Traduttore automatico - Read this site in another language

sabato 12 giugno 2021

DIVERSITY & INCLUSION: LA CYBER-TUTELA DELLE FASCE DEBOLI

Nella valutazione del rischio cibernetico, la considerazione di una larga fetta di vulnerabilità si fonda su evidenze e studi di natura vittimologica. Le organizzazioni e le Autorità, infatti, nel mitigare i rischi inerenti la sicurezza informatica e la protezione cibernetica, oltre a soppesare la eventualità di disfunzioni di tipo elettronico, fisico ed ambientale, hanno da considerare anche le debolezze che - inevitabilmente - il fattore umano introduce in qualsiasi sistema informativo.

In questo senso, la valutazione di impatto della componente umana comporta la considerazione di tre aspetti: il divario digitale, cioè la carenza generalizzata di competenze informatiche tra la popolazione; la minaccia interna, cioè l’evidenza criminologica di dipendenti infedeli o non collaborativi; la fragilità digitale, cioè la realtà di persone con condizioni di debolezza psico-fisica - età, salute, capacità cognitive - che non permettono un accesso equivalente alla tecnologia.

Sui primi due aspetti non mi soffermo in questa sede. Accenno soltanto che sul “digital divide” - da mitigare investendo in programmi strutturati di alfabetizzazione digitale - il nostro Paese si è dato l'obiettivo strategico di colmare il gap di competenze informatiche entro il 2026, rendendo digitalmente abile per quella data almeno il 70% della popolazione. Sul fronte, invece, della tematica dell'inaffidabilità personale, l’esperienza consiglia l’implementazione di programmi di insider threat prevention & response, tipicamente basati su approcci e risorse di intelligence.

La terza considerazione, invece, è relativa alla minaccia asimmetrica portata da cyber-criminali verso tre specifiche fasce di popolazione: gli anziani, generalmente carenti di conoscenze informatiche ed affetti da problemi geriatrici che riducono le performance cognitive ed aumentano le difficoltà di memorizzazione; i bambini, naturalmente limitati nel comprendere concetti astratti, con comprensibili problemi nella lettura dei testi e limitate capacità cognitive e di controllo corporeo (ad esempio nella gestione del mouse); i disabili, con deficit visivi, daltonismi oppure con disabilità cognitive o motorie.

Per ciascuna delle categorie individuate, esistono studi di settore che, muovendo dalla considerazione delle fisiologie e delle patologie costituenti impedimento o rallentamento, suggeriscono le soluzioni assistive oppure immersive più utili per abbattere le relative barriera di accesso.


Sul fronte della tecnologia, ad esempio, uno studio apparso sul
Journal of Computer Science ha preso in esame un campione di anziani, uno di bambini dai 3 agli 8 anni ed un gruppo di disabili. Sottoponendoli ad interviste finalizzate ad individuare le difficoltà ad interagire con i software, l’analisi è pervenuta ad individuare le linee programmatiche di sviluppo di nuove interfacce utente che assicurino maggiore accessibilità e inclusione e, dunque - aggiungo io - maggiore sicurezza in rete. E’ emerso ad esempio che gli anziani potrebbero meglio padroneggiare la tecnologia, se si limitasse la terminologia informatica e si riducesse l’ingombro di informazioni sugli schermi; i bambini potrebbero meglio interagire coi software, qualora si diminuisse la complessità informativa e si eliminassero i testi, sostituendoli con disegni e foto; ed infine i disabili potrebbero meglio relazionarsi coi dispositivi elettronici grazie all’utilizzo di soluzioni di riconoscimento testuale e di sintesi vocale, oppure ancora di traduzione in braille del testo che appare sullo schermo. Altri studi, più focalizzati sulle tecniche di interfaccia utente, hanno permesso di ipotizzare l’utilizzo di tecniche già note in ambito militare e medico-chirurgico, come la augmented reality - tecnologia che permette l’arricchimento della percezione umana - o delle metodiche di virtual reality che consentono la simulazione digitale della realtà.

Sul fronte invece di chi fornisce assistenza - tipicamente i caregiver e le famiglie - sono state evidenziate alcune suggestioni di natura socio-culturale. Ad esempio, specificamente per i più piccoli, è di interesse particolare uno studio del National Institute of Standards and Technology che ha sondato le conoscenze e le prassi di un campione di bambini in età scolare. Le risultanze hanno fatto emergere che i bimbi esaminati - generalmente adusi ad effettuare i log-in sui computer di scuola o di casa e dunque già in possesso di buone competenze di igiene digitale - hanno dimostrato però idee non chiare sulla funzione della password, confondendo i concetti di autenticazione con quello di protezione delle credenziali di accesso (password security), piuttosto che tra il diritto alla riservatezza (privacy) ed il diritto alla sicurezza della navigazione on-line (safety). La maggior parte degli scolari, ad esempio, ha affermato che la password "è importante perché ci salva la vita”: ciò ha ingenerato nei ricercatori la convinzione che sarebbe in atto un approccio educativo fondato sulla paura che - creando modelli mentali inaccurati - comprometterebbe alla lunga lo sviluppo in età adulta di adeguate competenze di autotutela cibernetica. Al contrario, altri studi in tema di "human-centred security" hanno acclarato quanto siano più efficaci nel lungo periodo gli approcci formativi basati su creatività e fiducia, piuttosto che quelli fondati sul timore di conseguenze nefaste.

Insomma, la comunità scientifica ha le idee piuttosto chiare sulle soluzioni tecniche, pedagogiche e organizzative necessarie per rendere più robusta la difesa in rete dei fragili digitali.

