aggiornamenti in due momenti diversi. Come mai? Avete rilasciato delle patch specifiche o delle nuove funzionalità?” mi chiedono all’unisono Danilo, Alessandro e Giorgio tra un piatto di culurgiones e una tagliata di pecora 😊.

Potete immaginare la mia faccia in quel momento di fronte a questa domanda 😊



Così, dopo un buon bicchiere di cannonau, mi sono travestito da Alberto Angela 😊 e ho cominciato a parlare del sorgo o saggina, pianta erbacea annuale appartenente alla famiglia delle graminacee. In particolare, si tratta del quinto cereale in ordine d'importanza, dopo il mais, il riso, il grano e l'orzo. La pianta di sorgo, simile a quella del mais, può raggiungere anche i due metri di altezza.

Sourgum, però (dal latino “Sorghum” ?) è il nome assegnato da Microsoft ad un gruppo appartenente ai cosiddetti PSOA, “Private Sector Offensive Actor”, ossia aziende del settore privato che producono e vendono armi informatiche.

Si tratta di una nuova minaccia estremamente pericolosa per i consumatori, le aziende di tutte le dimensioni e i governi.

Si ritiene che Sourgum sia un attore offensivo del settore privato con sede in Israele e Microsoft, grazie alla stretta collaborazione con Citizen Lab, ha identificato che il gruppo farebbe capo a un'azienda chiamata Candiru, famosa per la vendita di strumenti di hacking e spyware.

Il business di Sourgum è quello di vendere armi informatiche che consentono ai suoi clienti, spesso agenzie governative di tutto il mondo, di hackerare computer, telefoni, infrastrutture di rete e dispositivi connessi a Internet. Queste agenzie scelgono, successivamente, chi prendere di mira e gestiscono da sole le operazioni effettive. Insomma una vera e propria vendita di armi.

Il Microsoft Threat Intelligence Center (MSTIC) e il Microsoft Security Response Center (MSRC), dopo settimane di analisi e ricerca, hanno provveduto a disabilitare queste armi cibernetiche che sono state utilizzate in attacchi puntuali verso politici, attivisti per i diritti umani, giornalisti, accademici, dipendenti delle ambasciate e dissidenti politici. Per limitare questi attacchi, le azioni condotte sono state, principalmente, due: 

  • innanzitutto, sono stati integrati nelle soluzioni di sicurezza, protezioni contro il malware unico creato da Sourgum; protezioni che sono state poi condivise con la comunità della sicurezza in modo da potere proteggere chiunque sia in modalità proattiva che reattiva.

  • in secondo luogo, è stato rilasciato un aggiornamento software in grado di proteggere in modo puntuale i clienti che utilizzano Windows dagli exploit che Sourgum stava utilizzando per distribuire il suo malware.

Le attività, come detto sono durate settimane durante le quali è stato esaminato il malware, ne è stato documentato il funzionamento e sono state sviluppate le protezioni in grado di rilevarlo e neutralizzarlo. 

Il malware è stato chiamato DevilsTongue e tutte le informazioni tecniche per i clienti e la comunità della sicurezza sono disponibili a questo link.

La distribuzione di DevilsTongue sui computer delle vittime avveniva attraverso una catena di exploit che hanno avuto impatto sui browser più diffusi e sul sistema operativo Windows. 

Ecco perché, carissimi Danilo, Alessandro e Giorgio, durante la scorsa settimana, Microsoft ha rilasciato gli aggiornamenti necessari alla protezione di Windows per i due importanti exploit di Sourgum.

Le protezioni rilasciate questa settimana impediranno agli strumenti di Sourgum di funzionare su computer già infetti e impediranno nuove infezioni su computer aggiornati e su quelli che eseguono Microsoft Defender Antivirus, nonché su quelli che utilizzano Microsoft Defender per Endpoint.

Questa attività, come avvenuto in passato per altri attori, fa parte del più ampio lavoro legale, tecnico e di advocacy che Microsoft ed altre aziende che operano nel campo della sicurezza informatica, intraprendono per affrontare i pericoli causati dagli PSOA.

