Il Sistema Operativo: l'anima dei PC

Possiamo affermare che la prima grande rivoluzione informatica si è avuta con la nascita dei Sistemi Operativi che ha permesso, di fatto, al mondo intero, l’utilizzo dei device.

Grazie a tecnologie più veloci e sempre “meno costose”, i computer hanno avuto uno sviluppo esponenziale ed il sogno di Bill Gates 😊, ossia avere un computer su ogni scrivania, si è avverato. Non solo; si è andati ben oltre tanto che al giorno d’oggi, rispetto al passato, è disponibile una grande varietà di sistemi di elaborazione e non c’è più bisogno di una scrivania ma bastano le nostre tasche 😊.

Vediamo, pertanto, come sono nati i sistemi operativi e, realmente, cosa sono.

Per semplificare le cose, un sistema operativo è un software che viene caricato all’avvio del computer e che permette l’utilizzo di altri software. Possiamo dire che, in assoluto, è il software più utilizzato nella vita di un computer ed è il mezzo attraverso il quale il computer stesso vive. Senza il sistema operativo molte operazioni non potrebbero esistere.

Possiamo dividere il sistema operativo in due grandi classi:

• La prima è quella testuale;

• La seconda, è quella grafica. Di fatto, la più utilizzata.

Se andiamo a ritroso nel tempo, il progenitore del sistema operativo possiamo datarlo tra il 1945 e il 1955 quando comparvero i primi elaboratori elettronici dotati di valvole termoioniche. Si trattava di macchine costosissime in cui i programmi venivano scritti in linguaggio macchina ed inseriti nel programmatore attraverso lettori di schede perforate ed i cui risultati venivano, successivamente, inviati alla stampante.

Nel decennio che va dal 1955 al 1965 comparvero i primi elaboratori affidabili, i cosiddetti Mainframe, grazie all’invenzione dei transistor che sostituirono le valvole termoioniche. Si trattava sempre di macchine iper-costose e gigantesche i cui acquirenti erano soltanto banche, Università e Centri di Calcolo. Contestualmente nasce anche il primo vero linguaggio di programmazione, il Fortran, il quale consente di avere un numero sempre crescente di programmatori.

E qui, finalmente, arriviamo al primo vero Sistema Operativo, prodotto dalla General Motors per il proprio IBM 701. Dal momento che non era ancora stata introdotta la tecnologia di accesso diretto alla memoria (DMA) tutte le operazioni di input/output erano a carico della CPU il che rallentava terribilmente l’esecuzione vera e propria. Per questa ragione si adottò la soluzione a lotti, i cosiddetti batch, per cui l’I/O viene gestito da un calcolatore più economico come l’IBM 1401 e l’elaborazione affidata ad un calcolatore centrale come l’IBM 7094. Il sistema operativo di questi calcolatori, il cosiddetto Batch Monitor, svolgeva pochi servizi quali la gestione dell’Input/Output e l’interpretazione ed esecuzione dei comandi contenuti nelle schede di controllo.

Nei primi anni 60, con lo sviluppo sempre maggiore dei transistor, si hanno i primi sistemi operativi in multiprogrammazione time-sharing e sistemi real-time per il controllo di processo. Nel 1962 al MIT si realizza il CTSS, il primo sistema time-sharing, su un IBM 7094 ed è in questo periodo che il MIT, la General Electric e i Bell Labs sviluppano, in modo congiunto, MULTICS, un sistema operativo in grado di supportare centinaia di utenti in time-sharing, una sorta di pietra miliare che ha influenzato lo sviluppo dei sistemi operativi che sarebbero arrivati successivamente.

La primavera del 1964 vede la nascita di IBM OS/360, un sistema operativo omnicomprensivo in grado di gestire il batch, il time-sharing e il real-time, di supportare sia il calcolo scientifico, con il linguaggio Fortran, che quello commerciale, con il linguaggio gestionale Cobol, realizzato l’anno successivo.

Negli anni immediatamente successivi, con lo sviluppo dei minielaboratori, vengono sviluppati appositi sistemi operativi tra cui, il più famoso, è UNIX.

Con l’avvento di UNIX, avvenuto nel 1969, entriamo in una nuova era che vede la nascita di sistemi operativi eterogenei:

• OS/370 di IBM che introduce il concetto di macchina virtuale;

• VM/CMS, nato nel 1972;

• Sistemi operativi distribuiti su una rete di processori

  
  

Questi sistemi operativi offrono, per la prima volta, funzioni che prima erano caratteristica dei programmi applicativi determinando la nascita di elaboratori multiprocessore.

Non possiamo a questo punto non dedicare un momento a UNIX. Questo sistema fu progettato a partire dal 1969 da un gruppo di ricercatori della AT&T presso i Bell Labs tra cui sono degni di menzione Ken Thompson che lavorò anche al progetto Multics e Dennis Ritchie, uno dei pionieri dell'informatica moderna, importante per essere stato l'inventore del linguaggio C.

