E se Yahweh fosse stato un guerriero?

(Il falso Testamento, di Mauro Biglino)

Tra le ipotesi di Mauro Biglino esposte tra le altre nel libro "Il falso Testamento" ve n'è una particolarmente interessante, relativa al fatto che se facciamo finta che quanto scritto nella Bibbia sia da leggere senza interpretazioni teologiche, allora appare chiaro il fatto che Dio non era altro che un capo militare.

L'anno scorso ho letto e recensito il libro: La Bibbia non parla di Dio, approfittando inoltre della pazienza dell'autore per porgli alcune domande e approfondire così le mie conoscenze in materia.
Quest'anno ho acquistato un secondo libro, "Il falso Testamento" e mi sono immerso immediatamente nella sua lettura, terminata questa notte.

Così, a caldo, ho deciso di buttar giù queste poche righe da utilizzare come promemoria per il futuro. Ecco dunque di seguito alcune considerazioni sulle quali riflettere, a partire dalla domanda che mi sono posto sin dall'inizio: se fosse vero che gli Elohim, gruppo non bene identificato di esseri superiori, di cui Yahweh faceva parte, non erano Dei ma esseri tecnologicamente avanzati, che fine hanno fatto? Perché non sono più tra noi?

Da chi sono stati sconfitti?

Domande per certi versi assurde, potreste opinare, ma lecite qualora si dia credito a quanto scrive Biglino ed io, magari solo a titolo di esperimento, voglio provare a dargli credito.

Mentre leggevo delle imprese guerresche condotte con sangue freddo, e talvolta con particolare crudeltà per quelli che sono i nostri parametri di giudizio, cercavo risposta a queste domande, sperando che Biglino avesse già dato le risposte tra le pagine del suo libro, consapevole comunque che se così non fosse stato avrei avuto la possibilità di trovarle in qualcuno dei suoi altri libri.

Poi, verso la fine, al Cap. VII "Non solo Elohim e theoi..." ho trovato parziale risposta, Biglino infatti cita Giuseppe Flavio (Guerra Giudaica) che racconta la conquista di Gerusalemme ad opera dei Romani:
         "Non molti giorni dopo la festa, il 21 del mese di Artemisio, apparve una visione miracolosa cui si stenterebbe a prestar fede; e in realtà io credo che ciò che sto per raccontare potrebbe apparire una favola, se non avesse da una parte il sostegno dei testimoni oculari, dall'altra la conferma delle sventure che seguirono. Prima che il sole tramontasse, si videro in cielo su tutta la regione dei carri da guerra e schiere di armati che sbucavano dalle nuvole e circondavano le città. Inoltre, alla festa che si chiama la Pentecoste, i sacerdoti che erano entrati di notte nel tempio interno [di Gerusalemme] per celebrarvi i soliti riti riferirono di aver prima sentito una scossa e un colpo, e poi un insieme di voci che dicevano: "Da questo luogo noi ce ne andiamo".
Un racconto simile è riportato nelle Storie di Tacito al riguardo dello stesso periodo:
           "Si videro nel cielo scontrarsi eserciti, rosseggiare spade e il tempio risplendere di subitanei bagliori. Le porte del santuario si spalancarono d'un tratto e una voce sovrumana esclamò che gli dei fuggivano; e nello stesso tempo un gran frastuono come di gente che fugge".

Ecco dunque, se facciamo finta che i testi antichi raccontino la storia e non leggende e favole, che abbiamo la spiegazione. L'Elohim conosciuto col nome di Yahweh abbandona il suo popolo, i suoi protetti e fugge di fronte, con ogni probabilità, ad un altro Elohim più potente, protettore quest'ultimo dei Romani.
Elohim contro Elohim, Romani contro Israele.

Giuseppe Flavio e Tacito non sono gli unici storici antichi a parlarci di fatti strani come le battaglie aeree tra dei, i testi antichi, oltre alla Bibbia, sono ricchi di storie simili, mai considerabili però degne di fede.

Biglino conclude il capitolo nell'unico modo possibile: "Ebrei, Romani, Greci e i cosiddetti "barbari" sono stati governati dagli appartenenti allo stesso gruppo di colonizzatori...
Io aggiungo:
Che dire dunque dei nostri tempi e delle nostre civiltà?

Consideriamo pure tutto ciò come un semplice esercizio di fantasia, se vogliamo, ma proviamo comunque a porci qualche domanda.
Magari un giorno potremo trovarci faccia a faccia con le risposte alle domande, e non è detto che queste ci piaceranno.

Alessandro Rugolo 

Jeff Boleng si occuperà per il DoD dei software dell'F 35 Joint Strike Fighter

Jeff Boleng

13 aprile 2018: sul Washington Business Journal esce una notizia particolare, "The Pentagon has created a new post to guide how it buys software".

La notizia potrebbe sembrare banale ma a mio parere non lo è. Proviamo a capire perchè.