Quanto raccontato rappresenta, però, solo la punta dell’iceberg di un fenomeno che rischia di allargarsi a macchia d’olio e di avere effetti devastanti proseguendo sull’onda di Stuxnet, Wannacry e molti altri malware sviluppati nel corso degli anni e che oggi vanno sotto il nome di nation state attacks.

È chiaro che la vendita di questi malware, vere e proprie armi cibernetiche, da parte di aziende private, come detto in precedenza, aumentano il rischio che le armi stesse cadano nelle mani sbagliate e minaccino la società nella quale viviamo fino a scalfire i diritti umani. 

Ecco perché si moltiplicano azioni atte a frenare questa crescita e difendere gli interessi delle aziende, dei cittadini e degli Stati dagli attacchi cibernetici.

In questo senso, Microsoft, insieme a diverse altre aziende quali Google, Cisco, VMware, Linkedin, ecc. ha presentato un amicus brief a sostegno di una causa legale intentata da WhatsApp contro la società di intelligence israeliana NSO Group, accusando la società di utilizzare una vulnerabilità nascosta nell’app di messaggistica per violare almeno 1.400 dispositivi, alcuni dei quali erano di proprietà da giornalisti e attivisti per i diritti umani.

NSO sviluppa e vende ai governi l’accesso al suo spyware Pegasus consentendo ai suoi clienti dello stato-nazione di prendere di mira e hackerare furtivamente i dispositivi dei suoi obiettivi. Spyware come Pegasus possono tracciare la posizione di una vittima, leggere i suoi messaggi e ascoltare le sue chiamate, rubare le foto e i file e sottrarre informazioni private dal suo dispositivo. Lo spyware viene spesso installato inducendo un bersaglio ad aprire un collegamento dannoso o talvolta sfruttando vulnerabilità mai viste prima in app o telefoni per infettare silenziosamente le vittime.

Tutto ciò evidenzia in maniera ancora più prepotente come la minaccia cyber sia diventata un vero e proprio business e si sta sempre più passando dal concetto di cyber attack a quello di cyberwarfare così come, sempre più spesso, gli obiettivi degli attaccanti sono diventate le infrastrutture critiche degli Stati.

In uno scenario simile, credo valgano molto le parole di Tom Burt, responsabile della sicurezza e della fiducia dei clienti di Microsoft

Le società private dovrebbero rimanere soggette a responsabilità quando utilizzano i loro strumenti di sorveglianza informatica per infrangere la legge, o ne consentono consapevolmente il loro utilizzo per tali scopi, indipendentemente da chi siano i loro clienti o cosa stiano cercando di ottenere”.

Ci auguriamo che stare insieme ai nostri concorrenti attraverso questo brief amicus aiuterà a proteggere i nostri clienti collettivi e l’ecosistema digitale globale da attacchi più indiscriminati”

L’equazione sicurezza informatica=partnership è sempre più vera.

Carlo Mauceli 


Per approfondire:

Sorghum vulgare - Wikipedia

Geneva-Dialogue-Baseline-study-Role-of-Private-Sector.pdf (genevadialogue.ch)

Citizen Lab

Candiru

(212) Israeli spyware firm Candiru hacked journalists and activists – report - YouTube

Microsoft Threat Intelligence Center Archives - Microsoft On the Issues

MSRC - Microsoft Security Response Center

DevilsTongue Spyware: the New Malware That Targets Windows Zero-Day Flaws (heimdalsecurity.com)

Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware | Microsoft Security Blog

Stuxnet: Il virus più pericoloso della storia eBook : Edizioni, Psyché: Amazon.it: Kindle Store

Il ransomware WannaCry: tutto quello che devi sapere | Kaspersky

Microsoft - Google v Oracle Amicus Brief_for filing (5).pdf (supremecourt.gov)

