Traduttore automatico - Read this site in another language

domenica 5 luglio 2020

Mistero sulle cause dell'incidente avvenuto presso il sito nucleare di Natanz (Iran). Si tratta veramente di un attacco cyber?

Natanz site

Lo scorso venerdì 3 luglio le autorità della Repubblica islamica dell'Iran hanno ammesso che presso il sito di Natanz, posto in una zona desertica a circa 250 chilometri a sud di Teheran, il giorno precedente si era verificato un incidente che ha causato un incendio ad una infrastruttura ivi presente (ma le immagini diffuse dalle stesse autorità suggerirebbero che si sarebbe verificata anche un'esplosione), senza fortunatamente causare vittime (e fuoriuscita di materiale radioattivo, come affermato al riguardo dalla International Atomic Energy Agency). 
Le cause dell'incidente sarebbero state già individuate dagli investigatori, tuttavia non saranno rese pubbliche (almeno per il momento) per ragioni di sicurezza. 
Sembra inoltre che si tratti del terzo incidente della stessa tipologia in Iran in circa una settimana. 
Il mistero si infittisce se si considera che il sito di Natanz non è una "semplice" centrale nucleare bensì ospiterebbe una installazione in cui avverrebbe il processo di arricchimento dell'uranio, posto alla base del programma nucleare iraniano. In particolare, la citata foto ritrarrebbe la porzione superficiale di un'installazione sotterranea in cemento armato resistente ai bombardamenti aerei, che ospiterebbe le centrifughe utilizzate per realizzare il predetto processo di arricchimento. 
Se per la Repubblica dell'Iran tale programma è del tutto lecito, nell'ambito della comunità internazionale taluni paesi ritengono che abbia, in realtà, la finalità di dotare l'Iran di armi nucleari. 
Per tale ragione, non sorprende il fatto che, nel 2010, lo stesso sito abbia già subito un sabotaggio che causò una grave battuta di arresto al programma nucleare frutto di un'ardita operazione cyber e di intelligence, pianificata e condotta in cooperazione tra USA e Israele (v. articolo). 
Al riguardo, talune testate giornalistiche, citando fonti anonime iraniane, riportano che anche il nuovo incidente sarebbe stato causato da un'azione cyber condotta da Israele, in risposta all'attacco cibernetico subito dalle infrastrutture critiche locali per la distribuzione dell'acqua potabile, avvenuto qualche settimana fa e attribuito proprio all'Iran (tale attacco, fortunatamente contenuto dalle unità di cyber security israeliane, avrebbe potuto causare l'alterazione della concentrazione di cloro nell'acqua, con gravi conseguenze per la popolazione). 
Inoltre, poche ore prima che si sapesse dell'accaduto, lo sconosciuto gruppo di hacker "Cheetahs of the Homeland" (sedicente organizzazione di militari del regime iraniano dissidenti) ha rivendicato il presunto attacco cyber al sito di Natanz, comunicandolo in anticipo alla succursale in lingua persiana della BBC. 
 Realtà? Depistaggio? Propaganda? 
Sta di fatto, che il capo della difesa civile iraniana, durante un discorso in TV, ha sentito il bisogno di precisare che, nel caso fosse provato che si tratti di un attacco cyber, ci sarebbe certamente una legittima ritorsione. 
Come spesso accade in questi casi, bisognerà continuare a seguire la vicenda con attenzione, cercando di districarsi tra fonti anonime e comunicati ufficiali e tenendo a mente che, probabilmente, la verità non si saprà mai.

Natanz site
Image copyright: 
@aeoinews
P.S.: se qualche lettore è curioso o scettico sul fatto che un cyber attack possa causare un incendio o addirittura un'esplosione, tra il materiale disponibile in rete, consiglio di leggere qualcosa sul Project Aurora (Wikipedia) e di vedere il relativo video (youtube). 
Dopodiché si prenda in considerazione che stiamo parlando di un progetto risalente al "lontano" 2007 e si immagini che l'oggetto dell'esperimento sia una batteria di centrifughe per l'arricchimento dell'uranio, invece che un grosso motore diesel
Si tratta solo di fantasia? 
Evidentemente no.

Ciro Metaggiata

Fonti:








sabato 27 giugno 2020

Perchè il Giappone abbandona il programma Aegis?

Ministro della Difesa giapponese Taro Kono.
(© Reuters/ISSEI KATO) 
Il  2020 sarà forse ricordato come l'anno del cambio della strategia nazionale: da una postura prettamente difensiva il Giappone potrebbe infatti passare a qualcosa di diverso.
Il Japan National Security Council, organismo creato nel 2013 per supportare il Primo Ministro nella politica di sicurezza nazionale, ha infatti preso la decisione di abbandonare il programma per l'acquisizione di due sistemi missilistici statunitensi Aegis Ashore Systems. 
E' stato il Ministro della Difesa Taro Kono a darne l'annuncio.
Il programma, lanciato nel 2017, consisteva nell'acquisizione di due sistemi missilistici da posizionare nell'isola di Honshu, nelle basi a terra di Yamaguchi (nel sud) e di Akita (nel nord). I due sistemi avrebbero dovuto completare il sistema di difesa nazionale, composto dai previsti otto destroyers,  equipaggiati del sistema Aegis e dei missili Patriot. 
SM-3 Block IIA
I due sistemi avrebbero garantito la copertura della nazione per l'individuazione e il contrasto di eventuali attacchi del Nord Corea a mezzo di missili balistici.
Alla base della decisione di rinunciare al programma vi sono diverse considerazioni tra cui il costo che nelle stime si aggira sui 4,1 miliardi di dollari per acquisto, mantenimento in operatività e manutenzione per 30 anni.
Altri problemi risiedono nella reale capacità del sistema Aegis di contrastare efficacemente i missili ipersonici di nuova generazione capaci di muoversi a velocità prossime a Mac 20.

