CONOSCERE LE CYBER-TATTICHE DELL'AVVERSARIO

Qualsiasi attività di sicurezza informatica e di protezione cibernetica si basa sulla determinazione di un confine da presidiare (il perimetro di sicurezza) e sulla stima dell'eventualità di subirvi un danno connesso a circostanze più o meno prevedibili (la valutazione del rischio).

Il rischio va valutato tenendo in debita considerazione la minaccia e le vulnerabilità che questa può sfruttare; le condizioni predisponenti a contorno; la probabilità di attuazione e successo della condotta dannosa; ed infine l'entità delle perdite che si possono arrecare.

Fermiamoci in questa sede a considerare soltanto il primo elemento: la minaccia; e cerchiamo di fissare alcuni punti fermi che ci aiutino ad affrontare un difficile, ma non impossibile, metodo di studio del nostro avversario. Si, perché le battaglie, prima che con le armi, si vincono grazie alla conoscenza dell'avversario: della sua "DENA", acronimo tradizionalmente noto nelle Scuole militari per Dislocazione, Entità, Natura ed Atteggiamento del nemico; ed in particolare delle sue TTPs, cioè delle sue Tattiche, Tecniche e Procedure operative.

Per quanto scaltro e dotato, il nostro avversario dovrà pur sempre seguire un filo conduttore, se vuole avere successo. E la logica e l'esperienza ci permettono di concettualizzare un "percorso di danno" o se volete un "ciclo di vita della minaccia" che bisogna tenere presente se si vogliono fare analisi del rischio ed investimenti di sicurezza efficaci e focalizzati.

Tipicamente questo ciclo parte da una fase preparatoria, dove l'avversario monitora dall'esterno le reti, i sistemi informativi ed i servizi informatici della vittima con attività ricognitive: ad esempio con strumenti di active scanning o di Host information gathering, alla ricerca di vulnerabilità o di dati di dettaglio sulle configurazioni dei sistemi perimetrali o sulle procedure di accesso fisico ai data center ed ai desktop. In questa fase, inoltre, l'avversario acquisisce le risorse necessarie a condurre l'attacco, come ad esempio la creazione di botnet per lanciare azioni di Denial of service o il noleggio di Virtual Private Server per assicurarsi l'anonimato.

Dopo questa fase preparatoria, similmente alle operazioni tattiche offensive nelle manovre terrestri, vi è la penetrazione del muro di difesa, tipicamente nel punto più vulnerabile ove, con tecniche diverse quali ad esempio il furto di credenziali personali o l'installazione di malware su pendrive regalate a personale interno all'organizzazione, l'avversario si assicura una "testa di ponte"  che gli consenta di installare dei codici malevoli all'interno del perimetro di sicurezza.

Segue la fase dell'Execution dei codici malevoli con cui l'avversario sferra l'attacco e/o si garantisce il controllo sotto copertura (e l'anonimato può durare mesi o anni come cellula dormiente) di parte dei sistema, della rete o del servizio per attuare ulteriori predisposizioni e strategie di intelligence e compromissione.

In questa fase l'avversario può condurre tattiche di Persistence, finalizzate per l'appunto a mantenere il varco di accesso, la "testa di ponte" all'interno del perimetro di sicurezza nonostante attività di cut-off quali ad esempio il restart o il cambio credenziali; di Privilege Escalation, con cui tenta di garantirsi privilegi di accesso di livello più alto, quali ad esempio quelli ghiotti di amministrazione di sistema; di Defense Evasion, con cui cerca di mascherarsi alle attività di monitoraggio e detezione del sistema di sicurezza; di Credential Access, finalizzate a rubare le credenziali di accesso; di Discovery, con cui osserva -stavolta dall'interno - l'ambiente, orientando meglio le proprie strategie di attacco o rivedendo i suoi obiettivi; di Lateral Movement con cui si espande, acquisendo il controllo di segmenti di rete contigui o di partizioni di server ad accesso controllato o di sistemi informativi remoti;  di Collection con cui individua, analizza e raccoglie le informazioni che vuole rubare;  di C2 con cui stabilisce canali di comunicazione fantasma per garantirsi dall'esterno il comando e controllo del sistema compromesso; ed infine tattiche di Exfiltration o di Impact a seconda che l'obiettivo dell'attacco sia di rubare informazioni o di interrompere l'operatività del sistema; oppure di entrambi, come nel caso dei tristemente noti Ransomware più evoluti che estraggono una copia dei dati per minacciarne la pubblicazione sul darkweb, contestualmente cifrando e rendendo indisponibile parte o tutta la memoria che li contiene.

Per ciascuna di queste tattiche, esistono tecniche e procedure hacker sottili ed evolute, nonché algoritmi di penetration, exfiltration e impact appositamente sviluppati dai cyber criminali.

Fortunatamente però sono tattiche conosciute al mondo dell'intelligence e della cybersecurity che ha sviluppato a sua volta strategie di contromisura in termini di protezione,  monitoraggio, detezione, mitigazione e risposta.

Ma di questo parleremo in una prossima occasione.

Orazio Danilo Russo

Per approfondire:

Che cos'è la cyber kill chain? - Difesa Online

https://doi.org/10.6028/NIST.SP.800-30r1

https://www.dni.gov/index.php/cyber-threat-framework

MITRE ATT&CK®

Venticento: una eccellenza made-in-Italy nella sicurezza informatica cresce!

In altri articoli avevamo già trattato del SOC (Security Operation Center) definendolo come una unità organizzativa complessa, generalmente centralizzata, che si occupa di identificare, gestire e porre rimedio ai problemi di sicurezza informatica, costituito da processi, strumenti e persone. Per completezza espositiva, nella gestione del cyberspace andrebbero citati, oltre ai SOC, anche i NOC (Network Operations Center) e gli IOC (Infrastructure Operations Center).

