Lockheed Martin: qualche aggiornamento sulle analisi dei rischi cyber

(A volte ritornano…)

Qualche mese fa ci siamo soffermati ad analizzare i rischi cyber relativi all’F-35, e questo ha incluso un’analisi della rete (ovviamente di ciò che è pubblicaente visibile) della casa produttrice, la società Lockheed Martin, leader nel settore degli armamenti, dei voli spaziali, dei veicoli e degli equipaggiamenti militari. (vedi articolo: http://www.difesaonline.it/evidenza/cyber/f-35-analisi-sui-rischi-cyber-del-caccia-di-quinta-generazione )

L’articolo di oggi prende vita in realtà da un’esigenza che dovrebbe essere primaria per chiunque voglia affrontare le sfide quotidiane relative alla sicurezza informatica, ovvero le modifiche nel “campo di battaglia” e delle minacce in gioco.

Per capire meglio il “mutamento” dello scenario, è buona norma per chi difende analizzare periodicamente i propri asset, in quanto chi attacca cerca sempre di scoprire nuovi punti deboli della struttura.

Lasciar passare troppo tempo significa aumentare sensibilmente il rischio.

In questo articolo vedremo proprio questo cambiamento e potremo analizzare da vicino come per lo stesso dominio la situazione sia radicalmente diversa.

Come sempre, il primo step da eseguire è il cosiddetto “information gathering”, ovvero la raccolta di informazioni che ci servono per eseguire l’analisi vera e propria.

In questo caso, verifichiamo se per il Dominio “lockheedmartin.com” siano presenti indicatori validi di compromissione.

Per semplificarci il lavoro, possiamo utilizzare le API di VirusTotal (Application Programming Interface – una serie di funzioni richiamabili per eseguire una serie di operazioni anche con linguaggi di programmazione diversi e programmi di terze parti), per verificare se un determinato file (o dominio, nel nostro caso...) debba essere approfondito.

Come si può evincere, non sono presenti file che possono considerarsi sospetti, quindi possiamo effettuare una nuova ricerca tramite la piattaforma “ThreatCrowd” per cercare altri elementi correlabili al Dominio e ai propri sotto-Domini:

Fonte: ThreatCrowd

Possiamo quindi visualizzare i dati dalla piattaforma in formato tabellare:

Fonte: ThreatCrowd

Tra le informazioni forniteci, la piattaforma restituisce l’email “lm-nic@lmco.com”. A questo punto possiamo ri-analizzare il dominio “lmco.com” e osservare quindi la differenza con la precedente analisi. Stavolta eseguiremo questa ricerca con le API di VirusTotal per poterci semplificare il tutto:

Possiamo osservare da subito che la situazione è cambiata dalla precedente analisi, ovvero non sono presenti gli stessi hash dell’analisi precedente.

In un’analisi reale, dovremmo analizzare tutti gli hash trovati, per avere effettivamente una buona visione di insieme.

In questo caso prenderemo come riferimento due hash in particolare, il primo:

1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0

ed il secondo hash:

907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80

Per studiare la natura del primo hash, possiamo affidarci sempre alla piattaforma “VirusTotal” che grazie all’analisi del comportamento del malware, ci può fornire un ottimo approfondimento sui Domini, gli IP contattati e le varie modifiche al registro di sistema e file system che possono aiutarci a capire se un sistema sia compromesso o meno.

Si può osservare il comportamento del primo malware semplicemente cliccando questo link:

https://www.virustotal.com/gui/file/1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0/behavior/Dr.Web%20vxCube

Come si può osservare, abbiamo l’analisi comportamentale.

Cliccando sul pulsante “Full Report” in alto a destra, è possibile visualizzare il report della sandbox.

La sandbox permette di eseguire il malware in uno spazio isolato e sicuro, ed analizzarne le azioni per prendere poi le dovute azioni, come il blocco degli IP o dei domini malevoli.

NOTA BENE:

Eseguire questo tipo di operazione è potenzialmente dannoso, in quanto si va letteralmente ad eseguire un malware su una propria macchina.

Eseguire questo tipo di analisi SOLO E SOLTANTO SE SI E’ PERFETTAMENTE CONSCI DEI RISCHI E PERFETTAMENTE IN GRADO DI FARLO IN TOTALE SICUREZZA!

Fonte: DrWeb vxCube

Analizzando invece il secondo malware, è possibile notare qualcosa di diverso:

Link all’analisi comportamentale:

https://www.virustotal.com/gui/file/907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80/behavior/SecondWrite

Dall’analisi del comportamento è possibile notare che il malware, oltre a provare a contattare il Dominio della Provincia di Milano, ha un comportamento del singolare, comprensibile dall'analisi degli IP contattati.

