Traduttore automatico - Read this site in another language

martedì 2 marzo 2021

il caso SolarWinds, facciamo il punto

In un articolo del 14 dicembre 2020 abbiamo parlato di FireEye e di come sia stata hackerata. E' stata la stessa società, l'8 dicembre scorso, ad informare il pubblico di quanto accaduto.
Abbiamo quindi ripreso la notizia una settimana dopo con l'articolo di Ciro Metaggiata

Noi allora avevamo provato a porci qualche domanda sulla base di quanto era noto e ad abbozzare qualche risposta. Oggi, a quasi tre mesi dall'accaduto, possiamo provare a fare qualche passo avanti certi che dell'attacco, oggi noto come Solorigate, si continuerà a parlare a lungo.

Intanto è stato chiarito che l'attacco è avvenuto per il tramite di una società fornitrice di software per FireEye (e non solo!), la società si chiama SolarWinds ed è basata in Texas.

Una cosa che possiamo vedere immediatamente è l'effetto dell'attacco sulle due società: la FireEye ha mantenuto il valore delle sue azioni, che anzi è cresciuto mentre la SolarWinds ha perso!



Questo solo per dire che genere di "effetti" può avere un cyberattack, dal punto di vista economico per intenderci, se qualcuno ancora dovesse avere dei dubbi sugli effetti nel mondo reale. In questo caso gli effetti che ho mostrato sono solo quelli sul produttore del software, ma se dovessimo stimare le perdite economiche dovute a questo attacco la cosa dovrebbe comprendere l'analisi di circa 18.000 organizzazioni statali e non, e la cifra che verrebbe fuori potrebbe essere spaventosamente alta. Lasciamo correre.

SolarWinds ha sviluppato un prodotto che viene impiegato dai suoi clienti per aggiornare i sistemi. E' per esempio il caso di Microsoft e di tanti altri che utilizzavano il prodotto di SolarWinds conosciuto con il nome di "Orion", un prodotto impiegato da molte organizzazioni e società per gestire le risorse IT. Probabilmente ad inizio 2020 SolarWinds ha inviato degli aggiornamenti che contenevano una backdoor, cosa che ha consentito agli hacker di accedere ai sistemi, di esplorarli ed esfiltrare dati, ma probabilmente anche di modificare parte dei dati acceduti. Questo significa che gli hacker hanno avuto almeno sei mesi di tempo prima di essere scoperti. 

Secondo quanto riportato ultimamente dai giornali, gli investigatori ritengono che tra gli hacker vi siano elementi russi e che si sia trattato di una campagna di spionaggio. In merito c'è da dire che l'amministrazione Biden sta lavorando all'attribuzione dell'attacco. 

Tra le vittime, oltre a FireEye che ha denunciato per prima l'accaduto, si trovano alcune delle principali istituzioni americane tra cui il dipartimento di Stato, il Tesoro, Homeland Security, Energia e Commercio, National Institute of Healt, e National Nuclear Security Administration ma anche diverse società tra le più grandi al mondo elencate tra le Fortune 500, tra cui Microsoft, Cisco, Intel, Deloitte...

Secondo le analisi degli esperti, gli hacker una volta guadagnato l'accesso alle reti e sistemi delle vittime, in molti casi hanno manipolato una parte del software Microsoft chiamato "Active Directory Federation Services" che si occupa di rilasciare le "identità digitali" per gli utenti, chiamate "SAML Tokens". 

Ora la discussione, anche politica, si incentra sul fatto che questa tecnica di attacco era già conosciuta almeno dal 2017 quando un ricercatore israeliano, Shaked Reiner, descrisse questa tecnica di attacco con il nome di "Golden SAML Attack". Sono infatti in molti a pretendere spiegazioni sul perché le reti ed i sistemi americani non siano adeguatamente protetti nonostante gli ingenti investimenti sostenuti nel settore. 

Sono sicuro che vi sarà ancora molto da dire sul caso SolarWinds, però voglio concludere con una considerazione: la nostra società è sempre più dipendente da Internet e dai sistemi digitali. Dipendenza che però è sempre più messa sotto assedio dalla crescita dei rischi associati agli attacchi cyber. Probabilmente è arrivato il momento che gli Stati inizino a lavorare seriamente e assieme per ridurre i rischi attraverso una seria strategia condivisa a meno che non si voglia rischiare di cancellare gli ultimi 50 anni di sviluppo digitale per ricercare una nuova, sostenibile e sicura strada...

Alessandro RUGOLO

Per approfondire:

FireEye hackerata, da chi? - Difesa Online

Sunburst: una Pearl Harbor Cyber? - Difesa Online

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc

FireEye Discovered SolarWinds Breach While Probing Own Hack - Bloomberg

Inline XBRL Viewer (sec.gov)

SolarWinds hack: Biden administration says investigation is likely to take "several months" - CNNPolitics

WH will 'sharpen the attribution' with Russia after SolarWinds hack (nypost.com)

Here's a simple explanation of how the massive SolarWinds hack happened and why it's such a big deal (businessinsider.fr)

Golden SAML: Newly Discovered Attack Technique Forges Authentication to Cloud Apps (cyberark.com)

What is Solorigate - Cybersecurity Insiders (cybersecurity-insiders.com)

sabato 27 febbraio 2021

Multi-Domain Operations o Joint Operations ?

Ultimamente abbiamo sentito parlare, in diverse occasioni, di Multi-Domain Operations. Ma di che si tratta?

Anche in ambiente militare di tanto in tanto si rivedono i concetti e la dottrina. I cambiamenti della società portano a doversi adattare e in campo militare ciò significa analizzare e rianalizzare domini e modalità del fare la guerra.

Quando si parla di Multi-Domain Operations si parla in definitiva di operazioni joint, ma cerchiamo di capirne di più ripercorrendo la storia delle Multi-Domain Operations.

Il concetto è nato negli Stati Uniti d'America. Inizialmente se ne parlò nel documento dell'Esercito americano del dicembre 2017: "Multi-Domain Battle: Evolution of Combined Arms for the 21st Century, 2025-2040". 

Nel documento si afferma che il cambiamento del mondo circostante, l'emergere di nuovi soggetti definiti "pari" e i nuovi rischi cui sono soggette le Forze Armate americane fanno si che sia necessario un nuovo concetto, chiamato Multi-Domain Battle, che descrive come: "U.S. and partner forces organize, practice, and employ capabilities and methods across domains, environments, and functions over time and physical space to contest these adversaries in operations below armed conflict and, when required, defeat them in armed conflict" nel prossimo futuro 2025-2040. Il documento spiega che il nuovo concetto "Multi-Domain Battle" descrive come cambia l'ambiente e gli avversari, in quale modo gli avversari sistematicamente intendono raggiungere i loro fini strategici, i problemi specifici che questi portano alla Joint Force e ai partners e le modalità sistemiche per competere con i nuovi avversari e ove necessario, sconfiggerli. 


