Materiale genetico caucasico per Bio Weapons? Preoccupazione del presidente Putin...

Secondo le notizie riportate in questi ultimi giorni dalla stampa russa, non meglio identificati "agenti statunitensi"

starebbero raccogliendo materiale genetico dei gruppi etnici russi di origine caucasica.

Lo stesso presidente Putin ha parlato della questione nel corso di un incontro del "Consiglio per lo sviluppo della società civile e dei diritti umani". 

Su "Russia Oggi" è stato riportato quanto accaduto nel corso di un incontro tra Igor Borisov e il presidente Putin a proposito della raccolta di immagini condotta ai danni dei cittadini russi. In questa occasione Putin avrebbe rivelato che la raccolta di immagini è niente in confronto a quanto sta accadendo: la raccolta di materiale genetico. 

Sembra che tale raccolta sia mirata verso le popolazioni caucasiche e si fa sempre più insistente la voce che la raccolta sia sponsorizzata dagli Stati Uniti d'America. 

Giunge dalla US Air Force la spiegazione delle parole di Putin. 

Sembra infatti che siano in corso ricerche sul sistema muscolo scheletrico e la raccolta di materiale genetico è legata alla ricerca in corso e non è mirata a raccogliere informazioni sui gruppi caucasici. Il Vice Ministro degli Esteri Sergei Alexeyevich Ryabkov ha commentato le parole del DoD dichiarando di non credere alle dichiarazioni del DoD americano.

La polemica prosegue ed anche oggi su The Moscow Time, rivista gratuita in lingua inglese distribuita a Mosca è stata pubblicata la notizia dal titolo inquietante: "Is  the U.S: Really targeting Russian With Bio Weapons?", riprendendo probabilmente la notizia apparsa alcuni mesi fa su siti di informazione alternativa. 

Interessante notare come i principali giornali occidentali non parlino di quanto sta accadendo.

Certo è che la notizia è particolare e l'ipotesi di armi biologiche costruite appositamente per eliminare un gruppo etnico, anche se dovesse rivelarsi totalmente infondata (ed è questo il nostro auspicio) in questo periodo di tensione tra USA e Russia non serve certo a placare gli animi.

Alessandro RUGOLO

Per approfondire:
-https://translate.google.it/translate?hl=it&sl=ru&u=https://ria.ru/society/20171030/1507844722.html&prev=search;
-http://www.rosbalt.ru/like/2017/10/30/1657077.html;
-http://www.rosbalt.ru/russia/2017/11/02/1657875.html;
-http://www.zerohedge.com/news/2017-11-01/us-air-force-admits-harvesting-russian-tissue;
-https://off-guardian.org/2017/11/03/why-is-the-us-air-force-collecting-samples-of-russian-dna/;
-https://themoscowtimes.com/articles/is-the-us-suddenly-targeting-russians-with-bio-weapons-59464;
-https://www.militarytimes.com/news/pentagon-congress/2017/11/02/how-a-pentagon-research-project-convinced-vladimir-putin-of-a-coming-biowar/.

Non esistono scorciatoie nel mondo della Cybersecurity!

Nel mio ultimo articolo: Intelligenza Artificiale: opportunità o rischio?, ho
cercato di evidenziare alcuni aspetti di ciò che sta accadendo nel campo della Intelligenza Artificiale nel mondo questo perchè, come tutte le novità, presenta degli aspetti positivi ma anche degli aspetti potenzialmente pericolosi E QUINDI DA CONOSCERE E TENERE A MENTE PER IL FUTURO!

Ora, per lo stesso motivo intervengo in una discussione portata avanti principalmente dai produttori di software legati alla Intelligenza Artificiale e utilizzati soprattutto per agevolarne la diffusione: l'impiego dell'Intelligenza Artificiale per la Sicurezza Informatica o meglio Cybersecurity.

Ho letto questa mattina sul sito Tom's Hardware Italia un articolo dal titolo accattivante "Cybersecurity: pochi talenti, meglio ricorrere alla IA" in cui si sostiene la tesi secondo cui l'Intelligenza Artificiale sarà una scelta "quasi obbligata" per il mondo della Cybersecurity a causa del fatto che gli esperti del settore cybersecurity sono troppo pochi e non sono in grado di coprire le richieste provenienti dalle società.

La scelta di soluzioni basate sulla intelligenza artificiale è presentata come una soluzione a basso costo al problema.
NIENTE DI PIU' SBAGLIATO a mio parere!

