Il CISCO Co-Innovation Centre di Milano ad un anno dall'apertura

Nel gennaio 2020, ha aperto a Milano, all’interno della struttura del Museo delle Scienze, primo in Europa, il Cisco Cybersecurity Co-Innovation Center. 

A distanza di poco più di un anno ci è sembrato utile capire come vanno le cose. Così abbiamo pensato di intervistare il direttore, Fabio Florio. 

Fabio ci ha raccontato le sue esperienze in Cisco (tra cui la digitalizzazione di Expo Milano) e le attività svolte nel primo anno di vita del co-innovation centre. 

Fabio, il Co-Innovation Centre di Milano è l’ultimo investimento di Cisco in Italia. Il Centro ha aperto ormai da un anno per cui è tempo di trarre qualche insegnamento. Ci potete raccontare di cosa vi occupate, in quali settori agite? 

Il Co-Innovation Centre fa parte di un più ampio programma di investimenti della multinazionale Cisco nel mondo. Facciamo parte di una rete di centri di ricerca, ognuno si occupa di argomenti specifici, nel nostro caso i settori individuati sono la cybersecurity e la data privacy, aree in cui a nostro parere è necessario mettere assieme le competenze, anche per trovare le leve giuste per combattere questa guerra, perché di questo si tratta. 

Il nostro compito è quello di favorire l’innovazione in Italia attraverso investimenti mirati anche alla formazione. 

Per poter svolgere il nostro lavoro abbiamo bisogno di competenze in diversi campi, ed è per questo che diciamo “co-innovation” e non “innovation”. Co-innovare significa creare nuove soluzioni, insieme. 

Nel settore della ricerca e innovazione Cisco è all’avanguardia nel mondo. Quali sono le iniziative in Italia? Quali sono le partnership con Università e centri di ricerca? La collaborazione è limitata, può migliorare o ha raggiunto un buon livello?

Crediamo fermamente nell’importanza di lavorare in rete per cui le nostre iniziative non sono mirate solo a far conoscere i prodotti di Cisco ma coinvolgono anche altri attori, in primo luogo i nostri clienti, i nostri partner, le start up, le Università e le scuole più in generale. Per esempio lavoriamo molto con il CINI (Consorzio Interuniversitario Nazionale per l’Informatica), anch’esso molto attivo nella cybersecurity. 

Le competenze più forti sono nel campo della formazione e il nostro obiettivo consiste nell’avvicinare i giovani alle tecnologie digitali, è anche per questo che abbiamo scelto il Museo della Scienza e della tecnica di Milano come sede. 

Spesso si sente dire che le tecnologie digitali, comprendendo sia il software che l’hardware, possiedono delle vulnerabilità ed è vero, ma non dobbiamo dimenticare che la vulnerabilità principale, l’anello debole della catena della sicurezza, è ancora l’uomo. 

La scarsa conoscenza dei sistemi, la tendenza ad ignorare le procedure di sicurezza per semplicità e a volte la mala fede, sono il vero problema. 

In questo settore c’è ancora molto da fare. Quello che occorre fare è sicuramente favorire la crescita della cultura nell’ambito della cyber security. Tra i temi più importanti vi è quello della “threat intelligence”, infatti in Cisco abbiamo un team di ingegneri e analisti che si occupa di ricerca e analisi dei rischi legati al mondo cyber, Talos. 

In media, giornalmente, vengono raccolti in tutto il mondo i dati relativi a circa 20 miliardi di attacchi, dati raccolti dai nostri sistemi e dai sistemi dei nostri clienti che decidono di condividerli per aiutarci a migliorare la sicurezza su Internet. Il nostro team lavora quotidianamente all’analisi di questi dati. 

Cisco è una multinazionale basata principalmente sul networking. Le cose stanno ancora così? 

In realtà le cose stanno cambiando. Certo, il networking è sempre importante, circa l’80-85% degli apparati di rete nel mondo è Cisco, ma altri settori si sono affiancati: la cyber security e le piattaforme di collaboration, videocomunicazione e telefonia, data center e soluzioni di virtualizzazione. A questi si affianca anche l’IoT. 

Oramai, sempre più, i nostri sistemi di rete sono integrati con i sistemi di sicurezza. Il nostro approccio è basato sulle architetture. Non si può più lavorare sulla sicurezza a posteriori, ma occorre pensare la sicurezza al momento in cui si crea l’architettura. 

Ormai essere attaccati è una cosa prevedibile, prima o poi tutti vengono attaccati. E’ importante essere in grado di difendersi ma anche di intercettare un attacco, rimediare e reagire. Non sono in tanti ad averlo capito, e questo è un problema. 

Per tornare alla formazione, qual è il vostro tipo di utenza? 

Sulla formazione noi facciamo leva sulla Cisco Networking Academy, creiamo contenuti che poi distribuiamo attraverso la nostra rete di partner educativi (le Academy). 

Principalmente ci rivolgiamo a giovani dalla quarta superiore in su, perché riusciamo a contribuire dando delle competenze che li aiutano a trovare lavoro, ma lavoriamo anche con istituzioni, realtà non profit, enti di formazione. 

Esistono corsi generalisti e anche specifici sulle tecnologie Cisco. Di solito chi si prende le certificazioni specialistiche nel giro di qualche mese riesce a trovare lavoro in quanto c’è una grande richiesta nel panorama italiano anche per chi non è laureato. 

Abbiamo rafforzato questo impegno nel quadro del programma Digitaliani e ormai abbiamo una media di 50.000 studenti l’anno, 8.000 che si certificano, e 345 Academy. 

Rendiamo disponibili questi corsi anche per il “re-skilling”, in ambito aziendale e pubblica amministrazione, che mira a riqualificare il personale nei nuovi settori e nel campo della digitalizzazione. 

Lavoriamo anche in contesti diversi. Per esempio, fin dal 2001 abbiamo portato una Networking Academy presso il carcere di Bollate. In questo modo cerchiamo di aiutare chi ha avuto problemi e magari, grazie a nuove motivazioni e nuove capacità, riesce a trovare un lavoro. In Italia ci sono già dieci carceri maschili e tre femminili che fanno parte del programma.

Tutti i processi interni aziendali stanno cambiando e non è facile trovare persone con le giuste competenze per ridisegnare i processi per il mondo digitale. 

Quello che vedo in Italia è che pian piano si sta migliorando ma manca ancora la capacità di capire come la digitalizzazione può aiutare a cambiare il lavoro. 

Cosa ci dici del mondo della Pubblica Amministrazione? 