La nascita di UNIX ha dato luogo ad una serie di varianti come BSD (Berkley Software Distribution), SCO System V, Minix e, successivamente, LINUX, realizzato nel 1991 dallo studente finlandese Linus Stallman, famoso per essere stato il paladino del software libero.

A cavallo degli anni 70/80 assistiamo al fenomeno dell’abbattimento dei costi hardware grazie allo sviluppo della tecnologia LSI (Large Scale Integration) e alla costruzione di chip integrati e alla nascita dei Personal Computer in grado di avere prestazioni simili a quelle dei calcolatori medio-grandi di 10 o 20 anni prima. Contestualmente, nel 1964, nasce il Basic, un nuovo linguaggio di programmazione.

I più importanti sistemi operativi di questo periodo sono:

• CP/M-80 della Digital Research per le CPU Intel 8080 e Z-80;

• MS-DOS di Microsoft, simile al CP/M-8 adottato da IBM per il proprio Personal Computer, lanciato nel 1981 e che pose le basi per lo sviluppo di Microsoft.

Questi anni sono estremamente vivaci e fertili dal punto di vista informatico ed anche l’Italia ne trae beneficio con l’affermazione e la successiva rapida crescita di Olivetti che nel 1972 costituisce a Ivrea il Servizio Sviluppo Software che può contare sulle esperienze maturate da alcuni ingegneri negli USA presso il MIT. È da questo gruppo, svincolato dai gruppi di sviluppo prodotto per rispondere ad una strategia di rilancio decisa dal top management di allora, l’amministratore delegato Ottorino Beltrami e la responsabile del product planning Marisa Bellisario, che tra il 1973 e il 1975 nasce il Cosmos, sistema operativo del TC 800.

Il TC 800 è un sistema di terminali bancari video-tastiera, ciascuno dei quali ha memoria e disco sufficienti per elaborare la parte locale della transazione bancaria di sportello. I terminali sono poi collegati al master, sempre della stessa famiglia, che concentra il tutto colloquiando con l'elaboratore centrale (in genere un grosso IBM). L'importanza dell'innovazione consiste nel fatto che l'elaborazione non avviene più tutta al centro, ma in parte si svolge presso i terminali di sportello, che diventano parte attiva di un sistema complesso.

La posizione di avanguardia in questo campo si conferma a inizio anni '80 con Cosmos II, su minicomputer S1000, un sistema che presenta protocolli LAN e WAN standard ISO ed ECMA, organismi internazionali di standardizzazione in cui Olivetti gioca un ruolo di rilievo.

Le competenze acquisite nel software consentono in seguito alla Olivetti di avere un ruolo importante anche nei grandi programmi sia italiani (Progetto finalizzato Informatica del CNR), sia europei (Progetto Esprit dell'Unione Europea).

A partire dal 1984 esplodono i sistemi operativi con interfaccia grafica. Ispirandosi all’interfaccia grafica sviluppata da Xerox qualche anno prima, Apple dà vita, sul Macintosh, a Mac OS che rappresenta il primo sistema operativo per PC con interfaccia grafica che rappresentò una vera rivoluzione.

Subito dopo assistiamo alla nascita di X Windows System in ambiente UNIX e a Windows da parte di Microsoft che, all’inizio, non era un vero e proprio sistema operativo ma un’estensione di MS-DOS.

Nel 1987 IBM sviluppa OS/2 per il proprio PC PS/2 che non ha, però, un grande successo. L’imposizione sul mercato da parte di Microsoft avviene con la nascita di Windows 3.0 nel 1990, sistema operativo che supporta il multitasking e la memoria virtuale, a cui seguiranno Windows 3.10 e 3.11 mentre nel 1992 vengono introdotti il supporto multimediale e le funzioni di rete per lan e peer to peer.

Solo a partire da Windows 95 si può parlare di sistema operativo vero e proprio per Windows oltre al fatto che si passa dal calcolo a 16 bit a quello a 32 bit. Seguiranno poi Windows 98, nel 1998, Windows ME, nel 2000, Windows 2000, sempre nel 2000, Windows XP, nel 2001 e via via tutti gli altri fino ad arrivare a Windows 10 dei nostri giorni.

Anche Linux nelle sue varie distribuzioni fornisce l’interfaccia grafica: Red Hat, nel 1994, Debian GNU/Linux, nel 1996, Ubuntu nel 2005.

Una menzione a parte meritano i sistemi operativi di rete che nacquero con il fenomeno che si sviluppò negli anni ’80 con la nascita delle reti di computer.

Nacquero così:

• Sistemi Operativi di Rete che sono dei normali sistemi operativi con l’aggiunta di software per il collegamento a macchine remote e quindi alle relative risorse condivise come file e stampanti;

• Sistemi Operativi Distribuiti che sono sistemi operativi che girano su sistemi a più processori oppure che inviano i processi da elaborare ad altri computer della rete.

