Traduttore automatico - Read this site in another language

giovedì 13 maggio 2021

Venticento: una eccellenza made-in-Italy nella sicurezza informatica cresce!

In altri articoli avevamo già trattato del SOC (Security Operation Center) definendolo come una unità organizzativa complessa, generalmente centralizzata, che si occupa di identificare, gestire e porre rimedio ai problemi di sicurezza informatica, costituito da processi, strumenti e persone. Per completezza espositiva, nella gestione del cyberspace andrebbero citati, oltre ai SOC, anche i NOC (Network Operations Center) e gli IOC (Infrastructure Operations Center).

In Italia esistono alcuni SOC gestiti dalle più grandi società del complesso mondo ICT, tra questi abbiamo avuto modo di conoscere ad esempio il team di Leonardo SpA, Italtel SpA, Engineering Ingegneria Informatica SpA. Le aziende citate sono diventate dei veri e propri MSSP, ossia Managed Security Service Provider.

Tutte queste aziende infatti hanno investito in modo mirato sui rispettivi core business per meglio posizionarsi sul “mercato globale”, perché tale è per sua natura, in quanto nasce e vegeta sul www (world wide web), indirizzando gli sforzi sugli sviluppi legati alla threat intelligence in ambito cyber.

Fa piacere vedere che anche l’Italia si sta organizzando per le sfide del mercato.

In questo articolo parleremo di un’impresa italiana con sede a Bresso (MI), la Venticento Srl, un’azienda informatica nata nel 2005 con lo scopo di erogare servizi di assistenza tecnica e sistemistica a quelle aziende che necessitano di rendere più efficaci e produttivi i propri processi di business tramite azioni di miglioramento e ottimizzazione delle infrastrutture informatiche. Venticento sta affrontando con successo una nuova sfida: portare il servizio Managed Detection and Response (MDR), un servizio di cyber security che assiste il cliente dalla fase di detection a quella di incident response, alle PMI Italiane, per poi replicare il modello e proporlo anche sulle sue sedi internazionali.

I risultati raggiunti in soli tre lustri sono davvero notevoli. Ripercorriamone rapidamente le tappe.

  • Venticento nasce nel settembre 2005 con lo scopo di erogare servizi di assistenza tecnica e sistemistica ai clienti ereditati da esperienze precedenti dei soci fondatori.

  • Nel 2006 vengono instaurati i primi importanti rapporti di partnership con Sophos e Microsoft.

  • Tra il 2007 e il 2009 la società rafforza il proprio business dei servizi, generando un cospicuo fatturato nell’ambito dei prodotti di security, affrontando importanti esperienze di consolidamento server in ambito VMware e aumentando la propria forza lavoro, arrivando a 10 dipendenti.

  • Nel 2010 inizia ad esplorare il mondo dei servizi cloud, concentrando gli sforzi su Microsoft BPOS, oggi Office 365, ed ampliando il proprio servizio di service desk, erogando servizi a sedi estere di clienti italiani.

  • Nel 2011 e 2012 matura importanti esperienze all’estero svolgendo attività di standardizzazione e consolidamento di infrastrutture IT e realizzando Start Up di sistemi informativi in vari paesi Europei e negli Usa.

  • Nel 2014 fonda a New York 20100 US, per affrontare le nuove sfide d’oltreoceano.

  • Nel 2016 rafforza, ulteriormente la partnership con Sophos per rimanere un punto di riferimento per il vendor in Italia, diventando uno dei pochi partner al mondo con la certificazione Synchronized security specialist.

  • Nel 2017 viene instaurata una forte partnership con FireEye e Qualys.

  • Nel 2018 fonda a Hong Kong 7Cento HK, per garantire ai propri clienti il servizio NOC “Follow the Sun” 24 x 7 x 365.

  • Nel 2020 viene inclusa nella classifica del Financial Times tra le 1000 aziende europee che hanno registrato la più rapida crescita tra il 2015 e il 2018: + 209,9%. Nello stesso anno viene decretata “Campione della Crescita” 2021 dall’ITQF (Istituto Tedesco Qualità e Finanza) in quanto il giro d’affari della Venticento è aumentato maggiormente nel triennio 2016-2019.

Alla luce dei risultati, abbiamo pensato di sentire il CEO, Enrico Dellù.

Secondo Dellù il successo di Venticento è da ricercarsi nelle sue tre peculiarità: l’internazionalizzazione, la capacità profonda di fare customer care e quella di presentarsi come partner consulenziale dei clienti.

La mission aziendale è assicurare la protezione dei dati dei clienti e la tranquillità nella conduzione del business, garantendo consulenza ed assistenza proattiva a 360 gradi, 7 giorni su 7 e 24 ore al giorno. Per questo il suo core business si qualifica come system integrator e managed services provider. Il target di riferimento è la media impresa, un mercato enorme che ha esigenze specifiche e che il team specializzato di Venticento cerca sempre di soddisfare al meglio. Per rispondere nel modo più completo a queste esigenze, ci racconta Enrico Dellù, sono state aperte sedi anche negli Stati Uniti (a New York nel 2014) e nella regione amministrativa speciale di Hong Kong, in Cina, nel 2018. Ossia nei paesi in cui c’è una maggiore concentrazione di unità imprenditoriali per il mercato target.

I punti di forza di Venticento sono la conoscenza profonda del mercato, la flessibilità e la qualità del lavoro made-in-Italy, molto apprezzato nei confini nazionali e soprattutto oltre gli stessi, garanzia di eccellenza per i vendor internazionali con cui l’azienda ha instaurato importanti partnership.

Tra i progetti per il futuro, Venticento annovera l’ingegnerizzazione dei servizi MDR per aumentare la propria offerta di servizi di sicurezza gestita (MSS) e lo sviluppo di un servizio specifico per il mondo del retail per dare assistenza agli store diffusi in tutto il mondo e l’espansione all’estero.

Concludendo, secondo chi scrive, non è necessario avere la sede nella Silicon Valley o magari essere quotati al Nasdaq per poter vantare tassi di crescita da capogiro, anche in Italia, infatti, ci sono imprese di notevole successo, anche se meno note , la cui performance assume un significato particolare perché realizzata in un contesto di prolungata crisi economica.

Ciò che serve è crederci, lavorare sodo e parlare con i clienti, spiegando i rischi cui ormai ogni impresa è soggetta e come questi possono essere gestiti e ridotti, anche attraverso dei servizi di sicurezza proattivi.