Problemi di sicurezza relativi all'area di ricaduta del propulsore del missile SM-3 Block IIA interceptor, sollevate dalla popolazione, si sono aggiunti all'elevato costo preventivato, per decretarne la fine. In precedenza sono già state installate due stazioni di terra dotate di Aegi Ashore System, una in Romania e una in Polonia, apparentemente dislocate in località non a rischio per la popolazione.

Romanian Aegis Ashore site. U.S. Missile Defense Agency Photo
Eppure sembra che dietro la chiusura del programma vi siano altre motivazioni, ben più importanti, che lasciano intravvedere un cambiamento fondamentale nella strategia di sicurezza giapponese. 
Il Primo Ministro Shinzo Abe ha infatti annunciato che il governo sta considerando la possibilità di acquisire una capacità di "preemptive strike". 
La dottrina del preemptive strike nasce con la guerra in Iraq condotta sotto l'amministrazione Bush e asseriva il diritto degli USA di intraprendere una azione militare unilaterale contro i cosiddetti "rogue states" o contro organizzazioni terroristiche allo scopo di prevenire o mitigare un presumibile attacco contro gli Stati Uniti. 
Tale dottrina è stata criticata a suo tempo e lo è tuttora sia a livello internazionale sia, e a maggior ragione, in Giappone, in cui è considerata essere in palese violazione della Costituzione nazionale, essenzialmente contro la guerra. 

Pukguksong-2
In ogni caso il governo ha cominciato a rivedere la sua "National Security Policy" secondo le indicazioni ricevute dal Primo Ministro. 
Il Giappone, qualunque cosa decida in merito al preemptive strike, deve ora risolvere la questione legata agli impegni presi con l'Alleato nordamericano, in particolare con la Lockheed Martin, con contratti già firmati per più di un miliardo di dollari. 
Le discussioni con gli americani sul futuro della difesa giapponese sono comunque ancora in corso.

Senza considerare il fatto che il rischio strategico per cui era stato lanciato il programma è sempre presente: i missili balistici a medio raggio Nordcoreani Pukguksong-2 sono ora prodotti in serie.


Alessandro RUGOLO


Per approfondire:
https://time.com/5859133/japan-aegis-ashore-missile-defense/
https://www.defensenews.com/global/asia-pacific/2020/06/23/japans-new-missile-defense-destroyer-starts-sea-trials-amid-aegis-ashore-saga/
https://thediplomat.com/2020/06/japan-suspends-aegis-ashore-missile-defense-plans-what-happens-now/
https://www.jstor.org/preview-page/10.2307/20445135?seq=1
https://www.msn.com/en-us/news/world/japan-halts-deployment-of-aegis-ashore-missile-defence-system/ar-BB15uFlk
https://www.japantimes.co.jp/news/2020/06/25/national/deployment-aegis-ashore-scrapped/#.XvcyXdhxc2w
https://news.usni.org/2020/06/26/japan-officially-ends-aegis-ashore-plans-after-national-security-council-deliberations
https://www.lockheedmartin.com/en-us/products/aegis-combat-system/aegis-ashore.html
https://news.usni.org/2020/06/26/japan-officially-ends-aegis-ashore-plans-after-national-security-council-deliberations
https://www.upi.com/Defense-News/2020/06/25/Japan-cancels-plans-to-deploy-Aegis-Ashore-systems-at-2-sites/7341593125865/
https://spfusa.org/wp-content/uploads/2019/04/Japan%E2%80%99s-New-National-Defense-Program-Guidelines-Aligning-U.S.-and-Japanese-Defense-Strategies.pdf
https://english.alarabiya.net/en/News/world/2020/06/25/Japan-scraps-US-Aegis-Ashore-missile-defense-system-
https://www.navalnews.com/naval-news/2020/06/japans-aegis-ashore-a-tale-of-two-spys/
https://www.popularmechanics.com/military/weapons/a22791042/the-first-us-hypersonic-weapons-arrow-and-hacksaw/#:~:text=Hypersonic%20weapons%20are%20the%20new%20frontier%20in%20warfare,types%3A%20boost%20glide%20weapons%20and%20powered%20atmospheric%20weapons.

venerdì 26 giugno 2020

L'Australia denuncia di essere sotto attacco cyber: la Cina sul banco degli imputati?

Il 19 giugno scorso il governo australiano ha denunciato pubblicamente di essere oggetto, ormai da tempo, di attacchi cyber persistenti indirizzati verso tutte le aree e i servizi pubblici governativi, facendo chiaramente riferimento ad un attacco da parte di uno Stato, ma senza indicare il sospettato.
Il Primo Ministro australiano, Scott Morrison, ha immediatamente allertato la popolazione, affinché ognuno possa fare la sua parte, gli attacchi infatti sono estesi a tutti i settori pubblici e privati, organizzazioni politiche, industria, infrastrutture critiche, sanità, istruzione...
Morrison ha incitato tutti a migliorare le proprie difese, soprattutto i gestori delle infrastrutture critiche, dei servizi essenziali e della salute.
Il ministro della Difesa, Linda Reynolds, ha affermato che l'agenzia governativa per la cyber (Australian Cyber Security Center) e il Dipartimento dell'Interno hanno pubblicato un documento tecnico con istruzioni su come le organizzazioni possono individuare l'attacco e come mitigare il problema.
In un annuncio pubblico l'Ambasciatore australiano per la cyber, il Dottor Tobias Feakin, ha ricordato che nel consesso delle Nazioni Unite si è concordato che le norme internazionali esistenti si applicano anche all'ambiente cyber e che le nazioni si sono accordate sul fatto che non può essere considerato "comportamento responsabile" quello di uno Stato che utilizza strumenti cyber per danneggiare intenzionalmente infrastrutture critiche che forniscono servizi al pubblico.

