Traduttore automatico - Read this site in another language

lunedì 27 aprile 2020

Hackers all'attacco della U.S. AIR FORCE (che ringrazia)!

The Defense Digital Service is a SWAT team of nerds working to improve technology across the Department of Defense”. Questa frase campeggia nella homepage del Defence Digital Service DDS, un’agenzia del Dipartimento della Difesa degli Stati Uniti d’America che ha per missione l’innovazione e la trasformazione in senso tecnologico del predetto Dipartimento e, in particolare “use design and technology to improve government services, strengthen national defense, and care for military members and their families”. Per fare ciò, l’agenzia conta tra le proprie fila, oltre a interessantissime figure professionali come quella dei “bureaucracy hackers”, anche i citati “nerds”, che il sito Garzanti Linguistica definisce “nell’uso giovanile, giovane dall’aspetto goffo e insignificante, che sublima la propria condizione con una grande abilità e passione per computer e videogame | studente che ottiene buoni risultati grazie all’ostinata applicazione, ma non brilla per intelligenza; secchione”. Ma che apporto potrà mai dare un’agguerrita squadra di “secchioni” al Dipartimento della Difesa della superpotenza militare per eccellenza? Certamente hanno delle validissime idee di successo che ad altri, evidentemente, non vengono in mente. Un chiaro esempio è il programma “Hack the Pentagon”, che ha dato origine ad altre iniziative molto interessanti nel campo del bug hunting, tra cui, in ordine di tempo, si è posta in evidenza “Hack the Air Force 4.0”, che ha visto verso la fine del 2019 un “battaglione” di hackers lanciarsi all’assalto dell’infrastruttura tecnologica dell’aeronautica statunitense. Vediamo in cosa consiste questo genere di attività e quali risultati consente di ottenere. 

Più di una volta, su queste pagine, si è cercato di valorizzare la figura dell’hacker etico (o white hat hackers) che, essenzialmente, è un appassionato di informatica che si dedica a ricercare le vulnerabilità di sicurezza dei sistemi informatici (errori di programmazione e/o di configurazione), segnalandole al relativo sviluppatore piuttosto che all’utilizzatore o alle autorità. Nata come una figura per certi versi “romantica”, contrapposta a quella dell’hacker non etico (o black hat hacker), che sfrutta le vulnerabilità di sicurezza per attaccare i sistemi, quella dell’hacker “buono” è divenuta nel tempo anche una riconosciuta figura professionale. Peraltro, per accedere a tale professione è necessario conseguire impegnative certificazioni basate su standard internazionalmente riconosciuti, tanto che la figura del Certified Ethical Hacker è molto richiesta da parte sia di aziende private che di organizzazioni statali. Proprio tale preziosa figura, mai sfruttata abbastanza nel nostro Paese, soprattutto nella sua declinazione “amatoriale”, è al centro dei programmi di bug hunting (o di bug bounty) come Hack the Air Force 4.0, che si pongono l’obiettivo di cercare le falle di sicurezza dei sistemi informatici mediante competizioni tra hackers. In particolare, la competizione riguardante i sistemi dell’aeronautica statunitense si inquadra nella più ampia iniziativa “Hack the Pentagon”, programma di bug bounty lanciato nel 2016, ideato e gestito dal citato DDS avvalendosi dell’azienda di servizi HackerOne, che funge da interfaccia con una community a livello globale che conta più di 500.000 hacker etici. Nello specifico, tale programma si pone l’obiettivo di organizzare ed eseguire eventi di bug hunting focalizzati sui sistemi del Dipartimento della Difesa, al fine di rilevare e risolvere eventuali falle di sicurezza sconosciute persino ai rispettivi produttori. Ancorché la maggior parte degli hacker etici sia mossa da motivazioni che riguardano la gratificazione personale, tali eventi prevedono dei premi in denaro per i vincitori. In tale contesto, negli scorsi mesi di ottobre e novembre si è svolta la citata Hack the Air Force 4.0, una competizione che ha visto impegnati 60 hackers coordinati da HackerOne, nello “stress test” dal punto di vista della sicurezza del Virtual Data Center della U.S. Air Force, ossia il cloud che eroga i servizi informatici della Forza Armata. La quarta edizione della competizione dedicata all’Aeronautica ha consentito di rivelare ben 460 vulnerabilità di sicurezza e ha permesso di elargire premi per 290.000 $. Nel complesso, Hack the Pentagon ha permesso di scoprire 12.000 vulnerabilità fino ad allora sconosciute e che sarebbero potute essere scoperte e sfruttate da qualche malintenzionato. Insomma, quest’ultima edizione, a detta dei responsabili del programma, ha confermato che si tratta di un programma di successo sotto molti punti di vista. Immaginiamo quali possano essere i punti di forza dei programmi di bug hunting del DDS e, in generale, di iniziative simili.