Ci vediamo mercoledì 19 maggio 2021, alle 21.00 come sempre su Difesa Online.

Assieme a noi saranno presenti Enrico Dellù, CEO di Venticento, Marco Rottigni, CTSO EMEA presso Qualys, Carlo Mauceli, CTO Microsoft Italia, Simone Rapizzi CTO di Whetu.

Danilo Mancinone e Alessandro Rugolo

Link utili per approfondire:

https://www.difesaonline.it/evidenza/cyber/cyber-security-cos%C3%A8-un-soc

http://venticento.com/it

https://whetu.com/about.html

https://www.microsoft.com/security/blog/2020/10/21/addressing-cybersecurity-risk-in-industrial-iot-and-ot/

https://www.qualys.com/

https://www.leonardocompany.com/it/home

https://www.eng.it/

https://www.italtel.com/it/

https://istituto-qualita.com/listituto/

https://www.ci.security/resources/news/article/what-is-managed-detection-and-response-mdr

lunedì 10 maggio 2021

Quant'è vulnerabile l'infrastruttura energetica statunitense?

E' quanto stanno scoprendo gli americani in questi giorni.

Certo, non è la prima volta che capita, ma probabilmente è la prima volta che capita un problema di queste dimensioni.

La società Colonial Pipeline, responsabile della gestione del principale oleodotto della costa orientale statunitense, venerdì 7 maggio ha dovuto spegnere i sistemi a causa di un attacco informatico alla sua rete. 

Secondo gli investigatori si è trattato di un attacco ransomware. 

La società ha annunciato di essersi rivolta ad una delle principali società di cybersecurity americane, la FireEye Mandiant per procedere alle investigazioni e gestire la difficile fase di ripristino dei servizi.

Molti sistemi sono stati spenti per limitare il contagio del ransomware ed ora la società, assieme alla FireEye e ai dipartimento di stato per l'energia, è impegnata nel ripristino dei servizi in sicurezza. La gravità della situazione e delle possibili conseguenze hanno reso necessario informare il presidente Biden di quanto accaduto.

Le prime indagini fanno pensare al gruppo cyber conosciuto come DarkSide ma ancora niente di ufficiale è stato detto. L'attribuzione è sempre complessa nel mondo cyber e spesso è guidata dall'intelligence e dal contesto. Non è possibile generalmente essere certi del responsabile di un attacco cyber, a meno di rivendicazione dello stesso.

E' forte la preoccupazione per la possibile ricaduta sui prezzi dei carburanti alla pompa in caso di prolungata interruzione del servizio. Ma questo è solo ciò che si vede immediatamente, la punta dell'iceberg. Quanto il sistema della costa orientale dipenda dall'oleodotto della Colonial Pipeline si può valutare solo guardando quali altre infrastrutture  sono collegate ad esso. 

Per esempio, Iran Press fa notare che l'oleodotto serve alcuni dei più grandi e trafficati aeroporti, compreso l'aeroporto Hartsfield Jackson, di Atlanta, il più trafficato aeroporto al mondo per traffico passeggeri.

Le conseguenze, in caso di prolungato blocco dell'oleodotto potrebbero essere gravi per tutte le infrastrutture produttive della costa est, ma potrebbero avere anche dei risvolti politici sulla campagna del presidente Biden a favore delle energie pulite e del cambiamento climatico.

Infine, ma non meno importante, sembra che durante l'attacco siano stati sottratti circa 100 GB di dati della società. Ciò potrebbe avere dei risvolti significativi e impatto a medio lungo termine sulla reputazione della Colonial Pipeline e sui piani futuri, investimenti, progetti e brevetti della stessa. 


Alessandro Rugolo 

Per approfondire:

Cyber attack shuts down U.S. fuel pipeline ‘jugular,’ Biden briefed | Reuters 

Colonial pipeline: Cyberattack forces major US fuel pipeline to shut down - CNNPolitics

Cyber Security Experts & Solution Providers | FireEye

Media Statement: Colonial Pipeline System Disruption (colpipe.com)

Cyber attack shuts down US fuel pipeline ‘jugular' (iranpress.com)

'Jugular' of the U.S. fuel pipeline system shuts down after cyberattack - POLITICO

Cyber attack shuts down U.S. fuel pipeline 'jugular,' Biden briefed (globalbankingandfinance.com)

Colonial Hackers Stole Data Thursday Ahead of Shutdown - Bloomberg

sabato 1 maggio 2021

The rise of cyber crime

Potrebbe sembrare il titolo di un film, ma non lo è.

Si tratta molto più semplicemente di banale realtà!

Ogni giorno crescono le notizie relative ad attacchi hacker, realizzati a danno di ospedali, industrie, servizi bancari... ogni giorno la nostra società digitale scopre di possedere delle fondamenta costruite secondo criteri errati e i risultati sono ormai palesi.

Quando abbiamo aperto questa rubrica, diversi anni fa ormai (era la fine del 2014), pochi in Italia si interessavano alla materia. Oggi se ne parla nei telegiornali, esistono corsi universitari e, purtroppo, gli attacchi sono sempre più frequenti. 

Perchè?

Ci si potrebbe chiedere. Cosa impedisce di rimediare e migliorare i sistemi che oramai sappiamo bene, spesso sono dei colabrodo dal punto di vista della sicurezza?

Le risposte sono tante. Fondamentalmente l'industria del software ha dimostrato e continua a dimostrare di non essere matura, come d'altronde l'industria dell'hardware dimostra le stesse mancanze. Il mondo del digitale, in tutte le sue espressioni, è ben lontano dall'essere perfetto. Una delle problematiche più rilevanti è da ricercarsi però nella mancanza di personale specializzato in sicurezza informatica che, messo a sistema con la mancanza di lungimiranza di imprenditori e pubbliche amministrazioni riguardo la propensione agli investimenti nel settore, porta alle conseguenze che conosciamo. Non parlo però di acquisizione di sistemi, ma principalmente di formazione e informazione. 

Se guardiamo le statistiche (almeno quelle relative ai casi noti e descritte nel rapporto Clusit 2021) ci rendiamo conto che circa il 30 % degli attacchi sono di tipo "ransomware" ovvero consistono nella cifratura di parte dei dati e nella richiesta di riscatto in cambio del loro "rilascio". 

