Traduttore automatico - Read this site in another language
sabato 2 ottobre 2021
Situational Awareness, Artificial Intelligence, cyber security e sistemi adattivi
venerdì 1 ottobre 2021
Deep Instinct: dalla rilevazione alla prevenzione
Dal 2012 ad oggi sono stati condotti diversi altri studi per dimostrare l'efficacia degli antivirus, usando metodologie differenti e con risultati differenti che dimostrano che gli antivirus di vecchia generazione hanno una efficacia superiore al 90%. Sicuramente un bel passo avanti dal 20% del 2012.
La domanda che ci si pone adesso è relativa alle possibilità di miglioramento fornite dalle tecnologie di Intelligenza Artificiale.
Gli antivirus di vecchia generazione si basano principalmente sull'uso di elementi di riconoscimento tipici delle infezioni già individuate, ovvero:
- uso di firme associate al malware. Si tratta di comparare la presenza di una o più caratteristiche del software sconosciuto con quelle di software malevoli già noti, per esempio una determinata sequenza di comandi o una particolare sequenza di codice;
- analisi euristica. Si basa sul verificare la presenza di elementi simili (ma non uguali) tra il software sconosciuto e famiglie di malware. Questo metodo si appoggia sulla constatazione che molti virus sono simili tra loro e lo stesso può dirsi del loro comportamento;
- reputazione dei file. SI basa sulla categorizzazione dei file conosciuti e la gestione e condivisione delle informazioni disponibili verso gli utenti.
Tutte queste tecnologie sono chiaramente basate sulla conoscenza e analisi di malware esistenti, ma sono in linea di massima poco utili nel caso di nuovi malware.
Per essere efficaci su malware di nuova concezione occorre sviluppare altre tecnologie e l'Intelligenza Artificiale può essere utile.
Una società americana con quartier generale a New York, "Deep Instinct", fondata nel 2015 utilizza il deep learning per cercare di prevenire attacchi dovuti a malware ancora sconosciuti e sembra essere sulla buona strada.
Vediamo di capire assieme come funziona e per farlo utilizziamo uno schema disponibile sul loro sito.
In questa immagine è possibile vedere l'architettura della piattaforma basata su una rete neurale che si trova presso il laboratorio di Deel Instinct (in alto) e rappresenta il cuore pulsante dell'architettura di sicurezza. La rete neurale è in continuo apprendimento e grazie ad essa è possibile avere un modello predittivo sempre aggiornato, che è chiamato D-Brain.
Il modello predittivo (D-Brain da ora in poi) viene distribuito su tutti i client che vogliamo proteggere. Ciò consente l'esecuzione di analisi statistiche e comportamentali e di usare tutta la "conoscenza" impiegata per la creazione e l'aggiornamento del modello sia per individuare malware già noti ma soprattutto per individuare quelli non ancora noti. Infatti la piattaforma è collegata ad un database (D-Cloud) che comprende le informazioni sulla reputazione di miliardi di file.
E' chiaro che in un sistema siffatto è necessario che il numero dei falsi positivi (rilevazione di un malware quando questo non lo è) deve essere mantenuto a livelli bassissimi, bloccare l'esecuzione di un file benevolo può essere infatti altrettanto pericoloso del non bloccare un file malevolo. E' importante notare che la verifica della presenza del possibile malware viene fatta nella cache del sistema, ovvero prima che il malware possa aver accesso al disco rigido.
La piattaforma di Deep Instinct è un esempio di come l'AI possa aiutare il mondo della cyber security prevenendo le infezioni prima che queste possano infettare il sistema.
Alessandro Rugolo
Per approfondire:
- How useful is antivirus software? | Computerworld
- A Closer Look: Email-Based Malware Attacks – Krebs on Security
- When it Comes to Antivirus, Herd Immunity Works for Cattle and PCs | PCMag
- Existing Evidence for the Effectiveness of Antivirus in Preventing Cyber Crime Incidents (gsu.edu)
- What is Heuristic Analysis in Antivirus? Definition, Advantages, and More (computertechreviews.com)
domenica 19 settembre 2021
Cisco Networking Academy, una risorsa per il Paese!
Ma siamo sicuri che ciò che cerchiamo non sia magari disponibile gratuitamente su Internet?