Io vedo un ambiente che viaggia a marce diverse. Se parliamo a livello PA locale, esistono comuni preparati, ma sono pochi. Normalmente facciamo fatica a creare qualcosa perché sono molto ingolfati nella gestione quotidiana. 

A livello regionale le cose sono migliori in generale, anche perché spesso ci sono delle società “in-house” che si occupano proprio della digitalizzazione. 

A livello ministeriale è ancora diverso in quanto le risorse disponibili sono maggiori. 

Uno dei problemi che noi affrontiamo giornalmente è quello di far capire che per digitalizzare occorre studiare i processi interni e spesso modificarli per poter impiegare proficuamente le potenzialità delle nuove tecnologie. 

Noi cerchiamo di far capire che, al di là della tecnologia, occorre porsi delle domande: 

- quali sono gli aspetti organizzativi che occorre tenere in considerazione? 

- quali sono le competenze che il personale aziendale deve avere per gestire il nuovo processo digitale rispetto ad un processo analogico? 

Uno degli aspetti importanti se si vuol cambiare è che occorre essere coraggiosi e che bisogna avere voglia di cambiare le cose. 

Le vulnerabilità spesso sono anche hardware, non solo software. Quanto è importante l’hardware nella sicurezza? 

Hai toccato un aspetto importante in quanto non solo il software deve essere sicuro ma anche l’hardware. Noi pensiamo che la soluzione stia nello sviluppo chiamato “secure by design”. In ogni prodotto che noi sviluppiamo abbiamo due figure che partecipano al progetto sin dall’inizio, il security engineer e il privacy engineer. 

Una delle problematiche attuali su cui in Europa (e anche in Italia) si dibatte è quella della supremazia nazionale di alcuni settori strategici e anche dei dati. Cosa ne pensi? 

Secondo me è una cosa importante ma non so quanto sia fattibile. Credo che sia più importante sapere che chi ti dà il servizio è affidabile e capace di fornirti il servizio di cui hai bisogno. Devono esistere delle regole chiare che devono essere gestite in modo trasparente. 

Nuovi progetti per il futuro? 

Credo che adesso sia molto importante concentrarsi sui fondi che arriveranno sul Recovery Fund. Intorno a questi fondi (57% circa del totale) dovranno essere sviluppati tanti progetti per spendere le risorse che arriveranno e spenderle bene, su progetti che ci aiuteranno a cambiare realmente la nostra società. 

La pandemia ci ha portato ad un mondo quasi totalmente virtuale, il futuro probabilmente sarà ibrido e sarà importante avere dei progetti ben fatti. 

In questo ambito noi siamo impegnati sia nel settore collaboration che della sicurezza. 

Cosa ne pensi del concetto di “gamification” nell’ambito della cyber? Cosa fate voi in questo settore? 

Noi usiamo il principio anche per lo sviluppo della formazione interna di Cisco. E’ un po’ il futuro ed è sicuramente utile in quanto aiuta a completare dei percorsi e a mantenere vivo l’interesse. Non è facile ma probabilmente occorre abbinare il gaming al corso classico, per alzare la motivazione e stimolarti ad andare avanti. Noi abbiamo un’altra iniziativa di responsabilità sociale che chiamiamo “A scuola di internet”. In pratica noi dipendenti Cisco andiamo in giro per le scuole e spieghiamo a studenti e genitori le nuove tecnologie e i rischi che si devono affrontare. In quest’ambito per esempio abbiamo impiegato queste metodologie per stimolare l’audience e penso che sia un ottimo metodo per coinvolgere le persone. 

Grazie per l'aggiornamento e speriamo di rivederci presto, magari a Milano.

Alessandro Rugolo e Giovanni Di Venuta 

Per approfondire: 

- https://www.cisco.com/c/m/en_uk/innovation-centers/milan.html#~mission 

- https://www.consorzio-cini.it/index.php/it/ 

- Cisco Talos - Threat Intelligence Research Team – Cisco 

- UniCredit e CISCO Networking Academy al Carcere di Bollate - UniCredit (unicreditgroup.eu) 

- https://www.cisco.com/c/it_it/training-events/networking-academy.html

Exercise Locked Shields: quest'anno vince la Svezia

Anche quest'anno, tra il 13 e il 16 aprile, si è tenuta l'esercitazione cyber Locked Shields. 

Come ogni anno i preparativi e lo svolgimento dell'esercitazione hanno visto impegnati migliaia di esperti civili e militari nel cercare di proteggere le reti e i sistemi di propria competenza. I numeri sono rappresentativi: trenta paesi partecipanti, circa 2000 esperti, 5000 sistemi virtualizzati e 4000 differenti attacchi!

Ventidue le squadre partecipanti quest'anno. 

Novità anche in relazione ai settori interessati, oltre alla cyber in tutti i suoi aspetti, le squadre in gioco hanno dovuto affrontare operazioni di influenza condotte attraverso Information Operations. Tra gli obiettivi dell'esercitazione infatti vi era anche l'esame di come l'evoluzione tecnologica e le deepfakes potranno influire sui conflitti futuri.

Oltre ad aspetti tecnici, l'esercitazione ha toccato aspetti strategici allo scopo di esercitare tutta la catena di comando nazionale interessata nel caso di un evento cyber di grande ampiezza. Per gestire l'interruzione di parte dei servizi finanziari mondiali, prevista nello scenario, è stato interessato il Financial Services Information Sharing and Analysis Center (FS-ISAC), unica comunità che si occupa esclusivamente di cyber intelligence sui servizi finanziari. Nello scenario sono stati introdotti elementi importanti derivati dalla pandemia tuttora in corso, come l'incremento del telelavoro e l'aumento dei servizi on-line.

Come tutte le competizioni vi è una graduatoria e un vincitore. 

Quest'anno è stata la Svezia a ottenere il punteggio migliore, seguita dalla Finlandia in seconda posizione e dalla Repubblica Ceca in terza. 

Complimenti alle rispettive squadre per l'ottimo risultato ottenuto!

Dopo i complimenti ai vincitori è tempo di alcune brevi considerazioni di carattere generale.

Tanto per cominciare, da italiani ci chiediamo cosa abbia fatto il nostro team, sempre che abbia partecipato.

Seconda domanda: che fine hanno fatto i paesi considerati da tutti più avanzati nel settore? Dove sono gli Stati Uniti, il Regno Unito, la Francia... per citarne solo alcuni? 

Siamo consapevoli che si tratti di una esercitazione e come tale va presa, ma se veramente è la più grande esercitazione cyber del mondo (occidentale) ci si dovrebbe aspettare una graduatoria differente!

