Traduttore automatico - Read this site in another language

lunedì 22 marzo 2021

Che cos'è la cyber kill chain?

In diversi articoli abbiamo accennato alla cosiddetta "cyber kill chain" ma a ben guardare non abbiamo mai veramente spiegato di che si tratta. 

Oggi in questo breve articolo ripercorriamo la nascita del modello e cerchiamo di capire assieme qualcosa di più.

Il concetto di Cyber Kill Chain è stato pubblicato per la prima volta dalla Lockeed Martin, principale industria americana del settore Difesa, nel white paper: "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", di Eric M. Hutchins, Michael J. Cloppert e Rohan M. Amin.

Consiglio a tutti di leggere il documento nella sua interezza in quanto molto interessante. Nel nostro caso ci limitiamo a prendere ciò che ci sembra più utile, in particolare nell'introduzione troviamo una prima definizione di cyber kill chain:

"The phrase “kill chain” describes the structure of the intrusion, and the corresponding model guides analysis to inform actionable security intelligence".

Gli autori si sono preoccupati dunque dello sviluppo di un modello di attacco cyber che servisse ad agevolare i difensori allo sviluppo di tecniche di mitigazione dei rischi, questo per ostacolare efficacemente un ipotetico intruder nel suo lavoro. Il modello aveva anche lo scopo di agevolare la "prioritizzazione" degli investimenti nelle nuove tecnologie.

Non è un caso che proprio un’industria della difesa abbia introdotto il concetto della Cyber Kill Chain, si tratta semplicemente di un adattamento all’ambito cyber di un concetto militare, difatti in origine era un modello a fasi utile a identificare i vari passaggi necessari all’esecuzione di un attacco.

L'analisi della kill chain permette di capire come un avversario per raggiungere il suo obiettivo debba riuscire a progredire attraverso tutta la catena, mettendo bene in evidenza quali azioni di mitigazione sono efficaci per interrompere la kill chain stessa.

Il paper è rivolto in particolare alla analisi di quegli avversari dotati di capacità e risorse sufficienti a condurre delle campagne APT (Advanced Persistent Threath).  

Ma vediamo in cosa consiste questa cyber kill chain. Si tratta di un processo costituito da sette fasi:

La prima fase si chiama Reconnaissance (perlustrazione) e, come ben evidenzia il nome, consiste nell'effettuazione di ricerche per identificare e selezionare l'obiettivo, ricerche su internet di informazioni relative all'obiettivo, alle tecnologie che impiega, agli indirizzi email e al personale nonché le relazioni sociali. Questa fase è fondamentale per la definizione del target iniziale utile per arrivare a quello finale magari con un movimento laterale, ad esempio verrà colpito l’impiegato in fondo a destra per poter arrivare infine al CEO dell’azienda.

La seconda fase si chiama Weaponization (armamento) e consiste creare o identificare un malware utilizzabile per l'attacco, di solito si tratta di un accoppiamento di un software per l'accesso remoto (cavallo di troia) e di un exploit (software che sfrutta una vulnerabilità del sistema). Spesso per guadagnare l’accesso ad un sistema, vengono sfruttati gli zero day da cui ancora non c’è difesa poiché sono delle nuovissime vulnerabilità che devono ancora essere "patchate" proprio perché appena scoperte.

La terza fase si chiama Delivery (consegna) e consiste nella trasmissione della arma cyber (weapon) all'obiettivo. Normalmente si impiegano email con link a siti fasulli o documenti allegati contenenti malware per la distribuzione alla vittima. Ma anche chiavette USB, infrarossi, bluetooth, supporti ottici, tastiere o mouse con un malware “nidificato” nel firmware o altri metodi sono possibili.  

La quarta fase è conosciuta come Exploitation (sfruttamento) e consiste, generalmente, nello sfruttamento di una o più vulnerabilità da parte dei software malevoli introdotti nel sistema sotto attacco. E’ doveroso sottolineare che vengono adottate le più avanzate tecniche di obfuscation (spesso addirittura tecniche inedite) per rendere queste azioni totalmente invisibili ai nostri “radar” siano essi firewall, IDS, IPS, filtri mail, antivirus e SIEM.

La quinta fase si chiama Installation (installazione) e consiste nell'installare all'interno del sistema obiettivo allo scopo di consentire all'attaccante di poter restare all'interno del sistema a suo piacimento, la cosiddetta persistenza. Di solito si usano a tale scopo dei Malware Trojan (RAT Remote Access Trojan), vengono aperte delle porte nella rete, o vengono create delle backdoor. In questa fase il sistema viene silenziosamente ma pesantemente modificato, possono essere modificate chiavi di registro, files di sistema fin’anche le partizioni di avvio). Questo è uno dei motivi per cui l’esito del ripristino dei “sistemi compromessi” non è mai scontato.

La sesta fase è chiamata Command and Control (C2 o C&C, Comando e Controllo) e consiste nello stabilire una solida catena di comando e controllo che consenta all'attaccante di dare ordini e ricevere feedback. Questa fase è particolarmente importante in una APT. 

La settima fase si chiama Actions on Objectives (azioni sugli obiettivi) e consiste nel vero e proprio attacco al sistema obiettivo. In genere si tratta di esfiltrare dati, che più in generale significa esplorare il sistema, raccogliere dati, cifrarli e esfiltrarli. In altri casi si tratta di rendere i dati indisponibili, in genere cifrandoli per chiedere in seguito un riscatto (i famosi Ramsomware). In altri casi si tratta di modificare i dati (cosa accadrebbe se venisse alterata di qualche frazione di millimetro la dimensione di un pezzo di ricambio di un’aereo?). L'attaccante potrebbe anche avere solo interesse a raccogliere dati utili ad attaccare un altro sistema più remunerativo.

Ogni fase può essere a sua volta suddivisa in diversi step, più o meno numerosi.

Naturalmente il modello sviluppato dalla Lockeed Martin per scopi difensivi può e viene impiegato anche per scopi offensivi, soprattutto in relazione alle prime fasi di reconnaissance e weaponization. 

