Dopo il Giappone anche la Romania annuncia l’ingresso nel Cyber Defence Centre of Excellence di Tallinn (CCDCOE).

(3 minuti di lettura - strategia)

La notizia è stata pubblicata il 15 giugno scorso sul sito del CCDCOE. L’annuncio ufficiale è stato dato nel corso di una visita del Primo Ministro della Romania, la signora Viorica Dăncilă, in Estonia. Nel corso dell’incontro si è detto che la Romania prenderà parte alle attività del CCDCOE già dal prossimo anno. Il Direttore del CCDCOE, la signora Merle Maigre, ha ringraziato il Primo Ministro per l’intenzione espressa. Il CCDCOE attualmente è una struttura accreditata presso la NATO che si occupa di ricerca, addestramento e esercitazioni nel settore della cyber defence. Il CCDCOE prende in esame non solo gli aspetti legati alla tecnologia ma anche tutto ciò che riguarda aspetti strategici e operativi nonché legali, da ricordare che il Tallin Manual 2.0 è senza ombra di dubbio il più completo manuale relativamente all’applicazione del Diritto Internazionale alle cyber operations.

Presso il CCDCOE ogni anno si tiene la più complessa esercitazione di cyber defence al mondo (Locked Shield) come pure la conferenza internazionale sui conflitti cyber (CyCon) che raggruppa i maggiori esperti cyber al mondo (l’ultima conferenza si è tenuta dal 30 maggio al 1 giugno 2018).

Il centro è finanziato e alimentato da 21 nazioni: Austria, Belgio, Repubblica Ceca, Estonia, Finlandia, Francia, Germania, Grecia, Ungheria, Italia, Lettonia, Lituania, Paesi Bassi, Polonia, Portogallo, Slovacchia, Spagna, Svezia, Turchia, Regno Unito e Stati Uniti d’America.

Dopo la notizia alcune brevi considerazioni:

- sembra che i paesi europei (e non) stiano prendendo sempre più a cuore tutto ciò che ha a che vedere con la cyber defence, indice di accresciuta sensibilità al problema ormai mondiale;

- per una volta sembra chiaro a tutti che l’unione fa la forza e il CCDCOE sta concentrando in un unico centro di competenza le risorse europee. Ciò è un vantaggio da una parte ma anche uno svantaggio, infatti occorrerà trovare dei meccanismi che incentivino il personale che viene formato a restare in Europa. Se infatti in Italia ancora è debole la richiesta di personale con determinati skills, la cosa non vale per gli Stati Uniti;

- in Italia ancora non è chiaro (o forse non pubblico) il processo messo in atto per “migliorare dalle esperienze”. Negli anni l’Italia ha partecipato alle esercitazioni internazionali ma non si sono avuti ritorni pubblici per cui è quanto meno difficile capire quale sia il livello di preparazione del personale italiano partecipante;

- l’Italia non ha una vera e propria industria informatica e i concetti di cyber security sono ancora poco conosciuti come pure il processo di pianificazione delle operazioni cyber (difesa ed attacco). Ciò significa che in caso reale il personale in grado di partecipare ad operazioni con altri stati è presumibilmente numericamente ridotto;
- in ultimo, ma non meno importante, occorrerà primo o poi iniziare a fare delle considerazioni sulla espansione del CCDCOE. Il rischio è, come al solito, che una struttura simile, se ha senso quando i paesi partecipanti sono più o meno allo stesso livello ed hanno dei chiari obiettivi condivisi, perda di significato ed utilità quando l'espansione avviene troppo velocemente e senza aver dei chiari obiettivi. Vedremo cosa ci riserva il futuro.

In ogni caso mi sento, per una volta, di poter considerare il bicchiere mezzo pieno. Infatti è indubbio che negli ultimi anni sono stati fatti enormi passi avanti soprattutto nel campo della sensibilizzazione. Ormai tutti i giorni si sentono discutere temi legati in qualche modo alla cyber security. Ora però è il momento di compiere un ulteriore sforzo, magari iniziando ad introdurre nelle scuole di ogni ordine e grado gli strumenti e le abilità necessarie a vivere ed operare in un mondo sempre più interconnesso, in cui la dimensione del Cyber space riveste un ruolo innegabilmente importante.

Alessandro Rugolo

Photo of the visit (credits to CCDCOE, photographer Arno Mikkor)

Per approfondire:

- https://ccdcoe.org/romania-join-nato-cooperative-cyber-defence-centre-excellence-tallinn.html;

- https://ccdcoe.org/cycon/;

Cyber defence? programmare in sicurezza è la base di tutto!

Prossima conferenza ad Orlando

Quando si parla di cyber defence si pensa sempre ai cattivi pirati informatici e a coloro che, dall'altra parte della barricata, li combattono. 

Eppure, tutto ha inizio molto prima.

In particolare per gli aspetti software tutto ha inizio quando si progetta e si realizza un software.

La cattiva progettazione, la mancanza di conoscenze nel campo della programmazione di software sicuro, l'insufficienza nei test e nei controlli di qualità sono all'origine dei problemi che affrontiamo tutti i giorni nel cyberspace.