In primo luogo è opportuno dire che il nuovo assunto non viene proprio dal nulla. Si tratta infatti di Jeff Boleng, ex Ufficiale dell'Air Force, impiegato come Cyberspace Operation Officer per oltre vent'anni, ingegnere del software e insegnante di computer science presso la Air Force Academy. Dopo la carriera militare Jeff Boleng ha guidato il settore di Ricerca e Sviluppo della Carnegie Mellon University (ricordo che la Carnegie Mellon è stata la prima Università a creare un CERT nel lontano 1988, naturalmente finanziato dalla DARPA!).

Ora, il rientro "in servizio" di Jeff Boleng è significativo dell'importanza del settore dello sviluppo del software e delle acquisizioni militari ad esso legate.

Jeff Boleng in particolare ricoprirà la posizione di assistente particolare per le strategie di acquisizione dei software e il suo più pressante impegno sarà legato agli sviluppi dei software dell'F35 Joint Strike Fighter realizzato dalla Lockheed Martin Corporation.

Jeff Boleng è chiamato a guidare la nuova strategia di acquisizione e deployment dei software della Difesa Americana, una variante di "Agile" chiamata Continuous Capability Development and Delivery (C2D2, per gli amanti degli acronimi).

Questa mossa fa capire quanta attenzione venga posta dal DoD americano sul mondo del software militare, anche in considerazione degli enormi rischi legati alla dimensione Cyber.

Alessandro RUGOLO

Per approfondire:

https://www.bizjournals.com/washington/news/2018/04/13/the-pentagon-has-created-a-new-post-to-guide-how.html
https://www.theregister.co.uk/2018/01/30/f35_dote_report_software_snafus/

I micidiali cyber-artigli dell'orso russo. L’inarrestabile ascesa di Fancy Bear.

L’universo dei gruppi di hacker è estremamente vasto e variegato. Come detto nei precedenti articoli, mentre quelli “buoni”, i cosiddetti white hat o ethical hacker, costituiscono una vera e propria risorsa per la sicurezza informatica, peraltro mai sfruttata abbastanza, quelli “cattivi” imperversano nel cyberspazio causando danni che talvolta sono molto ingenti. Inoltre, questi ultimi spesso, cooperando tra loro, supportano le attività di organizzazioni criminali, movimenti politici o terroristici o, ancora, di strutture governative o private di intelligence, di sicurezza o di difesa. In particolare, esiste un gruppo di hacker che da ormai diversi anni è oggetto di approfondite ricerche e indagini da parte di molti paesi e di aziende di sicurezza, in quanto sarebbe in qualche modo collegato al governo russo e, nello specifico, ai suoi potenti servizi segreti militari (Glavnoje Razvedyvatel'noje Upravlenije - GRU). Tale cellula, a cui sono stati attribuiti i nomi in codice di Fancy Bear, APT28, Pawn Storm, Sofacy Group, Sednit e Strontium è considerata essere tra le più attive ed efficaci  a livello globale. Anche la sua storia, come quella di The Equation Group (v. articolo), si intreccia indissolubilmente con vicende politiche e militari di portata internazionale, ma non solo. Come si vedrà in seguito, nel “mirino” di Fancy Bear sarebbero finite anche molte personalità politiche invise al governo russo.

Veniamo alle caratteristiche che contraddistinguono il gruppo in questione. Come The Equation, Fancy Bear è specializzato in attività di intelligence condotte nel cyberspazio, attraverso sofisticate campagne di Advanced Persistent Threat (APT). Quindi anche gli hacker di questo gruppo sono molto abili nell’introdursi nelle reti altrui,  sfruttandone le vulnerabilità, e a svolgere attività di spionaggio a lungo termine senza farsi scoprire. Le “vittime preferite” di Fancy Bear sono aziende e organizzazioni che operano nel settore aerospaziale, energetico, della difesa, dell'informazione, enti governativi e dissidenti politici anti governo russo. La maggior parte degli obiettivi è concentrata nelle repubbliche ex-sovietiche, tuttavia la cellula opera anche a livello globale conducendo campagne dagli esiti talvolta clamorosi. Le analogie con il gruppo rivale americano The Equation sono molteplici, tra cui ne spiccano almeno altre tre in particolare. Prima. Fancy Bear opera a partire da almeno il 2004, quindi anche questa cellula ha maturato una grande esperienza nel condurre operazioni nel cyberspazio. Seconda. Le operazioni del gruppo poggiano su un’organizzazione che può essere sostenuta soltanto da una nazione in grado di dedicarvi ingenti risorse sia finanziarie sia di personale. Oltre agli operativi cyber veri e propri poi, le operazioni di Fancy Bear coinvolgono certamente un servizio di intelligence dotato di personale e strumenti adeguati ad analizzare l’enorme mole di dati che viene attinta dai numerosi target. Terza. La cellula russa non è immune da errori tanto che uno, in particolare, potrebbe costarle molto caro.