NSO GROUP - Cyber intelligence for global security and stability

https://www.agendadigitale.eu/sicurezza/cyber-warfare-tecniche-obiettivi-e-strategie-dietro-gli-attacchi-state-sponsored/

https://www.google.it/amp/s/it.insideover.com/guerra/cyberwar-e-sicurezza-informatica-ecco-cosa-ce-da-sapere.html/amp/

https://www.cybersecurity360.it/nuove-minacce/guerra-cibernetica-cyberwarfare-cose-presente-e-futuro-casi-famosi/

https://www.cybersecurity360.it/nuove-minacce/dal-concetto-di-cyber-attack-al-cyberwarfare-luso-della-forza-in-ambito-cyber/

Paper-Apr-2012_Cyberweapons.pdf (strategicstudies.it)

https://www.zerounoweb.it/techtarget/searchsecurity/levoluzione-delle-cyber-weapons/

https://www.google.it/amp/s/www.ilsussidiario.net/news/il-caso-quelle-armi-low-cost-capaci-di-colpire-una-nazione/1925309/amp/

Google e altre società si uniscono a Microsoft per opporsi all'NSO Group (ispazio.net)

Pegasus: the spyware technology that threatens democracy - video | News | The Guardian

venerdì 16 luglio 2021

INTELLIGENZA ARTIFICIALE: TECNICHE DI ELUSIONE E DIFESE INFORMATICHE


E’ controintuitivo rispetto all’idea di razionalità, velocità, efficacia ed efficienza che ci siamo fatti dei computer, ma la realtà è che i sistemi di intelligenza artificiale (IA) presentano una caratteristica molto simile all’analogo concetto umano di ingenuità. E, pertanto, sono vulnerabili all’inganno ed alla manipolazione.

Un pò come avviene tra gli umani, ove spesso assistiamo a truffe perpetrate approfittando subdolamente dell’ignoranza o dell’innocenza della vittima, così avviene anche per le IA durante il processo di apprendimento automatico, più noto col termine di Machine Learning (ML): la capacità di imparare lo svolgimento dei compiti tipici dell’intelligenza umana, quali ad esempio la classificazione delle immagini o il riconoscimento vocale.

Per rimediare a questo problema si è sviluppato il cosiddetto Adversarial Machine Learning (AML), quel settore che studia il modo di rendere più sicura la fase dellapprendimento automatico in modo da rendere il sistema più robusto rispetto a tentativi di inganno.

Per i non addetti ai lavori, machine learning comprende un insieme di tecniche basate su approcci statistici o tecniche matematiche di ottimizzazione, che consentono di riconoscere schemi e similitudini tra i dati: ad esempio, negli approcci di Supervised Learning, l’apprendimento del computer è supervisionato da un esperto che insegna alla macchina quali decisioni prendere o quali azioni fare in presenza di un determinato evento; in quelli di Unsupervised Learning, invece, viene spiegato alla macchina come riconoscere elementi di comunanza o di diversità tra le informazioni, ma poi si lascia che sia lei a lavorare sui dati da sola; o, infine, nel Reinforcement Learning gli si insegna a riconoscere la bontà delle decisione prese dal fatto di aver ricevuto un feedback positivo, così assicurando l’apprendimento per rinforzo.

I terreni di elezione per un attacco cyber alle Intelligenze Artificiali sono fondamentalmente tre. Anzitutto il dominio fisico rappresentato dai sensori e dagli attuatori che permettono il dialogo con l’ambiente, quelli che per noi umani sono i cinque sensi, giacché essi possono essere danneggiati per creare malfunzionamenti. Si pensi ad esempio al fatto che, sabotando un microfono, si disturbi il sistema intelligente nell’ascoltare un comando vocale; oppure che, sabotando un relè, si impedisca ad una intelligenza di controllo industriale di spegnere il forno di una fonderia al raggiungimento di una temperatura critica. Poi, vi sono attacchi che sfruttano le debolezze dei meccanismi di rappresentazione digitale dei dati, sostituendo ad esempio le informazioni corrette con dati inquinati. Ed infine vi sono gli assalti agli algoritmi di apprendimento, per inoculare nei computer - ad esempio - un metodo di studio manipolato per fini occulti oppure, per altro verso, per capire come impara: in fin dei conti è proprio partendo dalla conoscenza di “come” la macchina si auto-istruisce, che si può boicottarne l’apprendimento o prevederne il comportamento.


