Traduttore automatico - Read this site in another language

sabato 12 dicembre 2020

FireEye hackerata, da chi?

La società statunitense FireEye, colosso della cyber security, in questi giorni ha denunciato di essere stata vittima di hacker, probabilmente supportati da uno stato.

Ricordiamo che FireEye è la società che supporta agenzie governative e stati della Federazione, tra cui FBI ed NSA, per non parlare dell'industria americana.

E' stata FireEye ad informare i propri clienti dell'accaduto attraverso un post sul blog della società in cui si descrivono gli hackers come altamente professionali e si dice che l'attacco è stato effettuato impiegando tecniche e procedure mai impiegate prima e studiate appositamente per l'occasione, cosa che fa pensare che ci sia dietro uno stato ben addentro nel settore con intendo di effettuare attività di spionaggio.

FireEye sta collaborando con FBI e Microsoft per svolgere tutte le indagini necessarie. 

Nel corso delle investigazioni FireEye si è accorta che gli hacker hanno sottratto alcuni degli strumenti impiegati dai propri Red Teams per eseguire attività di pentesting. Strumenti che se impiegati da malintenzionati potrebbero essere molto pericolosi. La società ha affermato che, per precauzione, ha sviluppato più di 300 tools per minimizzare l'impatto dell'eventuale impiego di tali strumenti contro i propri clienti (o del rilascio di tali strumenti al pubblico).

In un altro post la società spiega quali tools sono stati sottratti e indica un elenco di contromisure già rilasciate.

Che dire di più? Sembra che tutto stia procedendo per il meglio...

Ma mi viene spontaneo esprimere qualche mio pensiero a voce alta.

In primo luogo tutti sanno che i tools per fare penetration testing sono generalmente pubblici (ma non quelli privati delle società che li hanno sviluppati per proprio business), ciò che fa la differenza sono le capacità delle organizzazioni che li impiegano, la capacità di una organizzazione di sostenere una operazione per lungo tempo, l'esperienza degli hacker...

I tools di penetration testing sono in pratica delle armi, più o meno potenti, che vengono usati (dai buoni) per testare i sistemi amici e indicare come è possibile proteggerli meglio. Se concordate fino a qui, concorderete sul fatto che trattandosi di "armi" personalizzate, sicuramente erano ben custodite e pensare che una delle principali società del settore si sia fatta sottrarre delle "armi" da un altro stato, quando si sa che gli Stati Uniti sono i più forti nel settore, beh, diciamo che qualche dubbio viene. Se le cose stanno così, è più facile pensare ad un furto dall'interno che non ad un attacco dall'esterno. Inoltre sembra che questa volta la FireEye non abbia indicato quale stato potrebbe essere dietro all'attacco, cosa strana dato che una delle sue attività è proprio quella di individuare la provenienza delle ATP. 

La società ha affermato che tra i tools sottratti non vi sono Zero-Day exploits ne tecniche non note. Però ha anche affermato di aver rilasciato più di 300 contromisure... anche in queste frasi mi sembra vi siano delle contraddizioni. A cosa servono delle specifiche contromisure se non vi è niente di nuovo? Se fosse vero che non gli è stato sottratto niente di nuovo non penso sarebbe stato necessario rilasciare centinaia di tools di contromisure... ma tant'è!

Infine, e purtroppo si tratta della questione più sensibile, siamo sicuri che non sia stato sottratto altro? Spesso, per poter effettuare lavori di pentesting, occorre raccogliere informazioni sui sistemi che si vuol rendere più sicuri, informazioni che in mano a persone capaci mostrano i punti deboli dei sistemi. Sappiamo che la FireEye lavora con agenzie nazionali americane per cui è pensabile che tra i dati in suo possesso vi siano anche dati riguardanti le infrastrutture critiche sulle quali stanno lavorando o hanno lavorato. Se questi dati sono andati in mano a malintenzionati, semplici criminali o stati nemici, le cose potrebbero complicarsi per tutti... 

Alessandro Rugolo 


Per approfondire:

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc

FireEye, a top U.S. cybersecurity company, says it was hacked (nbcnews.com)

Unauthorized Access of FireEye Red Team Tools | FireEye Inc

FireEye hacké ! Ses outils Red Team ont été dérobés ! (programmez.com)

GitHub - fireeye/red_team_tool_countermeasures

FireEye piraté : le géant de la cybersécurité y voit la main d’un Etat - CNET France

FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State - The New York Times (nytimes.com)

Cappuccetto rosso e la scalata oltre la nuvola

(Come diventare un hacker)

C’era una volta il mondo reale…

Fra cento anni con questa premessa racconteremo una favola per fare andare a nanna i nostri bis-bis nipoti. Cominceremo parlando di una dolce bimbetta a cui la nonna regalò una cappa di velluto rosso che lei indossò per mettersi al computer prima di entrare nel cloud del cyber-domain. Cappuccetto rosso voleva diventare una hacker...

Come tutti quelli della sua razza, era una meticcia: metà macchina e metà nerd. Non aveva una vita sociale e faceva tutto da sola, capiva i numeri che scendevano dalla parte alta degli schermi, indossava sempre cappucci ed era nata sapendo tutto”.

Partendo da luoghi comuni e banalizzazioni, questa favola insegnerà ai nostri piccoli quei valori che li trasformerà in adulti responsabili.

Ma poi i bambini cresceranno e si porranno delle domande a cui dovremo essere pronti a rispondere in modo abbastanza semplice da essere compresi ma sufficientemente esaustivo da evitare approfondimenti imbarazzanti.

Ed allora il piccolo, con la lingua che si affaccerà dai buchi lasciati dai denti da latte chiederà: “Bis-Bis-nonno, cosa sono gli hacker?”