Ma tant'è! Forse ci sbagliamo... 

In attesa di avere qualche informazione in più, ancora complimenti ai vincitori.

Bravi!  

P.S. L'esercitazione Locked

Shields 2021 è stata organizzata dal CCDCOE, in cooperazione con la NATO Communications and Information Agency, Estonian Ministry of Defence, Estonian Defence Forces, Siemens, Ericsson, TalTech, Foundation CR14, Bittium, Clarified Security, Arctic Security, Cisco, Stamus Networks, VMware, SpaceIT, Sentinel, Financial Service Information Sharing and Analysis Center (FS-ISAC), US Defense Innovation Unit, Microsoft, Atech, Avibras, SUTD iTrust Singapore, The European Centre of Excellence for Countering Hybrid Threats, NATO Strategic Communications Centre of Excellence, European Defence Agency, Space ISAC, US Federal Bureau of Investigation (FBI), STM, VTT Technical Research Centre of Finland Ltd, NATO M&S COE e PaloAlto networks. 

Alessandro Rugolo & Danilo Mancinone

Per approfondire:

- https://ccdcoe.org/news/2021/sweden-scored-highest-at-the-cyber-defence-exercise-locked-shields-2021/

- https://news.err.ee/1608174550/locked-shields-2021-largest-cyber-defense-exercise-worldwide

- https://www.securitylab.ru/news/519009.php

- https://honvedelem.hu/hirek/locked-shields-2021-tobbnemzeti-kibervedelmi-gyakorlat.html

- https://balticword.com/worlds-largest-international-live-fire-cyber-exercise-to-be-launched-next-week/

- FS-ISAC Leads Financial Sector in World’s Largest International Live-Fire Cyber Exercise

- La Francia si impone alla Locked Shield 2019 - Difesa Online

Facebook Data Public Disclosure e l’inquietante sensazione dell’assuefazione al data breach

La tecnologia non fa eccezione, come ogni altro ambito della società ha i suoi argomenti di grido e alcune parole magiche che sono sulla bocca di tutti.

La sicurezza informatica negli ultimi due lustri è di diritto sul podio tra gli argomenti che stanno dominando il panorama internazionale tecnologico. Fenomeno osservabile non soltanto nei laboratori di produttori di hardware e software, altresì ha avuto grande risalto anche nei saloni dove si discutono le strategie sociopolitiche internazionali.

Dal 2016 infatti uno degli argomenti che ha maggiormente occupato i pensieri, e per qualcuno le notti insonni, è stata la gestione corretta dei dati personali con l’ormai famoso e solo parzialmente digerito Regolamento Generale per la Protezione dei Dati Personali europeo in breve GDPR. 

Questo regolamento ha svolto il ruolo di rampa di lancio per tutta un’altra serie di attenzioni tra cui l’imposizione di applicare misure di sicurezza adeguate ai sistemi ed ai dati personali. 

Obbligo che si lega a doppio filo con il fenomeno del furto dei dati che in contemporanea è diventato sempre più pressantemente incubo dei responsabili della sicurezza delle informazioni di tutto il mondo.

Con la sensibilizzazione di poteri legislativi e degli esperti informatici anche i mezzi di comunicazione hanno iniziato a fiutare l’interesse che questi aspetti avrebbero potuto suscitare sul pubblico generalista e per questo motivo sono nati molti format che hanno cavalcato il fenomeno della sicurezza informatica.

Si annoverano ormai diversi film, documentari, serie TV e diversi speciali verticali che sono andati in onda sulle reti nazionali per eccellenza.

Questa ampia premessa vuole introdurre quella che è solo l’ultima notizia che ha investito la rete e i mezzi di comunicazione che ha come protagonista il social network per eccellenza, Facebook.

Sto parlando del portale di socializzazione che ha inequivocabilmente segnato l’inizio di una nuova vita sociale e ha stravolto in maniera probabilmente irreversibile il modo in cui la gente si conosce.

È infatti disponibile da qualche giorno un imponente archivio di dati, che sembra si attesti attorno ai 15GB, che contiene tutti i dati che erano stati trafugati dai sistemi del sopracitato sito nel non così lontano 2019.

All’interno di questo archivio sono presenti informazioni molto rilevanti come il numero di telefono degli utenti utilizzato per la conferma degli account, nomi, cognomi, indirizzo di posta elettronica.

La notizia in realtà è diventata d’interesse globale in questi giorni perché una volta che questi dati hanno perso qualsiasi valore economico qualcuno ha deciso di renderli disponibili gratuitamente per tutti.

Non è da trascurare però il punto cardine di questo evento, i dati rubati sono stati prima di tutto messi in vendita nel famoso “dark Web”.

Non serve troppa immaginazione per indovinare quale possa essere il cliente ideale per questo prodotto. Organizzazioni interessate ad un’ampia lista di contatti a cui “comunicare” informazioni a fini pubblicitari ad esempio.

Ma peggio ancora questo tipo di basi dati sono molto utili alle organizzazioni malevole che effettuano attacchi di vario tipo. 

Sono ottime fonti per lanciare campagne di phishing, campagne di “spray attack” e vista la grande mole di dati non ci si stupirebbe se fosse possibile effettuare attività di “data mining” trovando pattern di attacco ottimi per il social engineering.

I numeri di telefono infine sono ottimi mezzi di attacco per lo “smishing” e ideali da vendere a società di telemarketing di tutto il mondo.

Una volta che tutto il bacino di possibili acquirenti di questo prodotto risulta esaurito, è giunto il momento di lasciare queste informazioni alla mercé di tutta la rete in modo che anche chi non avesse disponibilità economica o interessi sufficienti da investirci ne faccia l’uso che preferisce.

Ciò che però può essere interessante osservare è che questo evento è soltanto l’ultimo di una lunghissima serie di “data breach” avvenuti negli ultimi anni, sul nostro sito abbiamo un articolo che annovera quelli del 2020: un anno di Hacking (https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking )

Sono stati impattati giganti di ogni tipo, citandone giusto alcuni: il sito di aste online più longevo e famoso eBay, il portale di annunci di lavoro e social network professionale leader LinkedIN, alcune tra le catene alberghiere più importanti in tutto il mondo come Marriot, aziende sviluppatrici di giochi e produttrici di software come Sony e Nintendo.

Se voleste scoprire se i vostri dati siano stati parte di uno di questi incidenti e conseguenti divulgazioni di dati trafugati è possibile utilizzare il sito “';--have i been pwned?” raggiungibile all’indirizzo https://haveibeenpwned.com/.