Se gli organi istituzionali si sono astenuti dall'indicare il colpevole, la pensano diversamente i giornali che si sono subito gettati sulle tracce del principale sospettato: la Cina.
Secondo l'agenzia australiana per le Informazioni e la sicurezza elettronica l'attacco è stato condotto da uno Stato e ha le caratteristiche di un APT.
Naturalmente, è ben noto che determinare la provenienza di un attacco in modo certo è praticamente impossibile; è possibile però trovare degli indizi sia nell'osservazione del modus operandi dell'attaccante, sia negli strumenti e nel codice usato per effettuare gli attacchi.
E' anche vero che però tutte queste caratteristiche possono essere camuffate per far ricadere la colpa su qualcun altro.
Ecco perché agli indizi occorre associare l'analisi del contesto politico diplomatico.
E' proprio dall'analisi del contesto politico/diplomatico che emergono molti indizi che a parere di tanti, portano verso la Cina.
Da qualche tempo infatti si registrano problemi nell'esportazione della carne bovina verso la Cina, problemi che sono scaturiti nel blocco delle importazioni provenienti da alcune delle principali società produttrici australiane: Kilcoy Pastoral, JBS Beef City, JBS Dinmore e Northern Cooperative Meat Company.
Pare che le società sono state sanzionate per mancanze nella etichettatura e nella conservazione dei prodotti.
Naturalmente il mercato cinese della carne bovina è un grosso problema per l'Australia che si vede cosi penalizzata pesantemente, anche nei confronti dei concorrenti newzelandesi che per gli stessi problemi non hanno però subito lo stesso trattamento, probabilmente per il diverso approccio verso il gigante giallo.
Stephen Jacobi, direttore esecutivo del "New Zealand International Business Forum and Asia-Pacific Economic Cooperation Business Advisor Council, ha commentato così: "New Zealand never uses a fist, and in any case, our fist is too small".
L'Australia, da parte sua, ha accusato la Cina di aver gestito male il problema del COVID 19 e in particolare di non aver diffuso correttamente le informazioni sul problema, probabilmente anche questo scontro diplomatico è alla base delle accuse alla Cina.
A complicare la situazione si aggiungono i nuovi dazi tariffari della Cina sulle importazioni di orzo australiano, confermato qualche giorno fa.
Le accuse di comunicazione scorretta e disinformazione tra Australia e Cina sono reciproche.
Scott Morrison ha ribadito di non aver intenzione di accusare direttamente nessuno per quanto sta succedendo ma di averne parlato con gli alleati per trovare una possibile soluzione, in particolare con il primo ministro inglese Boris Johnson.

Alessandro e Francesco Rugolo

Note:
APT: Advanced Persistent Threath.

Per approfondire:
https://www.thehindu.com/news/international/australia-targeted-by-sophisticated-state-based-cyber-actor-says-pm-scott-morrison/article31865966.ece
https://www.lexpress.fr/actualite/trois-questions-sur-la-cyberattaque-subie-par-l-australie-et-imputee-a-la-chine_2128921.html
https://www.scmp.com/economy/china-economy/article/3084911/australian-beef-exporters-banned-china-are-repeat-offenders
https://www.cyber.gov.au/acsc/view-all-content/news/unacceptable-malicious-cyber-activity
https://www.cyber.gov.au/threats/summary-of-tradecraft-trends-for-2019-20-tactics-techniques-and-procedures-used-to-target-australian-networks


martedì 16 giugno 2020

Cyber Security in Arabia Saudita: rassegna delle principali aziende governative

Kaspersky cyber attack map: https://cybermap.kaspersky.com/
Nello scenario globalmente diffuso di Cyber Crime caratterizzato da attività criminose che sfruttano componenti della tecnologia dell'informazione sia hardware che software, gli interessi economici ed i conflitti geopolitici fanno del Medio Oriente una calamita per gli attacchi informatici. La regione, che ospita quasi la metà delle riserve petrolifere globali e gran parte del gas naturale mondiale, è continuo bersaglio di tali attacchi.
In tale contesto risulta essere particolarmente interessante una rassegna delle aziende governative operanti nel settore Cyber Security presenti in Arabia Saudita, con lo scopo di focalizzare i prodotti, i servizi e le attività di Research & Development (R&D), in cui tali aziende governative operano.
La Cyber Security, tradotta come sicurezza cibernetica, in Italia è definita dal DPCM del 17 Febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” come la "condizione per la quale lo spazio cibernetico risulti protetto grazie all'adozione di idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria o accidentale, consistenti nell'acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi”.
La National Cybersecurity Authority dell’Arabia Saudita ha definito la sicurezza informatica come “la protezione dei sistemi e delle reti IT, dei sistemi e dei componenti delle tecnologie operative, compresi i componenti hardware e software, insieme ai servizi forniti e ai dati ivi inclusi, contro modalità illecite di hacking, ostruzione, modifica, accesso, utilizzo o sfruttamento”. 
La Cyber Security si concretizza, come indicato nel documento programmatico pluriennale per la Difesa per il triennio 2019-2021 (Doc. CCXXXIV, n. 2), attraverso la protezione delle postazioni di lavoro, dei dispositivi in mobilità e dei dati in essi contenuti secondo criteri di confidenzialità, disponibilità e integrità (Protezione End Point); la Protezione Perimetrale ossia le attività rivolte alla protezione delle reti e in particolare alla riduzione del perimetro d’attacco; la Sicurezza Applicativa ovvero l'implementazione delle best practice di sicurezza durante il ciclo di vita del software che permetta la realizzazione di un idoneo livello di sicurezza a tutte le componenti che erogano servizi ed infine con la Governance di Sicurezza che riguarda l'insieme di attività e operazioni che consentono di impostare al meglio il processo di gestione di sicurezza delle informazioni al fine di aumentare l’efficacia e l’efficienza delle attività operative legate alla protezione cibernetica.
Prima di entrare nel dettaglio della rassegna delle aziende governative operanti nell'ambito Cyber Security dell'Arabia Saudita è utile tracciare una breve panoramica sulla situazione Cyber in termini di consapevolezza delle minacce e di gestione degli attacchi subiti dal Paese.