In Italia esistono alcuni SOC gestiti dalle più grandi società del complesso mondo ICT, tra questi abbiamo avuto modo di conoscere ad esempio il team di Leonardo SpA, Italtel SpA, Engineering Ingegneria Informatica SpA. Le aziende citate sono diventate dei veri e propri MSSP, ossia Managed Security Service Provider.

Tutte queste aziende infatti hanno investito in modo mirato sui rispettivi core business per meglio posizionarsi sul “mercato globale”, perché tale è per sua natura, in quanto nasce e vegeta sul www (world wide web), indirizzando gli sforzi sugli sviluppi legati alla threat intelligence in ambito cyber.

Fa piacere vedere che anche l’Italia si sta organizzando per le sfide del mercato.

In questo articolo parleremo di un’impresa italiana con sede a Bresso (MI), la Venticento Srl, un’azienda informatica nata nel 2005 con lo scopo di erogare servizi di assistenza tecnica e sistemistica a quelle aziende che necessitano di rendere più efficaci e produttivi i propri processi di business tramite azioni di miglioramento e ottimizzazione delle infrastrutture informatiche. Venticento sta affrontando con successo una nuova sfida: portare il servizio Managed Detection and Response (MDR), un servizio di cyber security che assiste il cliente dalla fase di detection a quella di incident response, alle PMI Italiane, per poi replicare il modello e proporlo anche sulle sue sedi internazionali.

I risultati raggiunti in soli tre lustri sono davvero notevoli. Ripercorriamone rapidamente le tappe.

• Venticento nasce nel settembre 2005 con lo scopo di erogare servizi di assistenza tecnica e sistemistica ai clienti ereditati da esperienze precedenti dei soci fondatori.

• Nel 2006 vengono instaurati i primi importanti rapporti di partnership con Sophos e Microsoft.

• Tra il 2007 e il 2009 la società rafforza il proprio business dei servizi, generando un cospicuo fatturato nell’ambito dei prodotti di security, affrontando importanti esperienze di consolidamento server in ambito VMware e aumentando la propria forza lavoro, arrivando a 10 dipendenti.

• Nel 2010 inizia ad esplorare il mondo dei servizi cloud, concentrando gli sforzi su Microsoft BPOS, oggi Office 365, ed ampliando il proprio servizio di service desk, erogando servizi a sedi estere di clienti italiani.

• Nel 2011 e 2012 matura importanti esperienze all’estero svolgendo attività di standardizzazione e consolidamento di infrastrutture IT e realizzando Start Up di sistemi informativi in vari paesi Europei e negli Usa.

• Nel 2014 fonda a New York 20100 US, per affrontare le nuove sfide d’oltreoceano.

• Nel 2016 rafforza, ulteriormente la partnership con Sophos per rimanere un punto di riferimento per il vendor in Italia, diventando uno dei pochi partner al mondo con la certificazione Synchronized security specialist.

• Nel 2017 viene instaurata una forte partnership con FireEye e Qualys.

• Nel 2018 fonda a Hong Kong 7Cento HK, per garantire ai propri clienti il servizio NOC “Follow the Sun” 24 x 7 x 365.

• Nel 2020 viene inclusa nella classifica del Financial Times tra le 1000 aziende europee che hanno registrato la più rapida crescita tra il 2015 e il 2018: + 209,9%. Nello stesso anno viene decretata “Campione della Crescita” 2021 dall’ITQF (Istituto Tedesco Qualità e Finanza) in quanto il giro d’affari della Venticento è aumentato maggiormente nel triennio 2016-2019.

Alla luce dei risultati, abbiamo pensato di sentire il CEO, Enrico Dellù.

Secondo Dellù il successo di Venticento è da ricercarsi nelle sue tre peculiarità: l’internazionalizzazione, la capacità profonda di fare customer care e quella di presentarsi come partner consulenziale dei clienti.

La mission aziendale è assicurare la protezione dei dati dei clienti e la tranquillità nella conduzione del business, garantendo consulenza ed assistenza proattiva a 360 gradi, 7 giorni su 7 e 24 ore al giorno. Per questo il suo core business si qualifica come system integrator e managed services provider. Il target di riferimento è la media impresa, un mercato enorme che ha esigenze specifiche e che il team specializzato di Venticento cerca sempre di soddisfare al meglio. Per rispondere nel modo più completo a queste esigenze, ci racconta Enrico Dellù, sono state aperte sedi anche negli Stati Uniti (a New York nel 2014) e nella regione amministrativa speciale di Hong Kong, in Cina, nel 2018. Ossia nei paesi in cui c’è una maggiore concentrazione di unità imprenditoriali per il mercato target.

I punti di forza di Venticento sono la conoscenza profonda del mercato, la flessibilità e la qualità del lavoro made-in-Italy, molto apprezzato nei confini nazionali e soprattutto oltre gli stessi, garanzia di eccellenza per i vendor internazionali con cui l’azienda ha instaurato importanti partnership.

Tra i progetti per il futuro, Venticento annovera l’ingegnerizzazione dei servizi MDR per aumentare la propria offerta di servizi di sicurezza gestita (MSS) e lo sviluppo di un servizio specifico per il mondo del retail per dare assistenza agli store diffusi in tutto il mondo e l’espansione all’estero.

