Traduttore automatico - Read this site in another language

sabato 18 giugno 2022

Quanto sono sicure le VPN?

Fonte: AT&T cybersecurity blog
Con questo breve articolo cercherò di dare una risposta alla domanda che mi è stata posta qualche giorno fa: quanto è sicura una VPN? 
E con l'occasione affronterò anche due argomenti preliminari, senza la conoscenza dei quali non è possibile capire di cosa si parli:
Cerchiamo dunque di capire che cosa significa VPN e come funziona.

Le risposte dovrebbero essere relativamente semplici ma non diamo niente per scontato e proviamo a capire, come sempre, di cosa parliamo.
Per essere certi di non sbagliare vediamo che ci dice in proposito uno dei più grandi fornitori di servizi di rete al mondo, CISCO:
"A virtual private network, or VPN, is an encrypted connection over the Internet from a device to a network. The encrypted connection helps ensure that sensitive data is safely transmitted. It prevents unauthorized people from eavesdropping on the traffic and allows the user to conduct work remotely. VPN technology is widely used in corporate environments."

Abbiamo già scoperto che con l'acronimo VPN ci si riferisce ad una "Virtual Private Network" come ad una connessione cifrata tra un dispositivo (PC, tablet, smartphone...) ed una rete (generalmente una rete aziendale), il tutto poggiato su Internet. 
La connessione cifrata aiuta ad assicurare che i dati siano trasmessi in modo sicuro. 
La VPN previene l'intercettazione del traffico dati da parte di persone non autorizzate e consente agli utilizzatori della stessa di lavorare da remoto.   
Quelle che ho messo in evidenza sono le caratteristiche principali di una VPN.

Prima di proseguire vediamo di fare un esempio di VPN pre-Internet.
Tutti ricordiamo che da bambini a scuola capitava spesso di dover comunicare qualcosa al compagno di classe che si trovava due file avanti.
Dopo aver provato a comunicare, magari chiamandolo a voce bassa, attirando così l'attenzione della maestra e perciò venendo ripreso, ci si inventava metodi meno rumorosi.
Il primo metodo che io stesso impiegavo consisteva nello scrivere il messaggio all'interno di un foglietto, piegarlo in quattro e scrivere il nome del destinatario del messaggio sopra il foglio piegato, quindi toccare la spalla del primo compagno che si trovava in direzione del destinatario e chiedere con un cenno di testa di inoltrare il messaggio. 
Vorrei far notare che in questo esempio la classe fungeva da rete Internet, ogni compagno era in effetti un nodo della rete. Il foglietto era il supporto dei dati importanti (dopo la scuola andiamo a farci il bagno al fiume?). Piegare il foglio in quattro garantiva un minimo di sicurezza (molto poca lo ammetto!). Il nome del destinatario scritto sopra era l'informazione che serviva per fare arrivare il messaggio a destinazione.
Sistema funzionante con un presupposto, tutti i compagni sono tra loro amici e nessuno è curioso.
Come immagino abbiate sperimentato anche voi in occasioni simili, pensare che tutti siano amici e che nessuno curiosi è bello dal punto di vista umano ma assolutamente irreale. 
Ciò che spesso accadeva in questa Internet primordiale era che uno dei nodi (un compagno curioso) invece di trasmettere il messaggio verso il compagno successivo, lo apriva e lo leggeva, e solo dopo, nella migliore delle ipotesi, lo richiudeva e lo inoltrava verso il vero destinatario.
La soluzione da me adottata, e immagino da tanti di voi che leggete, era semplice, era una VPN.
Certo, analogica, ma sempre di VPN si tratta. La VPN funzionava così. 
Siccome il destinatario dei miei messaggi era il mio compagno con cui giocavamo tutti i giorni a pallone, ci mettemmo d'accordo per usare dei messaggi cifrati. Il nostro cifrario era abbastanza semplice, si trattava semplicemente di sostituire ad una lettera un'altra secondo uno schema sul quale ci eravamo accordati. Oggi so che si trattava del cifrario di Cesare ma allora poco importava, l'importante era che funzionasse. E funzionava... c'era sempre chi per curiosità apriva il foglietto ma in genere non era in grado di capire cosa ci fosse scritto. 
In pratica con l'aggiunta della cifratura avevamo realizzato una vera e propria VPN, senza saperlo!
Oggi le VPN vengono usate per connettere in modo sicuro un PC collegato tramite internet ad una rete aziendale. Il PC esterno alla rete, collegato ad internet, stabilisce una connessione sicura con un server di servizio VPN utilizzando un protocollo sicuro, solitamente si usa il protocollo TSL  

Ora, la domanda cui vorremo rispondere è la seguente: quanto è sicura una VPN?