Prima di ripercorrere le gesta di Fancy Bear occorre fare la premessa di rito, tuttavia opportuna più che mai quando si tratta di un gruppo di hacker specializzato in campagne APT. Infatti, alla difficoltà di attribuzione degli attacchi, in questo caso,  si somma anche quella di non poterne stabilire con precisione la datazione. In generale se e quando si riesce a rilevare una campagna APT di questo gruppo, si riscontrano molte difficoltà nel risalire al momento preciso in cui essa è cominciata. Inoltre, in generale, questo tipo di attacchi si protrae per mesi o addirittura anni, pertanto diventa anche molto difficile quantificare i danni provocati, ovvero i dati acquisiti da Fancy Bear e il beneficio che hanno apportato a chi li ha potuti sfruttare. Infine, in almeno un caso questo gruppo avrebbe deliberatamente tentato di far attribuire un attacco a un'altra cellula cyber, cercando di rendere le indagini ancora più complesse.  Vediamo, quindi, una sintesi non esaustiva delle principali operazioni di Fancy Bear.

Nel 2008, nell'ambito della crisi tra Russia e Georgia, il gruppo avrebbe preceduto e accompagnato l'ingresso delle truppe russe in territorio straniero, lanciando una serie di attacchi a numerose reti e siti governativi georgiani. Ciò, oltre che a creare scompiglio tra la popolazione locale, sembra che abbia inciso in parte anche sull’operatività di alcune unità militari georgiane.
Più tardi, tra il 2014 e il 2017 Fancy Bear si è molto “interessato” a una serie di personalità ostili alla politica governativa russa. Tra questi Mikhail Khodorkovsky, capo di un gruppo industriale energetico (attualmente in esilio dopo aver scontato una decina di anni di prigione) che in passato aveva appoggiato il governo per poi osteggiarlo, Maria Alekhina, componente del gruppo musicale Pussy Riot’s ostile al Cremlino e Alexei Navalny, leader del partito anti-corruzione che ha “sfidato” Putin alle recenti elezioni presidenziali, nonché tutto il suo staff. Le attività di queste persone e di altri attivisti politici sarebbero state costantemente “monitorate” dalla cellula,  compromettendo e tenendo sotto controllo i loro dispositivi informatici e gli account di posta elettronica, dei social network e di altre applicazioni di comunicazione attraverso Internet.
Nel dicembre del 2014, invece, fu accertato che Fancy Bear era riuscito a introdursi nelle reti del Parlamento tedesco e che per sei mesi ne aveva esfiltrato una mole di dati mai quantificata.

Nell'aprile del 2015, invece, il gruppo si rese protagonista di un'azione di sabotaggio vera e propria, dai contorni non ancora chiariti del tutto. Spacciandosi quale fantomatica cellula di hacker del cyber-Califfato, rivendicó l'attacco che portò al blocco completo delle attività di una dozzina di canali satellitari del gruppo francese TV5 Monde, quale ritorsione verso l'impiego delle truppe d'oltralpe nella lotta a Daesh. Per più di tre ore i canali furono oscurati e dagli account Facebook e Twitter della TV furono inviati alcuni comunicati farneticanti, inneggianti alla lotta agli infedeli. L'attacco fu talmente ben studiato e preparato, e causò tali danni, che TV5 fu sul punto addirittura di chiudere i battenti.  Più tardi, indagini approfondite appurarono che per l'attacco fu impiegata un’infrastruttura di comando e controllo riconducibile,  senza ombra di dubbio, a Fancy Bear. Ma perché il gruppo avrebbe agito in tale modo? Forse ha utilizzato il falso movente del terrorismo per coprire una “prova generale” di un attacco distruttivo di più ampia portata o verso un obiettivo più pagante? Nessuno può ancora saperlo. Fatto sta che in tale frangente la cellula dimostrò tutte le sue capacità di penetrare in una rete e di renderne completamente inutilizzabili tutti i dispositivi (sembra che il gruppo durante tale attacco riuscì addirittura a prendere anche il controllo delle telecamere automatizzate negli studi TV).
Nel maggio dell'anno successivo, Fancy Bear prese di mira gli istituti di credito di diversi paesi e in agosto lanciò una campagna contro la NATO e la Casa Bianca, bersagliandone gli elementi con false e-mail. Tali comunicazioni contenevano un allegato che in realtà era un malware progettato per superare  le difese informatiche delle reti e aprire un canale di comunicazione con la centrale di comando e controllo del gruppo.
Nel 2016 l’Agenzia mondiale antidoping raccomandò la squalifica degli atleti russi alle olimpiadi, in esito alla scoperta di quella che fu definita una vasta campagna di “doping di stato”. Per tutta risposta, in agosto la rete dell’Agenzia fu oggetto di un'incursione di Fancy Bear, che diffuse in Internet una serie di informazioni relative ad atleti USA a cui erano state concesse, per motivi di salute,  talune eccezioni nell'uso di farmaci dopanti.
Lo stesso anno il gruppo provò a colpire sia il giornalista sia l’agenzia tedesca per la sicurezza del volo che stavano investigando sull’abbattimento del volo 17 della Malaysia Airlines sui cieli ucraini. Nello specifico, all'epoca entrambi erano riusciti a raccogliere importanti indizi di colpevolezza a carico del governo russo. Si tratta di una vicenda tuttora controversa ma, comunque, le indagini sull’incidente non furono mai compromesse da Fancy Bear.
Successivamente si è registrato quello che potrebbe essere considerato, a buon titolo, il miglior “colpo” del gruppo: l’attacco al cuore del sistema democratico della superpotenza rivale del governo ex sovietico, in occasione delle elezioni presidenziali USA del 2016. Di questa vicenda abbiamo già scritto,  mettendone in evidenza il potenziale effetto che avrebbe potuto giocare nell'ambito della corsa alla casa bianca (v. articolo) e adesso si è aggiunto un tassello che, se confermato, metterebbe in luce le responsabilità del GRU e, molto probabilmente, di Fancy Bear. Nell’estate del 2016, in piena campagna elettorale, dai server del Democratic National Congress (DNC) fu prelevata un'enorme quantità di dati, comprese migliaia di email collegate alla candidata Hillary Clinton e i dossier informativi sull’allora sfidante Donald Trump. Indipendentemente dai reali effetti sulla campagna elettorale (che comunque stanno lentamente emergendo) l’operazione cyber è stato un indiscusso successo strategico. Tuttavia taluni errori tattici commessi dagli hacker hanno permesso agli investigatori di attribuirne la paternità a Fancy Bear. Se ciò emerse quasi immediatamente (come anche il fatto che un altro gruppo russo - Cozy Bear, avrebbe condotto contemporaneamente un’operazione parallela ai danni del DNC) è  soltanto di poche settimane fa la scoperta della cosiddetta “pistola fumante”, ossia la prova del coinvolgimento diretto del GRU nella vicenda. Il Procuratore speciale che sta conducendo le indagini note come Russiagate, sulle presunte interferenze del Cremlino nelle elezioni USA e sul ruolo di Trump e del suo entourage, ha acquisito le evidenze raccolte da una società di sicurezza, recentemente pubblicate da un sito online, che dimostrerebbero il pieno coinvolgimento dell’intelligence russa nell’attacco al DNC. Nello specifico, tali indagini proverebbero che le informazioni prelevate dai server democratici sarebbero state passate da un agente del GRU a un consigliere di quello che poco dopo sarebbe diventato il Presidente USA. E se è vero che Fancy Bear è collegato al GRU, se ne deduce che tale cellula abbia ricoperto un ruolo di primo piano nella vicenda in questione.

