Traduttore automatico - Read this site in another language

martedì 27 luglio 2021

Windows 11, un sistema operativo ancora più sicuro

We want to move people from needing Windows,
to choosing Windows,
to loving Windows.

[Satya Nadella]


Microsoft ha avuto l’ambizione di far sì che Windows non fosse solo un sistema operativo ma un marchio ed un marchio non è semplicemente un nome, un colore o un logo. È ciò che possiamo definire come un qualcosa che “
consenta alle persone di fare le cose che ritengono di maggior interesse per se stesse offrendo la migliore esperienza possibile”.

Se le aziende possono trarre un grande insegnamento dall’esperienza vissuta lo scorso anno, credo che si possa affermare che: “devono essere resilienti e che la tecnologia ed il, cloud siano due tra i fattori più importanti per potere soddisfare questa esigenza”.

La pandemia globale ha accelerato la trasformazione digitale in un modo inimmaginabile fino a poco tempo fa ed il fatto che sempre di più ha preso piede l’hybrid work ha creato le condizioni per cui le varie organizzazioni avessero bisogno di un sistema operativo che consentisse alle persone di lavorare, studiare o apprendere indipendentemente dal luogo in cui si trovassero. Il tutto, senza dimenticare la sicurezza perché, come diceva Albert Einstein: “L’uomo e la sua sicurezza devono costituire la prima preoccupazione di ogni avventura tecnologica”.

È proprio delle funzionalità di sicurezza di Windows 11 che vi voglio parlare. Per tutto il resto, vi rimando ai blog e ai siti ufficiali:

Ripartiamo ancora una volta da quanto accaduto nell’ultimo anno, anno nel quale i Personal Computer e, in generale, i dispositivi di ogni natura ci hanno tenuti in contatto con la famiglia e gli amici e hanno permesso alle aziende di continuare ad operare pur in una situazione di estrema criticità. In questo contesto, la responsabilità di un’azienda come Microsoft, il cui sistema operativo è utilizzato da oltre un miliardo di persone, è cresciuta ancora di più ed il pensiero è corso a come continuare ad offrire la migliore qualità, esperienza e sicurezza possibile. È un dato di fatto che mentre tutti, chi più chi meno, si è adattato a lavorare da casa, è stato raro passare una giornata senza leggere resoconti di nuove minacce relative alla sicurezza informatica. Phishing, ransomware, supply chain e vulnerabilità IoT sono stati i titoli di articoli di giornali e media che hanno messo ancor più in evidenza il fatto di come gli aggressori sviluppano costantemente nuovi sistemi per provocare il caos digitale.

Pertanto, con l'aumento della portata e della raffinatezza degli attacchi, anche i sistemi operativi devono essere sviluppati secondo paradigmi differenti che tengano in considerazione l’intera catena di protezione, dall’hardware al software, dal chip al cloud.

Come dicevo, Windows 11 è stato riprogettato per l’hybrid work ma con criteri di sicurezza estremamente elevati basati sull’adozione del principio “security by design”, adottando nuove tecnologie di sicurezza incorporate che aggiungono un ulteriore livello di protezione sia durante l’utilizzo in locale che durante l’accesso alle piattaforme e ai servizi cloud, consentendo al contempo produttività e nuove esperienze.

Le funzionalità di sicurezza chiave, attivate di default, oltre a quelle già presenti in Windows 10, sono:

  • l’isolamento dei processi basato sull’hardware;

  • la crittografia;

  • la prevenzione del malware.

In Windows 11, inoltre, sarà più semplice abbandonare le password grazie al miglioramento della modalità di accesso agli endpoint aziendali mediante il servizio “Windows Hello for Business”.

E sappiamo tutti quanto l’accesso ai sistemi tramite username e password rappresenti il rischio maggiore per le gli utenti e le organizzazioni di tutto il mondo .

A questo riguardo invito tutti i lettori a visitare il sito https://haveibeenpwned.com/ e a inserire il proprio indirizzo email 😊

Per lo sviluppo di Windows 11 Microsoft ha lavorato, se possibile in maniera ancora più forte, a stretto contatto con i propri partner per garantire una migliore sicurezza digitale grazie alle specifiche dei cosiddetti “PC secured-core”, una nuova generazione di dispositivi in cui vengono adottate le migliori caratteristiche di sicurezza già al livello del firmware dei sistemi. L’obiettivo dichiarato è quello di rendere questa tipologia di Personal Computer estremamente più resistenti alle cyber minacce rispetto ai dispositivi tradizionali.

Questi dispositivi combinano protezioni hardware, software e del sistema operativo per fornire garanzie end-to-end contro minacce sofisticate ed emergenti come quelle contro hardware e firmware che sono in aumento secondo il National Institute of Standards and Technology e il Dipartimento della Sicurezza Interna.

Il Rapporto Security Signals ha rilevato che l'83% delle aziende ha subito un attacco al firmware e solo il 29% sta allocando risorse per proteggersi.

Se le minacce continuano a crescere e a migliorare in termini di sofisticazione e di qualità non si può pensare di non fare altrettanto sul fronte dello sviluppo dei dispositivi. Chi pensa o polemizza sul fatto che sia una manovra voluta per permettere alle multinazionali o ai produttori di hardware di arricchirsi, dimentica che si tratta del normale sviluppo della tecnologia oppure fa ideologia o ancora fa finta di non guardare in faccia la realtà.

A dimostrazione dell’importanza sempre maggiore che riveste la sicurezza informatica, l’utilizzo di Windows 11 è dipendente dalla presenza del TPM (Trusted Platform Module), ossia un chip integrato nella scheda madre del PC o aggiunto separatamente nella CPU Il cui scopo è quello di proteggere le chiavi di crittografia, le credenziali utente e altri dati sensibili grazie ad una sorta di barriera hardware in modo che malware e aggressori non possano accedere o manomettere tali dati.