Ebbene, questo tipo di attacco, ransomware, va generalmente a buon fine in quanto i sistemi informatici della organizzazione e i processi relativi alla sicurezza informatica non sono strutturati adeguatamente. Attacchi di questo genere, almeno i più semplici (e sono una grande quantità) possono infatti essere sventati "semplicemente" facendo ricorso ai back-up, se qualcuno a pensato di farli!

Ecco perchè dico e insisto ogni volta sulla formazione.

Il personale che si occupa della sicurezza informatica deve essere formato adeguatamente!

Ogni azienda, ogni organizzazione pubblica o privata dovrebbe, anzi DEVE, rendersi partecipe nella lotta al cyber crime e investire in programmi di formazione, prevenzione e risposta alla minaccia interna. 

Questo è un "must"! 

C'è da dire che non tutti gli attacchi ransomware sono dello stesso tipo. Esistono per esempio degli attacchi che mirano ad ottenere un riscatto in cambio del silenzio sulle informazioni rubate. 

Questo è il caso, per esempio, di quanto accaduto qualche giorno fa raccontato dalla BBC

Il dipartimento della polizia metropolitana di Washington DC sembra sia stato attaccato da un gruppo (di origine russa?)di nome Babuk, che ha sottratto dati dal sistema informativo ed ora minaccia di rilasciarli se non viene pagata. Di quali dati si tratta? Niente di importante, sono solo dati personali. Si tratta infatti dei dati personali... degli informatori! 

In questa variante di ransomware i dati vengono criptati ma anche esfiltrati e il rischio è dunque duplice. In questo caso non è sufficiente avere i back-up dei dati. Bisognava agire preventivamente, magari con una bella campagna interna mirata a spiegare ai propri dipendenti il rischio legato al social engineering e agli attacchi di phishing. Perchè nella maggior parte dei casi, dietro un attacco riuscito di questo genere la ragione è da trovarsi nel comportamento errato degli utenti del sistema. Una email adescatrice può essere sufficiente per dare inizio ad un attacco, non dimentichiamocelo mai quando apriamo gli allegati.  

Cosi non dobbiamo stupirci se su Repubblica ci imbattiamo nella notizia di un "sospetto attacco telematico" realizzato a danno della Banca di Credito Cooperativo di Roma dove, un gruppo chiamato "DarkSide" ha cifrato i dati e reso impossibile il normale svolgimento delle attività. Gli attacchi cyber sono ormai all'ordine del giorno e non esiste una soluzione semplice al problema.

Alessandro Rugolo 

Per approfondire:

Rapporto Clusit – Clusit

Cyber-attack hackers threaten to share US police informant data - BBC News

Un sospetto attacco telematico blocca le filiali della Bcc di Roma - la Repubblica

Le filiali della Bcc di Roma sono state coinvolte in un sospetto attacco informatico - City Roma News  

martedì 20 aprile 2021

Il CISCO Co-Innovation Centre di Milano ad un anno dall'apertura

Nel gennaio 2020, ha aperto a Milano, all’interno della struttura del Museo delle Scienze, primo in Europa, il Cisco Cybersecurity Co-Innovation Center. 
A distanza di poco più di un anno ci è sembrato utile capire come vanno le cose. Così abbiamo pensato di intervistare il direttore, Fabio Florio. 
Fabio ci ha raccontato le sue esperienze in Cisco (tra cui la digitalizzazione di Expo Milano) e le attività svolte nel primo anno di vita del co-innovation centre. 

Fabio, il Co-Innovation Centre di Milano è l’ultimo investimento di Cisco in Italia. Il Centro ha aperto ormai da un anno per cui è tempo di trarre qualche insegnamento. Ci potete raccontare di cosa vi occupate, in quali settori agite? 

Il Co-Innovation Centre fa parte di un più ampio programma di investimenti della multinazionale Cisco nel mondo. Facciamo parte di una rete di centri di ricerca, ognuno si occupa di argomenti specifici, nel nostro caso i settori individuati sono la cybersecurity e la data privacy, aree in cui a nostro parere è necessario mettere assieme le competenze, anche per trovare le leve giuste per combattere questa guerra, perché di questo si tratta. 
Il nostro compito è quello di favorire l’innovazione in Italia attraverso investimenti mirati anche alla formazione. 
Per poter svolgere il nostro lavoro abbiamo bisogno di competenze in diversi campi, ed è per questo che diciamo “co-innovation” e non “innovation”. Co-innovare significa creare nuove soluzioni, insieme. 


Nel settore della ricerca e innovazione Cisco è all’avanguardia nel mondo. Quali sono le iniziative in Italia? Quali sono le partnership con Università e centri di ricerca? La collaborazione è limitata, può migliorare o ha raggiunto un buon livello?


Crediamo fermamente nell’importanza di lavorare in rete per cui le nostre iniziative non sono mirate solo a far conoscere i prodotti di Cisco ma coinvolgono anche altri attori, in primo luogo i nostri clienti, i nostri partner, le start up, le Università e le scuole più in generale. Per esempio lavoriamo molto con il CINI (Consorzio Interuniversitario Nazionale per l’Informatica), anch’esso molto attivo nella cybersecurity. 
Le competenze più forti sono nel campo della formazione e il nostro obiettivo consiste nell’avvicinare i giovani alle tecnologie digitali, è anche per questo che abbiamo scelto il Museo della Scienza e della tecnica di Milano come sede. 
Spesso si sente dire che le tecnologie digitali, comprendendo sia il software che l’hardware, possiedono delle vulnerabilità ed è vero, ma non dobbiamo dimenticare che la vulnerabilità principale, l’anello debole della catena della sicurezza, è ancora l’uomo. 
La scarsa conoscenza dei sistemi, la tendenza ad ignorare le procedure di sicurezza per semplicità e a volte la mala fede, sono il vero problema. 
In questo settore c’è ancora molto da fare. Quello che occorre fare è sicuramente favorire la crescita della cultura nell’ambito della cyber security. Tra i temi più importanti vi è quello della “threat intelligence”, infatti in Cisco abbiamo un team di ingegneri e analisti che si occupa di ricerca e analisi dei rischi legati al mondo cyber, Talos. 
In media, giornalmente, vengono raccolti in tutto il mondo i dati relativi a circa 20 miliardi di attacchi, dati raccolti dai nostri sistemi e dai sistemi dei nostri clienti che decidono di condividerli per aiutarci a migliorare la sicurezza su Internet. Il nostro team lavora quotidianamente all’analisi di questi dati. 