Questa sotto riportata è la lista parziale degli IP contattati:

Fonte: VirusTotal

E' possibile notare che gli IP contattati dal malware seguono un “pattern” particolare.

Il pattern interessante è il “10.152.152.x”

Questo pattern coincide con la rete di una diffusa soluzione di anonimizzazione, ovvero Whonix.

Whonix è una macchina virtuale, il cui Gateway reindirizza in modo automatico e “trasparente” (ovvero non c’è bisogno di interazione o conoscenza dell’operazione da parte dell’utente) tutta la connessione sul network Tor (la più diffusa soluzione di anonimizzazione sul web).

Come riportato sulla pagina ufficiale del progetto (consultabile al link: https://www.whonix.org/wiki/Other_Operating_Systems ) per poter reindirizzare tutto il traffico di un client su Tor, tramite il Gateway di Whonix è sufficiente impostare i seguenti parametri:

## increment last octet of IP address on additional workstations

IP address 10.152.152.50

Subnet netmask 255.255.192.0

Default gateway 10.152.152.10

Preferred DNS server 10.152.152.10

E’ interessante notare come il malware cerchi di contattare questo tipo di rete.

Da ciò possiamo dire che o si tratta di una fortuita coincidenza, oppure ci troviamo di fronte ad un possibile caso di data leak.

Ovviamente, sia il CERT Nazionale che lo US-CERT sono stati avvisati immediatamente.

Ricordo che tutta l’analisi è basata su dati pubblicamente accessibili e consultabili da chiunque.

Come fatto nel precedente articolo dobbiamo avvisare che dal momento che non si ha visione della rete interna, la situazione riscontrata potrebbe essere frutto di sistemi Antivirus, IPS, Honeypot, Sandbox o altri sistemi difensivi.

Come dimostrato, la situazione tra due analisi può cambiare radicalmente, consiglio pertanto una scansione regolare della propria rete e dei propri sistemi.

Il consiglio è sempre lo stesso: non dobbiamo vedere la sicurezza come un “prodotto”, bensì come un processo.

Lo studio e relativa analisi degli asset ci aiuta a tenere sotto controllo le minacce, le quali sono mutevoli nel tempo ed evolvono con le nostre difese.

E’ fondamentale tenere traccia dei cambiamenti e delle evoluzioni delle minacce per non farsi trovare impreparati.

Alessandro Fiori

Northrop Grumman Calls for Expressions of Interest from Australian Industry for AIR6500

Company seeking Australian partners via Industry Capability Network (ICN) Gateway

18 november 2019

CANBERRA, Australia – Nov. 19, 2019 – Northrop Grumman Corporation (NYSE: NOC) is seeking expressions of interest from Australian industry to join them in their efforts to support the Royal Australian Air Force (RAAF) with Project AIR6500. Under AIR6500, the RAAF will develop a 5th generation multi-domain joint battle management system (JBMS) to enable coordination of air battle management, joint weapons employment, and ground-based air defence in operational theatres.

“Northrop Grumman aims to lead industry support to the RAAF as it fields a survivable, scalable and modern, next-generation JBMS under AIR6500. We’re committed to a sovereign capability that’s designed and developed through close collaboration with other Australian industry members,” said Chris Deeble, chief executive, Northrop Grumman Australia. “We recognize that a program of this size, scope and complexity will demand the most innovative, best-of-breed capabilities and a prime systems integrator partnering with Australian industry who can deliver world class capabilities to the Australian Defence Force.”

Northrop Grumman is engaging with a range of industry members, including small businesses, with the goal of creating an Australian AIR6500 solution that brings the best capability for the best value. The ICN Gateway Portal will serve as the primary vehicle for potential suppliers to register expressions of interest and share information about their competencies and skills. 

Northrop Grumman delivers agile, modular open systems network architectures and complex, system-of-systems integration that enable joint and coalition interoperability. Our approach increases situational awareness, facilitates rapid and cost effective technology insertion and modernization, and reduces cost per engagement to deliver affordable solutions and accommodate changing environments.

Northrop Grumman is a leading global security company providing innovative systems, products and solutions in autonomous systems, cyber, C4ISR, space, strike, and logistics and modernization to customers worldwide. Please visit news.northropgrumman.com and follow us on Twitter, @NGCNews, for more information.