Se abbiamo un po' di curiosità allora la Cisco Networking Academy potrebbe fare al caso nostro, per cui diamogli uno sguardo assieme e facciamolo a partire da un sito per una volta in lingua italiana: Scuola digitale.
Al di la di ciò che si potrebbe pensare, la Cisco Networking Academy non si occupa solo di networking, anzi. L'offerta in termini di corsi è molto varia e copre tutti i settori delle tecnologie digitali: il Networking, anche perché é il business originario di Cisco, la programmazione e la cyber security.
I corsi sono di differente livello: dal basico per il ragazzo delle scuole superiori che si avvicina alla materia, ai corsi più avanzati per coloro che invece all'uscita dal ciclo formativo si avvicinano al mondo del lavoro. Anche le modalità di fruizione sono varie, esistono corsi totalmente in autoapprendimento ed altri in cui è presente un tutor che indirizza e guida lo studente.
Ci si potrebbe chiedere il motivo che spinge la Cisco ad investire ingenti risorse nella Cisco Network Academy. La risposta è semplice: il mondo cambia e occorrono sempre più specialisti per sostenere la trasformazione digitale, specialisti che in parte vengono formati dalle aziende, in parte dai sistemi scolastici pubblici. La Cisco Network Academy si inserisce in questo processo di formazione rendendo fruibile la sua expertise nel settore (ricordiamo che Cisco rappresenta una parte significativa dell'infrastruttura di rete globale), agevolando in questo modo sia la preparazione dei giovani sia il loro possibile inserimento nel mondo del lavoro.
Tra le iniziative del 2020, vi è la disponibilità, per l'Italia, di 500 borse di studio in cybersecurity che danno diritto a:
- accesso gratuito ai corsi Intro e Cybersecurity Essentials;
- webinar con professionisti Cybersecurity di Cisco Italia, Cisco Corporate Affairs e Commissione Europea;
- laboratori con Academy Partner su tutto il territorio nazionale;
- opportunità di conoscere le realtà aziendali operanti nel settore digitale;
- certificato di partecipazione;
- Digital Badge Cisco Networking Academy.
A tutto ciò va aggiunto la possibilità di conoscere tantissimi esperti del mondo Cisco.
L'iniziativa giunta alla sua terza edizione, avviata a fine 2020, è terminata in giugno 2021 e ha visto la partecipazione di tantissimi ragazzi. Non perdetevi la quarta edizione che avrà inizio il prossimo mese di ottobre.
In Italia sono circa 60.000 i ragazzi che hanno usufruito dei corsi gratuiti della Cisco Networking Academy nell'ultimo anno e sono sempre di più le organizzazioni e istituzioni che stringono accordi con Cisco per poter approfittare di questa immensa mole di conoscenza.
E tutti sappiamo quanto ci sia bisogno di conoscenza in questo settore.
Per cui un grazie per quanto si sta facendo alla Cisco Networking Academy e al suo rappresentante in Italia, Luca Lepore.
Alessandro Rugolo, Danilo Mancinone, Maurizio D'Amato, Orazio Russo, Marco Rottigni.
Per approfondire:
- Home - Scuola digitale (scuoladigitalecisco.it)
- Cisco Networking Academy Builds IT Skills & Education For Future Careers (netacad.com)
sabato 18 settembre 2021
Sistemi adattivi e Situational Awareness
Cosa direste se da un giorno all'altro non doveste più perdere tempo a capire le modifiche apportate dal produttore del foglio di calcolo che utilizzate per tenere la contabilità del vostro negozio?
Che direste se di colpo non doveste più preoccuparvi del passaggio al nuovo Sistema Operativo Microsoft o alla nuova versione di Linux o al nuovo software di controllo della vostra lavasciuga intelligente?
Per essere chiari, non dico che non ci sarebbero più varianti o modifiche nei sistemi, soprattutto quando queste sono legate ad aspetti di sicurezza o a incrementi di funzionalità, parlo di quelle varianti che consistono nello spostamento di un pulsante o di una funzione da un menù ad un altro o della modifica del simbolo o della descrizione di un pulsante o alla visualizzazione di una finestra in basso a destra o in alto a sinistra... si, parlo di tutte quelle varianti che per chi non ha voglia o tempo da perdere sono assolutamente deleterie e spesso non fanno altro che creare disamoramento verso il prodotto proprio da parte di chi quel prodotto lo impiega, magari da anni!
