Il Chief Information Security Officer, quali competenze?

Per molti professionisti della sicurezza informatica l'obiettivo finale della carriera è quello di assumere il ruolo di Chief Information Security Officer (CISO). Quella di CISO è una posizione a livello esecutivo, responsabile della gestione e delle operazioni del rischio informatico.

Come sappiamo, la sicurezza informatica si sta trasformando ed oggi un buon CISO deve anche avere forti capacità comunicative e una profonda comprensione del business.

Per potere ricoprire un simile ruolo è necessario comprendere come questo si stia evolvendo e le competenze necessarie per eccellere.

Man mano che le organizzazioni aziendali sviluppano il percorso della digitalizzazione, anche attraverso l’utilizzo dei servizi cloud, la loro capacità di sfruttare efficacemente la tecnologia è diventata parte integrante del loro successo.

Questo processo, però, ha anche creato maggiori opportunità per i criminali informatici.

Negli ultimi anni aziende di tutte le dimensioni hanno subito danni alla reputazione e hanno speso risorse significative per riprendersi da un attacco oppure sono state costrette a pagare multe per violazione della normativa sulla privacy.

Un bravo CISO deve sapere che un incidente informatico è in primo luogo un rischio aziendale e non soltanto un semplice rischio informatico

Quando si prendono decisioni, i consigli di amministrazione e i team esecutivi devono essere in grado di valutare la probabilità di una violazione dei dati oltre a perdite finanziarie o rischi operativi. Un buon CISO li aiuta a farlo.

Secondo una ricerca di Deloitte, ci sono quattro ruoli o aspetti che un CISO deve possedere e sviluppare: il tecnologo, il tutore, lo stratega e il consulente.

Probabilmente molte delle persone che ambiscono al ruolo di CISO hanno già familiarità con le caratteristiche di tecnologo e di tutore.

In qualità di tecnologo, il CISO è responsabile della guida, della distribuzione e della gestione delle tecnologie e degli standard di sicurezza.

Nel ruolo di tutore, monitora e regola programmi e controlli per migliorare continuamente la sicurezza. Non dobbiamo mai dimenticare, però, che i controlli tecnici e gli standard non elimineranno del tutto il rischio di attacchi informatici e che il CISO non ha il controllo su tutte le condizioni che possono aumentare la probabilità di una violazione; ecco perché i ruoli di stratega e consulente hanno assunto una sempre maggiore importanza.

In qualità di stratega, il CISO deve allineare la sicurezza con la strategia aziendale per determinare in che modo gli investimenti in sicurezza possono portare valore all'organizzazione.

In quanto consulente, il CISO aiuta i team esecutivi a comprendere i rischi relativi alla sicurezza informatica in modo che possano prendere decisioni corrette sulla base delle informazioni ricevute.

Per eccellere in questi ruoli è importante avere una ottima conoscenza del business, comprendere la gestione del rischio e migliorare le capacità di comunicazione.

Come dicevamo in precedenza, se si sta già operando nel settore della sicurezza informatica e si è interessati a crescere nel ruolo di CISO, probabilmente, già si conoscono gli aspetti legati al ruolo di tecnologo e di tutore.

È possibile migliorare le proprie competenze tecniche cercando di fare esperienza e ottenere certificazioni in una varietà di aree, in modo da comprendere cosa sia l'analisi delle minacce, la caccia alle minacce, la compliance, l'hacking etico e il controllo del sistema, ma questo non è tutto.

Occorre, infatti, trovare il tempo per lavorare sulle proprie capacità di leadership.

