Intelligenza Artificiale e Difesa

Già attivo da alcuni anni il Centro Innovazione della Difesa (CID), del III° Reparto dello Stato Maggiore della Difesa, sta diventando sempre più protagonista nel panorama della Difesa italiana. Il CID ha il compito di garantire lo sviluppo e l'aggiornamento di un adeguato quadro concettuale e dottrinale, allo scopo di supportare il processo di trasformazione dello Strumento Militare nazionale ed in questo senso sta operando in relazione all'Intelligenza Artificiale. 

Nell'anno in corso, in particolare, ha dato seguito all'iniziativa INNOV@DIFESA, hub di riferimento della Difesa per l’innovazione che abbracciando il paradigma dell’Open Innovation (ricorrendo cioè alle idee interne ed esterne alla Difesa, attraverso il pensiero critico accademico, la pragmaticità della realtà industriale e l’intuizione del contesto della ricerca), sta realizzando un network di esperti volto a cogliere l’innovazione aperta nei settori civili, privati ed istituzionali attraverso un’azione di raccordo a guida del CID. Proprio in tale contesto il CID ha promosso due workshop tenutisi nei mesi di aprile e di luglio.

Nel corso del primo workshop, "Intelligenza Artificiale, Difesa & Sostenibilità: implicazioni etiche, legali e psicologiche", con la collaborazione dell’European Institute for Innovation and Sustainability (EIIS), sono stati analizzati gli aspetti etici, legali e psicologici relativi all'introduzione dell'Intelligenza Artificiale nel mondo della Difesa. Nel corso dei lavori è intervenuto padre BENANTI, francescano, teologo, che ha trattato l'argomento dal punto di vista etico e ha guidato l'esame degli aspetti etici legati al rapporto tra Essere Umano e Intelligenza Artificiale.

Nel secondo panel è intervenuto il Professor Andrea CASTIELLO D’ANTONIO, psicologo, già Professore Straordinario di psicologia clinica e del lavoro presso l’Università Europea di Roma, che ha messo in evidenza come l'AI risulti sempre più utile in diversi settori della società ma come allo stesso tempo si registra una crescita dei problemi di "interfacciamento" tra Uomo e Macchina.

Nel terzo panel è intervenuto l'Avvocato Marco PROVVIDERA, docente di International Law (Law of Armed Conflict), National Security, Law of the Intelligence, Comparate Counter-terrorism e Law of the Emerging Technologies, che ha analizzato la situazione negli Stati Uniti e nell'Unione Europea, evidenziando come sia sempre più urgente normare il settore, anche per evitare che concorrenti e avversari strategici e geopolitici dell’Occidente, possano sfruttare a proprio vantaggio le norme che regolano jus ad bellum e jus in bello.

A luglio, con il secondo, "Intelligenza Artificiale, Difesa e Sostenibilità: Nuove esigenze formative, e-Leadership ed evoluzione dei processi decisionali", si è visto crescere l'interesse del pubblico, delle università e dell'industria nazionale attorno ad un argomento che diventa sempre più importante per lo sviluppo delle Forze Armate e del pensiero strategico nazionale.

Il primo dei due panel organizzati in questo secondo incontro, ha visto, tra gli altri, l’intervento della Prof.ssa D.M. ROMAN, esperta nella gestione dei conflitti derivanti dall'implementazione di Nuove Tecnologie e del Dott. E. CACCIATORE, Senior Director Industry Strategy & Transformation EMEA – Oracle. Nel corso del panel sono stati introdotti da vari punti di vista gli aspetti relativi alle nuove competenze digitali e alle nuove esigenze formative del personale, con particolare attenzione agli aspetti connessi alle criticità legate al senso di responsabilità sociale, all’analisi in chiave economica dell’IA quale tecnologia esponenziale (il valore delle competenze complementari) e alle possibili applicazioni dell’IA per lo sviluppo della divergenza. Il panel è stato quindi arricchito dall’esperienza acquisita dalla Difesa con il progetto Sfida-Amelia, applicazione pratica di impiego della IA per soddisfare la crescente esigenza di adeguare la formazione della classe dirigente militare.

Il secondo e conclusivo panel, che ha visto gli interventi della Prof.ssa M. RUGGIERI, Professore ordinario di telecomunicazioni presso l’Università di Roma “Tor Vergata”, dell’Ing. A. COSTAGLIOLI, Chief Innovation Officer di INPECO Group, e del Prof. A. CASTIELLO D’ANTONIO, ha posto l’accento sugli aspetti connessi al teaming uomo-macchina, sulla qualità dei dati e dell’algoritmo per una implementazione efficace dell’IA, sui nuovi modelli di leadership e sulla figura del nuovo e-leader.

Attualmente è in preparazione il terzo workshop, che si terrà presumibilmente all'inizio del mese di ottobre e di cui avremo modo di parlare più avanti.

Alessandro Rugolo e Fabrizio Benigni

Per approfondire:

Centro Innovazione della Difesa - Difesa.it

Combattere gli incendi estivi con l'aiuto della tecnologia

In questi giorni, come ogni anno, le notizie di incendi fuori controllo, spesso dolosi, che distruggono senza pietà il nostro patrimonio boschivo, le colture e i pascoli, sono su tutti i giornali. Immagini di Canadair e squadre antincendio impegnate fino allo stremo delle forze, appaiono di continuo nei telegiornali nazionali, come a dire: stiamo facendo tutto il possibile... ma è veramente così? Oppure si potrebbe fare di più?

La mia sensazione, e quella di tanti amici, senza nulla togliere ed a supporto di chi combatte sul campo, è che sia possibile fare di più e meglio, soprattutto dal punto di vista politico.

Negli ultimi anni sono state sviluppate tecnologie che se utilizzate nel modo corretto possono essere d'ausilio a chi combatte il fuoco tutti i giorni sul terreno.

Non siamo esperti di incendi ma come tanti di voi lettori amiamo la nostra terra, la Sardegna, la Sicilia, l'Italia... e non riusciamo a restare indifferenti di fronte a ciò che accade.

Qualche settimana fa alcuni di noi si trovavano a Cuglieri, a salutare uno degli alberi più antichi del pianeta, un olivastro millenario che oggi non esiste più... non avremmo mai pensato di essere probabilmente gli ultimi a vederlo in tutto il suo rigoglio!