Il primo, più immediato, consiste nel consentire al Dipartimento della Difesa di rendere i propri sistemi certamente più sicuri, in quanto le falle di sicurezza sono ovviamente prontamente rimosse prima di venir rese pubbliche, di conseguenza gli hacker non etici si dovranno impegnare molto di più nel scovare eventuali ulteriori vulnerabilità. Anche l’aspetto finanziario del programma è evidentemente vantaggioso, visto che prosegue ormai da 4 anni. Probabilmente, i premi in denaro, gratificanti per i vincitori, sono degli investimenti particolarmente vantaggiosi anche per il Dipartimento, conscio delle “parcelle” molto più alte degli hacker certificati e delle aziende in cui operano. Oltretutto e questo è il terzo aspetto di successo, ricorrendo ai programmi di bug hunting non ci si affida a un’azienda in particolare, bensì a una comunità eterogenea di hacker, ognuno con capacità ed esperienze diverse e soprattutto non legati ad alcun specifico produttore di hardware o software. Ciò, consente di ottenere dei risultati realmente indipendenti, che peraltro non sono frutto di un asettica valutazione “in laboratorio”. Per capire meglio le potenzialità dei programmi di bug hunting, si pensi che con la stessa metodologia, lo scorso anno, mediante una competizione tra hacker sviluppata in due fasi e dedicata al jet F-15 dell’U.S. Air Force, sono state scoperte alcune vulnerabilità di sicurezza di un sistema critico per l’intera piattaforma d’arma, ossia il Trusted Aircraft Information Download Station, deputato a raccogliere i dati acquisiti dai sensori e dalle telecamere dell’aereo durante il volo. Tant’è, che nei piani del DDS c’è l’intenzione in futuro di mettere alla prova anche i vettori aerei veri e propri, nonché le piattaforme satellitari. Altro punto positivo delle competizioni di bug hunting con molta probabilità consiste nella "fidelizzazione" degli hacker con le Forze Armate e il coinvolgimento del mondo industriale. Insomma, l’instaurazione di quel circolo virtuoso che in molte sedi, comprese queste pagine, è stato evidenziato essere uno degli elementi che dovrebbero stare alla base di una strategia di cyber security nazionale. In tal modo, infatti, i militari prendono coscienza dell’ineludibile esigenza di potersi avvalere di sistemi ideati e sviluppati per essere sicuri, senza trascurare alcun aspetto e della necessità di doverli testare continuamente durante l’intero ciclo di vita, dalla loro acquisizione alla dismissione. Dall’altro lato, gli hacker etici, oltre a cimentarsi in sfide stimolanti, sanno di rendersi utili per il proprio Paese, contribuendo attivamente alla sua sicurezza. Oltretutto, le Forze Armate possono fare scouting e gli hackers possono valutare l’opportunità di intraprendere la carriera militare. Infine, ultimo aspetto, le aziende vengono spinte a sviluppare software e hardware sempre più sicuri, magari assumendo proprio gli stessi hacker che scoprono le falle dei loro sistemi. Certo, secondo il DDS ci sono anche alcuni lati negativi da migliorare, principalmente riferiti agli aspetti legali dei contratti di cui si avvale il Dipartimento della Difesa per la fornitura e gestione dei servizi informatici. Tuttavia, il bilancio di competizioni quali Hack the Air Force è certamente di gran lunga positivo per tutte le parti coinvolte.

Al termine di questa breve disamina dei programmi di bug hunting del DDS, giova evidenziare ancora una volta quanto il variegato mondo degli hacker etici possa rappresentare, anche per l’Italia, una validissima risorsa. In questo periodo caratterizzato da migliaia di drammi familiari causati dalle conseguenze della COVID-19, emerge ancor di più forte l'ineludibile esigenza di poter disporre di sistemi, reti e servizi informativi che siano in grado di garantire un adeguato livello di sicurezza. Da essi, peraltro, non dipendono soltanto le nostre vite, bensì anche l’economia del paese, resa ancor più fragile dalle conseguenze della pandemia tuttora in corso. Ciò, a dispetto di tecnologie spesso superate, eterogenee, complesse, non sviluppate per essere aderenti ai requisiti di sicurezza, anche minimi e a dispetto di minacce subdole, più o meno sofisticate ma sempre riconducibili ad attori spietati, senza scrupoli, numericamente soverchianti, ben organizzati e spesso con ingenti risorse a disposizione. Per far fronte a questo spaventoso scenario c’è bisogno dell’aiuto di tutti, professionisti o meno e di tutte le loro migliori capacità ed energie. Pertanto, c’è bisogno più che mai anche degli hacker etici, una risorsa ancora per lo più sconosciuta o non considerata in maniera adeguata e quindi non sfruttata abbastanza.
Perciò, lunga vita ai nerds!

P.S.: mentre in molti Paesi si continua a straparlare di cyber security con insufficiente concretezza, le autorità australiane, qualche settimana fa, hanno “dichiarato guerra” ai cyber criminali che approfittano dell’emergenza causata dalla COVID-19 per colpire cittadini, ospedali, istituzioni e aziende australiane. Attenzione, non si tratta una guerra fatta di decreti, di carte bollate, di lunghe indagini, di denunce e di processi. E’ una guerra affidata all’intelligence militare australiana (Australian Signals Directorate) e condotta ricorrendo anche a cyber attacchi mirati, rivolti ai cyber criminali, chiunque siano e da chiunque siano sponsorizzati. Vediamo che succede.