Naturalmente esistono tante varianti della cyber kill chain, sviluppate da diverse società, ma l'obiettivo è sempre lo stesso ovvero aiutare a capire il modus operandi dell'attaccante allo scopo di capire come sconfiggerlo o, più in generale, come moderare i rischi.     


Alessandro Rugolo e Lino Proceddu

Per approfondire:

LM-White-Paper-Intel-Driven-Defense.pdf (lockheedmartin.com)

Seven_Ways_to_Apply_the_Cyber_Kill_Chain_with_a_Threat_Intelligence_Platform.pdf (lockheedmartin.com)

giovedì 18 marzo 2021

Whaling: cos’è e quali sono i rischi

Negli ultimi anni, gli attacchi cyber si sono evoluti, cambiando forma ed intensità. La crisi sanitaria globale ha costretto una gran parte dei lavoratori al cosiddetto smartworking, il telelavoro. Ciò ha determinato un profondo aumento della superficie d’attacco a disposizione dei criminal hackers.

Durante lo scorso anno si è parlato molto del whaling o whale phishing. Concepito come una versione più evoluta e recente del phishing, questo attacco è anche conosciuto come CEO fraud, poiché l’azione è finalizzata a colpire dirigenti e componenti senior dell’azienda, ottenendo l’accesso ai loro devices per rubare informazioni o denaro.

Le modalità di attacco sono le stesse utilizzate dal phishing , ma nel caso del whaling, la comunicazione fittizia (es. email) sembra essere inviata da un manager di pari livello o da qualcuno che riveste una posizione importante nella stessa azienda .

L’obiettivo dell’attacco è quello di ottenere informazioni riservate sull’azienda o a far commettere alla vittima azioni pericolose per l’azienda stessa. Solitamente, la comunicazione avviene tramite e-mail proveniente, almeno apparentemente, da una fonte affidabile e, in alcuni casi, contenenti perfino il logo dell’azienda. Come evidenzia Kasperski, la fiducia all’interno di un’azienda è molto alta ed è più facile, in questo modo, cadere nella trappola.

Il whaling è potenzialmente più efficace del phishing in quanto l’obiettivo è una persona in vista, un membro di alto livello dell’azienda. Proprio per questo, gli hackers possono utilizzare le informazioni disponibili sui social media e in rete per “customizzare” l’attacco.

Secondo quanto analizzato dal National Cyber Security Centre (NCSC) britannico, infatti, l’e-mail contiene informazioni riguardanti la vittima (sia essa organizzazione o individuo), trasmette un senso di urgenza ed è scritta in un linguaggio adatto al contesto (solitamente un linguaggio economico).

Quali sono i rischi per l’azienda? Il whaling è una forma di social engineering che spinge la vittima a cliccare sul link presente nell’e-mail il quale diffonde un malware, oppure la costringe a inviare soldi all’account bancario dell’hacker. L’evoluzione di questi attacchi, attraverso l’utilizzo di un linguaggio sempre più tecnico, l’utilizzo di siti falsi realizzati ad hoc e di riferimenti ai dati personali della vittima, ha reso sempre più difficile la loro individuazione.

Inoltre, il NCSC ha rilevato alcuni casi in cui i manager aziendali hanno ricevuto anche chiamate telefoniche che confermavano le richieste presenti nell’e-mail, dando vita alla tattica di social engineering denominata cyber-enabled fraud.

Come ci si difende da questi attacchi? Poiché il whaling è un’evoluzione del phishing, le precauzioni da adottare sono molto simili. Innanzitutto, bisogna verificare l’indirizzo email prima di cliccare su eventuali link presenti in un’email. Nel caso specifico del whaling, gli attori malevoli sono particolarmente facilitati dalle informazioni riguardanti i manager aziendali presenti sui social media o altrove; inoltre, durante gli eventi pubblici, quali conferenze o eventi dell’azienda, i senior sono particolarmente esposti a questi attacchi.

Il report Phishing Trends and Intelligence pubblicato da PhishLabs nel 2019 ha messo in luce dei dati molto interessanti riguardanti il 2018. Tali dati mostrano come ci sia stato un incremento del 40,9 % degli attacchi di phishing, colpendo principalmente servizi finanziari, email, cloud, di pagamento e SaaS. Inoltre, la maggior parte delle email non conteneva alcun malware, mirando prettamente a rubare le credenziali.

Dato l’incremento esponenziale di questi attacchi, le aziende dovrebbero implementare programmi di formazione che aumentino la consapevolezza dei dipendenti sui rischi del phishing e del whaling. Inoltre, il dipartimento IT delle aziende più grandi dovrebbe incrementare le finte campagne di whaling, in modo da verificare il livello di consapevolezza del personale aziendale. Infine, come riporta Kasperski, le aziende possono dotarsi di software anti-phishing che forniscono alcuni servizi come l’URL screening e link validation.


Davide Lo Prete


https://www.ncsc.gov.uk/guidance/whaling-how-it-works-and-what-your-organisation-can-do-about-it

https://www.rapid7.com/fundamentals/whaling-phishing-attacks/

https://www.kaspersky.com/resource-center/definitions/what-is-a-whaling-attack

https://www.cybersecurity360.it/nuove-minacce/attacchi-whaling-la-caccia-informatica-alle-balene-che-minaccia-ceo-cfo-e-tutti-i-c-level/



martedì 2 marzo 2021

il caso SolarWinds, facciamo il punto

In un articolo del 14 dicembre 2020 abbiamo parlato di FireEye e di come sia stata hackerata. E' stata la stessa società, l'8 dicembre scorso, ad informare il pubblico di quanto accaduto.
Abbiamo quindi ripreso la notizia una settimana dopo con l'articolo di Ciro Metaggiata

Noi allora avevamo provato a porci qualche domanda sulla base di quanto era noto e ad abbozzare qualche risposta. Oggi, a quasi tre mesi dall'accaduto, possiamo provare a fare qualche passo avanti certi che dell'attacco, oggi noto come Solorigate, si continuerà a parlare a lungo.

Intanto è stato chiarito che l'attacco è avvenuto per il tramite di una società fornitrice di software per FireEye (e non solo!), la società si chiama SolarWinds ed è basata in Texas.