A fine 2018 il concetto cominciava a prender piede e con la sua diffusione negli ambienti Joint si cominciò a parlare sempre più di Multi-Domain Operations, così battezzate nel documento del dicembre 2018: "The U.S. Army in Multi-Domain Operations 2028". Lo scopo di questo documento è descrivere come l'Esercito statunitense  contribuisce al compito principale delle Joint Forces come descritto nel "Summary of the National Defense Strategy", ovvero scoraggiare e sconfiggere l'aggressione cinese e russa sia nella competizione che in caso di conflitto. Il Concetto dell'Esercito americano "Multi-Domain Operations" propone soluzioni dettagliate a specifici problemi posti dagli eserciti di Stati "postindustrial, Information-based" quali la Cina e la Russia...". 

Nel recente articolo "Multi-Domain Operations, Awareness continues to spread about the importance of operating in multiple domains"  scritto dal Col. Marcus A. Jones (U.S. Army - NATO JWC) e dal Tenente Colonnello Josè Diaz de Leon (U.S. Air Force - NATO JWC), gli autori ripercorrono la storia del nuovo concetto e ne discutono gli aspetti principali guardando il mondo reale e indicando esempi di Multi-Domain Operations in ambito statunitense e NATO, dove si parla principalmente di Joint Operations e Joint Effects. In effetti il NATO Joint Warfare Centre ha incorporato all'interno delle proprie esercitazioni il concetto dele Multi-Domain Operations, con particolare riguardo al Joint Targeting e al Joint Fires e rappresenta un esempio di capacità formativa Joint. 

La discussione intorno al nuovo concetto e a quanto ci sia di diverso dalle Joint Operations continuerà per i prossimi anni e probabilmente continuerà a trasformarsi come è logico  che accada in un ambiente complesso e in continua evoluzione, in cui rischi e opportunità sono esacerbati da sviluppo tecnologico e competizione in tutti i settori: economico, diplomatico, militare e informativo (DIME). 

Alessandro Rugolo e Francesco Ferrante  

Per approfondire:

TheThreeSwords_OctoberIssue_ISO COATED.indd (nato.int)

The U.S. Army in Multi-Domain Operations 2028 | Article | The United States Army

What is a Multi-Domain Operation? | Joint Air Power Competence Centre (japcc.org)

giovedì 25 febbraio 2021

Il progetto Quantum-Secure Net (parte 2): prodotto Europeo di Quantum Key Distribution

L'evoluzione della crittografia quantistica e post-quantistica

Nel primo articolo abbiamo introdotto quali siano i principali problemi della crittografia moderna, o meglio, quali siano le limitazioni matematiche che vengono esposta dal mondo del quantum computing. Il problema è complesso e negli ultimi anni la ricerca ha tentato di risolvere il dilemma definendo metodi crittografici che offrissero una sorta di resistenza quantistica. Questa seconda parte approfondisce proprio questi aspetti, introducendo il tema della crittografia quantistica e post-quantistica e in particolare la tecnologia della Quantum Key Distribution (QKD) che rappresenta una tecnologia particolare in questo contesto, in grado di offrire la cosiddetta perfect secrecy.

Crittografia quantistica

La crittografia quantistica funziona su computer quantistici ed è “sicura” sia contro gli attacchi classici che quantistici, nel senso di attacchi condotti tramite computer quantistici. Questa forma di crittografia è sicura sulla base delle leggi della fisica quantistica. Ciò significa che, i computer quantistici sono sia il problema (cioè possono essere usati per “rompere” la crittografia), sia la soluzione (cioè possono essere usati per "fare" la crittografia). Tuttavia, ci sono degli aspetti problematici nell'uso della crittografia quantistica, se paragonati alla crittografia “classica” a chiave pubblica. La crittografia quantistica richiede che entrambe le parti abbiano accesso a un computer quantico e può essere al momento molto costosa, poco praticabile e quindi inefficiente. La crittografia quantistica è già in fase di sviluppo e di utilizzo, tuttavia, dati gli attuali costi, è improbabile che possa sostituire tutti gli attuali casi di utilizzo della crittografia, soprattutto nel prossimo futuro.

Crittografia Post-Quantistica

La crittografia post-quantistica è una forma di crittografia classica (cioè che non necessita di computer quantistici) che si basa su fondamenta matematiche a resistenza quantistica e funziona sugli attuali computer. In sostanza, la crittografia post-quantistica è un sistema che si basa su computer non quantistici, proprio come la attuale crittografia a chiave pubblica, ma su principi matematici differenti, non facilmente risolvibili nemmeno da un computer quantico. È importante rimarcare la distinzione perché spesso si usa il termine "post-quantum" intendendo invece "quantistico" e viceversa. La differenza è che la crittografia quantistica usa un computer quantistico, e la crittografia post-quantistica non lo fa. Tuttavia, nonostante i ricercatori abbiano sviluppato cifrari che sono resistenti all’algoritmo di Shor la crittografia post-quantistica però non è altrettanto robusta rispetto alla crittografia quantistica (non ha l’attributo di unconditional computational security): non è possibile dimostrare che gli algoritmi sviluppati non sono attaccabili in un tempo polinomiale. Questo comporta che non ci siano ancora prove formali sulla reale sicurezza di questi metodi, similmente a quanto accade per la attuale crittografia a chiave pubblica.

Vista la complessità della crittografia quantistica è comunque di grande interesse studiare anche altre soluzioni, non basate su tecnologie quantistiche, che aumentino il grado di sicurezza rispetto all’attuale crittografia a chiave pubblica. Questo rende necessario avere sistemi di crittografia resistenti agli attacchi, condotti da computer quantistici, che possano funzionare su computer non quantistici (i.e., il caso peggiore in cui l’attaccante ha a disposizione un computer quantistico è l’attaccato no). 

Quantum computing ed applicazioni alla crittografia simmetrica

È fondamentale sottolineare che, quanto detto fino ad ora, parlando degli attacchi alle forme di crittografia asimmetriche, a chiave pubblica e privata, non si applica alla crittografia simmetrica (che fa uso della stessa chiave condivisa fra le parti comunicanti). Shannon nel 1949 ha dimostrato che con la crittografia simmetrica esistono le condizioni per ottenere la sicurezza perfetta (perfect secrecy) o incondizionata.

Prima di tutto un breve riepilogo. La crittografia a chiave pubblica, o crittografia asimmetrica, garantisce la riservatezza. Supponiamo che una parte (Alice) voglia inviare ad un'altra parte (Bob) un messaggio segreto. Alice cripta il suo messaggio con la chiave pubblica di Bob, creando un testo cifrato incomprensibile, che invia a Bob. Bob decifra il testo cifrato per scoprire il messaggio originale. Si noti che la comunicazione è unidirezionale o "asimmetrica"; Alice non può decifrare i messaggi di Bob poiché non possiede la chiave privata. La cifratura a chiave pubblica è asimmetrica ed è generalmente più lenta rispetto agli schemi di cifratura simmetrica come l'AES. Per questo motivo, la cifratura a chiave pubblica è principalmente utilizzata per stabilire una chiave segreta condivisa tra le parti. Cioè, il messaggio segreto inviato da Alice a Bob è una chiave segreta, e questa chiave segreta viene poi utilizzata per cifrare e decifrare i dati in modo efficiente utilizzando la cifratura simmetrica.

Figura 1 – Una versione semplificata del Protocollo di scambio chiavi asimmetriche


Alice e Bob hanno bisogno di un metodo sicuro per condividere la loro chiave simmetrica, questa fase prende il nome di
Key Establishment Mechanism (KEM). La cifratura a chiavi asimmetriche viene quindi utilizzata nella fase di inizializzazione del canale di comunicazione, per permettere ad Alice e Bob di condividere una chiave simmetrica senza interferenze (questo schema, inizialmente proposto da Diffie-Hellman, è poi diventato la base del protocollo di comunicazione SSL).