Ciro Metaggiata

Per approfondire:






By at Nessun commento:

sabato 25 aprile 2020

Swiss Crypto AG scandal e alcune considerazioni di sicurezza per l'Italia che verrà

Tutti abbiamo sentito parlare di quanto sia pericolosa la Società Huawei grazie all'impiego della tecnologia 5g ed infatti è sulla lista nera americana in quanto apparentemente capace di spiare le comunicazioni di tutti.
Se proviamo a fare una semplice ricerca su Bing delle parole chiavi "Huawai 5G USA" saltano fuori più di 9 milioni di risultati mentre su Google addirittura 33 milioni, con Yandex sono "solo" 28 milioni... In testa alla lista appaiono sempre gli articoli che la guerra economica e di spionaggio tra Stati Uniti e Cina.
Lo scandalo di Cambridge analitica è un altro indice dell'importanza dei dati e dello spionaggio continuo esercitato da tutti, Stati e industrie, per gli scopi più disparati.
Se facciamo la ricerca con "Cambridge Analytica scandal" otteniamo dei numeri più modesti: con Bing abbiamo circa 1 milione di risultati, con Google abbiamo circa 1.2 milioni di risultati, con Yandex invece addirittura 2 milioni di risultati.
Se facciamo una ricerca su "Swiss Crypto AG scandal", su Bing abbiamo circa 14 mila risultati, su Google abbiamo circa 200 mila risultati, su Yandex abbiamo invece addirittura 4 milioni di risultati.

Ora poniamoci alcune domande: perché queste differenze?
La risposta non è semplice e comprende un misto di tecnologia, lingua utilizzata, interesse nel diffondere l'informazione da parte degli Stati e delle grandi società e tanto, tanto altro: in pratica ciò che sto dicendo è che i motori di ricerca influenzano gli utilizzatori.
Non credo, fino a qui, di aver detto niente di strano.

Prendiamo ora in considerazione, solo per un attimo, l'ultima ricerca effettuata: Swiss Crypto AG scandal.

Lo scandalo è recente. E' stato scoperto e denunciato pubblicamente dal Washington Post e dalla ZDF appena l' 11 febbraio 2020 (e questo in parte giustifica il basso numero di riferimenti su Google e Bing) ed è probabilmente il più grande scandalo legato allo spionaggio occidentale, eppure quali sono i risvolti verso i governi occidentali?
Per capire di cosa stiamo parlando forse però è necessario fare un passo indietro.
La società svizzera Crypto AG è una società che produceva dispositivi di cifratura che venivano considerati sicuri fin dagli anni '50 e fino al 2018, dunque per quasi 70 anni. Il fondatore, Boris Hagelin, negli anni 50 fece un accordo verbale con la CIA per vendere i suoi dispositivi solo ai paesi amici, questo per impedire lo studio e la diffusione della tecnologia ritenuta all'avanguardia.
Negli anni '70 la CIA e la tedesca BND cominciarono a lavorare assieme sulle apparecchiature della Crypto AG modificandole per poter più facilmente rompere i codici e avere facile accesso ai messaggi. Secondo un articolo della SaltDNA anche l'Italia ricade tra i paesi illecitamente spiati dalle due agenzie grazie ai dispositivi "sicuri" della Crypto AG. 
Cosa significa questo in termini semplici? 
Significa che i messaggi segreti scambiati con gli apparati della società erano, probabilmente, registrati e ascoltati da USA e Germania, per non parlare dei più stretti alleati, ovvero i famosi paesi del "Five Eyes": UK, Canada, Australia, Nuova Zelanda e USA.
Cosa significa ciò in termini di fiducia?
Significa che non ci si può fidare di nessuno, ne dei nemici, ne degli alleati. 
Con ciò non voglio dire che bisogna rompere le alleanze o cambiare alleanza ogni soffio di vento, non ha alcun senso. 
Voglio dire che uno Stato serio, degno di questo nome, deve organizzarsi per avere le capacità di produrre o controllare gli strumenti da impiegare per la propria sopravvivenza in tempo di guerra come in tempo di pace.
Nel mondo in cui viviamo ciò significa capacità di AI, Cyber, Analisi dei dati, armamenti, ricerca...

 Non essere dotati di una capacità strategica, tecnologica, industriale o di conoscenza, significa dipendere dagli altri, e non sempre gli altri fanno i nostri interessi...

Dimenticavo, qualche nostro bravo politico si è interessato alla cosa, magari chiedendo una indagine in merito?
Non so, ma me lo auguro… infatti, essere alleati non significa essere disposti ad accettare qualunque comportamento della controparte nei nostri confronti!

Alessandro RUGOLO


Per approfondire:

https://www.zdf.de/nachrichten/politik/cryptoleaks-bnd-cia-operation-rubikon-100.html

https://www.zdf.de/nachrichten/politik/cryptoleaks-bnd-cia-operation-rubikon-100.html

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/

https://www.theguardian.com/us-news/2020/feb/11/crypto-ag-cia-bnd-germany-intelligence-report

https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scandalo-senza-precedenti-cambridge-analytica-allennesima-potenza/

https://saltdna.com/news/how-governments-used-swiss-crypto-ag-encryption-devices-to-spy-on-countries-for-decades

https://www.cryptomuseum.com/people/boris_hagelin.htm

https://uk.pcmag.com/cpus-components/124845/report-cia-used-swiss-firm-to-spy-on-allies-foes-via-hacked-encryption-tech

https://www.agendadigitale.eu/sicurezza/privacy/crypto-ag-che-deve-insegnare-lo-scandalo-privacy-al-governo-italiano/
By at Nessun commento:

giovedì 23 aprile 2020

Kudankulam Nuclear Power Plant (Kknpp) Cyber security incident: cos'è accaduto nel 2019?