• Comprendere il business è il passo più importante se ci si vuole preparare ad un ruolo a livello esecutivo, occorre imparare a pensare come un uomo d'affari. Chi sono i vostri clienti? Quali sono le grandi opportunità e le sfide del vostro settore? Cosa rende unica la vostra azienda? Quali sono le sue debolezze? Quali strategie aziendali guidano l'organizzazione? È fondamentale prestare attenzione alle comunicazioni aziendali e ai report annuali per scoprire quali priorità ha il board aziendale e perché si sono prese determinate decisioni, leggere articoli relativi al proprio settore per avere una prospettiva più ampia sull'ambiente aziendale e su come la vostra azienda si inserisce nel mercato. Questa ricerca vi aiuterà a prendere decisioni più corrette su come allocare risorse limitate per proteggere i beni aziendali. Vi aiuterà anche a inquadrare le vostre argomentazioni in modo tale che l'azienda ascolti quanto vorrete proporre. Ad esempio, se si desidera convincere l'organizzazione ad aggiornare il firewall, sarà più facile convincere i decisori se si sarà in grado di spiegare le relazioni tra un incidente di sicurezza e il rapporto dell'azienda con clienti o investitori.
• Imparare la gestione del rischio: le aziende lungimiranti assumono regolarmente rischi strategici per raggiungere i propri obiettivi, colgono opportunità per lanciare nuovi prodotti o acquisire un concorrente che renderà i propri prodotti più appetibili sul mercato. Queste decisioni, se errate, possono causare fallimenti o perdite enormi. La gestione del rischio è una disciplina che cerca di comprendere i lati positivi e negativi dell'azione ed eliminare o mitigare i rischi, per quanto possibile. Confrontando la probabilità delle varie opzioni, ad esempio il ritorno sull'investimento se l'impresa ha successo o la potenziale perdita in caso di fallimento, i gestori possono prendere decisioni migliori. Il CISO aiuta a identificare e quantificare i rischi per la sicurezza informatica che dovrebbero essere considerati insieme ai rischi finanziari e operativi.
• Migliorare le capacità di comunicazione: Per essere un buon consulente e stratega, è necessario comunicare in modo efficace con le persone che hanno esperienze e background differenti. Un giorno ci si potrebbe trovare a discutere con un membro molto tecnico della propria squadra, il giorno dopo potrebbe essere necessario partecipare a una decisione aziendale a livello esecutivo o addirittura essere invitato a presentarsi al consiglio di amministrazione. Un piano di comunicazione può essere d’aiuto a perfezionare i messaggi che si devono dare ai vari interlocutori. Per iniziare a sviluppare queste caratteristiche bisogna cercare di capire gli obiettivi delle persone con cui si parla regolarmente. Quali sono le loro necessità? È possibile inquadrare le comunicazioni di sicurezza in termini tali da poterli aiutare a superare queste sfide? È necessario riflettere e prendersi del tempo per mettersi nei panni di qualcun altro prima delle riunioni, delle conversazioni nel corridoio, prima di scambiare e-mail e chat. Può fare davvero la differenza!

Un buon piano di comunicazione fornisce messaggi di sicurezza mirati:

Negli ultimi anni, il ruolo dei CISO è stato portato ad essere parte del board di un’azienda proprio per avere una consulenza strategica sulla sicurezza.

Costruire capacità di leadership come la gestione del rischio e la comunicazione vi aiuterà a entrare in questo ruolo in modo sempre più importante.

Carlo Mauceli

INTEL lancia la nuova generazione di processori Tiger Lake

Il due di settembre Intel ha annunciato il rilascio sul mercato della nuova generazione di processori, l'undicesima, chiamata "Tiger Lake".
La casa di Santa Clara annuncia miglioramenti in tutti i settori, dalla produttività individuale al gioco.
I principali miglioramenti riguardano le capacità grafiche del nuovo processore Intel® Iris® Xe considerato come il migliore processore per laptop e capace di raddoppiare le prestazioni nei videogiochi. Ci si attende più di 150 prodotti delle principali case produttrici di portatili basati sul processore di nuova generazione, anche grazie ai suoi bassi consumi che consentono di incrementare la durata della batteria e di velocizzare la ricarica.
Saranno disponibili nove diverse configurazioni, a partire dal dual core i3-1110G4 con frequenza base di 1.8 GHz fino al quadcore i7-1185G7 con velocità massima di 4.9GHz, tutti con all'interno integrato il nuovo processore grafico Iris Xe. 
Le nuove piattaforme (Intel Evo) saranno equipaggiate con le nuove tecnologie di connessione Thunderbolt 4 (cavo) e Intel WiFi 6 (Gig+), con l'intento di fornire agli acquirenti la migliore esperienza utente possibile.
La nuova generazione di processori fa largo uso dell'Intelligenza Artificiale grazie all'introduzione del primo set di istruzioni per reti neurali inferenziali per la grafica integrata.
A ben guardare questa volta Intel sembra aver preso seriamente in considerazione anche un aspetto negli ultimi anni divenuto critico.
Non credo sia necessario ricordare che due grosse falle di sicurezza dei processori Intel (e non solo!) sono state messe in evidenza recentemente, conosciute dal 2018 coi nomi Meltdown e Spectre (vedi articolo) e seguite da più recenti vulnerabilità della stessa categoria. Per non parlare dei tentativi di correggere le falle via software che hanno causato ulteriori problemi e una generale degradazione delle prestazioni dei processori. 
La nuova generazione di processori Intel sembra fare un passo avanti anche nel campo della sicurezza, implementando la nuova tecnologia Intel Control-Flow Enforcement Technology (Intel CET).
Secondo gli esperti di Zero Day Initiative di Trend Micro la maggior parte degli attacchi scoperti si basano sulla cattiva gestione dell'accesso alla memoria e la nuova tecnologia intende prendere seriamente in considerazione questo problema fornendo ai programmatori diverse opzioni di sicurezza impiegabili per impedire attacchi di tipo "control-flow hijacking malware" grazie alle tecniche di  "indirect branch tracking" e "Shadow Stack". 