Così, abbiamo deciso di parlare, di dare il nostro piccolo contributo a questa “guerra" che vede da una parte la natura e dall'altra l'uomo. Si, l'uomo, perchè sia che si tratti di incuria, sia che si tratti di dolo, molti degli incendi estivi sono causati, con molta probabilità, dall'uomo.

Allora è come uomini che vogliamo provare a dare il nostro contributo e la tecnologia può venirci in aiuto. In questo articolo vogliamo affrontare il tema della lotta agli incendi attraverso l'uso delle tecnologie e lo facciamo parlandone con Pietro Andronico, fondatore di Nurjana Technologies.

DO: chi è Pietro Andronico e di cosa si occupa Nurjanatech?

PA: Sono il CEO e uno dei due co-fondatori di Nurjana Technologies, una piccola società sarda che si occupa di nuove tecnologie, tecnologie spaziali, sistemi di supporto alle decisioni e tanto altro, tra cui sistemi predittivi intelligenti e anche noi amiamo la nostra terra e vogliamo dare un piccolo contributo alla discussione. Abbiamo iniziato il nostro percorso in tre ed ora a distanza di pochi anni siamo venti. Tra i nostri progetti ve n'è uno di particolare interesse per la prevenzione degli incendi boschivi. Si chiama S2IGI (Sistema Satellitare Integrato Gestione Incendi). Il progetto è stato realizzato anche grazie ai fondi europei, tramite la regione Sardegna. Grazie alla capacità di elaborazione di dati raccolti tramite differenti tipologie di sensori, tra cui immagini e dati satellitari, il nostro S2IGI è in grado di identificare l'insorgenza di un incendio entro i primi cinque minuti dall'innesco. A questo punto gli algoritmi impiegati consentono di analizzare i dati meteorologici e le "mappe di combustibile" dell'area interessata e effettuare una previsione relativa allo sviluppo dell'incendio nelle tredici ore successive, indicando il più probabile comportamento del fronte del fuoco e quindi le zone più interessate. Grazie alla raccolta di dati provenienti dai possibili sensori e alla possibilità di integrare dati manuali (per esempio i dati relativi agli ultimi anni degli incendi) è possibile utilizzare il S2IGI come un sistema di supporto alle decisioni cioè un sistema che aiuta operatori e decisori a elaborare la strategia migliore per agire sull'incendio. Il sistema è utile anche nella analisi post evento, per capire cosa è accaduto e quali fattori hanno influenzato lo sviluppo dell'incendio o il suo corretto controllo.

DO: Pietro, la vostra società è piccola ma molto intraprendente. Tra le vostre collaborazioni potete vantare diversi centri di ricerca per il mondo. Tra questi sappiamo che avete lavorato, proprio nel settore degli incendi, con l'Australia.

PA: Si, verissimo. Negli ultimi anni abbiamo lavorato molto per migliorare algoritmi e sistema in generale, sia in Italia che all'estero. Stiamo collaborando con la Scuola di Ingegneria Aerospaziale della Sapienza Università di Roma, con l'Istituto di Bioeconomia del CNR. In Australia abbiamo collaborato con la Commonwealth Scientific and Industrial Research Organisation (CSIRO).

A partire dai risultati tecnico – scientifici conseguiti con il progetto S2IGI è nato il nostro sistema NewMos (Nurjana Eeath Wildfire Observation SystemI) con il quale abbiamo avviato una fase di validazione delle soluzioni implementate sfruttando alcuni dati storici che ci sono stati messi a disposizione nelle regione Sardegna, Piemonte e Liguria, ma anche in Portogallo e Australia. Il sistema ha inoltre elaborato in tempo reale i dati rilevati durante gli ultimi incendi verificatisi in Sardegna e se l’analisi dei risultati post evento confermerà l’affidabilità intendiamo, a breve, rilasciare una versione dimostrativa del sistema accessibile in modo che si possa avere il riscontro immediato delle elaborazioni effettuate durante gli eventi.

DO: Come si ottengono i dati satellitari necessari per le vostre analisi? Ci sono problemi di condivisione o di costi? Cosa sono le mappe di combustibili?

PA: No, in linea di massima non ci sono problemi e, fino ad ora neppure costi, questo perchè abbiamo la possibilità di usarli per scopo di ricerca, diverso sarebbe se dovessimo rendere un servizio. In questo caso dovremo pagare per avere accesso ai dati.

Le mappe di combustibili sono delle mappe che vengono realizzate grazie alle informazioni disponibili sul territorio e tengono conto delle diverse tipologie di culture presenti sul terreno, in particolare delle superfici boschive. Tanto più le mappe sono aggiornate tanto più corrette sono le previsioni del sistema. Spesso, infatti, il primo problema degli operatori è proprio relativo alle scarse o non aggiornate informazioni relative al terreno. Sarebbe molto utile poter disporre di informazioni aggiornate, cosa che spesso si ottiene da persone del posto, cercatori di funghi, pastori o proprietari terrieri. Avere la possibilità di integrare tutti questi dati, anche manualmente, in un unico sistema decisionale, può fare la differenza.

DO: Il vostro sistema consente anche di realizzare un modello previsionale della corretta strategia di spegnimento? Per essere più chiari, è possibile capire attraverso delle ipotesi, quale sia il modo migliore per operare su uno specifico incendio?

PA: Si, è possibile effettuare delle previsioni verificando le ipotesi di sviluppo del fronte dell'incendio e, grazie alle informazioni delle mappe di combustibile e dei cosiddetti "esposti", capire come sia meglio comportarsi. Come ho detto prima il modello previsionale funziona bene ma non sempre i dati delle mappe sono aggiornati. Ciò significa che se al sistema vengono date informazioni sbagliate il modello previsionale darà informazioni sbagliate sullo sviluppo del fronte. Se però le informazioni sono esatte, il modello è sufficientemente preciso per consentire ad operatori e decisori di prendere le decisioni giuste. La cosa più importante, come sempre, è la stretta interazione tra tutte le parti in causa. Anche per noi e per il futuro del nostro sistema, lavorare a stretto contatto con gli operatori ed i decisori può fare la differenza.