Press Release

https://news.northropgrumman.com/news/releases/northrop-grumman-calls-for-expressions-of-interest-from-australian-industry-for-air6500

La Brigata dei "guerrieri ombra"

É di qualche giorno fa la notizia circa la costituzione del 127^th Cyber Battalion della Army National Guard dello Stato dell'Indiana. La nuova unità, basata a circa 75 miglia da Indianapolis, è il quinto battaglione di questa tipologia costituito negli ultimissimi anni, unitamente al 123^rd e al 124^th, entrambi basati in Virginia e al 125^th e 126^th, rispettivamente ubicati in Columbia e South Carolina. Tali reparti hanno in comune lo stesso comando sovraordinato, ossia la 91^st Cyber Brigade, costituita nel febbraio 2017 in Virginia, dopo appena sette mesi dall'avvio del relativo progetto. Traendo spunto dalla citata notizia, vediamo di seguito in cosa consiste proprio la Brigata cyber dei "guerrieri ombra" (dal relativo motto "umbra bellatores"), ovvero come è articolata e che capacità è in grado di esprimere.

Innanzitutto va detto che le capacità cyber della 91^st Cyber Brigade, unità della National Guard, si inquadrano in un contesto molto più ampio, composto dalle capacità delle Forze Armate formate da militari professionisti full time, che fanno capo ai Cyber Command di Esercito, Aeronautica, Marina e Corpo dei Marines, riuniti sotto lo U.S. Cyber Command. Esistono poi anche le capacità espresse dalle numerose Agenzie federali di intelligence e di law enforcement (NSA, CIA, FBI, ecc.). In generale, ciò che distingue le unità cyber della Guardia Nazionale, oltre allo status di cittadini-soldati "part time" dei suoi componenti, è l'orientamento delle capacità espresse: se le unità cyber delle Forze Armate sono orientate a compiere tutto lo spettro delle operazioni nel cyberspace, la Brigata dei guerrieri ombra, pur essendo anche lei in grado di esprimere l’intera gamma capacità cyber, ha il compito primario di pianificare e condurre operazioni prevalentemente difensive sul territorio nazionale, mediante le unità dipendenti dai Battaglioni come il citato 127^th.

Ognuno dei cinque Battaglioni sin qui costituiti è capace di operare sulle reti e sui sistemi informatici militari, su quelli del Ministero della Difesa o su quelli appartenenti a qualsiasi altra struttura statale o privata ed è formato da quattro unità subordinate, ossia: una Compagnia di cyber security, una Compagnia di cyber warfare e due Cyber Protection Team (CPT), per un totale di circa cento, tra uomini e donne della Army National Guard. Nello specifico, le Compagnie di cyber security conducono attività di vulnerability assessment (ricerca dei “punti deboli” - errori di programmazione o di configurazione - di reti e sistemi informatici), analisi forensi a seguito di eventi o incidenti di sicurezza (analisi volte a individuare le caratteristiche degli attacchi informatici, quali: tecniche utilizzate, origine, presumibile scopo, ecc.) valutazioni della sicurezza e supporto agli operatori di infrastrutture critiche (impianti di produzione di energia elettrica, gestori di reti idriche, ospedali, ecc.) e, infine, consulenza nel campo della cyber security in generale. Le Compagnie di questo tipo, attraverso il rispettivo Comandante, esercitano l’autorità necessaria per l’assolvimento delle missioni assegnate nei confronti dei dipendenti team di cyber security, di supporto alla cyber security o di supporto alle infrastrutture critiche, nel quadro di operazioni difensive nello spazio cibernetico. Le Compagnie di cyber warfare, invece, sono in grado di ricoprire o di supportare il ruolo di opposing force (i “cattivi”) nell’ambito di esercitazioni cyber, di condurre tutto il ventaglio di attività militari nel cyberspace, ivi comprese quelle di ISR (Intelligence, Surveillance and Reconnaissance). Tali unità sono in grado di enucleare team di network warfare, di cyber analisi e di cyber support, esercitando su di essi la direzione e l'indirizzo per la condotta di tutte le tipologie di cyber operations (quindi anche di quelle offensive). Infine, i CPT hanno il compito di condurre operazioni cyber difensive su reti militari, che possono comprendere anche la fornitura di servizi e di consulenza in conformità al quadro normativo federale e dei rispettivi Stati di appartenenza, quali validazioni/ispezioni ai Comandi militari, vulnerability assessment, opposing forces, critical infrastructure assessment, supporto per attività di theater security cooperation e supporto per addestramento e advisory and assistance. È interessante notare che i CPT hanno il compito di intervenire entro quattro ore dall'attivazione da parte del Comando superiore, in caso di una crisi cibernetica. Inoltre, i CPT dei Battaglioni già operativi, come ad esempio il 169^th CPT basato a Baltimora, sono impiegati stabilmente in operazioni e partecipano attivamente anche a tutte le principali esercitazioni cyber.