Una cosa che possiamo vedere immediatamente è l'effetto dell'attacco sulle due società: la FireEye ha mantenuto il valore delle sue azioni, che anzi è cresciuto mentre la SolarWinds ha perso!



Questo solo per dire che genere di "effetti" può avere un cyberattack, dal punto di vista economico per intenderci, se qualcuno ancora dovesse avere dei dubbi sugli effetti nel mondo reale. In questo caso gli effetti che ho mostrato sono solo quelli sul produttore del software, ma se dovessimo stimare le perdite economiche dovute a questo attacco la cosa dovrebbe comprendere l'analisi di circa 18.000 organizzazioni statali e non, e la cifra che verrebbe fuori potrebbe essere spaventosamente alta. Lasciamo correre.

SolarWinds ha sviluppato un prodotto che viene impiegato dai suoi clienti per aggiornare i sistemi. E' per esempio il caso di Microsoft e di tanti altri che utilizzavano il prodotto di SolarWinds conosciuto con il nome di "Orion", un prodotto impiegato da molte organizzazioni e società per gestire le risorse IT. Probabilmente ad inizio 2020 SolarWinds ha inviato degli aggiornamenti che contenevano una backdoor, cosa che ha consentito agli hacker di accedere ai sistemi, di esplorarli ed esfiltrare dati, ma probabilmente anche di modificare parte dei dati acceduti. Questo significa che gli hacker hanno avuto almeno sei mesi di tempo prima di essere scoperti. 

Secondo quanto riportato ultimamente dai giornali, gli investigatori ritengono che tra gli hacker vi siano elementi russi e che si sia trattato di una campagna di spionaggio. In merito c'è da dire che l'amministrazione Biden sta lavorando all'attribuzione dell'attacco. 

Tra le vittime, oltre a FireEye che ha denunciato per prima l'accaduto, si trovano alcune delle principali istituzioni americane tra cui il dipartimento di Stato, il Tesoro, Homeland Security, Energia e Commercio, National Institute of Healt, e National Nuclear Security Administration ma anche diverse società tra le più grandi al mondo elencate tra le Fortune 500, tra cui Microsoft, Cisco, Intel, Deloitte...

Secondo le analisi degli esperti, gli hacker una volta guadagnato l'accesso alle reti e sistemi delle vittime, in molti casi hanno manipolato una parte del software Microsoft chiamato "Active Directory Federation Services" che si occupa di rilasciare le "identità digitali" per gli utenti, chiamate "SAML Tokens". 

Ora la discussione, anche politica, si incentra sul fatto che questa tecnica di attacco era già conosciuta almeno dal 2017 quando un ricercatore israeliano, Shaked Reiner, descrisse questa tecnica di attacco con il nome di "Golden SAML Attack". Sono infatti in molti a pretendere spiegazioni sul perché le reti ed i sistemi americani non siano adeguatamente protetti nonostante gli ingenti investimenti sostenuti nel settore. 

Sono sicuro che vi sarà ancora molto da dire sul caso SolarWinds, però voglio concludere con una considerazione: la nostra società è sempre più dipendente da Internet e dai sistemi digitali. Dipendenza che però è sempre più messa sotto assedio dalla crescita dei rischi associati agli attacchi cyber. Probabilmente è arrivato il momento che gli Stati inizino a lavorare seriamente e assieme per ridurre i rischi attraverso una seria strategia condivisa a meno che non si voglia rischiare di cancellare gli ultimi 50 anni di sviluppo digitale per ricercare una nuova, sostenibile e sicura strada...

Alessandro RUGOLO

Per approfondire:

FireEye hackerata, da chi? - Difesa Online

Sunburst: una Pearl Harbor Cyber? - Difesa Online

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc

FireEye Discovered SolarWinds Breach While Probing Own Hack - Bloomberg

Inline XBRL Viewer (sec.gov)

SolarWinds hack: Biden administration says investigation is likely to take "several months" - CNNPolitics

WH will 'sharpen the attribution' with Russia after SolarWinds hack (nypost.com)

Here's a simple explanation of how the massive SolarWinds hack happened and why it's such a big deal (businessinsider.fr)

Golden SAML: Newly Discovered Attack Technique Forges Authentication to Cloud Apps (cyberark.com)

What is Solorigate - Cybersecurity Insiders (cybersecurity-insiders.com)

sabato 27 febbraio 2021

Multi-Domain Operations o Joint Operations ?

Ultimamente abbiamo sentito parlare, in diverse occasioni, di Multi-Domain Operations. Ma di che si tratta?

Anche in ambiente militare di tanto in tanto si rivedono i concetti e la dottrina. I cambiamenti della società portano a doversi adattare e in campo militare ciò significa analizzare e rianalizzare domini e modalità del fare la guerra.

Quando si parla di Multi-Domain Operations si parla in definitiva di operazioni joint, ma cerchiamo di capirne di più ripercorrendo la storia delle Multi-Domain Operations.

Il concetto è nato negli Stati Uniti d'America. Inizialmente se ne parlò nel documento dell'Esercito americano del dicembre 2017: "Multi-Domain Battle: Evolution of Combined Arms for the 21st Century, 2025-2040". 

Nel documento si afferma che il cambiamento del mondo circostante, l'emergere di nuovi soggetti definiti "pari" e i nuovi rischi cui sono soggette le Forze Armate americane fanno si che sia necessario un nuovo concetto, chiamato Multi-Domain Battle, che descrive come: "U.S. and partner forces organize, practice, and employ capabilities and methods across domains, environments, and functions over time and physical space to contest these adversaries in operations below armed conflict and, when required, defeat them in armed conflict" nel prossimo futuro 2025-2040. Il documento spiega che il nuovo concetto "Multi-Domain Battle" descrive come cambia l'ambiente e gli avversari, in quale modo gli avversari sistematicamente intendono raggiungere i loro fini strategici, i problemi specifici che questi portano alla Joint Force e ai partners e le modalità sistemiche per competere con i nuovi avversari e ove necessario, sconfiggerli. 