Tutto starà nel vedere se quanto promesso sarà mantenuto, noi ce lo auguriamo!

Alessandro Rugolo

Per approfondire:
- https://www.difesaonline.it/evidenza/cyber/meltdown-considerazioni-sullimpatto-sui-sistemi-classificati
- https://www.pcmag.com/news/intel-launches-11th-generation-core-tiger-lake-laptop-processors
- https://newsroom.intel.com/news-releases/11th-gen-tiger-lake-evo/#gs.ff40co
- https://newsroom.intel.com/editorials/intel-cet-answers-call-protect-common-malware-threats/#gs.ff7k3h
- https://www.lesnumeriques.com/informatique/meltdown-spectre-qu-faut-savoir-sur-faille-processeurs-n69881.html
- https://meltdownattack.com/
- https://www.zerodayinitiative.com/advisories/published/
- https://www.trendmicro.com/it_it/about/newsroom/press-releases/2019/20191210-trend-micro-zero-day-initiative-e-leader-nella-scoperta-delle-vulnerabilita.html
- https://software.intel.com/content/www/us/en/develop/articles/technical-look-control-flow-enforcement-technology.html

Come competere nel Cyberspace: il nuovo approccio

Il 25 agosto 2020, su Foreign Affairs, è stato pubblicato un articolo molto interessante, firmato Nakasone e Sulmeyer. Il primo, Paul Miki Nakasone, Comandante del US Cyber Command, Direttore della National Security Agency e Capo del Central Security Service. Il secondo, Michael Sulmeyer, è senior Advice di Nakasone presso lo US Cyber Command.

Nell'articolo si descrive il nuovo approccio seguito dal US Cyber Command e si ripercorre molto velocemente la storia del pensiero intorno alla Cyber Defense strategy americana. Prenderò spunto da questo per alcune considerazioni che ritengo siano fondamentali.

A partire dalla nascita del Cyber Command, nel 2010, si dice nell'articolo, l'assunto operativo era che il Comando Cyber dovesse concentrarsi nel prevenire infiltrazioni o tentativi di sabotaggio nei confronti delle reti militari, la postura cyber era dunque di tipo difensivo/reattivo, ma tale postura, nel tempo, si è dimostrata inefficace. 

Si è passati quindi verso una postura proattiva, chiamata "persistent engagement", applicata per esempio nel 2019 con le missioni di "hunt forward" in Montenegro. Le operazioni chiamate "hunt forward", che potrebbe tradursi con  "caccia d'anticipazione", sono considerate una componente essenziale nella protezione del territorio nazionale nell'ambito della strategia di "persistent engagement" in quanto servono a affrontare l'avversario dove esso opera, lavorando in collaborazione con gli alleati o coi partners che chiedono l'assistenza US per contrastare operazioni Cyber condotte nel proprio Paese.  

Dall'ingresso del Montenegro nella NATO nel 2017 diversi indizi di attacchi cyber nei confronti delle reti governative montenegrine (probabilmente da parte della Russia) hanno spinto verso una richiesta di aiuto agli US., presentata nel 2019.

Nell'ottobre 2019 iniziarono cosi le attività di hunt forward in Montenegro.

Una volta che una missione hunt forward viene completata, il Cyber Command lavora in stretto contatto con diversi dipartimenti governativi statunitensi per analizzare i dati raccolti che vengono utilizzati in diversi modi:

- per aiutare il Paese che ha richiesto assistenza a proteggersi meglio;

- per difendere meglio le proprie reti nazionali;

- per consentire l'update di prodotti antivirus.

Secondo l'articolo, l'effetto delle tante "hunt forward missions" condotte negli ultimi anni dal Comando Cyber è quello di ridurre l'efficacia dei malware e dei possibili avversari interessati al loro sfruttamento. Tutto ciò è sicuramente vero, come probabilmente è vero che esistono paesi come la Russia e la Cina (e diversi altri anche occidentali!) che utilizzano le debolezze delle reti e dei sistemi (e delle organizzazioni che le gestiscono) per avvantaggiarsi nel dominio mondiale.