L’attacco può avvenire secondo tecniche diverse: sia va dalle metodiche di addestramento malevolo, alle operazioni di interazione elusiva o alle procedure di esplorazione subdola.

Nella prima categoria rientrano tutte quelle tattiche di poisoning con cui, in via diretta o indiretta, si inquinano le conoscenze acquisite o la logica di apprendimento. In questi casi, gli hacker devono per necessità accedere clandestinamente all’intelligenza artificiale per falsificare i dati salvati in memoria o per alterare l’algoritmo di apprendimento. Le conseguenze di questi attacchi possono essere molto serie ed avere impatto tangibile nel mondo fisico, come ad esempio i casi di addestramento malevolo descritti recentemente dagli accademici dell’Università di Cagliari in uno studio su autovetture a guida automatica nelle smart city: potrebbero, queste autovetture senza conducente, non fermassi ad un incrocio qualora, a seguito di un attacco di Label Manipulation dei dati relativi al riconoscimento del segnale di stop”, l’intelligenza fosse indotta a considerare la nozione contraria a quella di arresto del veicolo.

Nelle tecniche di esplorazione subdola, invece, si attuano interazione con l’intelligenza artificiale finalizzate a capire la logica di assimilazione cognitiva. Tipico esempio è l’attacco Oracle, ove si inviano al software di apprendimento una serie ragionata di domande e, dall’esame del pattern delle relative risposte, si struttura un modello per prevedere il comportamento futuro. Le tattiche gradient-based invece sono chiari esempi della tecnica di interazione elusiva con cui si ingaggia l’intelligenza - ad esempio - con segnali visivi che presentano perturbazioni non rilevabili dalla percezione umana, ma sufficienti a provocare nell’algoritmo di apprendimento esiti paradossali che impediscono o disturbano - appunto eludono - la capacità di classifica delle immagini. In altre parole, queste tecniche hanno lobiettivo di individuare il numero più piccolo di modifiche necessarie per costruire una immagine che confonda le capacità decisionali del sistema.

La ricerca ha già tirato fuori idonee strategie di difesa. Per contrastare ad esempio l’addestramento occulto e malevolo, si sono messi a punto algoritmi di cifratura delle partizioni di memoria che contengono le nozioni apprese o la logica di apprendimento; per difendersi dalle interazioni elusive si sono progettate contromisure che tendono a ridurre la sensibilità ai disturbi - una sorta di anestetico digitale che riduce la suscettibilità agli artefatti ingannevoli, meglio noto negli ambienti della cybersicurezza col termine di Gradient Masking- o si iniettano nel database di allenamento degli esempi di segnali di disturbo, affinché questi vengano riconosciuti come malevoli e dunque scartati (tecnica cosiddetta di Adversarial Training); ed infine per proteggere l’intelligenza artificiale dalle tattiche di esplorazione subdola, gli si insegna a rilevare le azioni di monitoraggio, test e controllo degli avversari sulla rete.

Insomma la ricerca sta facendo passi enormi per rendere i sistemi intelligenti più sicuri e resilienti, pur conservando però la dipendenza dal controllo umano: questione imprescindibile quest’ultima, soprattutto per quelle intelligenze artificiali ad impatto critico, come quelle asservite a materiali d’armamento ed a prodotti a duplice uso utilizzati per sviluppare i Lethal Autonomous Weapons Systems (LAWS), i sistemi d'arma intelligenti per intenderci, il cui utilizzo ed i cui effetti devono sempre e comunque rimanere attribuibili a chiare e determinabili responsabilità umane, sia statuali che individuali.

Orazio Danilo Russo

Per approfondire:

https://smartcities.ieee.org/newsletter/june-2021/explainable-machine-learning-for-secure-smart-vehicles

https://gradientscience.org/intro_adversarial/

https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8269-draft.pdf

martedì 6 luglio 2021

Dai dati grezzi alle informazioni fruibili: visibilità e osservabilità

C’era una volta l’IT tradizionale.