Tuttavia il gruppo non si è posto target unicamente di natura politica, economica o finanziaria, tant'è che, essendo collegato alla branca militare  dell'intelligence russa, in almeno due circostanze avrebbe compiuto azioni nell'ambito di crisi che hanno visto l'impiego delle forze armate. Nello specifico, come detto in precedenza, è successo in Georgia nel 2008 e più recentemente durante il biennio 2014-2016 in Ucraina. Quest'ultimo caso è emblematico: appreso che l'esercito della ex repubblica sovietica utilizzava una App autoprodotta basata sul sistema operativo  Android, al fine di dirigere il tiro dei vecchi obici D-30 prodotti in piena guerra fredda, Fancy Bear ne avrebbe messo in circolazione una versione modificata ad hoc. 

La App non originale, oltre a svolgere apparentemente le stesse funzioni di quella vera, in realtà comunicava anche le posizioni dei pezzi di artiglieria alla centrale di comando e controllo in Russia. Risultato: circa il 20% dell'intero arsenale degli obici ucraini spazzato via con “inspiegabile” precisione.
Ancora più recentemente, lo scorso anno Fancy Bear sarebbe stato il colpevole della diffusione del ransomware NotPetya, di cui già abbiamo scritto in passato (v. articolo). Si tratta di uno dei peggiori attacchi di sempre, che dal suo primo obiettivo originale, un’altra volta l’Ucraina, si è rapidamente diffuso senza controllo a livello planetario, causando danni per diversi milioni di dollari (v. articolo).
Infine, a febbraio di quest'anno, con l’approssimarsi delle olimpiadi invernali, l’Agenzia Mondiale Anti Doping è stata oggetto di un nuovo attacco, simile a quello del 2016, da parte del gruppo russo. Anche in tale circostanza, il movente sarebbe stato la rappresaglia all'esclusione dalla competizione sportiva degli atleti russi.

In conclusione, Fancy Bear è certamente uno dei gruppi di hacker più attivi sia nel fronte interno sia in quello esterno alla propria nazione di riferimento. Peraltro, è anche una delle cellule più in vista nel panorama mondiale, a causa della risonanza delle proprie campagne cyber e dell’alta valenza degli obiettivi colpiti. Inoltre, se da un lato Fancy Bear non risulta particolarmente flessibile nelle tecniche, tattiche e procedure utilizzate per le proprie operazioni, dall'altro i primi report dell'anno prodotti dalle società di sicurezza, evidenziano che il gruppo sta notevolmente raffinando i suoi strumenti cyber, rendendoli ancor più sofisticati. Insomma, l'orso si sta affilando gli artigli e d'altronde, come dice il proverbio, “non scherzar con l'orso, se non vuoi esser morso”!  