Dopo aver capito cos'è e come funziona, vediamo di capire qualcosa di più sulla sicurezza di una VPN.
E' facile capire che vi sono molti fattori in gioco nel valutare il livello di sicurezza della VPN.

Proviamo assieme a capire i punti deboli.

La cifratura.
Uno dei fattori importanti è il tipo di cifratura che si utilizza. Come ho accennato prima, io da ragazzo usavo il cifrario di Cesare, un algoritmo crittografico tra i più semplici, che consiste nel sostituire ad una lettera un'altra lettera dello stesso alfabeto, come potete vedere dalla figura.
Le cose funzionavano abbastanza bene ma non era difficile capire come decifrare il messaggio ed inoltre esisteva sempre la possibilità che qualche compagno particolarmente dispettoso prendesse il foglietto e lo tenesse per se.
Allo stesso modo una delle caratteristiche delle VPN è l'algoritmo di cifratura che viene utilizzato per la cifratura dei dati e per stabilire il percorso migliore per raggiungere il destinatario. 
Siccome gli algoritmi utilizzati dalle VPN sono diversi, è chiaro che anche la sicurezza delle VPN è diversa.
In linea di massima possiamo dire che una VPN richiede l'uso di un algoritmo di cifratura (per cifrare e decifrare i dati) e di un protocollo sicuro per stabilire e mantenere il canale di comunicazione (handshake encription protocol).
Uno degli algoritmi di cifratura più utilizzato nella storia delle VPN per stabilire il canale cifrato si chiama RSA-1024 (Rivest-Shamir-Adleman). Esistono ancora delle VPN che ne fanno uso nonostante già dal 2014 l'algoritmo sia stato craccato dalla NSA americana (o almeno così si dice). Oggi molti algoritmi fanno uso di RSA-2048, dove il numero indica la lunghezza in bit della chiave di cifratura. Teoricamente la cifratura fornita da RSA-2048 è resistente ad attacchi di tipo "Brute Force" in quanto richiederebbe troppo tempo per essere eseguito, ma ricordo anche che tale tipo di attacco non è l'unico possibile, la nascita e la sempre più costante diffusione dei computer quantistici sta mettendo in dubbio l'effettiva validità degli algoritmi di cifratura basati sulla scambio di chiavi. Negli ultimi anni vi è una vera e propria corsa allo studio degli algoritmi cosiddetti "post quantum", ovvero che possono resistere ad attacchi di forza bruta effettuati da computer quantistici. Se prendiamo ad esempio OpenSSH, si è deciso di introdurre la versione 9 basata su un algoritmo post quantum.
 
Poco sopra ho detto che RSA-1024 è stato probabilmente craccato, riprendo solo per un attimo il concetto perché introduce una necessaria precisazione: quando parliamo di quanto sia sicura una VPN non esiste una risposta unica in quanto dipende da chi fa la domanda. A premessa di una qualunque risposta semiseria alla questione dobbiamo ricordare la necessità di un Risk Assessment cioè della valutazione del rischio associato alla impresa di cui parliamo. Non voglio entrare in tecnicismi ma farò un esempio giusto per capire di che si tratta.
Se la nostra società si occupa di produzione di parti di macchine industriali per una certa zona del mondo, supponiamo per l'Italia, ed ha necessità di usare una VPN per le sue comunicazioni, sarebbe buona cosa evitare di usare VPN di una società in qualunque modo legata alle sue dirette concorrenti sul mercato. Purtroppo non sempre è facile capire di chi ci si può fidare e di chi no. La mia regola è che non mi fido di nessuno, ma questa è un'altra storia.

Per tornare alle VPN, uno dei protocolli standard più utilizzati ai giorni nostri è OpenVPN. Si tratta di un protocollo open source che può quindi essere studiato e analizzato pubblicamente da chiunque ne abbia le capacità, l'interesse e la voglia di farlo.    

Come sempre, occorre tenere conto di ulteriori fattori, legati al mondo digitale. Tutti i sistemi, software, hardware o qualunque mix dei due si possa concepire, sono soggetti a:
- vulnerabilità dovute alla cattiva produzione;
- errori dell'uomo, utilizzatore o tecnico che sia, nella configurazione e nell'uso. Questo è il caso più comune in quanto l'uso di una VPN non elimina il rischio di furto di credenziali, anzi, probabilmente lo aumenta creando nell'utilizzatore una falsa aspettativa di sicurezza;

Se volete farvi un'idea delle vulnerabilità di OpenVPN, solo a titolo d'esempio, potete consultare questo elenco: Openvpn : Security vulnerabilities (cvedetails.com)

Per concludere, dopo aver provato a spiegare in maniera più semplice possibile cosa sia una VPN e aver accennato ad alcune questioni di base, proverò a dare una risposta alla domanda dalla quale siamo partiti: quanto sono sicure le VPN?