Concludendo, secondo chi scrive, non è necessario avere la sede nella Silicon Valley o magari essere quotati al Nasdaq per poter vantare tassi di crescita da capogiro, anche in Italia, infatti, ci sono imprese di notevole successo, anche se meno note , la cui performance assume un significato particolare perché realizzata in un contesto di prolungata crisi economica.

Ciò che serve è crederci, lavorare sodo e parlare con i clienti, spiegando i rischi cui ormai ogni impresa è soggetta e come questi possono essere gestiti e ridotti, anche attraverso dei servizi di sicurezza proattivi.

Ci vediamo mercoledì 19 maggio 2021, alle 21.00 come sempre su Difesa Online.

Assieme a noi saranno presenti Enrico Dellù, CEO di Venticento, Marco Rottigni, CTSO EMEA presso Qualys, Carlo Mauceli, CTO Microsoft Italia, Simone Rapizzi CTO di Whetu.

Danilo Mancinone e Alessandro Rugolo

Link utili per approfondire:

https://www.difesaonline.it/evidenza/cyber/cyber-security-cos%C3%A8-un-soc

http://venticento.com/it

https://whetu.com/about.html

https://www.microsoft.com/security/blog/2020/10/21/addressing-cybersecurity-risk-in-industrial-iot-and-ot/

https://www.qualys.com/

https://www.leonardocompany.com/it/home

https://www.eng.it/

https://www.italtel.com/it/

https://istituto-qualita.com/listituto/

https://www.ci.security/resources/news/article/what-is-managed-detection-and-response-mdr

Quant'è vulnerabile l'infrastruttura energetica statunitense?

E' quanto stanno scoprendo gli americani in questi giorni.

Certo, non è la prima volta che capita, ma probabilmente è la prima volta che capita un problema di queste dimensioni.

La società Colonial Pipeline, responsabile della gestione del principale oleodotto della costa orientale statunitense, venerdì 7 maggio ha dovuto spegnere i sistemi a causa di un attacco informatico alla sua rete. 

Secondo gli investigatori si è trattato di un attacco ransomware. 

La società ha annunciato di essersi rivolta ad una delle principali società di cybersecurity americane, la FireEye Mandiant per procedere alle investigazioni e gestire la difficile fase di ripristino dei servizi.

Molti sistemi sono stati spenti per limitare il contagio del ransomware ed ora la società, assieme alla FireEye e ai dipartimento di stato per l'energia, è impegnata nel ripristino dei servizi in sicurezza. La gravità della situazione e delle possibili conseguenze hanno reso necessario informare il presidente Biden di quanto accaduto.

Le prime indagini fanno pensare al gruppo cyber conosciuto come DarkSide ma ancora niente di ufficiale è stato detto. L'attribuzione è sempre complessa nel mondo cyber e spesso è guidata dall'intelligence e dal contesto. Non è possibile generalmente essere certi del responsabile di un attacco cyber, a meno di rivendicazione dello stesso.

E' forte la preoccupazione per la possibile ricaduta sui prezzi dei carburanti alla pompa in caso di prolungata interruzione del servizio. Ma questo è solo ciò che si vede immediatamente, la punta dell'iceberg. Quanto il sistema della costa orientale dipenda dall'oleodotto della Colonial Pipeline si può valutare solo guardando quali altre infrastrutture  sono collegate ad esso. 

Per esempio, Iran Press fa notare che l'oleodotto serve alcuni dei più grandi e trafficati aeroporti, compreso l'aeroporto Hartsfield Jackson, di Atlanta, il più trafficato aeroporto al mondo per traffico passeggeri.

Le conseguenze, in caso di prolungato blocco dell'oleodotto potrebbero essere gravi per tutte le infrastrutture produttive della costa est, ma potrebbero avere anche dei risvolti politici sulla campagna del presidente Biden a favore delle energie pulite e del cambiamento climatico.

Infine, ma non meno importante, sembra che durante l'attacco siano stati sottratti circa 100 GB di dati della società. Ciò potrebbe avere dei risvolti significativi e impatto a medio lungo termine sulla reputazione della Colonial Pipeline e sui piani futuri, investimenti, progetti e brevetti della stessa. 

Alessandro Rugolo 

Per approfondire:

- Cyber attack shuts down U.S. fuel pipeline ‘jugular,’ Biden briefed | Reuters 

- Colonial pipeline: Cyberattack forces major US fuel pipeline to shut down - CNNPolitics

- Cyber Security Experts & Solution Providers | FireEye

- Media Statement: Colonial Pipeline System Disruption (colpipe.com)

- Cyber attack shuts down US fuel pipeline ‘jugular' (iranpress.com)

- 'Jugular' of the U.S. fuel pipeline system shuts down after cyberattack - POLITICO

- Cyber attack shuts down U.S. fuel pipeline 'jugular,' Biden briefed (globalbankingandfinance.com)

- Colonial Hackers Stole Data Thursday Ahead of Shutdown - Bloomberg

The rise of cyber crime

Potrebbe sembrare il titolo di un film, ma non lo è.

Si tratta molto più semplicemente di banale realtà!

Ogni giorno crescono le notizie relative ad attacchi hacker, realizzati a danno di ospedali, industrie, servizi bancari... ogni giorno la nostra società digitale scopre di possedere delle fondamenta costruite secondo criteri errati e i risultati sono ormai palesi.

Quando abbiamo aperto questa rubrica, diversi anni fa ormai (era la fine del 2014), pochi in Italia si interessavano alla materia. Oggi se ne parla nei telegiornali, esistono corsi universitari e, purtroppo, gli attacchi sono sempre più frequenti. 

Perchè?

Ci si potrebbe chiedere. Cosa impedisce di rimediare e migliorare i sistemi che oramai sappiamo bene, spesso sono dei colabrodo dal punto di vista della sicurezza?