DO: Ritornando con la mente al passato, ci viene da dire che per contrastare un incendio occorrerebbe fare come si fa nei fabbricati con le porte tagliafuoco. Un tempo si vedevano le strisce tagliafuoco realizzate per impedire che in caso d'incendio questo si propagasse senza controllo su superfici molto estese. Esistono ancora queste pratiche?

PA: Io non sono un operatore per cui non voglio fare il loro lavoro. Posso però dire che la conoscenza della presenza di fasce tagliafuoco può aiutare a prevedere lo sviluppo del fronte dell'incendio. Ma come ho detto prima occorre avere informazioni il più precise possibile e queste non sempre sono disponibili in tempo.

DO: Il sistema può anche essere utile per le indagini? Può aiutare ad individuare le responsabilità? Per essere chiari, sappiamo tutti che i gestori telefonici raccolgono i dati sulla presenza di dispositivi connessi in rete e li conservano per sufficiente tempo da permettere delle indagini accurate. Sovrapponendo i dati degli accessi alla rete telefonica o della presenza di un'auto in una certa zona dove in seguito si è sviluppato l'incendio potrebbe essere di molto aiuto alle autorità.

PA: In linea di massima è così, è possibile sfruttare la tecnologia in molti modi. Il nostro sistema consente di analizzare molti fattori, sia preventivamente che a posteriori, basandosi sui dati raccolti, sulle mappe, su dati disponibili nello specifico evento o, se occorre, integrando altri dati.

DO: Per concludere, nel ringraziare Pietro Andronico, sperando che il sistema possa essere utile a salvare ciò che resta del nostro patrimonio boschivo, ricordiamo che gli incendi solitamente sono concentrati in due o tre mesi, giugno, luglio e agosto. Ciò significa che il resto dell'anno è possibile utilizzarlo per attività di altro genere, come per esempio la prevenzione e l'informazione. Nel settore della prevenzione certamente possiamo dire che rientra il controllo del territorio e la sua preparazione per la riduzione del rischio d'incendio. Sul fronte dell'informazione ci viene spontaneo ricordare che in caso di incendio è più utile chiamare immediatamente il 1515 piuttosto che mettersi a filmare e pubblicare sui social il filmato. Ricordiamo infatti che un pronto allarme a volte fa la differenza, soprattutto quando ci si trova in zone lontane dai centri abitati e in presenza di vento.

Noi tutti siamo convinti della necessità di fare qualcosa per evitare eventi di questo tipo, nel nostro piccolo lo facciamo facendo informazione.

La nostra vicinanza agli operatori del settore e alle popolazioni colpite. 

Alessandro e Francesco Rugolo, Danilo Mancinone, Orazio Russo, Giorgio Giacinto.

Per approfondire:

- Nurjana Technologies | Systems for Defence and Aerospace Market | Italy ;

- Commonwealth Scientific and Industrial Research Organisation, Australian Government - CSIRO

- S2IGI – Sistema Satellitare Integrato Gestione Incendi (nurjanatech.com)

OWASP ZAP – Zed Attack Proxy

Questo che sto per descrivervi è un evento che accadeva spesso anni fa ma adesso, per fortuna, è diventato piuttosto raro: siamo su un portale web che raccoglie recensioni di film e vogliamo cercarne una su “L’uomo che sapeva troppo”. Individuiamo il motore di ricerca interno del portale, inseriamo “migliori film dell’anno” nel campo a disposizione e clicchiamo sul pulsante “cerca”.

A questo punto, il nostro browser riporta una strana pagina di risposta in cui ci sono parti riconoscibili del portale ma sono formattate male, pezzi di linguaggio di programmazione… Cos’è successo?

Se anziché cercare un altro portale di film, ci soffermassimo su quello strano evento, con l’aiuto di Google potremmo scoprire che a causare quel disservizio è stato un carattere contenuto nella stringa “L’uomo che sapeva troppo”: l’apostrofo. In un linguaggio di programmazione l’apostrofo (o apice) può avere un’importanza enorme e se lo script che gestisce la ricerca all’interno del portale in questione non tiene conto di questa possibilità, allora quello script e il modulo che governa sono vulnerabili.

Nella pratica cosa significa vulnerabile? Significa che quel modulo può essere utilizzato per inserire codice malevolo che potrebbe pregiudicare la funzionalità del portale o peggio, esporre tutti i dati degli altri utenti registrati in esso.

Al giorno d’oggi esistono molti strumenti che cercano di ripetere l’evento sopra descritto. Solitamente è sufficiente fornirgli l’indirizzo del sito web da analizzare: lo strumento naviga tra le pagine del sito alla ricerca di un modulo da attaccare e, se lo trova, tenta di inserirvi parti di codice. Se riceve una risposta nota, allora segnala quella pagina come “vulnerabile”. Purtroppo, però, quella dell’esempio è una delle vulnerabilità più classiche; ne esistono migliaia di altre e quotidianamente ne escono sempre di nuove. Allo stesso modo, anche i tool utilizzati per scovare queste vulnerabilità un giorno sono funzionali, il giorno dopo inutili perché obsoleti.

E allora? Per fortuna esistono strumenti gratuiti come OWASP ZAP (Zed Attack Proxy), un tool creato seguendo i principi della Fondazione OWASP (Open Web Application Security Project) al fine di offrire a tutti la possibilità di poter analizzare le proprie applicazioni e siti web, rendendoli più sicuri.

ZAP è uno strumento alla portata di tutti, dall’utente più inesperto al professionista del settore; è open-source e contiene la maggioranza delle vulnerabilità tuttora presenti e viene aggiornato costantemente da una community dedicata.

Installazione

Come detto, ZAP è open-source, per cui è gratuitamente scaricabile a questo link (https://www.zaproxy.org/download/); l’unico prerequisito che richiede è la presenza di Java 8+ con cui far funzionare tutti i suoi moduli. Una delle sue peculiarità è proprio quella di essere disponibile per molte tipologie di piattaforma e sistemi operativi, ed è addirittura disponibile una versione utilizzabile su Raspberry.

Una volta scaricato, la procedura di installazione è davvero semplice ed intuitiva.