Ora, è sicuramente vero che gli esperti di Cybersecurity in Italia sono pochi, è altrettanto vero che la richiesta di esperti è superiore all'offerta (almeno così si dice... ma sarei curioso di vedere gli stipendi/compensi dei cosiddetti "esperti" per verificare la verità di questa affermazione!), però ci sono alcune cose che non vengono dette ed è su queste che vorrei attirare l'attenzione.

Chi ha una minima idea di come funzioni l'Intelligenza Artificiale (non parlo di chi si è fatto una idea leggendo romanzi o guardando i film di fantascienza!) sa bene che un qualunque robot necessita di essere istruito, anche quelli che sono in grado di imparare dai propri errori!) e per essere istruito occorre un esperto di Intelligenza Artificiale. Per istruire un robot nel campo della Cybersecurity, cosa ci occorre?

Primo punto: non troviamo esperti di Cyber e dunque cerchiamo un esperto di Intelligenza Artificiale su cui spostare il problema?

Secondo punto: gli esperti di Intelligenza Artificiale sono ancor meno (molti meno, oserei dire, soprattutto in Italia!) degli esperti di Cyber!

Risultato?

Se oggi abbiamo una richiesta di esperti di Cyber molto alta e una offerta bassa, sposando la tesi di Tom's Hardware Italia, in un prossimo futuro avremo una elevata richiesta di esperti di Cybersecurity e di Intelligenza Artificiale, esperti che, essendo ancor meno numerosi costeranno molto di più e, badate bene, non ne potremo fare a meno.
Ricordiamoci che non si crea un esperto di Intelligenza Artificiale in cinque minuti, ne tanto meno ci si improvvisa tale.

Leggendo queste mie parole qualcuno potrebbe essere tentato di chiedersi: e dunque? Cosa proponi?

In questo caso propongo di aprire gli occhi e le orecchie!
Tom's Hardware è una catena di giornali on line che si occupa di tecnologia, è una catena statunitense e, come sappiamo, gli Stati Uniti sono all'avanguardia nello sviluppo della Intelligenza Artificiale e delle tecnologie di sicurezza quindi è logico che si cerchi di creare nel mondo quella sensazione di non poter fare a meno di una nuova tecnologia.

Ed effettivamente non se ne può fare a meno a meno di (perdonate il gioco di parole) staccarsi dal mondo reale.
Ciò che intendo dire è che occorre fare attenzione e non pensare che esistano scorciatoie dove non esistono: se occorrono esperti di Cybersecurity occorre fare in modo che la scuola e le Università preparino (seriamente) i giovani alle nuove esigenze della società.

L'Intelligenza Artificiale è un nuovo mondo in cui occorre entrare con la consapevolezza dei rischi che corriamo e le Università italiane dovranno prendere atto (credo che lo stiano facendo!) delle nuove necessità preoccupandosi che vi sia un maggior numero di esperti di Intelligenza Artificiale e tra questi un certo numero di esperti di Cybersecurity perchè questo è l'unico modo serio di procedere, a meno di avere una montagna di soldi e rivolgersi alle grandi società ed affidarsi completamente ad esse!

Alessandro Rugolo

Per approfondire:

-https://www.tomshw.it/cybersecurity-pochi-talenti-meglio-ricorrere-ia-89355#disqus_thread;
-https://www.technologyreview.com/the-download/609275/a-lack-of-cybersecurity-talent-is-driving-companies-to-use-ai-against-online/

Royal Marines in controtendenza: taglio di mille uomini all'orizzonte?

Il taglio di 10 miliardi di sterline alla Royal Marines nei prossimi 10 anni mette a rischio le capacità militari britanniche di risposta a situazioni di crisi?

Questa la domanda che probabilmente in tanti in Gran Bretagna si stanno ponendo dopo che è stato ipotizzato di ridurre il numero dei Royal Marines da 6.600 a 5.600, un taglio di mille unità di personale che, considerando la minori necessità di armamento ed equipaggiamento dovrebbero consentire un risparmio di circa 1 miliardo di sterline l'anno. Ipotesi allo studio già dall'inizio dell'anno, legata al controllo della spesa per la Difesa, attestata intorno ai 35 Miliardi di sterline l'anno.

Sembra che però non tutti siano d'accordo! 

Alcuni esponenti del Parlamento sostengono che non si capisca per quale motivo, quando le spese britanniche per la difesa sembrano essere in salita, per i Royal Marines si debba fare invece un passo indietro. Sembra infatti che tali scelte siano state fatte senza tener conto della situazione strategica che sta affrontando la Gran Bretagna.