Cisco è una multinazionale basata principalmente sul networking. Le cose stanno ancora così? 

In realtà le cose stanno cambiando. Certo, il networking è sempre importante, circa l’80-85% degli apparati di rete nel mondo è Cisco, ma altri settori si sono affiancati: la cyber security e le piattaforme di collaboration, videocomunicazione e telefonia, data center e soluzioni di virtualizzazione. A questi si affianca anche l’IoT. 
Oramai, sempre più, i nostri sistemi di rete sono integrati con i sistemi di sicurezza. Il nostro approccio è basato sulle architetture. Non si può più lavorare sulla sicurezza a posteriori, ma occorre pensare la sicurezza al momento in cui si crea l’architettura. 
Ormai essere attaccati è una cosa prevedibile, prima o poi tutti vengono attaccati. E’ importante essere in grado di difendersi ma anche di intercettare un attacco, rimediare e reagire. Non sono in tanti ad averlo capito, e questo è un problema. 

Per tornare alla formazione, qual è il vostro tipo di utenza? 

Sulla formazione noi facciamo leva sulla Cisco Networking Academy, creiamo contenuti che poi distribuiamo attraverso la nostra rete di partner educativi (le Academy). 
Principalmente ci rivolgiamo a giovani dalla quarta superiore in su, perché riusciamo a contribuire dando delle competenze che li aiutano a trovare lavoro, ma lavoriamo anche con istituzioni, realtà non profit, enti di formazione. 
Esistono corsi generalisti e anche specifici sulle tecnologie Cisco. Di solito chi si prende le certificazioni specialistiche nel giro di qualche mese riesce a trovare lavoro in quanto c’è una grande richiesta nel panorama italiano anche per chi non è laureato. 
Abbiamo rafforzato questo impegno nel quadro del programma Digitaliani e ormai abbiamo una media di 50.000 studenti l’anno, 8.000 che si certificano, e 345 Academy. 
Rendiamo disponibili questi corsi anche per il “re-skilling”, in ambito aziendale e pubblica amministrazione, che mira a riqualificare il personale nei nuovi settori e nel campo della digitalizzazione. 
Lavoriamo anche in contesti diversi. Per esempio, fin dal 2001 abbiamo portato una Networking Academy presso il carcere di Bollate. In questo modo cerchiamo di aiutare chi ha avuto problemi e magari, grazie a nuove motivazioni e nuove capacità, riesce a trovare un lavoro. In Italia ci sono già dieci carceri maschili e tre femminili che fanno parte del programma.
Tutti i processi interni aziendali stanno cambiando e non è facile trovare persone con le giuste competenze per ridisegnare i processi per il mondo digitale. 
Quello che vedo in Italia è che pian piano si sta migliorando ma manca ancora la capacità di capire come la digitalizzazione può aiutare a cambiare il lavoro. 

Cosa ci dici del mondo della Pubblica Amministrazione? 

Io vedo un ambiente che viaggia a marce diverse. Se parliamo a livello PA locale, esistono comuni preparati, ma sono pochi. Normalmente facciamo fatica a creare qualcosa perché sono molto ingolfati nella gestione quotidiana. 
A livello regionale le cose sono migliori in generale, anche perché spesso ci sono delle società “in-house” che si occupano proprio della digitalizzazione. 
A livello ministeriale è ancora diverso in quanto le risorse disponibili sono maggiori. 
Uno dei problemi che noi affrontiamo giornalmente è quello di far capire che per digitalizzare occorre studiare i processi interni e spesso modificarli per poter impiegare proficuamente le potenzialità delle nuove tecnologie. 
Noi cerchiamo di far capire che, al di là della tecnologia, occorre porsi delle domande: 
- quali sono gli aspetti organizzativi che occorre tenere in considerazione? 
- quali sono le competenze che il personale aziendale deve avere per gestire il nuovo processo digitale rispetto ad un processo analogico? 
Uno degli aspetti importanti se si vuol cambiare è che occorre essere coraggiosi e che bisogna avere voglia di cambiare le cose. 

Le vulnerabilità spesso sono anche hardware, non solo software. Quanto è importante l’hardware nella sicurezza? 

Hai toccato un aspetto importante in quanto non solo il software deve essere sicuro ma anche l’hardware. Noi pensiamo che la soluzione stia nello sviluppo chiamato “secure by design”. In ogni prodotto che noi sviluppiamo abbiamo due figure che partecipano al progetto sin dall’inizio, il security engineer e il privacy engineer. 

Una delle problematiche attuali su cui in Europa (e anche in Italia) si dibatte è quella della supremazia nazionale di alcuni settori strategici e anche dei dati. Cosa ne pensi? 

Secondo me è una cosa importante ma non so quanto sia fattibile. Credo che sia più importante sapere che chi ti dà il servizio è affidabile e capace di fornirti il servizio di cui hai bisogno. Devono esistere delle regole chiare che devono essere gestite in modo trasparente. 

Nuovi progetti per il futuro? 

Credo che adesso sia molto importante concentrarsi sui fondi che arriveranno sul Recovery Fund. Intorno a questi fondi (57% circa del totale) dovranno essere sviluppati tanti progetti per spendere le risorse che arriveranno e spenderle bene, su progetti che ci aiuteranno a cambiare realmente la nostra società. 
La pandemia ci ha portato ad un mondo quasi totalmente virtuale, il futuro probabilmente sarà ibrido e sarà importante avere dei progetti ben fatti. 
In questo ambito noi siamo impegnati sia nel settore collaboration che della sicurezza. 

Cosa ne pensi del concetto di “gamification” nell’ambito della cyber? Cosa fate voi in questo settore? 
Noi usiamo il principio anche per lo sviluppo della formazione interna di Cisco. E’ un po’ il futuro ed è sicuramente utile in quanto aiuta a completare dei percorsi e a mantenere vivo l’interesse. Non è facile ma probabilmente occorre abbinare il gaming al corso classico, per alzare la motivazione e stimolarti ad andare avanti. Noi abbiamo un’altra iniziativa di responsabilità sociale che chiamiamo “A scuola di internet”. In pratica noi dipendenti Cisco andiamo in giro per le scuole e spieghiamo a studenti e genitori le nuove tecnologie e i rischi che si devono affrontare. In quest’ambito per esempio abbiamo impiegato queste metodologie per stimolare l’audience e penso che sia un ottimo metodo per coinvolgere le persone. 

sabato 17 aprile 2021

Exercise Locked Shields: quest'anno vince la Svezia

Anche quest'anno, tra il 13 e il 16 aprile, si è tenuta l'esercitazione cyber Locked Shields. 