Il governo saudita ha pubblicato nel 2011 la National Information Security Strategy (NISS). La necessità di redigere una strategia nazionale in questo ambito è emersa dalla consapevolezza che il Regno stava affrontando maggiori e più articolate minacce alla sicurezza nazionale e al benessere economico. L’interconnessione nazionale e internazionale ha creato nuovi tipi di minacce alle infrastrutture economiche del Regno. La NISS è incentrata su alcuni punti chiave, tra cui un forte investimento in Ricerca e Sviluppo nel settore informatico. Inoltre, con essa viene istituita la National Cybersecurity Authority (NCA), un organo centrale per la gestione degli incidenti cyber e responsabile della prevenzione dei rischi.
In particolare, essa ha le seguenti funzioni:
  • Notifica delle minacce
  • Condivisione di informazioni
  • Redazione di una strategia di sicurezza nazionale
  • Risposta agli incidenti
Ciò che ha portato il Paese all'adozione della NISS e all'istituzione del NCA è riconducibile ai principali attacchi informatici subiti dal Paese. Una testata online del 2018 specializzata in difesa ed aerospazio, indica che il primo importante attacco subito dall'Arabia Saudita risale al 2012, quando il malware Shamoon, attribuito all’Iran, prende di mira la compagnia petrolifera Aramco. Nel 2017 lo stesso malware rende totalmente inutilizzabili alcuni computer del Ministero del Lavoro e attaccato un’azienda chimica. Nel 2018 il sito web della General Entertainement Authority (Gea) viene colpito da un attacco informatico. Il Paese stima una perdita fino allo 0,5% del suo Prodotto Interno Lordo (PIL) a causa della debole sicurezza informatica. Già nel 2016 era stato annunciato il Progetto Saudi Vision 2030 il cui principale obiettivo è quello di ridurre la dipendenza dal petrolio dell’Arabia Saudita e diversificare la sua economia entro il 2030.
Contestualmente nel 2018 la Saudi Cyber Security and Programming Federation (SFCSP) firma 3 Memorandum di Intesa con gli Stati Uniti e nel particolare uno con il gigante americano della Difesa Lockheed Martin, azienda impegnata, tra le tante cose, nello sviluppo del programma per la produzione del caccia multiruolo di quinta generazione F-35 Lightning II, un secondo con la Raytheon Company, un'importante azienda statunitense del settore della difesa, ed infine il terzo con la Northrop Grumman, compagnia a stelle e strisce operante nei settori della sicurezza, della difesa e dell’aerospazio.

Passiamo ora alla mappatura delle aziende governative operanti nel settore Cyber Security in Arabia Saudita1

SAUDI TELECOM COMPANY
La Saudi Telecom Company (STC) è una società di telecomunicazioni con sede in Arabia Saudita che offre rete fissa, mobile, servizi internet e di computer network. La STC, come le altre aziende saudite, offre servizi e prodotti che si collocano nell’ambito dei quattro elementi caratterizzanti la Cyber Security ossia i servizi di Protezione End-Point, di Protezione Perimetrale, di Sicurezza Applicativa e Governance di Sicurezza.
I(TS)^2 CYBER SECURITY
IT Security Training & Solutions -I(TS)^2 è una società fondata nel 2003 a Riyadh, riconosciuta come principale fornitore del Medio Oriente di soluzioni integrate di sicurezza informatica, servizi
di consulenza e corsi di formazione di Cyber Security.
Per risolvere i problemi di sicurezza informatica sempre più crescenti, I(TS)^2 offre svariate soluzioni aventi ad oggetto sia la protezione degli End-Point che l'attuazione della Governance di sicurezza che comprendono sistemi quali il Security Information Event Management (SIEM), firewall di nuova generazione, sistemi di prevenzione perdita di dati (DLP), rilevazione e risposta dell'End-Point, firewall per applicazioni web, protezione antimalware avanzata, sicurezza e-mail web, valutazione del rischio e penetration test, sicurezza dei social network, piattaforme di intelligence sulle minacce, difesa dell'ingegneria sociale e gestione delle vulnerabilità.
La società infine è anche molto attiva nel fornire formazione e promuovere campagne di Cyber Awareness.

SAUDI ARABIAN MILITARY INDUSTRIES
La Saudi Arabian Military Industries (SAMI) è una holding nazionale partecipata al 100% da un fondo di investimento pubblico di proprietà dell'Arabia Saudita. SAMI sviluppa e supporta le industrie militari in Arabia Saudita e svolge un ruolo importante nella localizzazione delle industrie militari di un territorio che, ricordiamo, è classificato tra i primi cinque paesi in termini di spese militari in tutto il mondo.
La SAMI Company investe sulle ultime tecnologie e sui migliori talenti nazionali per sviluppare prodotti e servizi militari innovativi con standard internazionali attraverso quattro divisioni commerciali: aeronautica, sistemi terrestri, armi e missili ed elettronica di difesa.
È proprio la divisione elettronica di difesa che lavora alla ricerca e sviluppo di tutti gli aspetti delle moderne tecnologie, tra cui: radar e microonde, elettro-ottica, sistemi di comunicazione, guerra elettronica, comando, controllo, comunicazioni, computer e intelligence, guerra cibernetica, sistemi di combattimento navale.