Eppure esistono standard per la produzione di applicazioni sicure: Open Web Application Security Project, in breve OWASP, è uno standard per la produzione di applicazioni web sicure e se consideriamo che ormai quasi tutte le applicazioni sono web...

OWASP è anche una organizzazione mondiale che ha lo scopo di migliorare la sicurezza del software. La documentazione prodotta dall'organizzazione viene rilasciata sotto licenza Creative Commons Attribution-ShareAlike.

La fondazione OWASP è on-line dal 1 dicembre 2001 ed è riconosciuta come  organizzazione non profit americana a partire dal 21 aprile del 2004.

La fondazione e i collaboratori si attengono alla regola fondamentale di non affiliarsi ad alcuna industria tecnologica per mantenere intatta la propria imparzialità e credibilità.

OWASP naturalmente ha un fondatore: Mark Curphey, cresciuto in Inghilterra. Nel 2000 Curpey, dopo aver conseguito un master in Information Security, specializzazione in crittografia, lascia l'Inghilterra per gli Stati Uniti dove inizia a lavorare per la Internet Security Sistems, poi acquisita da IBM. E' in quegli anni che fonda OWASP.

Dopo diverse esperienze nel campo della sicurezza, nel 2014 ha fondato la SourceClear con sede in San Francisco e continua a collaborare alla diffusione di OWASP.

Ma perchè OWASP è così importante?

Owasp è importante perchè è ormai uno standard mondiale per lo sviluppo di software sicuro ma non solo, è importante perchè vi sono migliaia di esperti di sicurezza informatica che collaborano quotidianamente sui progetti di OWASP, è importante perchè è una raccolta di best practices che sono rese disponibili gratuitamente, è importante perchè tra i tanti progetti vi è anche la OWASP Academy che ha lo scopo di diffondere la conoscenza sullo sviluppo di software sicuro.

OWASP  è uno standard de facto, adottato da singoli sviluppatori ma anche da grandi produttori di software.

In effetti trattandosi di uno standard, va da se che la sua adozione da parte di una organizzazione diventi parte integrante della struttura di cyber defence della organizzazione stessa, questo perchè la cyber defence non è solo quella che si vede nei film, che potremo chiamare "tattica" ma anche quella che non si vede ma che fa parte del contesto, della "strategia".

Una organizzazione che produce software, come pure una organizzazione i cui processi di business sono fortemente dipendenti dal software impiegato (prodotto o meno da essa) deve porre attenzione anche ad aspetti di policy quale per esempio l'adozione di OWASP al suo interno.

L'adozione di OWASP o di altro standard di sicurezza è dunque parte integrante della cyber defence aziendale e in quanto tale merita attenzione da parte della dirigenza. 

E' assolutamente inutile infatti effettuare investimenti nel settore sicurezza senza pensare anche alla policy di settore. Per fare un paragone stupido ma comprensibile a tutti, è come voler filtrare l'acqua con un colino, se occorre eliminare le particelle di una certa dimensione dall'acqua e il mio colino non è efficace, posso anche comprare un colino più grande ma se nell'acquisto non bado alla dimensione dei buchi probabilmente avrò solo speso più soldi per un colino più grande, senza aver migliorato le prestazioni!

Ecco, se quando si produce software (o lo si acquista) non si bada allo standard di sicurezza impiegato in fase di produzione e test, occorrerà mettere in piedi tutta una serie di controlli di sicurezza successivi che consentano di affrontare i rischi presenti spendendo molto di più di quanto spenderei se badassi agli aspetti di sicurezzadel software sin dall'inizio.
Naturalmente l'adozione di uno standard di produzione di software sicuro non garantisce che non vi possano essere problemi ma quantomeno garantisce dai problemi già conosciuti.

Uno dei prodotti più importanti di OWASP è la Top Ten, una lista dei primi 10 rischi legati alle web applications. 

Nella sua versione iniziale questi erano i punti proposti, ad oggi ancora sotto osservazione:

• A1 Injection
• A2 Broken Authentication and Session Management
• A3 Cross-Site Scripting (XSS)
• A4 Broken Access Control
• A5 Security Misconfiguration
• A6 Sensitive Data Exposure
• A7 Insufficient Attack Protectio
• A8 Cross-Site Request Forgery (CSRF)
• A9 Using Components with Known Vulnerabilities
• A10 Underprotected API

La lista del 2017 nonostante sia molto simile alla precedente, è stata molto dibattuta principalmente a causa del punto 7, non da tutti ritenuto condivisibile.

Fatto sta' che, seppure non condivisa da tutti, questa può essere considerata come ottimo punto di partenza per lo studio dei rischi presenti nel mondo delle web application.

Per approfondire:
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/ 

Alessandro Rugolo

La Cyber diventa una scienza?

Un po per caso, un po perché la mia curiosità mi porta sempre alla ricerca di nuove esperienze, qualche giorno fa ho notato che alla Sapienza, presso il Dipartimento di Informatica, organizzato dal Professor Mancini, (presidente del nuovo corso di laurea magistrale in Cybersecurity) si sarebbe svolto un seminario dal titolo interessante: “From Muddle to Model: Modeling and Simulation in Cyber”, ovvero, dal disordine alla modellazione: modellazione e simulazione in ambiente Cyber.