Funzionamento

ZAP È principalmente un proxy ed infatti al suo interno immagazzina tutti i dati provenienti dal sito che stiamo analizzando e li elabora sottoponendoli all’archivio delle vulnerabilità che possiede. Per questo ZAP ha due modalità di analisi: quella di default è la scansione che possiamo chiamare “leggera” ma volendo è possibile aumentare la brutalità dell’attacco per fare un’analisi più approfondita. Questa ultima modalità naturalmente implica un aumento in termini di tempo di esecuzione, utilizzo delle prestazioni e stress dell’applicazione o sito web.

Aprendolo, la prima cosa che notiamo è il suo modulo principale, lo scanner: è sufficiente inserire la URL del sito che vogliamo analizzare e ZAP riporterà tutte le stranezze sotto forma di bandierine colorate in base alla gravità di quanto trovato.

Lo Spider di ZAP analizza ogni parte di codice e cataloga ciò che trova secondo la gravità e la tipologia di vulnerabilità; ogni avviso è espandibile e corredato sia di una breve spiegazione che di link su cui trovare informazioni più dettagliate (oltre alle strategie per evitare la vulnerabilità identificata).

Molto spesso, la prima cosa che otterremo sarà un numero considerevole di informazioni, molte delle quali perfettamente inutili per il nostro scopo; questo perché è necessario perdere un po’ di tempo nel profilare correttamente ZAP ed attagliarlo alle proprie esigenze. Comunque, il consiglio è quello di approfondire la conoscenza anche di queste informazioni che possono sembrare inutili, poiché in un futuro potrebbero essere sintomo di una nuova vulnerabilità.

Come tutti gli strumenti di questo tipo, solo la pratica e la conoscenza possono aumentarne le potenzialità di utilizzo.

La scansione attiva

Con la scansione attiva è possibile utilizzare il browser integrato in ZAP e, una volta trovato un elemento del sito che giudichiamo sensibile, con il trasto destro del mouse è possibile farlo analizzare, riducendo molto i tempi ed evitando di mettere sotto stress l’intera struttura.

Questa è una soluzione molto comoda per chi è già abbastanza pratico e vuole condurre delle ricerche mirate senza perdere tempo e senza impegnare la propria postazione catalogando dati inutili.

Sessioni e Report

Ad ogni utilizzo, ZAP chiede all’utente se intende creare una sessione attiva dell’analisi che si sta per effettuare o una temporanea. La discriminante nella richiesta sta nell’utilizzo che si vuole fare dei dati che verranno raccolti: in una sessione attiva tutte le scansioni vengono memorizzate localmente per essere magari analizzate più approfonditamente in un secondo tempo.

Il Market Place

Come detto, ZAP è orientato anche al settore professionale, per cui è possibile personalizzarlo abilitando o disabilitando tipologie di attacco oppure utilizzando lo store inluso dove è possibile acquistare moduli di analisi aggiuntivi, creati e certificati dalla community di OWASP. Tra i moduli in vendita ve ne sono molti in versione prova o anche in versione beta testing per permettere all’utenza di sperimentare nuove tipologie di vulnerabilità e riportare successivamente alla community i risultati delle proprie valutazioni.

Per concludere

ZAP fa parte della grande famiglia dei “PenTesting Tool” (Penetration Testing) e di base simula un attaccante che voglia realmente trovare una vulnerabilità e approfittarne: non credo sia inutile rammentare le conseguenze penali se tale strumento venisse utilizzato senza esplicita autorizzazione da parte del proprietario del sito in questione.

ZAP non è che uno dei tanti progetti della Fondazione OWASP nati con l’intento di aiutare coloro che sviluppano o utilizzano applicazioni web e che spesso, vuoi per la fretta o per l’inesperienza, evitano quelle accortezze che, purtroppo, diventano facilitazioni per i malintenzionati.

Simone DOMINI

Per approfondimenti:

https://www.zaproxy.org/

https://www.zaproxy.org/docs/

https://www.zaproxy.org/community/

https://owasp.org/

https://www.difesaonline.it/evidenza/cyber/cyber-defence-programmare-sicurezza-%C3%A8-la-base-di-tutto

https://www.difesaonline.it/evidenza/cyber/injection-broken-authentication-ed-xss-i-principali-rischi-cyber

https://www.difesaonline.it/evidenza/cyber/sicurezza-e-devops-cosa-vuol-dire-shift-left

Windows 11, un sistema operativo ancora più sicuro

We want to move people from needing Windows,

to choosing Windows,

to loving Windows.

[Satya Nadella]

Microsoft ha avuto l’ambizione di far sì che Windows non fosse solo un sistema operativo ma un marchio ed un marchio non è semplicemente un nome, un colore o un logo. È ciò che possiamo definire come un qualcosa che “consenta alle persone di fare le cose che ritengono di maggior interesse per se stesse offrendo la migliore esperienza possibile”.

Se le aziende possono trarre un grande insegnamento dall’esperienza vissuta lo scorso anno, credo che si possa affermare che: “devono essere resilienti e che la tecnologia ed il, cloud siano due tra i fattori più importanti per potere soddisfare questa esigenza”.

La pandemia globale ha accelerato la trasformazione digitale in un modo inimmaginabile fino a poco tempo fa ed il fatto che sempre di più ha preso piede l’hybrid work ha creato le condizioni per cui le varie organizzazioni avessero bisogno di un sistema operativo che consentisse alle persone di lavorare, studiare o apprendere indipendentemente dal luogo in cui si trovassero. Il tutto, senza dimenticare la sicurezza perché, come diceva Albert Einstein: “L’uomo e la sua sicurezza devono costituire la prima preoccupazione di ogni avventura tecnologica”.