Come ogni anno i preparativi e lo svolgimento dell'esercitazione hanno visto impegnati migliaia di esperti civili e militari nel cercare di proteggere le reti e i sistemi di propria competenza. I numeri sono rappresentativi: trenta paesi partecipanti, circa 2000 esperti, 5000 sistemi virtualizzati e 4000 differenti attacchi!

Ventidue le squadre partecipanti quest'anno. 

Novità anche in relazione ai settori interessati, oltre alla cyber in tutti i suoi aspetti, le squadre in gioco hanno dovuto affrontare operazioni di influenza condotte attraverso Information Operations. Tra gli obiettivi dell'esercitazione infatti vi era anche l'esame di come l'evoluzione tecnologica e le deepfakes potranno influire sui conflitti futuri.

Oltre ad aspetti tecnici, l'esercitazione ha toccato aspetti strategici allo scopo di esercitare tutta la catena di comando nazionale interessata nel caso di un evento cyber di grande ampiezza. Per gestire l'interruzione di parte dei servizi finanziari mondiali, prevista nello scenario, è stato interessato il Financial Services Information Sharing and Analysis Center (FS-ISAC), unica comunità che si occupa esclusivamente di cyber intelligence sui servizi finanziari. Nello scenario sono stati introdotti elementi importanti derivati dalla pandemia tuttora in corso, come l'incremento del telelavoro e l'aumento dei servizi on-line.

Come tutte le competizioni vi è una graduatoria e un vincitore. 

Quest'anno è stata la Svezia a ottenere il punteggio migliore, seguita dalla Finlandia in seconda posizione e dalla Repubblica Ceca in terza. 

Complimenti alle rispettive squadre per l'ottimo risultato ottenuto!

Dopo i complimenti ai vincitori è tempo di alcune brevi considerazioni di carattere generale.

Tanto per cominciare, da italiani ci chiediamo cosa abbia fatto il nostro team, sempre che abbia partecipato.

Seconda domanda: che fine hanno fatto i paesi considerati da tutti più avanzati nel settore? Dove sono gli Stati Uniti, il Regno Unito, la Francia... per citarne solo alcuni? 

Siamo consapevoli che si tratti di una esercitazione e come tale va presa, ma se veramente è la più grande esercitazione cyber del mondo (occidentale) ci si dovrebbe aspettare una graduatoria differente!

Ma tant'è! Forse ci sbagliamo... 

In attesa di avere qualche informazione in più, ancora complimenti ai vincitori.

Bravi!  

P.S. L'esercitazione Locked
Shields 2021 è stata organizzata dal CCDCOE, in cooperazione con la NATO Communications and Information Agency, Estonian Ministry of Defence, Estonian Defence Forces, Siemens, Ericsson, TalTech, Foundation CR14, Bittium, Clarified Security, Arctic Security, Cisco, Stamus Networks, VMware, SpaceIT, Sentinel, Financial Service Information Sharing and Analysis Center (FS-ISAC), US Defense Innovation Unit, Microsoft, Atech, Avibras, SUTD iTrust Singapore, The European Centre of Excellence for Countering Hybrid Threats, NATO Strategic Communications Centre of Excellence, European Defence Agency, Space ISAC, US Federal Bureau of Investigation (FBI), STM, VTT Technical Research Centre of Finland Ltd, NATO M&S COE e PaloAlto networks. 

Alessandro Rugolo & Danilo Mancinone

Per approfondire:

- https://ccdcoe.org/news/2021/sweden-scored-highest-at-the-cyber-defence-exercise-locked-shields-2021/

- https://news.err.ee/1608174550/locked-shields-2021-largest-cyber-defense-exercise-worldwide

- https://www.securitylab.ru/news/519009.php

- https://honvedelem.hu/hirek/locked-shields-2021-tobbnemzeti-kibervedelmi-gyakorlat.html

- https://balticword.com/worlds-largest-international-live-fire-cyber-exercise-to-be-launched-next-week/

FS-ISAC Leads Financial Sector in World’s Largest International Live-Fire Cyber Exercise

La Francia si impone alla Locked Shield 2019 - Difesa Online

giovedì 8 aprile 2021

Facebook Data Public Disclosure e l’inquietante sensazione dell’assuefazione al data breach

La tecnologia non fa eccezione, come ogni altro ambito della società ha i suoi argomenti di grido e alcune parole magiche che sono sulla bocca di tutti.

La sicurezza informatica negli ultimi due lustri è di diritto sul podio tra gli argomenti che stanno dominando il panorama internazionale tecnologico. Fenomeno osservabile non soltanto nei laboratori di produttori di hardware e software, altresì ha avuto grande risalto anche nei saloni dove si discutono le strategie sociopolitiche internazionali.

Dal 2016 infatti uno degli argomenti che ha maggiormente occupato i pensieri, e per qualcuno le notti insonni, è stata la gestione corretta dei dati personali con l’ormai famoso e solo parzialmente digerito Regolamento Generale per la Protezione dei Dati Personali europeo in breve GDPR. 

Questo regolamento ha svolto il ruolo di rampa di lancio per tutta un’altra serie di attenzioni tra cui l’imposizione di applicare misure di sicurezza adeguate ai sistemi ed ai dati personali. 

Obbligo che si lega a doppio filo con il fenomeno del furto dei dati che in contemporanea è diventato sempre più pressantemente incubo dei responsabili della sicurezza delle informazioni di tutto il mondo.

Con la sensibilizzazione di poteri legislativi e degli esperti informatici anche i mezzi di comunicazione hanno iniziato a fiutare l’interesse che questi aspetti avrebbero potuto suscitare sul pubblico generalista e per questo motivo sono nati molti format che hanno cavalcato il fenomeno della sicurezza informatica.

Si annoverano ormai diversi film, documentari, serie TV e diversi speciali verticali che sono andati in onda sulle reti nazionali per eccellenza.

Questa ampia premessa vuole introdurre quella che è solo l’ultima notizia che ha investito la rete e i mezzi di comunicazione che ha come protagonista il social network per eccellenza, Facebook.