Il relatore era di sicuro interessante: Alexander Kott.

Decisi così di iscrivermi al seminario, aperto a tutti, e fortuna volle che vi fossero ancora posti disponibili.

Così il 3 aprile, nel primo pomeriggio, mi sono recato alla Sapienza a seguire il seminario e non mi sbagliavo. 

Relatore superlativo e seminario interessantissimo, un’occasione persa per chi non ha partecipato, infatti tra studenti, professori e curiosi in tutto saremmo stati in quindici.

Cominciamo però dall’inizio: chi è Alexander Kott?

Il relatore, PhD Alexander Kott, è Chief Scientist presso lo U.S. Army Research Laboratory in Adelphi. 

Autore, tra l’altro di un interessante testo sulla Cyber: “Cyber Defense and Situational Awareness”, pubblicato nel 2015 e che spero di riuscire a leggere presto. I suoi campi di ricerca sono principalmente l’intelligenza Artificiale e la Cyber.

I laboratori della US Army, dislocati in diversi stati tra cui gli USA, Regno Unito, Giappone e Cile, impiegano circa 3000 scienziati nei più diversi campi di ricerca di base, occupandosi di argomenti che diverranno capacità militari tra venti-trenta anni, avvalendosi per le ricerche, di collaboratori e studiosi provenienti da tutto il mondo.

Nel corso del suo intervento sono stati toccati temi interessanti e che meritano attenta riflessione.

In primo luogo è stato evidenziato come la Cyber stia diventando una scienza.
La scienza della sicurezza Cyber può essere descritta come lo studio e l'ottimizzazione delle relazioni tra Policy (P), attaccante (A) e difensore (D), per usare le parole del Relatore, si consideri:

Policy P : a set of assertions about what event should and should not happen. To simplify, focus on incidents I: events that should not happen;

Defender D : a model / description of defender’s defensive tools and techniques Td, and operational assets, networks and systems Nd;

Attacker A : a model / description of attacker’s tools and techniques Ta,

dunque     (I, Td, Nd, Ta) = 0.

Per cercare di essere chiari, lasciando perdere le formule che sono solo ed esclusivamente esemplificative, la sicurezza cyber è in relazione con le organizzazioni in campo, con le loro regole interne, con i vincoli esterni (normativi, tecnologici, economici, ecc...), con la preparazione del personale (attaccante e difensore che sia), con i decisori e la loro preparazione nella materia, con gli strumenti usati per l'attacco e per la difesa, con le reti (informatiche e non - vedasi il concetto di infrastrutture critiche e le relazioni esistenti tra esse e il cyber space).

Tutto ciò che ho detto può essere rappresentato attraverso modelli matematici più o meno complessi.
L'impiego di questi modelli consente, attraverso simulazioni (oppure emulazioni!) di eseguire test e fare previsioni.

Naturalmente il passo dalla cyber verso la "cognitive science" è breve e perchè questi studi abbiano una loro applicazione occorre approfondire il comportamento umano di fronte al rischio derivante da un attacco cyber. Ogni persona è diversa dal suo vicino e ciò fa si che il comportamento (la risposta comportamentale) di fronte ad un evento sia potenzialmente ogni volta diverso.   
Ma non voglio entrare in particolari che sono troppo complessi da trattare in per un articolo divulgativo per cui qui mi fermo.

Occorre però capire che chiunque voglia in qualche modo contare qualcosa nello specifico settore della Cyber Security dovrà organizzarsi per studiare e insegnare questa nuova disciplina.
Disciplina non esclusivamente confinata al mondo informatico ma che, anche grazie alla sua capacità di permeare tutti i settori della società dell’informazione, aspira ad una sua ben definita identità nel mondo accademico.

Nel campo addestrativo, il relatore ha fatto notare come la US Army ha recentemente riconosciuto l’importanza dell’addestrare gli Ufficiali (e non solo i tecnici!) a riconoscere un Cyber Attack.

La cosa non è banale ed è forse il primo passo per la diffusione massiva della conoscenza nel settore. 

Questo è comprensibile e logico in quanto nonostante sia utile che i tecnici siano in grado di riconoscere un attacco Cyber, è sicuramente più utile che gli Ufficiali delle armi non tecniche siano in grado di riconoscere un attacco di questo genere e possano, da una posizione di comando, prendere le corrette decisioni in merito.

Nel corso del seminario è emersa ancora una volta l’importanza, se non la centralità, dell’uomo nel riconoscere attività Cyber poste in essere dal nemico.
Esistono studi e software che cercano di individuare comportamenti potenzialmente pericolosi, ma sembra che niente sia meglio di persone, analisti, capaci, preparati e “open mind”. Non è un caso se gli analisti del settore sono rari e molto ben pagati.

Alessandro Giovanni Paolo RUGOLO

Fonti:
https://www.arl.army.mil/www/default.cfm?article=2380;
http://mastersicurezza.di.uniroma1.it/mastersicurezza/index.php/master-sicurezza