La risposta più semplice è: meglio che trasmettere in chiaro. 
La risposta più seria invece è: dipende dal contesto.
La risposta più completa è: per poter dire qualcosa di sensato occorre fare un risk assessment e poi potremo scegliere una VPN adatta al contesto strategico, tecnologico e organizzativo in cui ci troviamo!

La VPN aumenta la sicurezza, ma aumenta anche il perimetro di sicurezza e quindi aumentano i rischi. Non dobbiamo mai dimenticare che la sicurezza dipende dall'anello più debole della catena e solitamente questo è l'uomo! 
 
Alessandro RUGOLO

Ringrazio, come sempre, gli amici di SICYNT per l'aiuto e i suggerimenti datimi. 
Infine, nella mia esposizione ho scelto di semplificare per cui ho rinunciato appositamente a parlare di autenticazione e di integrità, concetti importanti ma che avrebbero reso l'articolo meno chiaro. Avremo altre occasioni per farlo.

Per approfondire:


mercoledì 8 giugno 2022

Metaverso, società e cybersecurity

E' da qualche tempo che pensavo di scrivere qualcosa in merito. 

Mentre riflettevo il tempo passava e il web è ormai giunto alla versione 3. e a breve passerà alla 4.0. 

Tra le novità del web 3.0 si può includere tutto ciò che ha a che fare col "Metaverso". 

Qualche tempo fa Federica Maria Rita Livelli e Alberto Monici hanno scritto un bell'articolo (Il metaverso è ormai una realtà, quali sfide ci attendono?) che vi invito a rivedere se potete, prima di continuare la lettura.

In questo breve articolo invece, io proverò ad evidenziare dei problemi che oggi non sono stati ancora affrontati a fondo e di cui raramente si sente parlare, questo perché ritengo sia opportuno aumentare la consapevolezza verso un "mondo virtuale" che però ha tanti risvolti sul mondo reale. 

Mi sembra indispensabile che la società si faccia carico per tempo di studiare, analizzare e se occorre prevenire o proibire comportamenti che potrebbero divenire problematici, per evitare di trovarsi come spesso è accaduto, a dover gestire situazioni scomode e non ben conosciute. 

Comincio con una domanda, come faccio spesso, a cui cercherò di dare una risposta, se alla mia portata. Non ve la prendete se non dovesse esserci risposta da parte mia, ma anzi provate voi a trovarne una.

La mia prima domanda è: devono esserci delle regole nel metaverso, per coloro che vi si immergono o per i loro avatar?

Pùò sembrare una domanda stupida, la cui risposta è banale, ma io non la penso così. 

Per dimostrare ciò che intendo proverò a chiarire  la domanda. Per esempio, nel metaverso un avatar può insultare un altro avatar? Lo può minacciare? Può commettere un furto? Può commettere degli atti che nel mondo reale sono considerati dei crimini, come per esempio un'aggressione, uno stupro, un atto di pedofilia? 

Come vi ho già detto all'inizio, potrebbero sembrare domande banali dalla risposta logica o immediata, ma forse non sempre è così.

Qualcuno potrebbe rispondermi che non ha senso proibire degli atti compiuti da avatar verso avatar. Non si tratta di persone! Eppure, gli avatar sono scelti a somiglianza di chi li crea, spesso ne hanno le fattezze, le caratteristiche psicologiche principali, ne imitano il comportamento... 

Ma questo non è un motivo sufficiente, mi si dice dalle quinte. Concordo.

Ma che dire del fatto che dietro un avatar c'è una persona reale? Con le sue paure, le sue debolezze, i suoi istinti e soprattutto un cervello impegnato a elaborare quanto gli accade intorno, che si tratti del mondo reale o di quello virtuale in cui il suo "altro io", il suo avatar, si trova.

Ora, supponiamo che una persona particolarmente fragile nel mondo reale, subisca un'aggressione al suo avatar nel mondo virtuale, e al suo "rientro nel mondo reale" decida di suicidarsi. 

Qualcuno deve rispondere della sua morte o è stato un semplice incidente?

Qualcuno potrebbe dire che queste cose non accadono, gli avatar si comportano bene. A chi la pensa così invito a leggere questo articolo, su un rapimento di avatar nel metaverso, compiuto ai danni dell'avatar di una ricercatrice che stava studiando il comportamento umano nell'ambiente virtuale... la cosa positiva è che la ricercatrice non si è suicidata, ma questo non significa che ciò non possa accadere a persone particolarmente fragili.

Ma facciamo una altro esempio: che succede se nel metaverso si facesse propaganda politica il giorno prima delle elezioni? Si commette un reato? E se di reato si tratta, chi lo commette, l'avatar o il suo "doppio" umano? E nel caso che l'uomo dietro l'avatar non esista, magari perché si tratta di un avatar prodotto da una intelligenza artificiale, allora chi è l'eventuale colpevole? Il proprietario della piattaforma virtuale? Come ho detto prima non ho una risposta. 