Ciro Metaggiata

Principali fonti:
https://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/

http://www.chicagotribune.com/news/nationworld/ct-russian-hacking-20171102-story.html

https://researchcenter.paloaltonetworks.com/2018/02/unit42-sofacy-attacks-multiple-government-entities/

https://www.eset.com/int/about/newsroom/press-releases/research/fancy-bear-continues-to-spy-in-2017-eset-researchers-report/

https://www.welivesecurity.com/2016/11/11/sednit-a-very-digested-read/

https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html

http://www.lastampa.it/2018/03/23/esteri/guccifer-che-hacker-le-mail-della-clinton-un-agente-ufficiale-dei-servizi-militari-russi-TLNJlIhYtjMXV9SmWXQOQK/pagina.html

https://www.thedailybeast.com/exclusive-lone-dnc-hacker-guccifer-20-slipped-up-and-revealed-he-was-a-russian-intelligence-officer?ref=home

https://www.bleepingcomputer.com/news/security/uk-formally-accuses-russian-military-of-notpetya-ransomware-outbreak/

Oracle ed R1 Group presentano: Beyond Bitcoin

Negli ultimi mesi il rapido aumento ( e il parziale declino) di valore di molte crypto-monete ha scaturito accesi dibattiti, spesso fondati su concetti sbagliati e poco conosciuti.

Un termine di largo uso quando si parla di crypto valute è “blockchain” , si tratta della tecnologia che sta alla base delle valute virtuali come il Bitcoin, tuttavia essa può essere impiegata in un gran numero di scenari diversi.

La prima blockchain fu implementata verso la fine del 2008 da Satoshi Nakamoto , la misteriosa personalità creatrice del Bitcoin, di cui non si hanno molte informazioni, si crede infatti che dietro questo nome vi sia un gruppo di persone e non un singolo individuo.

Giovedì 29 marzo nella sede di Oracle a Roma si è svolto un incontro informativo con la Società R1 presentato da Paolo Gaggia (R1) e Matteo Mattei (Oracle) dove si è parlato ampiamente dell’influenza della blockchain nel mondo economico, informatico e scientifico.

La blockchain è un registro pubblico, suddiviso in blocchi crittografati costituenti una “catena” (da cui il termine blockchain). Ogni blocco contiene una serie di informazioni crittografate riguardanti il blocco precedente (hash) unitamente al timestamp, ossia l’informazione sul momento in cui la transazione nella blockchain è stata effettuata, il timestamp è conservato all’interno della catena, in questo modo ne viene garantita la sicurezza ed autenticità, in quanto per modificare un blocco bisognerebbe modificarne tutta la catena a cui appartiene.

Inoltre la blockchain utilizza una connessione peer-to-peer (un architettura di rete in cui non si necessita di una gerarchia client-server, ossia ogni nodo della rete è equivalente), il che la rende sicura da attacchi in quanto i dati non sono registrati in un solo database potenzialmente vulnerabile, è infatti un sistema decentralizzato, in cui ogni nodo della rete ha lo stesso status di trust.

Le blockchain hanno un largo utilizzo in ambito bancario ed economico ma le potenzialità sono molte come ad esempio il controllo di qualità di una catena di distribuzione, il servizio di voto online o di smart contract.

Oracle al termine della serata ha presentato la tecnologia basata su Hyperledger, una architettura di blockchain per imprese, pronta all’utilizzo e gestita in cloud pubblico o privato.

Una bella serata tra esperti della materia, alla quale hanno preso parte rappresentanti di diverse società italiane interessate ad approfondire i possibili impieghi della tecnologia Blockchain. Complimenti ad Oracle e R1 Group e speriamo ve ne siano altre.

Grazie ancora a Paolo Gaggia e a Matteo Mattei perché sono riusciti nell’intento di rendere semplice ed interessante un argomento che semplice non è.

Francesco RUGOLO

Locked Shield 2018 ai blocchi di partenza!

Anche quest'anno a Tallin (ma in effetti in tutta Europa) si terrà, come di consueto, l'esercitazione Cyber più grande al mondo: Locked Shield.

Usando le informazioni delle precedenti esercitazioni e facendo un minimo di OSINT vediamo di capire su cosa potrebbe essere incentrata.

Cosa sappiamo?

- sappiamo che l'anno scorso l'esercitazione si è tenuta tra il 24 e il 28 aprile;

- sappiamo che tra il 15 e il 17 maggio prossimi si terrà il workshop dal titolo: "Locked Shields Forensics Challenge", in cui saranno discussi  i risultati della esercitazione e presentate le possibili soluzioni per gli aspetti forensi.

- sappiamo che l'anno scorso le date sono state più o meno simili.

Tanto per cominciare, nonostante non si abbiano ancora notizie ufficiali, mi aspetto che l'esercitazione si svolga nelle stesse date, probabilmente tra il 23 e il 27 aprile o al massimo nella settimana successiva.

