UK-India e Cyber Deterrence

La guerra di oggi, quella che si combatte senza esclusione di colpi nel cyberspace (o tramite esso), non si vince da soli!

Lo pensano UK e India che, proprio qualche giorno fa hanno deciso di rafforzare gli accordi (già in essere dal 2018 sotto il nome di "India-UK framework for the Cyber Relationship") e di lavorare assieme per capire come affrontare i rischi emergenti.

L'occasione è stata offerta dal primo meeting del "India-UK Joint Working Group on Cyber Deterrence", tenutosi in videoconferenza giovedì 25 novembre.

Già in passato abbiamo trattato l'argomento della cyber deterrenza, cercando di spiegare che l'impiego delle capacità cyber come deterrenza può essere efficace solo se associato ed grandi capacità di intelligence, per aiutare nell'attribuzione di un attacco, cosa che confermiamo ancora oggi.

Ricordiamo che la cyber deterrenza può ottenersi principalmente in due modi: diventando sufficientemente forti nel proteggersi così da rendere ogni tentativo d'attacco inutile, cosiddetta "cyber deterrence by denial" oppure avendo la capacità di colpire l'avversario in modo tale da metterlo in ginocchio, cosiddetta "cyber deterrence by punishment".

L'idea che due potenze (nucleari) come UK e India decidano di lavorare assieme in un settore importante come quello della Cyber Deterrence la dice lunga sull'importanza del settore e sul fatto che occorrono alleanze forti se si vuol ottenere un effetto strategico.

E l'Italia cosa sta facendo? 

Chi potrebbe essere l'alleato con cui sviluppare le capacità cyber, e in particolare di cyber deterrence?

Potrebbe trattarsi della Francia, con la quale nei giorni scorsi è stato stipulato il "Trattato del Quirinale"?

E' una ipotesi, anche se non se ne parla esplicitamente nell'articolo 2 (Sicurezza e difesa), dove si fa genericamente riferimento all'impegno nel "promuovere le cooperazioni e gli scambi sia tra le proprie forze armate, sia sui materiali di difesa e sulle attrezzature, e a sviluppare sinergie ambiziose sul piano delle capacità e su quello operativo ogni qual volta i loro interessi strategici coincidano". 

Qualche apertura invece viene dall'articolo 5 (Cooperazione economica, industriale e digitale) in cui il comma 3 asserisce che "Le Parti riconoscono l’importanza della loro cooperazione al fine di rafforzare la sovranità e la transizione digitale europea. Esse s’impegnano ad approfondire la loro cooperazione in settori strategici per il raggiungimento di tale obiettivo, quali le nuove tecnologie, la cyber-sicurezza, il cloud, l’intelligenza artificiale, la condivisione dei dati, la connettività, il 5G-6G, la digitalizzazione dei pagamenti e la quantistica. Esse si impegnano a lavorare per una migliore regolamentazione a livello europeo e per una governance internazionale del settore digitale e dello spazio cibernetico.

Si potrebbe obiettare che spesso le frasi dei trattati bilaterali sono solo un modo per stabilire delle comunanze d'intenti e che da li a vedere dei programmi sul tavolo la strada è lunga, ma preferiamo essere ottimisti e pensare che i nostri decisori abbiano compreso la necessità di lavorare assieme, in bilaterale, alla ricerca di soluzioni a problemi comuni. 

Alessandro Rugolo e Federica Maria Rita Livelli

Per approfondire:

- cybersecurity: India, UK agree to deepen cooperation in cyber domain, Telecom News, ET Telecom (indiatimes.com)

- Trattato_del_Quirinale.pdf (governo.it)

- Cyber deterrence. In mancanza del nucleare... - Difesa Online

- Deterrenza cyber: una strategia per limitare la minaccia - Difesa Online

- First Meeting of the India-UK Joint Working Group on Cyber Deterrence (mea.gov.in)

Smart Working e Cybersecurity

Smart Working, locuzione molto gettonata nell’ultimo anno e mezzo, è la nuova modalità di lavoro che coinvolge diverse categorie di lavoratori a causa dell’attuale crisi sanitaria COVID-19. Ma perché chiamarlo Smart Working, potremo definirlo anche Art Working, un nuovo ambiente nel quale si mischiano e si integrano una tazza di latte e caffè, una felpa e un pantaloncino, con una videoconferenza per discutere un'importante attività di rilascio di nuove funzionalità al Logistic Management System, seduti comodamente dalla propria scrivania. E perché no tra una lavatrice e un’altra e la preparazione del pranzo potremo ancora ritrovarci il laptop o lo smartphone ad occupare una delle due mani, diventando a tutti gli effetti un Add-On del nostro corpo.