A fine 2018 il concetto cominciava a prender piede e con la sua diffusione negli ambienti Joint si cominciò a parlare sempre più di Multi-Domain Operations, così battezzate nel documento del dicembre 2018: "The U.S. Army in Multi-Domain Operations 2028". Lo scopo di questo documento è descrivere come l'Esercito statunitense  contribuisce al compito principale delle Joint Forces come descritto nel "Summary of the National Defense Strategy", ovvero scoraggiare e sconfiggere l'aggressione cinese e russa sia nella competizione che in caso di conflitto. Il Concetto dell'Esercito americano "Multi-Domain Operations" propone soluzioni dettagliate a specifici problemi posti dagli eserciti di Stati "postindustrial, Information-based" quali la Cina e la Russia...". 

Nel recente articolo "Multi-Domain Operations, Awareness continues to spread about the importance of operating in multiple domains"  scritto dal Col. Marcus A. Jones (U.S. Army - NATO JWC) e dal Tenente Colonnello Josè Diaz de Leon (U.S. Air Force - NATO JWC), gli autori ripercorrono la storia del nuovo concetto e ne discutono gli aspetti principali guardando il mondo reale e indicando esempi di Multi-Domain Operations in ambito statunitense e NATO, dove si parla principalmente di Joint Operations e Joint Effects. In effetti il NATO Joint Warfare Centre ha incorporato all'interno delle proprie esercitazioni il concetto dele Multi-Domain Operations, con particolare riguardo al Joint Targeting e al Joint Fires e rappresenta un esempio di capacità formativa Joint. 

La discussione intorno al nuovo concetto e a quanto ci sia di diverso dalle Joint Operations continuerà per i prossimi anni e probabilmente continuerà a trasformarsi come è logico  che accada in un ambiente complesso e in continua evoluzione, in cui rischi e opportunità sono esacerbati da sviluppo tecnologico e competizione in tutti i settori: economico, diplomatico, militare e informativo (DIME). 

Alessandro Rugolo e Francesco Ferrante  

Per approfondire:

TheThreeSwords_OctoberIssue_ISO COATED.indd (nato.int)

The U.S. Army in Multi-Domain Operations 2028 | Article | The United States Army

What is a Multi-Domain Operation? | Joint Air Power Competence Centre (japcc.org)

giovedì 25 febbraio 2021

Il progetto Quantum-Secure Net (parte 2): prodotto Europeo di Quantum Key Distribution

L'evoluzione della crittografia quantistica e post-quantistica

Nel primo articolo abbiamo introdotto quali siano i principali problemi della crittografia moderna, o meglio, quali siano le limitazioni matematiche che vengono esposta dal mondo del quantum computing. Il problema è complesso e negli ultimi anni la ricerca ha tentato di risolvere il dilemma definendo metodi crittografici che offrissero una sorta di resistenza quantistica. Questa seconda parte approfondisce proprio questi aspetti, introducendo il tema della crittografia quantistica e post-quantistica e in particolare la tecnologia della Quantum Key Distribution (QKD) che rappresenta una tecnologia particolare in questo contesto, in grado di offrire la cosiddetta perfect secrecy.

Crittografia quantistica

La crittografia quantistica funziona su computer quantistici ed è “sicura” sia contro gli attacchi classici che quantistici, nel senso di attacchi condotti tramite computer quantistici. Questa forma di crittografia è sicura sulla base delle leggi della fisica quantistica. Ciò significa che, i computer quantistici sono sia il problema (cioè possono essere usati per “rompere” la crittografia), sia la soluzione (cioè possono essere usati per "fare" la crittografia). Tuttavia, ci sono degli aspetti problematici nell'uso della crittografia quantistica, se paragonati alla crittografia “classica” a chiave pubblica. La crittografia quantistica richiede che entrambe le parti abbiano accesso a un computer quantico e può essere al momento molto costosa, poco praticabile e quindi inefficiente. La crittografia quantistica è già in fase di sviluppo e di utilizzo, tuttavia, dati gli attuali costi, è improbabile che possa sostituire tutti gli attuali casi di utilizzo della crittografia, soprattutto nel prossimo futuro.

Crittografia Post-Quantistica

La crittografia post-quantistica è una forma di crittografia classica (cioè che non necessita di computer quantistici) che si basa su fondamenta matematiche a resistenza quantistica e funziona sugli attuali computer. In sostanza, la crittografia post-quantistica è un sistema che si basa su computer non quantistici, proprio come la attuale crittografia a chiave pubblica, ma su principi matematici differenti, non facilmente risolvibili nemmeno da un computer quantico. È importante rimarcare la distinzione perché spesso si usa il termine "post-quantum" intendendo invece "quantistico" e viceversa. La differenza è che la crittografia quantistica usa un computer quantistico, e la crittografia post-quantistica non lo fa. Tuttavia, nonostante i ricercatori abbiano sviluppato cifrari che sono resistenti all’algoritmo di Shor la crittografia post-quantistica però non è altrettanto robusta rispetto alla crittografia quantistica (non ha l’attributo di unconditional computational security): non è possibile dimostrare che gli algoritmi sviluppati non sono attaccabili in un tempo polinomiale. Questo comporta che non ci siano ancora prove formali sulla reale sicurezza di questi metodi, similmente a quanto accade per la attuale crittografia a chiave pubblica.

Vista la complessità della crittografia quantistica è comunque di grande interesse studiare anche altre soluzioni, non basate su tecnologie quantistiche, che aumentino il grado di sicurezza rispetto all’attuale crittografia a chiave pubblica. Questo rende necessario avere sistemi di crittografia resistenti agli attacchi, condotti da computer quantistici, che possano funzionare su computer non quantistici (i.e., il caso peggiore in cui l’attaccante ha a disposizione un computer quantistico è l’attaccato no). 

Quantum computing ed applicazioni alla crittografia simmetrica

È fondamentale sottolineare che, quanto detto fino ad ora, parlando degli attacchi alle forme di crittografia asimmetriche, a chiave pubblica e privata, non si applica alla crittografia simmetrica (che fa uso della stessa chiave condivisa fra le parti comunicanti). Shannon nel 1949 ha dimostrato che con la crittografia simmetrica esistono le condizioni per ottenere la sicurezza perfetta (perfect secrecy) o incondizionata.