In un perimetro aziendale ben definito e limitato convivevano server, router, switch, workstation, laptop, firewall, e diverse altre entità digitali.

Questo ecosistema aveva connessioni con il mondo esterno ben precise, sorvegliate e difese. Il lavoro del team sicurezza e del suo capitano (la figura del Chief Information Security Officer - CISO) era di definire, implementare e monitorare linee guida e politiche di comportamento per evitare incidenti, infezioni e furti di dati sensibili; garantendo al tempo stesso la continuità operativa e l’efficienza dei sistemi a supporto del business.

Negli ultimi anni, due macro-fenomeni planetari hanno avuto un impatto su questa biodiversità digitale:

parlo della trasformazione digitale e della emergenza sanitaria, combinazione esplosiva che ha fatto avanzare questo ecosistema in un tempo estremamente breve ed in modo spesso esplosivo, trasformando una tranquilla cittadina agricola di provincia nella giungla eterogenea e ricca di specie del Madagascar centrale.

Generando - come spesso si sente dire a eventi e conferenze - un’esigenza di visibilità digitale; perché non si può gestire, controllare, sorvegliare, mettere in sicurezza e proteggere quello che non si sa di avere o che non si vede.


Tema assolutamente pertinente, vero, attuale… ma incompleto nella sua articolazione.

Se elenchiamo i vari ambienti che caratterizzano oggi una organizzazione di qualsiasi settore e dimensione, troviamo una prova tangibile di questa esplosione di specie che citavo poc’anzi: l’IT tradizionale ne fa certamente ancora parte, affiancato da entità mobili come smartphone e tablet; ambienti containerizzati, cioè costruiti su piattaforme agili in modo da frammentare le funzionalità necessarie affinché diventino fruibili on-demand con una scala che si autoregola in base al numero degli utilizzatori; progetti in cloud, a loro volta divisi in infrastrutture come servizio (IaaS), piattaforme come servizio (PaaS) e software come servizio (SaaS); applicativi tradizionali, reingegnerizzati per diventare fruibili tramite web; strumenti ultraspecializzati connessi via rete Internet, che caratterizzano la Internet delle Cose e la Internet Industriale delle Cose.

Per tacer della necessità di interfacciarsi con sistemi operativi (es. Windows XP) e interfacce (es. RS232 seriali, parallele Centronics…) che pur essendo obsolete rappresentano la necessità in alcuni ambienti industriali, vincolati a questa obsolescenza da costi di aggiornamento insostenibili o da aggiornamenti inesistenti.

Questo elenco, solo parziale, fornisce una buona approssimazione di quanto complessa sia la sfida della visibilità digitale per un’azienda moderna.

La soluzione a cui si pensa è spesso data dall’integrazione di due sistemi: un inventario digitale che sia quanto più possibile manutenuto aggiornato automaticamente – sincronizzato con un sistema di tracciamento e gestione delle modifiche, conosciuto anche come Change Management DB o CMDB.

L’obiettivo di queste piattaforme è rendere visibile l’intero panorama digitale, magari permettendo una categorizzazione delle specie – automatizzata o meno in base a regole di raggruppamento; i due casi d’uso che normalmente vengono soddisfatti sono la distribuzione di sensori di raccolta di tutti i metadati dalle risorse e la categorizzazione in perimetri logici realizzata centralmente.

A volte elevando il grado di specializzazione del sensore stesso. Non è infatti possibile usare le stesse tecniche per ambienti molto diversi tra loro, come ad esempio laptop in movimento, container applicativi e ambienti SaaS.

Costruendo questa visibilità, resta di fondamentale importanza l’attenzione a come i dati raccolti – per quanto grezzi e poco significativi se presi in modo atomico – combinati possano diventare sensibili e indicativi di una superficie di attacco esposta; tale attenzione va messa anche nella verifica del modello di sicurezza e di riservatezza con cui questi dati vengono trattati nei tre momenti della loro esistenza: transito, riposo, elaborazione.