Il problema, però, è che nella pratica non si tengono ancora in debito conto le necessità della fascia di popolazione in esame: il web ed i software di computer, tablet e smartphone sono sviluppati per esaltarne l’usabilità generale, intesa come la capacità di massimizzare la soddisfazione, lefficacia e lefficienza dellesperienza dell’utente medio. Di contro, la sicurezza cibernetica di chi è più debole in rete deve far leva su due altre caratteristiche che si possono ottenere a scapito della usabilità generale e cioè: l'accessibilità, intesa come la possibilità del disabile di riuscire comunque, in modo equivalente, a percepire, comprendere, navigare ed interagire con gli applicativi, nonché di contribuire (per il loro tramite) in modo equo e senza barriere; l’inclusività, definibile come la capacità dei programmi informatici di assicurare il massimo coinvolgimento possibile per chiunque.

Insomma, la soluzione del problema passa per approcci socio-economici e culturali che assicurino un corretto bilanciamento tra usabilità, accessibilità ed inclusività della tecnologia.

Non è solo un problema di equità sociale. E’ un fattore strategico di sicurezza: la possibilità che gli utenti con fragilità digitale - sotto questo aspetto, l’anello più debole della catena - siano nelle condizioni di difendersi in rete, nonché di riconoscere e segnalare incidenti, pericoli e preoccupazioni, garantisce un dominio cibernetico più sicuro per tutti! 


Orazio Danilo Russo


Per approfondire:



Confidentiality – Integrity – Availability nella Operation Technology in ottica Industria 4.0: parte prima

Con questo studio vogliamo invitarvi a conoscere meglio il mondo della Operational Technology (O.T.) con riferimento specifico alla cybersecurity. 

Lo studio è suddiviso in due articoli. Il primo comprende una breve introduzione sull'importanza della gestione dei dati nel processo aziendale, per passare a descrivere i Processi industriali nell’industria 4.0

Nel paragrafo Il Concetto C.I.A. dalla Cyber security al processo industriale entriamo nel cuore della materia descrivendo le relazioni tra Confidentiality, Integrity e Availability.

Nel secondo articolo passiamo in arssegna degli esempi di attacco a sistemi OT e le possibili conseguenze. Infine alcuni consigli sulle strategie da seguire per proteggersi.

Senza voler essere esaustivi, speriamo però che questo lavoro di sintesi possa essere utile per chi si avvicina alla cybersecurity del mondo Industria 4.0

Buona lettura.

Introduzione

Nel processo industriale la gestione dei dati forniti dai vari sensori è fondamentale per il controllo del processo stesso, per prevedere attività manutentive in logica predittiva e per poter stabilire la qualità del prodotto finale.

Il dato fornito dal singolo sensore quindi non è soltanto un numero ma è lo spunto per un insieme di analisi che coinvolgono tutto il processo aziendale, dalla manutenzione alla qualità al processo stesso di vendita fino alla proprietà intellettuale.

Se in passato il sensore era costituito da un sistema meccanico a lancetta o digitale “stand-alone”, in cui quanto sopra veniva gestito principalmente dall’uomo grazie alle sue specifiche competenze, oggi il dato viaggia in rete, può essere elaborato e condiviso, può essere di aiuto ad una attività di controllo in remoto così come ad una manutenzione predittiva e può in conclusione aiutare il processo gestionale e decisionale dell’azienda. Questa evoluzione oggi si chiama Industria 4.0 e connessa ad essa sono anche processi aziendali di miglioramento e digitalizzazione, aiutati anche da fondi pubblici. Nella Fig. 1 viene illustrata in linea temporale l’evoluzione discussa sopra.

Figura 1: Evoluzione del concetto di Industria, e di pari passo di gestione del dato

(fonte: Wikipedia)

Ma, come tutto in rete può essere teoricamente violabile, lo è anche il singolo sensore o trasduttore dell’impianto? La rete OT (Operation Technology) quanto si può considerare sicura? Qual è il livello di sicurezza richiesto dagli standards attuali e come prepararsi alle evoluzioni future?

Se in passato ci è capitato di vedere sensori di pressione che indicavano un valore appositamente errato per proteggere il valore vero e quindi la proprietà intellettuale del processo a cui il sensore era dedicato, tale logica oggi ha ancora senso in un sistema gestibile da remoto?

Cosa ci ha insegnato il caso del virus Stuxnet [1] o il ransomware che ha bloccato il sistema di gestione della Colonial Pipeline [2] ? Senza arrivare a tali casi, vogliamo in questa breve trattazione indicare gli elementi base di una strategia di protezione che, al di fuori delle proposte di mercato, possa essere da guida per un corretto impiego della tecnologia disponibile. Un esempio applicativo servirà di aiuto alla comprensione dei concetti trattati e delle fasi di Early Warning e Incident Response.

Processi industriali nell’industria 4.0

Il termine Industria 4.0 indica un insieme di azioni migliorative dell’intero processo aziendale mediante l’applicazione di strumenti e concetti all’avanguardia facenti parte di un pacchetto individuato dalla Comunità Europea con il termine “Tecnologie Abilitanti”. In breve tali tecnologie sono di seguito elencate:

    • Advanced manufacturing solution: tutte le tecnologie di produzione avanzata, inclusa lo robotizzazione e la logistica automatizzata
    • Additive manufacturing: Utilizzo e sviluppo di sistemi di produzione mediante stampa 3D e con impiego di materiali di varia natura in settori high-tech.
    • Realtà aumentata: sistemi di simulazione 3D e ambienti con realtà aumentata per aiutare gli operatori a svolgere il proprio lavoro con aumento della sicurezza e riduzione di errori.
    • Simulazioni: Simulazione della interazione tra meccanismi diversi volta alla integrazione
    • Integrazione orizzontale e verticale: Integrazione orizzontale e verticale tra i vari componenti del processo produttivo per incrementare sicurezza, affidabilità e produttività.
    • Industrial internet: utilizzo della rete internet per comunicazioni sicure sia interne che esterne.
    • Cloud: implementazione di tutte le tecnologie di archiviazione e gestione/analisi mediante l’uso del cloud computing,
    • Sicurezza informatica: Dai due punti precedenti è naturale la necessità di aumento della sicurezza dei dati.
    • Big Data Analytics: Gestione di grandi quantità di dati attraverso sistemi aperti che permettono previsioni o predizioni.