Per capire su cosa sarà incentrata mi rifaccio agli argomenti che saranno trattati nella "Forensics Challenge", quelli già disponibili anche se molto generici e nelle sfide principali che il mondo Cyber ha dovuto affrontare nell'ultimo anno.

Vediamo se emerge qualcosa di utile dall'analisi.

Tra il 15 e il 17 maggio nel corso della "Locked Shields Forensics Challenge" saranno trattati i seguenti aspetti:

• Malicious traffic analysis
• Ntfs file system analysis
• File analysis
• Various OS artefacts analysis
• User behaviour analysis
• Malware identification. 

Mentre nel corso dell'anno abbiamo dovuto affrontare le seguenti principali problematiche:

- NotPetya e WannaCry;

- Spectre e Meltdown;

Tra le minacce emergenti invece troviamo:

- possibili varianti di WannaCry, Spectre e Meltdown;

- attacchi di tipo "Ghostly Cryptomining";

- cloud hacking;

- social engineering tactics;

- new denial of service attack tactics;

- sandbox vulnerability;

- Process Doppelganging. 

Tra le nuove tecnologie abbiamo invece:

- quantum computer e quantum cryptography;

- identità digitale su blockchain;

- IoT.

Dello scenario esercitativo non ho trovato niente su internet ma è probabile che il sistema da difendere sia un sistema delle dimensioni di una nazione che fa uso di tecnologie conosciute, basate su cloud e magari con identita digitali e una criptomoneta su blockchain. Non ci sarebbe da stupirsi se in rete si trovassero anche dispositivi generici (IoT) che notoriamente non sono studiati per essere sicuri. 

Ora, mettendo a sistema quanto sopra riportato posso effettuare delle supposizioni su come potrebbe svolgersi l'esercitazione e su alcuni tipi di attacchi che i Blue team potrebbero essere chiamati a fronteggiare.

In primo luogo, vedendo che nella sessione "Forensics Challenge" di maggio si trova la voce "user behviour analysis" mi vien da pensare che l'attacco partirà da utenti interni, magari contagiati attraverso allegati di posta elettronica contenenti codice malevolo. I blue team dovranno dunque concentrarsi  sull'analisi comportamentale di utenti e dispositivi (IoT). 

Probabilmente il malware potrebbe sfruttare la tecnica di injection chiamata Process Doppelganging, emersa a fine 2017, questo giustificherebbe anche l'indicazione di effettuare analisi su File Sistem NTFS.

L'obiettivo finale dell'attaccante potrebbe essere quello di impadronirsi delle risorse computazionali distribuite per fare soldi attraverso attività di ghostly Mining.

Naturalmente tutto ciò non sono altro che speculazioni basate sulle pochissime informazioni disponibili. Una cosa è certa, a breve ci sarà l'esercitazione e allora, ancora una volta, Blue Teams e Red Teams si affronteranno sul campo Cyber.

In bocca al lupo e, dato che è un gioco, vinca il migliore.

Alessandro RUGOLO
 Per approfondire:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html;
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-cyber-defence-exercises.html;
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-threats-of-2018/;
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attacks-2017/
- https://niccs.us-cert.gov/training/search/champlain-college-online/operating-system-forensics;
- https://thehackernews.com/2017/12/malware-process-doppelganging.html


  

Meltdown: considerazioni sull'impatto sui sistemi classificati

Meltdown, un termine il cui significato è sinonimo di "disastroso collasso", oppure "catastrofe nucleare" è entrato nell'uso comune a causa dei problemi di sicurezza evidenziati su alcune tipologie di processori tra cui praticamente tutti i processori Intel, parte dei processori AMD e così via, realizzati dal 2010 ad oggi.

Sono veramente pochi i processori non colpiti da questa vulnerabilità (o da Spectre, per certi versi molto simile), tra questi buona parte degli ARM, gli SPARC e i Raspberry.

Ma di che si tratta? 

Cosa è realmente Meltdown?

E soprattutto, quale impatto può avere sui sistemi informatici ed in particolare sui sistemi classificati impiegati in ambiente militare?

Con questo articolo cercherò di fare un po di chiarezza su questa vulnerabilità e sul potenziale impatto nel mondo della sicurezza e, tanto per cominciare, è utile ribadire che la vulnerabilità è hardware e non software.

Questo fa un po la differenza rispetto a ciò che siamo abituati a sentire. In pratica, per fare un paragone con il mondo delle automobili, è come se in (quasi) tutte le auto del mondo si scoprisse che un particolare del motore per un difetto di progettazione sia soggetto a rottura, probabilmente in un caso del genere le case produttrici sarebbero costrette a ritirare dal mercato il modello incriminato e a risarcire il consumatore, oppure a richiamare in fabbrica le auto per una sostituzione gratuita del pezzo.

Con Meltdown questo non è avvenuto, forse perchè ancora non vi è una vera consapevolezza dei diritti del consumatore e forse perchè nonostante il clamore suscitato dalla notizia sono ancora troppo pochi coloro che sono in grado di capire la reale dimensione del problema.