A lato della visibilità però, assume un’importanza strategica il concetto di osservabilità.

L’osservabilità parte dove finisce la visibilità, intesa come disponibilità della telemetria raccolta dai sensori, per aumentarne il valore.

Di solito richiede che i dati grezzi raccolti siano indicizzati e normalizzati, al fine di renderli processabili da un motore di visualizzazione, quindi si procede all’interrogazione e all’organizzazione dei risultati in dashboard.

L’osservabilità permette quindi di comporre i dati grezzi in viste, a formare l’informazione che interessa tracciare – nel formato in cui interessa visualizzarla.

Nella scelta delle piattaforme tecnologiche a supporto dei processi diventa importante curare questa caratteristica e soprattutto valutarne la flessibilità: aggregare metadati normalizzati sull’inventario digitale permette infatti di supportare innumerevoli processi aziendali: verifica distribuzione software e hardware, investigazioni forensi, valutazione della postura di sicurezza, e così via.

Un’ultima capacità caratterizzante di una buona osservabilità è l’arricchimento del contesto di un metadato: partendo dal metadato raccolto dal sensore, si combina un catalogo di informazioni non rilevabili dal sensore, ma curate dalla ricerca.

Ad esempio, è possibile abbinare alla lista dei software identificati le informazioni sulla fine-vita o fine-supporto – supportando così processi di acquisto o di ammodernamento, così come discendenti programmi di investimento o ammodernamento…

Oppure abbinare a un servizio di rete rilevato le informazioni di quanto sia vulnerabile, o addirittura di quando sia stato oggetto di attacchi negli ultimi mesi – supportando processi di prioritizzazione degli interventi di rimedio o mitigazione del rischio.

Chi si occupa dell’inventario digitale deve sempre più confrontarsi con un crescente grado di complessità degli ambienti e varietà delle specie digitali.

La combinazione di visibilità e osservabilità genera un valore olistico nell’efficacia dell’interrogazione della popolazione monitorata, aumentando la velocità e l’agilità nel tracciamento e monitoraggio delle informazioni aggregate di interesse per i processi da supportare.

Affinché tutto questo non resti un tecnologico esercizio di stile, queste due capacità vanno relazionate con l’accrescimento culturale dell’azienda – tradotto in consapevolezza del fattore umano di essere parte di una filiera di sicurezza delle informazioni: ciò che nel mondo anglosassone è conosciuto col nome di "knowledge management".

Il personale e la cultura aziendale devono infatti crescere insieme allo sviluppo tecnologico, capendone i possibili rischi e potenzialità; ognuno svolgendo il proprio ruolo con la consapevolezza di lavorare in un ambiente sempre più agile, complesso e interferenziale tra i vari sistemi.


Marco ROTTIGNI

SOPRAVVIVERE SOTTO ATTACCO: LA CYBER-RESILIENZA


Come più volte richiamato su queste pagine, e ribadito qualche giorno fa dall’Autorità Delegata del Sistema di informazione per la sicurezza della Repubblica, l’Italia è in forte ritardo rispetto a molti paesi Europei nel dotarsi di una struttura nazionale per la sicurezza informatica. Nonostante sia sotto gli occhi di tutti la vastità dell’impatto di un attacco informatico causata dalla forte interconnessione di sistemi e applicazioni che riflette l’interazione fra persone, aziende e enti, l’impressione è che molti ancora considerino l’attacco informatico come un evento i cui effetti sono circoscritti e le responsabilità facilmente attribuibili. Basta ricordare come un attacco ransomware, non eccessivamente sofisticato, abbia costretto al blocco uno degli oleodotti più importanti degli USA con ripercussioni su migliaia di imprese e milioni di persone. La scarsa consapevolezza delle conseguenze di un attacco cibernetico è la causa della inerzia con cui è affrontata questa materia.