Sto parlando del portale di socializzazione che ha inequivocabilmente segnato l’inizio di una nuova vita sociale e ha stravolto in maniera probabilmente irreversibile il modo in cui la gente si conosce.

È infatti disponibile da qualche giorno un imponente archivio di dati, che sembra si attesti attorno ai 15GB, che contiene tutti i dati che erano stati trafugati dai sistemi del sopracitato sito nel non così lontano 2019.

All’interno di questo archivio sono presenti informazioni molto rilevanti come il numero di telefono degli utenti utilizzato per la conferma degli account, nomi, cognomi, indirizzo di posta elettronica.

La notizia in realtà è diventata d’interesse globale in questi giorni perché una volta che questi dati hanno perso qualsiasi valore economico qualcuno ha deciso di renderli disponibili gratuitamente per tutti.

Non è da trascurare però il punto cardine di questo evento, i dati rubati sono stati prima di tutto messi in vendita nel famoso “dark Web”.

Non serve troppa immaginazione per indovinare quale possa essere il cliente ideale per questo prodotto. Organizzazioni interessate ad un’ampia lista di contatti a cui “comunicare” informazioni a fini pubblicitari ad esempio.

Ma peggio ancora questo tipo di basi dati sono molto utili alle organizzazioni malevole che effettuano attacchi di vario tipo. 

Sono ottime fonti per lanciare campagne di phishing, campagne di “spray attack” e vista la grande mole di dati non ci si stupirebbe se fosse possibile effettuare attività di “data mining” trovando pattern di attacco ottimi per il social engineering.

I numeri di telefono infine sono ottimi mezzi di attacco per lo “smishing” e ideali da vendere a società di telemarketing di tutto il mondo.

Una volta che tutto il bacino di possibili acquirenti di questo prodotto risulta esaurito, è giunto il momento di lasciare queste informazioni alla mercé di tutta la rete in modo che anche chi non avesse disponibilità economica o interessi sufficienti da investirci ne faccia l’uso che preferisce.

Ciò che però può essere interessante osservare è che questo evento è soltanto l’ultimo di una lunghissima serie di “data breach” avvenuti negli ultimi anni, sul nostro sito abbiamo un articolo che annovera quelli del 2020: un anno di Hacking (https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking )

Sono stati impattati giganti di ogni tipo, citandone giusto alcuni: il sito di aste online più longevo e famoso eBay, il portale di annunci di lavoro e social network professionale leader LinkedIN, alcune tra le catene alberghiere più importanti in tutto il mondo come Marriot, aziende sviluppatrici di giochi e produttrici di software come Sony e Nintendo.

Se voleste scoprire se i vostri dati siano stati parte di uno di questi incidenti e conseguenti divulgazioni di dati trafugati è possibile utilizzare il sito “';--have i been pwned?” raggiungibile all’indirizzo https://haveibeenpwned.com/.

All’interno di questa pagina potrete scoprire, tramite una banalissima finestra di ricerca con il vostro indirizzo di posta elettronica, numero di telefono o password, se siete tra le vittime di un “data breach”.

Tornando al focus dell’articolo, in ognuno di questi grandi incidenti sono stati trafugati milioni di record e ogni volta che è avvenuto uno di questi “data breach” l’eco che ha generato negli addetti ai lavori è sempre stato minore. 

Anche i mezzi di comunicazione hanno iniziato a dare sempre meno risalto a queste notizie quasi come se non fossero in fondo delle vere notizie.

La notizia forse è quindi che ormai siamo tutti un po’ “assuefatti” alla realtà dei furti di dati e che per la nostra società i data breach siano soltanto uno dei tanti normali eventi a cui siamo abituati.

Anche lo stesso COVID ci ha insegnato che dopo ormai più di un anno di pandemia, le numeriche giornaliere che snocciolano contagiati e, purtroppo, deceduti vengono derubricate a piccoli trafiletti dei telegiornali.

Nei primi momenti invece dell’emergenza venivano effettuate vere e proprie maratone che trattavano ogni singolo numero con grande zelo.

Purtroppo questo tipo di assuefazione può creare dinamiche rischiose nella mente di qualcuno, perché potrebbe accendere la dinamica psicologica di affermare qualcosa come: “se succede a tutti perché dovrei preoccuparmene più degli altri?”.

Ciò che invece è nostra missione, come riteniamo debba essere civicamente un dovere di tutti, è tenere sempre vigile la sensibilità pubblica sul fatto che gli impatti collegati ad un “data breach” sono proporzionalmente direttamente ed esponenzialmente collegati alla quantità e alla criticità dei dati che vengono trafugati.

Il mondo che abbiamo creato e che complice l’accelerazione digitale da pandemia sta sempre più affermandosi è totalmente fondato sulle basi di dati semplici e complesse.

Questa tendenza richiede di essere sempre compensata dalla coscienza che le basi di dati sono da proteggere al massimo delle possibilità e che vanno gestite rispettando i principi della sicurezza informatica in particolare il privilegio minimo e il “need to know”. È una bilancia sociale che va molto oltre la tecnologia. 

La cosa che ormai non stupisce più è che questi furti vengano perpetrati perché viene violata una identità digitale che serve da entratura. E teniamo a mente che per i primi passi delle fasi di ingresso degli attaccanti non sono necessarie delle credenziali aventi alti privilegi.

Molto più di frequente di quanto si immagini, sono normalissime utenza con cui vengono effettuate le prime fasi di attacco, il famoso “footprinting”. Una volta collezionate preziose informazioni grazie a quelle utenze è possibile per gli attaccanti iniziare a pianificare i passi successivi in maniera molto più assennata. Non si muoveranno più al buio provando qui e li con banali tentativi di forza bruta, avranno direzioni e strategie tessute a pennello per il target di turno. 

Potete fare un parallelo immaginario con i film di azione in cui la banda di ladri prima di iniziare il colpo si occupa di raccogliere le informazioni sull’obbiettivo da derubare. La mappa dell’edificio, le ronde del corpo di sicurezza, nomi delle guardie etc etc. Queste informazioni vengono poi utilizzate per raggiungere il bottino, che nel caso degli attacchi alle informazioni sono proprio le basi di dati. 