In ogni caso ribadisco che Meltdown colpisce determinate famiglie di processori di diverse marche, indipendentemente dal Sistema Operativo che vi è installato sopra!

Ma in che cosa consiste il malfunzionamento?

Per capire come agisce Meltdown occorre sapere come funziona un sistema operativo, almeno nelle sue linee essenziali.

In primo luogo è utile dire che il compito principale di un sistema operativo consiste nel fornire una serie di servizi e garanzie di sicurezza affinchè i programmi che vi girano sopra si comportino come il progettista della sicurezza vuole. 

L'approccio progettuale alla sicurezza è particolarmente sentito per i sistemi militari o, più in generale, per sistemi che trattano informazioni che hanno un elevato valore.

Una delle caratteristiche principali dei Sistemi Operativi consiste nella sua capacità di garantire la "separazione della memoria" tra processi e utenti differenti in quanto ogni utente o processo deve poter accedere solo alla memoria che gli viene riservata.

I Sistemi Operativi moderni, affinchè siano impiegabili, anche allo scopo di sfruttare al massimo le caratteristiche delle CPU di nuova generazione, hanno introdotto alcune caratteristiche che velocizzano determinate operazioni, teoricamente senza diminuirne la sicurezza.

1. La prima di queste caratteristiche consiste nella possibilità di eseguire più processi in parallelo, ovvero di svolgere compiti differenti o a favore di utenti o programmi differenti dando loro l'impressione che siano gli unici a poter disporre di tutte le potenzialità del computer. Per fare ciò è necessario usare particolari tecniche di assegnazione della memoria che vanno sotto il nome di "virtual page memory".

2. Per evitare che utenti o processi potessero disturbarsi a vicenda e causare danni scrivendo dei dati in uno spazio di memoria già impiegato, magari proprio dal Sistema Operativo, è stato introdotto il concetto di "protection domain". In pratica il Sistema Operativo assegna ad ogni utente o processo un livello al quale è associata la possibilità di poter impiegare una certa area di memoria. Quando un processo cerca di accedere ad un'area di memoria per cui non è autorizzato generalmente viene "terminato".

3. La terza caratteristica legata alla architettura dei nuovi processori, normalmente dotati di più unità di calcolo, consiste nella possibilità di eseguire istruzioni o operazioni in parallelo o, in certi casi, di eseguire la stessa istruzione su valori diversi per velocizzare determinate operazioni. Si tratta di funzionalità conosciute come "instruction pipeline" e "speculative execution". Su ciò si basa il concetto di "Out-of-order execution" ovvero l'esecuzione di istruzioni di un programma non ancora necessarie ma che probabilmente dovranno essere eseguite.

4. Infine, per sfruttare l'enorme velocità di calcolo dei moderni processori sono state introdotte particolari tipi di memoria il cui accesso in scrittura e lettura avviene in tempi molto inferiori rispetto alla memoria presente in un hard disk normale. La presenza di queste memorie chiamate di "cache", associate all'analisi dei dati più utilizzati, consente al processore di non rimanere troppo spesso disoccupato in attesa che gli vengano forniti i dati necessari che si trovano nell'hard disk.

Bene, la questione è semplice. 

Se è vero che le caratteristiche suindicate sono state introdotte per sfruttare le caratteristiche dei nuovi processori, è altrettanto vero che quanto fatto ha aumentato non di poco la complessità dei sistemi e di conseguenza la possibilità di introdurre delle vulnerabilità non banali, ed è questo il caso di Meltdown.

Ora, occorre sapere che uno degli utenti del computer è il Sistema Operativo, esso è considerato "utente privilegiato" e può compiere particolari operazioni, non concesse ad un utente generico.

Meltdown permette di superare il concetto di "separazione della memoria", consentendo ad un processo o utente non autorizzato di venire a conoscenza dei dati presenti in spazi di memoria non propri sfruttando un tipo di attacco chiamato "side channel attack", in particolare un tipo di side channel attack chiamato "chache side channel attack" che consiste nel dedurre il contenuto della cache misurando i tempi di caricamento dei dati da parte di un altro processo in esecuzione. 

Meltdown riesce a fare ciò utilizzando a suo vantaggio le caratteristiche dei moderni processori a 64 bit viste sopra per raggiungere il suo obiettivo ovvero rubare i dati dall'area di memoria destinata ai processi del kernel del Sistema Operativo.

Dato lo scopo di questo articolo e la complessità dell'argomento non ha senso proseguire nella descrizione dei particolari di funzionamento di questo tipo di attacco, quanto piuttosto cercare di comprendere le implicazioni di sicurezza di questo attacco in relazione ai sistemi informatici militari.

Una prima considerazione va fatta sul concetto di verifica e certificazione dei sistemi.

Questo perchè, come spero sia ora chiaro, quasi tutti i processori in combinazione con i Sistemi Operativi più utilizzati risultano essere soggetti all'attacco Meltdown, tra questi vi sono anche i sistemi operativi Windows 7 client e windows server 2008 R2 a 64 bit, che se si va a vedere sul sito dei sistemi certificati Common Criteria sono certificati per l'uso nei sistemi classificati di buona parte delle nazioni del mondo.