Il Ministero della Difesa è stato chiaro. Si tratta solo di una ipotesi, al momento non è ancora stata presa alcuna decisione. Un'altra ipotesi consiste nel vendere parte delle navi da guerra ad altre nazioni. La HMS Ocean sembra interessare al Brasile. Ma anche questa è una ipotesi.

Sembra che in una parte della nazione vi sia forte preoccupazione, sia per il mantenimento delle capacità militari sia per l'indotto sul territorio che vedrebbe una drastica riduzione di uomini dislocati nel Devon. Mille militari in meno non sono uno scherzo infatti per il territorio, basta dare uno sguardo a ciò che è accaduto dalle nostre parti, per esempio a Gaeta.

Il Ministero della Difesa afferma di essere impegnato nella revisione continua dello strumento militare.
Questo significa che a seconda dell'evoluzione della situazione può essere necessario rivedere le capacità militari nazionali e la revisione può portare al taglio di risorse in un settore per alimentare altri settori ritenuti più importanti. Da alcune fonti sembrerebbe che i tagli alla Royal Marines derivino dalla necessità di coprire le spese per due portaerei in costruzione, da alcuni considerati il peggior acquisto mai fatto!
Secondo il parere dell'Ammiraglio West, già "First Sea Lord" (Comandante della Royal Navy) tra il 2002 e il 2006, non si può ridurre in questo modo una capacità strategicamente indispensabile se si vuol mantenere il controllo di tutti quei territori che possono essere raggiunti solo via mare.
La Gran Bretagna attualmente è uno dei pochi stati che investe nella Difesa più del due per cento del Prodotto Interno Lordo, come richiesto per restare all'interno della NATO ma non bisogna dimenticare che vi sono nuove sfide nel mondo attuale e che talvolta è necessario cambiare e le risorse non sono infinite.
Il bilanciamento tra numero dei marines ed il resto delle forze appartenenti alla Royal Navy è compito del First Sea Lord che dovrà decidere dove tagliare per assolvere al suo compito con le risorse di sua competenza, compito difficile per l'Ammiraglio Sir Philip Jones, in carica dall'aprile del 2016.


Alessandro RUGOLO

Per approfondire:

-www.devonlive.com/news/devon-news/mod-cut-1000-royal-marines-521290;

-www.express.co.uk/news/uk/862932/UK-royal-navy-royal-marines-bbc-military-cuts-mod-newsnight-war-amphibious;
-www.dailymail.co.uk/news/article-4367370/Royal-Marines-face-axe-military-looks-10bn-savings.html;
-www.plymouthherald.co.uk/news/plymouth-news/1000-royal-marines-could-sacked-520427;
-www.telegraph.co.uk/news/2017/10/26/worst-possible-time-cut-maritime-forces-keep-britain-safe/.

A Praga, dal 23 ottobre, l'Open Source Summit Europe

L'Open Source Summit Europe è l'evento forse più atteso nel panorama europeo

in relazione al famoso "pinguino" del Sistema Operativo Linux.

Una settimana di eventi, incontri, convegni e lavori tra esperti di tutto il mondo ha inizio sotto l'auspicio della "The Linux Foundation", organizzazione non profit con sede centrale a San Francisco ma ormai distribuita in tutto il mondo.

Il programma prevede la partecipazione di più di 2000  esperti. 

Tra questi vi è Linus Torvald, creatore del kernel Linux, sempre impegnato nel seguire da vicino gli sviluppi della sua creatura. 

Per la Intel Corporation sarà presente Imad Sousou, vice presidente e General Manager della società famosa per i suoi processori ma molto attenta al mondo Open Source.

Tra i più giovani la programmatrice e web designer quindicenne Keila Banks. Iniziò a programmare all'età di 9 anni e a 12 vinse il premio "Young Entrepreneur of the Year" e, con soli undici anni, l'hacker Reuben Paul e fondatore della CyberShaolin.

Tra gli appuntamenti del lunedì, più attesi per gli esperti di sicurezza:

- "OP-TEE - Using TrustZone to Protect Our Own Secrets" presenta Marc Kleine-Budde. Funzionalità che sembra essere in grado di proteggere dati sensibili anche in presenza di un kernel compromesso.

- il panel del lunedì pomeriggio  "Hatching Security: LinuxKit as Security Incubator", relatori di tutto riguardo sono Tycho Andersen e Riyaz Faizullabhoy. Si parlerà di un nuovo progetto open source chiamato LinuxKit, un tool per creare sottosistemi Linux disegnati per la virtualizzazione sicura di ambienti Linux.