Lo smart working è una sfida in corso, sposta il surfing di uno scooterista o di un automobilista tra le strade cittadine, ad un surfing tra pagine web, database e connessioni remote. Le reti casalinghe, costituite prevalentemente da un modem, fanno transitare giga e giga di dati al giorno, un flusso continuo che i nostri dispositivi e gli algoritmi contenuti devono efficientemente gestire per soddisfare la nostra richiesta di contatto con il mondo esterno. Gli incidenti stradali si virtualizzano e cominciamo ad assistere a sempre più incidenti informatici. 

Potremo parlare di una MATRIX primordiale?

E così come succede in matrix questo nuovo ambiente nasconde pericoli di non facile e immediata comprensione. Attività semplici di cut, copy, paste, il click di un link in una email, l’apertura di una pagina web tra i preferiti spostano oggetti apparentemente irreali, ma in realtà più reali di quello che immaginiamo.

Un pericolo molto frequente che si incontra in rete è il phishing, forma di criminalità online ampiamente diffusa. E’ fondamentalmente un’attività di inganno nella quale un malintenzionato cerca di reperire informazioni personali e dati di accesso fingendosi un fonte attendibile. Secondo i dati ufficiali diffusi dopo il primo lockdown del 2020 questa forma di criminalità sarebbe aumentata del 600% rispetto ai livelli pre-pandemia. (https://www.interno.gov.it/it/notizie/cybercrime-aumento-durante-lockdown). 

Altre tattiche di phishing in corso di diffusione sono il QR Code Phishing e il Technical Phishing. Mentre la prima è facilmente comprensibile la seconda consiste nell’inserire un link in una email, ad esempio www.example1.it, mentre il tag href contiene www.example2.com.

E allora, come si può contrastare il phishing?

Niente di più semplice... attenzione al mittente e ai contenuti della email !

Francesco Bongiovanni

NEAR FIELD COMMUNICATION: LA MINACCIA CYBER CHE PORTIAMO NEL TASCHINO.

Nell'ambito di attività di prevenzione delle aggressioni al patrimonio informativo industriale svolte durante una recente fiera internazionale, è emersa la mancanza di consapevolezza dei rischi connessi all’uso dilagante dei biglietti da visita elettronici, comunemente noti col termine di smart digital business card. 

In luogo del tradizionale scambio di raffinati cartoncini da presentazione, infatti, si propende sempre più per l’uso di eleganti tesserini magnetici in plastica (tipo carta di credito) che recano all’interno un chip con i nostri recapiti. Avvicinando questo token allo smartphone del nostro interlocutore, trasmettiamo automaticamente la versione digitale del nostro biglietto da visita, con risparmio di carta, tempo ed ingombro. La funzionalità si basa sullo standard di trasmissione di prossimità denominato NFC - Near Field Communication: per intenderci, la stessa tecnologia che oggigiorno consente i pagamenti al supermercato tramite telefonino o la lettura automatica del passaporto ai controlli di frontiera.

Cerimoniale e romanticismi a parte, non v’è dubbio che la moda delle smart business card soddisfi esigenze di speditezza, economicità e rispetto dell’ambiente, eliminando l’uso della carta; ma, al contempo, essa cela nuove minacce cyber che bisogna conoscere e mitigare per evitare che - specialmente in occasioni ghiotte come fiere, seminari e conferenze - malintenzionati possano portare attacchi informatici, rubare dati personali, rendere indisponibili i servizi di rete, falsificare documenti o sabotare dispositivi elettronici.

La minaccia beneficia peraltro di alcune condizioni predisponenti, per via della scarsa conoscenza delle tecnologie che “ci si porta nel taschino” e della inadeguata attenzione che generalmente viene prestata alle tematiche di sicurezza e privacy. Si immagina a torto, ad esempio, che la semplice lettura di un tag elettronico tramite la rete di prossimità del nostro telefono non possa avviare alcun automatismo; per di più in molti sono convinti - e sbagliano - che la limitata capacità di banda di queste tecnologie, unita alla necessità che i dispositivi comunicanti debbano stare ad una distanza inferiore ai 10 cm, non permetta penetrazioni informatiche di una certa consistenza.