Sono quelli che utilizzano le proprie competenze informatiche per esplorare computer e reti di computer e per sperimentare come estenderne l'utilizzo. Alcuni sono cattivi e vengono chiamati cappelli neri, “black hat”, altri invece sono buoni e, ovviamente li chiameremo cappelli bianchi, ovvero “white hat”1. I primi sono dei truffatori, imbroglioni o ladri che violano i sistemi informatici a scopo malevolo. A volte si limitano a rubare dati, altre volte si arricchiscono a scapito dei conti correnti di ignari proprietari, altre volte ancora s’intromettono nei sistemi automatizzati a scopo di terrorismo. Quelli sono i più cattivi di tutti perché a volte incendiano le fabbriche ed inquinano fiumi. Altre volte fanno precipitare gli aerei2 o provocano sinistri tra le nostre automobili autonome3.

Dopo una breve sosta per un sorso d’acqua fresca, il nonno continua...

Bisognava correre ai ripari e, nelle prime due decadi del secolo scorso (nota: mi riferisco al XXI secolo, quello che va dal 2001 d.C. al 2100 d.C.), le aziende iniziarono a proteggersi. Vennero creati gruppi di risposta alle emergenze informatiche4 e li popolarono con le migliori professionalità: nacquero i “blue team” della cyber-security. Sono loro che usano i sistemi di monitoraggio e aiutano gli amministratori a mantenere aggiornate le misure di sicurezza di reti e sistemi5. Ogni attività strana o sospetta viene intercettata dai loro potenti strumenti6 che scansionano miliardi di pacchetti digitali e scovano ogni anomalia che rappresenta un indizio di un’infezione messa in opera dai black hat. Se c’è un incidente, i blue team sono i primi ad intervenire. Svolgono indagini per identificare l’attaccante e scoprono le falle che hanno permesso di assestare il colpo. Il cloud è un posto più sicuro quando loro sono a lavoro. Sono le guardie armate della rete”.

La realtà è che purtroppo, troppo spesso, ci si deve accontentare di chiudere la stalla quando i buoi sono già fuggiti. Sarebbe meglio prevenire ma, per farlo bisognerebbe esser capaci di prevedere.

E’ ovvio che per prevedere l’attacco bisogna padroneggiare le tecniche degli attaccanti. Ma chi può farlo? Gli informatici sono addestrati a far funzionare i loro sistemi, gli amministratori sono addestrati a proteggerli e la cyber-polizia è addestrata a difendere, indagare e reprimere. Nessuno di loro sa come attaccare.

Così, alla fine ci si rese conto che per battere i black hat servivano degli hacker che mettevano le loro tecniche al servizio dei buoni. Fu allora che comparvero i “cappelli bianchi”.

I white hat sono coloro che violano i sistemi informatici allo scopo di informare i proprietari delle vulnerabilità. Sono come dei ladri assunti dal proprietario della banca che, allo scopo di testare i sistemi di sicurezza, provano ad entrare nella cassaforte ed uscire con una refurtiva simulata. In questo modo chi ha il compito di tenere il muro solido studia le migliori tecniche di costruzione; il fabbro che costruisce la cassaforte la dota di una porta anti-sfondamento con una chiave robusta; la guardia all’ingresso si addestra a riconoscere i comportamenti sospetti; la polizia impara ad intervenire per interrompere il crimine prima che sia troppo tardi e il direttore adotta regole atte a minimizzare il rischio e a gestire la crisi. Fuori dalla metafora, i white hat verificano che i programmatori e gli amministratori di rete abbiano reso robusti i loro sistemi7, le chiavi ed i protocolli crittografici siano inattaccabili8, i blue team si addestrino a riconoscere attività malevole, i manager imparino a calcolare i rischi, allochino le risorse e sviluppino politiche aziendali idonee a gestire gli incidenti.

Quando i white hat diventano parte di un’organizzazione, si costituiscono in red team. Loro studiano e si documentano di continuo. Devono sempre stare un passo avanti a tutti perché nel cyber domain arrivare secondi equivale ad arrivare ultimi. Per questo, sviluppano procedure dinamiche e flessibili. Hanno una catena di comando e controllo cortissima per evitare che i loro segreti arrivino a chi non deve sapere.

Ma questo apre ad un grosso rischio. Giovenale si chiederebbe “Quis custodiet ipsos custodes?” ovvero “chi controlla i controllori”? La risposta sarebbe complessa ma ad un bambino la spieghiamo semplice9. Nessuno può farlo10. Quindi, il red team deve avere livelli di moralità indiscussa e godere della massima fiducia dei vertici.

Pur di rimandare ancora un po’ l’ora in cui si spegne la luce, i nostri nipotini, inevitabilmente ci faranno un’altra domanda:

Bis-bis-nonno, come si diventa un white hat?

Noi parleremo di una leggenda che narra di black hat che abbandonano il lato oscuro per tornare alla luce ma questo, forse, è stato possibile all’inizio. Oggi nessuno autorizza di buon grado il ladro-sedicente-pentito a forzare la propria serratura e, con la domanda del mercato, l’offerta ha iniziato ad organizzarsi per formare professionisti nel settore. Con questo spirito sono nati i corsi di Hacker Etico. Il problema è che queste certificazioni sono basate sulla conoscenza semantica. Un famoso meme recita: “ho messo bene 93 crocette su 100! Questo fa di me un Ethical Hacker!”. Mi spiace infrangere un così bel sogno ma no, purtroppo le cose sono più complicate di così.

Da quando la cyber-security ha raggiunto una maggiore maturità esistono corsi e certificazioni che portano ad imparare i rudimenti e valutano le competenze dei professionisti.

La certificazione più richiesta è quella data dalla Offensive Security che, al termine del corso dallo stampo meramente pratico11 sottopone ad un esame della durata di 24 ore. È una specie di gioco “ruba bandiera”. Si pratica in un ambiente virtuale appositamente preparato. In breve, si deve riuscire ad aggirare le misure di sicurezza di alcuni computer remoti e leggere la stringa segreta di codice. È un esame difficile in cui si dimostrano competenze tecniche e resilienza alla fatica. Si corre contro il tempo. Però, il corso dà soltanto i rudimenti e poi, da lì in avanti si deve sbattere la testa e trovare la soluzione degli enigmi. Il loro motto è “try harder” ovvero “impegnati di più”. La filosofia è che in internet c’è tutto, bisogna solo saper trovare la soluzione al problema12. Questo è l’approccio “fare per capire”.