Ancora poche ore all'inizio dell'evento e una ultima considerazione: i tempi sono cambiati rispetto a quando, anni fa, Linux era solo un fratello minore del più noto Unix, sono tanto cambiati che tra gli sponsor dell'evento troviamo anche la Microsoft e ciò fa capire quanto sia elevata l'attenzione verso il mondo dell'Open Source Software.

Per approfondire:

http://events.linuxfoundation.org/events/open-source-summit-europe;

Alessandro Rugolo

Intelligenza Artificiale: opportunità o rischio?

Immagine tratta da: www.thesun.co.uk

In Italia è passato praticamente inosservato, forse per paura di derisione, un fatto accaduto qualche mese fa e che invece ha destato se non scalpore almeno inquietudine nel resto del mondo: lo “spegnimento” di due “robot” che improvvisamente hanno cominciato a parlare tra loro in una lingua da loro stessi inventata.

C’è chi ha considerato l’avvenimento come “eccitante” da punto di vista scientifico, chi invece, come il Professore di robotica Kevin Warwick, ha immediatamente messo in risalto i pericoli che da ciò possono derivare, in particolare se i robot dovessero avere una qualche capacità militare…

Ma cosa è successo realmente?

Si è trattato di un esperimento eseguito da Facebook. Sono stati installati due chatbot (vedi articolo), chiamati Alice e Bob, che dovevano migliorare le proprie capacità di negoziazione. Avrebbero dovuto utilizzare la lingua inglese tra loro e poi, in un secondo tempo, con i possibili utenti ma, ad un certo punto, senza alcun preavviso, hanno cominciato ad usare un loro linguaggio incomprensibile ad altri.

Gli esperti di Facebook hanno quindi preferito spegnere le due macchine perché non è stato raggiunto il risultato atteso.

Dopo questo allarme si è scoperto che fatti simili sembrano essere già accaduti almeno presso Google.

Dunque, cosa sta accadendo?

L’Intelligenza Artificiale può rappresentare un rischio? E, se la risposta è si, allora occorre chiedersi: AI può rappresentare un rischio per la civiltà umana?

La risposta non è semplice. Forse la risposta non c’è.

Chiunque, come me, sia stato da ragazzo un appassionato lettore di fantascienza non può non aver letto Asimov. Ma per parlare dei più giovani, negli ultimi anni i film che parlano di forme di Intelligenza Artificiale che interferiscono con il naturale sviluppo della civiltà umana sono innumerevoli. Come possiamo essere certi che un programma, magari sviluppato da un gruppo di attivisti ecologisti per salvaguardare la natura non possa un giorno prendere il controllo del mondo e decidere che la razza umana è il vero pericolo per la natura e dunque decida di “fare piazza pulita”?

E, fate attenzione, chiunque pensasse che si tratta solo di fantascienza, al punto in cui siamo, non avrebbe capito niente. Sembra infatti che ultimamente la realtà superi la fantasia!

Se si considera che fermare l'evoluzione in questo campo è praticamente impossibile, la cosa peggiore è non parlarne per paura di essere derisi. Ciò che occorre è controllo accurato su ciò che accade e sulla ricerca per poter prevenire possibili problemi che potrebbero nascere da un campo, l'Intelligenza Artificiale, assolutamente nuovo. 

In questo senso è solo da elogiare la discossione iniziata in seno al Parlamento Europeo relativamente alla necessità di regolamentazione dei Robot.

Alessandro RUGOLO

Per approfondire:

- https://www.thesun.co.uk/tech/4141624/facebook-robots-speak-in-their-own-language/;

- http://www.independent.co.uk/life-style/gadgets-and-tech/news/facebook-artificial-intelligence-ai-chatbot-new-language-research-openai-google-a7869706.html;

- http://www.independent.co.uk/life-style/gadgets-and-tech/news/robots-create-new-language-to-work-together-a7636041.html;

- https://code.facebook.com/posts/1686672014972296/deal-or-no-deal-training-ai-bots-to-negotiate/; 

- http://www.ilfattoquotidiano.it/2017/08/01/intelligenza-artificiale-due-robot-facebook-hanno-dialogato-in-una-lingua-sconosciuta/3769549/;

- http://www.europarl.europa.eu/news/it/headlines/economy/20170109STO57505/i-robot-sono-sempre-piu-utilizzati-urge-una-legislazione-europea;

Londra, brevi considerazioni post viaggio!