Tornando alla notizia di apertura, in una recente intervista il Brig. Gen. Lyles dell'Indiana National Guard ha illustrato gli ulteriori passi da compiere affinché il 127^th Cyber Battalion diventi pienamente operativo e ha sottolineato alcuni aspetti interessanti del progetto. In particolare, l'alto Ufficiale ha evidenziato che l'organico del Battaglione sarà completato nei prossimi due anni sia convertendo ai nuovi incarichi cyber personale già arruolato nella National Guard sia arruolando "nuovi talenti" direttamente dal mondo civile. Nel contempo l'unità riceverà il necessario addestramento e sarà equipaggiata con materiali peculiari, al fine di raggiungere gli standard operativi previsti. Il Generale Lyles ha anche posto l'attenzione su come la scelta della sede in cui è stato costituito il Battaglione non sia stata casuale, bensì ben ponderata. È stato scelto lo Stato dell'Indiana in quanto si tratta di un ambiente particolarmente "fertile" per la cyber: sul suo territorio sono presenti molte professionalità sia militari che civili, nonché Università e centri di ricerca operanti nello specifico settore. In buona sostanza, questo ambiente favorevole, non solo ha consentito di formare la nuova unità con una relativa facilità ma consentirà alla stessa di implementare le sue capacità altrettanto rapidamente, generando un circolo virtuoso tra il mondo militare e quello civile, accademico e industriale.

Al riguardo, giova evidenziare che quanto si sta realizzando nella National Guard potrebbe costituire un valido riferimento a cui le nostre Forze Armate potrebbero ispirarsi, con le dovute proporzioni, allo scopo di dotarsi rapidamente di capacità cyber, assumendo un ruolo di primo piano nel rafforzamento del Paese in tale settore. D'altronde qualcosa di analogo è già stato posto in essere in Francia, Nazione molto più vicina alla nostra realtà, in cui ai militari professionisti delle unità cyber delle Forze Armate, molto simili per struttura e compiti ai Cyber Battalion statunitensi, si aggiungono riservisti "a contratto determinato" e riservisti che prestano servizio a titolo gratuito. In particolare, gli elementi che potrebbero essere presi a modello sono: l'orientamento prevalentemente difensivo delle unità cyber, comunque in grado di condurre ogni tipo di operazione, che operano a supporto delle attività militari e, qualora richiesto, anche nei confronti di reti e sistemi appartenenti ad altre Amministrazioni dello Stato e/o agli operatori di infrastrutture critiche; la fisionomia e il concetto di impiego dei CPT; il ricorso a professionalità già esistenti sul territorio, ancorché non a carattere continuativo. Tutto ciò, applicato nel nostro Paese, consentirebbe di creare un "bacino" di esperti militari del settore, di professione o meno, sempre aggiornati e prontamente impiegabili sia in Patria che nei Teatri Operativi. Inoltre, tale potenziale della Difesa potrebbe essere messo immediatamente a disposizione dell'intera Nazione in un'ottica realmente dual use che, date le caratteristiche trasversali del cyberspace, connota naturalmente tanto le minacce quanto le capacità cyber volte a contrastarle. In definitiva, si tratterebbe di una risorsa molto preziosa per il nostro Paese, che non necessariamente entrerebbe in gioco soltanto in caso di crisi cibernetica ma che, al contrario, potrebbe funzionare da catalizzatore affinché la Nazione cresca rapidamente nel settore della cyber security, sempre più cruciale per l'economia, la società e la sicurezza.

Ciro Metaggiata

Fonti:

https://nationalcybersecurity.com/infosec-midwest-to-get-first-cyber-battalion/

https://www.army.mil/article-amp/228807/army_guard_announces_stationing_of_new_cyber_battalion

https://www.arcyber.army.mil/

https://www.army.mil/article/229547/169th_cyber_protection_team_is_capable_and_ready

https://www.army.mil/article-amp/194646/91st_cyber_brigade_activated_as_army_national_guards_first_cyber_brigade

https://www.insideindianabusiness.com/story/41255709/adjutant-general-talent-crucial-for-cyber-battalion

https://www.defense.gouv.fr/portail/enjeux2/la-cyberdefense/la-cyberdefense/presentation

https://warontherocks.com/2019/04/a-close-look-at-frances-new-military-cyber-strategy/

SICUREZZA 2019: AI e APT con DIFESAONLINE

Dal 13 al 15 novembre a Milano-Rho, fiera della SICUREZZA, ci vediamo alla "Cyber Arena", area espositiva, formativa ed informativa totalmente dedicata alla Cyber Security.

Obiettivo? Aiutare aziende ed organizzazioni a capire quali sono i rischi che dobbiamo affrontare nel mondo digitale iperconnesso di oggi.

Un grazie a chi ha contribuito alla realizzazione della Cyber Arena, Business International-Fiera Milano Media, Associazione Italiana Professionisti Security Aziendale (AIPSA) e Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali (ANRA).  

Noi saremo presenti con due interventi il pomeriggio del primo giorno, nella Cyber Arena del padiglione 5.