Altro esempio: che succede se un disabile, magari senza gambe a causa di un incidente, trovasse più interessante restarsene attaccato ad una consolle, con un casco indossato, che gli permette di vivere una "vita virtuale" in possesso di entrambe le gambe? E' da considerarsi una cosa buona o cattiva? Sinceramente non vi saprei dire, ma è ciò che vogliamo?

Che succede se un avatar decide di vendere una sua proprietà, magari un'opera d'arte digitale ad un altro avatar? Per lo scambio può usare una moneta elettronica che poi l'essere umano può cambiare in valuta reale. Nessuno di voi ci vede la possibilità di riciclare del denaro sporco? Sono forse l'unico?

Passiamo ad un altro, ultimo esempio. Cosa succede se si utilizza il metaverso e dunque ambienti e avatar per compiere atti di spionaggio? Immaginate quante possibilità di scambio di informazioni possono esserci oltre a quelle già oggi esistenti.

Se ci pensate un attimo, di situazioni simili ne possiamo trovare quante ne vogliamo.

Ho provato a fare dei semplici esempi di situazioni che potrebbero essere considerate al limite, ma vi ricordo che oggi sono pochi gli utenti di questi mondi virtuali per cui sono poche le possibilità di incidenti, ma un giorno, almeno secondo gli investitori, saranno in tanti ad usare il metaverso, come oggi sono in tanti ad utilizzare i social network. 

Ecco perché occorre iniziare a pensare a quali comportamenti sono ammessi e quali no e a cercare di prevenire effetti potenzialmente dannosi per il singolo e per la società.

E non abbiamo ancora parlato di rischi cyber!

Il metaverso è uno spazio creato dall'uomo, in cui l'uomo, attraverso il suo avatar, avrà la possibilità di muoversi, vivere, compiere atti di tutti i tipi. Atti che avranno indubbiamente dei risvolti sia nel mondo virtuale sia nel mondo reale, Ecco perché é importante capire quali siano queste interazioni e quali siano i rischi possibili per il singolo e per la società nel suo complesso.

Meditate gente, meditate!


Alessandro Rugolo

Per approfondire:

Researcher Says Her Avatar Was Raped on Meta's Metaverse Platform (businessinsider.com) 

Il Metaverso è oramai una realtà: quali sfide ci attendono? - Difesa Online

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: On the Radar: Securing Web 3.0, the Metaverse and beyond

e-privacy XXX — Sospendiamo la privacy (winstonsmith.org)

sabato 4 giugno 2022

War games: primi tra i serious games?

(Foto: Patrick Ruestchmann, Maggio 2022)

Qualche settimana fa abbiamo accennato come i serious games (e tra questi i war games) possano aiutare a comprendere ciò che accade agevolando la riflessione e la gestione delle crisi di carattere strategico.

In un articolo letto recentemente, "Guida ai serious game" di Marco Segatto, sono bene illustrati i fini possibili di un serious game. Nello stesso articolo è possibile trovare anche molti esempi di serious game in diversi campi applicativi, quali la sanità, il marketing, temi sociali, formazione e altri. C'è da dire che sono stupito dal fatto che all'interno dell'articolo non si parli di war game.

Sempre per parlare di qualcosa che ho letto recentemente un po' per caso, un interessante articolo sul sito "Game Developer": Serious War Games: Serious as Life and Death. In questo articolo si parla proprio di quale sia l'importanza dei war game, all'interno dei serious game. 

Ed allora parliamo di war game. 

(Rivista Militare: 
Dottrina, intuito e wargaming, una formula da potenziare )
In un articolo di qualche anno fa pubblicato su Rivista Militare, "Dottrina, intuito e wargaming, una formula da potenziare", di Aldo Monsellato, l'autore sostiene che il wargaming sia un ottimo strumento" per coniugare scienza e arte militare". Non può essere certo un caso che l'Esercito Italiano abbia edito la Circolare 7015 in cui descrive i principi e il possibile impiego come supporto alle decisioni e come strumento formativo ed addestrativo. Nella stessa circolate si descrive "Decisione immediata", come strumento utile a "stimolare il talento tattico dei comandanti" e dei futuri comandanti in particolare, che con questo strumento possono sperimentare senza paura di sbagliare l'effetto di decisioni che sul campo potrebbero portare pesanti perdite in termini di vite umane.

Ecco dunque che, senza paura di smentite, i wargame sono a pieno titolo parte dei serious game e forse sono anche i più antichi... basterebbe forse ripensare agli scacchi!