Questi miti vanno sfatati. Anzitutto, come principio generale, bisogna considerare che ogni volta che si apre la porta di un dispositivo elettronico - poco importa che essa sia cablata o radio - si offre la possibilità di sfruttamento da remoto a chiunque. E, con riguardo proprio alle tecnologie NFC, vi sono studi che mostrano come la superficie di attacco agevolata dall’uso di trasmissioni di prossimità sia in realtà piuttosto ampia. Il codice responsabile dell'analisi delle trasmissioni NFC, infatti, inizia nei driver del Kernel - il nucleo del sistema operativo di un dispositivo, l'elemento più critico dal punto di vista della sicurezza - procede attraverso servizi intesi a gestire i dati NFC e alla fine termina con applicazioni che agiscono su tali dati. In sostanza, è possibile attraverso l'interfaccia NFC accedere ad un telefonino e, senza il consenso dell’utente, aprire pagine Web, analizzare file di immagini, documenti di ufficio, video, eseguire applicazioni ecc. Ed è anche possibile attuare attacchi cibernetici di tipo “relay”, tipiche tattiche “Man-in-the-Middle” con cui si intercetta abusivamente il traffico dati altrui.

Dunque il rischio di security e di privacy esiste e non è trascurabile.

Le contromisure di sicurezza elettrica ed elettronica sono fondamentalmente tre. La prima è quella di utilizzare dispositivi e applicazioni con funzionalità “Preview & Authorize” che richiedano sempre la preventiva autorizzazione dell’utente prima di eseguire l’indirizzamento ad una pagina web o l’esecuzione di istruzioni potenzialmente dannose sul dispositivo. La seconda precauzione è quella di disabilitare le funzionalità NFC quando non servono. Infine l’ultima cautela, che riduce drasticamente il rischio, è quella di proteggere lo smartphone con NFC-blocking case: custodie schermanti in grado di proteggere dall’irradiamento elettromagnetico in ambiti di frequenza RFID e NFC. 

Vi è inoltre una contromisura di natura organizzativa: é buona norma utilizzare dispositivi "muletto" quando ci si reca all'estero che non contengano le informazioni personali o di lavoro, così riducendo il rischio di furto o compromissione di dati.

Orazio Danilo RUSSO    

Per approfondire:

https://csrc.nist.gov/publications/detail/sp/800-98/final

https://ieeexplore.ieee.org/abstract/document/6428872

https://pages.nist.gov/mobile-threat-catalogue/lan-pan-threats/LPN-13.html#fn:33

https://www.welivesecurity.com/2012/04/23/qr-codes-and-nfc-chips-preview-and-authorize-should-be-default/

Intelligenza Artificiale, il cambiamento delle organizzazioni

Tra qualche giorno, il 29 e 30 novembre, presso l'Ufficio Generale Innovazione Difesa - UGID (ex Centro Innovazione della Difesa - CID), nel contesto dell’open-innovation, si terrà la terza Conferenza sull’Innovazione della Difesa 2021 dal titolo: «Intelligenza Artificiale, il cambiamento delle organizzazioni».

Con questa conferenza il network INNOV@DIFESA chiude l’anno di riflessioni sull’argomento, con la certezza di essersi avvicinato all’Intelligenza Artificiale secondo un approccio olistico esaminando, oltre agli aspetti prettamente tecnologici, anche temi che vanno dalla geopolitica sino all’etica e alla filosofia.

Dopo i primi due workshop focalizzati sulle “Implicazioni Etiche, Legali e Psicologiche (aprile 2021) e sulle “Nuove esigenza formative e competenze digitali, e-leadership ed evoluzione dei processi decisionali” (luglio 2021), di cui abbiamo già parlato in un precedente articolo, l’evento conclusivo sul tema del “Cambiamento delle Organizzazioni” si articolerà in due giornate.

Il 29 novembre in due diversi panel saranno approfonditi gli aspetti relativi all'Intelligenza Artificiale in termini di cambiamenti organizzativi e di velocità dei processi decisionali.

In particolare, il primo panel (CAMBIAMENTI ORGANIZZATIVI - Gestione dei dati e adeguamenti organizzativi) sarà moderato dal direttore di Difesa Online, Andrea Cucco e vedrà la presenza, tra gli altri, del Prof. Gaspari, del Prof. Pratesi (EIIS) e dell' Ing.Costaglioli (IMPECO). Nel panel si analizzeranno i riflessi organizzativi dell'impiego della Intelligenza Artificiale e dell'importanza della gestione dei dati, l'oro dell'era digitale, con particolare riguardo a:

- Evoluzioni delle organizzazioni

- Big Data e Data Management

- Sostenibilità delle organizzazioni .