Londra,

bellissima cittadina mi vien da dire... poi rifletto. 

Wikipedia dice 8.787.892 abitanti!

Non ero mai stato a Londra e devo dire che sono stato favorevolmente colpito, ad eccezione del cibo naturalmente.

Non voglio scrivere un racconto di viaggio, non oggi, per cui scriverò ciò che mi viene in mente, soprattutto per indicare le differenze tra Londra e Roma, la città dove abito.

Allora iniziamo subito con una cosa che mi ha colpito: nel quartiere di Paddington, dove ho passato quasi una settimana, mi sono imbattuto in soli due cani. A Londra non ci sono cani... Almeno non nelle zone che ho visitato, o se ci sono, non li ho incontrati!

Non perchè non mi piacciano i cani, sia ben chiaro, ciò che non mi piace sono i padroni che non li sanno gestire, i loro residui organici presenti in ogni angolo, marciapiede, giardino, parco, pianerottolo, strada e suola di scarpa di tutto il territorio di Roma, per non parlare della puzza cui quasi non si fa più caso tanta è l'abitudine...

Bilancio: Londra 1 - Roma 0, ma andiamo avanti.

A Londra esistono i marciapiedi e, stranamente, vengono utilizzati dai pedoni. Da questo punto di vista Roma è avanti infatti anche a Roma (qualche volta) ci sono i marciapiedi, ma di solito vengono utilizzati dalle macchine, e non solo per parcheggiare!

Bilancio: Londra 2 - Roma 0...

Terzo punto: il traffico. Che dire, girare per Londra a piedi o in taxi fa capire cosa significhi gestire il traffico. Non si può certo dire che non ci sia traffico in periferia, però si può affermare senza dubbio che si tratta di traffico ordinato, non del caos che si vive giornalmente a Roma. Semafori funzionanti, mezzi pubblici numerosi e funzionanti, bus e underground efficienti consentono a chiunque di raggiungere ogni punto della città in un tempo relativamente breve.

Bilancio: Londra 3 - Roma 0, ma solo perchè mi sono imposto di non dare punteggi negativi!

Quarto: raccolta della nettezza urbana e pulizia delle strade. Potrei citare il sommo poeta "... o quanto a dir qual'era è cosa dura..." raccogliere l'immondezza nella città eterna, facile invece è raccoglierla nella città nuova, Londinium, fondata dai romani intorno al 43 d.C.. Ebbene si, a Londra mi è capitato di assistere a scene che voi umani non potete neanche immaginare: mi trovavo comodamente seduto in un vagone della metropolitana e, durante una sosta di pochi minuti, due loschi figuri si sono precipitati nel mio vagone ed in quello affianco e, dotati di bacchetta prensile, raccoglievano i pochi resti di umanità lasciati per terra da qualche viaggiatore poco attento! Chi mai ha assistito ad una scena simile a Roma?

Bilancio: Londra 4 - Roma 0.

Quinto: verde pubblico. A Londra ho attraversato a piedi diversi parchi pubblici, il St. James, l'Hide Park tra gli altri. Ma ho soprattutto camminato in lungo ed in largo. Certo, non ho visitato tutta Londra ma ho percorso chilometri e chilometrie, meraviglia delle meraviglie, il verde pubblico è "curato", dovunque. A Roma chi non si è imbattutto in una foresta selvaggia ad ogni angolo scagli la prima pietra! Mi farebbe piacere sapere quanti addetti vi sono  nelle due città al verde pubblico e alla cura delle strade... ma forse è meglio non saperlo!

Bilancio: Londra 5 - Roma 0.

Sesto: musei. I musei di Londra sono gratuiti, ma soprattutto sono "vivi". Il fatto di non dover spendere cifre astronomiche per l'ingresso al museo fa si che siano in tanti ad aggirarsi per i negozi di souvenir interni alle strutture per acquistare guide, oggetti caratteristici o anche una semplice "applepie". La cosa più bella però è proprio constatare che i musei vivono una loro vita grazie ai tanti, giovani e meno giovani, che si muovono per le sale, che studiano le opere, che seguono la lezione di arte o di scienze comodamente seduti per terra attorno ad un insegnante. Poi, lungo i corridoi, si aprono sale dedicate ai sostenitori dei musei, in cui si svolgono attività di studio e ricerca... che dire di più?

Londra 6 - Roma 0.