Da un’idea completamente opposta, “capire per fare”, nascono i corsi della SANS (certificazioni GIAC) e della eLearnSecurity. Ma le similitudini tra queste ultime due aziende finiscono qui. I corsi della SANS13 sono più tradizionali. Si strutturano in due fasi, una frontale in presenza ed una basata su manuali. L’eLearnSecurity, invece, è solo online. Prima s’impara la teoria tramite migliaia di lastrine contenenti un paio di concetti ciascuna, poi si guardano i video di chi opera con gli strumenti descritti ed infine si svolgono i laboratori pratici. In caso di difficoltà ci sono i forum interni per cercare o chiedere risposte.

Così facendo si costruisce un bagaglio culturale che si traduce in un metodo di lavoro. È vero che su internet c’è tutto ma c’è anche il contrario di tutto e se non si conoscono i migliori strumenti e le migliori pratiche chiunque si può perdere nella nuvola.

Nel suo intento di accompagnare i discenti nelle loro scelte, la eLearnSecurity consiglia dei Training Paths, ovvero dei percorsi formativi che consentono ai professionisti della cyber-security di raggiungere una certa maturità. I percorsi proposti vanno dalla difesa aziendale e la risposta agli incidenti (Blue team), al Network e Web Application Pentester14 (Red Team).

Essendo Cappuccetto innamorata del colore “rosso”, decise che il primo corso che avrebbe frequentato sarebbe stato il Penetration Testing Student. Dopo aver letto e riletto tutto il materiale aveva deciso di acquistare i laboratori e l’esame per testare e certificare le competenze acquisite”.

Non è un corso facile ma può essere seguito e superato da chiunque abbia voglia di impegnarsi per qualche mese, guardare video e tutorial, provare laboratori didattici. L’esame si svolge in un ambiente realistico e dura tre giorni, è elementare ma non scontato, impegnativo ma non frustrante. Si va di corsa ma senza fretta. Bisogna trovare il modo di violare un server web configurato male e sfruttare questa “porta” per accedere all’area privata. Una volta dentro al perimetro, trovarvi le vulnerabilità ed estrapolare dati sensibili.

Lei era stata una studentessa diligente e, grazie ai tanti appunti presi, la conoscenza della teoria e la competenza data dalle prove nei laboratori, Cappuccetto Rosso aveva ottenuto la prima certificazione prestigiosa: lei era diventata un eJPT, ovvero un “eLearnSecurity Junior Penetration Tester”.

Essendo che il mondo del lavoro della cyber-security è più affamato del lupo, dopo pochi giorni aveva iniziato a ricevere offerte ed aveva trovato un lavoro. Aveva sperimentato le attività di OSINT15, si era sentita un’agente del controspionaggio16, aveva trovato informazioni sensibili che, senza l’autorizzazione dei propri clienti, erano state sottratte. Aveva testato sistemi e reti individuando falle e vulnerabilità. Le aveva segnalate ai colleghi del blue team i quali avevano preso provvedimenti per rendere la loro fetta di mondo virtuale più robusta. Con l’esperienza maturata da giovane hacker del Red Team (e tanta voglia di mettersi in gioco), era pronta per iniziare nuove sfide ed intraprendere il processo eCPPT e diventare una Professional Penetration Tester Certificato. Lì avrebbe imparato nuove tecniche e raggiunto nuovi traguardi che le permetteranno di acquisire, un giorno, la certificazione da Penetration Tester eXtreme17.

Poi un giorno Cappuccetto Rosso si accorse di essere cresciuta, sposò un hacker pentito ed assieme ebbero tanti figli… e tutti vissero felici e contenti.

Ora è tardi però, dunque a dormire caro nipotino mio...


Fabrizio Colalongo


1 Questa distinzione è molto comune ma è considerata superficiale dagli operatori del settore.

2 Nessun incidente di questo tipo si è ancora verificato.

3 Molti organi d’informazione già da anni danno notizie in tal senso.

4 Computer Emergency Response Team.

5 Si tratta di una semplificazione, i compiti dei Blue Team sono innumerevoli.

6 Ad esempio i SIEM: Security Information And Event Management: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.

7 Fase di hardening: idealmente il codice di programmazione dovrebbe essere privo di vulnerabilità (es. buffer overflow) e i sistemi di rete devono prevedere strumenti di protezione (es. firewall, policy, ecc.). Purtroppo, per ragioni di economicità e funzionalità una certa dose di rischio dev’essere sempre accettata.

8 La crittografia è una branca piuttosto complessa della matematica teorica. La sicurezza dipende da molti fattori eterogenei. La segretezza perfetta esiste ma è inapplicabile in un contesto reale pertanto dev’essere accettata una certa dose di rischio che i matematici sanno calcolare. Sviluppare i propri codici crittografici è pericoloso ma piuttosto diffuso tra i crittografi in erba, gli hacker sanno sfruttare queste falle. Per approfondimenti si rimanda a “Jonathan Katz, Yehuda Lindell - Introduction to Modern Cryptography_ Principles and Protocols-Chapman and Hall”.

9 La scienza del diritto applicata all’informatica e specializzata in cyber.

10 Anche qui si fa una semplificazione, il red team agisce in forza di un contratto molto preciso che definisce in maniera puntuale i limiti. L’eccedere tali limiti può comportare conseguenze civili e pesanti sanzioni penali.

11 PWK - Penetration testing With Kali Linux.

12 È stata presa da esempio la prima delle certificazioni della Offensive Security, ovvero la OSCP (Offensive Security Certificated Professional). L’offerta di questa prestigiosa azienda si arricchisce di altri corsi ancora più pregiati e difficili tutti orientati alla formazione di stampo offensive, ovvero red team.

13 La SANS offre corsi prestigiosissimi, ma dal costo molto elevato, in ogni campo della cyber-security.

14 Breve di PENetration TESTER.

15 Open Source INTelligence.

16 Sull’argomento si rimanda ad un mio precedente articolo: “mi chiamo security, cyber-security. Google Hacking e Shodan: l'intelligence che non ti aspetti”.