Il secondo panel (VELOCITÀ DEI PROCESSI DECISIONALI - Opportunità e sfide legate all’evoluzione della competizione) sarà moderato dal Prof. Andrea GEREMICCA (EIIS) e vedrà la presenza, tra gli altri, del Prof.Quercia (UniPerugia), dell' Avvocato Magro (UniMarconi), del Prof.Castiello e dell' Ing.Massa (LEONARDO). Nel panel si analizzeranno le opportunità offerte dall'Intelligenza Artificiale in relazione agli aspetti di:

- Data Governance

- Hyperwar

- Digital Space e Cognitive Warfare.

Il 30 novembre nel corso della tavola rotonda (INTELLIGENZA ARTIFICIALE: Intelligenza Artiiciale e Implicazioni per la Difesa), moderata dal Colonnello Claudio ICARDI e con la presenza, tra gli altri, dell' Avvocato PROVVIDERA, dell' Ing. PROIETTI (LEONARDO),

di SIAGRI (POLO), di LEONE (LUISS B.S.) e ORACLE, saranno illustrati ai vertici delle Forze Armate i risultati del ciclo di approfondimento annuale e analizzate le implicazioni per la Difesa.

In particolare si tratteranno le implicazioni dell'utilizzo dell’Intelligenza Artificiale nei seguenti campi:

- Digital Space: opportunità e rischi per la Sicurezza Nazionale

- Evoluzione del quadro giuridico di rierimento

- Implicazioni per la Difesa e ripercussioni nelle dimensioni degli

effetti (fisica, virtuale e cognitiva).

La partecipazione al network INNOV@DIFESA rende possibile condividere e esplorare le sempre rinnovate sfide e le opportunità future stimolando un ampio dibattito, tra il comparto industriale, il pensiero accademico e il mondo militare e contribuendo mirabilmente al rafforzamento dei reciproci legami.

Alessandro Rugolo e Maurizio D'Amato

Lo Smishing, questo sconosciuto

Si avvicina il Black Friday, evento commerciale di origine statunitense ma che per effetto della globalizzazione rappresenta un momento prenatalizio molto atteso anche da noi.

Si avvicina anche il Natale, che a lato di significati ben più elevati ha una caratterizzazione di spinta commerciale importante.

Questi due eventi comportano una propensione psicologica alla spesa, al regalo, all’acquisto. Propensione che si unisce all’enorme popolarità ottenuta negli anni scorsi da servizi di eCommerce e logistica consumer, amplificata dalla recente emergenza che ha ulteriormente diminuito la mobilità verso negozi tradizionali in favore di esperienze di acquisto online.

Questa tempesta perfetta rappresenta una situazione in cui la soglia di allerta nei confronti di truffe è a livelli davvero molto elevati, richiedendo proprio ai consumatori di raffinare la consapevolezza sui rischi per evitare conseguenze spiacevoli.

Il mondo cybercriminale ha infatti ben chiare queste tendenze, così come la necessità di trovare continuamente canali efficaci per scardinare la sicurezza di questa catena del valore a proprio vantaggio.

Una delle tecniche più utilizzate consiste nel prendere di mira l’utente tramite messaggi di social engineering trasmessi direttamente al telefono portatile.

Questi messaggi spesso contengono link malevoli, opportunamente studiati per carpire credenziali importanti per agire in nome e per conto della vittima. Oppure collegamenti a siti che contengono malware in grado di installarsi senza destare sospetti proprio negli smartphone, nei tablet o negli altri dispositivi che la vittima usa per visitare questi siti.

Questa tecnica prende il nome di Smishing, neologismo di recente conio che combina l’acronimo SM – per Short Message, cioè messaggio breve – con la parola Phishing – che indica proprio un attacco che sfrutti una serie di metodi per adescare utenti ignari e convincerli a intraprendere azioni dannose.

Lo Smishing ha alcune caratteristiche distintive, che cercherò di illustrare per aumentare in chi riceve il messaggio la resilienza a questo tipo di attacco – conosciuto secondo un report recente¹ solo da una frazione della popolazione americana tra il 22% e il 34% a seconda dell’età.

Una delle difficoltà principali è proprio determinare l’autenticità di un messaggio di testo, spesso proveniente da mittenti sconosciuti o numeri di telefono non codificati in rubrica.

Ulteriore fattore di rischio è che siamo abituati a vedere ed utilizzare nei messaggi di testo i cosiddetti Short URL, cioè collegamenti a siti strutturati per consumare pochi caratteri, ad esempio bit.ly oppure cutt.ly, seguiti da una breve sequenza di caratteri.

Quando questi indirizzi vengono utilizzati si collegano a sistemi intermedi che redirigono alla destinazione finale, permettendo agli attaccanti di mascherare efficacemente destinazioni malevole con un sistema utilizzato per molti indirizzi validi e leciti.