Alessandro Rugolo

Per approfondire:

Serious games e War games - Difesa Online

- https://www.penseemiliterre.fr/-peut-on-innover-en-matiere-de-doctrine-_772_1013077.html;

Warfare Development: Making NATO Better — Now and Tomorrow :: JWC - NATO

-  Serious Game Guida 2022: Cosa sono, Esempi, Ambiti Applicazione (projectfun.it)

La Piccola Armata – Il club di wargame a Torino (wargametorino.com)

PAXsims | Conflict simulation, peacebuilding, and development (wordpress.com)


Cos'è un virus informatico?

Qualcuno sostiene che quando si fa divulgazione nel settore della cyber, tutto va bene per far passare il messaggio dei pericoli che dobbiamo affrontare oggigiorno. Con il "tutto va bene" però spesso si giustifica l'incompetenza di chi scrive, spesso attribuendo la colpa all'ignoranza del lettore.

Io non la penso così.

Ecco dunque che, dopo l'articolo del mese scorso con cui ho cercato di spiegare in modo semplice ma corretto il significato di DDoS (vedi l'articolo: DDoS e virus - Difesa Online dello scorso 16 maggio), mi accingo a spiegare cosa sia un virus informatico. 

Sono sicuro che in tanti sanno di che si parla, per cui potrebbero trovare l'articolo troppo semplice o banale, ma sono altrettanto sicuro che saranno in tanti a trarne beneficio o, spero, a rigirarlo a qualche amico o giovane che si sta avvicinando alla materia e potrebbe quindi trovarlo utile.

Cominciamo dalle basi: la definizione!

Sembra una cosa semplice, non è vero? 

Dovrebbe essere sufficiente aprire il browser e trovare un buon vocabolario o enciclopedia che ci possa fornire quanto chiesto. Eppure non è così. Chiunque abbia utilizzato internet, magari per lavoro, sa bene che il problema non è non trovare le cose ma al contrario, trovarne troppe. Allora occorre imparare a fare delle ricerche mirate e ad utilizzare dei siti di riferimento di cui possiamo avere la ragionevole certezza che siano affidabili. Come ho già detto in altre occasioni, una delle fonti che mi ha sempre dato soddisfazione è il sito del NIST (National Institute of Standards and Technologies del Dipartimento del Commercio degli Stati Uniti d'America).

Naturalmente anche il NIST, producendo normativa per scopi differenti, utilizza spesso delle definizioni aventi diverso livello di approfondimento. Quindi si può trovare che un virus è semplicemente "A program that replicates itself by attaching to other programs or files, where it hides until activated (1)" oppure, con un maggior livello di dettaglio: "A hidden, self-replicating section of computer software, usually malicious logic, that propagates by infecting (i.e., inserting a copy of itself into and becoming part of) another program. A virus cannot run by itself; it requires that its host program be run to make the virus active (2)". 

Se siete curiosi, a fine articolo ho inserito un link alla pagina del NIST in cui sono riportate tutte le definizioni di virus.

Per lo scopo che mi prefiggo con questo articolo la seconda definizione è quella che prenderò in considerazione.

Dunque, un virus è un pezzo di software generalmente malevolo, capace di replicarsi, che si attacca o sostituisce ad un software che lo ospita e che lo attiva alla sua esecuzione.  

Un po' di storia. 

Sono convinto che la sola definizione non sia sufficiente a capire cosa sia un virus per cui penso sia sempre interessante leggere qualche articolo sulla storia dei virus informatici.

Ve ne segnalo due. Il primo articolo è pubblicato sul sito di Kaspersky con il titolo di "A brief history of Computer Viruses & what the future holds". Scopriamo così che i virus hanno un padre che è sicuramente noto a tutti coloro che come me hanno studiato informatica. Si tratta di John von Neumann che nel 1966 pubblicò un testo in cui discuteva la possibilità per un organismo artificiale (come per esempio un pezzo di codice) di riprodursi e essere potenzialmente dannoso come un virus biologico. Qualche anno dopo un giovane chiamato Bob Thomas creò un programma chiamato Creeper, con lo scopo di verificare la teoria della possibilità di autoreplicarsi di un codice informatico. Creeper non era malevolo e non si propagava infettando un programma ospite, per cui a ben guardare non si tratta propriamente di un virus ma di un'altra categoria di codice che si chiama Worm e che al momento non è oggetto della nostra attenzione. In ogni caso sono in tanti a considerare Creeper come il primo virus. Nel 1974 viene sviluppato Rabbit (conosciuto anche come Wabbit), un programma malevolo capace di autoreplicarsi e assorbire le risorse del computer infetto, rallentandolo e causandone il blocco. Il primo virus per computer IBM si chiamava "Brain". Fu sviluppato nel 1986 (trentasei anni fa!) e agiva infettando il settore di avvio dei floppy disk facilitando così il contagio con lo scambio dei floppy tra utilizzatori.