Tale effetto però, occorre evidenziarlo in quanto non detto nell'articolo che sto commentando, non è l'unico, infatti tali attività consentono allo US Cyber Command di raccogliere informazioni importanti (direi meglio: vitali) sulla struttura delle reti e dei sistemi nazionali interessati, informazioni utili quando si è dalla stessa parte, ma ancora più utili in caso di contrasto.

E' anche per questo motivo che nelle politiche cyber di alcuni Stati esistono dei vincoli alla collaborazione in determinati settori riguardo le attività che possono essere condotte sui propri sistemi.  

Ogni nazione che aspiri a mantenersi indipendente deve essere capace di adattarsi ai tempi (si tratta di evoluzione) e nel nostro caso la riflessione sulle strategie militari e industriali deve essere posta alla base della indipendenza e sopravvivenza dello Stato. 

Ecco perché è importante investire nelle nuove tecnologie e far si che il Paese possa vantare un team di esperti nel settore cyber capace di lavorare per quanto possibile in autonomia e di valutare i rischi insiti nel rivolgersi ad altri in caso di bisogno.

Un avvertimento di Claude Shannon, uno dei padri della Teoria dell'Informazione, richiamato nell'articolo: "assume that the enemy knows the system", ci dovrebbe far riflettere...

 

Alessandro Rugolo

Per approfondire: 

- https://www.foreignaffairs.com/articles/united-states/2020-08-25/cybersecurity

- https://www.fifthdomain.com/dod/2020/02/12/how-hunt-forward-teams-can-help-defend-networks/

Trickbot: il trojan più diffuso nelle campagne COVID 19

Il malware Trickbot appartiene alla famiglia dei Trojan spyware, principalmente impiegato contro obiettivi del settore bancario.
La sua prima apparizione risale al 2016 e i suoi obiettivi sono stati identificati in diversi stati, tra cui Stati Uniti, Canada, Gran Bretagna, Germania, Australia, Autria, Irlanda e Svizzera.
Il malware, per quanto riguarda lo sviluppo, è stato scritto in C++, uno dei linguaggi capaci di accedere direttamente alla CPU, ai registri e alla memoria.
Trick bot è un trojan che funziona solo su piattaforme windows.
Una volta che il malware infetta un pc il suo compito consiste nel rubare le credenziali e informazioni bancarie ma è possibile impiegarlo anche per esportare files o dati in generale.
Il malware, in primo luogo, ha la capacità di caricare il codice all'interno del sistema da infettare e creare una replica di se stesso all'interno della cartella %APPDATA%, provvedendo a cancellare il file originale.
E' quindi capace di raccogliere informazioni sensibili quali dati personali e credenziali bancarie (utilizzando le informazioni raccolte dai browser) per poi esfiltrarle ma anche indirizzi email,
Tramite la sua catena di C2 è capace di aggiornare se stesso a nuove versioni e di esfiltrare i dati. Il canale impiegato per la sua catena C2 viene cifrato con cifratura simmetrica (AES CBC 256 bit).
E' capace di reindirizzare l'utente su siti falsi allo scopo di raccogliere le sue credenziali.
Trickbot è stato impiegato da alcuni gruppi, in particolare da TA505 e Wizard Spider.
Esistono varie versioni del malware, per sistemi a 32 e 64 bit.
Il vettore di infezione generalmente è un file Word con macro attive, ricevuto via email durante una campagna di spearphishing.
E' possibile individuare la presenza di Trickbot sul nostro sistema in modalità manuale semplicemente osservando la cartella %APPDATA% e verificando la presenza dei due file tipici di Trickbot:
- client_id, che contiene i dati identificativi di un utente infetto;
- group_tag, che contiene i dati identificativi della campagna di infezione.
Nella stessa cartella è presente il file eseguibile di Trickbot copiato inizialmente dal file originale.
Sembra invece che al momento non esista modo di individuare la sua presenza tramite sistemi di analisi automatica del traffico, in quanto il traffico creato verso il sistema di C2 è cifrato (SSL).
E' invece possibile individuarlo tramite l'analisi della memoria, ma occorre tenere conto che le differenti versioni lasciano tracce differenti.
Per la rimozione di Trickbot si può fare riferimento ad alcuni software come "malwarebytes" oppure si deve procedere manualmente, a seconda della versione del sistema operativo, niente di impossibile, ma non facilissimo.
Trickbot è un malware diffuso attraverso campagne di phishing o spearphishing dunque è molto importante fare estrema attenzione alle email ricevute e adottare il sano principio di "non aprire una email o un file sospetto", anche se non sempre di facile applicazione.