Se volessimo tradurre la domanda utilizzando il linguaggio scientifico potremmo dire: "Perché i sistemi informatici di cui facciamo uso non sono adattivi?", ed in questo contesto intendo dire che i sistemi informatici dovrebbero essere capaci di adattarsi all'utente o, ancora meglio, che Sistema Informatico e utente dovrebbero divenire un sistema adattivo.
Per far ciò, a mio parere, le tecnologie già esistono. Nel mondo dei videogames, per esempio, da tempo si fa uso dell'Intelligenza Artificiale per "adattare" la difficoltà del gioco al giocatore. Ma io parlo di altro.
L'Intelligenza Artificiale, sempre più diffusa, prima o poi comincerà ad essere parte dei sistemi informatici di base, come i sistemi operativi.
Nel mio sistema ideale sarà suo il compito di studiare il mio comportamento, studiare le modifiche apportate nel tempo ai software che impiego e propormi, oppure no, spiegarmi o meno, l'utilità della nuova funzione. In pratica il sistema operativo dovrà prendersi cura di me (come utente) e adattare i sistemi che impiego al mio sistema di conoscenze in base all'uso che ne faccio.
Il secondo concetto importante che emerge è quello di situational awareness, che detto in italiano sarebbe consapevolezza della situazione.
Il termine "Situational awareness" è di solito impiegato per descrivere lo stato di conoscenza e consapevolezza di una persona o di una organizzazione riguardo un determinato argomento o situazione operativa in un tempo ben preciso e riguardo degli obiettivi ben stabiliti.
Nel caso specifico, dato che richiedo che il Sistema Operativo (messo a sistema con me in qualità di utente) sia un sistema adattivo presuppongo che il Sistema Operativo sia dotato di capacità di situational awareness, ovvero sia capace di creare e mantenere una certa conoscenza e consapevolezza relativa all'uso che l'utilizzatore (io) fa del sistema e dei software installati.
Per fare un esempio chiaro supponiamo che io sia l'unico utente di un computer portatile sul quale ho installato solo il Sistema Operativo (che chiamo WinAI giusto per dargli un nome), un browser per la navigazione su internet, un editor di testi e un antivirus.
Il mio sistema operativo, l'amico fedele WinAI, comincia a studiare il mio comportamento dal momento stesso in cui accendo per la prima volta il pc e si fa un'idea di come io mi comporto, "registrando" nella sua "rete neurale" le mie abitudini, le mie interazioni con i software, le mie abitudini di navigazione, gli orari, la frequenza con cui utilizzo il tasto "enter" mentre digito un testo, la lunghezza delle frasi ma anche come mi comporto di fronte ad una nuova versione del mio browser o dell'antivirus.
Dopo un breve periodo di apprendimento, il mio fedele WinAI dovrebbe, teoricamente essere pronto a suggerirmi delle scelte, influenzando così il mio comportamento, ma anche a prendere lui stesso delle decisioni sulla base della conoscenza di me che ha acquisito. Grazie alla conoscenza dei programmi che sono installati (e con i quali colloquia continuamente) dovrebbe anche essere in grado di aiutarmi, semplificandomi la vita, qualora si rendesse conto (e qui rientra il concetto di Situational Awareness applicato stavolta alla AI del mio sistema operativo) che io non voglio modificare il mio comportamento o che il periodo di adattamento al nuovo sistema potrebbe comportare un calo di produttività o semplicemente dello stress aggiuntivo.
Naturalmente sto semplificando molto. In effetti il sistema adattivo come è facile capire, comprende anche me come utente e tanti altri "oggetti" o "entità" che in qualche modo interagiscono col sistema stesso.
E' chiaro che a raccontarla così sembra tutto facile, ma non è così e non è neppure detto che lo sarà mai.
Vi sono dietro motivazioni di diversi tipi.