Kudankulam Nuclear Power Plant  |  Photo Credit: IANS
Sfogliando un report indiano sull'impiego delle nuove tecnologie nel settore della Difesa sono capitato per caso su un breve articolo che parlava delle indagini condotte nella Centrale Nucleare di Kudankulam, in India, a seguito di un incidente cyber occorso a fine ottobre 2019.
La notizia forse è stata sottovalutata in Italia ma a mio parere merita un breve approfondimento.
Tutti conoscono la storia dell'attacco cyber al sito di arricchimento dell'uranio iraniano (Stuxnet) ed è abbastanza intuitivo capire il danno che potrebbe arrecare un attacco ad una centrale nucleare per cui riteniamo opportuno far conoscere ciò che accade nel mondo.
La centrale nucleare di Kudankulam è la più grande centrale nucleare indiana, appartiene alla società governativa Nuclear Power Corporation of India Limited (NPCIL), ed è situata nel distretto di Tirunelveli, nello stato di Tamil Nadu. La costruzione della centrale è iniziata nel 2002, le prime due unità hanno cominciato a produrre elettricità nel 2013 e 2016 e altre due unità sono in costruzione. 
Il progetto di costruzione risale ad un accordo del 1988 tra l'India e la Russia e la società russa Atomstroyexport, sussidiaria della più nota Rosatom.
La notizia di una compromissione dei sistemi della centrale è emersa sui social ma la società ha inizialmente negato l'accaduto.
Il 30 ottobre 2019 la società ha rettificato la sua posizione, ammettendo l'incidente. Secondo la NPCIL solo un PC connesso ad Internet per motivi amministrativi, subito isolato, è stato compromesso. La rete interna per la gestione della centrale non è stata compromessa.
L'attacco è stato attribuito al virus Dtrack RAT, impiegato solitamente dal gruppo nordcoreano Lazarus Group come strumento di spionaggio per la raccolta di dati dai sistemi infetti.
L'incidente era stato segnalato già dal 4 settembre agli organi governativi competenti dal ricercatore e analista di sicurezza indiano Pukhraj Singh. 
Una strana coincidenza ha determinato che il 19 ottobre uno dei due reattori sia stato fermato. 

Come sia andata lo dice il governo con una Press Release di fine novembre in cui afferma che effettivamente vi è stato un attacco, condotto attraverso la rete amministrativa della centrale, connessa ad Internet. 

Il sistema di controllo della Centrale non è stato affetto dal virus.

Le indagini sono state condotte dal Computer & Information Security Advisory Group (CISAG)-DAE in coordinazione con la Indian Computer Emergency Response Team.

Alcune brevi considerazioni:
- la prima reazione della società è stata quella di negare l'accaduto, e questo la dice lunga sul suo comportamento. Negare senza neanche investigare non può essere considerato un comportamento serio e responsabile da chi gestisce un sistema potenzialmente pericoloso. 
- Dopo aver negato l'accaduto, sono passati all'ammissione, dicendo però che false informazioni erano state messe in giro sui social networks e che non è possibile attaccare il "Nuclear Power Plant Control System". Anche questa seconda affermazione è quanto meno rischiosa, siamo infatti più che convinti che nulla sia ormai impossibile, ma soprattutto che la troppa certezza di invulnerabilità in questo settore sia foriera di sottovalutazioni e sventure;
- come mai nella nostra area non si è parlato dell'incidente? Forse che far finta di niente allontani il pericolo? Mi spiace, noi siamo fermamente convinti che i problemi si risolvano affrontandoli e il primo passo consiste nel parlarne, informarsi, studiare...


Alessandro Rugolo

Per approfondire:
- https://www.timesnownews.com/india/article/cyber-attack-targeted-kudankulam-nuclear-power-plant-confirms-npcil-malware-traced-to-n-korea-s-dtrack/510009;
- https://www.indiatoday.in/india/story/kudankulam-nuclear-power-plant-dtrack-north-korea-atms-1614200-2019-10-30;
- https://gbhackers.com/kudankulam-cyberattack/;
- https://www.news18.com/news/tech/cyber-attack-on-kudankulam-nuclear-plant-did-happen-systems-not-affected-npcil-2367437.html;
https://pib.gov.in/Pressreleaseshare.aspx?PRID=1592498

By at Nessun commento:

martedì 21 aprile 2020

Geopolitica, Cyberthreat, Cyber Risk: Impatti, Valutazione, Dinamiche e Consapevolezza

Premessa

L’impatto tecnologico sulla vita sociale ed economica non è oggetto di scelte, ma è inevitabile, nel bene e nel male, limitarsi soltanto a subire questo radicale ed ineluttabile processo di trasformazione della società corrisponde all’incapacità di coglierne compiutamente gli aspetti vantaggiosi, che sono molti. In questo senso la scelta fra essere o meno consumatori di tecnologia non è libera o opzionale. Chi non investe in sviluppo tecnologico sceglie una via non solo di declino economico, ma anche sociale e culturale.
L’uomo e la sua sicurezza devono costituire la prima preoccupazione di ogni avventura tecnologica.