    Tutto quanto sopra fa parte del bagaglio tecnologico che l’azienda deve necessariamente avere per poter essere competitiva sul mercato. 
    La conseguente necessità di nuovi investimenti va di pari passo con la accresciuta esposizione dei dati aziendali a possibili attacchi esterni. Le medie e grandi aziende stanno affrontando in maniera strutturata le proprie aree critiche e investendo in personale e sistemi di protezione, aiutati anche da varie iniziative pubbliche sia nazionali che internazionali, quale Legge Sabbatini [3] o appunto Industry 4.0.
    Il problema per le piccole aziende è fondamentalmente di approccio al sistema, mancando ad oggi una diffusa cultura di base sulla sicurezza informatica, spesso risolta con un antivirus installato sul PC o sul server e un consulente esterno.
    Purtroppo a livello di Cyber Security la lotta è impari: i tempi di attacco vero e proprio di un criminale in rete sono  molto più rapidi della evoluzione degli antivirus o dell’intervento del tecnico. Prima di un qualsivoglia intervento, un hacker ha avuto tutto il tempo per organizzare l’attacco, mentre chi deve difendere il proprio sistema generalmente si trova a dover rispondere e recuperare in tempi rapidissimi. Il danno che con alcune tipologie di attacco si può causare ad un processo produttivo in ambito OT è esponenziale rispetto al semplice furto di dati aziendali fatti con una mail o il blocco del PC di casa.
    Il rischio di un attacco al sistema OT va dal blocco della produzione alla rottura di parti di impianto fino alla distruzione dell’impianto stesso e dell’intero ciclo produttivo con possibili conseguenze anche ambientali e sul territorio.
    I due casi citati nell’introduzione (Stuxnet e Colonial Pipeline) sono eclatanti e infatti hanno avuto risonanza mondiale: attacchi di tale tipo sono realmente difficili da contrastare. Ma nell’approcciarsi allo sviluppo e mantenimento del sistema OT, la componente di sicurezza informatica deve essere fondamentale e sempre presente in tutte le singole azioni di tutti i singoli attori e una necessaria cultura della sicurezza deve essere di base per favorire l’armonico sviluppo del concetto di Industria 4.0. Non bisogna intendere in maniera pessimistica gli eventi citati pensando che “…se sono riusciti a penetrare una centrale nucleare o un sistema strategico di distribuzione nazionale, qualunque azione io faccia non ha sicuramente efficacia” così come non è pensabile ed attuale il detto “Un PC è sicuro se non è collegato in rete”. Occorre invece una maggior consapevolezza dei rischi, una attenta valutazione delle possibili specifiche conseguenze e quindi le necessarie azioni di contrasto, recovery e mitigazione. In questo ci viene d’aiuto la ricerca finora fatta in ambito Cyber Security, i cui elementi di base dovrebbero essere conosciuti e applicati spontaneamente come una qualsiasi elaborazione del sistema OT durante la sua operatività.

Il Concetto C.I.A. dalla Cyber security del processo industriale

Lo sviluppo della sicurezza informatica è andato di pari passo allo sviluppo tecnologico sia delle tecniche di attacco che di difesa. Se solo negli ultimi anni è diventato argomento comune di discussione, storicamente la necessità di sottrarre/manipolare informazioni e la conseguente possibile difesa ha radici molto remote (i codici e la crittografia sono praticamente nati fin dall’epoca dei Babilonesi se non prima). Una presentazione dello sviluppo negli ultimi decenni della sicurezza informatica si può trovare in [4].

Uno dei concetti di base, valido in realtà in tutti gli ambiti della gestione delle informazioni, che è stato sviluppato e dovrebbe essere il punto di partenza di qualsiasi sistema informativo volto alla gestione in sicurezza del dato, è la triade C.I.A. [5], acronimo che in inglese viene esplicitato come: Confidentiality – Integrity – Availability

Figura 2: La Triade C.I.A.


Ovvero in Italiano: Riservatezza – Integrità – Disponibilità.

L’insieme delle tre azioni rappresentano la base della sicurezza informatica, a tutti i livelli e con i necessari specifici sviluppi in base a cosa e quanto occorre mettere in sicurezza.

Tale triade trova però nella OT e nei processi industriali una delle sue migliori espressioni: Nessun processo industriale può permettersi di essere a disposizione di tutti (mancata riservatezza), con possibili variazioni introdotte in maniera malevola o anche semplicemente inconsapevole (mancata integrità) e non disponibile.

Un processo industriale che non ha di base tale triade è potenzialmente un processo non solo a rischio per l’azienda ma per la stessa comunità: si pensi a cosa accadrebbe se un virus potesse manipolare un sistema di aumento incontrollato della pressione di un serbatoio di gas o intervenisse sul sistema di filtraggio prima dell’immissione in atmosfera di vapori di processo!

Sviluppiamo in logica C.I.A. le tre componenti in maniera da renderle esplicite in un sistema OT.