Cos'è la Quantum Key Distribution?

Come detto nel paragrafo precedente, esistono le condizioni per rendere la crittografia simmetrica un metodo di cifratura incondizionatamente sicuro, sempre nell’ipotesi che un attaccante non venga a conoscenza della chiave. Il problema è quindi quello di distribuire le chiavi senza che vengano intercettate. Questo problema porta alla nascita della Quantum Key Distribution (QKD), che è un sistema basato su un “canale quantistico” (fibre ottiche oppure tratte “free space” satellitari) per distribuire chiavi simmetriche in modo non intercettabile. Come già anticipato ad inizio articolo, la QKD è una tecnologia imparentata con il quantum computing per via del fatto che usa la stessa “terminologia” matematica: si può dire che in questo caso si parla di “quantum” senza l’attributo “computing”.

La QKD in particolare utilizza le proprietà quantistiche dei fotoni (i.e., scarsa interazione con la materia e capacità di mantenere il proprio stato quantico in un mezzo adeguato, ad esempio una fibra ottica, per qualche microsecondo, sotto forma di fase o momento angolare) per effettuare lo scambio di una chiave crittografica simmetrica, che può essere utilizzata per criptare i messaggi che poi vengono scambiati tramite un canale “tradizionale”. La sicurezza di QKD si basa su fondamentali leggi della natura, che sono insensibili all’aumentare della potenza di calcolo, di nuovi algoritmi di attacco o di computer quantistici.

La sicurezza della QKD si basa su una caratteristica fondamentale della meccanica quantistica: a causa del principio di indeterminazione di Heisenberg, a seguito del quale non si può misurare una quantità fisica senza interferire con essa, l'atto di misurare lo stato di un quanto di luce lo distrugge. Con questo tipo di sistemi, la sicurezza deriva proprio dal fatto che un eventuale attore malevolo, che cerchi di intercettare uno scambio di informazioni, lascerà inevitabilmente tracce rilevabili sotto forma di errori della chiave trasmessa. A questo punto le due parti Alice e Bob possono decidere di usare una nuova chiave simmetrica o interrompere la trasmissione.

La QKD formalmente ha anche un secondo vantaggio, essendo possibile dimostrare che è un sistema sicuro dal punto di vista della teoria dell'informazione (information-theoretically secure). La sua sicurezza deriva esclusivamente dalla teoria dell'informazione, cioè, non si basa sulla presunta difficoltà dei problemi matematici usati, ed è quindi sicuro anche quando l'avversario ha una potenza di calcolo illimitata.

Un’altra importante caratteristica operativa della QKD, quando viene utilizzata in sequenza per produrre chiavi di cifratura successive, è la proprietà chiamata "forward-secrecy" delle chiavi: le chiavi successivamente scambiate su un QKD link, sono indipendenti l'una dall'altra. Pertanto, la potenziale compromissione di una di esse non può portare alla compromissione delle altre. Questa è una caratteristica particolarmente apprezzabile sia per le reti ad elevata sicurezza, che per la memorizzazione a lungo termine dei dati (everlasting security).

Un'implementazione QKD include tipicamente i seguenti componenti:

    Figura 2 - Alice e Bob sono collegati attraverso un QKD Link (composto dalla coppia di connessioni Ethernet e su fibra ottica) e si scambiano chiavi crittografiche simmetriche, per poi instaurare una connessione sicura cifrata simmetricamente. Eve è in ascolto sul QKD link e cerca di intercettare la chiave o il flusso cifrato

  • Un canale di trasmissione su fibra ottica per inviare quanti di informazione (qubit) tra il trasmettitore (Alice) e il ricevitore (Bob).

  • Un collegamento di comunicazione tradizionale e pubblico ma autenticato tra le due parti per eseguire le fasi di post-scambio-chiave

  • Un protocollo di scambio chiave che sfrutta le proprietà quantistiche per garantire la sicurezza, rilevando le intercettazioni o gli errori, e calcolando la quantità di informazioni che sono state intercettate o perse.


Enrico Frumento*, Nadia Fabrizio*, Paolo Maria Comi+


* CEFRIEL Politecnico di Milano, Viale Sarca 226 – 20126 Milano

+ Italtel, Via Reiss Romoli – loc. Castelletto – 20019 Settimo Milanese (Mi)


Per approfondire:

[1]

CSO Insiders, “What is quantum cryptography? It’s no silver bullet, but could improve security,” 12 3 2019. [Online]. Available: https://www.csoonline.com/article/3235970/what-is-quantum-cryptography-it-s-no-silver-bullet-but-could-improve-security.html.

[2]

T. Laarhoven, M. Mosca and J. v. d. Pol, “Solving the Shortest Vector Problem in Lattices Faster Using Quantum Search,” Post-Quantum Cryptography, pp. 83-101, 2013.

[3]

O. Regev, “Quantum Computation and Lattice Problems,” SIAM Journal on Computing, vol. 33, no. 3, pp. 738-760, 2004.

[4]

Research Institute, “A Guide to Post-Quantum Cryptography,” 16 5 2019. [Online]. Available: https://medium.com/hackernoon/a-guide-to-post-quantum-cryptography-d785a70ea04b.

[5]

C. Shannon, “Communication Theory of Secrecy Systems,” Bell System Technical Journal, vol. 28, no. 4, pp. 656-715, 1949.

[6]

W. Diffie and M. Hellman, “New directions in cryptography,” IEEE Transactions on Information Theory, vol. 22, pp. 644-654, 1976.

[7]

Akamai, “Enterprise Security - SSL/TLS Primer Part 1 - Data Encryption,” 2016. [Online]. Available: https://blogs.akamai.com/2016/03/enterprise-security---ssltls-primer-part-1---data-encryption.html.

[8]

R. Alléaume, C. Branciard, J. Bouda, T. Debuisschert, M. Dianati, N. Gisin, M. Godfrey, P. Grangier, T. Länger, N. Lütkenhaus, C. Monyk, P. Painchault, M. Peev, A. Poppe, T. Pornin, J. Rarity, R. Renner, G. Ribordy, M. Riguidel, L. Salvail, A. Shields, H. Weinfurter and A. Zeilinger, “Using quantum key distribution for cryptographic purposes: A survey,” Theoretical Computer Science, vol. 560, pp. 62-81, 2014.

[9]

W. Diffie, P. v. Oorschot and M. Wiener, “Authentication and Authenticated Key Exchanges,” in Designs, Codes and Cryptography 2, Kluwer Academic, 1992, pp. 107-125.

[10]

CSA Cloud Security Alliance, “What is Quantum Key Distribution?,” in Quantum-Safe Security Working Group.

sabato 20 febbraio 2021

TryHackMe: cyber e gamification.

Qualche tempo fa vi ho parlato del progetto Ares, una piattaforma on line sviluppata secondo il concetto di gamification, oggi riprendiamo la discussione presentando la piattaforma TryHackMe.

TryHackMe è nato nel 2018 grazie a due esperti di cybersecurity, Ashu Savani e Ben Spring. 