SAUDI PARAMOUNT COMPUTER SYSTEMS
La Saudi Paramount Computer Systems (SPCS) ha iniziato la sua attività nel 2001, specializzandosi nella sicurezza informatica e fornendo una serie di prodotti e servizi per la sicurezza informatica per le grandi imprese e il governo dell'Arabia Saudita.
Essendo un'azienda specializzata in soluzioni di sicurezza informatica e protezione della rete, essa aiuta i clienti a progettare il loro ambiente di sicurezza fornendo prodotti e servizi specifici in base alle esigenze dei soggetti richiedenti. Fra questi ultimi spiccano sicuramente gli enti governativi, fra cui il Ministero della Difesa e il Ministero delle Comunicazioni e dell’Information Technology.
Nell’ambito dei servizi forniti dall’azienda vi sono da segnalare i seguenti:
  • sistemi Anti DDos (Distributed Denial of Service),
  • ATP (Advanced Persistent Threat),
  • SIEM (Security Information and Event Management),
  • Intrusion Prevention System (un sistema che monitora una rete per attività dannose come minacce alla sicurezza o violazioni delle policy).

ASE - AL ARABIYAN SYSTEMS ENGINEERING
Al Arabiya Systems Engineering (ASE) è stata fondata come una società saudita specializzata in informatica. La sua attività consiste nel fornire consulenza tecnica specializzata, consulenza strategica, sicurezza informatica, soluzioni infrastrutturali e informatiche, soluzioni di contact center e altre questioni organizzative.
Nell’ambito dei servizi Cyber che l’azienda fornisce, ci sono soluzioni che spaziano dalla consulenza, alla formazione fino alle infrastrutture Cyber; tra le Applications Security nelle infrastrutture rientrano la Data Security, Big Data management, il Cloud Security, l’Identity Assurance, la Cyber Security e il Government, Risk and Compliance.
Di notevole rilievo sono poi i partner cui l’ASE fa riferimento: sono da menzionare Cisco, Dell, Samsung, Oracle, Sharp e Panasonic. Fra i clienti cui vengono erogati i suoi servizi vi è da evidenziare il Ministero dell’Economia e delle Finanze.

MBUZZ
MBUZZ è una delle principali società ICT, la cui fondazione risale al 2007. La sede principale si trova a Riyadh, in Arabia Saudita ed ha una forte presenza geografica in Medio Oriente, Africa, Asia ed Europa. MBUZZ offre soluzioni nei settori di Data Center, Telecom, SDN e NFV, Cyber Security, Artificial Intelligence e Internet of Things. Utilizza le proprie esclusive capacità di ingegneria aziendale per sviluppare nuovi modelli di business volti a risolvere le sfide, generare nuove opportunità e migliorare i processi aziendali e i portafogli esistenti per soddisfare le tendenze del mercato. Essa fornisce, a livello Cyber, servizi di Cyber Defence, Strategy and Risk, Digital Identity, Application Security e Infrastructure Security che permettono alla MBUZZ di avere un approccio integrato alla sicurezza aziendale volto a permettere al cliente di concentrarsi sulle esigenze della propria azienda più che sui rischi connessi alla sicurezza informatica. Come per le altre aziende analizzate, anche la MBUZZ vanta collaborazioni con gli enti governativi sauditi e, nello specifico, nel novero dei suoi clienti (fra i quali spiccano importanti società di telecomunicazioni come Nokia, Huawei ed Ericsson) vi è il Ministero della Salute.

Quello che emerge dall'analisi condotta in merito ai prodotti, servizi ed attività di R&D per ogni azienda governativa analizzata è che l'Arabia Saudita è prettamente orientata nel mercato Cyber all'offerta di servizi che mappano tutti gli elementi caratterizzanti della Cyber Security relativi alla Protezione degli End Point, alla Protezione Perimetrale, alla Sicurezza Applicativa ed alla Governance di sicurezza. Relativamente ai prodotti il mercato Cyber è prettamente orientato all'area della Protezione Perimetrale. Mentre per le attività di R&D, la SAMI è sicuramente l'azienda militare governativa che opera in quei progetti che vanno a mappare tutti i quattro elementi della Cyber Security.

L'Arabia Saudita ha il più grande mercato ICT in Medio Oriente sia per volume di capitale che per spesa che sta rapidamente diventando uno dei più ambiti dalle aziende locali e internazionali. Infatti, mentre l'industria IT saudita contribuisce attualmente solo ad un modesto 0,4% del prodotto interno lordo (PIL) del paese ed il mercato ICT del Regno continua ad essere guidato dalle importazioni - con oltre l'80% della spesa ICT di società straniere – il settore IT è considerato uno dei settori industriali con la più rapida crescita ed enormi opportunità di sviluppo. Nell’ambito IT si stima un tasso di crescita del mercato Cyber Security dell'Arabia Saudita del 16,59% tra il 2018 e il 2023.

Dopo l’attacco del 2012, l’Arabia Saudita ha iniziato a investire ingenti risorse per sviluppare cyber capabilities in chiave difensiva, secondo quanto evidenziato da un report del 2017 realizzato dal Potomac Institute for Policy Studies ed ha fatto sempre più affidamento su società statunitensi per incrementare la cybersecurity a livello nazionale. Gli accordi del 2017 con la Raytheon e del 2018 con la Booz Allen Hamilton, per la fornitura di servizi in ambito cyber, sono emblematici di questa partnership con gli Stati Uniti. Tra le aziende che collaborano attivamente con l’Arabia Saudita, vi sono: IronNet Cybersecurity, Raytheon, Booz Allen Hamilton, Northrop Grumman e Lockheed Martin.