Stando a Gartner², diverse ricerche rilevano che il tasso di apertura degli SMS è intorno al 98%, rispetto ad un mesto 20% che caratterizza l’email.

Sempre secondo il report citato, gli attacchi di smishing sono aumentati del 328% nel 2020!

Come difendersi quindi?

Una contromisura importantissima è elevare la consapevolezza del rischio e l’allerta in ognuno di noi: se arriva un messaggio che c’è un pacco in consegna o in attesa all’Ufficio Postale con un link per ulteriori informazioni e noi siamo certi di non stare attendendo nulla, ignoriamo il messaggio.

I siti a cui questi link reindirizzano sono spesso cloni degli originali realizzati in modo estremamente accurato, persino nella capacità di effettuare autenticazione forte a più fattori.

L’attaccante infatti conosce il numero del vostro cellulare perché è l’informazione che gli ha permesso di inviarvi il primo messaggio di smishing.

Quindi, immesse le vostre credenziali vi farà credere che il processo di autenticazione richieda un ulteriore passaggio di immissione codice che riceverete – guarda caso – proprio sul cellulare.

Nel frattempo avrete fornito diligentemente ai criminali nome utente e password validi per Amazon, Paypal, Poste e altri servizi.

A volte questi messaggi sono estremamente credibili, puntano sull’instillare nel ricevente un senso di urgenza utilizzando un linguaggio apposito. Ad esempio: “non ricevendo risposta entro 24 ore rispediremo il pacchetto al mittente” oppure “in mancanza di una verifica entro 2 ore procederemo al blocco dell’account”.

Per dare un’ulteriore prospettiva di quanto questa metodologia di attacco sia un crescita, possiamo esaminare il report 2020 del reparto Internet Crime Complaint Center (IC3)³ dell’FBI americana: nel 2020 il numero delle vittime di queste tecniche di attacco – che includono phishing, smishing, vishing e pharming – sono state 240.000; per confronto, le vittime di attacchi virus o malware nello stesso anno sono state 1.400!

Le quattro tecniche menzionate prevedono tutte che l’attacco faccia leva sul social engineering per convincere la vittima ad eseguire azioni. Si differenziano per il mezzo trasmissivo perché phishing utilizza e-mail, smishing i messaggi brevi via SMS, vishing la chiamata vocale, pharming i siti web a cui la vittima viene diretta.

Facciamo molta attenzione quindi – soprattutto in questo periodo – a non accettare messaggini dagli sconosciuti. Se per errore ne scambiassimo uno vero per falso e la persona avesse davvero bisogno di contattarci, farà un altro tentativo o ci telefonerà (visto che ha il numero).

Procedere invece con un clic incauto potrebbe essere la causa di perdite finanziarie, di dati e della serenità di cui la stagione natalizia dovrebbe essere foriera.

Marco Rottigni

1 State of the Phish 2020: https://www.proofpoint.com/sites/default/files/gtd-pfpt-us-tr-state-of-the-phish-2020.pdf

2 https://www.gartner.com/en/digital-markets/insights/the-future-of-sales-follow-ups-text-messages

3 Link per approfondire: https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

Trojan Source Attack, di che si tratta ?

Che ne direste se fosse possibile ingannare i compilatori affinché producano dei file binari differenti dalla logica visibile agli occhi umani nel codice sorgente? Vi dimostriamo che fare ciò non solo è possibile, ma facilmente sfruttabile...

Questo si legge nell'introduzione del paper "Trojan source: Invisible Vulnerabilities", recentemente pubblicato dal Prof. Ross Anderson della Cambridge University, autore del testo “Security Engineering”, e da Nicholas Boucher, suo studente di dottorato. 

Incuriositi, come spesso capita nel mondo cyber, abbiamo deciso di approfondire.

Per iniziare, ricordiamo che i programmi scritti con i moderni linguaggi di programmazione hanno necessità di un compilatore, cioè di un altro programma che analizza il testo del nostro programma, ne verifica la correttezza sintattica, e lo traduce in un programma ottimizzato nel linguaggio eseguibile dal calcolatore. Già da questo si comprende la criticità nello sviluppo di un compilatore che potrebbe inserire involontariamente delle vulnerabilità nel programma. Negli anni ’80 già Ken Thomson, uno dei padri di Unix, metteva in guarda da questi rischi nella sua famosa lezione tenuta in occasione del conferimento del “Turing award” (l’equivalente del Premio Nobel per l’informatica) dal titolo evocativo “Reflections on trusting trust”. Il compilatore del linguaggio C è a sua volta un programma scritto in linguaggio C, per cui per potersi fidare del programma eseguibile prodotto dal compilatore occorre non solo fidarsi di chi ha scritto il programma, ma anche fidarsi del compilatore.