Alle 15.15 Antonio Vecchio ci parla di Intelligenza Artificiale e sviluppo umano (purtroppo Carlo Mauceli non potrà essere con noi. Buon lavoro Carlo!) e di come la AI possa essere vista come una opportunità oltre che come una sfida. 

Alle 16.00 Alessandro Rugolo ci parla di Advanced Persistent Threath e degli ipotizzabili scenari futuri. Dalla guerra classica alla guerra cibernetica, all'impiego della dimensione cyber per influenzare il mondo che ci circonda, colpire obiettivi fisici, raccogliere dati e informazioni ed anche in questo caso come si aprano delle ottime opportunità nel campo delle nuove imprese e una particolare attenzione alla normativa nazionale e internazionale del settore.

Antonio e Alessandro non saranno soli, presenti infatti diversi amici e collaboratori di Difesa Online che animeranno gli interventi completandoli con spunti e punti di vista differenti.

L'informazione, nel campo Cyber come ovunque, è l'elemento vincente sotto tutti i punti di vista.

Per tutti i tre giorni Difesa Online sarà presente alla Fiera della Sicurezza con uno stand per incontrare i nostri lettori, spiegare il progetto che ci guida e, perché no, trovare sponsor che ci aiutino ad andare sempre più avanti!

La Redazione di Difesa Online

https://sicurezza.businessinternational.it/

http://www.sicurezza.it/it/content/convegni

http://www.difesaonline.it/

Appuntamento con Difesa Online alla Fiera Milano per la Fiera della Sicurezza, 13 - 15 novembre

Difesa Online quest'anno, per la prima volta, partecipa alla Fiera della Sicurezza a Milano.
Tre giorni di esposizioni, formazione, eventi, incontri con le società e le organizzazioni che si occupano di sicurezza.
L'evento si terrà dal 13 al 15 novembre e vogliamo complimentarci per l'iniziativa "Cyber Arena", un momento veramente intenso di condivisione e crescita che ci vede impegnati in prima linea.
Per la prima volta un'area espositiva, formativa ed informativa totalmente dedicata alla Cyber Security.
Obiettivo?
Aiutare aziende ed organizzazioni a capire quali sono i rischi che dobbiamo affrontare nel mondo digitale iperconnesso di oggi.
Un grazie a chi ha contribuito alla realizzazione della Cyber Arena, Business International-Fiera Milano Media, Associazione Italiana Professionisti Security Aziendale (AIPSA) e Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali (ANRA).  
Noi saremo presenti con due interventi il pomeriggio del primo giorno, nella Cyber Arena del padiglione 5.

Alle 15.15 Carlo Mauceli ci parla di Cloud e di come possa essere pensato per migliorare la sicurezza. Affidarsi a grandi organizzazioni che gestiscono il cloud con personale altamente specializzato è una scelta sempre più perseguita che richiede consapevolezza e lungimiranza.

Alle 16.00 Alessandro Rugolo ci parla di Advanced Persistent Threath e degli ipotizzabili scenari futuri. Dalla guerra classica alla guerra cibernetica, all'impiego della dimensione cyber per influenzare il mondo che ci circonda, colpire obiettivi fisici, raccogliere dati e informazioni, all'uso dell'Intelligenza Artificiale e dei robot sul campo di battaglia.

Carlo e Alessandro non saranno soli, saranno presenti infatti diversi amici e collaboratori di Difesa Online che animeranno gli interventi completandoli con spunti e punti di vista differenti.
L'informazione, nel campo Cyber come ovunque, è l'elemento vincente sotto tutti i punti di vista.

Per tutti i tre giorni Difesa Online sarà presente alla Fiera della Sicurezza con uno stand per incontrare i nostri lettori, spiegare il progetto che ci guida e, perché no, trovare sponsor che ci aiutino ad andare sempre più avanti!
E allora che aspettate ?

Venite a trovarci e siate numerosi,
Il futuro è già arrivato! 

La Redazione di Difesa Online

https://sicurezza.businessinternational.it/

http://www.sicurezza.it/it/content/convegni

Hacking the hackers!

quando a cadere nella (cyber) tela è il ragno stesso.

Nei precedenti articoli il cyber-spazio è stato spesso rappresentato come il far west in cui sono ambientati i classici film western, ossia come una realtà totalmente priva di regole, in cui banditi spietati e senza scrupoli mietono vittime completamente incapaci di difendersi. In particolare, i gruppi di criminali informatici, più o meno sponsorizzati da stati sovrani, imperversano nella dimensione cyber ai danni di semplici cittadini, come di governi o di organizzazioni e industrie private, peraltro arricchendosi con bottini da capogiro. Questo panorama cibernetico del tipo "tutti contro tutti" non si sottrae alla legge molto “reale” del più forte, che vale anche per i citati gruppi di cyber criminali, come dimostra la vicenda che segue. Una vicenda probabilmente non inedita, tuttavia emblematica del momento in cui viviamo, in quanto mostra fin dove si possa spingere la lotta per il predominio dello spazio cibernetico e soprattutto la lotta per il posesso delle preziosissime informazioni che esso contiene. Una lotta, come vedremo, senza quartiere e senza regole.