Sette: Albergo. albergo tre stelle... Stanza piccola, anzi no, piccolissima. Apertura porte ad incastro, nel senso che si rischia di restare incastrati. Stanza di 6 metri quadri? Bagno senza bidet... però pulito. Certo che da noi un tre stelle è molto diverso. Personale gentile, abituato ad aiutare nonostante la diversità della lingua. A Roma, per chi c'è stato, gli alberghi sono molto meglio.

Bilancio: Londra 6 - Roma 1

Otto: acqua. L'acqua, per noi italiani è molto importante, l'acqua in bottiglia intendo dire. Non parlo della bottiglia d'acqua acuistata per strada nel chiosco o presso un museo, in questi posti mi aspetto di pagarla cara, come accade anche a ROma, ma da noi esistono migliaia di tipi di acqua nei supermercati o negozi e il prezzo è relativamente basso. 

Non a Londra! Una bottiglia al supermercato costa una sterlina o più! Certo, c'è da dire che l'acqua del rubinetto si può bere, ma per chi non è abituato all'idea...

Bilancio: Londra 6 - Roma 2

Nove: il cibo. Dobbiamo proprio parlare del cibo? Bene, facciamolo. L'Italia ha tante pecche, tantissime direi. Però il cibo italiano è un'altra cosa!

In ogni bar, locale, ristorante, pub londinese si millanta la vendita di cibi italiani, dal caffè al cappucchino alla pasta, pollo, lasagne, tagliatelle... ma poi, si entra e si rimane delusi. Voi direte, ma vai a Londra e cerchi cibo italiano? Ma dai... provinciale!

Ebbene, no, non ho cercato cibo italiano, cercavo piatti tipici ma mi offrivano sempre falsi italiani. Offerti con parole semi italiane o spagnole. 

Che dire del caffè? Ne l'espresso, ne il ristretto sanno di caffè, in nessun locale provato! Il cibo assaggiato era sempre troppo speziato, troppo imburrato, troppo... troppo... non me lo fate dire!

E poi, è quasi impossibile ordinare un bel piatto di verdure cotte, grigliate, fresche... 

Bilancio: Londra 6 - Roma 3.

Dieci: monumenti. Bella, Londra è bella, dei bei palazzi ma... da questo punto di vista non è assolutamente paragonabile a Roma, città eterna... 

Non troverete niente di simile al COlosseo, ai fori imperiali, agli archi di trionfo... Roma è un museo a cielo aperto, Londra è una bella città, grande, pulita, ordinata, ma è una bella città, non una città eterna...

Bilancio: Londra 6 - Roma 4.

Abbiamo finito? Non so, però al momento non mi viente altro in mente.

Londra merita di essere visitata e, magari, per certi aspetti, imitata.

Naturalmente anche loro potrebbero imparare qualcosa da noi, la cucina di sicuro, a patto di non prendere a riferimento quella di dubbia qualità dei locali del centro di Roma, dove un tempo ci si poteva imbattere in una ottima trippa alla romana o in un piatto di carbonara, mentre oggi, sempre più di frequente, ci si imbatte in un kebabbaro o in un ristorante cinese o, peggio, in un finto ristorante italiano dove chi cucina a volte, forse viene da Londra!

Alla prossima.

Alessandro RUGOLO

Injection, Broken Authentication ed XSS i principali rischi cyber.

Walter Ambu - CEO e fondatore di Entando

OWASP è uno standard per la produzione di applicazioni web sicure e se consideriamo che ormai quasi tutte le applicazioni sono web...

OWASP è anche un'organizzazione mondiale che ha lo scopo di migliorare la sicurezza del software (vedi articolo: Cyber defence: programmare in sicurezza è la base di tutto).

Tra le iniziative di maggior successo vi è la OWASP Top Ten, un elenco dei dieci principali rischi cyber nello sviluppo di applicazioni.

Nel 2013 è stata pubblicata l'ultima lista ancora valida mentre la prossima dovrebbe essere rilasciata a novembre 2017.

A inizio anno è iniziato il processo per aggiornare la lista ma il primo tentativo è andato a vuoto essendo stato bocciato dalla community.

La prima bozza della Top Ten del 2017, ancora in discussione indica i seguenti 10 maggiori rischi:

A1-Injection

A2-Broken Authentication and Session Management

A3-Cross-Site Scripting (XSS)

A4-Broken Access Control

A5-Security Misconfiguration

A6-Sensitive Data Exposure

A7-Insufficient Attack Protection

A8-Cross-Site Request Forgery (CSRF)

A9-Using Components with Known Vulnerabilities

A10-Underprotected APIs.