Su queste basi nasce nel 1983 il sistema operativo Netware di Novell che consente la connessione in rete di computer dotati di sistemi operativo quali MS-DOS, Windows, Unix e Mac OS.

Sull’onda delle nuove esigenze di connessione e condivisione di informazioni e device, Microsoft sviluppa diversi Sistemi Operativi di rete, sempre denominati Windows: NT, nel 1993, 200 Server, nel 2000, Server 2003, nel 2003, Server 2008, nel 2008, Server 2012, nel 2012, ecc.

Al giorno d’oggi, rispetto al passato, è disponibile una grande varietà si sistemi di elaborazione dalle più disparate dimensioni e performance a costi contenuti e sono sempre più diffuse le interconnessioni tra i vari dispositivi in modalità sia wired che wireless.

Tutto questo ha portato allo sviluppo di sistemi operativi per le più svariate architetture ed in particolare per i cellulari i cui due sistemi operativi più importanti sono IOS di Apple e Android di Google.

Ma di questo ne parleremo in un prossimo articolo...

Carlo Mauceli

Storia dei sistemi operativi - Wikipedia

Mainframe - Wikipedia

Cronologia dei sistemi operativi - Wikipedia

Racconti e aneddoti di un pioniere informatico - Difesa Online

IBM 701 - Wikipedia

CTSS - Wikipedia

What is the Compatible Time Sharing System (CTSS)? - Definition from Techopedia

Multics - Wikipedia

StoriaInformatica.it, dove i ricordi digitali prendono forma

COBOL: storia, applicazioni e futuro | Webnews

Microsoft PowerPoint - Giovanni Riccardi - Storia deilinguaggi di programmazione (infn.it)

Unix - Wikipedia

Unix: storia e fondamenti di una pietra miliare - IONOS

Ken Thompson UNIX systems father | Unixmen

Dennis M.Ritchie - The father of the "C" programming language | Unixmen

StoriaInformatica.it, dove i ricordi digitali prendono forma

Storiaolivettti - Software (storiaolivetti.it)

l'evoluzione dell'interfaccia grafica — Design Multimedia (desmm.com)

La storia di Windows, dal DOS alla prima Interfaccia - Lentux Informatica (lentux-informatica.com)

Evoluzione dei sistemi operativi e delle interfacce utente - Lidweb.net

StoriaInformatica.it, dove i ricordi digitali prendono forma

La storia di Windows, anno 1987: OS/2 [TurboLab.it]

StoriaInformatica.it, dove i ricordi digitali prendono forma

StoriaInformatica.it, dove i ricordi digitali prendono forma

Novell (wikiqube.net)

Confidentiality – Integrity – Availability nella Operation Technology in ottica Industria 4.0: parte seconda

Un sistema automatizzato di produzione gestito in Industria 4.0 ha necessariamente a disposizione una rete interna/esterna di gestione dei dati e del processo (ricetta di produzione, ciclo di gestione del magazzino, prove automatizzate, etc.). 

In Figura 3 è possibile capire la complessità di un sistema completo OT sviluppato in base ai moderni standards.

Figura 3: Esempio di sistema OT integrato

Questo vale dal semplice sensore che trasmette il dato alla Control Room fino alla gestione in remoto di una isola robotizzata, ove dal Server viene inviata la ricetta delle posizioni nuove per i vari robot dell’isola in base al nuovo componente da costruire (si pensi ad esempio ai robot di verniciatura in linea in una catena di produzione di componenti auto).

La ricetta o il valore del dato costituiscono il know-how dell’azienda, spesso sono proprio alla base del successo del dato processo. Così come per le persone fisiche (impiegati, addetti, managers, etc.) è d’obbligo la riservatezza, lo stesso impegno deve essere profuso per evitare il furto di dati depositati su Cloud, archivi locali, memorie distribuite nei vari punti della rete aziendale. Lo stesso vale per gli accessi: non tutti possono accedere a particolari luoghi ove si mantiene un segreto industriale, e lo stesso vale per chi vuole accedervi tramite la rete.

Allo stesso modo, anche il mantenimento della integrità sia del dato che della struttura che lo elabora e trasmette è fondamentale: cosa accadrebbe se il sensore andasse fuori calibrazione ed invece di leggere il corretto valore, leggesse un valore diverso? E se il robot applicasse una ricetta diversa sul componente in produzione? Nel primo caso potrebbe far fermare l’impianto se il valore inviato è sopra una certa soglia di warning o allarme. Nel secondo caso potrebbe imporre al robot di fare una manovra che vada a danneggiare il pezzo o il robot stesso. Esattamente come per qualsiasi errore umano.

Esiste però un terzo caso molto più subdolo per quanto riguarda l’integrità ed è il concetto di “integrità apparente”: Il sistema sotto attacco è sostanzialmente funzionante ma nel processo c’è un valore che in maniera spesso random viene alterato al fine di falsare il risultato finale del processo. Ad esempio, il collaudo in fine linea di produzione oltre ai propri scarti naturali, accuserà degli scarti dovuti a falsi segnali dati dai sensori e che verranno riconosciuti come scarto naturale.