Una di queste riguarda la sicurezza di un tale sistema, lasciata in fin dei conti, nelle mani di una WinAI qualunque, di cui sappiamo veramente troppo poco e sul quale la nostra capacità di controllo sarebbe molto bassa. La sicurezza (intesa come security e come safety) di un tale sistema sarebbe veramente molto difficile da gestire, in primo luogo perché tanto più è complesso un sistema tanto più è estesa la superficie di attacco, in secondo luogo perché una AI può essere soggetta a sua volta ad attacchi. Supponiamo che il mio carissimo tutor WinAI si accorga che in un certo momento io sono molto stressato (e come abbiamo visto è capace di farlo) e, all'arrivo di una comunicazione importante, magari l'annuncio di un incidente ad un parente, decida di non avvisarci in quanto ciò aumenterebbe il nostro livello di stress. Come prenderemo una simile ingerenza nella nostra vita privata? Oppure, per tornare a cose più semplici, supponiamo che l'antivirus richieda un aggiornamento di sicurezza di un nuovo tipo, non ancora catalogato da noi e quindi non conosciuto neppure dalla nostra WinAI. Supponiamo ora che sulla base del nostro comportamento abituale riguardo gli aggiornamenti software la nostra WinAI decida di non procedere perché tale aggiornamento stravolge soprattutto (secondo la sua esclusiva valutazione) l'aspetto grafico dell'interfaccia e non sia dunque rilevante. E che questa catena di eventi risulti infine causa di compromissione del sistema. Come la prenderemo? Come la prenderebbe un responsabile della sicurezza dell'azienda presso la quale lavoro?
Un'altra motivazione è probabilmente legata alla imprevedibilità dell'utente, che in taluni momenti si comporta in un certo modo mentre in altri, sottoposto a spinte emotive o a stress, si comporta diversamente. Il nostro amico WinAI, dovrebbe conoscerci veramente molto bene per prendere delle decisioni che realmente ci agevolino e, forse, nessuno vorrebbe che una AI ci conoscesse troppo bene, anche perché fondamentalmente siamo degli esseri sospettosi e in fondo in fondo ci piace tenere dei segreti per noi.
In ogni caso, sempre dal punto di vista teorico, le tecnologie per fare queste cose già esistono, occorre solo capire se qualcuno le sta già usando per creare dei Sistemi Operativi adattivi, sempre che sia ciò che vogliamo, almeno in determinati settori.
Alessandro Rugolo,
vignetta di Simone Domini
Per approfondire:
Tendenze ed implicazioni per la Sicurezza e la Difesa italiana: Concetto Scenari Futuri
Con questo titolo, qualche mese fa, è uscito il documento che, nato dall’applicazione della cosiddetta Open Innovation, ha il compito di meglio comprendere il futuro per proiettarvi lo Strumento Militare. Il concetto è, infatti, il frutto della collaborazione degli “innovatori” del Centro Innovazione Difesa, delle Forze Armate, del Comando Generale dei Carabinieri, del Segretariato Generale della Difesa, del Comando Operativo di Vertice Interforze e degli esperti civili del mondo accademico, industriale e della ricerca attestati al network di INNOV@DIFESA.
E' inutile dire che l'Italia non è l'unico paese che cerca di capire cosa potrebbe accadere nel prossimo futuro, attività di pensiero necessaria per cercare di orientare lo sviluppo delle capacità future (meglio nota come strategic foresight), lo fanno tutti i grandi paesi. In un precedente articolo della fine 2019 avevo trattato le attività francesi in tal senso e dato una panoramica storica che può essere utile richiamare alla memoria. La stessa cosa avviene in ambito cyber dove la European Union Agency for Network and Information Security (ENISA), qualche tempo fa, aveva fatto un esercizio simile.
Ma vediamo di capire come è articolato il documento e quali sono le principali linee di tendenza all'orizzonte 2040.
Il documento è molto snello ed è articolato in quattro capitoli che riflettono l’analisi effettuata per aree tematiche (politica, socio-economica, tecnologica e climatico-ambientale), preceduti da una breve introduzione e seguiti dalle conclusioni e da alcuni allegati riassuntivi. Da notare che ogni capitolo è chiuso dall'analisi delle linee guida da perseguire in ambito Sicurezza e Difesa per affrontare i trend emergenti.