Geopolitica, Cyberthreat, Cyber Risk: Impatti, Valutazione, Dinamiche e Consapevolezza

La geopolitica di ieri si occupava della geografia come elemento fondamentale per stabilire le reali possibilità di movimento degli eserciti e per le necessarie linee di rifornimento, per la possibilità di instaurare traffici commerciali via mare e via terra, difendibili in modo semplice e poco costoso. Nell’era digitale, la geopolitica tratta delle reti di telecomunicazione, dei cavi sottomarini, degli hub e dei landing point attraverso i quali passa il traffico di internet, della possibile manipolazione degli elettori tramite l’utilizzo dei social e dei big data, degli attacchi cibernetici alle infrastrutture critiche che possono essere in grado di mettere in ginocchio un intero Paese.
Si tratta di scenari in grado di spostare il baricentro delle sfere d’influenza e, come è normale che sia, anche di tanto business. La comprensione di tutto questo non può non passare dalla necessità che tutto ciò che è cyber debba essere trattato come un problema di gestione del rischio e non come un problema della sola funzione IT, come, purtroppo, ancora troppo spesso avviene.
Prima di arrivare a questo, però, vorrei chiarire una volta per tutte il concetto di cybersecurity e, a questo riguardo, usiamo la definizione data dal NIST:
Prevention of damage to, protection of, and restoration of computers, electronic communications systems, electronic communications services, wire communication, and electronic communication, including information contained therein, to ensure its availability, integrity, authentication, confidentiality, and nonrepudiation
Partendo da questa definizione e compreso l’ambito nel quale ci muoviamo, nel corso dell’ultimo decennio, si è parlato moltissimo e, spesso a sproposito, di cyber security e si è affermato con sempre più convinzione il paradigma per cui la sicurezza informatica costituisca l’ultima grande sfida globale che coinvolge individui, aziende, stati ed organizzazioni internazionali. Affermare questo al tempo del covid-19 fa sorridere ma tant’è. Definirla una sfida, comunque, presupporrebbe un piano articolato di contromisure che, qualora implementato, sia in grado di superare la problematica conducendo la vittima verso il traguardo finale, libera da qualunque preoccupazione.
La sicurezza informatica non è una sfida e nemmeno è la sfida del XXI secolo. La sicurezza informatica costituisce un tragitto, una strada, verosimilmente, molto articolata che prevede diverse intersezioni e, decisamente, nessun traguardo, piuttosto, forse, delle tappe “positive” che, se completate, non azzerano del tutto il cammino fin lì percorso.
Questa immagine, seppure legata alla strategia di sicurezza offerta da Microsoft che non è desiderio di chi scrive, pubblicizzare, rende bene l’idea del viaggio che si deve intraprendere.