Le risposte sono tante. Fondamentalmente l'industria del software ha dimostrato e continua a dimostrare di non essere matura, come d'altronde l'industria dell'hardware dimostra le stesse mancanze. Il mondo del digitale, in tutte le sue espressioni, è ben lontano dall'essere perfetto. Una delle problematiche più rilevanti è da ricercarsi però nella mancanza di personale specializzato in sicurezza informatica che, messo a sistema con la mancanza di lungimiranza di imprenditori e pubbliche amministrazioni riguardo la propensione agli investimenti nel settore, porta alle conseguenze che conosciamo. Non parlo però di acquisizione di sistemi, ma principalmente di formazione e informazione. 

Se guardiamo le statistiche (almeno quelle relative ai casi noti e descritte nel rapporto Clusit 2021) ci rendiamo conto che circa il 30 % degli attacchi sono di tipo "ransomware" ovvero consistono nella cifratura di parte dei dati e nella richiesta di riscatto in cambio del loro "rilascio". 

Ebbene, questo tipo di attacco, ransomware, va generalmente a buon fine in quanto i sistemi informatici della organizzazione e i processi relativi alla sicurezza informatica non sono strutturati adeguatamente. Attacchi di questo genere, almeno i più semplici (e sono una grande quantità) possono infatti essere sventati "semplicemente" facendo ricorso ai back-up, se qualcuno a pensato di farli!

Ecco perchè dico e insisto ogni volta sulla formazione.

Il personale che si occupa della sicurezza informatica deve essere formato adeguatamente!

Ogni azienda, ogni organizzazione pubblica o privata dovrebbe, anzi DEVE, rendersi partecipe nella lotta al cyber crime e investire in programmi di formazione, prevenzione e risposta alla minaccia interna. 

Questo è un "must"! 

C'è da dire che non tutti gli attacchi ransomware sono dello stesso tipo. Esistono per esempio degli attacchi che mirano ad ottenere un riscatto in cambio del silenzio sulle informazioni rubate. 

Questo è il caso, per esempio, di quanto accaduto qualche giorno fa raccontato dalla BBC. 

Il dipartimento della polizia metropolitana di Washington DC sembra sia stato attaccato da un gruppo (di origine russa?)di nome Babuk, che ha sottratto dati dal sistema informativo ed ora minaccia di rilasciarli se non viene pagata. Di quali dati si tratta? Niente di importante, sono solo dati personali. Si tratta infatti dei dati personali... degli informatori! 

In questa variante di ransomware i dati vengono criptati ma anche esfiltrati e il rischio è dunque duplice. In questo caso non è sufficiente avere i back-up dei dati. Bisognava agire preventivamente, magari con una bella campagna interna mirata a spiegare ai propri dipendenti il rischio legato al social engineering e agli attacchi di phishing. Perchè nella maggior parte dei casi, dietro un attacco riuscito di questo genere la ragione è da trovarsi nel comportamento errato degli utenti del sistema. Una email adescatrice può essere sufficiente per dare inizio ad un attacco, non dimentichiamocelo mai quando apriamo gli allegati.  

Cosi non dobbiamo stupirci se su Repubblica ci imbattiamo nella notizia di un "sospetto attacco telematico" realizzato a danno della Banca di Credito Cooperativo di Roma dove, un gruppo chiamato "DarkSide" ha cifrato i dati e reso impossibile il normale svolgimento delle attività. Gli attacchi cyber sono ormai all'ordine del giorno e non esiste una soluzione semplice al problema.

Alessandro Rugolo 

Per approfondire:

- Rapporto Clusit – Clusit

- Cyber-attack hackers threaten to share US police informant data - BBC News

- Un sospetto attacco telematico blocca le filiali della Bcc di Roma - la Repubblica

- Le filiali della Bcc di Roma sono state coinvolte in un sospetto attacco informatico - City Roma News  

Il CISCO Co-Innovation Centre di Milano ad un anno dall'apertura

Nel gennaio 2020, ha aperto a Milano, all’interno della struttura del Museo delle Scienze, primo in Europa, il Cisco Cybersecurity Co-Innovation Center. 

A distanza di poco più di un anno ci è sembrato utile capire come vanno le cose. Così abbiamo pensato di intervistare il direttore, Fabio Florio. 

Fabio ci ha raccontato le sue esperienze in Cisco (tra cui la digitalizzazione di Expo Milano) e le attività svolte nel primo anno di vita del co-innovation centre. 

Fabio, il Co-Innovation Centre di Milano è l’ultimo investimento di Cisco in Italia. Il Centro ha aperto ormai da un anno per cui è tempo di trarre qualche insegnamento. Ci potete raccontare di cosa vi occupate, in quali settori agite? 

Il Co-Innovation Centre fa parte di un più ampio programma di investimenti della multinazionale Cisco nel mondo. Facciamo parte di una rete di centri di ricerca, ognuno si occupa di argomenti specifici, nel nostro caso i settori individuati sono la cybersecurity e la data privacy, aree in cui a nostro parere è necessario mettere assieme le competenze, anche per trovare le leve giuste per combattere questa guerra, perché di questo si tratta. 

Il nostro compito è quello di favorire l’innovazione in Italia attraverso investimenti mirati anche alla formazione. 

Per poter svolgere il nostro lavoro abbiamo bisogno di competenze in diversi campi, ed è per questo che diciamo “co-innovation” e non “innovation”. Co-innovare significa creare nuove soluzioni, insieme. 