17 Le seguenti precisazioni sono d’obbligo:

  • Nessuna certificazione prova di per sé l’abilità dell’operatore di cyber-security, il percorso del penetration tester è principalmente basato sull’esperienza sul campo;

  • Esistono percorsi di formazione altrettanto validi rispetto a quelli descritti; il racconto è basato sulla esperienza personale dell’autore e non ha alcun valore scientifico;

  • Il fine dell’articolo non è pubblicitario e non c’è alcun legame tra l’autore, l’editore e le aziende che forniscono corsi e certificazioni.

mercoledì 9 dicembre 2020

EU Strategic Compass

In questi giorni l'Unione Europea sta discutendo della strategia militare futura. L'iniziativa in questione si chiama "Strategic Compass" e, come dice il nome, dovrebbe definire la rotta per il futuro dell'Unione Europea in campo militare e non solo. 

Se ne parla nei principali forum internazionali e nei think tank di Francia, Germania, Spagna e... allora vediamo di capire assieme di che cosa si tratta e del perché è importante.

Lo Strategic Compass è una delle iniziative più importanti e dibattute in merito alla Sicurezza e Difesa dell'Unione Europea nel corso della attuale presidenza tedesca del Consiglio Europeo. 

L'iniziativa ha lo scopo di formulare una prima analisi congiunta dei rischi relativi a sicurezza e Difesa dell'UE, di trovare un accordo su degli obiettivi strategici chiari e raggiungibili per rafforzare l'unione e dovrà inoltre fungere da guida politica per il futuro processo di pianificazione militare. Il documento evidenzia le sfide, le idee e le raccomandazioni in merito ai quattro basket individuati: gestione delle crisi, resilienza, sviluppo capacitivo e partnership. 

Sul sito del DGAP (German Council of Forein Relations - Deutsche Gesellschaft für Auswärtige Politik), il principale forum tedesco indipendente attivo dal 1945 che si occupa della politica estera del paese, lo scorso 11 novembre è stato pubblicato un articolo riassuntivo relativo al EU Strategic Compass, unitamente al report. Dall'articolo apprendiamo che il 21 settembre la DGAP e il Ministro della Difesa tedesco hanno ospitato un workshop sullo EU Strategic Compass e sui suoi quattro basket. All'evento erano invitati i principali think-tankers europei. 

Il dibattito era guidato da tre domande di fondo:

- quali argomenti dovrebbero essere trattati a livello strategico nei quattro basket tematici?

- è possibile individuare dei punti relativi alla diversa percezione del rischio da parte dei singoli stati membri?

- quali misure sono necessarie affinché l'iniziativa (lo Strategic Compass) possa rappresentare un reale valore aggiunto per l'Unione Europea?   

La discussione ha permesso di approfondire le questioni strategiche relative a sicurezza e difesa dell'Unione Europea, individuando alcuni elementi chiave trasversali a tutti e quattro i basket. 

Si tratta di concetti generali. 

Il primo di questi è relativo alla espansione dell'agenda dell'UE per i temi della sicurezza e Difesa. Espansione che riguarda sia il numero delle crisi in Europa, sia il numero sempre crescente delle nuove capacità da sviluppare, sia la complessità dei domini in cui si opera.   

Il secondo concetto riguarda l'attesa o l'aspettativa che si ripone sulla capacità dello Strategic Compass di fungere da guida. In effetti questo dovrebbe essere lo scopo fondamentale. 

Infine, è stato posto in evidenza che il successo di questa iniziativa risale alla volontà degli stati membri di voler migliorare le cose, garantendone un seguito. Non è possibile pensare che allo scadere del semestre tedesco l'iniziativa si mantenga da sola, dovrà essere garantito l'impegno degli stati membri per i prossimi due anni, almeno.

Dalla discussione sono inoltre emerse delle raccomandazioni di seguito sintetizzate:  

1. E' necessario convergere su un ristretto set di priorità, ciò allo scopo di garantire una risposta alle crisi più veloce, unita ed efficace.

2. E' importante che i lavori sul dialogo strategico nel 2021 proseguano nel modo corretto prima di pensare di ristrutturare strumenti e istituzioni esistenti.

3. Occorre stabilizzare i progressi fatti nell'ambito dello Strategic Compass, mettendo in evidenza i risultati attraverso ulteriori documenti, per esempio un piano per l'aggiornamento e la realizzazione della sicurezza e difesa, come pure l'impiego di strumenti migliori per assicurare coerenza e conformità.

4. Ogni qualvolta possibile, deve essere applicato il principio di sussidiarietà, ma la resilienza dell'Unione Europea può essere raggiunta solo attraverso l'interazione di differenti livelli e attori: tra istituzioni UE, tra UE e gli stati membri, tra settore pubblico e privato, tra attori civili e militari, tra UE e NATO.

5. Nell'ambito dello sviluppo capacitivo, è molto importante impiegare la natura consensuale del Common Security and Defence Policy (CSDP) per lavorare a stretto contatto con gli stati membri che preferiscono impiegare il NATO Defence Planning Process (NDPP). E' necessario fare in modo che gli obiettivi stabiliti dal Consiglio Europeo siano tenuti in conto dagli stati membri. 

6. Occorre iniziare ad interrogarsi su come si può semplificare il processo di prioritizzazione delle capacità e come rafforzare le strutture politiche e l'integrazione tra expertise militare senza modificare i trattati e senza sconvolgere il panorama istituzionale esistente.

7. Bisogna attribuire le giuste priorità alle partnership in funzione della capacità di raggiungere obiettivi ben definiti.

8. Infine occorre rendere realmente complementari UE, NATO e ONU. Affrontare e definire il problema della suddivisione del lavoro tra partners, sia tra i membri della UE, sia all'interno della UE, sia tra civili e militari, a riguardo della resilienza e della gestione delle crisi.  

E' facile intuire che dietro ognuna delle raccomandazioni esiste un mondo di interessi legati allo sviluppo della società nell'Unione Europea, non solo militare ma anche e soprattutto civile. 