Prima di tutto un breve riepilogo. La crittografia a chiave pubblica, o crittografia asimmetrica, garantisce la riservatezza. Supponiamo che una parte (Alice) voglia inviare ad un'altra parte (Bob) un messaggio segreto. Alice cripta il suo messaggio con la chiave pubblica di Bob, creando un testo cifrato incomprensibile, che invia a Bob. Bob decifra il testo cifrato per scoprire il messaggio originale. Si noti che la comunicazione è unidirezionale o "asimmetrica"; Alice non può decifrare i messaggi di Bob poiché non possiede la chiave privata. La cifratura a chiave pubblica è asimmetrica ed è generalmente più lenta rispetto agli schemi di cifratura simmetrica come l'AES. Per questo motivo, la cifratura a chiave pubblica è principalmente utilizzata per stabilire una chiave segreta condivisa tra le parti. Cioè, il messaggio segreto inviato da Alice a Bob è una chiave segreta, e questa chiave segreta viene poi utilizzata per cifrare e decifrare i dati in modo efficiente utilizzando la cifratura simmetrica.

Figura 1 – Una versione semplificata del Protocollo di scambio chiavi asimmetriche


Alice e Bob hanno bisogno di un metodo sicuro per condividere la loro chiave simmetrica, questa fase prende il nome di
Key Establishment Mechanism (KEM). La cifratura a chiavi asimmetriche viene quindi utilizzata nella fase di inizializzazione del canale di comunicazione, per permettere ad Alice e Bob di condividere una chiave simmetrica senza interferenze (questo schema, inizialmente proposto da Diffie-Hellman, è poi diventato la base del protocollo di comunicazione SSL).

Cos'è la Quantum Key Distribution?

Come detto nel paragrafo precedente, esistono le condizioni per rendere la crittografia simmetrica un metodo di cifratura incondizionatamente sicuro, sempre nell’ipotesi che un attaccante non venga a conoscenza della chiave. Il problema è quindi quello di distribuire le chiavi senza che vengano intercettate. Questo problema porta alla nascita della Quantum Key Distribution (QKD), che è un sistema basato su un “canale quantistico” (fibre ottiche oppure tratte “free space” satellitari) per distribuire chiavi simmetriche in modo non intercettabile. Come già anticipato ad inizio articolo, la QKD è una tecnologia imparentata con il quantum computing per via del fatto che usa la stessa “terminologia” matematica: si può dire che in questo caso si parla di “quantum” senza l’attributo “computing”.

La QKD in particolare utilizza le proprietà quantistiche dei fotoni (i.e., scarsa interazione con la materia e capacità di mantenere il proprio stato quantico in un mezzo adeguato, ad esempio una fibra ottica, per qualche microsecondo, sotto forma di fase o momento angolare) per effettuare lo scambio di una chiave crittografica simmetrica, che può essere utilizzata per criptare i messaggi che poi vengono scambiati tramite un canale “tradizionale”. La sicurezza di QKD si basa su fondamentali leggi della natura, che sono insensibili all’aumentare della potenza di calcolo, di nuovi algoritmi di attacco o di computer quantistici.

La sicurezza della QKD si basa su una caratteristica fondamentale della meccanica quantistica: a causa del principio di indeterminazione di Heisenberg, a seguito del quale non si può misurare una quantità fisica senza interferire con essa, l'atto di misurare lo stato di un quanto di luce lo distrugge. Con questo tipo di sistemi, la sicurezza deriva proprio dal fatto che un eventuale attore malevolo, che cerchi di intercettare uno scambio di informazioni, lascerà inevitabilmente tracce rilevabili sotto forma di errori della chiave trasmessa. A questo punto le due parti Alice e Bob possono decidere di usare una nuova chiave simmetrica o interrompere la trasmissione.

La QKD formalmente ha anche un secondo vantaggio, essendo possibile dimostrare che è un sistema sicuro dal punto di vista della teoria dell'informazione (information-theoretically secure). La sua sicurezza deriva esclusivamente dalla teoria dell'informazione, cioè, non si basa sulla presunta difficoltà dei problemi matematici usati, ed è quindi sicuro anche quando l'avversario ha una potenza di calcolo illimitata.

Un’altra importante caratteristica operativa della QKD, quando viene utilizzata in sequenza per produrre chiavi di cifratura successive, è la proprietà chiamata "forward-secrecy" delle chiavi: le chiavi successivamente scambiate su un QKD link, sono indipendenti l'una dall'altra. Pertanto, la potenziale compromissione di una di esse non può portare alla compromissione delle altre. Questa è una caratteristica particolarmente apprezzabile sia per le reti ad elevata sicurezza, che per la memorizzazione a lungo termine dei dati (everlasting security).

Un'implementazione QKD include tipicamente i seguenti componenti:

    Figura 2 - Alice e Bob sono collegati attraverso un QKD Link (composto dalla coppia di connessioni Ethernet e su fibra ottica) e si scambiano chiavi crittografiche simmetriche, per poi instaurare una connessione sicura cifrata simmetricamente. Eve è in ascolto sul QKD link e cerca di intercettare la chiave o il flusso cifrato

  • Un canale di trasmissione su fibra ottica per inviare quanti di informazione (qubit) tra il trasmettitore (Alice) e il ricevitore (Bob).

  • Un collegamento di comunicazione tradizionale e pubblico ma autenticato tra le due parti per eseguire le fasi di post-scambio-chiave

  • Un protocollo di scambio chiave che sfrutta le proprietà quantistiche per garantire la sicurezza, rilevando le intercettazioni o gli errori, e calcolando la quantità di informazioni che sono state intercettate o perse.


Enrico Frumento*, Nadia Fabrizio*, Paolo Maria Comi+


* CEFRIEL Politecnico di Milano, Viale Sarca 226 – 20126 Milano

+ Italtel, Via Reiss Romoli – loc. Castelletto – 20019 Settimo Milanese (Mi)


Per approfondire:

[1]

CSO Insiders, “What is quantum cryptography? It’s no silver bullet, but could improve security,” 12 3 2019. [Online]. Available: https://www.csoonline.com/article/3235970/what-is-quantum-cryptography-it-s-no-silver-bullet-but-could-improve-security.html.