Il primo capitolo tratta lo scenario geopolitico futuro (2040+) e mette in evidenza come sarà caratterizzato da profondi cambiamenti rispetto a ciò che vediamo oggi e da ricorrente instabilità, elevata dinamicità e imprevedibilità. In aumento la competizione per l'accesso alle risorse pregiate, per quantità o qualità, in cui gli attori internazionali si muoveranno in modo spregiudicato. Secondo gli studiosi Il tratto fondamentale del quadro geopolitico vede la rinnovata competizione tra le grandi potenze e la messa in discussione dell’Ordine costituito da parte, principalmente, di Russia e Cina e da alcuni attori statali regionali come Iran e Corea del Nord, ma anche da parte di gruppi terroristici internazionali quali Al-Qaida o l'Islamic State. In tutto ciò l'Europa non sembra in grado di giocare un suo ruolo indipendente, troppo impegnata nel superare le sfide interne e le sue talvolta non chiare dinamiche decisionali verso l'esterno per non parlare dei fenomeni migratori che la interesseranno, soprattutto in provenienza dal Sud.
Il secondo capitolo si interessa dello scenario socioeconomico. In primo luogo vi è la crescita demografica che interessa differenti parti del mondo, sicuramente l'Africa. In conseguenza dell’incremento della popolazione mondiale e dei cambiamenti climatici in atto vi è il fenomeno dell'immigrazione con le conseguenti sfide in termini sociali, economici, ambientali e di sicurezza. La sostenibilità ambientale è divenuta sempre più importante. L'aumento della popolazione e lo sviluppo tecnologico richiederanno sempre maggiori risorse, che saranno ancora più contese.
Il terzo capitolo prende in esame le tendenze della tecnologia. Il mondo militare, al pari del resto della società, è profondamente interessato dagli sviluppi tecnologici e dall'influenza sulla società. Uno dei problemi principali è da ricercarsi nella velocità dell'innovazione, velocità che non consente all'uomo di adattarsi in modo equilibrato. Tra le nuove tecnologie, in particolare sono le tecnologie dirompenti quelle che creano spinte difficilmente prevedibili e poco controllabili. Tutto ciò avrà dei forti influssi culturali e sociali che avranno sicuramente forti riflessi sugli equilibri geopolitici e di stabilità. Tra le nuove tecnologie gli sviluppi più attesi sono nel campo dell'Intelligenza Artificiale, delle nanotecnologie, dell'ipervelocità, dei nuovi materiali, della tecnologia quantistica e dei robot e sistemi autonomi, per non citare gli sviluppi dello spazio e del cyberspace. Tutti gli sviluppi sono strettamente legati alla cosiddetta sovranità tecnologica, argomento sempre più percepito come vitale da tutte le parti in campo.
Il quarto ed ultimo capitolo ci permette di capire come l'ambiente che ci circonda sia sempre più importante e instabile. L'ambiente naturale è sempre più soggetto al fattore stress chiamato "Uomo". Riscaldamento globale, innalzamento del livello del mare, incremento (in numero e potenza) di fenomeni atmosferici e naturali "estremi", riduzione della biodiversità, sono sempre più spesso attribuibili all'influenza della nostra specie.
Nelle conclusioni si cerca di armonizzare quanto presentato nel lavoro e di tracciare le possibili traiettorie di sviluppo, tenendo conto delle interdipendenze tra i diversi settori e della elevata instabilità che sembra caratterizzare la nostra epoca e il prossimo futuro. Secondo gli studiosi, lo scenario geopolitico internazionale con orizzonte 2040 sarà caratterizzato da instabilità, dinamicità, imprevedibilità, crisi e conflitti dai contorni molto sfumati e da profondi cambiamenti in ogni settore. Proseguirà la crescita di tensioni economiche e sociali (etniche, religiose e nazionali) e nuovi assetti etico-valoriali cercheranno di prendere il posto degli attuali, in questo scontro tra il nuovo e il vecchio spesso si cercherà di preservare i valori nazionali. I cambiamenti climatici influiranno sulla produzione di risorse, e contestualmente assisteremo ad un aumento della domanda anche a causa della generale crescita della popolazione. Aumenterà la competizione per l'accesso alle risorse pregiate del pianeta (cibo, acqua, energia e materie prime). Spazio e Cyberspace divengono più raggiungibili e campo di scontri tra attori vecchi e nuovi.