Ed è proprio su questa consapevolezza che un autorevole esponente del nostro Dipartimento Informazioni per la Sicurezza ha recentemente dichiarato - a ragion veduta - che bisogna ripensare al modo in cui organizziamo e gestiamo la sicurezza del dominio cyber: occorre un salto di qualità che traguardi non più soltanto la sicurezza di sistemi e reti analizzati come entità autonome, ma che, in combinazione con questa, punti ad assicurarne la resilienza in caso di attacco efficace. Aggiungiamo noi che nel contesto Italiano occorre ancor prima irrobustire tutti i sistemi e le reti per eliminare tutte le vulnerabilità e le debolezze per le quali esistono i rimedi e che, se non eliminate, costituiscono il tallone d’Achille che prendere inefficaci misure di difesa anche sofisticate.

Proviamo a dare una definizione di resilienza nel dominio cyber alla luce dei costrutti tipici del mondo accademico e delle evidenze di gestione del rischio d’impresa.

I sistemi informativi e di controllo industriale, al pari di ciò che è accaduto ai sistemi di difesa e sicurezza delle Nazioni, hanno con tutta evidenza sperimentato la suscettibilità alle minacce cyber di tipo avanzato. I numerosi incidenti hanno infatti dimostrato che non si può aver certezza che le risorse informatiche delle organizzazioni, anche quando progettate a mantenute secondo i migliori standard di sicurezza, riescano a lavorare sotto l'attacco di avversari sofisticati, ben equipaggiati e che impieghino combinazioni di capacità cyber, militari e di intelligence.

La sfida futura va quindi affrontata partendo dall’assunto che, nell’utilizzare - o dipendere - da risorse di rete, vi è il rischio alto che qualcuno buchi le difese perimetrali e si stabilisca in maniera più o meno evidente, e più o meno durevole, all’interno del perimetro di sicurezza come un cancro che cresce all’interno di un essere vivente.

Ne deriva la considerazione che non basta affatto limitarsi a mettere in sicurezza gli asset individualmente, che tanto prima o poi - è solo questione di tempo - verranno “bucati”; ma che sia necessario invece puntare oltre, e realizzare reti, sistemi informativi e servizi informatici resilienti, capaci cioè di anticipare, resistere, recuperare e adattarsi a condizioni avverse, stress, attacchi e compromissioni: un pò come fa il corpo umano, che presenta sì un sistema immunitario capace di assorbire i pericoli ambientali e fornire meccanismi di difesa per mantenersi in salute; ma che dispone anche, all’occorrenza, di sistemi di autoriparazione per riprendersi da malattie e lesioni; e che, inoltre, quando non riesce a recuperare lo stato di salute pre-malattia, è capace di adattarsi alla condizione sopravvenuta.

Da tempo il mondo accademico ha proposto un modello concettuale che permette lo sviluppo di sistemi cyber resilienti sul modello “corpo umano” anzidetto; e che realizza capacità di resilienza fin dalle prime fasi di sviluppo del ciclo di vita: la cosiddetta resilience by design.

Il National Institute of Standard and Technology, infatti, ha definito un framework di ingegneria informatica a partire dalla definizione di quattro capacità fondanti e cioè: Anticipate, cioè la capacità di anticipare i problemi; quella di Withstand cioè di resistere agli stress, assicurando le missioni o le funzioni ritenute essenziali; quella di Recover, cioè di ripristino di queste ultime, qualora impattate durante o dopo l’incidente; e, infine, Adapt, la capacità di cambiare missione o funzioni al modificarsi di aspetti tecnici, operativi o all’evolversi della minaccia.

Per ciascuna di queste capacità, viene proposto un ampio ventaglio di obiettivi da perseguire: Prevent, cioè prevenzione degli attacchi, per precluderne l’esecuzione; Prepar, cioè ipotizzare e testare una serie di linee di azione per affrontare le avversità; Continue, cioè massimizzare la durata e la fattibilità delle missione critica di un sistema durante l’incidente; Constrain, cioè limitare il danno; Reconstitute, cioè ripristinare le funzioni essenziali; Understand, cioè capire cosa sta accadendo, avere una chiara rappresentazione, incidente durante, sulle stato delle risorse impattate e sulle dipendenze che esistono con altre risorse; Transform, cioè modificare la missione critica o la funzione per adattarla al mutato contesto operativo, tecnico o di minaccia; ed infine Re-Architect, cioè modificare le architetture per gestire le avversità e affrontare i cambiamenti ambientali in modo più efficace.