Nella filiera di controllo nessuna informazione è relativa all’intervento del malware nascosto, ma intanto lo stesso ogni tanto da il suo contributo al totale dei pezzi scartati aggravando il costo aziendale in un continuo stillicidio. O viceversa, caso ancora peggiore, tale malware farà risultare in maniera random buono un pezzo che in realtà è scarto e quindi tale componente verrà immesso sul mercato!

Il terzo punto della triade si riferisce alla Disponibilità: sia il sistema che i dati devono essere disponibili, anche a seguito di un attacco. Nella regola di buona pratica il programma PLC o il sstema ICS (Industrial Control System) è già ridondante, così come tutte le parti critiche della rete. Ma la pratica basilare è la esecuzione di back-up di sistema fisico e organizzato in maniera “artigianale”: Mettere i dati su un hard-disk esterno che viene collegato giusto per tale scopo e poi sconnesso ed alternarlo con un secondo hard-disk è molto più efficiente nella fase di recovery che non un sistema costoso e per i ritmi richiesti di recovery spesso troppo macchinoso e lento.

Come proteggersi e con quali strategie

Da quanto discusso sopra, seppur la base di partenza è la C.I.A. e tale concetto deve essere chiaro nello sviluppo della rete OT, Una parallela triade deve essere preliminarmente predisposta e aggiornata con maggior impegno:

• Consapevolezza
• Conoscenza
• Contesto Operativo

Le prime due componenti si riferiscono al fattore umano: Se tutti gli operatori, a qualsiasi livello, agenti nel sistema OT non hanno consapevolezza e conoscenza della delicatezza della sicurezza cibernetica e dei rischi che si possono tramutare in minacce o attacchi, nessun sistema di protezione è in grado di proteggere realmente.

La base è a dir poco banale: ognuno di noi si chieda cosa accadrebbe se il PC che provo ad accendere non si avvia? Quali conseguenze nell’immediato? Quali a medio-lungo termine?

E se a non partire fosse il PC della linea di produzione? O il sistema intero di produzione o controllo qualità? Essere consapevoli di questo è la prima barriera contro possibili attacchi poichè innesca il meccanismo di autodifesa con la ricerca per conoscere come fare per proteggersi, applicarsi a realizzare le protezioni e aggiornarsi anche suggerendo o concordando insieme al responsabile IT, in base al contesto applicativo, quali siano i reali possibili rischi e magari quali potrebbero essere le possibili azioni di mitigazione.

Figura 4: Il Contesto Operativo di base di un sistema OT

Pur lasciando ai tecnici esperti la definizione della struttura OT e la gestione, la Policy di sicurezza aziendale deve essere tracciata dal proprio Board che deve coinvolgere e responsabilizzare.

Fatta la parte di “evangelizzazione”, i suggerimenti vengono spontanei dai vari attori e quindi si scopre che:

• Sensori Analogici che forniscono semplicemente il dato in formato analogico (ad esempio il classico 4-20 mA) o digitale (ma solo in uscita) senza possibilità di essere calibrati da remoto, sono molto più sicuri di sensori in logica IoT (Internet of Things).
• Sensori o sistemi in logica IoT sono molto performanti rispetto ai primi, ma occorre proteggerli tramite password dedicate e tutte le comunicazioni devono essere crittografate.
• Tutte le password di sensori e sistemi forniti di default dai fornitori devono essere cambiate già dal primo utilizzo.
• Ogni volta che si accede al sistema o al sensore specifico per cambio processo, calibrazione o manutenzione predittiva o accesso da remoto tramite linea esterna, occorre cambiare le impostazioni e password di sicurezza.
• Il processo di cui al punto 4, se automatizzato, deve essere mediante sistema interno all’azienda
• Un opportuno procedimento formalizzato di back-up, che sia fisico o su cloud o su più entità, deve essere implementato e verificato.

Da ultimo, ma che in realtà è l’anello debole di tutto quanto sopra e per questo motivo lo indichiamo come promemoria finale, il fattore umano (sia come possibile errore che come azione predeterminata) gioca un ruolo fondamentale nella sicurezza informatica e specialmente nel sistema OT poiché distribuito sia come IT network che fisicamente per tutte le fasi e dislocazioni produttive. L’Insider Threat deve essere opportunamente valutato e le possibili conseguenze previste e mitigate con un approccio formale e molto flessibile in base alle situazioni contingenti.