Per fare un esempio, il rafforzamento e la suddivisione dei compiti tra organizzazioni internazionali (al punto otto) avrà dei risvolti sulla definizione delle linee guida nello sviluppo dell'industria della Difesa (Europea ma anche, potenzialmente, mondiale). La stessa considerazione può esser fatta (sul punto cinque) in merito al processo di sviluppo capacitivo. Chi tra gli stati saprà meglio interpretare i regolamenti futuri meglio saprà garantire sviluppi alla filiera nazionale. Può sembrare egoistico, ma è così. Quando si parla di sicurezza si parla implicitamente o esplicitamente di Base Industriale e Tecnologica della Difesa. Chi meglio saprà indirizzare gli investimenti europei sarà più capace di agevolare l'industria nazionale, in ottica europea ma pur sempre nazionale.

Ecco perché occorre partecipare alle discussioni attraverso tutti i mezzi, condividere le informazioni con i think-tank nazionali e Europei e, in definitiva, fare "influenza". 

Non è detto che con il prossimo cambio della presidenza semestrale del Consiglio Europeo l'iniziativa prosegua, ma qual è l'alternativa? Ricominciare daccapo per i prossimi sei mesi, e poi ancora per quelli successivi e cosi via? Pensiamoci bene... perché significa buttare tempo e lavoro, e nel frattempo altri paesi vanno avanti, sia in Europa sia, soprattutto, nel resto del mondo.    

Purtroppo in Italia, forse, si è troppo presi dalle "faccende di casa" per guardare oltre il proprio naso. Questo comportamento è spesso causa dei nostri mali: non lamentiamoci poi se gli altri Paesi decidono per noi!

Alessandro Rugolo

Per approfondire:

'Strategic Compass': EU considers military doctrine, new tank development | Reuters

Strategic Compass: Developing strategic principles - EU2020 - EN

The EU’s Strategic Compass and Its Four Baskets | DGAP

The EU's Strategic Compass - GERMAN-FOREIGN-POLICY.com (german-foreign-policy.com)

Can the EU's Strategic Compass steer European defence? | Centre for European Reform (cer.eu)

'Strategic Compass': EU considers military doctrine, new tank development - Metro US

The EU Global Strategy: A compass for our action in difficult times - European External Action Service (europa.eu)

domenica 6 dicembre 2020

Esoscheletri, facciamo il punto

Conosciamo il concetto di esoscheletro dai film di fantascienza e dai fumetti, ma non dimentichiamo che anche la natura ha i suoi esempi: le conchiglie dei molluschi, per esempio, sono un tipico esempio di esoscheletro di protezione. 
Il termine deriva dal greco, significa infatti "scheletro esterno".
Si sa che l'uomo ha sempre cercato di imitare la natura in alcune sue funzioni, spesso per migliorarle e sfruttarle a suo vantaggio.
Quali vantaggi potrebbe dare, alla razza umana, un esoscheletro aggiuntivo?
Tanti. 
In primo luogo se pensiamo alla conchiglia di prima, pensiamo immediatamente alla funzione di protezione. 
Possiamo poi immaginare che essere dotati di un esoscheletro ci aiuti ad esempio a sollevare dei pesi e a trasportarli, in questo caso svolge una funzione di potenziamento.
In entrambi i casi si tratta di funzioni utili sia nel mondo militare che civile. 
Vediamo dunque di capire cosa sta succedendo nel mondo, ricordando che nel 2017 il Generale Mark A. Milley, Capo di Stato Maggiore dell'Esercito US, ha annunciato di voler introdurre in servizio gli esoscheletri e che molte delle innovazioni in questo campo vengono dal mondo militare. 

Un po' di storia     

Dobbiamo risalire al 1800 per vedere i primi esempi di esoscheletri cosi come li intendiamo oggi. Senza risalire agli antichi autori o all'opera di Leonardo da Vinci relativa al volo umano, nel 1830 un inventore inglese, Robert Seymour, propose il concetto di uno strumento a vapore, indossabile, che aiutasse le persone a camminare. Nel 1889 è la volta di un inventore americano, Ira C.C. Rinehart, sempre con l'idea di una macchina che aiutasse a camminare. Nello stesso anno un ingegnere russo, Nicholas Yagn, progettò un dispositivo che consisteva in lunghe molle ed aiutava chi lo indossava a correre e saltare. 

Dobbiamo avvicinarci ai giorni nostri per trovare qualcosa che faccia uso dei progressi fatti in campo tecnologico. 
Gli esoscheletri infatti, possono essere passivi o alimentati. Già nell'Ottocento si tentò di applicare la macchina a vapore agli esoscheletri ma la tecnologia di allora non consentiva reali vantaggi. 
  
Negli anni '60 (del 1900) le cose cambiano, la tecnologia è molto migliorata in molti campi applicativi e la società General Electric sviluppa un esoscheletro che chiamò "Hardiman", da: "Human Augmentation Research and Development Investigation Manipulator".
Si trattava di un progetto che incrementava la potenza di un uomo consentendogli di manipolare oggetti molto pesanti. Venne realizzato uno scheletro metallico che utilizzava dei meccanismi idraulici ed elettrici per muoversi seguendo i movimenti dell'uomo che lo indossava. La struttura si dimostrò interessante ma ancora troppo pesante (1500 libbre, ovvero 680 kg) per poter essere impiegata in ambito militare. 
In Serbia, negli stessi anni, operava lo scienziato Miomir Vukobratovic che approfondì le leggi dei sistemi di locomozione assistita, alla base degli attuali studi sugli esoscheletri. 


Negli anni '80 Jeffrey Moore, dei Los Alamos National Laboratory propose il progetto "Pitman", concepito per aumentare le capacità dei soldati americani. Nel suo studio era anche previsto un casco che incorporava dei sensori per raccogliere dati dal cervello dell'utilizzatore. Il progetto non era finanziato dal DoD.

Uno dei primi progetti sugli esoscheletri moderni, finanziato stavolta dal DoD, è conosciuto col nome di BLEEX (Berkeley Lower Extremity Exoskeleton). Il progetto del professor Kazerooni mirava a sviluppare un esoscheletro che potesse aiutare i soldati a trasportare pesi su lunghe distanze e per periodi di tempo elevati, minimizzando lo sforzo.