È proprio delle funzionalità di sicurezza di Windows 11 che vi voglio parlare. Per tutto il resto, vi rimando ai blog e ai siti ufficiali:

• Introducing Windows 11 | Windows Experience Blog

• Windows 11: The operating system for hybrid work and learning | Microsoft 365 Blog

Ripartiamo ancora una volta da quanto accaduto nell’ultimo anno, anno nel quale i Personal Computer e, in generale, i dispositivi di ogni natura ci hanno tenuti in contatto con la famiglia e gli amici e hanno permesso alle aziende di continuare ad operare pur in una situazione di estrema criticità. In questo contesto, la responsabilità di un’azienda come Microsoft, il cui sistema operativo è utilizzato da oltre un miliardo di persone, è cresciuta ancora di più ed il pensiero è corso a come continuare ad offrire la migliore qualità, esperienza e sicurezza possibile. È un dato di fatto che mentre tutti, chi più chi meno, si è adattato a lavorare da casa, è stato raro passare una giornata senza leggere resoconti di nuove minacce relative alla sicurezza informatica. Phishing, ransomware, supply chain e vulnerabilità IoT sono stati i titoli di articoli di giornali e media che hanno messo ancor più in evidenza il fatto di come gli aggressori sviluppano costantemente nuovi sistemi per provocare il caos digitale.

Pertanto, con l'aumento della portata e della raffinatezza degli attacchi, anche i sistemi operativi devono essere sviluppati secondo paradigmi differenti che tengano in considerazione l’intera catena di protezione, dall’hardware al software, dal chip al cloud.

Come dicevo, Windows 11 è stato riprogettato per l’hybrid work ma con criteri di sicurezza estremamente elevati basati sull’adozione del principio “security by design”, adottando nuove tecnologie di sicurezza incorporate che aggiungono un ulteriore livello di protezione sia durante l’utilizzo in locale che durante l’accesso alle piattaforme e ai servizi cloud, consentendo al contempo produttività e nuove esperienze.

Le funzionalità di sicurezza chiave, attivate di default, oltre a quelle già presenti in Windows 10, sono:

• l’isolamento dei processi basato sull’hardware;

• la crittografia;

• la prevenzione del malware.

In Windows 11, inoltre, sarà più semplice abbandonare le password grazie al miglioramento della modalità di accesso agli endpoint aziendali mediante il servizio “Windows Hello for Business”.

E sappiamo tutti quanto l’accesso ai sistemi tramite username e password rappresenti il rischio maggiore per le gli utenti e le organizzazioni di tutto il mondo ☹.

A questo riguardo invito tutti i lettori a visitare il sito https://haveibeenpwned.com/ e a inserire il proprio indirizzo email 😊

Per lo sviluppo di Windows 11 Microsoft ha lavorato, se possibile in maniera ancora più forte, a stretto contatto con i propri partner per garantire una migliore sicurezza digitale grazie alle specifiche dei cosiddetti “PC secured-core”, una nuova generazione di dispositivi in cui vengono adottate le migliori caratteristiche di sicurezza già al livello del firmware dei sistemi. L’obiettivo dichiarato è quello di rendere questa tipologia di Personal Computer estremamente più resistenti alle cyber minacce rispetto ai dispositivi tradizionali.

Questi dispositivi combinano protezioni hardware, software e del sistema operativo per fornire garanzie end-to-end contro minacce sofisticate ed emergenti come quelle contro hardware e firmware che sono in aumento secondo il National Institute of Standards and Technology e il Dipartimento della Sicurezza Interna.

Il Rapporto Security Signals ha rilevato che l'83% delle aziende ha subito un attacco al firmware e solo il 29% sta allocando risorse per proteggersi.

Se le minacce continuano a crescere e a migliorare in termini di sofisticazione e di qualità non si può pensare di non fare altrettanto sul fronte dello sviluppo dei dispositivi. Chi pensa o polemizza sul fatto che sia una manovra voluta per permettere alle multinazionali o ai produttori di hardware di arricchirsi, dimentica che si tratta del normale sviluppo della tecnologia oppure fa ideologia o ancora fa finta di non guardare in faccia la realtà.

A dimostrazione dell’importanza sempre maggiore che riveste la sicurezza informatica, l’utilizzo di Windows 11 è dipendente dalla presenza del TPM (Trusted Platform Module), ossia un chip integrato nella scheda madre del PC o aggiunto separatamente nella CPU Il cui scopo è quello di proteggere le chiavi di crittografia, le credenziali utente e altri dati sensibili grazie ad una sorta di barriera hardware in modo che malware e aggressori non possano accedere o manomettere tali dati.

È corretto sottolineare come già da qualche anno Microsoft lo richiede sui prodotti certificati, cioè sui notebook e, più in generale, su tutti i prodotti pensati per le aziende.

Su molti sistemi assemblati, anche per questioni di contenimento dei prezzi, i produttori di schede madri non integrano questo modulo e quindi potrebbe essere possibile riscontrare alcune difficoltà nell’installazione di Windows 11 sul proprio PC. Si tratta, in ogni caso, di un “ostacolo” superabile grazie al fatto che i produttori di processori integrano, ormai da tempo, nei loro modelli più recenti di CPU uno specifico modulo di sicurezza compatibile con le specifiche Trusted Platform Module. Alcuni esempi? Intel Platform Trust (Intel PTT), AMD PSP fTPM e TA di Qualcomm. Ed in ogni caso la sicurezza viene prima di tutto !!!

È importante ricordare che, nella maggior parte dei casi, il modulo TPM integrato nella CPU deve essere abilitato dal BIOS.

Windows 11 ha, infine, anche il supporto immediatamente disponibile per MAA (Microsoft Azure Attestation), una soluzione unificata per verificare in remoto l’identità, l'affidabilità di una piattaforma e l'integrità dei file binari in esecuzione al suo interno, basata su Azure e che consente di applicare i criteri zero trust a qualsiasi piattaforma.

Tutto quanto detto è compatibile con i prossimi dispositivi che saranno dotati di Chip Pluton, presentato nel novembre 2020, oltre che con qualsiasi dispositivo che utilizza il chip di sicurezza TPM 2.0, inclusi centinaia di dispositivi disponibili da Acer, Asus, Dell, HP, Lenovo, Panasonic e molti altri.

ll rilascio di Windows 11, come detto, avviene in un momento in cui ormai è chiaro che lo smart working, da necessità legata all’emergenza pandemica, è diventato una policy aziendale che si consoliderà anche nel prossimo futuro e si evolverà sempre più verso forme flessibili di lavoro: in ufficio e da remoto.