All’interno di questa pagina potrete scoprire, tramite una banalissima finestra di ricerca con il vostro indirizzo di posta elettronica, numero di telefono o password, se siete tra le vittime di un “data breach”.

Tornando al focus dell’articolo, in ognuno di questi grandi incidenti sono stati trafugati milioni di record e ogni volta che è avvenuto uno di questi “data breach” l’eco che ha generato negli addetti ai lavori è sempre stato minore. 

Anche i mezzi di comunicazione hanno iniziato a dare sempre meno risalto a queste notizie quasi come se non fossero in fondo delle vere notizie.

La notizia forse è quindi che ormai siamo tutti un po’ “assuefatti” alla realtà dei furti di dati e che per la nostra società i data breach siano soltanto uno dei tanti normali eventi a cui siamo abituati.

Anche lo stesso COVID ci ha insegnato che dopo ormai più di un anno di pandemia, le numeriche giornaliere che snocciolano contagiati e, purtroppo, deceduti vengono derubricate a piccoli trafiletti dei telegiornali.

Nei primi momenti invece dell’emergenza venivano effettuate vere e proprie maratone che trattavano ogni singolo numero con grande zelo.

Purtroppo questo tipo di assuefazione può creare dinamiche rischiose nella mente di qualcuno, perché potrebbe accendere la dinamica psicologica di affermare qualcosa come: “se succede a tutti perché dovrei preoccuparmene più degli altri?”.

Ciò che invece è nostra missione, come riteniamo debba essere civicamente un dovere di tutti, è tenere sempre vigile la sensibilità pubblica sul fatto che gli impatti collegati ad un “data breach” sono proporzionalmente direttamente ed esponenzialmente collegati alla quantità e alla criticità dei dati che vengono trafugati.

Il mondo che abbiamo creato e che complice l’accelerazione digitale da pandemia sta sempre più affermandosi è totalmente fondato sulle basi di dati semplici e complesse.

Questa tendenza richiede di essere sempre compensata dalla coscienza che le basi di dati sono da proteggere al massimo delle possibilità e che vanno gestite rispettando i principi della sicurezza informatica in particolare il privilegio minimo e il “need to know”. È una bilancia sociale che va molto oltre la tecnologia. 

La cosa che ormai non stupisce più è che questi furti vengano perpetrati perché viene violata una identità digitale che serve da entratura. E teniamo a mente che per i primi passi delle fasi di ingresso degli attaccanti non sono necessarie delle credenziali aventi alti privilegi.

Molto più di frequente di quanto si immagini, sono normalissime utenza con cui vengono effettuate le prime fasi di attacco, il famoso “footprinting”. Una volta collezionate preziose informazioni grazie a quelle utenze è possibile per gli attaccanti iniziare a pianificare i passi successivi in maniera molto più assennata. Non si muoveranno più al buio provando qui e li con banali tentativi di forza bruta, avranno direzioni e strategie tessute a pennello per il target di turno. 

Potete fare un parallelo immaginario con i film di azione in cui la banda di ladri prima di iniziare il colpo si occupa di raccogliere le informazioni sull’obbiettivo da derubare. La mappa dell’edificio, le ronde del corpo di sicurezza, nomi delle guardie etc etc. Queste informazioni vengono poi utilizzate per raggiungere il bottino, che nel caso degli attacchi alle informazioni sono proprio le basi di dati. 

In ultima analisi vorrei porre la vostra attenzione sul fenomeno dei ransomware. Spesso vengono considerati in sé il problema vero e proprio, sopratutto dal punto di vista della sicurezza informatica. A dir il vero più spesso di quanto si pensi sono più utili a coprire le tracce degli attaccanti che ad avere effettivamente il riscatto richiesto per “liberare” i dati.

Questo perché oggi la sensibilità nei confronti di questi rischi si è fatta forte e sempre più realtà effettuano copie di “back up” dei dati e quindi sono sempre meno costrette a pagare i riscatti per avere i dati nuovamente decodificati. 

Non resta quindi che continuare a parlare di questi fenomeni allo scopo di sensibilizzare coloro che governano processi e nazioni verso una filosofia di evoluzione tecnologica sostenibile e consapevole.

Se voleste avere maggiori informazioni riguardo all’attacco ricevuto da facebook vi rimandiamo all’articolo di Wired https://www.wired.com/story/facebook-data-leak-500-million-users-phone-numbers/ .

Alessandro Oteri

IL PROGETTO QUANTUM-SECURE NET (PARTE 3/3): PRODOTTO EUROPEO DI QUANTUM KEY DISTRIBUTION

Quanto segue è la terza ed ultima parte della serie di articoli sulla crittografia quantistica, iniziata con i due precedenti articoli, dove venivano introdotti gli elementi fondamentali della cosiddetta minaccia quantum. In questa ultima parte viene presentato in dettaglio il progetto Q-Secure Net, già introdotto nella parte 1.

Prima di proseguire, consiglio di rileggere gli articoli precedenti sui seguenti link:

- QSN parte 1:

- QSN parte 2.

 

La sfida della Quantum Key Distribution (QKD)

Il progetto Quantum-Secure Net (Q-Secure Net) è un progetto finanziato dell’European Institute of Technology Digital (EIT Digital) il cui scopo è sviluppare e portare sul mercato un prodotto di rete di nuova concezione e generazione completamente Europeo, basato su tecnologia Quantum Key Distribution (QKD), che sia sostenibile in termini di costi e interoperabile con gli altri sistemi esistenti. Lo scopo del progetto è fornire una soluzione pronta per le telecomunicazioni, integrata nel funzionamento e nella gestione della rete, per garantire comunicazioni end-to-end (E2E) sicure a livello quantistico in contesti di alta sicurezza.

Proposta già nei primi anni 1980, la QKD è una tecnologia imparentata con il quantum computing per via del fatto che usa la stessa “terminologia” matematica: si può dire che in questo caso si parla di “quantum” senza l’attributo “computing”. La tecnologia ha impiegato quasi 40 anni per evolversi, tuttavia, ora è una delle principali aree di competizione tecnologica fra le nazioni, oltre al 5G, tra cui Cina, Corea e Stati Uniti. La QKD in particolare utilizza le proprietà quantistiche dei fotoni per effettuare lo scambio di una chiave crittografica simmetrica, che può essere utilizzata per criptare i messaggi che poi vengono scambiati tramite un canale “tradizionale”. La sicurezza di QKD si basa su fondamentali leggi della natura, che sono insensibili all’aumentare della potenza di calcolo, di nuovi algoritmi di attacco o di computer quantistici. Tale sistema permette, una volta introdotto, di dotare le infrastrutture di rete ad altissima sicurezza di comunicazioni incondizionatamente sicure.