È corretto sottolineare come già da qualche anno Microsoft lo richiede sui prodotti certificati, cioè sui notebook e, più in generale, su tutti i prodotti pensati per le aziende.

Su molti sistemi assemblati, anche per questioni di contenimento dei prezzi, i produttori di schede madri non integrano questo modulo e quindi potrebbe essere possibile riscontrare alcune difficoltà nell’installazione di Windows 11 sul proprio PC. Si tratta, in ogni caso, di un “ostacolo” superabile grazie al fatto che i produttori di processori integrano, ormai da tempo, nei loro modelli più recenti di CPU uno specifico modulo di sicurezza compatibile con le specifiche Trusted Platform Module. Alcuni esempi? Intel Platform Trust (Intel PTT), AMD PSP fTPM e TA di Qualcomm. Ed in ogni caso la sicurezza viene prima di tutto !!!

È importante ricordare che, nella maggior parte dei casi, il modulo TPM integrato nella CPU deve essere abilitato dal BIOS.

Windows 11 ha, infine, anche il supporto immediatamente disponibile per MAA (Microsoft Azure Attestation), una soluzione unificata per verificare in remoto l’identità, l'affidabilità di una piattaforma e l'integrità dei file binari in esecuzione al suo interno, basata su Azure e che consente di applicare i criteri zero trust a qualsiasi piattaforma.

Tutto quanto detto è compatibile con i prossimi dispositivi che saranno dotati di Chip Pluton, presentato nel novembre 2020, oltre che con qualsiasi dispositivo che utilizza il chip di sicurezza TPM 2.0, inclusi centinaia di dispositivi disponibili da Acer, Asus, Dell, HP, Lenovo, Panasonic e molti altri.

ll rilascio di Windows 11, come detto, avviene in un momento in cui ormai è chiaro che lo smart working, da necessità legata all’emergenza pandemica, è diventato una policy aziendale che si consoliderà anche nel prossimo futuro e si evolverà sempre più verso forme flessibili di lavoro: in ufficio e da remoto.

Proprio per cercare di migliorare la collaborazione nei nuovi ambienti lavorativi “ibridi”, Windows 11 dispone di un’interfaccia utente rivista che mantiene, in ogni caso, una certa familiarità con il passato.

È stato completamente rivisto il menu Start per avere un’interfaccia più moderna e permettere di trovare più facilmente e velocemente le app e i documenti maggiormente utilizzati.

Windows 11 migliora l’interazione con le finestre aperte sul desktop mantenendo “memoria” dei processi in esecuzione. In questo modo, ad esempio, nel momento in cui stacchiamo il nostro notebook dalla postazione di lavoro a casa, il sistema li ricarica automaticamente nel momento in cui ci ricolleghiamo dall’ufficio, in modo da riprendere il flusso lavorativo.

In Windows 11 c’è un grande focus sul mondo della collaborazione grazie all’integrazione con Microsoft Teams. Sarà più semplice silenziare o riattivare il microfono, condividere il desktop o anche una singola applicazione durante una riunione direttamente dalla barra delle applicazioni del desktop.

Per concludere, non è un caso che lo sviluppo del nuovo sistema operativo Microsoft abbia tenuto conto della sempre maggiore diffusione dell’hybrid work, un nuovo modo di lavorare che include virtuosamente sia la distanza sia la presenza. La nuova sfida per tutte le organizzazioni è quella di creare un posto di lavoro fisico e digitale in grado di fare fronte alle nuove esigenze delle persone e del business.

Microsoft ha cercato di rispondere alle richieste, alle opportunità e alle questioni ancora aperte che si sono presentate pensando ad un prodotto in grado di aiutare le organizzazioni a essere resilienti grazie a una tecnologia che ne è parte essenziale .

L’obiettivo o ambizione che dir si voglia è quello di rendere Windows 11 una piattaforma ideale per completare la trasformazione digitale delle aziende e di consentire alle persone di lavorare da casa o in ufficio senza soluzione di continuità.

Infine, Windows 11 sarà facile da gestire per i team IT e fornirà una sicurezza avanzata per affrontare il panorama sempre più complesso della cyber security.

Una sicurezza che sia, realmente, un servizio, secondo la strategia della casa di Redmond; Security as a Service.


Carlo Mauceli

Link utili

Introducing Windows 11 | Windows Experience Blog

Windows 11: The operating system for hybrid work and learning | Microsoft 365 Blog

https://haveibeenpwned.com/

National Institute of Standards and Technology

Dipartimento della Sicurezza Interna

Rapporto Security Signals

TPM

Microsoft Azure Attestation

chip Pluton

lunedì 26 luglio 2021

Stabilire la priorità nel rimedio della superficie vulnerabile

La prioritizzazione è l’arte di rispondere alle domande ‘da dove comincio?’ e ‘con cosa proseguo?

In questo articolo analizziamo come raffrontare teoria e pratica per risolvere nel modo più efficace una problematica di sicurezza che affligge aziende di ogni dimensione, ordine e grado: il rimedio della superficie vulnerabile.

Questo problema si presenta normalmente con l'evoluzione della maturità nella gestione del ciclo di vita delle vulnerabilità presenti nel proprio panorama IT. Quando un'azienda decide di strutturare un programma per stimare, analizzare e comprendere la propria superficie vulnerabile, il punto di partenza è utilizzare sistemi più o meno commerciali per sondare i propri sistemi interni ed esterni, infrastrutturali ed applicativi, al fine di capirne il grado di resilienza rispetto alle vulnerabilità note.

Questo processo di solito parte con scansioni a periodicità variabile, che generano report sulle vulnerabilità identificate. Lungi da essere un punto di arrivo, questo inizio normalmente evidenzia una quantità di problematiche enorme, il cui potenziale rimedio è assolutamente fuori portata rispetto alle capacità dell'azienda.