Se il Sistema OT è inteso come l’Operation Technology alla base del sistema produttivo e gestionale dell’azienda ed è pensato in logica Industria 4.0, la prima preoccupazione deve essere sul modello di implementazione della C.I.A. in tutti i suoi aspetti. La seconda preoccupazione deve essere la costante analisi, revisione e riverifica della C.I.A. in tutte le sue componenti. La terza preoccupazione è… non deve passar giorno senza che sia stato fatto e riverificato puntualmente quanto sopra.

Ma perché la triade è più importante in un sistema OT rispetto ad un normale sistema informativo aziendale?

Ne parleremo nel prossimo articolo.


giovedì 10 giugno 2021

Sicurezza e DevOps: cosa vuol dire "shift left" ?

Nel documento DBIR (Data Breach Investigations Report) 2021 rilasciato in Maggio da Verizon si analizzano le investigazioni su incidenti e data breach informatici del difficile anno appena trascorso.

Tra le diverse evidenze identificate nelle cause di incidenti e di perdite dati, una colpisce sia per la ricorrenza in entrambe le categorie che per la posizione in classifica – al secondo posto per importanza: gli attacchi alle applicazioni web.

La combinazione tra trasformazione digitale delle aziende e l’emergenza pandemica hanno caratterizzato importanti cambiamenti, che recentemente hanno enormemente amplificato l’utilizzo di applicazioni web per larga parte della produttività personale e professionale.


Figura 1 - Classifica delle cause di incidenti e compromissioni

- Fonte: Verizon DBIR 2021


Da un lato il tanto deprecato "lavoro da casa" si è in realtà rivelato un'eccellente soluzione, che ha contribuito a mitigare la devastazione che diversamente avrebbe colpito l'operatività delle aziende in modo importante.

Aziende che sia nei dirigenti che nei dipendenti hanno mostrato una creatività notevole nonostante note problematiche infrastrutturali ed operative.

Dall’altro si è assistito ad un aumento esponenziale della superficie di attacco esposta e dei conseguenti rischi di compromissione.

Il consorzio Open Web Application Security Project (OWASP) manutiene una lista di 10 categorie di vulnerabilità gravi sulle web application, in modo da permettere ai team di security di intervenire nel loro controllo.

Il problema rimane nella scarsa attenzione ad un’igiene digitale preventiva e a controlli applicati solo quando l’applicazione è pubblicata in Internet, quindi raggiungibile sia da utenti legittimi che – purtroppo – da cybercriminali.

Altra causa di debolezza degli applicativi web sta negli intervalli molto ampi – a volte anche di semestri o più – con cui sono eseguite verifiche per la presenza di vulnerabilità.

È necessario aumentare il livello di maturità di aziende e organizzazioni nei confronti di questa igiene digitale mancante, con un’azione spesso definita come shift left security.

Per capire meglio l’idea va analizzato il processo con cui sono sviluppate, verificate ed infine pubblicate le applicazioni web, secondo i dettami della metodologia agile che prevede Continous Integration, Continuous Delivery/Deployment (CI/CD).

Spesso rappresentato come un ciclo che ricorda la forma dell’infinito matematico, il flusso operativo di integrazione ed implementazione continua viene frequentemente sintetizzato con il termine DevOps – ad indicare la stretta collaborazione tra il team di sviluppo (Dev) ed il team di gestione operativa (Ops).



Figura 2 - Illustrazione del Ciclo DevOps

La domanda importante a questo punto diventa: dove inserire i controlli di sicurezza, per evitare che le vulnerabilità – quindi i potenziali vettori di attacco – siano scoperti quando l’applicazione è visibile e raggiungibile da chiunque?

Ecco l’idea alla base di “Shift Left Security”.

Quando un’organizzazione implementa il paradigma DevOps, spesso il processo prevede l’adozione di piattaforme software che agevolino la transizione tra le varie fasi del ciclo.

Esempi di queste piattaforme sono Jenkins, Bamboo, TeamCity, etc.


Figura 3 - Esempio di istruzioni nella fase Build


La logica utilizzata prevede di gestire i vari momenti, quali recupero del codice dal repository centralizzato (es. GitHub), eseguire le istruzioni per compilare l’applicazione (fase di build), eseguire azioni prima o dopo la fase di build (es. trasferire il semilavorato in un altro ambiente o eseguire il compilato).

La maggior parte di queste piattaforme sono strutturate in modo aperto, supportando plug-in software che permettano di espandere le funzioni di base previste dalla piattaforma.

Proprio grazie a questi plug-in è possibile integrare controlli di sicurezza automatici, in modo che intervengano nei passaggi tra una fase e la successiva.

A seconda dei plug-in utilizzati è addirittura possibile impostare dei criteri di sicurezza, in base ai quali la fase di build possa concludersi con successo o con errore.

Figura 4 - Esempio di definizione criteri di sicurezza con plugin


Ad esempio, definire che in presenza di vulnerabilità software oltre una certa soglia numerica o di criticità il progresso lungo la pipeline non debba essere possibile.
Altre opzioni di configurazione dei plug-in permettono di esporre gli errori e le problematiche di security direttamente nella schermata visibile agli sviluppatori, in modo da renderli autonomi nella risoluzione del problema.

In questo modo i controlli di sicurezza si spostano sempre più verso l’origine, garantendo una miglior resilienza dell’applicazione quando finalmente verrà promossa in produzione e mitigando il rischio di attacchi informatici.

La tecnica dello “shift left” non riguarda soltanto le pipeline di produzione delle applicazioni web, ma viene spesso adottata per implementare lo stesso livello di agilità in ambiti quali container applicativi, formazione risorse cloud, immagini di server e client, infrastruttura.

Si tratta, in sostanza, di una crescita nella maturità del programma di sicurezza di un’organizzazione che riesce a combinare in modo efficiente agilità, velocità operativa ed efficacia nei controlli di sicurezza.