Il progetto Q-Secure net

Il progetto Q-Secure Net ha l'obiettivo di fornire una soluzione economica e flessibile per servizi di comunicazione incondizionatamente sicuri basati sulla QKD, che funzioni con le attuali reti metropolitane in fibra ottica. Il capofila del progetto è Italtel. Fra i partner, Cefriel ha seguito due degli scenari applicativi, Politecnico di Milano e CNR hanno sviluppato la tecnologia QKD e i protocolli di correzione degli errori, Università Politecnica di Madrid e Telefonica hanno partecipato alla definizione del prodotto ed i test su rete metropolitana in fibra ottica.

Durante il progetto sono state sviluppate due applicazioni prototipali, aventi lo scopo di dimostrarne l’utilizzo nel contesto Blockchain e SSL, mostrando come la tecnologia QKD possa essere applicata sia al mercato finanziario che per rendere sicure le comunicazioni IoT (Internet of Things) e IIoT (Industrial IoT). Il prodotto è adatto a qualsiasi servizio che necessiti di una chiave di cifratura simmetrica, e si apre ad innumerevoli applicazioni e casi d’uso.

Lo Scenario SSL+PSK

La prima applicazione sviluppata è legata al protocollo SSL/TLS. Questi protocolli permettono una comunicazione sicura tra due entità operando al di sopra del livello di trasporto. Di solito, SSL utilizza certificati a chiave pubblica per l'autenticazione. In particolare, però, lo standard prevede già una speciale configurazione (SSL+PSK Pre-Shared Keys) che utilizza chiavi simmetriche, pre-condivise in anticipo tra le parti comunicanti, per stabilire una connessione SSL. Una configurazione implementata ad esempio, per supportare i casi in cui le parti comunicanti non possano usare la cifratura asimmetrica perché onerosa in termini di connettività o calcolo (es. IoT) o perché le parti sono già “accreditate” (es. ambito militare).

I passi dettagliati della comunicazione per SSL+PSK sono i seguenti, direttamente ispirati allo schema proposto Diffie-Hellman per le PKI.

1. Alice e Bob ricevono su un collegamento QKD la stessa chiave crittografica (simmetrica)

2. Alice usa la chiave simmetrica QKD per criptare una chiave temporanea di sessione, generata in modo casuale, che ha una durata di vita limitata e la invia a Bob, su un canale non sicuro (ethernet)

3. Bob riceve il messaggio e lo decripta per ottenere la chiave temporanea di sessione.

4. Alice e Bob usano la chiave temporanea di sessione con AES per crittografare i loro messaggi su ethernet fino alla scadenza della stessa (poi si ripete il passo 2). In caso di attacco attraverso il link QKD, Alice e Bob possono richiedere un'altra chiave QKD sicura.

Lo scenario è abilitante per i servizi VPN e IPSEC con QKD.

Lo scenario Decentralised Finance

Le tecnologie blockchain nascono a finire del 2009 con l’avvento del protocollo Bitcoin e si evolvono fino ai giorni nostri in una famiglia di protocolli e sistemi SW essenzialmente con l’obiettivo di creare una rete (network peer to peer) di “pari” in grado di scambiarsi un valore transazionale (valuta, asset con valore, certificazione) in maniera diretta, senza una terza parte fiduciaria. Eliminando così, attraverso il meccanismo del consenso condiviso, il bisogno di avere terze parti e attivando lo scambio diretto di beni, servizi. Questi sistemi hanno una applicazione in campo finanziario, sia nei processi interbancari, per esempio in scenari di tracciamento e ciclo di vita degli asset come le fatture (es., sconto fattura) sia nei processi e servizi che si possono creare a partire dai token (dando origine al fenomeno della finanza decentralizzata).

In particolare, nella Decentralised Finance (Defi), uno degli aspetti chiave è la interoperabilità dei sistemi e lo scambio di token e cripto valute, soggetto a sfide di sicurezza note e non indifferenti. Oggi i token derivati di Ethereum sono decine di migliaia, e sono “tecnicamente” interoperabili tra di loro, il che significa che applicazioni diverse possono scambiarsi questi token proprio come ci si scambiano delle valute o delle azioni nelle borse commerciali. Queste operazioni oggi sono affidate a Exchange centralizzati che sono spesso soggetti a problemi di sicurezza e rappresentano l’unico elemento ancora centralizzato in sistemi peraltro totalmente peer-to-peer.

In questo contesto “finanziario”, c’è sempre, un “nodo” della rete, detto in gergo tecnico portafoglio (wallet) che è abilitato a scambiare il valore, ossia il token. Tale nodo possiede delle informazioni specifiche che gli permettono di eseguire la transazione.

Inoltre, negli scenari Fintech attuali, ci sono molteplici cripto-valute e reti, un elemento di debolezza riconosciuto. Il “passaggio” da una criptovaluta ad un’altra, da un token ad un altro, tra due sistemi e due wallet, richiede il passaggio da una terza parte fidata, contraddicendo il paradigma della decentralizzazione. Questa situazione, per esempio nel contesto Ethereum, viene risolta passando, in alcuni casi, come recentemente proposto, attraverso il meccanismo dell’Atomic Swap. L’Atomic Swap è una delle possibili soluzioni proposte per far interagire differenti reti blockchain, ed è un “sistema” per il passaggio sicuro direttamente tra nodi partecipanti a diverse reti blockchain, di una informazione (hashlock o timelock¹) necessaria a sbloccare il cambio di valuta.

Questa informazione simmetrica, permette di accoppiare reti diverse, ed è quindi importante, in ottica di evoluzione delle reti blockchain in contesti finanziari, mantenerla sicura.

Nella configurazione sperimentale oggetto del progetto, l’Atomic Swap avviene non più su una rete di telecomunicazione “comune”, ma si avvale di un QKD Link, che permette di trasferire in modo sicuro il parametro di hashlock/timelock fra due nodi di una rete Algorand (si noti che nel gergo Algorand viene usato il termine Atomic Transfers). Questa soluzione comporta un aumento della sicurezza intrinseca dello scambio e quindi, rende possibile usare gli Atomic Swap anche con le criptovalute.