 

Alberto Monici, Alessandro Rugolo

Bibliografia

[1] Stuxnet Worm Attack on Iranian Nuclear Facilities (stanford.edu)

[2] https://www.nbcnews.com/tech/security/colonial-pipeline-paid-ransomware-hackers-5-million-u-s-official-n1267286

[3] https://www.mise.gov.it/index.php/it/incentivi/impresa/beni-strumentali-nuova-sabatini

[4] http://ijarcsse.com/Before_August_2017/docs/papers/Volume_4/1_January2014/V4I1-0528.pdf

[5] What is the CIA Triad? Defined, Explained, and Explored (forcepoint.com)

Social Engineering: perchè le aziende dovrebbero temerlo?

“La sicurezza informatica è difficile (forse anche impossibile), ma immagina per un momento di esserci riusciti. La crittografia potente viene applicata dove necessario, i protocolli di sicurezza svolgono le loro funzioni in modo impeccabile. Abbiamo sia hardware affidabile che software affidabile a nostra disposizione. Anche la rete su cui operiamo è completamente sicura. Meraviglioso!

Sfortunatamente, questo non è ancora abbastanza. Questo meraviglioso sistema può fare qualsiasi cosa di utile solo con la partecipazione degli utenti.

Le persone sono spesso l'anello debole di un sistema di misure di sicurezza, e sono loro che rendono costantemente inefficaci queste ultime.

In termini di sicurezza, la matematica è impeccabile, i computer sono vulnerabili, le reti sono pessime e le persone sono semplicemente disgustose.”

tratto da: "Secrets and Lies: Digital Security in a Networked World" , di Bruce Schneier.

L'informazione è uno dei beni più importanti di un'azienda.

Le informazioni possono costituire un segreto commerciale della società, ad esempio in circostanze esistenti o possibili possono servire per aumentare i ricavi, evitare spese ingiustificate o contribuire a mantenere una posizione dominante nel mercato di beni, lavori, servizi o apportare altri benefici commerciali all'azienda. Di conseguenza, tali informazioni devono essere protette.

Dal momento che le persone per lavorare si spostano potenzialmente in qualsiasi azienda, inevitabilmente sorge l'influenza del fattore umano su tutti i processi dell'organizzazione. Compreso il processo di protezione delle informazioni riservate.

Qualsiasi azione umana associata a una violazione del regime di sicurezza può essere suddivisa in due grandi categorie: intenzionali e non intenzionali.

Le azioni intenzionali includono il furto di informazioni da parte dei dipendenti, la modifica delle informazioni o la loro distruzione (sabotaggio). Quest'ultimo è un caso estremo e deve essere affrontato a posteriori, coinvolgendo gli organi di polizia.

Per azioni non intenzionali si intendono, per esempio, la perdita dei supporti di memorizzazione, la distruzione o il danneggiamento dei dati per negligenza. La persona in questo caso non si rende conto che le sue azioni portano a una violazione del regime del segreto commerciale.

Lo stesso vale per eventuali azioni involontarie compiute a vantaggio delle persone sbagliate, spesso indotte con l'inganno attraverso tecniche dette di "ingegneria sociale".

In molti casi un dipendente non si rende conto che le sue azioni possono comportare violazioni del regime del segreto industriale, ma allo stesso tempo chi glielo chiede sa chiaramente che sta violando il regime.

Tecniche di ingegneria sociale

Tutte le tecniche di ingegneria sociale si basano sulle peculiarità del processo decisionale umano.

Esistono varie tecniche e tipologie di ingegneria sociale:

- Il pretexting è un'azione elaborata secondo uno script prescritto (pretesto). Di conseguenza, il bersaglio (vittima) deve fornire determinate informazioni o eseguire una determinata azione. Questo tipo di attacco viene solitamente utilizzato per telefono. Il più delle volte, questa tecnica comporta niente più che semplici bugie e richiede alcune ricerche preliminari (ad esempio, la personalizzazione: scoprire il nome del dipendente, la sua posizione e i nomi dei progetti a cui sta lavorando) al fine di garantire la credibilità quando ci si presenta al bersaglio.

- Il phishing: una tecnica volta all'ottenimento fraudolento di informazioni riservate. In genere, l'attaccante invia al bersaglio un'e-mail, contraffatta da una lettera ufficiale - da una banca o da un sistema di pagamento - che richiede la "verifica" di determinate informazioni o l'esecuzione di determinate azioni. Questa lettera di solito contiene un link a una pagina web falsa, che imita quella ufficiale, con un logo e un contenuto aziendale, e contiene un modulo che richiede di inserire informazioni riservate, dal tuo indirizzo di casa al PIN della tua carta di credito.

- Troian horse: questa tecnica sfrutta la curiosità o l'avidità del bersaglio. L'aggressore invia un'e-mail contenente un allegato con un importante aggiornamento antivirus o anche nuove prove compromettenti contro un dipendente. Questa tecnica rimane efficace finché gli utenti fanno clic ciecamente su qualsiasi allegato.

- Road Apple: questo metodo di attacco è un adattamento di un cavallo di Troia e consiste nell'uso di supporti fisici. Un utente malintenzionato può posizionare un CD o una scheda di memoria, infatti, in un luogo in cui è possibile trovare facilmente il supporto (corridoio, ascensore, parcheggio). Il mezzo è forgiato come ufficiale ed è accompagnato da una firma progettata per suscitare curiosità.