Marco Rottigni


lunedì 7 giugno 2021

Microsoft PowerShell e le nuove frontiere del malware

La maggior parte degli utenti di Microsoft Windows (in particolare, gli amministratori di sistema) avrà sentito parlare, almeno una volta, di Windows PowerShell, un interprete dei comandi (più propriamente definito “shell”, in maniera molto simile a interpreti come Bash su Linux) attraverso cui è possibile “pilotare” diverse funzionalità del sistema operativo. Tali funzionalità includono, ad esempio, la possibilità di copiare e spostare i file, di scaricare applicazioni da remoto, ma anche di controllare la lista dei servizi attualmente in esecuzione. I comandi PowerShell sono detti anche cmdlets, e rappresentano una combinazione di funzioni racchiuse, tipicamente, in un unico comando. Ad esempio, il cmdlet ConvertTo-XML crea una rappresentazione in XML di un oggetto.

Ciò che è sicuramente meno noto per gli addetti ai lavori è il fatto che PowerShell viene spesso utilizzato per espletare funzionalità malevole. L’idea è semplice: le funzionalità fornite dalla shell consentono di eseguire comandi di sistema avanzati, che possono essere anche dannosi per il sistema stesso se usati impropriamente (ad esempio, caricare file aggiuntivi in memoria, scaricare file malevoli dalla rete, etc.). Questo costituisce un enorme vantaggio nell’attaccare i sistemi Windows rispetto alle tradizionali tecniche di vulnerability exploitation, le quali prevedono l’esecuzione di codice malevolo attraverso lo sfruttamento di vulnerabilità in programmi già presenti nella macchina target (tipicamente non aggiornati). Attraverso PowerShell, quindi, non è necessario sfruttare vulnerabilità specifiche di un’applicazione o del sistema operativo, ma è possibile eseguire direttamente gli attacchi.

PowerShell viene spesso utilizzato indirettamente attraverso l'uso di vettori d'infezione,  spesso rappresentati da file Word ed Excel. Tali file contengono, infatti, delle macro, ovvero delle procedure automatiche che normalmente dovrebbero facilitare la scrittura di documenti o fogli di calcolo (ad esempio, riempire automaticamente certe celle o eseguire determinati calcoli su più celle). Anche in questo caso, tali macro sono spesso utilizzate in contesti assolutamente “benigni”, ma possono implementare funzionalità per generare, appunto, codici PowerShell. Inoltre, PowerShell può anche essere utilizzato direttamente, attraverso la creazione di una reverse shell che può consentire ad un attaccante di usarne appieno le funzionalità.

Un’altra caratteristica del codice PowerShell è la capacità di “nascondersi” agli occhi di un analista, in modo tale da non rendere evidenti le proprie azioni. Tale caratteristica prende, in gergo, il nome di offuscamento. È possibile, pertanto, prendere del codice anche molto semplice e complicarlo enormemente, senza però modificarne la semantica (ovvero, il programma funziona nello stesso identico modo della versione non offuscata).


Per contrastare ed analizzare i malware PowerShell offuscati, la ricerca scientifica ha, negli ultimi anni, fatto dei passi da gigante. In particolare, due studi dell’Università di Cagliari [1,2] hanno sviluppato delle tecniche efficienti per poter de-offuscare questi attacchi. In particolare, è stato da poco rilasciato uno strumento open-source, chiamato PowerDecode, capace di ottenere il codice PowerShell originale dalla sua variante offuscata. PowerDecode può essere scaricato liberamente [3].

I malware PowerShell costituiscono, quindi, un importante rischio per i sistemi Windows, soprattutto quando caricati da documenti Office. La ricerca è comunque attiva per proporre soluzioni sempre più efficienti per poter analizzare e rilevare questa categoria di attacchi.


Davide Maiorca


Riferimenti

[1] D. Ugarte, D.Maiorca, F. Cara e G. Giacinto. PowerDrive: Accurate De-Obfuscation and Analysis of PowerShell Malware, 16th Conference on Detection of Intrusions and Malware & Vulnerability Assessment (DIMVA). Springer, Gothenburg, Sweden, pagg. 240-259, 2019.

[2] G. M. Malandrone, G. Virdis, G. Giacinto e D. Maiorca. PowerDecode: a PowerShell Script Decoder Dedicated to Malware Analysis. In 5th Italian Conference on CyberSecurity (ITASEC), 2021.

[3] PowerDecode. https://github.com/Malandrone/PowerDecode

sabato 5 giugno 2021

Vaccini e dark web

Il COVID 19 ha condizionato la nostra vita negli ultimi 18 mesi costringendoci a cambiare le nostre abitudini di vita sociale. Dalla banale stretta di mano, ora scomparsa, alla visita ai parenti più anziani, considerata alla stregua di un attentato!

Sempre il COVID 19 ha cambiato le nostre abitudini di lavoro, costringendo persone e aziende a restare a casa e imparare a lavorare a distanza. Di ciò abbiamo parlato tante volte nei nostri articoli in cui abbiamo analizzato l'incremento del rischio...

Ed ora, mentre si rincorrono le voci per cui il virus sarebbe fuoriuscito dal laboratorio cinese di Wuhan (anche se ne avevamo già sentito parlare come di una fake news!) alternate ai numeri delle campagne vaccinali che dovrebbero permetterci di uscire dal tunnel, comincia ad emergere un aspetto legato al COVID 19 ancora poco noto: vaccini, o presunti tali, in vendita sul dark web.

In senso lato la cosa non è nuova; medicinali, droghe e sostanze dopanti sono in vendita da sempre sul dark web.