[2]

T. Laarhoven, M. Mosca and J. v. d. Pol, “Solving the Shortest Vector Problem in Lattices Faster Using Quantum Search,” Post-Quantum Cryptography, pp. 83-101, 2013.

[3]

O. Regev, “Quantum Computation and Lattice Problems,” SIAM Journal on Computing, vol. 33, no. 3, pp. 738-760, 2004.

[4]

Research Institute, “A Guide to Post-Quantum Cryptography,” 16 5 2019. [Online]. Available: https://medium.com/hackernoon/a-guide-to-post-quantum-cryptography-d785a70ea04b.

[5]

C. Shannon, “Communication Theory of Secrecy Systems,” Bell System Technical Journal, vol. 28, no. 4, pp. 656-715, 1949.

[6]

W. Diffie and M. Hellman, “New directions in cryptography,” IEEE Transactions on Information Theory, vol. 22, pp. 644-654, 1976.

[7]

Akamai, “Enterprise Security - SSL/TLS Primer Part 1 - Data Encryption,” 2016. [Online]. Available: https://blogs.akamai.com/2016/03/enterprise-security---ssltls-primer-part-1---data-encryption.html.

[8]

R. Alléaume, C. Branciard, J. Bouda, T. Debuisschert, M. Dianati, N. Gisin, M. Godfrey, P. Grangier, T. Länger, N. Lütkenhaus, C. Monyk, P. Painchault, M. Peev, A. Poppe, T. Pornin, J. Rarity, R. Renner, G. Ribordy, M. Riguidel, L. Salvail, A. Shields, H. Weinfurter and A. Zeilinger, “Using quantum key distribution for cryptographic purposes: A survey,” Theoretical Computer Science, vol. 560, pp. 62-81, 2014.

[9]

W. Diffie, P. v. Oorschot and M. Wiener, “Authentication and Authenticated Key Exchanges,” in Designs, Codes and Cryptography 2, Kluwer Academic, 1992, pp. 107-125.

[10]

CSA Cloud Security Alliance, “What is Quantum Key Distribution?,” in Quantum-Safe Security Working Group.

sabato 20 febbraio 2021

TryHackMe: cyber e gamification.

Qualche tempo fa vi ho parlato del progetto Ares, una piattaforma on line sviluppata secondo il concetto di gamification, oggi riprendiamo la discussione presentando la piattaforma TryHackMe.

TryHackMe è nato nel 2018 grazie a due esperti di cybersecurity, Ashu Savani e Ben Spring. 

Nel 2019 si unisce a loro anche Jonathan Peters che inizia a sviluppare la piattaforma attuale. 

La maggior parte dei prodotti disponibili sulla piattaforma sono gratuiti. Se poi si vuole usufruire di tutti i servizi il costo è di 8 sterline al mese.

TryHackMe si basa sul fatto che se si è curiosi e si viene guidati, avvicinarsi alla cybersecurity non è troppo complicato. Per far si che lo studente non si perda vengono forniti alcuni strumenti che consentono anche ai principianti di ottenere sin da subito quei risultati che lo spingeranno ad andare avanti lungo un percorso altrimenti molto complesso e spesso scoraggiante. La piattaforma consente infatti di "giocare" con macchine virtuali appositamente costruite per imparare i concetti base. Sin da subito lo studente potrà creare ed avviare la sua propria "attack box" o una "kali linux machine" attraverso cui fare le proprie esperienze in tutta sicurezza e con i materiali di studio a portata di mano.

La piattaforma conta attualmente circa 358.000 utenti ed è in continua crescita. 


Chi si iscrive può esplorare liberamente le "stanze" disponibili facendosi guidare dalla propria curiosità oppure può scegliere un percorso di apprendimento tra i cinque disponibili:

- Cyber Defense;

- Complete Beginner;

- Offensive Pentesting;

- COMPTIA Pentest+;

- Web Fundamentals.

Naturalmente niente impedisce di fare entrambe le cose, cioè iscriversi ad un percorso e poi farsi guidare dalla curiosità, cosa che ho fatto io stesso.

Ogni percorso è composto da un certo numero di "stanze" da completare. Per ogni "stanza" è previsto un punteggio che permette allo studente di confrontarsi in una graduatoria mondiale (o nazionale) con la community. Il punteggio viene attribuito secondo ben stabilite regole che fanno si che si salga in graduatoria solo se si fanno effettivi progressi.

Come in tutte le cose, per vedere i progressi bisogna essere costanti. 


Io mi sono iscritto ormai da 74 giorni e mi trovo al 9533° posto in graduatoria mondiale su 358.000, magari non sarà uno splendido risultato ma quanto meno sono riuscito a riprendere alla mano tanti concetti che per motivi di tempo non avevo più avuto modo di approfondire tra cui l'uso della linea di comando e dei vari strumenti disponibili su Kali Linux.

Attualmente è possibile scegliere la "stanza" da seguire tra 330 disponibili, di diverso argomento e difficoltà. Ogni stanza è un misto di teoria e di pratica ed è possibile trovare al suo interno tutti i riferimenti necessari per approfondire l'argomento o il link di rimando ad altre stanze qualora necessario. 


Se poi si è commesso l'errore di iscriversi ad una stanza troppo difficile, cosa che può capitare, nessun problema, la si lascia perdere per riprenderla magari dopo qualche settimana e verificare se si sono fatti progressi. 

Vi sarebbero ancora tante cose da dire, per esempio che se si è in grado di farlo è possibile collaborare allo sviluppo del sito, ma penso sia preferibile invitarvi a visitare TryHackMe.com e provare voi stessi !

Buon divertimento...

Alessandro Rugolo

 

 


 

 

 

   



domenica 14 febbraio 2021

Microsoft: sicurezza e privacy ai tempi del Covid - 2° episodio


Qualche mese fa abbiamo parlato dell'importanza della sicurezza e della privacy al tempo del COVID mettendo in evidenza alcuni aspetti etici e sociali delle tecnologie digitali.

Proviamo ora ad approfondire alcuni punti relativi alla suite del momento, rimandando il lettore più curioso al Trust Center Site dove si possono trovare tutti gli approfondimenti del caso.

Uno degli argomenti che sempre più spesso devo affrontare coi i nostri clienti è il trattamento dei dati personali.