Esempio: un utente malintenzionato può lanciare un CD con un logo aziendale e un collegamento al sito Web ufficiale dell'azienda di destinazione ed etichettarlo "stipendio dei dirigenti del primo trimestre 2010". Il disco può essere lasciato al piano dell'ascensore o nella hall. Un dipendente può inconsapevolmente prendere un disco e inserirlo in un computer per soddisfare la sua curiosità.

- Quid pro quo: un utente malintenzionato può chiamare un numero casuale dell'azienda e presentarsi come un dipendente dell'assistenza tecnica chiedendo se ci sono problemi tecnici. Se ce ne sono, nel processo di "risoluzione", il bersaglio immette comandi che consentono a un utente malintenzionato di lanciare software dannoso.

- Ingegneria sociale inversa.

L'obiettivo del social reverse engineering è far sì che l'obiettivo si rivolga all'aggressore per "aiuto". A tal fine, un utente malintenzionato può utilizzare le seguenti tecniche:

Sabotaggio: crea un problema reversibile sul computer della vittima.

Pubblicità: L'aggressore fa scivolare la vittima con un annuncio del tipo "Se hai problemi con il tuo computer, chiama questo numero" (questo riguarda principalmente i dipendenti che sono in viaggio d'affari o in vacanza).
Possiamo però limitare la percentuale di essere truffati e trafugare dati sensibili che potrebbero compromettere la nostra immagine e la nostra vita quotidiana. 

La difesa più basilare contro l'ingegneria sociale è attraverso l'istruzione. Perché chi è avvisato è armato. E l'ignoranza, a sua volta, non esonera dalla responsabilità. Tutti i dipendenti dell'azienda devono essere consapevoli dei pericoli della divulgazione di informazioni e di come prevenirla.

Inoltre, i dipendenti dell'azienda dovrebbero avere istruzioni chiare su come e su quali argomenti parlare con un generico interlocutore, quali informazioni devono ottenere da lui per un'accurata autenticazione dell'interlocutore.

Ecco alcune regole che potrebbero essere utili:

1. Tutte le password utente sono di proprietà dell'azienda. Va spiegato a tutti i dipendenti il giorno dell'assunzione che le password loro fornite non possono essere utilizzate per nessun altro scopo, ad esempio per l'autorizzazione sui siti Internet (è noto che è difficile per una persona mantenere in attenzione a tutte le password e codici di accesso, quindi usa spesso la stessa password per situazioni diverse).

Come si può sfruttare tale vulnerabilità nell'ingegneria sociale? Supponiamo che un dipendente dell'azienda sia vittima di phishing. Di conseguenza, la sua password su un determinato sito Internet è diventata nota a terzi. Se questa password corrisponde a quella utilizzata nell'azienda, esiste una potenziale minaccia alla sicurezza per l'azienda stessa.

In linea di principio, non è nemmeno necessario che un dipendente dell'azienda diventi vittima di phishing. Non ci sono garanzie che il livello di sicurezza richiesto sia osservato sui siti in cui si accede. Quindi c'è sempre una potenziale minaccia.

2. Tutto il personale dovrebbe essere istruito su come trattare con i visitatori. Sono necessarie regole chiare per stabilire l'identità del visitatore e del suo accompagnatore. Un visitatore dovrebbe sempre essere accompagnato da qualcuno dell'azienda. Se un dipendente dell'azienda incontra un visitatore che si aggira da solo per l'edificio, allora deve avere le istruzioni necessarie per scoprire correttamente a quale scopo si trovava il visitatore in questa parte dell'edificio e dove si trova la sua scorta.

3. Dovrebbe esserci una regola per la corretta divulgazione delle sole informazioni realmente necessarie per telefono e di persona, nonché una procedura per verificare se chi richiede qualcosa è un vero dipendente dell'azienda. Non è un segreto che la maggior parte delle informazioni viene ottenuta da un utente malintenzionato durante la comunicazione diretta con i dipendenti dell'azienda. Dobbiamo anche tenere conto del fatto che nelle grandi aziende i dipendenti potrebbero non conoscersi, quindi un utente malintenzionato può facilmente fingere di essere un dipendente che ha bisogno di aiuto.

Tutte le misure descritte sono abbastanza semplici da attuare, ma la maggior parte dei dipendenti dimentica queste misure e il livello di responsabilità che viene loro assegnato quando firmano gli obblighi di non divulgazione. 

Così l'azienda spende enormi risorse finanziarie per garantire la sicurezza delle informazioni con mezzi tecnici che purtroppo possono essere facilmente aggirati se i dipendenti non adottano misure per contrastare gli ingegneri sociali e se i servizi di sicurezza non controllano periodicamente il personale aziendale.