Da qui l'esigenza di gestione del ciclo di vita di tale superficie vulnerabile, esaminando diversi elementi con il fine di capire come utilizzare al meglio le capacità di mitigazione minimizzando il rischio residuo.
Fino a utilizzare contesti espansi, come ad esempio informazioni di compromissibilità o più in generale di Intelligence della minaccia cyber. Ecco definita l'evoluzione da Vulnerability Assessment, a Vulnerability Management ed infine a Threat & Vulnerability Management.

Vediamo quindi in teoria alcuni metodi per determinare la corretta priorità di azione.

Figura 1 - Gestione del Rischio secondo IEC/ISO 31010:2019


Prima di addentrarci nella teoria è bene fare una premessa: calcolare la priorità fa parte di un piano più grande che è quello della
valutazione del rischio. A tal proposito si rimanda alla norma ISO 31010:2019 [1] e ai documenti del NIST SP-800-37 [2] e SP-800-30 [3], in particolare agli elementi che compongono la valutazione: identificazione, analisi e ponderazione del rischio come illustrato di seguito.

Un punto chiave per avere un piano di rimedio efficace è quello di assegnare opportunamente le priorità. Introduciamo quindi l’approccio sull’analisi del rischio e il metodo utilizzato. Il NIST divide l’approccio in: orientato alle minacce, orientato agli impatti e orientato alle vulnerabilità.

Per brevità viene preso come modello di rischio quello orientato alla minaccia, in cui prioritizzare il rischio significa valutare le minacce e – dopo aver calcolato una matrice di rischio – ricavare un valore numerico: più alto è il valore, più alto sarà il rischio.

Per quanto riguarda i metodi di valutazione del rischio si dividono principalmente in metodi qualitativi, quantitativi e semi-quantitativi.

La letteratura ci insegna che nel metodo qualitativo per poter prioritizzare il rischio ho bisogno di calcolare per ogni minaccia un punteggio, il cosiddetto Risk Score, dato da Probabilità x Impatto secondo la formula R = P x I.

La probabilità indica la possibilità che un evento inatteso e in grado di causare danno – in questo caso la minaccia – si verifichi; l’impatto indica il danno potenzialmente provocato dalla minaccia.

Utilizzando una matrice di rischio 5x5 si assegna a ogni minaccia una probabilità e un impatto, con differenti livelli qualitativi come mostrato nella figura sottostante.

Figura 2 - Matrice di Rischio 5x5


Il vantaggio di tale approccio è nel classificare i rischi, concentrandosi su quelli a più alta priorità.
Per contro, l’analisi qualitativa è soggettiva e si basa sulla percezione che gli stakeholder hanno nei confronti delle minacce analizzate, unite alle loro esperienze e competenze.

Il metodo quantitativo ha un approccio più strutturato.
Potendo contare su tempo e risorse da dedicare, abbiamo la possibilità di avere dati statistici – ad es. quante volte un evento si è verificato in un anno – oltre ad un’analisi di impatto accurata – ad es. il servizio “X” se inattivo fa perdere 1000 euro/ora.
Diventa quindi possibile “tradurre” il rischio in numeri significativi a supporto di decisioni strategiche.

Il metodo quantitativo utilizza i parametri EF (Exposure Factor), SLE (Single Loss Expectancy), ARO (Annualized Rate of Occurrence) e ALE (Annualized Loss Expectancy).
La perdita prevista per il singolo asset è uguale a:

SLE = valore asset x EF

SLE misura quanto una minaccia influisce su un determinato asset, come un server, un framework o anche un servizio composto di software e hardware.

ARO misura invece quale è la frequenza di tale minaccia durante l’arco temporale di un anno. L’aspettativa di perdita economica per un dato asset nel corso dell’anno è data da:

ALE = SLE x ARO

Facendo un esempio numerico, supponiamo che un’impresa abbia un servizio e-commerce che fattura 1 milione di euro all’anno; si prende quindi in considerazione il servizio di vendita composto dall’insieme di hardware, software e persone che lavorano.
Ipotizziamo che un attacco DDoS, che blocchi le vendite e l'attività delle persone operative, abbia un fattore di esposizione del 5%.
Infine supponiamo che tale tipo di attacco sia stato portato a segno 6 volte negli ultimi 3 anni cioè abbia una ARO=6/3 => ARO=2.

SLE = 1.000.000€ x 0.05 = 50.000€

ALE = 50.000€ x 2 = 100.000€

Seguendo il modello di rischio descritto, l'azienda perde in media 100.000€ per anno.

Volendo semplificare l’esempio, un piano di remediation potrebbe essere quello di installare un next generation Firewall con IDS/IPS per bloccare questi attacchi DDoS per un costo pari a 50.000€ + 5.000€/anno di manutenzione.

Attraverso il metodo semi-quantitativo, le valutazioni vengono fatte secondo metodi qualitativi per poter prioritizzare subito il rischio e attivare un piano d’azione, per poi rielaborare i dati e trasformare i termini qualitativi in numeri per fornire una stima economica più accurata.

Dopo questa prima parte teorica, analizzando la pratica nella gestione di una superficie vulnerabile in ambienti IT complessi vediamo che il livello di difficoltà cresce: per mettere in priorità le azioni di rimedio è necessario agire combinando alcuni dei metodi illustrati, in modo da raggiungere una percezione del rischio e della minaccia più descrittiva che analitica, mappata sulla propria superficie digitale.

Come visto il rischio è complesso da calcolare, specialmente il rischio cyber.
Molto diverso da altri tipi di rischio (finanziario, imprenditoriale), si presenta multi-sfaccettato e basato su evidenze certe e percezioni di intelligence. Diventa importante non fidarsi soltanto di una rappresentazione numerica di severità, criticità, in favore di una percezione descrittiva del rischio.