Nel settore della ricerca e innovazione Cisco è all’avanguardia nel mondo. Quali sono le iniziative in Italia? Quali sono le partnership con Università e centri di ricerca? La collaborazione è limitata, può migliorare o ha raggiunto un buon livello?

Crediamo fermamente nell’importanza di lavorare in rete per cui le nostre iniziative non sono mirate solo a far conoscere i prodotti di Cisco ma coinvolgono anche altri attori, in primo luogo i nostri clienti, i nostri partner, le start up, le Università e le scuole più in generale. Per esempio lavoriamo molto con il CINI (Consorzio Interuniversitario Nazionale per l’Informatica), anch’esso molto attivo nella cybersecurity. 

Le competenze più forti sono nel campo della formazione e il nostro obiettivo consiste nell’avvicinare i giovani alle tecnologie digitali, è anche per questo che abbiamo scelto il Museo della Scienza e della tecnica di Milano come sede. 

Spesso si sente dire che le tecnologie digitali, comprendendo sia il software che l’hardware, possiedono delle vulnerabilità ed è vero, ma non dobbiamo dimenticare che la vulnerabilità principale, l’anello debole della catena della sicurezza, è ancora l’uomo. 

La scarsa conoscenza dei sistemi, la tendenza ad ignorare le procedure di sicurezza per semplicità e a volte la mala fede, sono il vero problema. 

In questo settore c’è ancora molto da fare. Quello che occorre fare è sicuramente favorire la crescita della cultura nell’ambito della cyber security. Tra i temi più importanti vi è quello della “threat intelligence”, infatti in Cisco abbiamo un team di ingegneri e analisti che si occupa di ricerca e analisi dei rischi legati al mondo cyber, Talos. 

In media, giornalmente, vengono raccolti in tutto il mondo i dati relativi a circa 20 miliardi di attacchi, dati raccolti dai nostri sistemi e dai sistemi dei nostri clienti che decidono di condividerli per aiutarci a migliorare la sicurezza su Internet. Il nostro team lavora quotidianamente all’analisi di questi dati. 

Cisco è una multinazionale basata principalmente sul networking. Le cose stanno ancora così? 

In realtà le cose stanno cambiando. Certo, il networking è sempre importante, circa l’80-85% degli apparati di rete nel mondo è Cisco, ma altri settori si sono affiancati: la cyber security e le piattaforme di collaboration, videocomunicazione e telefonia, data center e soluzioni di virtualizzazione. A questi si affianca anche l’IoT. 

Oramai, sempre più, i nostri sistemi di rete sono integrati con i sistemi di sicurezza. Il nostro approccio è basato sulle architetture. Non si può più lavorare sulla sicurezza a posteriori, ma occorre pensare la sicurezza al momento in cui si crea l’architettura. 

Ormai essere attaccati è una cosa prevedibile, prima o poi tutti vengono attaccati. E’ importante essere in grado di difendersi ma anche di intercettare un attacco, rimediare e reagire. Non sono in tanti ad averlo capito, e questo è un problema. 

Per tornare alla formazione, qual è il vostro tipo di utenza? 

Sulla formazione noi facciamo leva sulla Cisco Networking Academy, creiamo contenuti che poi distribuiamo attraverso la nostra rete di partner educativi (le Academy). 

Principalmente ci rivolgiamo a giovani dalla quarta superiore in su, perché riusciamo a contribuire dando delle competenze che li aiutano a trovare lavoro, ma lavoriamo anche con istituzioni, realtà non profit, enti di formazione. 

Esistono corsi generalisti e anche specifici sulle tecnologie Cisco. Di solito chi si prende le certificazioni specialistiche nel giro di qualche mese riesce a trovare lavoro in quanto c’è una grande richiesta nel panorama italiano anche per chi non è laureato. 

Abbiamo rafforzato questo impegno nel quadro del programma Digitaliani e ormai abbiamo una media di 50.000 studenti l’anno, 8.000 che si certificano, e 345 Academy. 

Rendiamo disponibili questi corsi anche per il “re-skilling”, in ambito aziendale e pubblica amministrazione, che mira a riqualificare il personale nei nuovi settori e nel campo della digitalizzazione. 

Lavoriamo anche in contesti diversi. Per esempio, fin dal 2001 abbiamo portato una Networking Academy presso il carcere di Bollate. In questo modo cerchiamo di aiutare chi ha avuto problemi e magari, grazie a nuove motivazioni e nuove capacità, riesce a trovare un lavoro. In Italia ci sono già dieci carceri maschili e tre femminili che fanno parte del programma.

Tutti i processi interni aziendali stanno cambiando e non è facile trovare persone con le giuste competenze per ridisegnare i processi per il mondo digitale. 

Quello che vedo in Italia è che pian piano si sta migliorando ma manca ancora la capacità di capire come la digitalizzazione può aiutare a cambiare il lavoro. 

Cosa ci dici del mondo della Pubblica Amministrazione? 

Io vedo un ambiente che viaggia a marce diverse. Se parliamo a livello PA locale, esistono comuni preparati, ma sono pochi. Normalmente facciamo fatica a creare qualcosa perché sono molto ingolfati nella gestione quotidiana. 

A livello regionale le cose sono migliori in generale, anche perché spesso ci sono delle società “in-house” che si occupano proprio della digitalizzazione. 

A livello ministeriale è ancora diverso in quanto le risorse disponibili sono maggiori. 

Uno dei problemi che noi affrontiamo giornalmente è quello di far capire che per digitalizzare occorre studiare i processi interni e spesso modificarli per poter impiegare proficuamente le potenzialità delle nuove tecnologie. 