In ultima analisi vorrei porre la vostra attenzione sul fenomeno dei ransomware. Spesso vengono considerati in sé il problema vero e proprio, sopratutto dal punto di vista della sicurezza informatica. A dir il vero più spesso di quanto si pensi sono più utili a coprire le tracce degli attaccanti che ad avere effettivamente il riscatto richiesto per “liberare” i dati.

Questo perché oggi la sensibilità nei confronti di questi rischi si è fatta forte e sempre più realtà effettuano copie di “back up” dei dati e quindi sono sempre meno costrette a pagare i riscatti per avere i dati nuovamente decodificati. 

Non resta quindi che continuare a parlare di questi fenomeni allo scopo di sensibilizzare coloro che governano processi e nazioni verso una filosofia di evoluzione tecnologica sostenibile e consapevole.

Se voleste avere maggiori informazioni riguardo all’attacco ricevuto da facebook vi rimandiamo all’articolo di Wired https://www.wired.com/story/facebook-data-leak-500-million-users-phone-numbers/ .

Alessandro Oteri


lunedì 22 marzo 2021

IL PROGETTO QUANTUM-SECURE NET (PARTE 3/3): PRODOTTO EUROPEO DI QUANTUM KEY DISTRIBUTION

Quanto segue è la terza ed ultima parte della serie di articoli sulla crittografia quantistica, iniziata con i due precedenti articoli, dove venivano introdotti gli elementi fondamentali della cosiddetta minaccia quantum. In questa ultima parte viene presentato in dettaglio il progetto Q-Secure Net, già introdotto nella parte 1.
Prima di proseguire, consiglio di rileggere gli articoli precedenti sui seguenti link:
 

La sfida della Quantum Key Distribution (QKD)

Il progetto Quantum-Secure Net (Q-Secure Net) è un progetto finanziato dell’European Institute of Technology Digital (EIT Digital) il cui scopo è sviluppare e portare sul mercato un prodotto di rete di nuova concezione e generazione completamente Europeo, basato su tecnologia Quantum Key Distribution (QKD), che sia sostenibile in termini di costi e interoperabile con gli altri sistemi esistenti. Lo scopo del progetto è fornire una soluzione pronta per le telecomunicazioni, integrata nel funzionamento e nella gestione della rete, per garantire comunicazioni end-to-end (E2E) sicure a livello quantistico in contesti di alta sicurezza.

Proposta già nei primi anni 1980, la QKD è una tecnologia imparentata con il quantum computing per via del fatto che usa la stessa “terminologia” matematica: si può dire che in questo caso si parla di “quantum” senza l’attributo “computing”. La tecnologia ha impiegato quasi 40 anni per evolversi, tuttavia, ora è una delle principali aree di competizione tecnologica fra le nazioni, oltre al 5G, tra cui Cina, Corea e Stati Uniti. La QKD in particolare utilizza le proprietà quantistiche dei fotoni per effettuare lo scambio di una chiave crittografica simmetrica, che può essere utilizzata per criptare i messaggi che poi vengono scambiati tramite un canale “tradizionale”. La sicurezza di QKD si basa su fondamentali leggi della natura, che sono insensibili all’aumentare della potenza di calcolo, di nuovi algoritmi di attacco o di computer quantistici. Tale sistema permette, una volta introdotto, di dotare le infrastrutture di rete ad altissima sicurezza di comunicazioni incondizionatamente sicure.

Il progetto Q-Secure net

Il progetto Q-Secure Net ha l'obiettivo di fornire una soluzione economica e flessibile per servizi di comunicazione incondizionatamente sicuri basati sulla QKD, che funzioni con le attuali reti metropolitane in fibra ottica. Il capofila del progetto è Italtel. Fra i partner, Cefriel ha seguito due degli scenari applicativi, Politecnico di Milano e CNR hanno sviluppato la tecnologia QKD e i protocolli di correzione degli errori, Università Politecnica di Madrid e Telefonica hanno partecipato alla definizione del prodotto ed i test su rete metropolitana in fibra ottica.

Durante il progetto sono state sviluppate due applicazioni prototipali, aventi lo scopo di dimostrarne l’utilizzo nel contesto Blockchain e SSL, mostrando come la tecnologia QKD possa essere applicata sia al mercato finanziario che per rendere sicure le comunicazioni IoT (Internet of Things) e IIoT (Industrial IoT). Il prodotto è adatto a qualsiasi servizio che necessiti di una chiave di cifratura simmetrica, e si apre ad innumerevoli applicazioni e casi d’uso.

Lo Scenario SSL+PSK

La prima applicazione sviluppata è legata al protocollo SSL/TLS. Questi protocolli permettono una comunicazione sicura tra due entità operando al di sopra del livello di trasporto. Di solito, SSL utilizza certificati a chiave pubblica per l'autenticazione. In particolare, però, lo standard prevede già una speciale configurazione (SSL+PSK Pre-Shared Keys) che utilizza chiavi simmetriche, pre-condivise in anticipo tra le parti comunicanti, per stabilire una connessione SSL. Una configurazione implementata ad esempio, per supportare i casi in cui le parti comunicanti non possano usare la cifratura asimmetrica perché onerosa in termini di connettività o calcolo (es. IoT) o perché le parti sono già “accreditate” (es. ambito militare).

I passi dettagliati della comunicazione per SSL+PSK sono i seguenti, direttamente ispirati allo schema proposto Diffie-Hellman per le PKI.

  1. Alice e Bob ricevono su un collegamento QKD la stessa chiave crittografica (simmetrica)

  2. Alice usa la chiave simmetrica QKD per criptare una chiave temporanea di sessione, generata in modo casuale, che ha una durata di vita limitata e la invia a Bob, su un canale non sicuro (ethernet)

  3. Bob riceve il messaggio e lo decripta per ottenere la chiave temporanea di sessione.

  4. Alice e Bob usano la chiave temporanea di sessione con AES per crittografare i loro messaggi su ethernet fino alla scadenza della stessa (poi si ripete il passo 2). In caso di attacco attraverso il link QKD, Alice e Bob possono richiedere un'altra chiave QKD sicura.

Lo scenario è abilitante per i servizi VPN e IPSEC con QKD.