Lo scorso 21 ottobre, il britannico National Cyber Security Centre (NCSC), in collaborazione con la National Security Agency (NSA) statunitense, ha emesso un bollettino di sicurezza in cui venivano citati due gruppi di hackers specializzati in Advanced Persistent Threat (APT - attacchi cyber molto sofisticati, protratti nel tempo e tesi a raccogliere informazioni) ritenuti essere legati a due nazioni. Nello specifico, tenendo bene a mente quanto evidenziato nei precedenti articoli in merito alla capacità di attribuire l'origine degli attacchi cyber, si tratta del gruppo noto come Turla (o WhiteBear/WaterBug/Venomous Bear), che sarebbe in qualche modo al servizio del governo russo e del gruppo APT 34 (conosciuto anche come OilRig o Crambus) che, invece, sarebbe al soldo della Repubblica Islamica Iraniana. Per entrambi i gruppi si hanno prove sufficienti tali da far ritenere che abbiano accesso a risorse materiali e intellettuali che tipicamente sono nella disponibilità esclusivamente di Stati sovrani e che operano a livello globale, anche se APT 34 è più orientato a compiere operazioni nel Medio Oriente. Proprio in questa regione, nei giorni scorsi, il NCSC ha rilevato un'ondata di attacchi cyber molto particolare. In sintesi, Turla avrebbe preso il controllo di un'infrastruttura informatica realizzata da APT 34 per condurre le proprie attività illecite, principalmente di intelligence, ai danni di organizzazioni militari e governative, industrie e banche, operanti nella citata regione e di particolare interesse per l'Iran. Secondo le prove raccolte, accedendo ai server utilizzati dal gruppo iraniano, Turla sarebbe stato in grado di controllare l'intera rete di computer, smartphone e chissà cos'altro, compromessi nei mesi precedenti da parte di APT 34. Ciò ha implicato almeno quattro conseguenze dirette.

Prima. Turla avrebbe ottenuto con una sola mossa l'accesso a tutti i dati di intelligence raccolti da APT 34, ovvero a un patrimonio di inestimabile valore, ottenuto dall'Iran grazie a un'operazione durata mesi, se non anni e che ha richiesto certamente investimenti non trascurabili. Bel colpo!

Seconda. Turla avrebbe utilizzato l'infrastruttura di comando e controllo realizzata da APT 34 allo scopo di lanciare ulteriori attacchi e compromettere altri dispositivi, impiegando proprie tecniche e propri software. A quanto pare, gli attacchi sarebbero andati a buon fine e avrebbero interessato qualcosa come trentacinque nazioni, per la maggior parte ubicate in Medio Oriente. Un altro ottimo risultato.

Terza. "Il re é nudo", ossia le tecniche e le vulnerabilità informatiche sfruttate da APT 34 non avrebbero più segreti per Turla e per il suo mandante e in seguito potrebbero essere impiegate adattandole per gli scopi del gruppo russo e questi sarebbe in grado di difendersi da eventuali ritorsioni di APT 34. Ancora complimenti.

Quarta. Il caos. É noto che, soprattutto nell'ultimo periodo, il Medio Oriente, interessato da questa vicenda, è anche un crocevia di crisi internazionali sia regionali che di potenziale portata mondiale. In tale delicato contesto, dopo la pubblicazione del bollettino del NCSC, la stampa occidentale si è affrettata a puntare il dito verso il governo russo che, a sua volta, smentendo categoricamente qualsiasi coinvolgimento, ha accusato l'occidente di aver ordito un astuto piano di inganno, al fine di incrinare gli ottimi rapporti di collaborazione instaurati tra Federazione Russa e Iran, per la risoluzione delle crisi attualmente in atto nella predetta regione. Insomma, un bel rompicapo, che dimostra ancora una volta come le capacità cyber, al pari delle altre capacità militari “tradizionali”, possano essere utilizzate dai governi per imporre le rispettive agende di politica estera.