Il secondo articolo invece è intitolato "A short history of computer viruses" ed è interessante notare che, tra l'altro, parla del primo malware capace di diffondersi molto velocemente su internet, conosciuto come il worm di Morris. Anche in questo caso devo dire che in effetti si trattava di un worm che nel giro di poche ore infettò circa 15.000 computer.

Un altro virus abbastanza conosciuto è "Melissa". Si tratta di un virus rilasciato nel 1999 che si diffondeva attraverso l'uso di un allegato word inviato per email con outlook. Una volta attivo, prendeva i primi cinquanta indirizzi della rubrica della vittima e gli inviava il documento word infetto.  

Credo che sia opportuno riassumere le cose essenziali da ricordare:

- in primis, molto spesso si fa confusione tra virus e worm, che vengono spesso accomunati anche se tecnicamente si tratta di due cose differenti. I virus, che come detto infettano un file che li ospita, si trasmettono quando il file che li ospita viene scambiato o inviato, magari via email, whatsapp o altro. I worm si diffondono senza la necessità di un file ospite;

- i virus sono generalmente malevoli.

Detto ciò, un semplice avvertimento: fate sempre attenzione ai file che ricevete e se non state aspettando niente non aprite i documenti allegati!

La storia dei virus è molto più vasta di quanto scritto in queste poche righe ed è, a mio parere, molto interessante ma lascio a voi l'onere di approfondire.

Cosa ci aspetta in futuro

Senza dubbio niente di buono. Il numero di virus o di altre categorie di software malevoli è in aumento vertiginoso e spesso non è facile neppure categorizzare le minacce. Il mercato del lavoro richiede sempre più esperti in cyber security ma gli istituti scolastici non riescono a coprire le esigenze. In molti paesi il lavoro di un esperto in cybersecurity è spesso sottopagato e, peggio, assolutamente incompreso. Ciò è causa di molti problemi nelle piccole e medie aziende ma anche in tutta la pubblica amministrazione. E' opportuno ricordare che quando parliamo di virus ci riferiamo non solo a quelli dei personal computer ma anche ai dispositivi di altro genere, dagli smatphone a IoT (dispositivi connessi in rete tipo le telecamere di sorveglianza...) e a tutto il mondo dei dispositivi industriali, della domotica e a breve delle interfacce uomo-macchina impiantate direttamente sull'uomo. Infine il miglior investimento che si possa fare è quello nelle persone. 

Ogni tecnico informatico preparato, ogni dipendente addestrato e istruito può fare la differenza tra un attacco riuscito e uno fallito. La cultura della sicurezza informatica e l'addestramento di base è di fondamentale importanza per prevenire danni spesso irreparabili, ed il costo è sicuramente inferiore ai danni provocati da un incidente informatico. 

Cerchiamo di ricordarlo per tempo, invece che piangerci sopra  quando è troppo tardi!   

Alessandro Rugolo

P.S. Ringrazio tutti gli amici di SICYNT per suggerimenti e revisioni.

Note:

1- NIST SP 800-28 rev 2. Trad: Un programma che replica se stesso attaccandosi ad altri programmi o files, che utilizza per nascondersi fino a quando verrà attivato.

2- NIST SP 800-82 rev 2. Trad: Una sezione nascosta di software, autoreplicante, generalmente malevola, che si propaga per infezione (per esempio inserendo una copia di se stesso e diventando così parte) di un altro programma. Un virus non può eseguirsi da solo,  per essere attivato richiede che il programma ospite sia eseguito.

Per approfondire:

virus - Glossary | CSRC (nist.gov)

A Brief History of Computer Viruses & What the Future Holds (kaspersky.com)

A short history of computer viruses (sentrian.com.au)

The very first viruses: Creeper, Wabbit and Brain. (infocarnivore.com)

Virus:W32/Melissa Description | F-Secure Labs

martedì 17 maggio 2022

Serious games e War games

Uno dei moderni settori di studio legato all’apprendimento é quello conosciuto come « Serious games ».

Iniziamo subito col dire di che si tratta. I cosiddetti « Serious games », e tra questi i giochi di guerra, sono degli strumenti utilizzati in vari ambienti per sviluppare e agevolare la riflessione e l’addestramento alla gestione delle crisi su argomenti di carattere strategico, militare ed economico ma anche più semplicemente per migliorare il livello di conoscenza e di collaborazione tra membri della stessa squadra o con i nuovi arrivati.   