Possibile che nel corso dei test nessuno abbia notato il comportamento insicuro dei sistemi?

Occorre forse ripensare alle modalità con cui i Centri di Validazione eseguono i test, forse troppo incentrati sul testare quanto dichiarato dalle case produttrici, senza indagare (molto) oltre?

Eppure vi sono chiare indicazioni di possibili problemi sulle architetture dei processori sin dal lontano 1995, ad opera della National Security Agency.

Una seconda considerazione riguarda invece la possibilità di applicazione di patch di sicurezza.

Non appena si è saputo di Meltdown, le principali case produttrici di software hanno cercato di porre rimedio attraverso modifiche software ai problemi architetturali dell'hardware.

Tra queste la Microsoft che ha immediatamente rilasciato la patch, ma con che risultato?

The hacker news in un articolo di qualche giorno fa ha pubblicato lo studio del ricercatore indipendente Ulf Frisk che ha mostrato come la patch abbia solo peggiorato la situazione, consentendo che il furto di dati ora sia ancora più veloce di quanto lo era senza l'applicazione della patch.

Questo è un altro punto da considerare con attenzione: l'applicazione di una patch, quando pure sia possibile (e non sempre lo è senza ricertificare il sistema!), potrebbe essere ancora più dannosa del lasciare le cose come stanno.

Ma allora come occorre comportarsi di fronte a problemi così profondamente insiti nell'architettura dei sistemi? 

Quali certezze, quali garanzie, ci possono dare sistemi militari che potenzialmente sono stati oggetto di attacchi simili a Meltdown per anni? 

Infatti conosciamo Meltdown pubblicamente dal luglio del 2017 ma non sappiamo se qualche organizzazione conoscesse e sfruttasse precedentemente questa vulnerabilità, potenzialmente insita nei processori di nuova generazione a partire dal 2010.

Non ho una risposta, ma solo un suggerimento: nel mondo attuale niente è più sicuro, forse perchè difficilmente una persona, anche preparata, è in grado di governare la complessità dei sistemi.

In ogni caso, trattandosi di sicurezza nazionale, forse sarebbe opportuno potenziare le strutture deputate all'analisi dei sistemi informatici e delle vulnerabilità, anche facendo ricorso alle Università, invece che fidarsi di quanto dichiarato dalle società produttrici di hardware e software.

Forse l'Intelligenza Artificiale potrà aiutarci... o forse, più probabilmente, complicherà ulteriormente il problema?

Alessandro RUGOLO

Per approfondire:
- https://meltdownattack.com/meltdown.pdf;
- https://thehackernews.com/2018/03/microsofts-meltdown-vulnerability.html;
- Cenni su processori INTEL: https://www.tomshw.it/differenze-i-processori-intel-75496;
- Cenni su processori ARM: https://www.ilsoftware.it/articoli.asp?tag=Differenza-tra-processori-ARM-e-x86_14683;
- Cenni sui processori SPARC: http://www.pcpedia.it/Il-Processore/ultrasparc.html;
- Cenni sui processori Raspberry: https://opensource.com/resources/raspberry-pi;
- https://www.commoncriteriaportal.org/

Wannacry colpisce Boeing: la legge del contrappasso colpisce ancora?

Chi non conosce Boeing?

La compagnia statunitense principale nel campo aerospaziale sembra sia stata colpita dal malware conosciuto con il nome di WannaCry, un virus della famiglia dei ransomvare particolarmente distruttivo.

In effetti la potenza di WannaCry sembra derivare dal fatto che impiega uno strumento informatico sviluppato dalla National Security Agency chiamato Eternal Blue, diffuso dal gruppo hacker "Shadow Brokers".

Eternal Blue sfrutta una vulnerabilità di Microsoft Windows che consente all'attaccante di diffondersi in automatico attraverso computer vulnerabili-

Ora, che anche un produttore di queste dimensioni e capacità possa essere colpito da un malware creato dalla NSA del suo stesso paese può e deve far pensare.

Ricordiamoci infatti che WannaCry circola ormai da diverso tempo e ci dovrebbe essere stato tutto il tempo di applicare le "patch" sicurezza ma evidentemente anche la Boeing ha qualche problema. 

Altre considerazioni possono essere fatte in merito alla denuncia del fatto, sicuramente apprezzabile, in particolare se, come viene affermato, il malware non ha colpito la linea di produzione dell'azienda.

Ma tutto ciò è forse ancora prematuro, potrebbe anche trattarsi di semplice strategia preventiva e nei prossimi giorni potremmo scoprire che la Boeing, come la città di Atlanta, sono solo le prime vittime di una nuova infezione mondiale.

Alessandro Rugolo

Per approfondire:

- http://www.adnkronos.com/soldi/economia/2018/03/29/boeing-colpita-virus-wannacry_cBv5XQGTWFWzxXUe8vOzuK.html;
- https://www.nytimes.com/2018/03/28/technology/boeing-wannacry-malware.html;
-