In definitiva il mondo del 2040 sembra essere molto più fragile e meno sicuro di quello attuale.
Naturalmente, come potete immaginare, questo articolo non vuol essere in alcun modo esaustivo ma vuol essere semplicemente da stimolo all'approfondimento di un settore di studi poco conosciuto eppure molto importante. Cercheremo perciò di approfondire assieme alcuni settori, provando a dare anche il nostro contributo.
Alessandro Rugolo, Fabrizio Benigni
Per approfondire:
- Centro Innovazione della Difesa
- Francia, Red Team: come costruire il futuro - Difesa Online
DIRITTO BELLICO E SIMBOLI DI PROTEZIONE UMANITARIA NEL CYBER-SPAZIO
Sappiamo anche che non è lecito sfruttare quei simboli per azioni di rappresaglia verso il nemico. Inoltre, è ben noto in ambiente militare quanto sia disonorevole sfruttare quei segni distintivi per raggirare l’avversario: la perfidia - cioè la condotta di chi fa appello, con l’intenzione di ingannarla, alla buona fede di un avversario per fargli credere che ha il diritto di ricevere (o l’obbligo di accordare) protezione umanitaria - è un crimine di guerra ed assume sempre una connotazione particolarmente spregevole.
Da tempo sono in atto studi e ricerche finalizzate a rendere efficaci questi principi etici e giuridici anche nel dominio cyber. E’ infatti necessario assicurare che i sistemi d’arma autonomi siano in grado di riconoscere i distintivi di protezione umanitaria e che le relative intelligenze artificiali li preservino dagli effetti dell’azione cinetica, diretta od indiretta. Ed è anche necessario che le operazioni di attacco cyber, ad esempio l’impiego di malware che si diffondono nelle architetture informatiche dell’avversario, non interessino porzioni di reti, sistemi informativi e servizi informatici serventi le strutture sanitarie o la catena logistica di esfiltrazione dei feriti dal campo di battaglia.
Nella ricerca di misure concrete per rafforzare tale protezione nel dominio cyber si sta facendo strada l'idea di sviluppare una marcatura informatica, una sorta di impronta hash, che identifichi digitalmente le organizzazioni di protezione umanitaria. In questo senso già oggi esiste un quadro regolatorio, che può essere utilizzato per indirizzare le nuove esigenze di identificazione digitale: si tratta dell’annesso 1 al primo protocollo addizionale alla Convenzione di Ginevra, che elenca e norma i segnali elettrici, radio ed elettronici riconosciuti come emblemi del personale medico e paramedico operante in teatro.
Le interazioni del mondo accademico sono stimolate, tra l’altro, dall’azione encomiabile del Comitato Internazionale della Croce Rossa nella sua incessante missione di diffondere la conoscenza del diritto internazionale umanitario applicabile nei conflitti armati. Al momento gli studi seguono due filoni principali: la ricerca della soluzione tecnica più efficace e la valutazione degli inconvenienti e dei benefici di una tale scelta. Ai vantaggi infatti di un pronto riconoscimento elettronico che eviti l’errore di “targeting” o gli effetti indiretti delle operazioni di impatto informatico, si contrappone il rischio che la palese identificazione digitale stimoli la presa di mira da parte di attori malintenzionati; oppure agevoli il già ricordato, disonorevole, uso “fake” di emblemi con finalità d’inganno della buona fede dell’avversario.
Ovviamente questi rischi e questi benefici sono noti nel mondo del tangibile da sempre: si tratta ora però di capire se la traslazione sul piano digitale possa attutire o al contrario enfatizzarne gli effetti negativi, tenuto conto delle ampie superfici di attacco e delle caratteristiche di asimmetria che distinguono gli attacchi cyber. E’ infatti un dato sotto gli occhi di tutti che l’aggressione al sistema informatico, ad esempio, di un ospedale da campo possa essere attivata da migliaia di chilometri di distanza con un laptop da poche centinaia di euro.