Andrea Filippo Mongelli

DIVERSITY & INCLUSION: LA CYBER-TUTELA DELLE FASCE DEBOLI

Nella valutazione del rischio cibernetico, la considerazione di una larga fetta di vulnerabilità si fonda su evidenze e studi di natura vittimologica. Le organizzazioni e le Autorità, infatti, nel mitigare i rischi inerenti la sicurezza informatica e la protezione cibernetica, oltre a soppesare la eventualità di disfunzioni di tipo elettronico, fisico ed ambientale, hanno da considerare anche le debolezze che - inevitabilmente - il fattore umano introduce in qualsiasi sistema informativo.

In questo senso, la valutazione di impatto della componente umana comporta la considerazione di tre aspetti: il divario digitale, cioè la carenza generalizzata di competenze informatiche tra la popolazione; la minaccia interna, cioè l’evidenza criminologica di dipendenti infedeli o non collaborativi; la fragilità digitale, cioè la realtà di persone con condizioni di debolezza psico-fisica - età, salute, capacità cognitive - che non permettono un accesso equivalente alla tecnologia.

Sui primi due aspetti non mi soffermo in questa sede. Accenno soltanto che sul “digital divide” - da mitigare investendo in programmi strutturati di alfabetizzazione digitale - il nostro Paese si è dato l'obiettivo strategico di colmare il gap di competenze informatiche entro il 2026, rendendo digitalmente abile per quella data almeno il 70% della popolazione. Sul fronte, invece, della tematica dell'inaffidabilità personale, l’esperienza consiglia l’implementazione di programmi di insider threat prevention & response, tipicamente basati su approcci e risorse di intelligence.

La terza considerazione, invece, è relativa alla minaccia asimmetrica portata da cyber-criminali verso tre specifiche fasce di popolazione: gli anziani, generalmente carenti di conoscenze informatiche ed affetti da problemi geriatrici che riducono le performance cognitive ed aumentano le difficoltà di memorizzazione; i bambini, naturalmente limitati nel comprendere concetti astratti, con comprensibili problemi nella lettura dei testi e limitate capacità cognitive e di controllo corporeo (ad esempio nella gestione del mouse); i disabili, con deficit visivi, daltonismi oppure con disabilità cognitive o motorie.

Per ciascuna delle categorie individuate, esistono studi di settore che, muovendo dalla considerazione delle fisiologie e delle patologie costituenti impedimento o rallentamento, suggeriscono le soluzioni assistive oppure immersive più utili per abbattere le relative barriera di accesso.

Sul fronte della tecnologia, ad esempio, uno studio apparso sul Journal of Computer Science ha preso in esame un campione di anziani, uno di bambini dai 3 agli 8 anni ed un gruppo di disabili. Sottoponendoli ad interviste finalizzate ad individuare le difficoltà ad interagire con i software, l’analisi è pervenuta ad individuare le linee programmatiche di sviluppo di nuove interfacce utente che assicurino maggiore accessibilità e inclusione e, dunque - aggiungo io - maggiore sicurezza in rete. E’ emerso ad esempio che gli anziani potrebbero meglio padroneggiare la tecnologia, se si limitasse la terminologia informatica e si riducesse l’ingombro di informazioni sugli schermi; i bambini potrebbero meglio interagire coi software, qualora si diminuisse la complessità informativa e si eliminassero i testi, sostituendoli con disegni e foto; ed infine i disabili potrebbero meglio relazionarsi coi dispositivi elettronici grazie all’utilizzo di soluzioni di riconoscimento testuale e di sintesi vocale, oppure ancora di traduzione in braille del testo che appare sullo schermo. Altri studi, più focalizzati sulle tecniche di interfaccia utente, hanno permesso di ipotizzare l’utilizzo di tecniche già note in ambito militare e medico-chirurgico, come la augmented reality - tecnologia che permette l’arricchimento della percezione umana - o delle metodiche di virtual reality che consentono la simulazione digitale della realtà.

Sul fronte invece di chi fornisce assistenza - tipicamente i caregiver e le famiglie - sono state evidenziate alcune suggestioni di natura socio-culturale. Ad esempio, specificamente per i più piccoli, è di interesse particolare uno studio del National Institute of Standards and Technology che ha sondato le conoscenze e le prassi di un campione di bambini in età scolare. Le risultanze hanno fatto emergere che i bimbi esaminati - generalmente adusi ad effettuare i log-in sui computer di scuola o di casa e dunque già in possesso di buone competenze di igiene digitale - hanno dimostrato però idee non chiare sulla funzione della password, confondendo i concetti di autenticazione con quello di protezione delle credenziali di accesso (password security), piuttosto che tra il diritto alla riservatezza (privacy) ed il diritto alla sicurezza della navigazione on-line (safety). La maggior parte degli scolari, ad esempio, ha affermato che la password "è importante perché ci salva la vita”: ciò ha ingenerato nei ricercatori la convinzione che sarebbe in atto un approccio educativo fondato sulla paura che - creando modelli mentali inaccurati - comprometterebbe alla lunga lo sviluppo in età adulta di adeguate competenze di autotutela cibernetica. Al contrario, altri studi in tema di "human-centred security" hanno acclarato quanto siano più efficaci nel lungo periodo gli approcci formativi basati su creatività e fiducia, piuttosto che quelli fondati sul timore di conseguenze nefaste.