Microsoft tratta i dati personali secondo quanto previsto nell’Addendum relativo alla Protezione dei Dati Personali dei Servizi Online (“DPA”) disponibile al link https://aka.ms/DPA. In particolare, il suddetto DPA prevede che Microsoft ha il ruolo di Responsabile del trattamento dei dati personali e costituisce l’accordo che vincola il responsabile al titolare del trattamento ai sensi dell’art. 28 comma 3) del Regolamento Generale sulla protezione dei dati-Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 (GDPR).

Le condizioni del GDPR di Microsoft riflettono gli impegni richiesti dai responsabili nell'Articolo 28. L'Articolo 28 richiede che i responsabili si impegnino a:

  • Usare esclusivamente responsabili secondari con il consenso del titolare e esserne responsabili.

  • Trattare i dati personali esclusivamente in base alle istruzioni del titolare, anche in merito al trasferimento.

  • Assicurarsi che le persone che trattano i dati personali rispettino la riservatezza.

  • Implementare misure tecniche e organizzativa appropriate per garantire un livello di sicurezza dei dati personali idoneo in base al rischio.

  • Aiutare i titolari con i relativi obblighi di risposta alle richieste degli interessati a esercitare i propri diritti del GDPR.

  • Soddisfare i requisiti di assistenza e notifica delle violazioni.

  • Aiutare i titolari con le valutazioni dell'impatto della protezione dei dati e con la consulenza con le autorità competenti.

  • Eliminare o restituire i dati personali alla fine della fornitura dei servizi.

  • Supportare il titolare con la prova della conformità al GDPR.

Crittografia dei Dati e Utilizzo della Rete

Prendiamo Teams come elemento di analisi. L’utilizzo di Teams che, ricordiamolo, è parte integrante della piattaforma O365, e, più in generale, di tutti i servizi cloud di Microsoft, ossia Azure, Dynamics 365 e O365 stesso, non richiede necessariamente una VPN dedicata per i collegamenti remoti.

Microsoft Teams sfrutta i protocolli TLS e MTLS che forniscono comunicazioni crittografate e autenticazione degli endpoint su Internet. Teams utilizza entrambi i protocolli per creare la rete di server affidabili e per garantire che tutte le comunicazioni su quella rete siano crittografate. Tutte le comunicazioni tra server si verificano su MTLS. Le comunicazioni SIP rimanenti o legacy da client a server si verificano su TLS.

TLS consente agli utenti, tramite il proprio software client, di autenticare i server Teams, nei datacenter Microsoft, a cui si connettono. In una connessione TLS, il client richiede un certificato valido dal server. Per essere valido, il certificato deve essere stato emesso da una Certification Authority che sia considerata affidabile anche dal client e il nome DNS del server deve corrispondere al nome DNS sul certificato. Se il certificato è valido, il client utilizza la chiave pubblica nel certificato per crittografare le chiavi di crittografia simmetriche da utilizzare per la comunicazione, quindi solo il proprietario originale del certificato può utilizzare la propria chiave privata per decrittografare il contenuto della comunicazione. La connessione risultante è affidabile e da quel momento non viene contestata da altri server o client affidabili.

Le connessioni tra server si basano su TLS reciproco (MTLS) per l'autenticazione reciproca. Su una connessione MTLS, il server che genera un messaggio e il server che lo riceve si scambiano i certificati da una CA reciprocamente attendibile. I certificati dimostrano l'identità di ciascun server all'altro. Nel servizio Teams, questa procedura è seguita.

TLS e MTLS consentono di impedire sia gli attacchi di intercettazione sia gli attacchi man-in-the-middle. 

In un attacco man-in-the-middle, l'utente malintenzionato dirige le comunicazioni tra due entità di rete attraverso il computer dell'utente malintenzionato all'insaputa delle due parti. Le specifiche di TLS e Teams di server attendibili attenuano il rischio di un attacco man-in-the-middle parzialmente sul livello dell'applicazione, utilizzando la crittografia coordinata, tramite la crittografia a chiave pubblica tra i due endpoint. Un utente malintenzionato dovrebbe avere un certificato valido e affidabile con la chiave privata corrispondente ed emesso a nome del servizio con cui il client sta comunicando per decrittografare la comunicazione.

La tabella mostra le tipologie di traffico:

Tipo di traffico

Crittografato da

Da server a server

MTLS

Da client a server (ad esempio, messaggistica istantanea e presenza)

TLS

Flussi multimediali (ad esempio, condivisione audio e video di contenuti multimediali)

TLS

Condivisione audio e video di contenuti multimediali

SRTP/TLS

Segnalazione

TLS

Sistemi di Autenticazione e Autorizzazione

La “stanza virtuale” è un meeting di Teams e come tale rispetta i medesimi standard di sicurezza. Gli standard di sicurezza si rifanno a quelli di O365 che è la piattaforma di cui Team è parte integrante. È sbagliato considerare la sicurezza del prodotto dal punto di vista dell’autenticazione in quanto questa viene definita a livello di piattaforma.

Le attività di accesso della “stanza virtuale” e Teams meeting sono tracciate attraverso logs accessibili da utenti amministratori preposti dall’organizzazione.

Teams è un servizio Cloud ed i server sono dislocati nei datacenter di Microsoft.

Dati e Metadati

I dati raccolti all’interno del tenant, ossia dell’ambiente creato all’atto della sottoscrizione dei servizi O365 da parte di un’organizzazione, sono accessibili dagli Amministratori preposti dall’Amministrazione, tramite il “Centro sicurezza Microsoft 365” che include:

  • Home: visualizzazione a colpo d'occhio dell'integrità generale della sicurezza dell'organizzazione.

  • Operazioni non consentite: vedere la storia più ampia di un attacco collegando i punti visualizzati sui singoli avvisi sulle entità. È possibile sapere esattamente dove è stato avviato un attacco, quali dispositivi sono interessati, quali sono gli effetti e dove la minaccia è andata.

  • Avvisi – avere una maggiore visibilità in tutti gli avvisi nell'ambiente Microsoft 365, compresi gli avvisi provenienti da Microsoft cloud app Security, Office 365 ATP, Azure ad, Azure ATP e Microsoft Defender ATP. Disponibile per i clienti E3 ed E5.