Noi cerchiamo di far capire che, al di là della tecnologia, occorre porsi delle domande: 

- quali sono gli aspetti organizzativi che occorre tenere in considerazione? 

- quali sono le competenze che il personale aziendale deve avere per gestire il nuovo processo digitale rispetto ad un processo analogico? 

Uno degli aspetti importanti se si vuol cambiare è che occorre essere coraggiosi e che bisogna avere voglia di cambiare le cose. 

Le vulnerabilità spesso sono anche hardware, non solo software. Quanto è importante l’hardware nella sicurezza? 

Hai toccato un aspetto importante in quanto non solo il software deve essere sicuro ma anche l’hardware. Noi pensiamo che la soluzione stia nello sviluppo chiamato “secure by design”. In ogni prodotto che noi sviluppiamo abbiamo due figure che partecipano al progetto sin dall’inizio, il security engineer e il privacy engineer. 

Una delle problematiche attuali su cui in Europa (e anche in Italia) si dibatte è quella della supremazia nazionale di alcuni settori strategici e anche dei dati. Cosa ne pensi? 

Secondo me è una cosa importante ma non so quanto sia fattibile. Credo che sia più importante sapere che chi ti dà il servizio è affidabile e capace di fornirti il servizio di cui hai bisogno. Devono esistere delle regole chiare che devono essere gestite in modo trasparente. 

Nuovi progetti per il futuro? 

Credo che adesso sia molto importante concentrarsi sui fondi che arriveranno sul Recovery Fund. Intorno a questi fondi (57% circa del totale) dovranno essere sviluppati tanti progetti per spendere le risorse che arriveranno e spenderle bene, su progetti che ci aiuteranno a cambiare realmente la nostra società. 

La pandemia ci ha portato ad un mondo quasi totalmente virtuale, il futuro probabilmente sarà ibrido e sarà importante avere dei progetti ben fatti. 

In questo ambito noi siamo impegnati sia nel settore collaboration che della sicurezza. 

Cosa ne pensi del concetto di “gamification” nell’ambito della cyber? Cosa fate voi in questo settore? 

Noi usiamo il principio anche per lo sviluppo della formazione interna di Cisco. E’ un po’ il futuro ed è sicuramente utile in quanto aiuta a completare dei percorsi e a mantenere vivo l’interesse. Non è facile ma probabilmente occorre abbinare il gaming al corso classico, per alzare la motivazione e stimolarti ad andare avanti. Noi abbiamo un’altra iniziativa di responsabilità sociale che chiamiamo “A scuola di internet”. In pratica noi dipendenti Cisco andiamo in giro per le scuole e spieghiamo a studenti e genitori le nuove tecnologie e i rischi che si devono affrontare. In quest’ambito per esempio abbiamo impiegato queste metodologie per stimolare l’audience e penso che sia un ottimo metodo per coinvolgere le persone. 

Grazie per l'aggiornamento e speriamo di rivederci presto, magari a Milano.

Alessandro Rugolo e Giovanni Di Venuta 

Per approfondire: 

- https://www.cisco.com/c/m/en_uk/innovation-centers/milan.html#~mission 

- https://www.consorzio-cini.it/index.php/it/ 

- Cisco Talos - Threat Intelligence Research Team – Cisco 

- UniCredit e CISCO Networking Academy al Carcere di Bollate - UniCredit (unicreditgroup.eu) 

- https://www.cisco.com/c/it_it/training-events/networking-academy.html

Exercise Locked Shields: quest'anno vince la Svezia

Anche quest'anno, tra il 13 e il 16 aprile, si è tenuta l'esercitazione cyber Locked Shields. 

Come ogni anno i preparativi e lo svolgimento dell'esercitazione hanno visto impegnati migliaia di esperti civili e militari nel cercare di proteggere le reti e i sistemi di propria competenza. I numeri sono rappresentativi: trenta paesi partecipanti, circa 2000 esperti, 5000 sistemi virtualizzati e 4000 differenti attacchi!

Ventidue le squadre partecipanti quest'anno. 

Novità anche in relazione ai settori interessati, oltre alla cyber in tutti i suoi aspetti, le squadre in gioco hanno dovuto affrontare operazioni di influenza condotte attraverso Information Operations. Tra gli obiettivi dell'esercitazione infatti vi era anche l'esame di come l'evoluzione tecnologica e le deepfakes potranno influire sui conflitti futuri.

Oltre ad aspetti tecnici, l'esercitazione ha toccato aspetti strategici allo scopo di esercitare tutta la catena di comando nazionale interessata nel caso di un evento cyber di grande ampiezza. Per gestire l'interruzione di parte dei servizi finanziari mondiali, prevista nello scenario, è stato interessato il Financial Services Information Sharing and Analysis Center (FS-ISAC), unica comunità che si occupa esclusivamente di cyber intelligence sui servizi finanziari. Nello scenario sono stati introdotti elementi importanti derivati dalla pandemia tuttora in corso, come l'incremento del telelavoro e l'aumento dei servizi on-line.

Come tutte le competizioni vi è una graduatoria e un vincitore. 

Quest'anno è stata la Svezia a ottenere il punteggio migliore, seguita dalla Finlandia in seconda posizione e dalla Repubblica Ceca in terza. 

Complimenti alle rispettive squadre per l'ottimo risultato ottenuto!

Dopo i complimenti ai vincitori è tempo di alcune brevi considerazioni di carattere generale.

Tanto per cominciare, da italiani ci chiediamo cosa abbia fatto il nostro team, sempre che abbia partecipato.

Seconda domanda: che fine hanno fatto i paesi considerati da tutti più avanzati nel settore? Dove sono gli Stati Uniti, il Regno Unito, la Francia... per citarne solo alcuni? 