Sonia FORCONI

Davide LO PRETE


Note:

1 G. DI BELLA, S. FORCONI, A. FOSCARINI, R. PERETTO. "Cyber World Technologies and Services Saudi Arabia & United Arab Emirates". Tesi del Master in "Cybersecurity – politiche pubbliche, normative e gestione". Università LUISS "Guido Carli". A.A. 2019/2020.

domenica 14 giugno 2020

Fuga di dati riguardanti il sistema balistico nucleare Minuteman III ?


http://www.aiirsource.com/
in-warning-to-kim-jong-un-us-test-launch-nuclear-missile-minuteman-iii/
I ransomware, come sappiamo, continuano da anni a colpire indisturbati e sembra che le cose non siano destinate a migliorare, anzi.
Se è vero che si sente raramente parlare di attacchi contro strutture militari, forse anche perché difficilmente tali attacchi vengono denunciati, è anche vero che le catene logistiche e i fornitori anche delle organizzazioni militari, sono sempre più colpite forse perché considerate più deboli o semplicemente perché è più facile far cassa senza troppo rumore.
La settimana scorsa è accaduto proprio questo, la società Westech International, sub-contractor di Northrup Grumman, ha infatti confermato a Sky News di aver subito un attacco ransomware.
La società Westech International ha infatti ammesso di aver subito un attacco per mezzo del ransomware Maze a seguito del quale molti dati sono stati cifrati, con richiesta dunque di riscatto.
La cosa più preoccupante è però un aspetto secondario di quanto accaduto, infatti i dati (o parte di essi) sono stati esfiltrati per provare la veridicità dell'attacco e resi pubblici: si tratta di dati in qualche modo collegati al sistema di dissuasione nucleare LGM-30 Minuteman III ballistic missile (ICBM), in servizio negli USA.
La pubblicazione on-line di parte dei dati cifrati può infatti avere il duplice scopo di provare la veridicità di quanto fatto ad un più ampio pubblico e di affacciarsi verso potenziali clienti interessati ai dati sottratti. Secondo l'articolo si tratterebbe in particolare di elementi hacker russi che potrebbero aver collaborato con agenzie di spionaggio.
Indipendentemente da chi sia dietro l'atto in se e da quale fosse il vero obiettivo, resta il fatto che un attacco può essere perpetrato ai danni di una grande organizzazione colpendo uno degli anelli deboli della catena e la catena logistica civile è normalmente la più debole in quanto presenta una superficie d'attacco maggiore.
https://www.armscontrol.org/act/2015-07/news/
air-force-drafts-plan-follow-icbm
Mentre le procedure di lavoro, i sistemi informatici e il personale militare sono soggetti a controlli molto stringenti, non si può dire lo stesso per le società esterne, che necessitano, per la loro natura, di scambi informativi molto più frequenti con il mondo civile, dei fornitori e subfornitori, consulenti o con il mondo della ricerca, tutte cose che si traducono in debolezze.
Un altro aspetto importante del caso è da ricercarsi nella minaccia di pubblicare i dati sottratti, indubbiamente allo scopo di sollecitare il pagamento di un riscatto, probabilmente più alto del valore stesso dei dati sottratti, in considerazione della conseguente pardita di immagine, cosa ancor più importante per una società che lavora nel settore militare.
Non dimentichiamo inoltre che il sistema Minuteman III è un sistema di missili balistici nucleari distribuito sulla superficie terrestre e capace di trasportare diverse testate termonucleari ad una distanza di circa 10.000 km per mezzo di missili balistici capaci di raggiungere velocità prossime a MAC 23 (ovvero 28.176 km/ora).
La perdita di informazioni sul sistema Minuteman III è dunque considerabile come una grave compromissione del sistema di deterrenza nucleare americano, basato come noto, su tre pilastri: terrestre (Minuteman III), aereo: armi nucleari trasportate da bombardieri strategici, navale: missile balistico Trident lanciato dai sommergibili nucleari.
L'impiego dei sistemi digitali informatici presenta infatti sempre più spesso il conto sotto forma del cosiddetto capability-vulnerability paradox, ovvero l'aspetto negativo legato all'eccessivo sviluppo digitale che fa si che più i sistemi siano interconnessi e digitalizzati e maggiori siano i rischi cyber da affrontare. La digitalizzazione e informatizzazione da una parte porta i benefici legati alla maggiore capacità di raccolta e trattamento di dati ma allo stesso modo porta tutti i rischi legati all'impiego delle tecnologie suddette.
Sophos, in uno studio spiega in dettaglio il funzionamento del ransomware Maza, mentre in un altro studio, "The State of Ransomware 2020" indica chiaramente che una buona poitica di backup è in linea di massima la scelta migliore per poter ripristinare i dati cifrati senza pagare alcun riscatto.

Naturalmente la cosa funziona se i dati non vengono esfiltrati, caratteristica di Maze, che unisce alla cifratura il fattore reputazionale legato alla minaccia di diffusione dei dati esfiltrati.

Come al solito: fatta la legge, trovato l'inganno!