In linea di massima l’impiego dei Serious games permette di:

migliorare la riflessione su dei soggetti concreti. Al contrario della realtà in cui ci si trova costretti, il gioco aiuta a ragionare liberamente e a fare esperienze senza paura di sbagliare e soprattutto esercitando liberamente la propria inventiva ;

mettersi nei panni dell’ipotetico avversario. Nella realtà raramente si ha il tempo di pensare come si comporterebbe, in una data situazione, un ipotetico nemico. Nel gioco é invece possibile farlo e scoprire cosi’ modi di pensare e comportamenti a noi non familiari ;

- sviluppare capacità di ascolto e di leadership. In linea di massima nel lavoro non si é mai soli. Occorre lavorare in squadra verso obiettivi comuni e il gioco aiuta lo sviluppo delle capacità interpersonali.

In ambiente militare i serious games sono chiamati wargames e da diversi anni le scuole militari di diversi paesi ne fanno uso e invitano i propri studenti a far uso di questi strumenti.

In Francia, per esempio, esistono diverse organizzazioni che usano i serius games e i wargames come strumento d’apprendimento e di approfondimento complementare alle lezioni.

L’invito a tutti é di approfondire l’argomento e di trovare una associazione con la quale praticare questa forma di gioco, anche magari in prospettiva dei prossimi giochi che si terranno a Parigi nel mese di ottobre e che vedranno impegnate squadre francesi e italiane , col supporto della NATO, nello sviluppo di wargames sempre più realistici.

Alessandro Rugolo

Per approfondire :

- https://sgnfr.wordpress.com/serious-games-forum-2018/

- https://portail-ie.fr/analysis/1909/jdr-ready-for-a-serious-game

- https://www.lexpress.fr/actualites/1/societe/war-games-des-jeux-pour-apprendre-vraiment-la-guerre_2116571.html

sabato 14 maggio 2022

DDoS e virus


Può sembrare strano ma nel nostro mondo iper-connesso, in cui si va avanti a forza di acronimi e termini inglesi, non sempre ci si sofferma abbastanza sul significato delle parole e ciò può portare ad errori.

Prendiamo per esempio, ma non a caso, l'acronimo DDoS e proviamo a domandarci che cosa significa. Il significato per esteso è Distributed Denial-of-Service, che tradotto in italiano suona un po' come "negazione del servizio distribuita", traduzione veramente orribile che non utilizzerò più nel corso di questo articolo. 

Si tratta in effetti di un tipo di attacco cyber che non è altro se non l'evoluzione del più vecchio DoS (attenzione, non si parla del sistema operativo degli anni ottanta) dove DoS sta per Denial-of Service. Il DDoS è un tipo di attacco che consiste nel tentativo di interrompere il normale traffico dati (sto semplificando!) che avviene tra un server che eroga un servizio e gli utenti di quel servizio.

Prima di andare avanti facciamo un esempio per chiarire la cosa una volta per tutte. 

Consideriamo per esempio una società che si occupa di servizi sanitari che offre un servizio di consegna cibo per i malati che si iscrivono al suo sito. Se una società concorrente poco onesta decidesse di rovinare gli affari del concorrente potrebbe organizzare delle azioni (attacchi) per contrastare l'esecuzione del servizio. 

Potrebbe farlo fisicamente, impedendo ai veicoli di effettuare le consegne in tempo, oppure bloccandoli nel traffico, oppure rubandogli il carburante o ancora minacciando gli autisti o i cuochi o chiunque si trovi sulla catena di produzione. Se però il cattivo ha a disposizione un bravo hacker allora potrebbe fare la cosa anche impedendo ai clienti di raggiungere il sito della società di servizi. 

Ora, come ho detto all'inizio il DDoS è l'evoluzione del DoS. Infatti un po' di anni fa il nostro hacker cattivo avrebbe cercato di attaccare il sito della nostra società in maniera diretta, cercando di creare molto traffico sperando (e a volte ottenendo) che il sito del servizio non riuscisse più a rispondere alle richieste di altri utenti. 

Oggigiorno per far cadere un sito che rende dei servizi occorrono molti più utenti concorrenti (cioè molti utenti che tentano di connettersi in contemporanea) e per creare grosse quantità di traffico si usano molti dispositivi connessi a internet (distribuiti) che però sono controllati da un unico punto. Queste "reti" malevole sono chiamate botnet e sono alla base dei moderni attacchi di DDoS.

Questo è quanto occorre sapere sul DDoS.

Vi chiederete, ma allora perché nel titolo dell'articolo hai scritto "DDoS e virus" ? Qual è la relazione tra DDoS e Virus informatico ?

Beh, per essere chiaro, sono due cose diverse. 

Per fare un paragone con il mondo militare il DDoS è una tecnica di attacco, al pari dell'assalto frontale, di un'imboscata o di un bombardamento aereo. Il Virus è invece un'arma, al pari di una baionetta, di un fucile mitragliatore o di una bomba termonucleare!

Per concludere, il fatto che DDoS e Virus siano due cose diverse non significa che non possano essere utilizzati per raggiungere uno obiettivo comune. Per tornare al paragone militare, un assalto frontale può essere condotto impiegando armi di diverso tipo. Un DDoS può essere eseguito utilizzando una botnet creata infettando i dispositivi con Trojan Horse, Virus e/o altri malware. 