Nel marzo scorso, nel corso di una conferenza internazionale, la World Health Organization (WHO) mise in guardia sul traffico di vaccini :   

“We urge all people not to buy vaccines outside government-run vaccination programs. Any vaccine outside these programs may be substandard or falsified, with the potential to cause serious harm...”

Nello stesso mese, uno studio di Kaspersky mostrava evidenze di vendita di vaccini sul dark web, veri o presunti. Il costo per dose poteva raggiungere anche i 1.200 dollari, non certo un prezzo popolare! Sempre secondo questo studio nel 30% dei casi si trattava di vaccini veri, probabilmente sottratti illegalmente da strutture sanitarie. Chiaramente ciò significa che il restante 70% ha ricevuto, in cambio di una somma non indifferente, una sostanza nel migliore dei casi innocua ma sicuramente poco efficace ...


La vendita di vaccini e di dispositivi di protezione di tutti i tipi è cresciuta nel tempo, per soddisfare le richieste del mercato nero e, in un certo senso, sopperire alle mancanze organizzative e di controllo degli stati che non sono stati in grado di gestire correttamente la pandemia.
Sembra che i principali mercati per la vendita di vaccini sul dark web siano gli USA, gli UK, la Germania e la Francia, dove una dose è stata pagata in media l'equivalente di 500 dollari, prevalentemente in bitcoin. 

Pagamento effettuato... una domanda ci poniamo: chissà se gli acquirenti hanno ricevuto il loro vaccino secondo gli standard previsti per mantenere la catena del freddo che ne garantisce l'efficacia... 

Ma d'altra parte si sa da sempre che "la farina del diavolo va tutta in crusca"!

  

Alessandro Rugolo

Per approfondire:

WHO warns against sales of counterfeit Covid vaccines on the dark web (cnbc.com);

COVID-19 vaccine doses have been sold on the dark web. Are they real? - CBS News

Coronavirus vaccines selling on darknet black markets | Kaspersky official blog

Dark web vendors are selling shady coronavirus 'vaccines' for $300, and there's been an uptick in listings since the FDA authorized Pfizer's shot (businessinsider.fr)

mercoledì 2 giugno 2021

Consumare Cyber Threat Intelligence

Il bel lavoro che faccio mi porta spesso ad affrontare conversazioni con i clienti su CyberSecurity, sui loro programmi, sulla loro concezione di cosa significa sicurezza e come implementarla nelle proprie organizzazioni.

Tra i diversi temi ascoltati, uno particolarmente ricorrente è rappresentato dai feed di Cyber Threat Intelligence.

Apparsi sul mercato ormai da sette-otto anni, sono spesso visti come il Santo Graal per riuscire a identificare un attaccante interessato prima che attacchi o, nella peggiore delle ipotesi, appena appaiono segni di compromissione di endpoint o reti.

Partiamo da una definizione semplice di Intelligence – elaborazione di informazioni predittive basate su evidenze certe – per apprendere dal mondo militare come evitare che investimenti in CTI anche importanti abbiano un ritorno nullo.

In ambiente militare, la fase di raccolta delle informazioni è preceduta da un’altra di cruciale importanza e troppo spesso sottovalutata: la pianificazione e direzione, nella quale gli organi di comando definiscono gli obiettivi informativi ritenuti necessari per le proprie decisioni.

Questo affinché la raccolta non sia fine a sé stessa o ad ampio spettro, ma estremamente mirata e focalizzata; già 2500 anni or sono un famoso stratega militare cinese – Sun Tzu – raccomandava di conoscere il tuo nemico e te stesso, in quest’ordine!

Conoscere te stesso significa avere una visibilità precisa e completa di come è composta la propria biodiversità digitale: dove si trovano le risorse, di che tipo sono (elementi mobili, server, risorse cloud, application container, applicazioni web…).

Quindi definirne l’osservabilità: è possibile frammentare e riassemblare, aggregare e dettagliare, interrogare e astrarre informazioni agibili dai metadati sull’ambiente digitale, in base ai propri casi di utilizzo?

E una volta inventariato il proprio orizzonte IT, quanto è semplice assegnare un livello di criticità alle risorse?

Questo significa conoscere sé stessi, ed è conditio sine qua non per poter procedere con il conosci il tuo nemico che definisce il modo di consumare CTI.

Che in ambito militare si suddivide in tre fasi: Elaborazione, Produzione di Informazione, Divulgazione. Tre fasi che poco o nulla hanno a che fare con il fornitore di CTI, ma che vedono frequentemente naufragare progetti molto promettenti sia per budget che qualità dei feed.

L’elaborazione riguarda la capacità di categorizzare le informazioni del feed, di correlarle tra loro e con informazioni terze, di valutarne l’importanza. Questa capacità deve essere presente e possibilmente esercita con risorse proprie, dal momento che velocità, agilità e dinamismo sono caratteristiche importanti per generare valore.

La produzione di informazione espande ulteriormente quanto qualificato nella fase precedente, trasformando dati disomogenei in informazione fruibile grazie alla analisi di metadati normalizzati.

Completa il ciclo di consumo di cyber threat intelligence la fase di divulgazione, che consiste nella distribuzione dell’informazione rielaborata a supporto del maggior numero di processi possibili.

Queste ultime due fasi richiedono una conoscenza approfondita dei potenziali fruitori dell’informazione, oltre che una piattaforma tecnologica che supporti la trasformazione.

Aiuta infine la comprensione dei tre possibili tipi di cyber threat intelligence che caratterizzano l’operazione di raccolta, in modo da prefigurare modelli di categorizzazione e consumo nei processi a seguire citati – oltre a determinare il grado di obsolescenza delle informazioni.