Proprio per cercare di migliorare la collaborazione nei nuovi ambienti lavorativi “ibridi”, Windows 11 dispone di un’interfaccia utente rivista che mantiene, in ogni caso, una certa familiarità con il passato.

È stato completamente rivisto il menu Start per avere un’interfaccia più moderna e permettere di trovare più facilmente e velocemente le app e i documenti maggiormente utilizzati.

Windows 11 migliora l’interazione con le finestre aperte sul desktop mantenendo “memoria” dei processi in esecuzione. In questo modo, ad esempio, nel momento in cui stacchiamo il nostro notebook dalla postazione di lavoro a casa, il sistema li ricarica automaticamente nel momento in cui ci ricolleghiamo dall’ufficio, in modo da riprendere il flusso lavorativo.

In Windows 11 c’è un grande focus sul mondo della collaborazione grazie all’integrazione con Microsoft Teams. Sarà più semplice silenziare o riattivare il microfono, condividere il desktop o anche una singola applicazione durante una riunione direttamente dalla barra delle applicazioni del desktop.

Per concludere, non è un caso che lo sviluppo del nuovo sistema operativo Microsoft abbia tenuto conto della sempre maggiore diffusione dell’hybrid work, un nuovo modo di lavorare che include virtuosamente sia la distanza sia la presenza. La nuova sfida per tutte le organizzazioni è quella di creare un posto di lavoro fisico e digitale in grado di fare fronte alle nuove esigenze delle persone e del business.

Microsoft ha cercato di rispondere alle richieste, alle opportunità e alle questioni ancora aperte che si sono presentate pensando ad un prodotto in grado di aiutare le organizzazioni a essere resilienti grazie a una tecnologia che ne è parte essenziale .

L’obiettivo o ambizione che dir si voglia è quello di rendere Windows 11 una piattaforma ideale per completare la trasformazione digitale delle aziende e di consentire alle persone di lavorare da casa o in ufficio senza soluzione di continuità.

Infine, Windows 11 sarà facile da gestire per i team IT e fornirà una sicurezza avanzata per affrontare il panorama sempre più complesso della cyber security.

Una sicurezza che sia, realmente, un servizio, secondo la strategia della casa di Redmond; Security as a Service.

Carlo Mauceli

Link utili

Introducing Windows 11 | Windows Experience Blog

Windows 11: The operating system for hybrid work and learning | Microsoft 365 Blog

https://haveibeenpwned.com/

National Institute of Standards and Technology

Dipartimento della Sicurezza Interna

Rapporto Security Signals

TPM

Microsoft Azure Attestation

chip Pluton

Stabilire la priorità nel rimedio della superficie vulnerabile

La prioritizzazione è l’arte di rispondere alle domande ‘da dove comincio?’ e ‘con cosa proseguo?’

In questo articolo analizziamo come raffrontare teoria e pratica per risolvere nel modo più efficace una problematica di sicurezza che affligge aziende di ogni dimensione, ordine e grado: il rimedio della superficie vulnerabile.

Questo problema si presenta normalmente con l'evoluzione della maturità nella gestione del ciclo di vita delle vulnerabilità presenti nel proprio panorama IT. Quando un'azienda decide di strutturare un programma per stimare, analizzare e comprendere la propria superficie vulnerabile, il punto di partenza è utilizzare sistemi più o meno commerciali per sondare i propri sistemi interni ed esterni, infrastrutturali ed applicativi, al fine di capirne il grado di resilienza rispetto alle vulnerabilità note.

Questo processo di solito parte con scansioni a periodicità variabile, che generano report sulle vulnerabilità identificate. Lungi da essere un punto di arrivo, questo inizio normalmente evidenzia una quantità di problematiche enorme, il cui potenziale rimedio è assolutamente fuori portata rispetto alle capacità dell'azienda.

Da qui l'esigenza di gestione del ciclo di vita di tale superficie vulnerabile, esaminando diversi elementi con il fine di capire come utilizzare al meglio le capacità di mitigazione minimizzando il rischio residuo.
Fino a utilizzare contesti espansi, come ad esempio informazioni di compromissibilità o più in generale di Intelligence della minaccia cyber. Ecco definita l'evoluzione da Vulnerability Assessment, a Vulnerability Management ed infine a Threat & Vulnerability Management.

Vediamo quindi in teoria alcuni metodi per determinare la corretta priorità di azione.

Figura 1 - Gestione del Rischio secondo IEC/ISO 31010:2019

Prima di addentrarci nella teoria è bene fare una premessa: calcolare la priorità fa parte di un piano più grande che è quello della valutazione del rischio. A tal proposito si rimanda alla norma ISO 31010:2019 [1] e ai documenti del NIST SP-800-37 [2] e SP-800-30 [3], in particolare agli elementi che compongono la valutazione: identificazione, analisi e ponderazione del rischio come illustrato di seguito.

Un punto chiave per avere un piano di rimedio efficace è quello di assegnare opportunamente le priorità. Introduciamo quindi l’approccio sull’analisi del rischio e il metodo utilizzato. Il NIST divide l’approccio in: orientato alle minacce, orientato agli impatti e orientato alle vulnerabilità.

Per brevità viene preso come modello di rischio quello orientato alla minaccia, in cui prioritizzare il rischio significa valutare le minacce e – dopo aver calcolato una matrice di rischio – ricavare un valore numerico: più alto è il valore, più alto sarà il rischio.

Per quanto riguarda i metodi di valutazione del rischio si dividono principalmente in metodi qualitativi, quantitativi e semi-quantitativi.

La letteratura ci insegna che nel metodo qualitativo per poter prioritizzare il rischio ho bisogno di calcolare per ogni minaccia un punteggio, il cosiddetto Risk Score, dato da Probabilità x Impatto secondo la formula R = P x I.

La probabilità indica la possibilità che un evento inatteso e in grado di causare danno – in questo caso la minaccia – si verifichi; l’impatto indica il danno potenzialmente provocato dalla minaccia.

Utilizzando una matrice di rischio 5x5 si assegna a ogni minaccia una probabilità e un impatto, con differenti livelli qualitativi come mostrato nella figura sottostante.