Devo in sostanza poter descrivere cosa mi preoccupa, per contare su un sistema che converta queste mie percezioni in fattori di prioritizzazione.
Esempi di descrizione:

  • Perimetro, cioè la capacità di abbinare il sistema su cui viene scoperta la vulnerabilità al perimetro di cui fa parte, per aumentare (o diminuire) la criticità oggettiva della risorsa.

  • Età delle vulnerabilità, considerando sia quando sono apparse in pubblico che quando sono state rilevate nel proprio ambiente digitale.

  • Impatto sul business: ad esempio considerare tutte le vulnerabilità che se compromesse possono agevolare un attacco DDoS, oppure un’infezione che si propaga tramite worm, oppure ancora un focolaio di ransomware.

  • Probabilità che la minaccia si tramuti in attacco: ad esempio se una vulnerabilità è già armata con un exploit, magari già parte di Exploit Kit facili da reperire (anche a noleggio) per un attaccante motivato; è infatti certamente più alta la probabilità che questa venga sfruttata per un attacco, rispetto ad una vulnerabilità sconosciuta o per cui la tecnica di compromissione deve ancora essere sviluppata.

  • Superficie di attacco propria. Sun Tzu diceva “conosci te stesso e conosci il tuo nemico e sopravviverai a cento battaglie”. Conoscere il proprio panorama digitale aiuta a mettere in priorità il rimedio in base al contesto di rete su cui si deve operare.
    Ad esempio, concentrandosi sul rimedio di vulnerabilità presenti solo su kernel o servizi in esecuzione. Oppure primariamente su sistemi esposti ad internet.

Un esempio di come una piattaforma tecnologica supporti questa descrizione percettiva del rischio è riportato qui di seguito, prendendo spunto dalla soluzione Qualys:

Figura 3: prioritizzazione

Una volta descritta la percezione della minaccia è importante avere un ulteriore contesto, in merito alle patch: sia quelle disponibili che quelle già installate sui sistemi, per effettuare su queste ultime un controllo di obsolescenza.

È anche importante analizzare le vulnerabilità derivanti da errate configurazioni – soprattutto in ambienti tipo cloud dove la responsabilità è condivisa: se istanzio uno storage su AWS o Azure e mi dimentico di restringere la lista degli IP che vi può accedere rischio un data leakage gravissimo; se dimentico di attivare l’autenticazione multifattore su un’istanza, le conseguenze potrebbero essere anche peggiori.

Spesso l’attività di rimedio (patching, modifica configurazione, implementazione controlli compensativi) viene eseguita da team aziendali che non sono gli stessi a cui è demandato il rilevamento e la classificazione delle vulnerabilità... quindi serve un collante interdipartimentale che agevoli integrazione e automazione per evitare conflitti e inefficienze operative. Questo può tradursi nello sfruttamento di interfacce di programmazione applicative (API) che possono essere attivate per trasformare le informazioni di ogni singola piattaforma/applicazione in flussi informativi cifrati e sicuri, che diventino fattori abilitanti per i flussi operativi interdipartimentali.

Ultimo tema il tracciamento dello status quo, altrimenti chiamato osservabilità.
Questo si traduce nello studio di forme di aggregazione di dati grezzi in informazioni più semplici da comprendere; può avvenire con una rappresentazione dinamica – come le
dashboard – oppure statica – come report in PDF o altri formati – che aiutino a tenere traccia nel tempo dei progressi, delle anomalie rilevate e di inefficienze nel processo.

Ad esempio, aggregare le vulnerabilità rilevate negli ultimi 30 giorni, da 30 a 60, da 60 a 90.
Quindi per ogni categoria mappare l'esistenza di una patch per rimediare, evidenziando per quelle vulnerabilità la disponibilità di exploit.
Infine rendere questa informazione dinamica, costantemente aggiornata in modo da fornire a ogni parte interessata l'immagine dello status quo e dell'efficienza del processo di rimedio.

Rimediare una superficie vulnerabile anche molto ampia ed articolata non è certamente semplice; tuttavia l'organizzazione di un ciclo di vita monitorato e prioritizzato in modo olistico ed efficace permette di confinare il rischio residuo ad un livello accettabile, evitando una pericolosa trasformazione in superficie di attacco.


Andrea Piras e Marco Rottigni


Riferimenti:

[1] https://www.iso.org/standard/72140.html - IEC 31010:2019 Risk management — Risk assessment techniques

[2] https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final - Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy

[3] https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final - Guide for Conducting Risk Assessments

domenica 25 luglio 2021

Sindrome della Guerra del Golfo e Alzheimer: cos'hanno in comune?