Nel 2019 si unisce a loro anche Jonathan Peters che inizia a sviluppare la piattaforma attuale. 

La maggior parte dei prodotti disponibili sulla piattaforma sono gratuiti. Se poi si vuole usufruire di tutti i servizi il costo è di 8 sterline al mese.

TryHackMe si basa sul fatto che se si è curiosi e si viene guidati, avvicinarsi alla cybersecurity non è troppo complicato. Per far si che lo studente non si perda vengono forniti alcuni strumenti che consentono anche ai principianti di ottenere sin da subito quei risultati che lo spingeranno ad andare avanti lungo un percorso altrimenti molto complesso e spesso scoraggiante. La piattaforma consente infatti di "giocare" con macchine virtuali appositamente costruite per imparare i concetti base. Sin da subito lo studente potrà creare ed avviare la sua propria "attack box" o una "kali linux machine" attraverso cui fare le proprie esperienze in tutta sicurezza e con i materiali di studio a portata di mano.

La piattaforma conta attualmente circa 358.000 utenti ed è in continua crescita. 


Chi si iscrive può esplorare liberamente le "stanze" disponibili facendosi guidare dalla propria curiosità oppure può scegliere un percorso di apprendimento tra i cinque disponibili:

- Cyber Defense;

- Complete Beginner;

- Offensive Pentesting;

- COMPTIA Pentest+;

- Web Fundamentals.

Naturalmente niente impedisce di fare entrambe le cose, cioè iscriversi ad un percorso e poi farsi guidare dalla curiosità, cosa che ho fatto io stesso.

Ogni percorso è composto da un certo numero di "stanze" da completare. Per ogni "stanza" è previsto un punteggio che permette allo studente di confrontarsi in una graduatoria mondiale (o nazionale) con la community. Il punteggio viene attribuito secondo ben stabilite regole che fanno si che si salga in graduatoria solo se si fanno effettivi progressi.

Come in tutte le cose, per vedere i progressi bisogna essere costanti. 


Io mi sono iscritto ormai da 74 giorni e mi trovo al 9533° posto in graduatoria mondiale su 358.000, magari non sarà uno splendido risultato ma quanto meno sono riuscito a riprendere alla mano tanti concetti che per motivi di tempo non avevo più avuto modo di approfondire tra cui l'uso della linea di comando e dei vari strumenti disponibili su Kali Linux.

Attualmente è possibile scegliere la "stanza" da seguire tra 330 disponibili, di diverso argomento e difficoltà. Ogni stanza è un misto di teoria e di pratica ed è possibile trovare al suo interno tutti i riferimenti necessari per approfondire l'argomento o il link di rimando ad altre stanze qualora necessario. 


Se poi si è commesso l'errore di iscriversi ad una stanza troppo difficile, cosa che può capitare, nessun problema, la si lascia perdere per riprenderla magari dopo qualche settimana e verificare se si sono fatti progressi. 

Vi sarebbero ancora tante cose da dire, per esempio che se si è in grado di farlo è possibile collaborare allo sviluppo del sito, ma penso sia preferibile invitarvi a visitare TryHackMe.com e provare voi stessi !

Buon divertimento...

Alessandro Rugolo

 

 


 

 

 

   



domenica 14 febbraio 2021

Microsoft: sicurezza e privacy ai tempi del Covid - 2° episodio


Qualche mese fa abbiamo parlato dell'importanza della sicurezza e della privacy al tempo del COVID mettendo in evidenza alcuni aspetti etici e sociali delle tecnologie digitali.

Proviamo ora ad approfondire alcuni punti relativi alla suite del momento, rimandando il lettore più curioso al Trust Center Site dove si possono trovare tutti gli approfondimenti del caso.

Uno degli argomenti che sempre più spesso devo affrontare coi i nostri clienti è il trattamento dei dati personali.

Microsoft tratta i dati personali secondo quanto previsto nell’Addendum relativo alla Protezione dei Dati Personali dei Servizi Online (“DPA”) disponibile al link https://aka.ms/DPA. In particolare, il suddetto DPA prevede che Microsoft ha il ruolo di Responsabile del trattamento dei dati personali e costituisce l’accordo che vincola il responsabile al titolare del trattamento ai sensi dell’art. 28 comma 3) del Regolamento Generale sulla protezione dei dati-Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 (GDPR).

Le condizioni del GDPR di Microsoft riflettono gli impegni richiesti dai responsabili nell'Articolo 28. L'Articolo 28 richiede che i responsabili si impegnino a:

  • Usare esclusivamente responsabili secondari con il consenso del titolare e esserne responsabili.

  • Trattare i dati personali esclusivamente in base alle istruzioni del titolare, anche in merito al trasferimento.

  • Assicurarsi che le persone che trattano i dati personali rispettino la riservatezza.

  • Implementare misure tecniche e organizzativa appropriate per garantire un livello di sicurezza dei dati personali idoneo in base al rischio.

  • Aiutare i titolari con i relativi obblighi di risposta alle richieste degli interessati a esercitare i propri diritti del GDPR.

  • Soddisfare i requisiti di assistenza e notifica delle violazioni.

  • Aiutare i titolari con le valutazioni dell'impatto della protezione dei dati e con la consulenza con le autorità competenti.

  • Eliminare o restituire i dati personali alla fine della fornitura dei servizi.

  • Supportare il titolare con la prova della conformità al GDPR.

Crittografia dei Dati e Utilizzo della Rete

Prendiamo Teams come elemento di analisi. L’utilizzo di Teams che, ricordiamolo, è parte integrante della piattaforma O365, e, più in generale, di tutti i servizi cloud di Microsoft, ossia Azure, Dynamics 365 e O365 stesso, non richiede necessariamente una VPN dedicata per i collegamenti remoti.

Microsoft Teams sfrutta i protocolli TLS e MTLS che forniscono comunicazioni crittografate e autenticazione degli endpoint su Internet. Teams utilizza entrambi i protocolli per creare la rete di server affidabili e per garantire che tutte le comunicazioni su quella rete siano crittografate. Tutte le comunicazioni tra server si verificano su MTLS. Le comunicazioni SIP rimanenti o legacy da client a server si verificano su TLS.

TLS consente agli utenti, tramite il proprio software client, di autenticare i server Teams, nei datacenter Microsoft, a cui si connettono. In una connessione TLS, il client richiede un certificato valido dal server. Per essere valido, il certificato deve essere stato emesso da una Certification Authority che sia considerata affidabile anche dal client e il nome DNS del server deve corrispondere al nome DNS sul certificato. Se il certificato è valido, il client utilizza la chiave pubblica nel certificato per crittografare le chiavi di crittografia simmetriche da utilizzare per la comunicazione, quindi solo il proprietario originale del certificato può utilizzare la propria chiave privata per decrittografare il contenuto della comunicazione. La connessione risultante è affidabile e da quel momento non viene contestata da altri server o client affidabili.

Le connessioni tra server si basano su TLS reciproco (MTLS) per l'autenticazione reciproca. Su una connessione MTLS, il server che genera un messaggio e il server che lo riceve si scambiano i certificati da una CA reciprocamente attendibile. I certificati dimostrano l'identità di ciascun server all'altro. Nel servizio Teams, questa procedura è seguita.