Sviluppi previsti

In un anno il progetto Q-Secure Net ha portato alla realizzazione di un prodotto pronto per le prime applicazioni di mercato, ma che ha le potenzialità per cogliere le opportunità da un mercato in fortissima crescita. Nell’articolo è stato citato un primo naturale scenario di utilizzo della QKD, per connessioni con elevati requisiti di sicurezza o dove è importante la everlasting security.

Sono interessanti anche le reti di dispositivi dotati di QKD Link. Una prima architettura di reti "hop-by-hop" è stata dimostrata in Europa nel 2008 dal progetto SECOQC; in tali reti i messaggi passano tramite differenti nodi relay collegati da QKD Link. In questo caso la decrittazione / ricodifica e rilancio del messaggio viene effettuata ad ogni nodo intermedio con differenti chiavi QKD (si veda Figura 1).

Figura 1 - In una rete "hop-by-hop" i dati seguono un percorso fatto di nodi relè “trusted”, collegati da QKD Link. La decodifica/ricodifica del messaggio è fatta ad ogni nodo intermedio, usando la codifica one-time-pad tra la chiave locale, distribuita dal QKD, ed il messaggio segreto M, decifrato localmente dalla connessione precedente. Le diverse associazioni di chiavi sono simboleggiate da colori diversi.

Enrico Frumento^*, Nadia Fabrizio^*, Paolo Maria Comi⁺

* CEFRIEL Politecnico di Milano, Viale Sarca 226 – 20126 Milano

+ Italtel, Via Reiss Romoli – loc. Castelletto – 20019 Settimo Milanese (Mi)

Lavori Citati

[1]	Digital Tech, “Q-Secure Net Factsheet,” 2019. [Online]. Available: https://www.eitdigital.eu/fileadmin/files/2020/factsheets/digital-tech/EIT-Digital-Factsheet-Q-Secure-net.pdf.
[2]	R. Alléaume, C. Branciard, J. Bouda, T. Debuisschert, M. Dianati, N. Gisin, M. Godfrey, P. Grangier, T. Länger, N. Lütkenhaus, C. Monyk, P. Painchault, M. Peev, A. Poppe, T. Pornin, J. Rarity, R. Renner, G. Ribordy, M. Riguidel, L. Salvail, A. Shields, H. Weinfurter and A. Zeilinger, “Using quantum key distribution for cryptographic purposes: A survey,” Theoretical Computer Science, vol. 560, pp. 62-81, 2014.
[3]	W. Diffie and M. Hellman, “New directions in cryptography,” IEEE Transactions on Information Theory, vol. 22, pp. 644-654, 1976.
[4]	M. Herlihy, “Atomic Cross-Chain Swaps,” in ACM Symposium on Principles of Distributed Computing, 2018.
[5]	S. Micali, “Algorand’s Forthcoming Technology,” 26 5 2019. [Online]. Available: https://medium.com/algorand/algorands-forthcoming-technology-bcd17989c874.
[6]	CORDIS, “Development of a Global Network for Secure Communication based on Quantum Cryptography,” 2008. [Online]. Available: https://cordis.europa.eu/project/id/506813.

1 Il servizio di Atomic Swap può essere configurato in due modi: hashlock o timelock. Hashlock è una funzione che limita la spesa dei fondi fino a quando un certo dato non viene reso pubblico (come prova crittografica. Timelock limita la spesa dei fondi fino a un determinato momento futuro.

Che cos'è la cyber kill chain?

In diversi articoli abbiamo accennato alla cosiddetta "cyber kill chain" ma a ben guardare non abbiamo mai veramente spiegato di che si tratta. 

Oggi in questo breve articolo ripercorriamo la nascita del modello e cerchiamo di capire assieme qualcosa di più.

Il concetto di Cyber Kill Chain è stato pubblicato per la prima volta dalla Lockeed Martin, principale industria americana del settore Difesa, nel white paper: "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", di Eric M. Hutchins, Michael J. Cloppert e Rohan M. Amin.

Consiglio a tutti di leggere il documento nella sua interezza in quanto molto interessante. Nel nostro caso ci limitiamo a prendere ciò che ci sembra più utile, in particolare nell'introduzione troviamo una prima definizione di cyber kill chain:

"The phrase “kill chain” describes the structure of the intrusion, and the corresponding model guides analysis to inform actionable security intelligence".

Gli autori si sono preoccupati dunque dello sviluppo di un modello di attacco cyber che servisse ad agevolare i difensori allo sviluppo di tecniche di mitigazione dei rischi, questo per ostacolare efficacemente un ipotetico intruder nel suo lavoro. Il modello aveva anche lo scopo di agevolare la "prioritizzazione" degli investimenti nelle nuove tecnologie.

Non è un caso che proprio un’industria della difesa abbia introdotto il concetto della Cyber Kill Chain, si tratta semplicemente di un adattamento all’ambito cyber di un concetto militare, difatti in origine era un modello a fasi utile a identificare i vari passaggi necessari all’esecuzione di un attacco.

L'analisi della kill chain permette di capire come un avversario per raggiungere il suo obiettivo debba riuscire a progredire attraverso tutta la catena, mettendo bene in evidenza quali azioni di mitigazione sono efficaci per interrompere la kill chain stessa.

Il paper è rivolto in particolare alla analisi di quegli avversari dotati di capacità e risorse sufficienti a condurre delle campagne APT (Advanced Persistent Threath).  

Ma vediamo in cosa consiste questa cyber kill chain. Si tratta di un processo costituito da sette fasi:

La prima fase si chiama Reconnaissance (perlustrazione) e, come ben evidenzia il nome, consiste nell'effettuazione di ricerche per identificare e selezionare l'obiettivo, ricerche su internet di informazioni relative all'obiettivo, alle tecnologie che impiega, agli indirizzi email e al personale nonché le relazioni sociali. Questa fase è fondamentale per la definizione del target iniziale utile per arrivare a quello finale magari con un movimento laterale, ad esempio verrà colpito l’impiegato in fondo a destra per poter arrivare infine al CEO dell’azienda.

La seconda fase si chiama Weaponization (armamento) e consiste creare o identificare un malware utilizzabile per l'attacco, di solito si tratta di un accoppiamento di un software per l'accesso remoto (cavallo di troia) e di un exploit (software che sfrutta una vulnerabilità del sistema). Spesso per guadagnare l’accesso ad un sistema, vengono sfruttati gli zero day da cui ancora non c’è difesa poiché sono delle nuovissime vulnerabilità che devono ancora essere "patchate" proprio perché appena scoperte.