Figura 2 - Matrice di Rischio 5x5

Il vantaggio di tale approccio è nel classificare i rischi, concentrandosi su quelli a più alta priorità.
Per contro, l’analisi qualitativa è soggettiva e si basa sulla percezione che gli stakeholder hanno nei confronti delle minacce analizzate, unite alle loro esperienze e competenze.

Il metodo quantitativo ha un approccio più strutturato.
Potendo contare su tempo e risorse da dedicare, abbiamo la possibilità di avere dati statistici – ad es. quante volte un evento si è verificato in un anno – oltre ad un’analisi di impatto accurata – ad es. il servizio “X” se inattivo fa perdere 1000 euro/ora.
Diventa quindi possibile “tradurre” il rischio in numeri significativi a supporto di decisioni strategiche.

Il metodo quantitativo utilizza i parametri EF (Exposure Factor), SLE (Single Loss Expectancy), ARO (Annualized Rate of Occurrence) e ALE (Annualized Loss Expectancy).
La perdita prevista per il singolo asset è uguale a:

SLE = valore asset x EF

SLE misura quanto una minaccia influisce su un determinato asset, come un server, un framework o anche un servizio composto di software e hardware.

ARO misura invece quale è la frequenza di tale minaccia durante l’arco temporale di un anno. L’aspettativa di perdita economica per un dato asset nel corso dell’anno è data da:

ALE = SLE x ARO

Facendo un esempio numerico, supponiamo che un’impresa abbia un servizio e-commerce che fattura 1 milione di euro all’anno; si prende quindi in considerazione il servizio di vendita composto dall’insieme di hardware, software e persone che lavorano.
Ipotizziamo che un attacco DDoS, che blocchi le vendite e l'attività delle persone operative, abbia un fattore di esposizione del 5%.
Infine supponiamo che tale tipo di attacco sia stato portato a segno 6 volte negli ultimi 3 anni cioè abbia una ARO=6/3 => ARO=2.

SLE = 1.000.000€ x 0.05 = 50.000€

ALE = 50.000€ x 2 = 100.000€

Seguendo il modello di rischio descritto, l'azienda perde in media 100.000€ per anno.

Volendo semplificare l’esempio, un piano di remediation potrebbe essere quello di installare un next generation Firewall con IDS/IPS per bloccare questi attacchi DDoS per un costo pari a 50.000€ + 5.000€/anno di manutenzione.

Attraverso il metodo semi-quantitativo, le valutazioni vengono fatte secondo metodi qualitativi per poter prioritizzare subito il rischio e attivare un piano d’azione, per poi rielaborare i dati e trasformare i termini qualitativi in numeri per fornire una stima economica più accurata.

Dopo questa prima parte teorica, analizzando la pratica nella gestione di una superficie vulnerabile in ambienti IT complessi vediamo che il livello di difficoltà cresce: per mettere in priorità le azioni di rimedio è necessario agire combinando alcuni dei metodi illustrati, in modo da raggiungere una percezione del rischio e della minaccia più descrittiva che analitica, mappata sulla propria superficie digitale.

Come visto il rischio è complesso da calcolare, specialmente il rischio cyber.
Molto diverso da altri tipi di rischio (finanziario, imprenditoriale), si presenta multi-sfaccettato e basato su evidenze certe e percezioni di intelligence. Diventa importante non fidarsi soltanto di una rappresentazione numerica di severità, criticità, in favore di una percezione descrittiva del rischio.

Devo in sostanza poter descrivere cosa mi preoccupa, per contare su un sistema che converta queste mie percezioni in fattori di prioritizzazione.
Esempi di descrizione:

• Perimetro, cioè la capacità di abbinare il sistema su cui viene scoperta la vulnerabilità al perimetro di cui fa parte, per aumentare (o diminuire) la criticità oggettiva della risorsa.

• Età delle vulnerabilità, considerando sia quando sono apparse in pubblico che quando sono state rilevate nel proprio ambiente digitale.

• Impatto sul business: ad esempio considerare tutte le vulnerabilità che se compromesse possono agevolare un attacco DDoS, oppure un’infezione che si propaga tramite worm, oppure ancora un focolaio di ransomware.

• Probabilità che la minaccia si tramuti in attacco: ad esempio se una vulnerabilità è già armata con un exploit, magari già parte di Exploit Kit facili da reperire (anche a noleggio) per un attaccante motivato; è infatti certamente più alta la probabilità che questa venga sfruttata per un attacco, rispetto ad una vulnerabilità sconosciuta o per cui la tecnica di compromissione deve ancora essere sviluppata.

• Superficie di attacco propria. Sun Tzu diceva “conosci te stesso e conosci il tuo nemico e sopravviverai a cento battaglie”. Conoscere il proprio panorama digitale aiuta a mettere in priorità il rimedio in base al contesto di rete su cui si deve operare.
  Ad esempio, concentrandosi sul rimedio di vulnerabilità presenti solo su kernel o servizi in esecuzione. Oppure primariamente su sistemi esposti ad internet.

Un esempio di come una piattaforma tecnologica supporti questa descrizione percettiva del rischio è riportato qui di seguito, prendendo spunto dalla soluzione Qualys:

Figura 3: prioritizzazione

Una volta descritta la percezione della minaccia è importante avere un ulteriore contesto, in merito alle patch: sia quelle disponibili che quelle già installate sui sistemi, per effettuare su queste ultime un controllo di obsolescenza.

È anche importante analizzare le vulnerabilità derivanti da errate configurazioni – soprattutto in ambienti tipo cloud dove la responsabilità è condivisa: se istanzio uno storage su AWS o Azure e mi dimentico di restringere la lista degli IP che vi può accedere rischio un data leakage gravissimo; se dimentico di attivare l’autenticazione multifattore su un’istanza, le conseguenze potrebbero essere anche peggiori.

Spesso l’attività di rimedio (patching, modifica configurazione, implementazione controlli compensativi) viene eseguita da team aziendali che non sono gli stessi a cui è demandato il rilevamento e la classificazione delle vulnerabilità... quindi serve un collante interdipartimentale che agevoli integrazione e automazione per evitare conflitti e inefficienze operative. Questo può tradursi nello sfruttamento di interfacce di programmazione applicative (API) che possono essere attivate per trasformare le informazioni di ogni singola piattaforma/applicazione in flussi informativi cifrati e sicuri, che diventino fattori abilitanti per i flussi operativi interdipartimentali.