Se la cybersecurity non è la sfida del XXI secolo, allora cos’è? Possiamo dire che quello che per la società 4.0 costituisce una minaccia concreta e problematica sono gli attacchi cibernetici, identificati nei dieci rischi più probabili e a più alto impatto dal rapporto Global Risks realizzato anche quest’anno dal World Economic Forumi.
È il rischio cyber la vera minaccia che individui, aziende, stati ed organizzazioni internazionali sono chiamati a fronteggiare nella nuova era dominata dall’industria 4.0.
L’esigenza di creare nuovi modelli di business per aumentare la produttività delle industrie ha portato a una generale tendenza verso l’automazione, l’informatizzazione, la virtualizzazione, il cloud e verso tutte le funzionalità presenti nel mondo mobile. L’insieme di queste caratteristiche definisce l’industria 4.0 a cui le varie componenti sociali sono chiamate a rapportarsi e su cui opera il rischio dei cyber attacchi.
In questo scenario, pensare di associare la cybersecurity al solo mondo dell’Information Technology fa sorridere mentre, al contrario, sapere che l’ambito nel quale opera è molto più ampio, aiuta a comprenderne i rischi e, si spera, a prevenirli.
Probabilmente molti ricorderanno la notizia dell’annessione da parte della Russia della regione ucraina della Crimea, avvenuta nel febbraio e marzo del 2014. Quella notizia scioccò il mondo intero e rappresentò una sorpresa anche per molti analisti ed esperti che monitoravano e osservano tutt’ora l'attività russa. Alcuni fra quegli esperti, però, capirono in anticipo quale fosse la strategia.
In particolare, Volker Kozokii, tenente colonnello ed esperto di sicurezza informatica delle forze armate tedesche, era uno di quelli ed il suo ruolo, ancora oggi, è quello di tenere traccia delle minacce legate alla sicurezza digitale cercando di elaborare le corrette contromisure. Questo ha sempre permesso a Kozok di avere una vista privilegiata dello scenario attuale che potremmo definire di guerra ibrida, estremamente complessa, ma che merita grandissima attenzione.
Tantissime volte abbiamo sentito questa frase: “I conflitti militari di oggi, raramente, si svolgono solo sui campi di battaglia con armi convenzionali”. Tutt’altro. Quando parliamo di conflitti, tra questi bisogna sempre includere gli attacchi informatici alle infrastrutture critiche così come le varie forme delle cosiddette “weaponized informationiii”, destinate a seminare confusione e insicurezza nella popolazione.
Nel caso dell'invasione dell'Ucraina da parte della Russia, ciò che Kozok e i suoi colleghi notarono, nel gennaio 2014, fu una sorta di apertura clandestina proveniente dalla Russia. Essi osservarono che la Russia stava installando quello che sembrava un cavo sottomarino attraverso lo stretto di Kerch, uno stretto tra il Mar Nero e il Mar d'Azov. Mentre monitoravano i progressi relativi ai lavori di posa di quel cavo lungo 46 chilometri, divenne evidente che il punto d’arrivo di quel cavo sarebbe stata la penisola di Crimea.
L'esistenza del cavo suggerì che la Russia stesse facendo una mossa per collegare l'infrastruttura critica dell'Ucraina con la propria. In particolare, sembrava che il cavo russo avrebbe portato comunicazioni internet ad alta velocità che potevano bypassare i fornitori di servizi ucraini.
I membri del team di Kozok riuscirono a rafforzare tale deduzione attraverso l'uso sofisticato dei sistemi di informazione geografica iv(GIS). Erano in grado di esaminare la costruzione del cavo attraverso la localizzazione mostrando i cavi sottomarini a livello mondiale e i nodi di collegamento verso Internet. Da tutto ciò, il team era in grado di dedurre che la Russia mirava a controllare le comunicazioni online. Negli annali della guerra, questo rappresentò un momento decisivo.
Era la prima volta che un paese aveva organizzato un attacco militare pianificando, al contempo, in modo estremamente furbo e intelligente, la messa in opera di reti di comunicazione attraverso un cavo marino", spiegò Kozok durante un’intervista. "Qualcuno doveva guidare fino in Crimea come se fosse un semplice turista, prima dell'invasione, e individuare in modo preciso il punto di ingresso del cavo. Dovevano realizzare quei piani senza, effettivamente, avere ancora il controllo del Paese.
La Russia continuò ad impiegare tecniche di guerra ibride in Ucraina. Gli hacker russi lanciarono un attacco informatico contro la rete elettrica ucraina nel 2015, tagliando l'elettricità a 250.000 persone. Quasi esattamente un anno dopo, gli hacker causarono un altro blackout.
È ormai ampiamente chiaro che gli attacchi informatici rappresentano un pericolo e vanno oltre l’obiettivo “computer”. Il tema della cybersecurity riguarda le infrastrutture critiche, incluse le utility, che rappresentano la base delle comunità.
--------------------------------------------------------------------------------------
La capacità del mondo di promuovere l’azione collettiva di fronte a una crescente serie di gravi sfide ha raggiunto livelli di crisi significativi con il peggioramento delle relazioni internazionali. Nel frattempo, un rallentamento delle prospettive economiche, causato anche da tensioni geopolitiche, sembra destinato a ridurre ulteriormente il potenziale di cooperazione internazionale.
Trasformazioni complesse, sociali, tecnologiche e legate al lavoro, stanno avendo un profondo impatto e tra le minacce globali indicate nella quindicesima edizione del Global Risks Report, promossa dal World Economic Forum, spicca il cyber risk.
Il mondo sta affrontando un numero crescente di sfide complesse e interconnesse, dal rallentamento della crescita globale, passando per la persistente disuguaglianza economica fino ad arrivare a cambiamenti climatici, alle tensioni geopolitiche e al ritmo accelerato della Quarta rivoluzione industriale.
Esponenti autorevoli di Marsh & McLennan, partner strategici di lunga data, hanno ribadito come il persistente finanziamento insufficiente delle infrastrutture critiche in tutto il mondo stia ostacolando il progresso, lasciando imprese e comunità più esposte ad attacchi informatici e a catastrofi naturali, non riuscendo a sfruttare al massimo le capacità di difesa.
La tecnologia continua a svolgere un ruolo profondo nel plasmare il panorama dei rischi globali per individui, governi e imprese.
Le nuove “instabilità” sono causate dall’ approfondimento dell’integrazione delle tecnologie digitali in ogni aspetto della vita.
Esempio ne è la rivelazione che il Governo americano ha fatto a proposito di un attacco hacker del luglio 2018 tramite il quale gli attaccanti erano riusciti ad ottenere l’accesso alle sale di controllo di alcune aziende di servizi pubblici. La potenziale vulnerabilità delle infrastrutture tecnologiche critiche è diventata sempre più un problema di sicurezza nazionale, tanto che la seconda interconnessione di rischi più frequentemente citata nel rapporto 2020 è l’associazione di cyber-attacchi con l’eventuale sabotaggio di infrastrutture informatiche critiche.
Ecco perché non c’è mai stata una necessità più urgente di un approccio collaborativo e multi-stakeholder ai problemi globali delle “società interconnesse e globalizzate”.

Il cluster dei rischi cyber crea una sorta di triangolo posizionato nel quadrante in alto a destra della mappa.  