Da militare ho sentito spesso parlare della sindrome della Guerra del Golfo.
Da civile mi sono spiacevolmente imbattuto in malattie degenerative del cervello come l'Alzheimer.
Non avevo però mai associato le due cose come problemi aventi una possibile causa comune.
La lettura di un interessante articolo uscito su "Le Scienze" del mese di luglio 2021, "Un cervello troppo permissivo", di Daniela Kaufer e Alon Friedman mi ha fatto riflettere sulla questione assieme all'influenza che ha, nel bene e nel male, il fenomeno sociale che va sotto il nome di "guerra".
Parlando della guerra è inutile negare che il pensiero dei più vada immediatamente alla crudeltà di immagini viste tante volte nei film o nei documentari, o vissute qualche volta in prima persona e che lasciano tracce indelebili nella memoria del singolo e della collettività (provate a parlarne coi nostri anziani che hanno vissuto la seconda guerra mondiale!).
E' altrettanto innegabile che la guerra (o a causa della guerra) la società sia sottoposta a stimoli particolarmente forti e che spesso le menti più brillanti, adeguatamente sostenute, abbiano superato ostacoli altrimenti insormontabili e dato alla società mezzi, tecniche e soluzioni del tutto nuove e mai pensate prima.
Per tornare al titolo di questo articolo, cos'hanno in comune la sindrome della Guerra del Golfo e una malattia come l'Alzheimer, gli autori raccontano che nel 1994 lavoravano ad un progetto comune: cercavano infatti di capire a cosa fosse dovuta la sindrome della guerra del Golfo.
Molti militari americani (ma non solo!) al termine della guerra soffrivano di "fatica cronica, dolori muscolari, problemi del sonno e deterioramento cognitivo". Per alcuni medici si trattava di un effetto secondario della "piridostigmina", un farmaco usato per proteggere i soldati dall'effetto di alcune armi chimiche.
La piridostigmina però, almeno teoricamente, non avrebbe dovuto essere in grado di superare le barriere naturali dei vasi sanguigni. Infatti il cervello è costruito in modo tale da limitare al massimo il passaggio di agenti patogeni e di medicinali grazie alla "barriera ematoencefalica" (BEE).
La domanda che i due autori si posero è: "cosa accade se la BEE si danneggia? E poi: lo stress può essere causa del danneggiamento della BEE?
Nell'articolo si raccontano con dettaglio gli esperimenti che da quella lontana notte del 1994 sono stati condotti su topi da laboratorio e che nel tempo hanno portato a capire come lo stress fosse con molta probabilità all'origine della sindrome del Golfo associato, forse, alla piridostigmina. Lo stress sembra infatti la causa dell'indebolimento della barriera ematoencefalica, indebolimento che si verifica nella maggior parte delle persone col fenomeno naturale dell'avanzare dell'età: ed eccoci giunti all'Alzheimer.
L'Alzheimer è infatti una malattia che si manifesta con l'età e comporta tutta una serie di problemi che oltre a colpire il singolo malato, sono sempre più rilevanti in una società come la nostra, sempre più "vecchia".
Negli anni i due scienziati hanno continuato a collaborare nella ricerca, orientatasi nella direzione delle malattie neurodegenerative e hanno dimostrato che l'invecchiamento e lo stress indeboliscono la BEE che non riesce più a trattenere una proteina del sangue, l'albumina, che una volta raggiunto il cervello innesca una serie di reazioni infiammatorie che agiscono indebolendo o distruggendo i circuiti neurali.
Negli anni si è giunti a capire che esistono dei metodi per impedire all'albumina di provocare reazioni infiammatorie e che, con l'impiego di un farmaco antitumorale chiamato IPW è possibile ridurre l'infiammazione dovuta alla presenza di albumina nel cervello e, in definitiva, ringiovanire il cervello stesso. Perlomeno, sui topi la cosa sembra funzionare.
Ed eccoci giunti alla fine dell'articolo.
Partendo dalla ricerca sulle origini di una "malattia di guerra", la sindrome del Golfo, si stà arrivando alla soluzione di un problema della nostra società, quello delle malattie neurodegenerative come l'Alzheimer, con la speranza di alleviare, seppure in parte, le sofferenze dovute al fenomeno sociale della guerra.

Alessandro Rugolo


https://www.ncbi.nlm.nil.gov/books/NBK222848/

https://www.fda.gov/news-events/press-announcements/fda-grants-accelerated-approval-alzheimers-drug

giovedì 22 luglio 2021

Un nuovo modo per certificare i software open-source. La sfida del progetto AssureMOSS

L’Europa dipende in larga parte da software open-source progettati principalmente all’estero. All’interno del Mercato unico digitale Europeo la maggior parte del software è assemblata online e più della metà proviene da (repositories di) software open-source realizzati oltre confine.

Alcune università, piccole, medie e grandi imprese, un gruppo di interesse specializzato e un consiglio consultivo con competenze chiave nell’ambito del software open-source, si sono riuniti in una partnership strategica per la creazione di nuovi metodi e approcci per accelerare lo sviluppo di software più efficienti e sicuri.

In questo articolo vedremo brevemente il tentativo del progetto AssureMOSS (Assurance and certification in secure Multi-party Open Software and Services - https://assuremoss.eu) di affrontare la sfida dei software open-source “progettati ovunque, ma garantiti in Europa. Il progetto, di durata triennale (Ottobre 2020 - Settembre 2023), è finanziato dalla Commissione Europea nell'ambito del programma HORIZON 2020 [1].

La corsa ai software assemblati e il paradigma MOSS.

Nell'ultimo decennio, tra le molteplici innovazioni, due principali caratteristiche in particolare hanno modificato e condizionato radicalmente i progetti di sviluppo software [2]. Innanzitutto, l'accorciamento del ciclo di feedback tra i team di sviluppo e la risposta ai prodotti che questi team rilasciano (ad esempio, A/B testing, DevOps) ha portato a uno sviluppo frenetico con modifiche dei prodotti più rapide. In secondo luogo, gli sviluppatori si sono sempre più concentrati sulla differenziazione delle funzionalità nei loro prodotti finali, affidandosi però, in misura crescente, a terze parti per tutto il resto (implementazione cloud, uso estensivo di framework aperti come OpenSSL [3] or Node.js [4], oppure uso di prodotti più ristretti ma con protocolli, procedure, librerie ed API [5] comunque open-source). Tutto ciò ha portato a uno sviluppo che vede coinvolte diverse parti (detto multi-stakeholder, dall’Inglese: multi-parte interessata): la risultante è un assemblaggio operato da diversi attori, ognuno con le proprie pratiche/politiche di sicurezza e privacy.

Possiamo qui già introdurre un acronimo che utilizzeremo nel resto dell’articolo. Il software moderno è basato su un paradigma chiamato Multi-party Open Software and Services (MOSS). Pertanto, una software company che sviluppa un prodotto rappresenta solo uno dei protagonisti coinvolti nel processo di garanzia della sicurezza software su quello stesso prodotto.