Trickbot, come ogni malware, sfrutta le falle di sicurezza dei sistemi.
Per proteggersi a volte e sufficiente la corretta configurazione dei sistemi in uso, con particolare riferimento al corretto impiego degli account di amministrazione.
Raccomandiamo inoltre l'impiego di software e sistemi coperti dal supporto della casa madre, in particolare per quanto riguarda i Sistemi Operativi che sono alla base della sicurezza.
L'impiego di "Endpoint Detection and Response" può essere d'aiuto, a patto che il personale sia in grado di gestirli.   


Alessandro Rugolo


Per approfondire:

- https://fraudwatchinternational.com/malware/trickbot-malware-works/
- https://attack.mitre.org/software/S0266/
- https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-for-malware-analysis.html
- https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-report-S2-Grupo.pdf
- https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
- https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain-trickbot-microsoft-a-14149

L'Intelligenza Artificiale per la conversione tra linguaggi di programmazione

Non ci stupiamo più quando sentiamo parlare di Intelligenza Artificiale, come peraltro aveva previsto Alan Turing ormai 70 anni fa, nel suo saggio "Computing Machinery and Intelligence".
Non ci stupisce neppure vedere le evoluzioni di un robot antropomorfo, dotato di sensori, capace di parlare, scrivere, giocare a scacchi o svolgere i più disparati compiti.
La tecnologia procede velocemente e siamo ad un passo dal vedere circolare in mezzo alla razza umana, una nuova razza, più evoluta, quella dei cyborg...

Potreste pensare, a prima vista, che le righe appena lette provengano da una qualche antologia del fantastico, di quelle tanto in voga trent'anni fa tra i lettori accaldati delle spiaggie italiane, ma non è così, si tratta di realtà.

L'Intelligenza Artificiale ha ormai sorpassato la fase di test e si prepara ad entrare prepotentemente nella nostra vita di tutti i giorni, quella quotidiana dell'uomo della strada e quella lavorativa delle società.

Dal mondo dei social, facebook, viene una novità sull'impiego dell'Intelligenza Artificiale: "Facebook's AI Transcoder". Vediamo di che si tratta.
Sono i ricercatori di Facebook che hanno realizzato il primo "Neural Transcompiler", un convertitore di codice per linguaggi di programmazione.
Si tratta di un sistema basato sulla AI capace di convertire il codice di linguaggi di programmazione di alto livello (Java, Python, C++...) in altri linguaggi di programmazione e viceversa.
Il sistema realizzato appartiene alla categoria detta "Unsupervised", ovvero senza necessità di istruzione su dati di training e, teoricamente, senza necessità di supervisione umana.

L'esigenza di conversione di codice di programmazione tra differenti linguaggi è molto sentita.
Con l'evoluzione dell'informatica e lo sviluppo di differenti linguaggi di programmazione si è visto che non sempre era economico e fattibile il passaggio a nuovi sistemi o piattaforme informative a causa della mancata conoscenza dei linguaggi di programmazione più vecchi. 
Per il passaggio di grossi sistemi, per esempio quelli bancari, i costi sono divenuti esorbitanti e qui potrebbe entrare in gioco il nuovo neural transcompiler.
Il nuovo sistema si basa sull'impiego di un "cross-lingual language" (per la fase di pre-training) che mappa le espressioni aventi significato simile dei differenti linguaggi di programmazione .

L'accuratezza del nuovo sistema è molto elevata, almeno nel passaggio tra il C++ e Java (si arriva ad un 74,8%), mentre scende al 67,2% quando si tratta di passare da C++ a Python.
Risultati ancora migliori si hanno nel passaggio da Java a C++ (91,6%).
Accuratezza più modesta per il passaggio da Python a Java (56,1%) e da Python a C++ (57,8%).

Nel mondo industriale e militare non è strano trovare sistemi vecchi di decenni ancora in uso a causa della impossibilità di conversione e degli enormi costi da sostenere per l'ammodernamento, in questo settore di mercato, non piccolo, si posiziona il nuovo strumento.
Ci vorrà un po di tempo per migliorare l'accuratezza del sistema, soprattutto per la conversione da sistemi realizzati con i linguaggi più vecchi verso quelli più recenti, ma la strada sembra definitivamente aperta.
Dal punto di vista della sicurezza è tutta un'altra questione e andrà studiata daccapo, caso per caso.

Alessandro Rugolo 


Per approfondire:
- https://medium.com/@learnbay/facebooks-ai-transcoder-6299a62bf222
- https://medium.com/@learnbay/facebooks-ai-transcoder-6299a62bf222
- https://www.infoq.com/news/2020/06/facebook-ai-transpiler/
- https://medium.com/swlh/transcoder-facebooks-unsupervised-programming-language-translator-10b82d1c7a9e

Il futuro della crittografia a chiave pubblica nell’era del quantum computing.