Qualche anno dopo, sempre negli Stati Uniti, viene sviluppato il progetto Sarcos Exoskeleton. Il progetto fu sviluppato dalla Sarcos Research Corporation, spin off dell'Università dello Utah e poi trasferito alla Raytheon. 


Non solo gli Stati Uniti sono in corsa per lo sviluppo  degli esoscheletri. 
In Giappone, per esempio, presso la Università di Tsukuba ed in collaborazione con la Cyberdyne Systems Company, nel 1997 è stato sviluppato il progetto Hybrid-Assistive Leg (HAL), un esoscheletro alimentato a batterie, studiato per assistere gli anziani e i pazienti negli spostamenti in ospedale e nella riabilitazione dei pazienti.  

Per arrivare ai giorni nostri, presso il US Army Natick Soldier Research, Development and Engineering Center (NSRDEC/Soldier Center) è in corso un programma della durata di 48 mesi (e del valore di circa 7 milioni di dollari), che mira a sviluppare un numero sufficiente di esoscheletri tale da consentire una valutazione operativa (in campo militare) da tutti i punti di vista. 

Il progetto serve a verificare la validità degli esoscheletri attualmente in commercio nel campo operativo militare. 
Tra le società che lavorano al progetto vi è la Lockheed Martin, con il suo esoscheletro Onyx, studiato per migliorare la forza e la resistenza del soldato.
Si tratta di un esoscheletro per la parte inferiore del corpo umano, dotato di sensori e di un programma di intelligenza artificiale.

Da una start-up americana fondata nel 2016 nasce il Exo-Boot, più che un esoscheletro una tecnologia applicata agli anfibi da combattimento.

Un vero esoscheletro completo è invece il XOS2 della Raytheon/Sarcos.
Questo è un sistema per incrementare la forza del soldato e consentirgli di sollevare e trasportare circa 100 kg.
Uno degli esoscheletri più leggeri è stato presentato dalla Australian Defence Science and Technology Organization. Il dimostratore sembra dare risultati incoraggianti.
Questa volta non si tratta di un dispositivo che aumenta la forza del soldato ma di un dispositivo che mira a ridurre la fatica trasferendo il peso dei carichi trasportati direttamente a terra attraverso due cavi Bowden.
A differenza di altri esoscheletri, non necessita di alimentazione esterna, pesa solo 4 chili ed è facilmente indossabile.
Inoltre è a basso costo, cosa di un certo interesse in periodo di economia.

Vi sono diverse iniziative nel mondo, sempre più importanti, legate al mondo degli esoscheletri.
Tra queste segnaliamo Berlino, dove il prossimo ottobre 2021 si terrà la terza edizione della Exo Berlin, evento legato agli esoscheletri e ai sistemi di potenziamento umano.

E in Italia?

L'Italia, almeno nel campo industriale, è presente. La Comau, società torinese attiva nel campo industriale da oltre 45 anni, ha sviluppato un esoscheletro per i lavoratori dell'industria. Si tratta di un esoscheletro indossabile per la parte superiore del corpo conosciuto col nome di MATE.  

Tutto questo fermento fa pensare che a breve gli esoscheletri lasceranno i film e i fumetti per entrare a far parte del mondo militare e civile con forza, grazie ai nuovi materiali sempre più leggeri e resistenti ma soprattutto alle tecnologie di alimentazione portatile e della sensoristica.

Naturalmente ogni sviluppo di capacità ha un suo rovescio.
L'impiego degli esoscheletri sul campo di battaglia potrà infatti essere contrastato, oltre che con l'impiego di armi convenzionali, sia con l'impiego di tecniche di cyber war sia con l'impiego di tecniche di electronic warfare.
Non dimentichiamo infatti che il potenziamento del soldato è ottenuto attraverso l'impiego di sistemi elettronici, digitali e interconnessi.

Alessandro RUGOLO

- https://www.army-technology.com/features/us-army-exoskeletons/;
- https://exoskeletonreport.com/2019/01/understanding-the-army-case-for-exoskeletons/
- https://www.popsci.com/read/exoskeletons-used-in-military;
- https://medium.com/@limm/exoskeletons-available-to-buy-and-use-in-2020-industry-overview-e84fa40b0778;
- https://humanparagon.com/powered-exoskeletons/;
- https://www.thoughtco.com/exoskeleton-for-humans-1991602;
- https://www.roboticsbusinessreview.com/robo-dev/exoskeletons-uses-beyond-healthcare/
- http://cyberneticzoo.com/man-amplifiers/1966-69-g-e-hardiman-i-ralph-mosher-american/
- https://www.aivanet.com/2014/01/ges-bringing-good-things-and-massive-robots-to-life/
- https://www.darpa.mil/news-events/2015-10-21
- https://www.army-technology.com/news/nsrdec-lockheed-onyx-exoskeleton/
- https://www.dst.defence.gov.au/opportunity/operational-exoskeleton-ox
- https://exoskeletonreport.com/2019/12/guardian-xo-alpha-up-close-and-personal-with-the-sarcos-robotics-full-body-powered-exoskeleton/
- https://www.exo-berlin.de/


venerdì 4 dicembre 2020

Quantum Supremacy alla Cina?



Già da tempo abbiamo iniziato a parlare dell'evoluzione della tecnologia quantistica applicata ai computer e agli algoritmi crittografici. Tre anni fa abbiamo parlato in un articolo del "post-quantum crypto project", progetto americano che mira a contrastare l'impiego di tecnologie quantistiche, studiando nuovi algoritmi di cifratura, teoricamente più robusti degli attuali.

Nel 2019 Alessandro Fiori ha ripreso l'argomento con un bell'articolo che ripercorre velocemente la storia della crittografia per arrivare allo stato dell'arte del quantum computing, nel quale si è parlato, tra l'altro, del progetto cinese QUESS, grazie al quale la Cina mira a creare una rete di telecomunicazioni satellitari sicura.

A luglio di quest'anno Mario Raso ha ripreso l'argomento con un articolo sull'impiego di algoritmi (Grover, Shor...) per rompere la cifratura attraverso l'uso di computer quantistici in tempi relativamente brevi se comparati a quelli impiegati da computer classici o da supercomputer.