Il primo tipo è la CTI strategica: composta di analisi ed informazioni che hanno una tipicamente pluriennale, focalizza il chi ed il perché in relazione a determinati attaccanti.

Sviluppata di solito per un’audience non tecnica, è basata sull’analisi di demografia vittimologica, su campagne di attacco macroscopiche e mira alla classificazione di gruppi di attacco e delle motivazioni (hacktivismo, finanza, politiche, sponsorizzate da Stati…). Esistono varie categorizzazioni, ad esempio quella fornita da Mandiant (parte del gruppo FireEye) basata su sigle che racchiudono la motivazione e un progressivo numerico: APT per Advanced Persistent Threat, FIN per Financial, etc.

Il secondo tipo è la CTI operativa, concentrata sull’esporre il come ed il dove. Sviluppata sia per un’utenza tecnica che non, descrive elementi quali strumenti (tools), tecniche (techniques) e procedure (procedures) – o TTP – utilizzati per condurre un attacco.

Espone tratti caratterizzanti quali persistenza, tecniche di comunicazione utilizzate, descrizione di metodologie e regole.

Illustra ad esempio tecniche di ingegneria sociale o modus operandi di famiglie di malware.

Il terzo tipo è la CTI tattica, che rappresenta sia la forma più digeribile e quella il cui consumo richiede meno maturità. Destinata ad un pubblico tecnico, descrive eventi di sicurezza, esempi di malware o mail di phishing.

Include firme per riconoscere il malware e indicatori di attacco o di compromissione (IoA, IoC) come IP, domini, hash di file, che possono essere facilmente implementati per alzare difese a livello perimetrale, di monitoraggio e di risposta per bloccare tentativi oppure mitigare situazioni di compromissione.

Se è vero che l’utilizzo completo delle tre forme è spesso un problema più di esigenza che di budget, anche quando queste due condizioni siano soddisfatte la questione diventa un’altra.
Un processo virtuoso deve portare ad un mutuo coordinamento tra gli esiti dei tre diversi livelli di feed, che non devono lavorare come “silos”: i feed del livello strategico possono essere usati per orientare e perfezionare la ricerca informativa al livello operativo e tattico; analogamente, specifiche risultanze di intelligence a livello tattico possono essere di aiuto nel ridefinire gli obiettivi informativi della ricerca di livello strategico.

Questa situazione è talvolta aggravata dalla scarsa capacità di comunicazione tra livello tecnico direttivo e livello strategico, con un impatto diretto sulla fase di pianificazione e direzione che inficia sulla definizione di obiettivi chiari e condivisi; inquinando così l’intero valore, in favore di spese per sistemi o tecnologie ridondanti o utili solo alla soluzione di un problema puntuale.

Concludo questa breve analisi con tre domande quindi, per aiutare a comprendere quale tipologia, feed, o fornitore di CTI fa per voi.

  1. Gli obiettivi che la raccolta CTI supporta sono chiari, ben delineati nella sostanza e nel perimetro?

  2. Qual è la capacità di consumare i tre tipi di CTI? Anche nel tempo, questa risposta può evolvere ed espandersi

  3. Le risorse e il livello di specializzazione per consumare CTI in modo tangibile e che produca valore sono disponibile in misura sufficiente?

Come nell’ambito militare, così nella CyberSecurity la risposta onesta a queste tre domande qualificherà bisogno e natura di CTI, affinchè – parafrasando Sun Tzu – conoscendo sé stessi come il nemico, anche in mezzo a cento battaglie non si sia mai in pericolo.

Marco Rottigni

QUANDO IL CYBER-NEMICO FA BRECCIA DALLO SGABUZZINO

A partire dagli anni 70 del secolo scorso, l'evoluzione sociale e tecnologica ha progressivamente mutato il paradigma dell'attivit
à lavorativa, prima tradizionalmente svolta entro gli spazi fisici controllati dal datore di lavoro.

Tale progressione ha subito una accelerazione mai vista prima a motivo della recente crisi sanitaria. Le conseguenti misure di contenimento e gestione, infatti, hanno forzato il ricorso al lavoro agile, peraltro anche tramite dispositivi elettronici non controllati dalla piattaforma tecnologica datoriale; dispositivi, tra l’altro, non sempre in linea - come facilmente intuibile -  con le raccomandazioni o gli standard degli enti di certificazione o omologazione.

Gli effetti sulla sicurezza delle informazioni e sulla continuità operativa delle reti, dei sistemi informatici e dei servizi informativi non si sono fatti attendere. E i prossimi mesi faranno verosimilmente emergere ulteriori evidenze di una vulnerabilità sistemica tutta nuova per dimensione, figlia di due aspetti concomitanti, i cui effetti si sono fatti spalla l'un l'altro con esito esponenziale: il disallineamento repentino venutosi a creare tra perimetro di sicurezza informatica e perimetro di sicurezza fisica; e l'utilizzo massiccio dei dispositivi personali per sopperire - in misura marcata nella prima fase della crisi - alla mancanza di client enterprise (smartphone, tablet e computer assegnati dal datore di lavoro ai dipendenti, per intenderci) necessari ad assicurare lo “smartworking”.

Sì, perché il mondo del lavoro si è svegliato un bel mattino ed ha dovuto fare i conti con una realtà - il confinamento domiciliare - che ha deviato sui segmenti tecnologici dell’intimità domestica il flusso delle informazioni di lavoro e l'operatività di imprese, pubbliche amministrazioni e terzo settore. Una mole di traffico, non propriamente “leisure”, è piombato sul piccolo router di famiglia (la porta di ingresso cibernetica di casa), sul computer della cameretta dei figli - utilizzato in promiscuità anche per lezioni di didattica a distanza - ovvero sull'ultima versione di smartphone di fabbricazione lontano-orientale, su cui hanno iniziato a coabitare indifferentemente sessioni di lavoro in videoconferenza, variegate attiva ludiche e le più stravaganti interazioni di social networking.