Ora, tornando all’articolo di Boucher e Anderson, ripartiamo dal considerare un compilatore come un analizzatore di testo che conosce i termini e la sintassi del linguaggio di programmazione. I caratteri utilizzati per formare il testo hanno necessità di essere codificati in un computer. 

Per capire in cosa consiste questo nuovo genere di attacco presentato da Boucher e Anderson, in primo luogo occorre parlare di codifica e degli standard utilizzati per la codifica.  

Uno degli standard più usati nel tempo nel mondo informatico è l' ASCII, American Standard Code for Information Interchange. La prima edizione di questo standard fu pubblicata nel 1963 e modificata varie volte nel tempo. Impiegava sette bit per codificare 128 differenti caratteri. 

Con lo sviluppo dei sistemi informatici cambiarono le esigenze e fu necessario estendere lo standard ASCII per consentire la codifica di caratteri provenienti da lingue diverse o necessari per specifici ambienti.

Si passò così, gradatamente, allo standard conosciuto come UNICODE. Questo standard consente di codificare 144.697 tra caratteri e simboli vari. Tra questi vi sono alfabeti cosiddetti Left-to-Right (da sinistra a destra, come Italiano, Russo, Inglese...) e Right-to-Left (da destra a sinistra, come Arabo, Ebraico...). Nel caso di Unicode, che è uno degli standard di codifica oggi più largamente utilizzato, per stabilire l’ordine secondo il quale un testo debba essere visualizzato, viene utilizzato un algoritmo chiamato Bidirectional Algorithm (BiDi). 

L'algoritmo BiDi è pensato per gestire automaticamente la visualizzazione del testo attraverso dei caratteri cosiddetti di controllo (override characters) che consentono di specificare esplicitamente come debba essere trattata una specifica porzione di testo (ad esempio Right To Left Override, RLO, specifica di trattare il testo a cui si applica come right-to-left). I caratteri di controllo sono dei caratteri invisibili a schermo che permettono di controllare la visualizzazione di porzioni di testo. Eccone alcuni tra i più usati.

Inoltre i caratteri di controllo possono essere "nidificati", consentendo in questo modo di riordinare la visualizzazione di un testo in modo anche molto complesso.

Ora, se il testo che viene visualizzato a schermo è un codice di un programma, occorre tener presente che in linea di massima la sintassi della maggior parte dei linguaggi di programmazione non consente tipicamente di inserire questi caratteri controllo direttamente all’interno del codice sorgente in quanto altererebbero evidentemente la logica di controllo del programma. Tuttavia, dato che molti linguaggi consentono l’utilizzo di commenti e stringhe, è possibile inserire i caratteri di controllo all’interno dei commenti o delle stringhe e fare si che abbiano un impatto sul codice sorgente in quanto i BiDi ovverrides non rispettano i delimitatori delle stringhe e dei commenti.

Proprio su questa caratteristica tipica delle codifiche odierne si basa il tipo di attacco descritto da Boucher e Anderson. In effetti grazie ai caratteri di controllo è possibile sfruttare la differenza tra quanto visualizzato e quanto realmente codificato e passato a compiler e interpreter per condurre il tipo di attacco "Trojan Source Attack" descritto da Boucher e Anderson.

Boucher e Anderson hanno inoltre dimostrato che tale tipo di attacco è possibile con i più usati linguaggi di programmazione tra cui C, C++, C#, JavaScript, Java, Rust, Go, and Python. 

L’esempio di seguito, in codice Python, mostra che il codice codificato (e dunque eseguito sulla macchina) a sinistra è differente dal codice sorgente (a destra) visualizzato. 

In base a quest’ultimo ci si aspetterebbe di trovare un valore pari a 50 in bank [‘alice’] al termine dell’esecuzione, mentre nella pratica il valore presente sarà ancora pari a 100.

Il fatto che fino ad ora non si abbiano evidenze di questo genere di attacco non ci tranquillizza per il futuro dato che, come noi, anche altri possono aver letto il paper e, magari, preso la decisione di testarne i concetti.

Davide Ariu, Giorgio Giacinto e Alessandro Rugolo,

Per approfondire:

- Trojan Source: Invisible Vulnerabilities;

- 'Trojan Source' bug a novel way to attack program encodings (techxplore.com);

- Trojan Source attack is dangerous for compilers of program languages (gridinsoft.com);

- Trojan Source Attacks;

- GitHub - nickboucher/trojan-source: Trojan Source: Invisible Vulnerabilities;

- The Unicode Bidirectional Text Algorithm - Developer guides | MDN (mozilla.org);

- https://doi.org/10.1145/358198.358210;

- https://www.cl.cam.ac.uk/~rja14/book.html.