E qui, entra in gioco il concetto di rischio informatico, molto ben spiegato nell’articolo “Macro Dinamiche del Rischio Cyber” v. Si definisce rischio informatico il prodotto scalare tra la gravità, intesa come impatto, delle conseguenze che un evento cibernetico determinerebbe e la probabilità che tale evento pericoloso, ossia la minaccia, si realizzi e dunque: R= I x P
I rischi vengono, pertanto, valutati determinando l’entità dei danni potenziali sul sistema che la minaccia potrebbe provocare in caso di suo accadimento, considerando la probabilità che la minaccia causi sempre il maggior danno possibile al suo verificarsi. Le conseguenze della stessa sul sistema dipendono anche in larga misura dal valore dei beni interessati e l’esame delle conseguenze per ogni tipo di minaccia rappresenta un altro aspetto dell’analisi del rischio. Il livello di rischio cibernetico è sempre da considerarsi infatti come una relazione tra il rischio stesso e la valorizzazione dell’asset informatico associato.
Come per molte malattie, il rischio cyber è amplificato, anzi, “si nutre” di altri fattori digitali che sono strettamente correlati tra di loro.
Dal 2017 al 2020, la popolazione globale passerà da 7,7 a 7,8 miliardi di persone crescendo di 100 milioni di unità (+1%), mentre la “popolazione” dei dispositivi IOT connessi alla rete passerà da 8,4 miliardi a 20,4 miliardi con un incremento di 12 miliardi di oggetti (+242%) il che, credo, rende chiara la misura dell’enorme velocità a cui viaggia il mondo digitale. La velocità estrema è, quindi, il tratto principale che caratterizza gli ecosistemi digitali e che influisce in modo così significativo sul rischio cyber. Tutto viene consumato in grande fretta e di conseguenza, il ciclo di vita delle tecnologie si riduce drasticamente.
Dopo il 2008 abbiamo assistito alla rapida crescita del numero di dispositivi costantemente connessi, ad un’economia che dipende sempre di più da algoritmi di Intelligenza Artificiale, alla crescita del potere dei social ed al rischio delle fake news, alla crescita dello sfruttamento dei contenuti personali dovuto allo spostamento sempre più avanti del trade-off tra privacy e servizio.
Ed in questo contesto, indubbiamente, ci sono almeno due fattori, tra gli altri, che giocano un ruolo fondamentale nel rischio cyber:
  • Il fattore umano
  • La complessità, l’obsolescenza e il patching
Il fattore umano è certamente uno dei rischi principali ed è anche un paradosso. Da una lato la rivoluzione digitale ha in molti modi potenziato le nostre capacità: attraverso i social ci ha offerto la possibilità di intrattenere tantissime relazioni contemporaneamente, di dire sempre la nostra anche su temi che solo due decenni fa sarebbero rimasti al più relegati alla cerchia di amici più ristretta.
Da un altro lato, invece, ci ha regalato aspetti negativi come la polarizzazione delle opinioni, gli haters, i troll, le fake news, un contesto insomma ottimo per “distruggere” consenso ma per niente in grado di “costruirlo”. In questo mondo che viaggia alla velocità della luce, questi super individui le cui capacità sono potenziate da Internet e dai social, sorprendentemente, si scoprono estremamente vulnerabili al social engineering, al phishing, al pretexing, ecc. che si confermano essere i canali più di frequente utilizzati in fase di innesco di attacchi anche complessi. Tra tutti i casi accaduti, credo che quello che più di tutti ha avuto un’eco enorme, rientra sicuramente lo scandalo di Cambridge Analyticavi.
I legami tra politica, tecnologia, impatto sociale e manipolazione dei dati sono rappresentati in quella che è stata la storia che meglio evidenzia come il rischio tecnologico sia enorme se non guidato per fini di bene. In merito allo scandalo, mi piace riportare dal libro denuncia “La dittatura dei dativii”, le parole di Brittany Kaiserviii, la talpa che ha contribuito a far conoscere al mondo come i dati degli utenti nei social network vengono usati per manipolare e minacciare la democrazia:
  • E così, mi ero ritrovata a far parte della maggiore operazione condotta da Cambridge Analytica, che consisteva nel raccogliere più dati possibili sui cittadini statunitensi e nello sfruttarli per influenzare le intenzioni di voto degli americani . Avevo potuto rendermi conto di come le inadeguate norme sulla privacy di Facebook e la totale mancanza di controllo del governo federale sui dati personali avessero reso possibile tutto questo. Ma, soprattutto, avevo capito che Cambridge aveva utilizzato le sue risorse per far eleggere Donald Trump."
  • "Sanno cosa compri. Sanno chi sono i tuoi amici. Sanno come manipolarti. Settanta like erano sufficienti per sapere di quella persona più di ciò che sapevano i suoi amici; centocinquanta like più di quello che sapevano i suoi genitori; trecento like più del suo partner. Oltre i trecento si era in grado di conoscere un individuo meglio di quanto conoscesse se stesso."
Per quanto riguarda il secondo fattore, il costante aggiornamento degli strati del software di sistema sui quali le applicazioni basano il loro funzionamento, è condizione fondamentale per ridurre le vulnerabilità e, di conseguenza, la superficie esposta ad un potenziale attaccante. L’attività di aggiornamento di una release del software di sistema si chiama patching. Molto spesso, sia per l’obsolescenza dell’hardware che non supporta le nuove release del software di sistema che per l’obsolescenza delle applicazioni che hanno bisogno di interventi, spesso, “importanti” per potere funzionare con le nuove release, l’attività di patching non può essere eseguita. Si generano, quindi, una serie di vincoli che indeboliscono, considerevolmente, il sistema nel suo complesso. Se poi, come capita spesso, l’obsolescenza è collegata ad un’elevata complessità dello scenario infrastrutturale, allora la soluzione del problema diventa enormemente più complessa se non strutturalmente non possibile a meno di utilizzare soluzioni cloud che, quantomeno, aiutano a mitigare il problema.
Insomma, il contesto è complesso e in molti ambiti ci ritroviamo senza difese. Ci dobbiamo preparare al fatto che una fetta consistente del rischio cyber non possa essere mitigato ma vada gestito con altre strategie. Se l’opzione di mitigazione è diventata più difficile da attuare, anche il concetto di tolleranza al rischio va ridefinito. Potremmo essere obbligati a coesistere con un elevato livello di rischio anche se la nostra tolleranza al rischio è relativamente bassa e, dunque, per obbligo e non per scelta di business. È necessario che i consigli di amministrazione delle aziende siano consapevoli di questa situazione allo scopo di assumere le decisioni più opportune in relazione ai segmenti di business prioritari. Sappiamo bene che il fatto di essere oggetto di un cyber attack non è questione di “se” ma solo di “quando”. Sappiamo anche che la “sicurezza totale” non è una categoria realizzabile e che i nostri avversari sono sconosciuti e godono di molti vantaggi strategici. Da soli ci possiamo, soltanto, muovere alla cieca con poca probabilità di successo. Assieme, però, possiamo recuperare molti punti di svantaggio ed arrivare ad avere la meglio sui nostri avversari.
Quello che serve, quindi, è una solida roadmap mondiale che sia parte di una “call to action” globale rivolta ad istituzioni, imprese e industria specializzata per un impegno ad accettare la sfida delle minacce informatiche e, possibilmente, vincerla. Non è certamente una sfida semplice da vincere ma, prendendo spunto dalle parole del Presidente JFKix, “una comunità accetta le sfide che ha di fronte proprio perché non sono semplici, perché ci danno l’occasione di mettere a frutto il meglio delle nostre capacità e del nostro impegno”.