Il tutto condito dal fatto che, per ovvie ragioni pratiche ed economiche, questi neonati e improvvisati segmenti di rete hanno spostato in modo preponderante l'accento - a livello fisico - sulla tecnologia radio (Wi-Fi), meno affidabile dei cavi di rame e della fibra ottica.

Per farla breve, a fronte di gateway, portali, firewall e server di accesso remoto (cioè delle cyber-corazzate schierate a protezione delle reti di caserme, ministeri, organizzazioni no-profit e aziende) il nemico ha avuto l'opportunità di aggirare il fronte di difesa e sfondare lateralmente tramite il modem nascosto nello sgabuzzino di casa dei “teleworkers".

L'argomento è di tale rilievo che il National Institute for Standards and Technology ha lanciato una “Call for comments”, mobilitando l'intelligenza collettiva di settore per adeguare la standardizzazione dei processi e delle metodiche di sicurezza alla mutata realtà. Ed in Patria, l'argomento è sotto l'attenzione di CSIRT Italia (le forze speciali Cyber della nostra Repubblica, per intenderci), che tra l'altro ha avviato una specifica campagna di sensibilizzazione.

Vediamo allora di fare il punto - a volo d'uccello - sui profili di rischio da monitorare.



Anzitutto il perimetro di analisi da considerare è costituito da tre aree di processo, parzialmente sovrapponibili ma concettualmente diverse: il
"telework", cioè lo svolgimento dell'attività lavorativa fuori dal perimetro di sicurezza fisica dell'organizzazione; il "remote access", cioè la possibilità di accedere - dall’esterno - alle risorse informatiche non pubbliche di una organizzazione; il "BYOD", acronimo di “Bring Your Own Device” e cioè la possibilità di svolgere l'attività lavorativa con smartphone, tablet e computer non controllati dal datore di lavoro, cioè quelli di proprietà personale del lavoratore o di terze parti contrattuali (contractors).

Il rischio in disamina va inquadrato facendo quattro assunzioni di base. La prima deriva dalla considerazione che non si può proteggere ciò che non si controlla fisicamente. Nel telework si lavora - per definizione - fuori dal perimetro di sicurezza fisica datoriale e dunque i “client” dell'organizzazione possono essere più facilmente dispersi, rubati o rimanere temporaneamente fuori dalla disponibilità del lavoratore. La conseguenza qui può essere la perdita del dato salvato nel dispositivo smarrito oppure il tentativo di accesso fraudolento alle infrastrutture server, sfruttando i meccanismi di autenticazione del dispositivo rubato.

La seconda fa riferimento al fatto che, salvo costose eccezioni in genere legate alla circolazione di informazioni strategiche per i sistemi di difesa e sicurezza nazionale, il “remote access” avviene tramite reti - radio o cablate - messe a disposizione da terze parti (providers) e della cui sicurezza non si ha il controllo. Da ciò discende tutto il tema dell'intercettazione abusiva del traffico dati per finalità di furto o sabotaggio informativo, tipiche delle tattiche offensive di Man-In-The-Middle (MITM).

La terza, di molta affinità concettuale con la crisi sanitaria attuale, consiste nel pericolo di contagio da virus informatici tramite dispositivi infetti a cui si è permessa la connessione alla rete interna dell'organizzazione. Questo, ad esempio, è il terreno di elezione delle tattiche Initial Access dei cyber-pirati che si pongono l’obiettivo di infiltrare nell'ambiente informatico della vittima un eseguibile per condurre azioni di sabotaggio, danneggiamento, furto oppure di comando e controllo clandestino.

L'ultima assunzione va fatta con riferimento alla risorse interne che si decide di rendere disponibili all'accesso dall'esterno, specie se realizzata da BYOD, come ad esempio il laptop dell’appaltatore, lo smartphone personale del lavoratore dipendente, il tablet del consulente. Qui, paragonando, vale l’approccio dell’esser cauti nel dare le chiavi di casa al giardiniere, perché non ti capiti che ti chiuda fuori di casa o svaligi l’appartamento in tua assenza.

Una serie di assunzioni di rischio suppletive vanno fatte specificamente per i BYOD. Descriviamole brevemente: anzitutto esiste sempre un gradiente di “thickness” (robustezza del grado di sicurezza) tra ambienti informatici del datore di lavoro e dispositivi personali: questa sbavatura, costituisce fattore di vantaggio per l’avversario. Per natura infatti gli smartphone personali sono votati ad uso di svago e sono comprensibilmente più “thin” (per così dire più fragili) rispetto alle infrastrutture datoriali, ove le esigenze di sicurezza e continuità operativa obbligano ad essere più robusti che flessibili. Inoltre, l’eventuale traffico illegale generato da BYOD collegati alla rete del datore di lavoro può essere attribuita a quest’ultimo, con evidenti complicazioni legali e danni reputazionali.

Infine, una rete datoriale che permette la connessione di BYOD può essere inconsapevole terreno di scontro tra dispositivi di terze parti. E far sicurezza non significa solo proteggere il nostro patrimonio; ma anche evitare che qualcuno sfrutti i nostri asset per sferrare attacchi ad altri!

Orazio Danilo Russo


Per approfondire:

https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft

https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking

https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid

https://www.difesaonline.it/evidenza/cyber/microsoft-limportanza-della-sicurezza-e-della-privacy-al-tempo-del-covid

https://csirt.gov.it/contenuti/lavoro-da-remoto-vademecum-delle-policy-di-sicurezza-per-le-organizzazioni