Queste parti coinvolte includono le comunità di sviluppo dei Sistemi Operativi, ad esempio, nella creazione di aggiornamenti di sicurezza, o le società che forniscono nuovi servizi di sicurezza o aggiornamenti alle interfacce esistenti. Il paradigma MOSS si applica certamente al caso delle imprese più grandi, mentre le aziende più piccole, come le PMI e le start-up, potrebbero avere una supply chain più corta che si basa principalmente su software gratuito e open source (FOSS - Free and Open Source Software).

Quest’ultimo è la spina dorsale dell'industria del software: quasi l'80% dei prodotti commerciali oggi contiene almeno un componente FOSS al punto che il Parlamento Europeo ne ha riconosciuto formalmente il ruolo chiave. È interessante notare anche la tendenza progressiva a ridurre la porzione di codice prodotto internamente dalle società di sviluppo software. Alla fine degli anni '90, oltre il 95% dello stack software era costituito da codice sviluppato in proprio. Solo i Database e i Sistemi Operativi provenivano da fornitori in modalità closed-source con licenza. Osservando il trend attuale si può notare come al 2019 invece, la porzione di codice prodotto internamente sia diminuita drasticamente fino a rappresentare solo il 5% della torta: browser, framework UI, gestori di pacchetti, server applicativi, piattaforme di microservizi, container, sistemi operativi containerizzati, sono tutti generalmente componenti software di terze parti (per lo più open-source) che le software companies utilizzano quotidianamente [6-7-8].



Certificazione e ricertificazione del software.

Questa evoluzione del processo di sviluppo software in cicli rapidi e frammentati implicherebbe altrettanti processi/cicli di certificazione e garanzia della sicurezza software a causa delle numerose modifiche che hanno conseguenze sulla sicurezza e sulla privacy (una nuova vulnerabilità potrebbe per esempio essere introdotta dall’utilizzo di una nuova libreria in grado di accedere a dati personali ed eventualmente trasmetterli). Pertanto il nuovo paradigma per la garanzia della sicurezza dovrebbe essere "leggero e continuo" rispetto al precedente paradigma “rigido e fisso”. Non si dovrebbe dunque parlare di certificazione ma piuttosto di certificazione, ricertificazione e valutazione del rischio.

Il fatto che lo sviluppo del software sia, in effetti, un'attività multi-stakeholder (dove alcuni stakeholder sono nascosti in sub-sub-sub dipendenze su librerie di terze parti) significa che le tecniche di garanzia dovrebbero funzionare in un ecosistema frammentato con più fonti di artefatti (ad es. dalla comunità open-source), diverse tecnologie e linguaggi e diversi domini decisionali. Di conseguenza, un nuovo paradigma per la garanzia della sicurezza implica un approccio "intelligente e flessibile", ovvero in grado di apprendere, adattarsi e migliorare nel tempo con la disponibilità di nuovi dati e feedback aggiuntivi.

A meno che non vengano create tecniche di garanzia della sicurezza innovative, leggere e intelligenti, in grado di integrarsi con più parti interessate e con sviluppatori dal ritmo serrato, la sicurezza continuerà a essere penalizzata [9] dalla corsa alla produttività dei team di sviluppo, sollecitati a distribuire nuove funzionalità su base giornaliera.

Lo sviluppo veloce e multi-stakeholder pone anche una sfida alla certificazione del software sicuro. Gli schemi di certificazione di sicurezza esistenti, inclusi quelli per progetti open-source, ad esempio Core Infrastructure Initiative (CII) Badge Program [10], si concentrano sulla certificazione che i progetti software seguano determinate best practice di sicurezza. In sostanza, questi schemi si concentrano sul processo di sviluppo del software. Tuttavia, nei progetti software moderni, il processo di sviluppo sta diventando più fluido e continuamente adattato dagli sviluppatori (invece di essere rigido e applicato a livello centrale). Di conseguenza, le strutture coinvolte in ogni fase potrebbero non disporre delle risorse necessarie per acquisire e mantenere tali certificazioni.

La sfida del progetto AssureMOSS.

Da quanto detto si sarà certamente percepita la necessità di un cambio di prospettiva da parte dell’Unione Europea, che ha provato a innescare un nuovo approccio finanziando il progetto AssureMOSS . Il progetto coinvolge un team composto da 4 Università (Delft, Gotheborg, Trento, Vienna), 3 PMI innovative (Pluribus One, FrontEndArt, Search-Lab,), 2 grandi imprese (SAP, Thales), l’organizzazione EU-VRi e un Advisory Board composto da figure strategiche del mondo dell’industria e dell’Open Source Software (OSS).


Nello specifico, AssureMOSS propone di attuare il passaggio dalla valutazione della sicurezza basata sui processi a quella basata sugli artefatti (Models, Source code, Container images, Services), supportando tutte le fasi del ciclo di vita continuo del software (progettazione, sviluppo, implementazione, valutazione e backup).

AssureMOSS adotta quindi un approccio completo alla garanzia della sicurezza e alla ricertificazione e ha l'ambizione di contribuire a ogni fase del processo di sviluppo del software, grazie ad un insieme coerente di tecniche automatizzate e leggere che consentano alle società di software di valutare, gestire e ricertificare i rischi per la sicurezza e la privacy associati allo sviluppo rapido e alla distribuzione continua di software aperto multiparte e servizi . In definitiva, il progetto mira a supportare la creazione di software MOSS più sicuro.

L'idea chiave è quella di supportare meccanismi per screening leggeri e scalabili, applicabili automaticamente all'intera popolazione di componenti software mediante:

uso di Machine Learning per l’identificazione intelligente di problemi di sicurezza tra gli artefatti;

analisi e verifica delle modifiche attraverso tracciamento continuo di effetti collaterali sulla privacy e sulla sicurezza;

costante analisi dei rischi e valutazione della sicurezza del software (con un occhio particolare agli impatti potenziali sul business causati da prodotti potenzialmente vulnerabili).