Carlo Mauceli


By at Nessun commento:

domenica 19 aprile 2020

Tracciamento dei contagi

E' di qualche giorno fa la notizia che è stata selezionata una App per il tracciamento dei malati COVID 19. 
Tale App, chiamata Immuni, appartiene alla società italiana di sviluppo software "Bending Spoons" SpA, di Milano.
Il Commissario Straordinario per l'emergenza COVID 19 Domenico Arcuri ne dispone l'acquisizione con l'Ordinanza 10/2020 del 16 aprile, tramite la stipula di un contratto di concessione gratuita della licenza d'uso e di appalto di servizio gratuito con la società.
Sono in tanti in questi giorni ad aver chiesto la possibilità di vedere il codice della App, trattandosi dello stato di salute di ciascun cittadino siamo infatti tutti preoccupati.
Forse è lecito chiedere, anche perché negli ultimi tempi abbiamo visto cosa succede nel settore, ricordiamo a tutti il problema INPS di qualche settimana fa. Non è però detto che vi sia una risposta positiva a questa richiesta, infatti la società non è tenuta a rendere pubblico il codice in caso di cessione di licenza d'uso, dalla lettura dell'ordinanza non risulta infatti alcuna cessione di diritti sulla  proprietà della soluzione elaborata. Ciò non toglie che possa essere la società stessa a decidere di rendere pubblico il codice e così favorire l'analisi dello stesso, cosa che io penso sarebbe ottima, data la situazione in cui ci troviamo. 
C'è da considerare però alcuni altri aspetti, messi in evidenza da Ugo Rapetto in un articolo di ieri (18 aprile) su Infosec News. 
Infatti la forma dell'appalto di servizio fa pensare che l'infrastruttura e la gestione dei dati raccolti sia della società. Se così fosse la cosa andrebbe vista attentamente.
Non sono tra quelli che dice no a priori a tutto e sono anche convinto che di fronte a situazioni eccezionali occorra prendere provvedimenti eccezionali ma mi auguro solo che chi si sta occupando della questione della privacy e della proprietà dei dati non la sottovaluti.
In quanto alla società Bending Spoons SpA, si tratta di una società di Milano, soggetta dunque alle leggi italiane, nata nel 2015. Ha già prodotto diverse App per Android ed ha una certa esperienza nel campo del tracciamento. 
Certo è che rendere pubblici i criteri e le valutazioni effettuate dal Gruppo di lavoro data-driven per l'emergenza COVID 19, del Ministero per l'innovazione tecnologica, sarebbe un altro punto a favore della trasparenza, e noi siamo per la trasparenza.
Vi sono inoltre diverse questioni sulla tipologia del modello da impiegare per una App di tracciamento. I due modelli principali si chiamano DP-3T e PEPP-PT.
La filosofia alla base dei due modelli è completamente differente.
Il primo (DP-3T) infatti garantisce un maggior livello di privacy, in quanto i dati relativi alle persone con cui si è stati a contatto sono custoditi all'interno del proprio dispositivo.
Il secondo (PEPP-PT) invece condivide i dati dei contatti con la struttura centrale del sistema, garantendo al cittadino un minore livello di privacy, d'altra parte questo modello è valido in tutta Europa e rispetta comunque il GDPR.
C'è comunque da dire che tale App dovrebbe essere, almeno per quanto detto fino ad ora, non obbligatoria.

Come ultima nota vorrei far notare come ultimamente le attività comunicative stiano rivelandosi di grande interesse. 
Forse si comincia a capire l'importanza della STRATCOM in tutti i campi.
A volte infatti un semplice post, che diventa virale, può influenzare l'andamento di una operazione, militare e non.

Il COVID 19 sarà ricordato non solo come la pandemia del secolo ma anche come la più grande campagna STRATCOM del tempo !

Che anche Immuni sia entrata a far parte dei giochi ?
Ricordiamo infatti che anche le grandi case dell'informatica hanno proposto le loro soluzioni...

Alessandro Rugolo
Per approfondire:

https://www.repubblica.it/politica/2020/04/16/news/coronavirus_scelta_l_app_per_il_tracciamento_dei_contagi_si_chiamera_immuni-254235342/

https://www.bendingspoons.com/index.html

https://www.agendadigitale.eu/sicurezza/software-le-forme-di-cessione-dei-diritti-rischi-e-tutele-contrattuali/

https://www.infosec.news/2020/04/18/news/tecnologie-e-salute/trovata-la-app-ma-davvero-e-stato-affidato-un-appalto-di-servizio/

https://www.webnews.it/2020/04/12/coronavirus-fase-2-tracciamento-secondo-meggiato/

https://www.webnews.it/2020/04/11/apple-e-google-tracceranno-gli-utenti-contro-il-covid-19/

https://www.pepp-pt.org/
By at Nessun commento:
Iscriviti a: Post (Atom)