IBM Q System One, prototipo di computer quantistico

di Mario Raso

Negli ultimi anni il mondo accademico, industriale e governativo ha investito energie e risorse nel campo della computazione quantistica, in computer che sfruttano i fenomeni della meccanica quantistica per risolvere problemi matematici difficili o impraticabili per i computer convenzionali. 

Se la produzione su larga scala di computer quantistici dovesse mai avviarsi, saranno in grado di frantumare molti dei sistemi di crittografia a chiave pubblica (o asimmetrica) attualmente in uso. Ciò comprometterebbe seriamente la riservatezza e l’integrità delle comunicazioni digitali su Internet e altrove. 

In tale contesto, l’obiettivo della crittografia post-quantum (o quantum-safe) è sviluppare cifrari che siano sicuri, sia da attacchi di crittoanalisi condotti con computer quantistici, sia classici, e che possano interagire nel contempo con i protocolli e le reti di comunicazione esistenti.

Se da un lato la crittografia a chiave pubblica, a doppia chiave per la cifratura/decifratura, possa essere messa in serio pericolo dall’avvento dei computer quantistici, la crittografia simmetrica (o privata) e le funzioni di hash si basano su problemi resistenti agli algoritmi quantistici. Tra questi, la minaccia maggiore ai cifrari simmetrici è rappresentata dall’algoritmo di Grover (ideato da Lov Grover nel 1996 presso i Bell Labs [1]). Tale algoritmo in esecuzione su un computer quantistico consente di eseguire ricerche di un elemento all’interno di una lista non ordinata di lunghezza N, in un tempo proporzionale alla radice quadrata di N. Al contrario, su un computer classico il tempo sarebbe proporzionale a N. Ciò vuol dire che per ottenere lo stesso livello di sicurezza occorre raddoppiare la lunghezza della chiave. 

Tra gli algoritmi a chiave simmetrica, l’Advanced Encryption Standard (AES), il Blowfish, il Twofish o il Serpent, con una lunghezza della chiave superiore o uguale a 256 bit e sotto opportune condizioni, potranno dimostrarsi quantum-safe. 

Sul fronte della crittografia asimmetrica, invece, la prospettiva è meno rassicurante. I crittosistemi a chiave pubblica vengono utilizzati principalmente per svolgere due compiti fondamentali, lo scambio sicuro di chiavi, per il loro successivo impiego con cifrari simmetrici, e la firma digitale. 

Tra i cifrari a chiave pubblica più noti ed attualmente in uso, rientrano:

• RSA, basato sul problema della fattorizzazione dei numeri interi;
• crittografia a curve ellittiche, che fonda la sua sicurezza sulla difficoltà di eseguire determinate operazioni sui punti di questa tipologia di curve;
• Diffie-Hellman, incentrato sulla difficoltà di calcolo del logaritmo discreto su alcuni gruppi ciclici.

Verso ciascuno di essi è possibile condurre agevolmente un attacco di crittoanalisi, decrittandone l’informazione senza l’uso della chiave, mediante l’algoritmo di Shor (ideato da Peter Shor nel 1994 [2]) in esecuzione su un computer quantistico. Il motivo per il quale l’algoritmo di Shor è in grado di “rompere” i sistemi crittografici a chiave pubblica è la conseguenza del fatto che essi si basano su problemi con complessità computazionale non polinomiale, risolvibili da un calcolatore quantistico in un tempo polinomiale. Nello specifico, dato un intero N l’algoritmo di Shor lo fattorizza in un tempo polinomiale in log (N), mentre su un computer classico il tempo è esponenziale in N.

Motivato da queste considerazioni, lo statunitense National Institute of Standards and Technology (NIST) ha intrapreso la selezione di algoritmi crittografici a chiave pubblica quantum-safe al termine di una call pubblica, annunciata durante la PQCrypto conference del 2016 ed avviata a dicembre dello stesso anno. 

L’invito ha raccolto 82 algoritmi candidabili che attraverso processi di revisione paritaria e round di selezione ne ha ristretto il campo, per volgere al termine, presumibilmente entro il 2024, con il rilascio di uno standard. 

I nuovi cifrari saranno adottati dagli Stati Uniti in analogia a precedenti iniziative per l’introduzione del Data Encryption Standard (DES) e dell’AES.