Siamo consapevoli che si tratti di una esercitazione e come tale va presa, ma se veramente è la più grande esercitazione cyber del mondo (occidentale) ci si dovrebbe aspettare una graduatoria differente!

Ma tant'è! Forse ci sbagliamo... 

In attesa di avere qualche informazione in più, ancora complimenti ai vincitori.

Bravi!  

P.S. L'esercitazione Locked

Shields 2021 è stata organizzata dal CCDCOE, in cooperazione con la NATO Communications and Information Agency, Estonian Ministry of Defence, Estonian Defence Forces, Siemens, Ericsson, TalTech, Foundation CR14, Bittium, Clarified Security, Arctic Security, Cisco, Stamus Networks, VMware, SpaceIT, Sentinel, Financial Service Information Sharing and Analysis Center (FS-ISAC), US Defense Innovation Unit, Microsoft, Atech, Avibras, SUTD iTrust Singapore, The European Centre of Excellence for Countering Hybrid Threats, NATO Strategic Communications Centre of Excellence, European Defence Agency, Space ISAC, US Federal Bureau of Investigation (FBI), STM, VTT Technical Research Centre of Finland Ltd, NATO M&S COE e PaloAlto networks. 

Alessandro Rugolo & Danilo Mancinone

Per approfondire:

- https://ccdcoe.org/news/2021/sweden-scored-highest-at-the-cyber-defence-exercise-locked-shields-2021/

- https://news.err.ee/1608174550/locked-shields-2021-largest-cyber-defense-exercise-worldwide

- https://www.securitylab.ru/news/519009.php

- https://honvedelem.hu/hirek/locked-shields-2021-tobbnemzeti-kibervedelmi-gyakorlat.html

- https://balticword.com/worlds-largest-international-live-fire-cyber-exercise-to-be-launched-next-week/

- FS-ISAC Leads Financial Sector in World’s Largest International Live-Fire Cyber Exercise

- La Francia si impone alla Locked Shield 2019 - Difesa Online

Facebook Data Public Disclosure e l’inquietante sensazione dell’assuefazione al data breach

La tecnologia non fa eccezione, come ogni altro ambito della società ha i suoi argomenti di grido e alcune parole magiche che sono sulla bocca di tutti.

La sicurezza informatica negli ultimi due lustri è di diritto sul podio tra gli argomenti che stanno dominando il panorama internazionale tecnologico. Fenomeno osservabile non soltanto nei laboratori di produttori di hardware e software, altresì ha avuto grande risalto anche nei saloni dove si discutono le strategie sociopolitiche internazionali.

Dal 2016 infatti uno degli argomenti che ha maggiormente occupato i pensieri, e per qualcuno le notti insonni, è stata la gestione corretta dei dati personali con l’ormai famoso e solo parzialmente digerito Regolamento Generale per la Protezione dei Dati Personali europeo in breve GDPR. 

Questo regolamento ha svolto il ruolo di rampa di lancio per tutta un’altra serie di attenzioni tra cui l’imposizione di applicare misure di sicurezza adeguate ai sistemi ed ai dati personali. 

Obbligo che si lega a doppio filo con il fenomeno del furto dei dati che in contemporanea è diventato sempre più pressantemente incubo dei responsabili della sicurezza delle informazioni di tutto il mondo.

Con la sensibilizzazione di poteri legislativi e degli esperti informatici anche i mezzi di comunicazione hanno iniziato a fiutare l’interesse che questi aspetti avrebbero potuto suscitare sul pubblico generalista e per questo motivo sono nati molti format che hanno cavalcato il fenomeno della sicurezza informatica.

Si annoverano ormai diversi film, documentari, serie TV e diversi speciali verticali che sono andati in onda sulle reti nazionali per eccellenza.

Questa ampia premessa vuole introdurre quella che è solo l’ultima notizia che ha investito la rete e i mezzi di comunicazione che ha come protagonista il social network per eccellenza, Facebook.

Sto parlando del portale di socializzazione che ha inequivocabilmente segnato l’inizio di una nuova vita sociale e ha stravolto in maniera probabilmente irreversibile il modo in cui la gente si conosce.

È infatti disponibile da qualche giorno un imponente archivio di dati, che sembra si attesti attorno ai 15GB, che contiene tutti i dati che erano stati trafugati dai sistemi del sopracitato sito nel non così lontano 2019.

All’interno di questo archivio sono presenti informazioni molto rilevanti come il numero di telefono degli utenti utilizzato per la conferma degli account, nomi, cognomi, indirizzo di posta elettronica.

La notizia in realtà è diventata d’interesse globale in questi giorni perché una volta che questi dati hanno perso qualsiasi valore economico qualcuno ha deciso di renderli disponibili gratuitamente per tutti.

Non è da trascurare però il punto cardine di questo evento, i dati rubati sono stati prima di tutto messi in vendita nel famoso “dark Web”.

Non serve troppa immaginazione per indovinare quale possa essere il cliente ideale per questo prodotto. Organizzazioni interessate ad un’ampia lista di contatti a cui “comunicare” informazioni a fini pubblicitari ad esempio.

Ma peggio ancora questo tipo di basi dati sono molto utili alle organizzazioni malevole che effettuano attacchi di vario tipo. 

Sono ottime fonti per lanciare campagne di phishing, campagne di “spray attack” e vista la grande mole di dati non ci si stupirebbe se fosse possibile effettuare attività di “data mining” trovando pattern di attacco ottimi per il social engineering.

I numeri di telefono infine sono ottimi mezzi di attacco per lo “smishing” e ideali da vendere a società di telemarketing di tutto il mondo.