Alessandro Rugolo


Per approfondire:
- https://news.sky.com/story/hackers-steal-secrets-from-us-nuclear-missile-contractor-11999442
- https://nakedsecurity.sophos.com/2020/06/04/nuclear-missile-contractor-hacked-in-maze-ransomware-attack/
- https://news.sophos.com/en-us/2020/05/12/maze-ransomware-1-year-counting/
- https://cybersecurityreviews.net/2020/06/08/nuclear-missile-contractor-hacked-in-maze-ransomware-attack/

mercoledì 10 giugno 2020

La sicurezza delle infrastrutture e dei servizi di accesso remoto al tempo del Covid-19

Lo scorso 29 marzo La Repubblica pubblicava un articolo il cui incipit era questo: 
“L'attuale crisi sanitaria e sociale, innescata dal COVID-19, ha portato a un aumento esponenziale del numero di persone che lavorano da casa, che adottano lo smart-working per salvaguardare la salute pubblica. Allo stesso tempo, si sta registrando un aumento dei rischi di sicurezza informatica.
Questo principalmente per due fattori. Da un lato, la ridistribuzione delle postazioni di lavoro al di fuori dagli uffici e l'aumento dell'utilizzo di piattaforme di collaborazione virtuale ampliano notevolmente la base dei potenziali attacchi. Questo potrebbe minacciare l'infrastruttura digitale su cui, oggi più che mai, facciamo affidamento per la continuità del business. Se non affrontato in modo proattivo, potrebbe persino minacciare le infrastrutture critiche e la fornitura di servizi critici. Dall’altro, la crisi di COVID-19 offre ai criminali informatici nuove opportunità per attacchi mirati, che si tratti di e-mail di phishing o di altre truffe. Queste tattiche mirano a trarre vantaggio dalla situazione di maggiore vulnerabilità in cui le persone si trovano, in quanto ovviamente preoccupate per la propria salute e sicurezza.”
Personalmente sono d’accordo a metà con quanto riportato dal noto giornale in quanto gli attacchi a cui stiamo assistendo colpiscono, per la stragrande maggioranza, le infrastrutture private che, ahimè, soffrono delle debolezze di cui hanno sempre sofferto e che, in un periodo come questo, in cui vengono sottoposte a stress continuo, mostrano tutta la loro debolezza.
A questo riguardo, infatti, vorrei parlarvi della messa in sicurezza delle piattaforme di virtualizzazione del desktop che è una di quelle più utilizzate e che, se non opportunamente configurate, rappresentano un rischio enorme per tutti coloro che non amano o non vogliono utilizzare quelle cloud con buona pace del portafoglio di investimenti in Hardware e Software, gettati, letteralmente, alle ortiche.

Guida alla sicurezza per l’adozione del Remote Desktop

L’aumento rapido dello smart working avvenuto negli ultimi due o tre mesi ha portato molte aziende ad affrettarsi per capire in che modo le infrastrutture e le tecnologie sarebbero state in grado di gestire l'aumento delle connessioni remote. Molte aziende sono state costrette a migliorare le proprie capacità per consentire l'accesso da remoto ai sistemi e alle applicazioni aziendali, molto spesso, facendo affidamento sull'accesso remoto attraverso l’utilizzo del protocollo di desktop remoto, che consente ai dipendenti di accedere direttamente alle workstation e ai sistemi.
Recentemente, John Matherly, fondatore di Shodan, il primo motore di ricerca al mondo per dispositivi connessi a Internet, ha condotto alcune analisi sulle porte accessibili via Internet da cui sono emerse alcune importanti novità. In particolare, c'è stato un aumento del numero di sistemi accessibili tramite la porta tradizionale relativa all’uso del protocollo Remote Desktop Protocol (RDP) e tramite una porta "alternativa" ben nota utilizzata per RDP. Potremmo dire che la ricerca di John ha avuto l’effetto di mettere in evidenza un uso massiccio del protocollo RDP e della sua esposizione a Internet.
Sebbene i servizi di Desktop remoto possano essere un modo rapido per abilitare l'accesso ai sistemi, è necessario considerare una serie di potenziali problemi di sicurezza prima che l’utilizzo di Remote Desktop diventi la strategia definitiva di accesso remoto. Questo perché, come riportato in un mio precedente articolo (Parinacota eCyber Resilience), gli attaccanti provano a fruttare il protocollo ed il relativo servizio, per compromettere le reti aziendali, le infrastrutture, i sistemi e i dati.
Pertanto, è necessario fare alcune considerazioni sulla sicurezza per l’utilizzo del desktop remoto e porre l’attenzione su una serie di elementi che devono, necessariamente, fare parte della strategia atta a mitigare i rischi in merito all’utilizzo di RDP e che possiamo riassumere in:
  • Accessibilità diretta dei sistemi su Internet pubblico.
  • Vulnerabilità e gestione delle patch dei sistemi esposti.
  • Movimento laterale interno dopo la compromissione iniziale.
  • Autenticazione a più fattori (MFA).
  • Sicurezza della sessione.
  • Controllo e registrazione dell'accesso remoto.
In merito a queste considerazioni ho analizzato l’utilizzo dei Microsoft Remote Desktop Services (RDS) come gateway al fine di concedere l'accesso ai sistemi. Il gateway utilizza il protocollo SSL (Secure Sockets Layer) per crittografare le comunicazioni e impedire che il sistema che ospita i servizi di protocollo desktop remoto venga esposto direttamente su Internet.
Per identificare se un’azienda utilizza tali servizi, è necessario eseguire un controllo dei criteri presenti sul firewall ed eseguire la scansione degli indirizzi esposti su Internet e dei servizi utilizzati, per individuare eventuali sistemi esposti. Le regole del firewall possono essere etichettate come "Desktop remoto" o "Servizi terminal". La porta predefinita per i Servizi di Desktop remoto è TCP 3389, quella utilizzata dal protocollo RDP, anche se, a volte, è possibile utilizzare una porta alternativa quale TCP 3388 nel caso in cui la configurazione predefinita sia stata modificata.
Il Servizio di Desktop remoto può essere utilizzato per la virtualizzazione basata sul concetto di sessione, per l'infrastruttura VDI (Virtual Desktop Infrastructure) o per una combinazione di questi due servizi. Microsoft Remote Desktop Service (RDS) può essere utilizzato per proteggere le distribuzioni locali, le distribuzioni cloud e i servizi remoti di vari partner Microsoft quali, ad esempio, Citrix. Sfruttando RDS per connettersi ai sistemi locali migliora la sicurezza riducendo l'esposizione dei sistemi direttamente su Internet.
L’infrastruttura potrebbe essere locale, in cloud o ibrida in funzione delle esigenze, della disponibilità della banda di rete e delle prestazioni.
L’esperienza che nasce dall’utilizzo di Virtual desktop può essere migliorata sfruttando il servizio di Windows Virtual Desktop, disponibile su Microsoft Azure. La definizione di un ambiente cloud semplifica la gestione e offre la possibilità di scalare i servizi di virtualizzazione di applicazioni e desktop virtuali. L'utilizzo di Windows Virtual Desktop, al netto di eventuali problematiche legate alle prestazioni dovute alle connessioni di rete locali che dovranno essere indirizzate con l’aumento della disponibilità di banda di rete, sfrutta le funzionalità di sicurezza e conformità insite nella piattaforma Azure.