Ultimo tema il tracciamento dello status quo, altrimenti chiamato osservabilità.
Questo si traduce nello studio di forme di aggregazione di dati grezzi in informazioni più semplici da comprendere; può avvenire con una rappresentazione dinamica – come le dashboard – oppure statica – come report in PDF o altri formati – che aiutino a tenere traccia nel tempo dei progressi, delle anomalie rilevate e di inefficienze nel processo.

Ad esempio, aggregare le vulnerabilità rilevate negli ultimi 30 giorni, da 30 a 60, da 60 a 90.
Quindi per ogni categoria mappare l'esistenza di una patch per rimediare, evidenziando per quelle vulnerabilità la disponibilità di exploit.
Infine rendere questa informazione dinamica, costantemente aggiornata in modo da fornire a ogni parte interessata l'immagine dello status quo e dell'efficienza del processo di rimedio.

Rimediare una superficie vulnerabile anche molto ampia ed articolata non è certamente semplice; tuttavia l'organizzazione di un ciclo di vita monitorato e prioritizzato in modo olistico ed efficace permette di confinare il rischio residuo ad un livello accettabile, evitando una pericolosa trasformazione in superficie di attacco.

Andrea Piras e Marco Rottigni

Riferimenti:

[1] https://www.iso.org/standard/72140.html - IEC 31010:2019 Risk management — Risk assessment techniques

[2] https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final - Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy

[3] https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final - Guide for Conducting Risk Assessments

Sindrome della Guerra del Golfo e Alzheimer: cos'hanno in comune?

Da militare ho sentito spesso parlare della sindrome della Guerra del Golfo.

Da civile mi sono spiacevolmente imbattuto in malattie degenerative del cervello come l'Alzheimer.

Non avevo però mai associato le due cose come problemi aventi una possibile causa comune.

La lettura di un interessante articolo uscito su "Le Scienze" del mese di luglio 2021, "Un cervello troppo permissivo", di Daniela Kaufer e Alon Friedman mi ha fatto riflettere sulla questione assieme all'influenza che ha, nel bene e nel male, il fenomeno sociale che va sotto il nome di "guerra".

Parlando della guerra è inutile negare che il pensiero dei più vada immediatamente alla crudeltà di immagini viste tante volte nei film o nei documentari, o vissute qualche volta in prima persona e che lasciano tracce indelebili nella memoria del singolo e della collettività (provate a parlarne coi nostri anziani che hanno vissuto la seconda guerra mondiale!).

E' altrettanto innegabile che la guerra (o a causa della guerra) la società sia sottoposta a stimoli particolarmente forti e che spesso le menti più brillanti, adeguatamente sostenute, abbiano superato ostacoli altrimenti insormontabili e dato alla società mezzi, tecniche e soluzioni del tutto nuove e mai pensate prima.

Per tornare al titolo di questo articolo, cos'hanno in comune la sindrome della Guerra del Golfo e una malattia come l'Alzheimer, gli autori raccontano che nel 1994 lavoravano ad un progetto comune: cercavano infatti di capire a cosa fosse dovuta la sindrome della guerra del Golfo.

Molti militari americani (ma non solo!) al termine della guerra soffrivano di "fatica cronica, dolori muscolari, problemi del sonno e deterioramento cognitivo". Per alcuni medici si trattava di un effetto secondario della "piridostigmina", un farmaco usato per proteggere i soldati dall'effetto di alcune armi chimiche.

La piridostigmina però, almeno teoricamente, non avrebbe dovuto essere in grado di superare le barriere naturali dei vasi sanguigni. Infatti il cervello è costruito in modo tale da limitare al massimo il passaggio di agenti patogeni e di medicinali grazie alla "barriera ematoencefalica" (BEE).

La domanda che i due autori si posero è: "cosa accade se la BEE si danneggia? E poi: lo stress può essere causa del danneggiamento della BEE?

Nell'articolo si raccontano con dettaglio gli esperimenti che da quella lontana notte del 1994 sono stati condotti su topi da laboratorio e che nel tempo hanno portato a capire come lo stress fosse con molta probabilità all'origine della sindrome del Golfo associato, forse, alla piridostigmina. Lo stress sembra infatti la causa dell'indebolimento della barriera ematoencefalica, indebolimento che si verifica nella maggior parte delle persone col fenomeno naturale dell'avanzare dell'età: ed eccoci giunti all'Alzheimer.

L'Alzheimer è infatti una malattia che si manifesta con l'età e comporta tutta una serie di problemi che oltre a colpire il singolo malato, sono sempre più rilevanti in una società come la nostra, sempre più "vecchia".

Negli anni i due scienziati hanno continuato a collaborare nella ricerca, orientatasi nella direzione delle malattie neurodegenerative e hanno dimostrato che l'invecchiamento e lo stress indeboliscono la BEE che non riesce più a trattenere una proteina del sangue, l'albumina, che una volta raggiunto il cervello innesca una serie di reazioni infiammatorie che agiscono indebolendo o distruggendo i circuiti neurali.

Negli anni si è giunti a capire che esistono dei metodi per impedire all'albumina di provocare reazioni infiammatorie e che, con l'impiego di un farmaco antitumorale chiamato IPW è possibile ridurre l'infiammazione dovuta alla presenza di albumina nel cervello e, in definitiva, ringiovanire il cervello stesso. Perlomeno, sui topi la cosa sembra funzionare.

Ed eccoci giunti alla fine dell'articolo.

Partendo dalla ricerca sulle origini di una "malattia di guerra", la sindrome del Golfo, si stà arrivando alla soluzione di un problema della nostra società, quello delle malattie neurodegenerative come l'Alzheimer, con la speranza di alleviare, seppure in parte, le sofferenze dovute al fenomeno sociale della guerra.

Alessandro Rugolo

Un cervello troppo permissivo - Le Scienze

https://www.ncbi.nlm.nil.gov/books/NBK222848/

https://www.fda.gov/news-events/press-announcements/fda-grants-accelerated-approval-alzheimers-drug

Foto: Operation Desert Storm: 25 Years Since the First Gulf War - The Atlantic