Una volta che tutto il bacino di possibili acquirenti di questo prodotto risulta esaurito, è giunto il momento di lasciare queste informazioni alla mercé di tutta la rete in modo che anche chi non avesse disponibilità economica o interessi sufficienti da investirci ne faccia l’uso che preferisce.

Ciò che però può essere interessante osservare è che questo evento è soltanto l’ultimo di una lunghissima serie di “data breach” avvenuti negli ultimi anni, sul nostro sito abbiamo un articolo che annovera quelli del 2020: un anno di Hacking (https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking )

Sono stati impattati giganti di ogni tipo, citandone giusto alcuni: il sito di aste online più longevo e famoso eBay, il portale di annunci di lavoro e social network professionale leader LinkedIN, alcune tra le catene alberghiere più importanti in tutto il mondo come Marriot, aziende sviluppatrici di giochi e produttrici di software come Sony e Nintendo.

Se voleste scoprire se i vostri dati siano stati parte di uno di questi incidenti e conseguenti divulgazioni di dati trafugati è possibile utilizzare il sito “';--have i been pwned?” raggiungibile all’indirizzo https://haveibeenpwned.com/.

All’interno di questa pagina potrete scoprire, tramite una banalissima finestra di ricerca con il vostro indirizzo di posta elettronica, numero di telefono o password, se siete tra le vittime di un “data breach”.

Tornando al focus dell’articolo, in ognuno di questi grandi incidenti sono stati trafugati milioni di record e ogni volta che è avvenuto uno di questi “data breach” l’eco che ha generato negli addetti ai lavori è sempre stato minore. 

Anche i mezzi di comunicazione hanno iniziato a dare sempre meno risalto a queste notizie quasi come se non fossero in fondo delle vere notizie.

La notizia forse è quindi che ormai siamo tutti un po’ “assuefatti” alla realtà dei furti di dati e che per la nostra società i data breach siano soltanto uno dei tanti normali eventi a cui siamo abituati.

Anche lo stesso COVID ci ha insegnato che dopo ormai più di un anno di pandemia, le numeriche giornaliere che snocciolano contagiati e, purtroppo, deceduti vengono derubricate a piccoli trafiletti dei telegiornali.

Nei primi momenti invece dell’emergenza venivano effettuate vere e proprie maratone che trattavano ogni singolo numero con grande zelo.

Purtroppo questo tipo di assuefazione può creare dinamiche rischiose nella mente di qualcuno, perché potrebbe accendere la dinamica psicologica di affermare qualcosa come: “se succede a tutti perché dovrei preoccuparmene più degli altri?”.

Ciò che invece è nostra missione, come riteniamo debba essere civicamente un dovere di tutti, è tenere sempre vigile la sensibilità pubblica sul fatto che gli impatti collegati ad un “data breach” sono proporzionalmente direttamente ed esponenzialmente collegati alla quantità e alla criticità dei dati che vengono trafugati.

Il mondo che abbiamo creato e che complice l’accelerazione digitale da pandemia sta sempre più affermandosi è totalmente fondato sulle basi di dati semplici e complesse.

Questa tendenza richiede di essere sempre compensata dalla coscienza che le basi di dati sono da proteggere al massimo delle possibilità e che vanno gestite rispettando i principi della sicurezza informatica in particolare il privilegio minimo e il “need to know”. È una bilancia sociale che va molto oltre la tecnologia. 

La cosa che ormai non stupisce più è che questi furti vengano perpetrati perché viene violata una identità digitale che serve da entratura. E teniamo a mente che per i primi passi delle fasi di ingresso degli attaccanti non sono necessarie delle credenziali aventi alti privilegi.

Molto più di frequente di quanto si immagini, sono normalissime utenza con cui vengono effettuate le prime fasi di attacco, il famoso “footprinting”. Una volta collezionate preziose informazioni grazie a quelle utenze è possibile per gli attaccanti iniziare a pianificare i passi successivi in maniera molto più assennata. Non si muoveranno più al buio provando qui e li con banali tentativi di forza bruta, avranno direzioni e strategie tessute a pennello per il target di turno. 

Potete fare un parallelo immaginario con i film di azione in cui la banda di ladri prima di iniziare il colpo si occupa di raccogliere le informazioni sull’obbiettivo da derubare. La mappa dell’edificio, le ronde del corpo di sicurezza, nomi delle guardie etc etc. Queste informazioni vengono poi utilizzate per raggiungere il bottino, che nel caso degli attacchi alle informazioni sono proprio le basi di dati. 

In ultima analisi vorrei porre la vostra attenzione sul fenomeno dei ransomware. Spesso vengono considerati in sé il problema vero e proprio, sopratutto dal punto di vista della sicurezza informatica. A dir il vero più spesso di quanto si pensi sono più utili a coprire le tracce degli attaccanti che ad avere effettivamente il riscatto richiesto per “liberare” i dati.

Questo perché oggi la sensibilità nei confronti di questi rischi si è fatta forte e sempre più realtà effettuano copie di “back up” dei dati e quindi sono sempre meno costrette a pagare i riscatti per avere i dati nuovamente decodificati. 

Non resta quindi che continuare a parlare di questi fenomeni allo scopo di sensibilizzare coloro che governano processi e nazioni verso una filosofia di evoluzione tecnologica sostenibile e consapevole.

Se voleste avere maggiori informazioni riguardo all’attacco ricevuto da facebook vi rimandiamo all’articolo di Wired https://www.wired.com/story/facebook-data-leak-500-million-users-phone-numbers/ .

Alessandro Oteri