Ma se le quattro capacità e gli otto obiettivi proposti rappresentano il “cosa” fare per ottenere sistemi resilienti in rete, il “come” viene determinato dalla definizione di specifiche tecniche di cyber resilienza, da realizzare con approcci implementativi diversi e secondo definiti principi di progettazione, molti dei quali oggetto di ricerca e sviluppo in attività collaborative fra accademia, imprese e pubblica amministrazione

Le tecniche sono diverse. Se ne citano solo alcune a mo' di esempio, rimandando ai necessari approfondimenti.

Si va dall’Analytic Monitoring che assicura il monitoraggio e l’analisi di proprietà del sistema o dei comportamenti dell’utenza, al Contextual Awareness con cui si monitora l’efficienza delle risorse critiche del sistema in funzione delle minacce in atto e delle azioni di risposta.

Altra tecniche sono invece volte deliberatamente a contrastare le azioni dell’avversario, come la Deception - modalità di inganno con cui si intende fuorviare, confondere l’avversario, ad esempio nascondendogli risorse critiche o esponendogli risorse segretamente inquinate - oppure la Unpredictability, con cui si realizzano cambiamenti nel sistema in modo causale o non prevedibile.

Altre metodiche permettono ai meccanismi di protezione di operare in modo coordinato ed efficiente - Coordinated Protection - oppure agevolano l’utilizzo di approcci di eterogeneità per minimizzare gli impatti di minacce diverse che sfruttano vulnerabilità comuni, come il caso delle tecniche denominate Diversity.

Tecniche preventive come la Dynamic Positioning permettono di distribuire o riallocare dinamicamente funzionalità o risorse di sistema per sottrarle all’attenzione dell’attaccante; oppure di Substantiated Integrity che permettono di accertare se elementi critici del sistema siano stati compromessi.


Altre infine assicurano funzionalità di ridondanza o segmentazione.

Insomma, ancora una volta le soluzioni tecniche, gli approcci concettuali e gli standard di qualità sono presenti e ben presidiati dal mondo accademico e regolatorio. Un impulso alla loro contestualizzazione nei diversi ambiti locali avverrà anche grazie alla costituzione della rete di European Digital Innovation Hubs che, grazie alla costituzione di consorzi regionali fra università, centri di ricerca, imprese e pubblica amministrazione, forniranno supporto diretto alle piccole e medie imprese, le più esposte ai rischi e la cui debolezza può diventare causa di debolezza dell’intero sistema Paese.

Sta alla capacità di governance delle organizzazioni pubbliche e private di comprendere le nuove minacce; avere ben chiaro quali siano gli asset di interesse e le relative necessità di sicurezza e resilienza; comprendere la crescente complessità del quinto dominio per gestire efficacemente l'incertezza associata a tale complessità; integrare i requisiti, le funzioni e i servizi di sicurezza nei processi gestionali e tecnici nell'ambito del ciclo di vita dello sviluppo dei sistemi; ed infine dare priorità alla progettazione e realizzazione di sistemi sicuri e resilienti in grado di proteggere le attività delle parti interessate.


Orazio Danilo Russo e Giorgio Giacinto


Per approfondire:

https://formiche.net/2021/06/agenzia-cyber-tempo-scaduto-lallarme-di-gabrielli/

https://www.agi.it/economia/news/2021-05-11/colonial-pipeline-ransomware-12504743/

https://www.cybersecitalia.it/cybersecurity-roberto-baldoni-bisogna-passare-alla-resilience-by-design/12483/

https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2391

https://digital-strategy.ec.europa.eu/en/activities/edihs

https://nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-081.pdf

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2.pdf