Il progetto genererà non solo una serie di metodi innovativi e strumenti open source, ma anche set di dati di benchmark con migliaia di vulnerabilità e codice che potranno essere utilizzati da altri ricercatori.

Gli strumenti AssureMOSS aiuteranno per esempio a risparmiare tempo nella ricerca di bug e vulnerabilità attraverso il vaglio semiautomatico di aggiunte, rimozioni e modifiche nei repository di codice (analisi dei commit [11]), accelerando anche in questo modo quindi il processo di valutazione e analisi del software.

Il cambio di prospettiva (artefatti vs processi) e il concetto di ricertificazione continua del software sviluppato, sono dunque alla base di una sfida estremamente ambiziosa: stabilire le linee guida che potranno essere utilizzate, ad esempio, dagli organismi di certificazione e standardizzazione per fondare uno schema di certificazione incentrato sugli artefatti per il software MOSS.

L'intuizione di base è ben riassunta da una pratica ben nota in ambito medico sanitario [12] e che qui adattiamo allo scopo: “Lo screening è definito come l'identificazione preventiva di una malattia in una popolazione apparentemente sana e asintomatica mediante test (di componenti software), esami o altre procedure che possano essere applicate rapidamente e facilmente alla popolazione target. […] Nel sostenere i programmi di screening, è importante evitare di imporre modelli derivati da ambienti ad alta efficienza con sistemi sanitari avanzati e schemi di verifica (della sicurezza) sofisticati e costosi, a società, processi, (sviluppatori e utenti) di paesi che non dispongono dell'infrastruttura e delle risorse necessarie per ottenere un'adeguata prevenzione sulla popolazione”.


Matteo Mauri


1 Il progetto AssureMOSS è regolato dal Grant Agreement n° 952647, ed è finanziato per un totale di 4.689.425 Euro, www.pluribus-one.it/it/ricerca/progetti/assuremoss

2 Jan Bosch, Speed, Data, and Ecosystems: Excelling in a Software-Driven World, CRC Press, 2016

3 OpenSSL è un'implementazione open source dei protocolli SSL e TLS, disponibile per la maggior parte dei sistemi operativi unix-like, inclusi GNU/Linux e macOS, e anche per Microsoft Windows, www.openssl.org

4 Node.js è un runtime system open source multipiattaforma orientato agli eventi per l'esecuzione di codice JavaScript, costruita sul motore JavaScript V8 di Google Chrome. Molti dei suoi moduli base sono scritti in JavaScript, e gli sviluppatori possono scrivere nuovi moduli in JavaScript, https://nodejs.org/it/

5 API, acronimo di Application Programming Interface, www.redhat.com/it/topics/api/what-are-application-programming-interfaces

6 Black Duck's Future of Open Source Survey, 2015

7 Holger Mack,Tom Schröer, Security Midlife Crisis, SAP Product Security Summit 2019

8 http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&reference=2015/2147%28INI%29

9 According to CVE Details, 2017 smashed the record of vulnerabilities of the previous years (14714 in 2017 vs the previous record of 7946 in 2014). Unfortunately, 2018 has done even worse (16555 vulnerabilities). https://www.cvedetails.com/browse-by-date.php

10 https://www.coreinfrastructure.org

11 https://wiki.ubuntu-it.org/Programmazione/Git/Commit

12 https://www.who.int/cancer/prevention/diagnosis-screening/screening/en/

13 Eoin Woods, Democratizing Software Architecture, Keynote at ICSA 2019, online at https://speakerdeck.com/eoinwoods/democratising-software-architecture

14 www.pluribus-one.it/it/chi-siamo/blog/88-cybersecomics/111-bug

INTERNET-OF-THINGS, UNA TECNOLOGIA A RISCHIO SISTEMICO. ECCO IL PERCHE’

Per Internet-of-Things (IoT) si intendono tutte quelle tecnologie che abilitano all’uso degli oggetti intelligenti, cioè dei sensori e degli attuatori che, collegati ad internet, si riesce a programmare o usare a distanza tramite, ad esempio, un’applicazione dal telefonino o un programma dal computer di una centrale operativa. E’ il caso della sensoristica che, ad esempio, serve le telecamere con le quali si monitorano gli animali domestici quando si è fuori casa, oppure dell’autovelox comunale che trasmette automaticamente le foto delle targhe delle auto alla polizia locale, piuttosto che del misuratore di pressione di un reattore nucleare che veicola un allarme alla centrale di controllo; ed è il caso, per intenderci, del relè intelligente che accende il sistema di irrigazione del giardino di casa, o il servo-mezzo di apertura delle porte di una metropolitana automatica, oppure il sistema di controllo della saracinesca di sfiato del troppopieno di una diga sovrastante un paesino di montagna.

Questi oggetti intelligenti miglioreranno sempre di più la qualità della vita delle persone, l’efficacia e la redditività dei processi industriali, la sicurezza delle Nazioni. Ma è un fatto che oggi introducano nuovi rischi, la cui probabilità di accadimento è generalmente più alta dei corrispondenti rischi di sicurezza cui sono sottoposti i computer, i tablet e gli smartphone.

E la ragione di ciò è semplice: mentre i governi, il mondo accademico e l’industria dei computer e dei software hanno alle spalle molti decenni di ricerca e sviluppo in tema di cybersicurezza delle tecnologie dell’informazione, le case costruttrici degli oggetti intelligenti e gli sviluppatori dei sistemi di controllo industriale - siano essi dispositivi di nuova concezione, piuttosto che versioni adattate di modelli tradizionali - non hanno esperienza col patrimonio di conoscenze di protezione cibernetica acquisite e sviluppate nel mondo IT.

Inoltre, la spinta a inserire intelligenzaa basso costo, che ha come conseguenza uso di sistemi a capacità computazionale ridotta, e limitato consumo energetico per evitare uso di batterie ad alta capacità, rende in molti casi non utilizzabili le soluzioni sviluppate per server, PC e smartphone, oggetti per i quali non esiste la barriera del costo.