Orazio Danilo Russo
Per approfondire:
https://www.icrc.org/en/document/potential-human-cost-cyber-operations
https://shop.icrc.org/avoiding-civilian-harm-from-military-cyber-operations-during-armed-conflicts-icrc-expert-meeting-21-22-january-2020-geneva-pdf-en
https://blogs.icrc.org/law-and-policy/2021/09/16/legal-protection-digital-emblem/?utm_campaign=DP_ORE%20blog%3A%20Signaling%20legal%20protection%20in%20a%20digitalizing%20world%3A%20a%20new%20era%20for%20the%20distinctive%20emblems%3F&utm_medium=email&_hsmi=160129452&_hsenc=p2ANqtz-_k6XRN3TOAReLJlee7-bPK_JeHpN0-hsT2-YT86UbnlkpOhRLWZltzm9lqxPuHKnKOTvxoTCI4mEY4zj-0Cz8QyYOHeg&utm_content=160129452&utm_source=hs_email#_ftnref1
mercoledì 1 settembre 2021
Il chaos nel cosmo(DB)
Qualche giorno fa, mentre spiragli di frescura si insinuavano nella canicola agostana, appariva nuovamente sui social media professionali una domanda molto importante ma alquanto provocatoria: “Quanto è sicuro il cloud?”
La ragione principale di questo dubbio risiedeva in una vulnerabilità di un componente software descritta da alcuni ricercatori della società Wiz.
Proviamo ad approfondire cosa è successo per capire rischi e soluzioni.
Microsoft, come parte delle soluzioni cloud che vanno sotto l’ombrello “Azure”, offre una soluzione di database chiamata CosmosDB.
Questo è un database di tipo NoSQL, quindi radicalmente differente in struttura e in prestazioni rispetto a un database relazionale come ad esempio SQLServer.
I vantaggi che spingono piccole e grandi aziende ad adottare un database NoSQL in cloud sono essenzialmente tre: archiviare grandi quantità di dati non strutturati, velocità di risposta in pochi millisecondi e, non meno importante, scalabilità a livello planetario.
Questi vantaggi, uniti alla potenza del cloud, spiegano le ragioni del successo di CosmosDB.
In agosto 2021 la società Wiz, capitanata a livello tecnico da Ami Luttwak che poco tempo fa ricopriva lo stesso ruolo in Microsoft Cloud Security Group, informa Microsoft che il suo team di ricerca ha identificato una vulnerabilità in un componente software utilizzato con CosmosDB che si chiama Jupyter Notebook.
Questa è una piccola applicazione a contorno del motore di database principale, che si definisce Open Document Format.
In pratica è un modo di rappresentare i dati che consente di creare e condividere documenti che contengano dal testo narrativo a equazioni scientifiche, da codice software a dati più complessi come semplificato nell’immagine qui sotto:
Figura 1 - Esempio di dati complessi in Jupyter Notebook
Questi documenti possono poi essere memorizzati nel database, quindi interrogati, ordinati, estratti, e così via.
Jupyter Notebook non nasce con CosmosDB, bensì circa dieci anni fa come parte del linguaggio di programmazione Python. Nel 2015 viene scorporato in un progetto opensource autonomo chiamato per l’appunto Jupyter Project.
Messa nei termini più semplici possibili per capirne il rischio, la vulnerabilità di Jupyter Notebook, se sfruttata con un apposito exploit codificato per l’occasione, permette a un attaccante di interrogare il componente Jupyter Notebook di un database CosmosDB raggiungibile da Internet, ottenendo credenziali valide utili per visualizzare, modificare e cancellare dati nell’utenza di CosmosDB.
Come sempre accade quando le cose si fanno per benino, i ricercatori hanno dato un nome a questa vulnerabilità chiamandola ChaosDB ed informato Microsoft secondo i dettami della ResponsibleDisclosure
La società di Redmond ha reagito prontamente in meno di 48 ore disabilitando questa opzione software che era presente di default su tutte le istanze CosmosDB a prescindere dall’utilizzo e ha avvisato i clienti del rischio in modo che provvedessero a modificare le configurazioni per rimediare al rischio di potenziale compromissione.
Concludo questa disamina con una serie di cinque domande per chiarire il rischio reale, offrendo per ultima una mia riflessione sul tema.
Domanda 1 - Ma quindi il cloud è sicuro?