Tra le classi di algoritmi post-quantum che si stanno dimostrando le più promettenti si annoverano gli algoritmi basati sui “codici correttori d’errore” (Code-based cryptography) che, introdotti nel 1978 dall’americano Robert McEliece [3] per la crittografia a chiave pubblica, non ebbero molta fortuna per via dell’eccessiva dimensione della chiave. Gli stessi, oggi contano varianti capaci di offrire dimensioni delle chiavi notevolmente ridotte e competitive. Questi algoritmi si basano sulla difficoltà di compiere ricerche all’interno di un insieme enorme non-ordinato di numeri. È stato teoricamente provato, altresì, che essi appartengono alla classe di problemi cosiddetti NP (Non-deterministic Polynomial) che potrebbero resistere alla computazione quantistica. 

Una seconda classe, Multivariate Cryptography [4], si basa sulla difficoltà di risolvere sistemi di equazioni algebriche quadratiche in molte variabili (NP-hardness). 

Una terza classe è quella basata sul concetto algebrico di “reticolo” (Lattice-based cryptography), comprese le varianti basate sul problema del “learning with errors”, che consiste nella ricostruzione di una funzione da alcune sue imprecise valutazioni [5]. Tale formulazione ha consentito di definire taluni algoritmi innovativi per la crittografia asimmetrica, corredati di severe dimostrazioni di sicurezza.

L’implementazione di nuovi cifrari a chiave pubblica quantum-safe rappresenta oggi uno sforzo ineludibile. La pervasività dell’uso degli attuali algoritmi a chiave pubblica tocca la quotidianità di ciascuno, dalla navigazione sicura su Internet ai sistemi di sicurezza bancari, dalla firma digitale alle crypto-valute. 

Una corsa contro il tempo per taluni, mentre per altri occorrerà ancora del tempo affinché la potenza computazionale di un computer quantistico possa raggiungere il livello necessario per rendere obsoleti gli standard attuali.

Nel frattempo, però, nel settore privato colossi quali Google e IBM conducono esperimenti volti ad acquisire la cosiddetta “supremazia quantistica”, sfidandosi reciprocamente nel conseguimento di nuovi e sempre più ambiziosi primati computazionali. Inoltre, con lo stesso scopo, in ambito internazionale, super-potenze quali Stati Uniti e Cina, nonché l’Unione Europea, stanno operando investimenti sempre maggiori per lo sviluppo di piani di ricerca nel settore del quantum computing. La Cina, ad esempio, ha recentemente reso nota l’intenzione di realizzare entro il 2020, a Hefei, un laboratorio nazionale per le scienze dell’informazione quantistica, a cui sarà assegnato un budget pluriennale pari a ben dieci miliardi di dollari [6]. 

Nel contempo, in ambito europeo, la neo Presidente della Commissione Europea, Ursula von der Leyen, si è pronunciata sul tema affermando che il quantum computing rientra tra le priorità dell’Unione e manifestando la volontà di sostenere le iniziative di sviluppo in tale ambito, rendendo anche disponibili le risorse computazionali europee al mondo accademico e della ricerca, attraverso il cloud. A tal scopo, l’Unione ha messo a disposizione un miliardo di dollari da impiegare entro i prossimi dieci anni [7], per lo sviluppo di taluni progetti già individuati. 

In tale contesto, la ragione che è alla base della spasmodica “corsa” degli attori statuali e privati, volta a raggiungere la citata supremazia nel campo del quantum computing, è riscontrabile nelle parole che Mike McCaul [8], politico nordamericano e membro dell’American Enterprise Institute, pronunciò nel 2018 riguardo la concorrenza nel campo del quantum computing degli Stati Uniti con avversari globali quali Cina, Russia, Corea del Nord e Iran: “Ritengo che qualunque super-potenza raggiunga in anticipo sulle altre tale traguardo, si doterebbe della prima bomba nucleare digitale”.

Bibliografia e sitografia:

1. Grover, “A fast quantum mechanical algorithm for database search”, Proceedings, 28th Annual ACM Symposium on the Theory of Computing, p. 212, 1996.
2. Shor, “Algorithms for quantum computation: Discrete log and factoring”, in Proceedings of the 35th Annual Symposium on the Foundations of Computer Science, Santa Fe, IEEE Computer Society Press, pp. 124-134, 1994.
3. McEliece, “Public-Key System Based on Algebraic Coding Theory”, DSN Progress Report 44, pp. 114-116, 1978.
4. Matsumoto, Imai, “A class of asymmetric cryptosystems based onpolynomials over finite rings”, IEEE International Symposium on InformationTheory, Abstract of Papers, pp.131-132, 1983.
5. Goldreich, Goldwasser, Halevi, “Public-key cryptosystem from lattice reductions problem”, in Proc. of Crypto ’97, volume 1294 of LNCS pp. 112-131, IACR, Springer-Verlag, 1997.