Un elenco non certo semplice da capire per chi non abbia approfondite conoscenze in campo di sicurezza informatica.

Proviamo quindi ad approfondire il significato di questi termini con Walter Ambu, fondatore di Entando, una start up che fa uso della metodologia OWASP per lo sviluppo sicuro di software.

Entando - il team

Ingegner Ambu, la sua società, la Entando, sviluppa software sicuro… Può aiutarci a capire qualcosa di più sulla metodologia di sviluppo? Di che tipo di software vi occupate? A che tipo di clienti vi rivolgete? Quanto dedicate alla ricerca e sviluppo? E, soprattutto, ci aiuta a capire meglio quali sono i principali rischi inseriti nella OWASP Top Ten?

Entando è una piattaforma software Open Source che semplifica la realizzazione di applicazioni web e mobile di nuova generazione ossia le “Modern Applications”.

Cosa intendiamo?

Oggi le aziende e le pubbliche amministrazioni, soprattutto quelle più grandi impegnate nella corsa verso la digitalizzazione, hanno due problemi: la rapidità e l’armonizzazione.

Da un lato, devono accelerare i tempi di rilascio delle applicazioni, prima che un loro competitor lo faccia. Dall’altro, devono fare ordine in un portafoglio di applicazioni sempre più ampio, caratterizzato da interfacce tutte diverse e da user experience incoerenti che creano problemi a chi le usa. Entando, grazie a pattern UX/UI (User eXperience/User Interface), funge da "armonizzatore" della user experience e da “acceleratore”, grazie alle moderne tecniche di software development basate su containers, devops, CI/CD (Continuous Integration/Continuous Development), microservizi.

Va da sé che Entando deve avere per natura, in quanto azienda Open Source, una forte propensione naturale per l’innovazione e la ricerca. Il team è composto da ingegneri del software, specialisti IT e Phd, che - a proposito di “modernità”- lavorano anche in modalità smart working.

In quanto alla sicurezza, Entando sviluppa seguendo la metodologia OWASP...

Ingegnere, come mai la sua società ha adottato questa metodologia? Quali sono i vantaggi? E' difficile applicarla alla produzione di software? Il personale svolge dei corsi? Collaborate con le Università?

Sviluppare Modern Applications per aziende e amministrazioni pubbliche significa dare garanzie di innovazione, qualità e sicurezza sul software prodotto. Per tale ragione Entando ha deciso di adottare le linee guida OWASP oltre a metodologie di controllo e verifica della qualità del codice.

Entando collabora attivamente con il Pattern Recognition and Applications Lab dell’Università degli studi di Cagliari (http://pralab.diee.unica.it) la cui divisione di sicurezza informatica è guidata dal Prof. Giorgio Giacinto. In particolare ha fatto parte di un progetto chiamato sTATA (http://stata.diee.unica.it) che consiste nella creazione di un distretto con competenze specifiche e avanzate nell’ambito della sicurezza informatica, all’interno del quale possano svilupparsi idee, soluzioni, e prodotti innovativi in risposta ai rischi di attacco informatico ai quali cittadini e aziende sono oggigiorno esposti. Questo progetto ha previsto ovviamente diverse fasi tra cui quella di formazione del personale Entando coinvolto nella realizzazione della piattaforma.

Sappiamo che ci sono ancora delle discussioni in corso sulla Top Ten 2017 e che dovremo ancora attendere per conoscere quella ufficiale. Ma lasciamo queste sottigliezze ai cultori della materia e proviamo a ragionare come se la Top Ten fosse già stata rilasciata.

In cima, già nel 2013 e per ora anche nella bozza di proposta per il 2017, si trova la categoria conosciuta come “Injection” di cui riporto la definizione: “Injection flaws, such as SQL, OS, XXE, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization”.

Ingegnere, in parole povere, per i non esperti, ci può spiegare di che si tratta?

Per Injection si intende un vasta classe di attacchi che consentono ad un malintenzionato di passare ad un software dei dati in ingresso che ne alterano l’esecuzione prevista. Si tratta di uno degli attacchi più pericolosi per le applicazioni web. Il risultato può variare dalla perdita di dati fino ad arrivare al furto di dati sensibili come le carte di credito.

Tra le diverse tipologie di Injection, SQL Injection è quella più nota.

SQL Injection è una pratica di hacking che consiste nel colpire applicazioni web che si poggiano su database. A causa della vulnerabilità l’aggressore è in grado di operare sul database, leggendo, alterando, o cancellando in maniera non autorizzata i dati in esso presenti.