Cybercriminali contro Pirati

Viviamo tempi davvero interessanti: esattamente dieci anni fa il Dipartimento della Difesa US ha ratificato il dominio cyber come quinto dominio di arte bellica, ma è stato soltanto pochi anni fa che le peculiarità di questa catalogazione sono emerse in tutta la sua evidenza.

Le tecniche di guerra digitale a livello strategico, operativo e tattico, si sono combinate con caratteristiche uniche di questo dominio – come ad esempio l’asimmetria tra attaccante e difensore oppure la velocità di propagazione; contaminandosi con altri ambiti economici e criminali, fino a rappresentare oggi un unicum che premia questa catalogazione elevandola quasi a singolarità tecnologica.

Questo è il pensiero che mi ha stimolato una notizia riguardante un threat actor particolare, chiamato Lazarus. Threat actor è una denominazione specifica, riservata normalmente agli attori organizzati che – talvolta sponsorizzati da Stati – sono emersi per l’utilizzo di strategie, procedure e tecniche di attacco ben definite e particolari. Lazarus, nello specifico, è un gruppo sponsorizzato dallo Stato Nord-Coreano e attivo dal 2009; secondo altre classificazioni, questo gruppo può essere conosciuto con l’acronimo APT38, Hidden Cobra, ZINC (vedi anche l'articolo di Ciro Metaggiata su Difesa Online).

La notizia parlava di una campagna di attacco abbastanza sofisticata, basata su una versione del software IDA Pro armata con un malware trojan, mirata alla compromissione di ricercatori di cybersecurity.

A prima vista una notizia non troppo eclatante in merito all’ennesimo attacco organizzato verso un target specifico, come se ne sentono molte in questo periodo.

Approfondendo il contesto, però, emergono alcune importanti connotazioni.

IDA Pro è un potente software che permette agli analisti di security di disassemblare qualunque eseguibile, per esempio per capire in che modo sia possibile infettare i sistemi attraverso un malware. 

Questa operazione è chiamata reverse engineering.

Il motivo per cui IDA Pro è diventato popolare tra i ricercatori di sicurezza è dovuta alla potenza della soluzione, che esiste in una versione gratuita con funzionalità decisamente di livello.

Per avvantaggiarsi della potenza della versione completa però, è necessario acquistare la versione Professional, che ha un costo importante. Questo ha portato diversi ricercatori a cercare versioni piratate o comunque non ufficiali della soluzione, creando l’utenza target per l’attacco di Lazarus Group.

Riflettendo su questo aspetto, è particolarmente incomprensibile la scelta di cercare una versione craccata di un software per reverse engineering da parte di chi dovrebbe conoscere molto meglio di altri i rischi a cui va incontro: è infatti più certo che probabile che una versione di software piratata sia infetta con forme di malware più o meno subdolamente celante, ma spesso dagli effetti devastanti.

Non che la mossa di Lazarus Group sia in alcun modo giustificabile, ma la scelta del target da parte dell’attaccante potrebbe non essere per nulla casuale.

Da un punto di vista strategico, infatti, un ricercatore di cybersecurity occupa un posto di estremo rilievo nella “catena del valore”: potrebbe essere infatti un consulente, infettato il quale si avrebbe accesso a più clienti; oppure colpire un incauto analista potrebbe aiutare a violare il sancta santorum della cybersecurity di un’organizzazione, la parte più specialistica della filiera di difesa.

Ecco perché questa notizia dovrebbe portarci a riflettere su questo strano conflitto tra due fronti che solo in apparenza sono opposti, ma che in realtà rappresentano – sebbene per ragioni diverse – elementi dannosi per le aziende e per la security in generale.

Marco Rottigni

Per approfondire: 

https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-researchers-with-trojanized-ida-pro/

https://en.wikipedia.org/wiki/Lazarus_Group

Dalla Corea del Nord, The Lazarus Group. Cyber guerrieri o cyber criminali? - Difesa Online

Tecniche di Automazione dei sistemi di rete

Il riferimento all’ utilizzo di tecniche di automazione ed eventualmente di AI (Artificial Intelligence) è diventato prassi comune nell’ indirizzare molte problematiche di analisi dei dati da cui trarre indicazioni sui comportamenti futuri di sistemi complessi.