Aldilà delle tecniche utilizzate da Turla e riportate nel bollettino del NCSC e nelle successive ricerche sull’argomento, certamente molto interessanti per gli addetti ai lavori (e di lavoro ce n'ė!), questa vicenda dovrebbe far riflettere, ancora una volta, sulla realtà che stiamo vivendo e su come affrontarla. Nella considerazione che il far west cibernetico resterà tale per molto tempo ancora, visto che nessuna organizzazione sovranazionale intende o è in grado di imporre una seria regolamentazione, dovremmo chiederci: dobbiamo continuare a limitarci a sfornare leggi su leggi "a costo zero" e a giocare sulla difensiva o, piuttosto, conviene dotarsi anche di concrete capacità nazionali cyber offensive, tali da fungere da deterrente? In un mondo in cui anche il ragno più abile può finire nella propria tela e soccombere, come può sopravvivere un inerme "moscerino"? Ne va della sopravvivenza della nostra nazione, almeno per come la conosciamo oggi, tuttavia l’impressione è che nel nostro amato Paese siano ancora in molti che non hanno capito il pericolo che stiamo correndo e, anzi, ritengono questi discorsi eccessivamente allarmanti. Speriamo che abbiano ragione loro. Speriamo.

Ciro Metaggiata

Principali fonti:

https://www.2-spyware.com/iranian-hacking-tools-hijacked-by-turla-group-to-perform-cyber-espionage

https://attack.mitre.org/groups/G0010/

https://www.fireeye.com/current-threats/apt-groups.html#apt34

https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-coverage-of-victims

https://nationalcybersecurity.com/hacking-russia-dismisses-hacking-reports-as-unsavoury/

Italia: nuove tecnologie, formazione e governo del rischio inesistente

Oggi il computer è in molti casi "invisibile"  almeno nell'accezione di uno strumento necessariamente costituito da una unità centrale più o meno ingombrante che contiene il processore, dischi, memoria, ecc., una tastiera, un monitor, e altre periferiche.  

Come aveva previsto nel 1998 Don Norman (The Invisible Computer, The MIT Press, 1998 - https://www.nngroup.com/books/invisible-computer/), oggi il computer è presente in molte forme nella nostra vita quotidiana.  Smartphone, consolle giochi, smart TV, auto connesse sono solo alcuni  degli esempi. Il computer è anche elemento centrale in numero sempre crescente di attività produttive industriali, manifatturiere, dei servizi, nella sanità. Non esiste oggi attività umana che non dipenda in modo più o meno stretto dal computer o da una rete di computer.  

L'usabilità del computer "invisibile", nascosto in molti oggetti, ha reso popolari strumenti fino a poco tempo fa orientati a un pubblico specialistico. Pensiamo ad esempio ai gruppi di radioamatori che negli anni '70 e '80 creavano gruppi accessibili solo a chi avesse le competenze per installare una staziona radio. Oggi tale possibilità è immediatamente disponibile a chiunque abbia un telefono connesso e sia iscritto a una delle tante piattaforme per la creazione di reti sociali. Tuttavia la facilità con cui si utilizzano gli strumenti e ci si collega ad altre persone non è stata accompagnata da una approfondita riflessione sulle sicurezza delle informazioni. 

Qualunque computer oltre a memorizzare informazioni su di noi, memorizza anche informazioni sulle persone con cui siamo in contatto. Inoltre è una potente risorsa di calcolo che, quando connessa in rete, può essere violata in modo da essere controllata da un estraneo. L'invisibilità del computer (includendo tutti gli strumenti smart-) e delle informazioni che memorizza e elabora rende più difficile far percepire i pericoli e i rischi connessi. Fra i tanti esempi possibili, cito la rete "Mirai", costruita violando migliaia di dispositivi connessi in rete come videocamere di sorveglianza. L'obiettivo degli attaccanti non è stato quello di rubare informazioni, ma di utilizzare la potenza computazionale per lanciare un attacco di tipo DDoS (Distributed Denial of Service) che nel 2016 ha reso per diverse ore inaccessibili la maggior parte dei siti Internet da parte degli abitanti della costa orientale degli USA (per una descrizione approfondita https://elie.net/blog/security/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/). Questo significa che è necessario non solo proteggere le informazioni che riguardano la nostra sfera personale e le informazioni delle persone con cui siamo in contatto e che memorizziamo nei nostri sistemi, ma proteggere i sistemi stessi per evitare che diventino delle vere e proprie "armi" in mano di attaccanti che in modo invisibile ne prendono il controllo per attaccare i veri obiettivi. 

Nel mondo fisico siamo molto attenti a possibili pericoli visibili per l'incolumità personale e per quella altrui, tanto che per utilizzare utensili professionali di lavoro, macchine operatrici o per condurre un automezzo, occorre frequentare dei corsi e superare esami teorici e pratici.  

Nel momento in cui i computer sono praticamente invisibili ma si trovano a gestire numerosi strumenti che hanno un effetto nel mondo fisico e che, conseguentemente, la loro interconnessione in rete comporta effetti a catena potenzialmente pericolosi, cosa si fa nel mondo reale per mitigare il rischio? 