La terza fase si chiama Delivery (consegna) e consiste nella trasmissione della arma cyber (weapon) all'obiettivo. Normalmente si impiegano email con link a siti fasulli o documenti allegati contenenti malware per la distribuzione alla vittima. Ma anche chiavette USB, infrarossi, bluetooth, supporti ottici, tastiere o mouse con un malware “nidificato” nel firmware o altri metodi sono possibili.  

La quarta fase è conosciuta come Exploitation (sfruttamento) e consiste, generalmente, nello sfruttamento di una o più vulnerabilità da parte dei software malevoli introdotti nel sistema sotto attacco. E’ doveroso sottolineare che vengono adottate le più avanzate tecniche di obfuscation (spesso addirittura tecniche inedite) per rendere queste azioni totalmente invisibili ai nostri “radar” siano essi firewall, IDS, IPS, filtri mail, antivirus e SIEM.

La quinta fase si chiama Installation (installazione) e consiste nell'installare all'interno del sistema obiettivo allo scopo di consentire all'attaccante di poter restare all'interno del sistema a suo piacimento, la cosiddetta persistenza. Di solito si usano a tale scopo dei Malware Trojan (RAT Remote Access Trojan), vengono aperte delle porte nella rete, o vengono create delle backdoor. In questa fase il sistema viene silenziosamente ma pesantemente modificato, possono essere modificate chiavi di registro, files di sistema fin’anche le partizioni di avvio). Questo è uno dei motivi per cui l’esito del ripristino dei “sistemi compromessi” non è mai scontato.

La sesta fase è chiamata Command and Control (C2 o C&C, Comando e Controllo) e consiste nello stabilire una solida catena di comando e controllo che consenta all'attaccante di dare ordini e ricevere feedback. Questa fase è particolarmente importante in una APT. 

La settima fase si chiama Actions on Objectives (azioni sugli obiettivi) e consiste nel vero e proprio attacco al sistema obiettivo. In genere si tratta di esfiltrare dati, che più in generale significa esplorare il sistema, raccogliere dati, cifrarli e esfiltrarli. In altri casi si tratta di rendere i dati indisponibili, in genere cifrandoli per chiedere in seguito un riscatto (i famosi Ramsomware). In altri casi si tratta di modificare i dati (cosa accadrebbe se venisse alterata di qualche frazione di millimetro la dimensione di un pezzo di ricambio di un’aereo?). L'attaccante potrebbe anche avere solo interesse a raccogliere dati utili ad attaccare un altro sistema più remunerativo.

Ogni fase può essere a sua volta suddivisa in diversi step, più o meno numerosi.

Naturalmente il modello sviluppato dalla Lockeed Martin per scopi difensivi può e viene impiegato anche per scopi offensivi, soprattutto in relazione alle prime fasi di reconnaissance e weaponization. 

Naturalmente esistono tante varianti della cyber kill chain, sviluppate da diverse società, ma l'obiettivo è sempre lo stesso ovvero aiutare a capire il modus operandi dell'attaccante allo scopo di capire come sconfiggerlo o, più in generale, come moderare i rischi.     

Alessandro Rugolo e Lino Proceddu

Per approfondire:

- LM-White-Paper-Intel-Driven-Defense.pdf (lockheedmartin.com)

- Seven_Ways_to_Apply_the_Cyber_Kill_Chain_with_a_Threat_Intelligence_Platform.pdf (lockheedmartin.com)

Whaling: cos’è e quali sono i rischi

Negli ultimi anni, gli attacchi cyber si sono evoluti, cambiando forma ed intensità. La crisi sanitaria globale ha costretto una gran parte dei lavoratori al cosiddetto smartworking, il telelavoro. Ciò ha determinato un profondo aumento della superficie d’attacco a disposizione dei criminal hackers.

Durante lo scorso anno si è parlato molto del whaling o whale phishing. Concepito come una versione più evoluta e recente del phishing, questo attacco è anche conosciuto come CEO fraud, poiché l’azione è finalizzata a colpire dirigenti e componenti senior dell’azienda, ottenendo l’accesso ai loro devices per rubare informazioni o denaro.

Le modalità di attacco sono le stesse utilizzate dal phishing , ma nel caso del whaling, la comunicazione fittizia (es. email) sembra essere inviata da un manager di pari livello o da qualcuno che riveste una posizione importante nella stessa azienda .

L’obiettivo dell’attacco è quello di ottenere informazioni riservate sull’azienda o a far commettere alla vittima azioni pericolose per l’azienda stessa. Solitamente, la comunicazione avviene tramite e-mail proveniente, almeno apparentemente, da una fonte affidabile e, in alcuni casi, contenenti perfino il logo dell’azienda. Come evidenzia Kasperski, la fiducia all’interno di un’azienda è molto alta ed è più facile, in questo modo, cadere nella trappola.

Il whaling è potenzialmente più efficace del phishing in quanto l’obiettivo è una persona in vista, un membro di alto livello dell’azienda. Proprio per questo, gli hackers possono utilizzare le informazioni disponibili sui social media e in rete per “customizzare” l’attacco.

Secondo quanto analizzato dal National Cyber Security Centre (NCSC) britannico, infatti, l’e-mail contiene informazioni riguardanti la vittima (sia essa organizzazione o individuo), trasmette un senso di urgenza ed è scritta in un linguaggio adatto al contesto (solitamente un linguaggio economico).

Quali sono i rischi per l’azienda? Il whaling è una forma di social engineering che spinge la vittima a cliccare sul link presente nell’e-mail il quale diffonde un malware, oppure la costringe a inviare soldi all’account bancario dell’hacker. L’evoluzione di questi attacchi, attraverso l’utilizzo di un linguaggio sempre più tecnico, l’utilizzo di siti falsi realizzati ad hoc e di riferimenti ai dati personali della vittima, ha reso sempre più difficile la loro individuazione.

Inoltre, il NCSC ha rilevato alcuni casi in cui i manager aziendali hanno ricevuto anche chiamate telefoniche che confermavano le richieste presenti nell’e-mail, dando vita alla tattica di social engineering denominata cyber-enabled fraud.

Come ci si difende da questi attacchi? Poiché il whaling è un’evoluzione del phishing, le precauzioni da adottare sono molto simili. Innanzitutto, bisogna verificare l’indirizzo email prima di cliccare su eventuali link presenti in un’email. Nel caso specifico del whaling, gli attori malevoli sono particolarmente facilitati dalle informazioni riguardanti i manager aziendali presenti sui social media o altrove; inoltre, durante gli eventi pubblici, quali conferenze o eventi dell’azienda, i senior sono particolarmente esposti a questi attacchi.