TLS e MTLS consentono di impedire sia gli attacchi di intercettazione sia gli attacchi man-in-the-middle. 

In un attacco man-in-the-middle, l'utente malintenzionato dirige le comunicazioni tra due entità di rete attraverso il computer dell'utente malintenzionato all'insaputa delle due parti. Le specifiche di TLS e Teams di server attendibili attenuano il rischio di un attacco man-in-the-middle parzialmente sul livello dell'applicazione, utilizzando la crittografia coordinata, tramite la crittografia a chiave pubblica tra i due endpoint. Un utente malintenzionato dovrebbe avere un certificato valido e affidabile con la chiave privata corrispondente ed emesso a nome del servizio con cui il client sta comunicando per decrittografare la comunicazione.

La tabella mostra le tipologie di traffico:

Tipo di traffico

Crittografato da

Da server a server

MTLS

Da client a server (ad esempio, messaggistica istantanea e presenza)

TLS

Flussi multimediali (ad esempio, condivisione audio e video di contenuti multimediali)

TLS

Condivisione audio e video di contenuti multimediali

SRTP/TLS

Segnalazione

TLS

Sistemi di Autenticazione e Autorizzazione

La “stanza virtuale” è un meeting di Teams e come tale rispetta i medesimi standard di sicurezza. Gli standard di sicurezza si rifanno a quelli di O365 che è la piattaforma di cui Team è parte integrante. È sbagliato considerare la sicurezza del prodotto dal punto di vista dell’autenticazione in quanto questa viene definita a livello di piattaforma.

Le attività di accesso della “stanza virtuale” e Teams meeting sono tracciate attraverso logs accessibili da utenti amministratori preposti dall’organizzazione.

Teams è un servizio Cloud ed i server sono dislocati nei datacenter di Microsoft.

Dati e Metadati

I dati raccolti all’interno del tenant, ossia dell’ambiente creato all’atto della sottoscrizione dei servizi O365 da parte di un’organizzazione, sono accessibili dagli Amministratori preposti dall’Amministrazione, tramite il “Centro sicurezza Microsoft 365” che include:

  • Home: visualizzazione a colpo d'occhio dell'integrità generale della sicurezza dell'organizzazione.

  • Operazioni non consentite: vedere la storia più ampia di un attacco collegando i punti visualizzati sui singoli avvisi sulle entità. È possibile sapere esattamente dove è stato avviato un attacco, quali dispositivi sono interessati, quali sono gli effetti e dove la minaccia è andata.

  • Avvisi – avere una maggiore visibilità in tutti gli avvisi nell'ambiente Microsoft 365, compresi gli avvisi provenienti da Microsoft cloud app Security, Office 365 ATP, Azure ad, Azure ATP e Microsoft Defender ATP. Disponibile per i clienti E3 ed E5.

  • Centro azioni: ridurre il volume degli avvisi a cui il team di sicurezza deve rispondere manualmente, consentendo al team di operazioni di sicurezza di concentrarsi su minacce più sofisticate e altre iniziative di alto valore.

  • Report : consente di visualizzare i dettagli e le informazioni necessari per proteggere meglio gli utenti, i dispositivi, le app e altro ancora.

  • Secure Score: consente di ottimizzare il livello di sicurezza complessivo con Microsoft Secure Score. Viene fornito un riepilogo di tutte le caratteristiche e funzionalità di sicurezza che sono state abilitate e sono disponibili suggerimenti per migliorare le aree.

  • Caccia avanzata: ricerca proattivamente di malware, file sospetti e attività nell'organizzazione Microsoft 365.

  • Classificazione: consente di proteggere la perdita di dati aggiungendo etichette per classificare documenti, messaggi di posta elettronica, documenti, siti e altro. Quando viene applicata un'etichetta (automaticamente o dall'utente), il contenuto o il sito è protetto in base alle impostazioni selezionate. Ad esempio, è possibile creare le etichette per crittografare i file, aggiungere l'indicazione del contenuto e controllare l'accesso degli utenti a siti specifici.

  • Criteri: consente di aggiungere criteri per gestire i dispositivi, proteggere dalle minacce e ricevere avvisi su varie attività dell'organizzazione.

  • Autorizzazioni: consente di gestire chi nell'organizzazione ha accesso al Centro sicurezza Microsoft 365 per visualizzarne il contenuto ed eseguire attività. È inoltre possibile assegnare autorizzazioni di Microsoft 365 nel portale di Azure AD.

È inoltre possibile definire accessi granulari alle funzionalità del “Security & Compliance Center”.

Gli amministratori globali, preposti dall’organizzazione, hanno accesso alle funzionalità del “Security & Compliance Center”; questo è uno dei motivi per cui è importante proteggere in modo adeguato gli amministratori globali, disaccoppiarli dalle attività dell’utente (si consiglia quindi di non assegnare una licenza Office 365 a questi amministratori) e utilizzarli solo quando è necessario.

Dove si trovano i server che conservano i dati?

Alla sottoscrizione del servizio, per ciascuna Amministrazione/Cliente viene associato un “Tenant” ovvero l’unità logica che contiene tutti i dati e le configurazioni dell’Amministrazione.

Uno dei vantaggi principali del cloud computing è il concetto di un'infrastruttura comune condivisa tra i numerosi clienti contemporaneamente, che porta a economie di scala. Questo concetto è denominato multi-tenant. Microsoft garantisce che le architetture multi-tenant dei servizi cloud supportino la sicurezza a livello aziendale, la riservatezza, la privacy, l'integrità e gli standard di disponibilità.

In base ai significativi investimenti e all'esperienza ottenuti dall' elaborazione affidabile e dal ciclo di vita dello sviluppo della sicurezza, i servizi cloud Microsoft sono stati concepiti con l'ipotesi che tutti i tenant siano potenzialmente ostili a tutti gli altri tenant e che siano state implementate misure di sicurezza per impedire che le azioni di un tenant influiscano sulla sicurezza o sul servizio di un altro tenant.

I due obiettivi principali per mantenere l'isolamento del tenant in un ambiente multi-tenant sono:

  • Impedire la fuoriuscita o l'accesso non autorizzato al contenuto dei clienti tra i tenant; e

  • Impedire alle azioni di un tenant di influenzare negativamente il servizio di un altro tenant

In Office 365 sono state implementate più forme di protezione per impedire ai clienti di compromettere i servizi o le applicazioni di Office 365 o di ottenere un accesso non autorizzato alle informazioni di altri tenant o del sistema Office 365 stesso, tra cui:

  • L'isolamento logico del contenuto dei clienti all'interno di ogni tenant per i servizi di Office 365 viene ottenuto tramite l'autorizzazione di Azure Active Directory e il controllo di accesso basato sui ruoli.

  • SharePoint Online fornisce meccanismi di isolamento dei dati a livello di archiviazione.

  • Microsoft utilizza la sicurezza fisica rigorosa, lo screening di sfondo e una strategia di crittografia a più livelli per proteggere la riservatezza e l'integrità del contenuto dei clienti. Tutti i datacenter di Office 365 dispongono di controlli di accesso biometrici, con la maggior parte delle stampe Palm che richiedono l'accesso fisico.

  • Office 365 utilizza tecnologie sul fianco del servizio che crittografano il contenuto dei clienti a riposo e in transito, tra cui BitLocker, crittografia per file, TLS (Transport Layer Security) e IPsec (Internet Protocol Security).