Proteggere l'accesso dell'amministratore remoto

I Servizi di Desktop remoto vengono utilizzati non solo dai dipendenti per l'accesso remoto, ma anche da molti sviluppatori di sistemi e amministratori per gestire i sistemi stessi e le applicazioni cloud e locali. Consentire l'accesso amministrativo ai sistemi server e cloud direttamente tramite RDP comporta un rischio poiché gli account utilizzati per questi scopi hanno in genere privilegi di accesso più elevati ai sistemi e alle infrastrutture fisiche e logiche, incluso l'accesso come amministratore di sistema. 
In questo senso, l’utilizzo del cloud Microsoft Azure aiuta gli amministratori di sistema ad accedere in maniera sicura utilizzando i Network Security Groups e le Azure Policies permettendo un’amministrazione remota sicura dei servizi grazie alle funzionalità di accesso JIT (Just-In-Time).
Figura 1 - Attackers target management ports such as SSH and RDP. JIT access helps reduce attack exposure by locking down inbound traffic to Microsoft Azure VMs (Source: Microsoft).

L’accesso JIT migliora la sicurezza attraverso le seguenti misure:
  • Workflow approvativo.
  • Rimozione automatica dell’acesso.
  • Restrizione dell’indirizzo IP permesso per la connessione.

Valutazione del rischio

Le considerazioni per la selezione e l'implementazione di una soluzione di accesso remoto devono sempre tener conto del fattore sicurezza e della propensione alla gestione del rischio dell'organizzazione. L'utilizzo dei servizi di desktop remoto offre una grande flessibilità consentendo ai lavoratori remoti di avere un'esperienza simile a quella di lavoro in ufficio, offrendo una certa separazione dalle minacce sugli endpoint (ad esempio, i dispositivi utente, gestiti e non gestiti dall'organizzazione). Allo stesso tempo, tali vantaggi dovrebbero essere confrontati con le potenziali minacce per l'infrastruttura aziendale (rete, sistemi e quindi dati). Indipendentemente dall'implementazione dell'accesso remoto utilizzato dall'organizzazione, è fondamentale implementare le procedure consigliate per proteggere le identità e ridurre al minimo la superficie di attacco per garantire che non vengano introdotti nuovi rischi.

Carlo Mauceli

lunedì 8 giugno 2020

La cittadina di Weiz, in Austria, subisce un attacco ransomware

Il 2020 prosegue nel solco tracciato degli attacchi cyber.

Weiz, cittadina austriaca di 11.000 abitanti è stata hackerata. I servizi pubblici online hanno subito furti di dati che poi sono stati pubblicati.
L'autore del gesto ha impiegato una nuovo ransomware, NetWalker, che colpisce i sistemi operativi Windows cifrando i files e eliminando eventuali backup trovati nella rete colpita.

Il mezzo usato per diffondere il malware è quello delle email avente come oggetto "Information about the Coronavirus", un soggetto ricorrente nelle campagne di questi ultimi mesi ma che continua a fungere da buona esca.

Sembra che lo stesso gruppo autore dell'attacco sia implicato in altri attacchi simili in Illinois e in Australia.
Dal sito della città di Weiz si apprende che i dati sottratti ammontano a 27 Gigabyte, provenienti da un vecchio DB di back-up del 2018. Il comune ha dichiarato che grazie alla policy di back-up impiegata, nel giro di poche ore sono stati in grado di ripristinare i servizi e i files cifrati.

Qualche considerazione va fatta in merito al fatto che i ransomware, anche se ben conosciuti, continuano ad essere pericolosi.


Il fatto che il ransomware NetWalker ricerchi in rete e cancelli eventuali back-up trovati è indicativo della  prassi da parte degli amministratori di rete, di salvare i back-up nella stessa rete, cosa da sconsigliare anche quando si possiede una struttura di sicurezza potente.

Solo una attenta politica di back-up può aiutare contro questo tipo di attacco, che si basa sempre più spesso su impiego di tecniche di social engineering per adescare le sue vittime e della cattiva abitudine di sottovalutare l'importanza di una buona politica di back-up nelle aziende. 
Un attacco di questo genere non avrebbe quasi nessun effetto se i back-up fossero presenti e ben gestiti, come sembra essere accaduto in questo caso.

Alessandro Rugolo

Per approfondire:

- https://borncity.com/win/2020/05/22/sterreich-it-der-stadt-weiz-mit-ransomware-infiziert/
- https://www.pandasecurity.com/mediacenter/news/austria-city-ransomware-netwalker/
- https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Ransom.PS1.NETWALKER.B?_ga=2.193533613.1079877318.1590136763-1671730187.1589220654
- https://www.weiz.at/Update_Hackerangriff_Daten_ueberprueft_Server_ausfindig_gemacht
- https://sicurezza.net/info-news/coronavirus-ransomware-netwalker-distribuito-tramite-campagna-spam