Se volete vedere un esempio di un DDoS, potete dare uno sguardo a come funziona l'attacco Mirai di qualche tempo fa.

Alessandro Rugolo  


Per approfondire:

What is a distributed denial-of-service (DDoS) attack? | Cloudflare    

DDoS Attack: What Friday’s Massive Internet Outage Was All About (futurism.com)

Mirai DDoS Attack Explained (imperva.com)

giovedì 5 maggio 2022

Locked shields 2022: Finlandia al primo posto

Quest’anno va alla Finlandia il primo posto in una delle più grandi e complesse esercitazioni live di cyber defense al mondo, sicuramente la più importante della NATO, che si è tenuta a Tallin dal 19 al 22 aprile.

Per l’esercitazione, come sempre accade, é stato creato uno scenario fittizio, basato su uno stato insulare chiamato Berylia.

Lo scenario prevede che Berylia é soggetto ad attacchi alle reti e sistemi militari e civili. Sono colpite le sue principali infrastrutture critiche (acqua, elettricità, banche...) e i Blue Team alleati sono chiamati ad aiutare.

Con circa 5500 sistemi virtuali (che simulano reti e sistemi di Berylia) e più di 8000 attacchi cyber in poco più di tre giorni, la cosa non è semplice.

L’esercitazione non ha carattere solo tecnico. E' stato preso in considerazione anche il livello strategico politico, legale e finanziario spingendo i partecipanti a prendere delle decisioni in tempi ristretti e in ambiente altamente complesso.

E' in questo contesto che la squadra della Finlandia ha dimostrato la sua superiorità.

Subito dopo la Finlandia, si é classificato il team congiunto Lituania-Polonia, mentre il terzo posto é andato al team Estonia-Georgia.

L’esercitazione - organizzata dal Cooperative Cyber Defence Centre Of Excellence (CCDCOE) in collaborazione con NATO, Siemens, TalTech, Clarified Security, Arctic Security, CR14 - ha visto la partecipazione di 24 teams (per circa duemila esperti di 32 differenti nazioni) nella veste di difensori (Blue Teams). Tra i partecipanti anche degli esperti provenienti dall’Ucraina.

Dopo i dati, necessari per capire la dimensione dell'esercitazione, alcune considerazioni sono necessarie.

La prima cosa che si nota é l’assenza, nei primi posti della classifica, di paesi come gli Stati Uniti, UK, Francia, a favore di paesi più piccoli del nord europa, legati in teams congiunti.

Quanto ciò possa essere indice di una diversa politica nella scelta dei partecipanti da parte dei diversi Stati o in qualche modo del livello delle nazioni partecipanti é naturalmente tutto da dimostrare. Ricordiamo infatti che si tratta pur sempre di una esercitazione che per quanto realistica sia non può evidenziare (se non parzialmente) la reale preparazione di uno Stato ad affrontare una crisi cyber.

In secondo luogo é interessante notare la scarsa pubblicità che si fa attorno ai risultati della esercitazione e ai suoi aspetti più tecnici. Ciò denota, a mio parere, una certa tendenza a diffondere questo genere di conoscenze solo all’interno di un circolo ristretto di persone.

La cosa può essere interpretata in modi diversi.

Si può pensare, in prima analisi, che l’organizzazione (NATO CCDCOE) ritenga sensibili i dati e le informazioni raccolte con l’esercitazione e che le stesse vengano condivise solo coi paesi partecipanti. Tale linea di pensiero sembra confermata dal fatto che le informazioni tecniche delle esercitazioni degli anni scorsi sono comunque poco note.

Appare però quanto meno discutibile il non diffondere i risultati e le analisi condotte in sede di esercitazione.

A mio parere un’ampia diffusione dei problemi riscontrati e dei metodi utilizzati per affrontarli é alla base di ogni esercitazione di carattere militare e serve esattamente a far evolvere l’organizzazione nel suo complesso.

Infine c’é da chiedersi quanto sia realistica l’esercitazione.

Trattandosi di una esercitazione internazionale difensiva, é chiaro che i team in gioco devono operare sulle reti, sistemi e piattaforme di un ipotetico paese dell’Alleanza, Berylia nel caso specifico.

Per far ciò è necessario che tutti i team possiedano le informazioni sui sistemi da proteggere, cosa che in un caso reale, è difficilmente realizzabile.

Nessun paese che aspiri a mantenere un minimo di autonomia nazionale sulla sicurezza dei propri sistemi vorrebbe mettere a disposizione di un altro Paese (Alleato o meno che sia) le debolezze dei propri sistemi e piattaforme. 


Alessandro Rugolo


Per approfondire :