  • Centro azioni: ridurre il volume degli avvisi a cui il team di sicurezza deve rispondere manualmente, consentendo al team di operazioni di sicurezza di concentrarsi su minacce più sofisticate e altre iniziative di alto valore.

  • Report : consente di visualizzare i dettagli e le informazioni necessari per proteggere meglio gli utenti, i dispositivi, le app e altro ancora.

  • Secure Score: consente di ottimizzare il livello di sicurezza complessivo con Microsoft Secure Score. Viene fornito un riepilogo di tutte le caratteristiche e funzionalità di sicurezza che sono state abilitate e sono disponibili suggerimenti per migliorare le aree.

  • Caccia avanzata: ricerca proattivamente di malware, file sospetti e attività nell'organizzazione Microsoft 365.

  • Classificazione: consente di proteggere la perdita di dati aggiungendo etichette per classificare documenti, messaggi di posta elettronica, documenti, siti e altro. Quando viene applicata un'etichetta (automaticamente o dall'utente), il contenuto o il sito è protetto in base alle impostazioni selezionate. Ad esempio, è possibile creare le etichette per crittografare i file, aggiungere l'indicazione del contenuto e controllare l'accesso degli utenti a siti specifici.

  • Criteri: consente di aggiungere criteri per gestire i dispositivi, proteggere dalle minacce e ricevere avvisi su varie attività dell'organizzazione.

  • Autorizzazioni: consente di gestire chi nell'organizzazione ha accesso al Centro sicurezza Microsoft 365 per visualizzarne il contenuto ed eseguire attività. È inoltre possibile assegnare autorizzazioni di Microsoft 365 nel portale di Azure AD.

È inoltre possibile definire accessi granulari alle funzionalità del “Security & Compliance Center”.

Gli amministratori globali, preposti dall’organizzazione, hanno accesso alle funzionalità del “Security & Compliance Center”; questo è uno dei motivi per cui è importante proteggere in modo adeguato gli amministratori globali, disaccoppiarli dalle attività dell’utente (si consiglia quindi di non assegnare una licenza Office 365 a questi amministratori) e utilizzarli solo quando è necessario.

Dove si trovano i server che conservano i dati?

Alla sottoscrizione del servizio, per ciascuna Amministrazione/Cliente viene associato un “Tenant” ovvero l’unità logica che contiene tutti i dati e le configurazioni dell’Amministrazione.

Uno dei vantaggi principali del cloud computing è il concetto di un'infrastruttura comune condivisa tra i numerosi clienti contemporaneamente, che porta a economie di scala. Questo concetto è denominato multi-tenant. Microsoft garantisce che le architetture multi-tenant dei servizi cloud supportino la sicurezza a livello aziendale, la riservatezza, la privacy, l'integrità e gli standard di disponibilità.

In base ai significativi investimenti e all'esperienza ottenuti dall' elaborazione affidabile e dal ciclo di vita dello sviluppo della sicurezza, i servizi cloud Microsoft sono stati concepiti con l'ipotesi che tutti i tenant siano potenzialmente ostili a tutti gli altri tenant e che siano state implementate misure di sicurezza per impedire che le azioni di un tenant influiscano sulla sicurezza o sul servizio di un altro tenant.

I due obiettivi principali per mantenere l'isolamento del tenant in un ambiente multi-tenant sono:

  • Impedire la fuoriuscita o l'accesso non autorizzato al contenuto dei clienti tra i tenant; e

  • Impedire alle azioni di un tenant di influenzare negativamente il servizio di un altro tenant

In Office 365 sono state implementate più forme di protezione per impedire ai clienti di compromettere i servizi o le applicazioni di Office 365 o di ottenere un accesso non autorizzato alle informazioni di altri tenant o del sistema Office 365 stesso, tra cui:

  • L'isolamento logico del contenuto dei clienti all'interno di ogni tenant per i servizi di Office 365 viene ottenuto tramite l'autorizzazione di Azure Active Directory e il controllo di accesso basato sui ruoli.

  • SharePoint Online fornisce meccanismi di isolamento dei dati a livello di archiviazione.

  • Microsoft utilizza la sicurezza fisica rigorosa, lo screening di sfondo e una strategia di crittografia a più livelli per proteggere la riservatezza e l'integrità del contenuto dei clienti. Tutti i datacenter di Office 365 dispongono di controlli di accesso biometrici, con la maggior parte delle stampe Palm che richiedono l'accesso fisico.

  • Office 365 utilizza tecnologie sul fianco del servizio che crittografano il contenuto dei clienti a riposo e in transito, tra cui BitLocker, crittografia per file, TLS (Transport Layer Security) e IPsec (Internet Protocol Security).

Insieme, le protezioni elencate di seguito offrono robusti controlli di isolamento logico che forniscono protezione dalle minacce e una mitigazione equivalente a quella fornita solo dall'isolamento fisico.

Localizzazione dei dati

In merito alla geo localizzazione dei servizi, di seguito riportiamo il dettaglio relativo ai tenant dell’area geografica Europa:

  • OneDrive for Business/SharePoint Online/Skype for Business/ Azure Active Directory/ Microsoft Teams/ Planner/ Yammer/ OneNote Services/ Stream/ Forms:

    • Irlanda

    • Paesi Bassi

  • Exchange Online/ Office Online/ Office Mobile/ EOP/ MyAnalytics:

  • Austria

  • Finlandia

  • Irlanda

  • Paesi Bassi

I clienti possono visualizzare informazioni sulla posizione di dati specifici del tenant nell'interfaccia di amministrazione di Office 365 in Impostazioni | Profilo organizzazione | Scheda percorso dati.

Naturalmente non finisce qui. C'è ancora molto da dire in merito alla sicurezza dei sistemi Microsoft per cui prossimamente vi parlerò di gestione in sicurezza dei dati nel cloud.


Carlo Mauceli


per approfondire: 

https://docs.microsoft.com/it-it/microsoftteams/teams-security-guide

https://docs.microsoft.com/it-it/microsoft-365/security/office-365-security/permissions-in-the-security-and-compliance-center?view=o365-worldwide