Il report Phishing Trends and Intelligence pubblicato da PhishLabs nel 2019 ha messo in luce dei dati molto interessanti riguardanti il 2018. Tali dati mostrano come ci sia stato un incremento del 40,9 % degli attacchi di phishing, colpendo principalmente servizi finanziari, email, cloud, di pagamento e SaaS. Inoltre, la maggior parte delle email non conteneva alcun malware, mirando prettamente a rubare le credenziali.

Dato l’incremento esponenziale di questi attacchi, le aziende dovrebbero implementare programmi di formazione che aumentino la consapevolezza dei dipendenti sui rischi del phishing e del whaling. Inoltre, il dipartimento IT delle aziende più grandi dovrebbe incrementare le finte campagne di whaling, in modo da verificare il livello di consapevolezza del personale aziendale. Infine, come riporta Kasperski, le aziende possono dotarsi di software anti-phishing che forniscono alcuni servizi come l’URL screening e link validation.

Davide Lo Prete

https://www.ncsc.gov.uk/guidance/whaling-how-it-works-and-what-your-organisation-can-do-about-it

https://www.rapid7.com/fundamentals/whaling-phishing-attacks/

https://www.kaspersky.com/resource-center/definitions/what-is-a-whaling-attack

https://www.cybersecurity360.it/nuove-minacce/attacchi-whaling-la-caccia-informatica-alle-balene-che-minaccia-ceo-cfo-e-tutti-i-c-level/

il caso SolarWinds, facciamo il punto

In un articolo del 14 dicembre 2020 abbiamo parlato di FireEye e di come sia stata hackerata. E' stata la stessa società, l'8 dicembre scorso, ad informare il pubblico di quanto accaduto.

Abbiamo quindi ripreso la notizia una settimana dopo con l'articolo di Ciro Metaggiata. 

Noi allora avevamo provato a porci qualche domanda sulla base di quanto era noto e ad abbozzare qualche risposta. Oggi, a quasi tre mesi dall'accaduto, possiamo provare a fare qualche passo avanti certi che dell'attacco, oggi noto come Solorigate, si continuerà a parlare a lungo.

Intanto è stato chiarito che l'attacco è avvenuto per il tramite di una società fornitrice di software per FireEye (e non solo!), la società si chiama SolarWinds ed è basata in Texas.

Una cosa che possiamo vedere immediatamente è l'effetto dell'attacco sulle due società: la FireEye ha mantenuto il valore delle sue azioni, che anzi è cresciuto mentre la SolarWinds ha perso!

Questo solo per dire che genere di "effetti" può avere un cyberattack, dal punto di vista economico per intenderci, se qualcuno ancora dovesse avere dei dubbi sugli effetti nel mondo reale. In questo caso gli effetti che ho mostrato sono solo quelli sul produttore del software, ma se dovessimo stimare le perdite economiche dovute a questo attacco la cosa dovrebbe comprendere l'analisi di circa 18.000 organizzazioni statali e non, e la cifra che verrebbe fuori potrebbe essere spaventosamente alta. Lasciamo correre.

SolarWinds ha sviluppato un prodotto che viene impiegato dai suoi clienti per aggiornare i sistemi. E' per esempio il caso di Microsoft e di tanti altri che utilizzavano il prodotto di SolarWinds conosciuto con il nome di "Orion", un prodotto impiegato da molte organizzazioni e società per gestire le risorse IT. Probabilmente ad inizio 2020 SolarWinds ha inviato degli aggiornamenti che contenevano una backdoor, cosa che ha consentito agli hacker di accedere ai sistemi, di esplorarli ed esfiltrare dati, ma probabilmente anche di modificare parte dei dati acceduti. Questo significa che gli hacker hanno avuto almeno sei mesi di tempo prima di essere scoperti. 

Secondo quanto riportato ultimamente dai giornali, gli investigatori ritengono che tra gli hacker vi siano elementi russi e che si sia trattato di una campagna di spionaggio. In merito c'è da dire che l'amministrazione Biden sta lavorando all'attribuzione dell'attacco. 

Tra le vittime, oltre a FireEye che ha denunciato per prima l'accaduto, si trovano alcune delle principali istituzioni americane tra cui il dipartimento di Stato, il Tesoro, Homeland Security, Energia e Commercio, National Institute of Healt, e National Nuclear Security Administration ma anche diverse società tra le più grandi al mondo elencate tra le Fortune 500, tra cui Microsoft, Cisco, Intel, Deloitte...

Secondo le analisi degli esperti, gli hacker una volta guadagnato l'accesso alle reti e sistemi delle vittime, in molti casi hanno manipolato una parte del software Microsoft chiamato "Active Directory Federation Services" che si occupa di rilasciare le "identità digitali" per gli utenti, chiamate "SAML Tokens". 

Ora la discussione, anche politica, si incentra sul fatto che questa tecnica di attacco era già conosciuta almeno dal 2017 quando un ricercatore israeliano, Shaked Reiner, descrisse questa tecnica di attacco con il nome di "Golden SAML Attack". Sono infatti in molti a pretendere spiegazioni sul perché le reti ed i sistemi americani non siano adeguatamente protetti nonostante gli ingenti investimenti sostenuti nel settore. 

Sono sicuro che vi sarà ancora molto da dire sul caso SolarWinds, però voglio concludere con una considerazione: la nostra società è sempre più dipendente da Internet e dai sistemi digitali. Dipendenza che però è sempre più messa sotto assedio dalla crescita dei rischi associati agli attacchi cyber. Probabilmente è arrivato il momento che gli Stati inizino a lavorare seriamente e assieme per ridurre i rischi attraverso una seria strategia condivisa a meno che non si voglia rischiare di cancellare gli ultimi 50 anni di sviluppo digitale per ricercare una nuova, sostenibile e sicura strada...

Alessandro RUGOLO

Per approfondire:

- FireEye hackerata, da chi? - Difesa Online

- Sunburst: una Pearl Harbor Cyber? - Difesa Online

- FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc

- FireEye Discovered SolarWinds Breach While Probing Own Hack - Bloomberg

- Inline XBRL Viewer (sec.gov)

- SolarWinds hack: Biden administration says investigation is likely to take "several months" - CNNPolitics

- WH will 'sharpen the attribution' with Russia after SolarWinds hack (nypost.com)

- Here's a simple explanation of how the massive SolarWinds hack happened and why it's such a big deal (businessinsider.fr)

- Golden SAML: Newly Discovered Attack Technique Forges Authentication to Cloud Apps (cyberark.com)

- What is Solorigate - Cybersecurity Insiders (cybersecurity-insiders.com)