Risposta di Marco - Come lo può essere qualsiasi implementazione raggiungibile da chiunque ne sia autorizzato e da ovunque sul pianeta. Ad aumentare il livello di sicurezza - rispetto ad aziende che, come attività principale, fanno altro - c’è l’attenzione costante e continua di chi su questi servizi genera una parte importante dei propri profitti ed ha tutto l’interesse alla costruzione e conservazione di un rapporto di fiducia basato sull'integrità dei dati, così come la loro riservatezza.
Domanda 2 - Ma questa vulnerabilità è rimasta attiva per mesi prima di essere rilevata?
Risposta di Marco - Come centinaia di migliaia di vulnerabilità, alcune delle quali rimangono dormienti per anni fino alla loro scoperta. Microsoft ha anche confermato che non risulta nessun accesso illecito ai dati a causa di questa vulnerabilità. È anche opportuno ricordare che la vulnerabilità di un componente non significa necessariamente vulnerabilità della piattaforma.
Domanda 3 - Come posso proteggermi da attacchi in cloud?
Risposta di Marco - Curando di avere sempre la massima visibilità sul proprio ambiente digitale, oltre alla conoscenza delle diverse opzioni di configurazione delle istanze che vengono attivate in ambienti cloud. Ad esempio, sebbene vulnerabile a causa di un componente software come Jupyter Notebook un database CosmosDB diventa compromissibile solo se esposto alla raggiungibilità pubblica via internet. E non bisogna dimenticare il rischio interno, derivante da attaccanti che sfruttino vulnerabilità dall’interno dei perimetri di sicurezza.
Domanda 4 - Come posso mitigare il rischio di questa vulnerabilità?
Risposta di Marco - Oltre alla guida fornita da Microsoft, due giorni fa la stessa Wiz ha pubblicato alcune interessanti linee guida al proposito, consultabili a questo link.
Domanda 5 - Ma non dovrebbe essere responsabilità di Microsoft garantire la sicurezza del mio account in cloud?
Risposta di Marco - No. O meglio, non completamente. È certamente compito di Microsoft garantire che il software e le piattaforme offerte come servizio restino il più possibile libere da bug e vulnerabilità, attività che viene continuamente effettuata da chiunque offra servizi cloud a terzi. Infatti, proprio in questo caso la vulnerabilità è stata trovata in un continuo rapporto tra Microsoft ed i suoi partner volto ad aumentare la sicurezza dei servizi. È anche importante per gli utenti capire il concetto di responsabilità condivisa, di cui ho parlato in un altro articolo più in dettaglio e che riassumo qui con un esempio: ipotizziamo di affittare un’abitazione dotata di tutte le caratteristiche di sicurezza più evolute ed aggiornate, in modo da renderla davvero una fortezza praticamente inespugnabile. Restiamo comunque noi le persone a cui vengono consegnate le chiavi per aprire la porta di questa abitazione. siamo noi che decidiamo se quando usciamo di casa lasciamo le finestre socchiuse; noi siamo anche quelli che decidiamo di fare una copia di sicurezza delle chiavi per attaccarle sotto il portaombrelli con il nastro adesivo perché non si sa mai.
La forza di ogni catena è pari al suo anello più debole e spesso questo anello è quello che unisce la sedia alla tastiera.
Marco Rottigni
Vignetta: Simone Domini
Per approfondire:
Il progetto Jupyter 🡺 https://jupyter.org/
Introduzione a CosmosDB 🡺 https://docs.microsoft.com/it-it/azure/cosmos-db/introduction
La notizia di Wiz sulla vulnerabilità 🡺 https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases
Linee guida di Wiz su come mitigare 🡺 https://www.wiz.io/blog/protecting-your-environment-from-chaosdb
-
A coloro che seguono l'evoluzione del campo militare non sarà sfuggito che dopo Cyber Warfare, Information Warfare e Hybrid Warfare, è s...
-
Vulnerabilità del Network, Cybercrime, Cybersecurity, questi sono solo alcuni dei temi che sempre più spesso sentiamo nominare dai telegior...
-
Sei interessato a scoprire i segreti della cybersecurity? Vuoi proteggere i tuoi dati online e conoscere le minacce digitali? Non perd...