Chi segue l'evoluzione tecnologica si è accorto che in questo campo si procede oramai molto velocemente, complici gli enormi finanziamenti stanziati dalle superpotenze per ottenere un vantaggio strategico ineguagliabile.

Google lo scorso anno ha annunciato di avere realizzato un computer quantistico (Sycamore) capace di effettuare delle operazioni in un tempo di 200 secondi che un supercomputer classico riesce a compiere in 10.000 anni. Già si parlava allora di "Quantum Supremacy" americana...

Ma ora alcuni scienziati cinesi dell'agenzia statale Xinhua affermano di essere riusciti a creare un computer quantistico capace di eseguire i calcoli del computer di Google con una velocità 10 miliardi di volte superiore. Naturalmente stiamo parlando di ricerche d'avanguardia e di problemi specifici e non di capacità generali. Il problema del caso trattato è conosciuto col nome di "Boson sampling" e riguarda il riconoscimento (o la previsione) di un determinato comportamento dovuto ad una particolare caratteristica dei fotoni.

La Cina sta investendo circa 10 miliardi di dollari nel progetto del National Laboratory for Quantum Information Sciences, una infrastruttura mastodontica distribuita su una superficie di 37 ettari nella città di Hefei, nella provincia di Anhui. Un progetto enorme che attirerà i migliori scienziati del settore, non solo cinesi.
Qualche mese fa la società cinese Origin Quantum (con sede a Hefei) ha annunciato il lancio della sua piattaforma cloud quantistica basata sul computer quantistico superconduttore a 6 qubit Wuyuan. La stessa società stà lavorando su un processore a 24 qubit. 

USA e Cina continuano la corsa verso quella che è chiamata "Quantum Supremacy" e che darà un vantaggio irraggiungibile nei campi più disparati, dal mondo militare e della Difesa, alla medicina e più in generale al modellamento di sistemi complessi nel settore civile. 


Alessandro Rugolo

Per approfondire:

Chinese Scientists Claim Breakthrough in Quantum Computing Race - Bloomberg;

Quantum Computing e Crittografia - Difesa Online

Chinese scientists claim breakthrough in quantum computing race (hindustantimes.com)

Google claims ‘Quantum Supremacy’ with Sycamore chip that out-computes modern supercomputers (hindustantimes.com)

Chinese claim to have built a quantum computer 100 trillion times faster than the world’s most advanced supercomputer – The Muslim Times

Quantum computational advantage using photons | Science (sciencemag.org)

A quantum computer that measures light has achieved quantum supremacy | New Scientist

China scientists say they've achieved a quantum computing breakthrough | Fortune

China is opening a new quantum research supercenter | Popular Science (popsci.com)

China Focus: Chinese scientists expect better development of quantum science and technology - Xinhua | English.news.cn (xinhuanet.com)

Origin Quantum launches superconducting quantum computing cloud platform- China.org.cn




domenica 29 novembre 2020

Cloud e Confidential Computing...


Da anni gli esperti di sicurezza informatica di società private e organizzazioni pubbliche si trovano di fronte alla spinta innovativa di nuovi servizi, genericamente individuati sotto la categorizzazione di Cloud Services. Servizi che promettono la riduzione dei costi e un maggiore livello di sicurezza. 

Come potete ben capire, ogni soluzione che promette il paradiso deve essere valutata attentamente, io direi che in questi casi occorre essere scettici e approfondire. Spesso infatti le vulnerabilità dei nuovi sistemi si presentano a sorpresa, e di solito non immediatamente.

Oggi ho letto un interessante news di AMD che annuncia un accordo con IBM nel campo del Confidential Computing e dell'Intelligenza Artificiale. 

Mentre tutti sanno cosa si intenda per Intelligenza Artificiale (o quanto meno ne hanno sentito parlare), probabilmente non sono in tanti a sapere cosa si intenda per Confidential Computing.

Il Confidential Computing è una tecnologia di calcolo in cloud che consente di isolare i dati sensibili durante il loro processamento in cloud. I dati infatti necessitano di essere protetti in diversi momenti: quando sono conservati nei database, quando si muovono lungo le reti e, infine ma non meno importante, quando sono processati. 

Per quanto riguarda la protezione nei database e lungo le reti si impiegano generalmente tecniche di cifratura, ma quando i dati vengono processati (in linea di massima) devono essere in chiaro e ciò è un rischio da tener presente. Le tecnologie di Confidential Computing si occupano appunto della sicurezza dei dati in fase di processamento in ambiente cloud.

Qualcuno potrebbe chiedersi se il Confidential Computing è importante (o in altri termini se e quali siano i rischi che si corrono impiegando tecnologie cloud), ebbene la risposta è possibile trovarla nei report delle società che si occupano di analisi dei rischi cyber, tra queste ne cito solo una, la McAfee, che è molto conosciuta in quanto produttrice di un antivirus. Se andiamo a leggere il report "Cloud adoption and Risk Report" è possibile capire meglio quali siano le tendenze in merito ai rischi collegati all'adozione del Cloud e quindi capire quali rischi si corrono nell'impiegare tecnologie cloud. 

Non tutti leggeranno il report, ma posso dirvi in due parole che i rischi esistono e se ne deve tener conto. Non lo dico solo io (chi sono io per farlo?) ma lo affermano le stesse società che forniscono servizi in cloud, con il loro comportamento.   

Per confermare quanto detto sopra diamo uno sguardo ad un consorzio nato recentemente: il "Confidential Computing Consortium" (CCC), della Linux Foudation. Il CCC ha come scopo quello di approfondire la sicurezza dei sistemi e tecnologie cloud ed è un consorzio cui prendono parte Alibaba, ARM, Baidu, IBM, Intel, Google, Microsoft, Red Hat, Swisscom e Tencent. Chi ha una minima idea di cosa rappresentino queste società può capire quanto sia importante il "problema" del Confidential Computing.