6. https://itbrief.com.au/story/apac-jumps-on-quantum-computing-bandwagon

7. https://www.ilsole24ore.com/art/la-cina-l-occidente-e-sfida-globale-big-quantum-computing-ACvy20u

8. https://fedmanager.com/news/congressman-quantum-computing-equivalent-to-being-first-to-acquire-digital-nuclear-bomb

Supercomputers europei hackerati: chi c'è dietro?

Nel maggio scorso sono apparsi alcuni articoli in cui si leggeva che diversi supercomputer europei (almeno dodici) sono stati hackerati, l'accesso disabilitato, e si è dovuto procedere al loro spegnimento per ripristinarne le condizioni di sicurezza.
Sembra che lo scopo degli attaccanti fosse quello di cercare di sfruttare le enormi potenzialità dei supercomputer per "minare crypto currency".
L'11 maggio è stato attaccato il supercomputer dell'Università di Edimburgo , sul quale era stato installato ultimamente un programma per la simulazione di pandemie, a disposizione di scienziati e ricercatori del settore. Il National Cyber Security Centre britannico, subito informato, ha lavorato assieme ai tecnici dell'Università per risolvere i problemi riscontrati.
Il supercomputer, chiamato ARCHER, è un modello Cray XC30, dotato di 118.080 processori Intel Xeon E5, modello comunque ormai sorpassato e che a breve sarà dismesso.
Nella stessa data altri 5 supercomputers in Germania sono stati attaccati e spenti. Stesso destino per alcuni supercomputer in Svizzera e Spagna.
Dalle prime analisi è risultato che gli hacker hanno avuto accesso ai supercomputers attravero una connessione "Secure Shell", impiegata dai ricercatori per collegarsi da remoto. Una volta guadagnato l'accesso hanno installato dei malware capaci di minare cryptocurrency.
Secondo alcuni analisti si tratterebbe, invece, non di un comune tentativo da parte di hacker maldestri di sfruttare le immense risorse dei supercomputer ma di una mossa da parte di alcuni Stati di disturbare le ricerche britanniche sulla pandemia di Coronavirus.
In effetti, a ben guardare, lo spegnimento di alcuni supercomputer non può essere considerato un buon metodo per minare cryptocurrency!
Gli Stati Uniti hanno accusato Cina e Iran di essere gli artefici di attacchi simili contro Università e centri di ricerca al lavoro sui vaccini per il Coronavirus.
Se si accede alla pagina di servizio di ARCHER, è possibile vedere l'impatto dell'attacco sui servizi.

Nella immagine successiva ho evidenziato il periodo di disservizio, durante il quale è possibile vedere l'interruzione totale fino al 26 maggio.

Nel periodo successivo si è continuato a lavorare su vari problemi, risolti apparentemente a partire dal 18 giugno.
Dopo il 18 giugno è possibile leggere che vi sono stati dei problemi di tipo elettrico, anch'essi risolti a partire dal 25 giugno.
Se si dedica un po di tempo alla lettura dei commenti all'incidente in alcuni forum, è possibile trovare diverse spiegazioni dell'accaduto e alcuni utenti sostengono che quanto accaduto dipenda dalla architettura di sicurezza di accesso al supercomputer, non correttamente configurata.
Purtroppo non sono in grado di dire cosa possa essere realmente accaduto, e ritengo che solo una analisi accurata su tutti i supercomputer hackerati possa dare dei risultati seri.
Diversi report tecnici, comunque, descrivono l'accaduto, indicando tentativi di mining di cryptovalute, se ciò fosse vero si potrebbe ipotizzare che alla campagna hacker si sia sommata una seconda campagna di Stratcom, con obiettivi totalmente differenti.
Una cosa è certa però, se è vero che gli attacchi verso i supercomputer sono stati fino ad ora, una rarità, è anche vero che per chi ha interesse in tecnologie all'avanguardia, per esempio nei vaccini per il Covid 19, i supercomputers rappresentano una preda ambita.

Vedremo cosa ci riserva il futuro.

Alessandro Rugolo

Per approfondire:
- https://www.bbc.com/news/technology-52709660?intlink_from_url=https://www.bbc.com/news/topics/cp3mvpdp1r2t/cyber-attacks&link_location=live-reporting-story
- https://www.theregister.com/2020/05/13/uk_archer_supercomputer_cyberattack/
- https://www.nytimes.com/2020/05/10/us/politics/coronavirus-china-cyber-hacking.html
- https://www.theregister.com/2020/05/05/coronavirus_research_hacking/
- https://www.archer.ac.uk/status/
- https://tech.newstatesman.com/security/archer-supercomputer-cyber-attack
- https://www.cadosecurity.com/2020/05/16/1318/
- https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/