L'effetto fisico infatti si può realizzare attraverso catene di connessioni, a partire da un computer non direttamente connesso a un dispositivo fisico, ma che può essere raggiunto attraverso una relazione di fiducia fra dispositivi connessi anche consentita dalle persone che ne gestiscono l'utilizzo.  

Focalizziamoci per un momento sullo smartphone, l'oggetto connesso oggi più diffuso. 

Oggi non ci stupiamo che qualunque smartphone localizzi immediatamente il volto di una persona quando inquadriamo per scattare una foto. Eppure fino a una decina di anni fa, questo era un compito che richiedeva una potenza di calcolo elevata e algoritmi non sempre privi di errori.  Oggi con il medesimo smartphone in modo naturale passiamo dal commentare le foto dell'amico, a disporre un bonifico bancario, a gestire contratti di varia natura, interagire con documenti di lavoro e controllare elettrodomestici di casa. Alla intuitività dell'interazione purtroppo non è accompagnata la necessaria consapevolezza (awareness) dei rischi dovuti a malintenzionati che abusano della nostra fiducia. 

Ora, fin da bambini ci insegnano i rudimenti della circolazione stradale per renderci da subito in grado di usare le strade, comprendere le regole e i segnali, in modo da usarle in sicurezza per se e per gli altri che utilizzano la strada. Quando ero bambino, uno strumento come l'ascensore era proibito prima del compimento dei 12 anni e nel palazzo in cui vivevo i pulsanti erano posti in alto, fuori dalla portata di un bambino piccolo.

   Ora, è evidente a tutti come la rapida evoluzione delle tecnologie informatiche e della comunicazione siano un fattore di sviluppo non solo economico ma anche sociale, per le maggiori possibilità di interagire, di conoscere il mondo al di fuori della propria cerca, di poter cogliere opportunità. 

Ma per poter godere di questa opportunità occorre governare da subito i rischi e i pericoli per evitare che l'introduzione e lo sviluppo di strumenti così importanti per il miglioramento del benessere individuale e sociale (pensiamo agli effetti positivi nel mondo sanitario, sia in termini di strumenti per la cura, sia per la possibilità di poter offrire cure in zone geograficamente disagiate) venga arrestato da una assenza di consapevolezza diffusa su potenzialità e rischi. 

Se guardiamo il panorama nazionale, la situazione è purtroppo desolante.

Da tanti anni in Italia l'investimento in istruzione, in termini di azioni positive di governo che assegnino risorse, compiti e obiettivi, è del tutto assente. L'insegnamento delle nuove tecnologie nelle scuole elementari, medie e superiori, che dovrebbe coinvolgere tutti gli studenti indipendentemente dal loro percorso formativo è lasciato alla iniziativa volontaria delle singole scuole e alla passione dei singoli docenti. 

A livello universitario sono presenti corsi specialistici per la formazione di professionisti, ma il loro numero è insufficiente per coprire le esigenze del mercato del lavoro (https://www.consorzio-cini.it/index.php/it/labcs-home/formazione-in-cyber-security-in-italiA). 

Quasi totalmente assente anche in ambito universitario una formazione orizzontale alle tecnologie informatiche e alla loro sicurezza. 

E se pensiamo che non c'è attività professionale che oggi non debba fare i conti con l'informatica…

Questo scenario, oltre a rappresentare un pericoloso campanello dall'allarme per la competitività della nostra nazione, che non forma adeguatamente le competenze necessarie a confrontarsi con la rapida trasformazione tecnologica in ambito internazionale, risulta particolarmente critico per la sicurezza dal momento che diventa difficile poter gestire un "perimetro" di sicurezza quando i singoli sono scarsamente consapevoli che è compito di ciascuno difendere quel perimetro. 

La passione di diversi docenti delle scuole di ogni ordine e grado, così come le competenze presenti in ambito accademico non devono essere solo uno spunto per iniziative estemporanee. 

Occorre uno studio approfondito degli obiettivi formativi per ciascuna fascia di età e la conseguente formazione degli insegnanti. 

Non ci si può basare su buona volontà e conoscenze acquisite per curiosità personale. Come per qualunque disciplina l'improvvisazione può creare danni. 

E' già molto tardi. Ma se continuiamo a far finta di niente, non solo saremo sempre più esposti a pericoli facilmente evitabili con una buona formazione di base. 

Nel mentre che si attende, tutto il paese perde in competitività per la sua dipendenza dalle nazioni che invece investono in cultura e formazione e da chi usa questa cultura e formazione per esercitare dominio sulle altre nazioni. 

In Italia abbiamo già numerose professionalità e competenze riconosciute a livello internazionale. 

Occorre mettere in campo risorse e strategie per non disperdere questo patrimonio e utilizzarlo come fattore moltiplicatore (https://www.consorzio-cini.it/index.php/it/labcs-home/libro-bianco).

Giorgio Giacinto