Insieme, le protezioni elencate di seguito offrono robusti controlli di isolamento logico che forniscono protezione dalle minacce e una mitigazione equivalente a quella fornita solo dall'isolamento fisico.

Localizzazione dei dati

In merito alla geo localizzazione dei servizi, di seguito riportiamo il dettaglio relativo ai tenant dell’area geografica Europa:

  • OneDrive for Business/SharePoint Online/Skype for Business/ Azure Active Directory/ Microsoft Teams/ Planner/ Yammer/ OneNote Services/ Stream/ Forms:

    • Irlanda

    • Paesi Bassi

  • Exchange Online/ Office Online/ Office Mobile/ EOP/ MyAnalytics:

  • Austria

  • Finlandia

  • Irlanda

  • Paesi Bassi

I clienti possono visualizzare informazioni sulla posizione di dati specifici del tenant nell'interfaccia di amministrazione di Office 365 in Impostazioni | Profilo organizzazione | Scheda percorso dati.

Naturalmente non finisce qui. C'è ancora molto da dire in merito alla sicurezza dei sistemi Microsoft per cui prossimamente vi parlerò di gestione in sicurezza dei dati nel cloud.


Carlo Mauceli


per approfondire: 

https://docs.microsoft.com/it-it/microsoftteams/teams-security-guide

https://docs.microsoft.com/it-it/microsoft-365/security/office-365-security/permissions-in-the-security-and-compliance-center?view=o365-worldwide



sabato 30 gennaio 2021

Intelligenza Artificiale nel mondo: Egitto

Negli ultimi anni l'Intelligenza Artificiale nel mondo ha fatto passi da gigante, uscendo dalla nicchia dei ricercatori per entrare nel mondo di tutti i giorni. 

Sempre più sistemi impiegano strumenti di AI per l'analisi e la gestione di enormi moli di dati, consentendo di raggiungere vantaggi strategici grazie alla aumentata velocità decisionale. Naturalmente ciò è vero se il sistema Paese si adatta ai cambiamenti introdotti, se le scuole adattano i programmi di studio, se le aziende accrescono il loro background di conoscenza in materia e se i governi adottano una policy adeguata e in definitiva favoriscono gli investimenti. Sono tanti i Paesi che hanno capito che con lo sviluppo dell'AI è in corso una nuova rivoluzione. 

L'AI non è tecnologia e niente più ma un coerente nuovo mondo da esplorare e sfruttare.

In questo senso dobbiamo leggere le dichiarazioni del ministro delle comunicazioni e delle tecnologie dell'informazione egiziano, Amr Talaat, che questa estate ha annunciato l'inizio di un percorso virtuoso e ambizioso che dovrebbe condurre la società egiziana verso una maggiore consapevolezza delle capacità di Intelligenza Artificiale. 

La creazione di un Centro per le Applicazioni dell'Intelligenza Artificiale consentirà lo sviluppo armonioso di diversi progetti in corso.

Inoltre il controllo della strategia nazionale è devoluto al Consiglio Nazionale per l'Intelligenza Artificiale che ne dovrà curare evoluzione ed applicazione. 

Il governo egiziano sta spingendo per lo sviluppo dell'industria dell'Intelligenza Artificiale in diversi settori. Nel campo accademico, per esempio, l'Università di Kafr El Sheikh dovrebbe aprire la facoltà di Intelligenza Artificiale, nell'intento di dare una spinta al settore.

L'obiettivo del governo, secondo il Pricewaterhouse Coopers report, è di raggiungere il 7,7 % del prodotto interno lordo derivante da attività legate alla Intelligenza Artificiale entro il 2030.  I settori in cui l'impiego della AI risulta più promettente sono tanti, a partire dall'industria delle costruzioni, energia, sanità e settore pubblico in generale, finanziario e dei servizi.       

Secondo un altro interessante report della Standford University, AI Index report 2019, che fa il punto sullo sviluppo dell'Intelligenza Artificiale nei diversi Paesi del mondo con riferimento a diversi campi di studio, l'Egitto è sulla buona strada. L'Egitto, nel 2019, come è possibile vedere anche dall'immagine a lato, risulta tra i paesi emergenti. Certamente ha ancora tanta strada da percorrere ma comincia comunque ad essere presente nel settore tecnologico dell'Intelligenza Artificiale.


Alessandro Rugolo ed Ahmed Abo El Eneen

Per approfondire:

Artificial Intelligence in the Spotlight - EgyptToday;

Egypt takes great steps to implement its artificial intelligence strategy: Minister - EgyptToday

Global survey: The state of AI in 2020 | McKinsey

AI Index 2019 | Stanford HAI

www.kfs.edu.eg/engkfs/




CyberChallenge.it, ai blocchi di partenza l'edizione 2021

CyberChallenge.it costituisce una delle tante risposte che l’Italia sta dando (assieme a nuovi corsi di laurea, programmi di formazione professionali, e alta formazione nei dottorati di ricerca) per l’individuazione di nuovi, giovani talenti da educare nel campo della sicurezza informatica. Il programma, al quale nel 2020 hanno partecipato 27 università italiane (assieme al Comando per la Formazione e Scuola di Applicazione dell'Esercito di Torino), è costituito da un corso della durata di tre mesi destinato ai 20 migliori ragazzi, provenienti da scuole superiori ed università, che hanno ottenuto i punteggi migliori al termine di un test di ammissione di logica e programmazione. Il corso fornisce ai ragazzi gli elementi essenziali per l’apprendimento della crittografia, della sicurezza web e delle applicazioni, della sicurezza hardware e delle reti. La peculiarità del corso è che gli argomenti insegnati preparano i ragazzi allo svolgimento di competizioni Capture The Flag (CTF), il cui obiettivo è risolvere un determinato problema di sicurezza (ad esempio, sfruttare la vulnerabilità di un sito web) per trovare un “segreto”, detto flag. Il corso si conclude con una competizione locale (jeopardy) fra i partecipanti al corso e nazionale (attacco e difesa). 

L’iniziativa si è svolta con grande successo anche all’Università di Cagliari, che partecipa dal 2019, che ha visto oltre un centinaio di iscritti provenienti da scuole ed università nel 2020, e per l’edizione 2021 sta avendo il record di iscritti con oltre 150 studenti. 

Rispetto allo scorso anno il corso è ulteriormente migliorato, con nuovi argomenti e con la partecipazione dei partecipanti degli anni precedenti come tutor. Inoltre, da un anno, alcuni fra i partecipanti di CyberChallenge UniCA hanno formato una squadra, Srdnlen, che partecipa a competizioni internazionali con eccellenti risultati (quarti nel ranking italiano e top 100 ranking mondiale). 

 Purtroppo, la pandemia ha costretto tutti ad un’attività interamente online, ma questo non ha impedito la notevole partecipazione e coinvolgimento dei ragazzi (anche dal punto di vista sociale).

Prima di lasciare spazio ai ragazzi, inizierei da una domanda ai colleghi Giorgio Giacinto (Dip. Ingegneria Elettrica ed Elettronica) e Massimo Bartoletti (Dip. di Matematica ed Informatica) che assieme a me hanno coordinato l’edizione 2020. Chiederei al Prof. Giacinto di raccontare come è nato il progetto CyberChallenge e al prof. Bartoletti di dire qualcosa sulla qualità dei partecipanti alla scorsa edizione.