Tra i casi reali in cui è stato utilizzato un attacco di questa categoria vi è quello del 2009 condotto ai danni della Heartland Payment System. In quella occasione furono rubate le credenziali di 130 milioni di carte di credito e debito.

Ma come si migliora la sicurezza di un sistema soggetto a questa vulnerabilità?

Occorre verificare la funzionalità dei controlli sui dati in ingresso, in modo che non sia possibile effettuare interrogazioni arbitrarie al database sfruttando una mancata o incorretta validazione dei dati ricevuti. Per essere ancora più chiari, se un form su un sito richiede l’inserimento di un userid, il software deve controllare che i dati inseriti dall’utente siano effettivamente del formato di un userid ed impedire che l’utente possa inviare dei dati differenti, magari una stringa che possa essere interpretata come un comando.

Grazie, ora credo sia più chiaro a tutti il significato di “Injection”.

Forse non tutti potranno comprendere a fondo i meccanismi alla base dell'attacco ma credo che la cosa più importante sia sensibilizzare le persone che l'uso di strumenti web può presentare dei rischi ma che esistono dei metodi per minimizzarli.

Ingegner Ambu, la seconda della lista è Broken Authentication and Session Management.

Di che cosa si tratta?

In questo caso abbiamo a che fare con una vulnerabilità in cui un aggressore è in grado di manipolare i dati che tipicamente vengono memorizzati nel cosiddetto “session token”, ossia un identificativo univoco per l’utente che naviga nelle pagine web e che viene utilizzato per scambiare dati tra la parte client e quella server di un’applicazione web. I famosi cookie abilitano questo meccanismo. In questo caso un aggressore può addirittura assumere identità altrui, modificare password ed entrare nei sistemi. Immaginiamo, per esempio, i danni che un hacker può fare entrando nel nostro conto bancario!

Può svuotarci il conto! E magari ottenere informazioni sui conti correnti di persone con le quali abbiamo dei rapporti di lavoro. Potenzialmente ciò mette a rischio non solo noi ma anche persone e aziende con le quali abbiamo a che fare.

Ingegner Ambu, non voglio certo portarle via troppo tempo chiedendole di analizzare tutte e dieci le vulnerabilità della lista ma credo che almeno la terza meriti attenzione: Cross-Site Scripting (XSS), di che si tratta?

Il Cross-Site Scripting è una tecnica piuttosto comune per eseguire un furto di identità.

In pratica un’applicazione prende in carico dei dati ricevuti in ingresso, per esempio da un form, senza operare alcun controllo di validazione, da questo punto di vista assomiglia alla tecnica dell’injection.

Malintenzionati possono quindi iniettare attraverso il browser del codice script nocivo, esempio del codice javascript, in un qualunque form del sito web causando il furto di identità di qualunque persona o la modifica di porzioni del sito web addirittura costringendo l’utente a scaricare un malware.

Ingegner Ambu la ringrazio per il tempo dedicatoci. Approfitto ancora della sua presenza e competenza per ripetere che tutte queste tecniche d’attacco possono essere almeno in parte rese inoffensive utilizzando le best practices della metodologia OWASP. In pratica l’impiego della metodologia OWASP consente di prevenire buona parte degli attacchi più comuni e pericolosi.

Esatto, OWASP è una metodologia di tipo preventivo. La sua applicazione in ogni caso non va considerata come una panacea contro tutti i mali ma è sicuramente molto utile e merita di essere studiata approfonditamente da tutti coloro che in qualche modo si occupano di sviluppo software e di sicurezza informatica. A tal proposito il 20 ottobre prossimo presso l’auditorium della facoltà di Ingegneria e Architettura, in Piazza d’Armi a Cagliari, si terrà l'Italy OWASP Day 2017. Un evento interessantissimo sotto il profilo della sicurezza del software.

Tra gli ospiti sarà presente il vice presidente di Synopsys, Gary McGraw, autorità riconosciuta a livello mondiale nel campo della sicurezza informatica.

Noi di Entando saremo presenti e vi sarà la possibilità di approfondire i concetti appena esposti e molto altro. Vi aspettiamo!

Alessandro RUGOLO

Per approfondire:

- https://www.owasp.org/index.php/Italy_OWASP_Day_2017

- https://www.computerworld.com/article/2527185/security0/sql-injection-attacks-led-to-heartland--hannaford-breaches.html

- https://www.w3schools.com/sql/sql_injection.asp