Chiudo questo articolo con una semplice domanda: quando i dati venivano processati da software proprietari su infrastrutture informatiche detenute dal cliente, era il cliente che doveva garantire il mantenimento di un ambiente sicuro per i suoi dati e che rispondeva per ciò che accadeva, anche di fronte alla legge, ma ora? Ora i dati sono del cliente, ma i servizi sono esterni (sul cloud) e l'infrastruttura informatica è il Cloud (almeno nel caso del SaaS), gestito in tutto e per tutto dal fornitore dei servizi... chi risponde per la loro sicurezza?

Sia chiaro, negli ultimi anni organizzazioni e società di tutti i tipi hanno dimostrato, spesso e volentieri, di non essere capaci di proteggere i propri dati e le infrastrutture, complici la complessità, la velocità di cambiamento delle tecnologie e gli scarsi investimenti in formazione e aggiornamento tecnologico. 

La responsabilità in caso di incidente informatico in ambiente cloud è, per certi aspetti, condivisa, cliente e fornitore di servizi devono dunque lavorare assieme, e la cosa non è facile.

Credo che la risposta sia comunque da ricercare tra le righe del CCC. Ecco perché le principali società fornitrici di servizi cloud a livello mondiale stiano lavorando assieme per definire nuovi standard di sicurezza in cloud.


Alessandro Rugolo

Per approfondire:

IBM and AMD Announce Joint Development Agreement;

IBM And AMD Announce Joint Development Agreement To Advance Confidential Computing For The Cloud And Accelerate Artificial Intelligence - BW CIO (businessworld.in);

What is Confidential Computing? | IBM;

Vast majority of cyber-attacks on cloud servers aim to mine cryptocurrency | ZDNet;

Data in Cloud is more exposed to Cyber Attacks than in organizations - Cybersecurity Insiders (cybersecurity-insiders.com)

- SaaS: Software-as-a-Service (SaaS) Definition (investopedia.com)

sabato 21 novembre 2020

Microsoft Pluton, per un mondo più sicuro


Qualche giorno fa la Microsoft ha presentato al mondo la sua ultima novità: Microsoft Pluton.

Annunciato in collaborazione con i principali costruttori di processori della Silicon Valley, AMD, Intel e Qualcomm, questa volta non si tratta di un nuovo Sistema Operativo ma di un processore. 

Un processore che promette di cambiare sostanzialmente il panorama della sicurezza informatica mondiale.

Microsoft Pluton è un processore che si avvale della tecnologia di sicurezza "chip-to-cloud", già impiegata in precedenza per la sicurezza della Xbox e di Azure Sphere IoT.

Fino ad oggi, dicono gli esperti, nei PC Microsoft i dati più sensibili quali le chiavi di cifratura (e altri dati impiegati per verificare l'integrità del sistema) sono stati conservati nel TPM (Trusted Platform Module), un chip appositamente studiato per la sicurezza del sistema, capace di svolgere operazioni in ambiente sicuro. Tale sistema sembra possa avere però delle falle in quanto il chip è collegato tramite bus di comunicazione che, nel caso in cui si possa avere accesso al PC, rappresenta il punto debole.


Per risolvere il problema legato alla necessità di un canale di comunicazione sicuro, il nuovo Microsoft Pluton integra un equivalente del TPM all'interno del processore stesso. 

Inoltre Microsoft Pluton impiega una nuova tecnologia di cifratura, Secure Hardware Cryptography Key (SHACK) che fa si che le chiavi di cifratura non siano mai esposte all'esterno dell'hardware sicuro.

Grazie a Project Cerberus, che lavora in simbiosi con il processore Microsoft Pluton, è stato possibile innalzare il livello di sicurezza complessivo della piattaforma.

Un ulteriore problema di sicurezza affrontato dalla nuova architettura è quello della distribuzione degli aggiornamenti del firmware. Pluton infatti fornisce una piattaforma aggiornabile che implementa funzionalità di sicurezza end-to-end, gestite direttamente da Microsoft, in cui è possibile eseguire il firmware.

Come potete capire, si tratta di numerose innovazioni, che stravolgono il mondo della sicurezza informatica in cui, più o meno consapevolmente, abbiamo vissuto negli ultimi dieci anni.

Sono certo che le intenzioni sono buone. Cercare di migliorare le caratteristiche della architettura di sicurezza per rendere più difficile l'accesso alle informazioni critiche ad estranei è un obiettivo condivisibile.

Dal mio punto di vista bisognerà vedere cosa accadrà in realtà. Ricordo infatti quando fu introdotto il TPM, festeggiato da tutti come una grande innovazione, ora considerato non più adatto. In effetti se si va a vedere, il TPM continuerà ad esistere ma sarà virtualizzato... sarà meglio? 

Vi saranno problemi di compatibilità con alcune tecnologie di sicurezza che ne fanno uso, per esempio Bitlocker ? 

E che dire della possibilità di Microsoft di aggiornare centralmente il firmware di milioni di processori? Una funzione talmente potente da rappresentare un rischio elevato in se stessa, delegata direttamente al proprietario del Sistema Operativo... è opportuno? E' saggio? Per la Microsoft è una soluzione, per l'utente comune probabilmente è  conveniente o almeno non è un problema, ma per una grossa organizzazione?

Occorre riflettere ed approfondire. Senza pregiudizi ma senza cantare vittoria troppo presto...

Alessandro RUGOLO  

Per approfondire:

- https://www.microsoft.com/security/blog/2020/11/17/meet-the-microsoft-pluton-processor-the-security-chip-designed-for-the-future-of-windows-pcs/

- https://www.01net.com/actualites/microsoft-devoile-pluton-son-processeur-de-securite-integre-par-amd-intel-et-qualcomm-2006574.html

- https://www.futura-sciences.com/tech/actualites/securite-pluton-puce-microsoft-securiser-windows-84269/

- https://cisomag.eccouncil.org/microsoft-pluton-chip-to-cloud-security/

- https://unitech.ca/en/from-chip-to-cloud-endpoint-security-for-the-modern-workplace/

- https://github.com/opencomputeproject/Project_Olympus/blob/master/Project_Cerberus/Project%20Cerberus%20Architecture%20Overview.pdf