Giorgio Giacinto. Il progetto nacque nel 2018 all’interno del neonato Laboratorio Nazionale di Cybersecurity del CINI. La carenza di esperti in cybersecurity rispetto alle richieste del mondo del lavoro e la previsione di una loro crescita, ha spinto il laboratorio a far nascere la curiosità per questo settore nei più giovani attraverso il gioco. Infatti è una disciplina che a prima vista può spaventare per la quantità di conoscenze e competenze necessarie. La metafora del gioco consente di superare lo scoglio iniziale e di scoprire un settore affascinante e nello stesso tempo vitale per la sicurezza di ciascuna nazione. La prima edizione è nata presso l’Università di Roma La Sapienza per poi estendersi negli anni successivi a tutto il territorio nazionale. Questo modello sta diventando un esempio per altre nazioni Europee.

Massimo Bartoletti. Gli studenti che hanno partecipato all’edizione 2020 del CyberChallenge meritano un encomio speciale: nonostante tutte le limitazioni imposte a seguito dell’emergenza COVID, hanno partecipato con entusiasmo alle lezioni e alle esercitazioni, sacrificando il proprio tempo libero per risolvere le challenge assegnate - e incastrando tutto questo con le lezioni scolastiche e universitarie. Lo spirito ludico di queste challenge - nelle quali i ragazzi impersonano hackers che tentano di attaccare un sistema informatico - è molto d’aiuto per stimolare la loro intelligenza e il loro spirito collaborativo. Trovo che le qualità principali sviluppate dal CyberChallenge siano la perseveranza, che è indispensabile quando si deve attaccare un sistema apparentemente impenetrabile, e la paranoia, che in genere ha una connotazione negativa, ma per un informatico è una virtù, perché consente di non dare mai per scontata la sicurezza di un sistema software.


Ora tocca ai ragazzi: vi chiederei di presentarvi :

Roberto: Sono Roberto, ho 21 anni, sono nato a Cagliari e studio informatica qui, all'Università di Cagliari.

Daniele: Sono Daniele, ho 18 anni, provengo da Fordongianus, un paese nella provincia di Oristano e frequento il quinto anno nell’istituto tecnico industriale statale OTHOCA ad Oristano.

Silvia: Sono Silvia, ho 23 anni, sono di Sassari e da 5 anni studio all’Università di Cagliari Ingegneria Informatica, attualmente mi sto specializzando in Computer Engineering, Cybersecurity e Artificial Intelligence.

Ragazzi, come siete venuti a conoscenza di CyberChallenge? Cosa ha stimolato la vostra curiosità verso questo percorso?

Roberto: Verso la metà del mio primo semestre (2018-2019) un professore ci ha parlato un po' del progetto CyberChallenge, consigliando di iscriverci e parlandoci un po' di cosa si sarebbe fatto. Purtroppo quell'anno non ho potuto partecipare, ma sono riuscito a iscrivermi e passare il test l'anno successivo, nel 2020. Mi sono iscritto perché credo che il campo della sicurezza sia qualcosa che tutti debbano trattare, almeno per avere un'idea su cosa è o non è sicuro fare, oltre ad essere da molto tempo incuriosito da argomenti come reverse engineering.

Daniele: Ho conosciuto il progetto CyberChallenge grazie ad un professore che lo ha proposto in classe. Ho trovato in CyberChallenge l’occasione per poter approfondire e conoscere nuove cose nel campo della sicurezza informatica, ed anche la possibilità di relazionarmi con altri ragazzi che condividono le mie stesse passioni.

Silvia: Ho conosciuto il percorso di CyberChallenge nel 2019, primo anno di partecipazione per l’Università di Cagliari, quando durante alcune lezioni i professori ci avevano parlato del programma CyberChallenge. Come ho saputo che successivamente alle selezioni si sarebbe svolto un corso sulla sicurezza informatica, ho deciso che nel 2019 avrei partecipato alla selezione per poter avere più conoscenze sulla sicurezza informatica durante il percorso della magistrale.

Quali sono le competenze su cui avete potuto lavorare grazie a CyberChallenge? In cosa vi sentite di essere migliorati?

Roberto: Durante il corso abbiamo approfondito tematiche come web security, system security, e crittografia. È abbastanza facile riuscire a seguire tutti gli argomenti, e imparare molto di ogni categoria, anche se poi, ovviamente, se uno dovesse voler continuare, è importante specializzarsi.

Daniele: Le competenze su cui abbiamo lavorato durante il progetto riguardano il mondo della cybersecurity in generale. Durante il progetto CyberChallenge sento di essere migliorato tantissimo in tutte le tematiche trattate, anche se leggermente di più in system security. Sono migliorato anche su tematiche distaccate dalla cybersecurity come il team-working e l’abilità nella programmazione in generale.

Silvia: Grazie alla preparazione per i test di CyberChallenge sono migliorata tantissimo nella programmazione, mentre durante il corso ho affrontato specifiche tematiche sulla sicurezza informatica e soprattutto andando a testare direttamente certe vulnerabilità che seppur simulate sono molto vicine a uno scenario reale.

A causa dell’emergenza COVID-19, il percorso è stato svolto interamente online, incluse le fasi finali. Come giudicate questa modalità?

Roberto: Per certi versi sono sicuro che l'esperienza sia migliore dal vivo, soprattutto per la parte sociale. Allo stesso tempo però credo che poter fare le lezioni online ci abbia permesso di trattare una più vasta gamma di argomenti, essendo comunque molto più flessibile come modalità. L'unica perdita è stata non poter partecipare alle finali dal vivo. Tutto sommato quindi credo che lati positivi e negativi si bilancino bene, e non sono dispiaciuto di aver partecipato durante quest'anno un po' sfortunato.

Daniele: Anche se il percorso è stato svolto interamente online abbiamo avuto la possibilità di poter interagire con i nostri compagni di squadra come se fossimo stati fisicamente presenti, siamo riusciti a creare un rapporto che spero possa essere incentivato quando l’epidemia finirà. Le lezioni sono state organizzate usando degli orari flessibili che permettevano a tutti di poterle seguire. Anche le sessioni di pratica sono state svolte con puntualità e grande organizzazione, erano presenti, oltre ai professori, anche i ragazzi che avevano frequentato il corso lo scorso anno che ci aiutavano come dei tutor.

Silvia: Nonostante la modalità online non mi abbia permesso di poter conoscere di persona i miei compagni di squadra, ho potuto interagire comunque approfonditamente con molti di loro, aiutandoci durante il percorso nella risoluzione di certe challenge. Siamo riusciti comunque a creare squadra e non ho trovato molte difficoltà nel seguire le lezioni, chiedere aiuto ai tutor e comunque anche divertirci. Alla fine è stato anche bello conoscere le nostre voci, diventare un gruppo ma scoprire i volti solo quando l’emergenza COVID-19 si è un po’ attenuata.

Al termine del corso di formazione, un importante passo è rappresentato dalle finale locali e nazionali. Roberto, da vincitore dell’edizione 2020 per UniCA, ci racconti qualcosa su come si sono svolte le prove e su come è stata la tua esperienza complessiva?