Lo scenario Decentralised Finance

Le tecnologie blockchain nascono a finire del 2009 con l’avvento del protocollo Bitcoin e si evolvono fino ai giorni nostri in una famiglia di protocolli e sistemi SW essenzialmente con l’obiettivo di creare una rete (network peer to peer) di “pari” in grado di scambiarsi un valore transazionale (valuta, asset con valore, certificazione) in maniera diretta, senza una terza parte fiduciaria. Eliminando così, attraverso il meccanismo del consenso condiviso, il bisogno di avere terze parti e attivando lo scambio diretto di beni, servizi. Questi sistemi hanno una applicazione in campo finanziario, sia nei processi interbancari, per esempio in scenari di tracciamento e ciclo di vita degli asset come le fatture (es., sconto fattura) sia nei processi e servizi che si possono creare a partire dai token (dando origine al fenomeno della finanza decentralizzata).

In particolare, nella Decentralised Finance (Defi), uno degli aspetti chiave è la interoperabilità dei sistemi e lo scambio di token e cripto valute, soggetto a sfide di sicurezza note e non indifferenti. Oggi i token derivati di Ethereum sono decine di migliaia, e sono “tecnicamente” interoperabili tra di loro, il che significa che applicazioni diverse possono scambiarsi questi token proprio come ci si scambiano delle valute o delle azioni nelle borse commerciali. Queste operazioni oggi sono affidate a Exchange centralizzati che sono spesso soggetti a problemi di sicurezza e rappresentano l’unico elemento ancora centralizzato in sistemi peraltro totalmente peer-to-peer.

In questo contesto “finanziario”, c’è sempre, un “nodo” della rete, detto in gergo tecnico portafoglio (wallet) che è abilitato a scambiare il valore, ossia il token. Tale nodo possiede delle informazioni specifiche che gli permettono di eseguire la transazione.

Inoltre, negli scenari Fintech attuali, ci sono molteplici cripto-valute e reti, un elemento di debolezza riconosciuto. Il “passaggio” da una criptovaluta ad un’altra, da un token ad un altro, tra due sistemi e due wallet, richiede il passaggio da una terza parte fidata, contraddicendo il paradigma della decentralizzazione. Questa situazione, per esempio nel contesto Ethereum, viene risolta passando, in alcuni casi, come recentemente proposto, attraverso il meccanismo dell’Atomic Swap. L’Atomic Swap è una delle possibili soluzioni proposte per far interagire differenti reti blockchain, ed è un “sistema” per il passaggio sicuro direttamente tra nodi partecipanti a diverse reti blockchain, di una informazione (hashlock o timelock1) necessaria a sbloccare il cambio di valuta.

Questa informazione simmetrica, permette di accoppiare reti diverse, ed è quindi importante, in ottica di evoluzione delle reti blockchain in contesti finanziari, mantenerla sicura.

Nella configurazione sperimentale oggetto del progetto, l’Atomic Swap avviene non più su una rete di telecomunicazione “comune”, ma si avvale di un QKD Link, che permette di trasferire in modo sicuro il parametro di hashlock/timelock fra due nodi di una rete Algorand (si noti che nel gergo Algorand viene usato il termine Atomic Transfers). Questa soluzione comporta un aumento della sicurezza intrinseca dello scambio e quindi, rende possibile usare gli Atomic Swap anche con le criptovalute.

Sviluppi previsti

In un anno il progetto Q-Secure Net ha portato alla realizzazione di un prodotto pronto per le prime applicazioni di mercato, ma che ha le potenzialità per cogliere le opportunità da un mercato in fortissima crescita. Nell’articolo è stato citato un primo naturale scenario di utilizzo della QKD, per connessioni con elevati requisiti di sicurezza o dove è importante la everlasting security.

Sono interessanti anche le reti di dispositivi dotati di QKD Link. Una prima architettura di reti "hop-by-hop" è stata dimostrata in Europa nel 2008 dal progetto SECOQC; in tali reti i messaggi passano tramite differenti nodi relay collegati da QKD Link. In questo caso la decrittazione / ricodifica e rilancio del messaggio viene effettuata ad ogni nodo intermedio con differenti chiavi QKD (si veda Figura 1).



Figura 1 - In una rete "hop-by-hop" i dati seguono un percorso fatto di nodi relè “trusted”, collegati da QKD Link. La decodifica/ricodifica del messaggio è fatta ad ogni nodo intermedio, usando la codifica one-time-pad tra la chiave locale, distribuita dal QKD, ed il messaggio segreto M, decifrato localmente dalla connessione precedente. Le diverse associazioni di chiavi sono simboleggiate da colori diversi.



Enrico Frumento*, Nadia Fabrizio*, Paolo Maria Comi+


* CEFRIEL Politecnico di Milano, Viale Sarca 226 – 20126 Milano

+ Italtel, Via Reiss Romoli – loc. Castelletto – 20019 Settimo Milanese (Mi)



Lavori Citati

[1]

Digital Tech, “Q-Secure Net Factsheet,” 2019. [Online]. Available: https://www.eitdigital.eu/fileadmin/files/2020/factsheets/digital-tech/EIT-Digital-Factsheet-Q-Secure-net.pdf.

[2]

R. Alléaume, C. Branciard, J. Bouda, T. Debuisschert, M. Dianati, N. Gisin, M. Godfrey, P. Grangier, T. Länger, N. Lütkenhaus, C. Monyk, P. Painchault, M. Peev, A. Poppe, T. Pornin, J. Rarity, R. Renner, G. Ribordy, M. Riguidel, L. Salvail, A. Shields, H. Weinfurter and A. Zeilinger, “Using quantum key distribution for cryptographic purposes: A survey,” Theoretical Computer Science, vol. 560, pp. 62-81, 2014.

[3]

W. Diffie and M. Hellman, “New directions in cryptography,” IEEE Transactions on Information Theory, vol. 22, pp. 644-654, 1976.

[4]

M. Herlihy, “Atomic Cross-Chain Swaps,” in ACM Symposium on Principles of Distributed Computing, 2018.

[5]

S. Micali, “Algorand’s Forthcoming Technology,” 26 5 2019. [Online]. Available: https://medium.com/algorand/algorands-forthcoming-technology-bcd17989c874.

[6]

CORDIS, “Development of a Global Network for Secure Communication based on Quantum Cryptography,” 2008. [Online]. Available: https://cordis.europa.eu/project/id/506813.



1 Il servizio di Atomic Swap può essere configurato in due modi: hashlock o timelock. Hashlock è una funzione che limita la spesa dei fondi fino a quando un certo dato non viene reso pubblico (come prova crittografica. Timelock limita la spesa dei fondi fino a un determinato momento futuro.