In realtà la possibilità per un sistema di reagire autonomamente a eventi particolari in modo da standardizzare il comportamento è qualcosa presente in molti dispositivi da tempo. In queste note esamineremo un esempio delle funzionalità disponibili su alcuni nodi delle reti di impresa (ad oggi tutte basate sul protocollo IP) che permettono :

• Il riconoscimento di uno specifico evento

• La creazione di una policy da applicare in caso si verifichi l’ evento in oggetto

• L’ applicazione della policy al sistema con la seguente modifica del comportamento dello stesso.

Tutti i principali vendor di dispositivi di rete IP (Cisco Systems, Juniper Networks, Arista Networks,…) offrono, con nomi diversi, una tale funzionalità.

Senza entrare nello specifico di ciascun sistema vorrei semplicemente illustrare il principio di funzionamento per offrire un'idea di come esistano, anche nel campo dei dispositivi di rete, strumenti e funzionalità che permettono l’ automazione dei comportamenti dei nodi a fronte di specifici eventi.

La diffusione di questi strumenti potrebbe portare anche a soluzioni che, in sinergia con tecniche di sicurezza basate su AI (vedi articolo DeepInstinct, dalla rilevazione alla prevenzione) permettano di intervenire con efficacia a fronte di specifici problemi evitando che la minaccia o il tentativo di compromissione possa raggiungere i sistemi finali (Server o postazioni di lavoro individuali).

Farò quindi riferimento ad un ipotetico dispositivo di rete. Il nodo in oggetto fornisce un ambiente di sviluppo focalizzato sull’implementazione di funzionalità di automazione.

Molto spesso questo ambiente è sviluppato sulla base di un sistema Linux ottimizzato per essere eseguito su di un processore “ausiliario” all’interno del nodo di rete. Il grande vantaggio di una tale soluzione deriva dal poter sfruttare molte (anche se non tutte) delle librerie e dei linguaggi disponibili in ambito Linux. Oltre a ciò va aggiunta la possibilità, offerta dai costruttori del nodo di rete, di accedere alle principali caratteristiche di utilizzo del nodo stesso da questo ambiente Linux.

E’ possibile quindi accedere a specifici parametri delle interfacce tramite una libreria (fornita dal costruttore) che permette di conoscere, ad esempio, il numero di pacchetti transitati in ingresso-uscita da una specifica porta oppure identificare i pacchetti malformati (troppo grandi o troppo piccoli o con errori,…). Queste funzionalità non si limitano alle caratteristiche dell’interfaccia, ma possono interessare altri sottosistemi del nodo come il livello di routing o alcune delle caratteristiche fisiche del sistema (temperatura, stato delle ventole, etc).

Posso quindi definire uno specifico evento sulla base del verificarsi di una predeterminata condizione : superamento del numero di errori di CRC su di una porta, modifica di una tabella di routing, superamento di un valore di soglia per quanto riguarda la temperatura del sistema, il carico della CPU o l’occupazione della memoria.

A questo punto, l’ evento così definito può essere usato come innesco (trigger) di una specifica azione (policy): disabilitare una porta, mandare un messaggio (con modalità diverse) all’ amministratore di sistema, intervenire sulla configurazione per cambiare una rotta di default e cosi via.

Tutte le azioni possono essere eseguite tramite degli script o dei programmi eseguibili: tipicamente i sistemi offrono la possibilità di utilizzo dei principali linguaggi quindi Python, Perl, Ruby e di un ambiente nativo basato sulla propria interfaccia comandi.

Questa funzionalità apre tutta una serie di possibili implicazioni molto interessanti anche sotto l’ aspetto della sicurezza delle reti.

Qualora fosse possibile, utilizzando strumenti esterni al sistema e basati su AI, nell’ ottica definita dall’articolo citato, istruire opportunamente e comunicare al sistema la presenza di una possibile minaccia identificata, sarebbe possibile intervenire immediatamente (o in tempi estremamente brevi). L’ intervento ipotizzato quindi bloccherebbe la specifica connessione e, al contempo, attuerebbe una specifica policy definita in precedenza intervenendo quindi sulla configurazione stessa del sistema.

In questo modo potrebbe essere possibile, ad esempio, isolare uno specifico dominio, ritenuto non affidabile, garantendo al contempo il mantenimento della connettività a livello globale.

Naturalmente le sinergie tra gli apparati di rete e i sistemi di sicurezza sono oggetto di analisi e sviluppi da parte di tutti i principali vendor che sono in grado di offrire strumenti di identificazione e contenimento delle minacce informatiche, che opportunamente configurati ed utilizzati, risultano essere molto efficaci.

Giorgio Tosi