Roberto: Le finali locali e nazionali si sono svolte interamente da casa. Da un lato è una cosa negativa, visto che tutti noi finalisti ci siamo persi, diciamo, l'esperienza del viaggio in gruppo. Dall'altro, credo che possa essere molto utile per chi, come me, soffre di ansia, dato che stare in un ambiente familiare come la casa, e potersi comunque organizzare a piacimento, di sicuro aiuta a rimanere più tranquilli e performare meglio. Sono molto soddisfatto del mio percorso, e sento di essere cresciuto molto nel campo della sicurezza, pur avendo ancora molto da imparare. Non è infatti raro che durante lo sviluppo di un programma ora noti qualche difetto, anche molto pericoloso, che prima non avrei mai notato.

Facciamo un passo indietro ora e parliamo del test di ammissione. Daniele, hai svolto un percorso ed un test di ammissione brillante, nonostante provenissi da una scuola secondaria superiore, dimostrando che l’età non è necessariamente una discriminante del merito. Cosa ti senti di consigliare a coloro che parteciperanno alle selezioni? Che consigli ti senti di dare per prepararsi alla prova?

Daniele: Consiglio a tutti di guardare il materiale presente nel sito di cyberchallenge che è ricco di esercizi da poter svolgere per potersi esercitare in vista delle selezioni, inoltre invito a tutti di prendere le selezioni con calma senza farsi prendere dall’ansia visto che le selezioni non sono nulla di impossibile, quindi consiglio a tutti di provarci, anche se avete paura di non riuscire a passarle. In entrambi i casi avrete guadagnato qualcosa.

Un importante problema nel campo della cybersecurity è, purtroppo, la bassa partecipazione delle ragazze rispetto ai ragazzi. Quest’anno, le sedi partecipanti al progetto (oltre che al CINI stesso) stanno avviando diverse iniziative per incentivare la presenza femminile a CyberChallenge. Durante la scorsa edizione di CyberChallenge, UniCA è risultata fra le sedi con più ragazze partecipanti al corso (4 su 20). Silvia, da partecipante alla scorsa edizione di CyberChallenge, che consigli ti senti di dare alle ragazze che intendono affrontare le selezioni?

Silvia: Purtroppo esiste ancora spesso lo stereotipo che certe professioni siano da maschi e altre da femmine e questo delle volte può bloccare potenziali ottimi professionisti del settore. E’ il caso dell’informatica, un lavoro visto da “uomo” e della sicurezza con la classica immagine dell’hacker maschio. Vista la mia esperienza sia in una facoltà considerata maschile e nel programma CyberChallenge, consiglio a tutte le ragazze appassionate di cybersecurity di lasciare le voci e gli stereotipi da una parte e mettercela tutta per svolgere un percorso che di per sé non implica avere qualità che solo gli uomini hanno ma si basa su competenze logiche acquisibili da tutti.

Da circa un anno, coloro che partecipano a CyberChallenge.it qui a UniCA hanno la possibilità di unirsi ad un team di Capture the Flag locale, srdnen, che svolge diverse competizioni a livello internazionale. Potreste raccontare la vostra esperienza all’interno del team?

Roberto: Entrare nel team è un'occasione per continuare il percorso svolto a CyberChallenge, e continuare quindi a imparare e migliorarsi nel campo della sicurezza. Oltre ad essere un'occasione per imparare, è anche un'occasione per divertirsi: ogni mese facciamo almeno una gara, dove ognuno di noi collabora per risolvere delle challenge, occasione in cui si parla tra compagni di squadra, sia delle challenge, che di qualsiasi altro argomento. Attualmente faccio parte del team di Crypto.

Daniele: Essere entrato nel team srdnlen mi ha permesso di tenermi sempre allenato e continuare a migliorarmi, visto che ogni settimana abbiamo degli allenamenti ed ogni mese facciamo svariate CTF. All’interno della squadra sono stato accolto benissimo da tutti i membri, inoltre ci scambiamo continuamente delle informazioni, ci aiutiamo a vicenda e tutto questo permette di migliorare le nostre capacità. Attualmente faccio parte del team dei reverser e pwners.

Silvia: Far parte del team di srdnlen è un’occasione per continuare a migliorare sulla sicurezza informatica. Ogni settimana abbiamo degli allenamenti per poter affrontare al meglio le CTF a cui partecipiamo. Anche questi sono online per l’emergenza COVID-19 ma stiamo riuscendo comunque a creare un bel gruppo e ottenere discreti risultati durante le competizioni. All’interno del team, insieme ad altri ragazzi e ragazze, io mi occupo delle categorie “Forensics, Misc e Web Exploitation”.

Come ultima domanda, cosa vi sentite di consigliare alle nuove leve? Questo percorso può davvero aiutare i ragazzi a sviluppare competenze nel campo della cybersecurity e, perché no, anche a trovare lavoro?

Roberto: Credo che molta più gente dovrebbe provare a iscriversi al corso. Un consiglio che mi sento di dare è di provare il test di ammissione, anche se chiunque, vedendo solo 20 posti disponibili, potrebbe pensare di non riuscire a entrare. Credo che quasi tutti i partecipanti abbiano avuto questa paura, pur essendo alla fine entrati, e magari anche arrivati in finale.

Spessissimo si vedono notizie di attacchi a infrastrutture molto importanti, che probabilmente si sarebbero potuti evitare dando più importanza nell'insegnamento al fattore sicurezza. Penso che questo percorso sia un'ottima occasione per tappare questi buchi, e magari scoprire di voler continuare nel settore, grande opportunità lavorativa essendoci molto bisogno di esperti.

Daniele: Consiglio a chiunque sia interessato di provare a partecipare al programma, perché vedo in CyberChallenge una grandissima opportunità per noi giovani. Si, questo percorso aiuta i ragazzi a sviluppare competenze sulla cybersecurity che un domani potrebbero servire anche in un ambito lavorativo. Il progetto CyberChallenge è inoltre finanziato da grandi aziende che sono interessate nell’investire sui giovani. Inoltre aver frequentato il progetto mi ha permesso di poter partecipare al BlackHat Europe 2020.

Silvia: Consiglio a chiunque sia interessato di partecipare al programma, allenarsi molto con i vecchi test presenti nel sito e mettercela tutta per entrare tra i 20 perché è un’esperienza fortissima sotto tanti punti di vista. Soprattutto consiglio di affrontare il test con tranquillità lasciando l’ansia fuori dalla porta. Sì, CyberChallenge ti aiuta a sviluppare e migliorare le competenze nella sicurezza informatica e fortunatamente anche trovare un lavoro. Qualche mese fa sono stata contattata da un’azienda e una delle prime cose emerse durante il colloquio è stato l’apprezzamento per aver partecipato al programma di CyberChallenge. Non solo, a fine percorso si ha l’occasione di conoscere tutte le aziende sponsor del programma e quindi riuscire a trovare anche un’ambizione lavorativa nei diversi settori della cybersecurity.

Grazie ragazzi, e in bocca al lupo ai partecipanti a CyberChallenge 2021!


Davide Maiorca, Ph.D.
Assistant Professor
Pattern Recognition and Applications Lab
Department of Electrical and Electronic Engineering
University of Cagliari

Per approfondire: CyberChallenge.IT