La risultante è che oggi i dispositivi IoT - a differenza di quanto accade in modo oramai sistematico per la supply chain dei dispositivi e dei software IT - generalmente non vengono prodotti incorporando le necessarie funzionalità di cybersicurezza che aiutino a mitigare i relativi rischi, né esistono di massima analoghe capacità in grado di supportare gli utilizzatori nella fase di installazione e funzionamento.

E come fattore di rischio predisponente, si consideri pure che questi sensori ed attuatori, che sono concepiti internet-ready, hanno spesso anche funzionalità plug&play, cioè si collegano alla rete ed iniziano a funzionare senza necessità di attività preliminari di installazione e configurazione, né per loro natura hanno la funzionalità - tipica nel mondo IT - del blocco sessione dopo un tempo di inattività. Un recentissimo studio ha dato atto di come, durante il lockdown, nel silenzio di uffici chiusi al pubblico, gli IoT abbiano continuato ad operare non controllati, esponendo a rischio le reti aziendali e le facilities.

Questo gap va colmato al più presto ed il mondo scientifico sta sviluppando, di concerto con l’industria e con le agenzie di controllo e regolazione, una serie di requisiti e raccomandazioni che - sull’esempio di quanto già in atto in ambito IT - spingano a considerare specifiche assunzioni di rischio e mirino a presidiare distinte aree di mitigazione.

Le assunzioni di rischio da prendere in considerazione sono fondamentalmente tre. Anzitutto che gli oggetti intelligenti saranno sempre più sfruttati per condurre attacchi coordinati con effetti tangibili, come anche la partecipazione ad attacchi DDoS (Distributed Denial of Service: per i non addetti ai lavori, si tratta dell’attacco ad un server finalizzato ad “ingolfarlo” per impedire che eroghi il servizio) contro altre organizzazioni, l'intercettazione del traffico di rete o la compromissione di altri dispositivi sullo stesso segmento di rete. Vale come esempio per tutti l’evento del 21 ottobre 2016 allorché, a seguito della creazione di una delle più grandi botnet formate da IoT, cioè da una rete clandestina di oggetti intelligenti segretamente controllati all’insaputa dei legittimi proprietari, vennero creati DDoS su servizio DNS (Domain Name System: per i neofiti è un pò come la guida telefonica o l’indirizzario stradale che Internet usa per associare l’indirizzo numerico ai nomi dei siti web o dei domini di posta elettronica). Tale attacco impedì l'accesso degli utenti alle più grandi risorse web degli Stati Uniti, inclusi Twitter, Spotify e PayPal.

Le altre due valutazioni riguardano il fatto che: i dispositivi IoT che contengono dati, verranno fatti bersaglio di attacchi CIA (Confidentiality, Integrity, Availability) per rubare, compromettere o rendere indisponibili le informazioni ivi salvate o per essi trasmessi; e che gli attacchi agli Internet-of-Things potranno essere sferrati per compromettere la privacy degli individui.

Da qui la necessità di assicurare la protezione fisica dei dispositivi, la sicurezza logica dei dati e, per i casi in cui siano trattati dati personali, la tutela del diritto alla riservatezza.

Sotto questo profilo, i produttori dovranno assicurare il presidio tecnologico in cinque aree di mitigazione consistenti nel: mantenere un inventario aggiornato e puntuale di tutti i dispositivi IoT e delle loro caratteristiche rilevanti (Asset Management); identificare e mitigare le vulnerabilità note nel software dei dispositivi, ad esempio installando patch e modificando e impostazioni di configurazione (Vulnerability Management); evitare l'accesso fisico e logico non autorizzato ed improprio (Access Management); prevenire l'accesso e la manomissione dei dati salvati nel dispositivo od in transito che potrebbero esporre informazioni sensibili o consentire la manipolazione o l'interruzione delle operazioni del dispositivo (Data Protection); ed infine le attività di Incident Detection con cui monitorare e analizzare l'attività del dispositivo IoT per evidenziare indicatori di compromissione dei dispositivi e dei dati. 

La questione è molto seria e non secondaria. Tanto che il Presidente degli Stati Uniti ha firmato qualche giorno addietro il "Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems" con cui lancia la Iniziativa presidenziale per la messa in cybersicurezza degli sistemi di controllo industriale (OT). Ed investe in modo sistemico tutta la supply chain delle tecnologie IoT: i fabbricanti e gli installatori dovranno affrontarla lungo tutto il ciclo di vita della tecnologia, a partire dalla fase di ricerca, sviluppo e produzione pre-vendita, con le corrette attività tecniche finalizzate ad assicurare le caratteristiche e le funzionalità di cybersicurezza. Sarà necessario, inoltre, che proseguano nelle attività informative e di supporto post-vendita al fine di garantire la necessaria assistenza tecnica all’utenza finale, anche con riferimento all’uso di piattaforme cloud già oggi proposte dalla supply chain IT per la cifratura delle comunicazioni tra oggetti intelligenti.

Non va sottaciuto, da ultimo, che tutto ciò si tradurrà inevitabilmente in aumento sia dei costi di produzione, che delle risorse necessarie per assicurare il funzionamento, la manutenzione e la qualità del servizio: questi costi ricorrenti potrebbero rendere i dispositivi IoT non più appetibili in molti contesti.


Orazio Danilo Russo, Giorgio Giacinto, Alessandro Rugolo



Per approfondire:

https://blog.osservatori.net/it_it/iot-sicurezza-privacy

https://www.akamai.com/it/it/multimedia/documents/white-paper/akamai-mirai-botnet-and-attacks-against-dns-servers-white-paper.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf

https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices

https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/national-security-memorandum-on-improving-cybersecurity-for-critical-infrastructure-control-systems/