Insomma, la comunità scientifica ha le idee piuttosto chiare sulle soluzioni tecniche, pedagogiche e organizzative necessarie per rendere più robusta la difesa in rete dei fragili digitali.

Il problema, però, è che nella pratica non si tengono ancora in debito conto le necessità della fascia di popolazione in esame: il web ed i software di computer, tablet e smartphone sono sviluppati per esaltarne l’usabilità generale, intesa come la capacità di massimizzare la soddisfazione, l’efficacia e l’efficienza dell’esperienza dell’utente medio. Di contro, la sicurezza cibernetica di chi è più debole in rete deve far leva su due altre caratteristiche che si possono ottenere a scapito della usabilità generale e cioè: l'accessibilità, intesa come la possibilità del disabile di riuscire comunque, in modo equivalente, a percepire, comprendere, navigare ed interagire con gli applicativi, nonché di contribuire (per il loro tramite) in modo equo e senza barriere; l’inclusività, definibile come la capacità dei programmi informatici di assicurare il massimo coinvolgimento possibile per chiunque.

Insomma, la soluzione del problema passa per approcci socio-economici e culturali che assicurino un corretto bilanciamento tra usabilità, accessibilità ed inclusività della tecnologia.

Non è solo un problema di equità sociale. E’ un fattore strategico di sicurezza: la possibilità che gli utenti con fragilità digitale - sotto questo aspetto, l’anello più debole della catena - siano nelle condizioni di difendersi in rete, nonché di riconoscere e segnalare incidenti, pericoli e preoccupazioni, garantisce un dominio cibernetico più sicuro per tutti! 

Orazio Danilo Russo

Per approfondire:

https://www.helpage.it/?s=anziani+divario+digitale 

https://innovazione.gov.it/notizie/articoli/competenze-digitali/ 

https://www.w3.org/WAI/fundamentals/accessibility-usability-inclusion/ 

https://csrc.nist.gov/publications/detail/conference-paper/2019/02/24/exploring-children’s-password-knowledge-and-practices 

https://www.researchgate.net/publication/277589616_A_review_on_user_interface_design_principles_to_increase_software_usability_for_users_with_less_computer_literacy 

https://www.wsj.com/articles/why-companies-should-stop-scaring-employees-about-cybersecurity-11607364000?page=1 

---

Confidentiality – Integrity – Availability nella Operation Technology in ottica Industria 4.0: parte prima

Con questo studio vogliamo invitarvi a conoscere meglio il mondo della Operational Technology (O.T.) con riferimento specifico alla cybersecurity. 

Lo studio è suddiviso in due articoli. Il primo comprende una breve introduzione sull'importanza della gestione dei dati nel processo aziendale, per passare a descrivere i Processi industriali nell’industria 4.0. 

Nel paragrafo Il Concetto C.I.A. dalla Cyber security al processo industriale entriamo nel cuore della materia descrivendo le relazioni tra Confidentiality, Integrity e Availability.

Nel secondo articolo passiamo in arssegna degli esempi di attacco a sistemi OT e le possibili conseguenze. Infine alcuni consigli sulle strategie da seguire per proteggersi.

Senza voler essere esaustivi, speriamo però che questo lavoro di sintesi possa essere utile per chi si avvicina alla cybersecurity del mondo Industria 4.0. 

Buona lettura.

Introduzione

Nel processo industriale la gestione dei dati forniti dai vari sensori è fondamentale per il controllo del processo stesso, per prevedere attività manutentive in logica predittiva e per poter stabilire la qualità del prodotto finale.

Il dato fornito dal singolo sensore quindi non è soltanto un numero ma è lo spunto per un insieme di analisi che coinvolgono tutto il processo aziendale, dalla manutenzione alla qualità al processo stesso di vendita fino alla proprietà intellettuale.

Se in passato il sensore era costituito da un sistema meccanico a lancetta o digitale “stand-alone”, in cui quanto sopra veniva gestito principalmente dall’uomo grazie alle sue specifiche competenze, oggi il dato viaggia in rete, può essere elaborato e condiviso, può essere di aiuto ad una attività di controllo in remoto così come ad una manutenzione predittiva e può in conclusione aiutare il processo gestionale e decisionale dell’azienda. Questa evoluzione oggi si chiama Industria 4.0 e connessa ad essa sono anche processi aziendali di miglioramento e digitalizzazione, aiutati anche da fondi pubblici. Nella Fig. 1 viene illustrata in linea temporale l’evoluzione discussa sopra.

Figura 1: Evoluzione del concetto di Industria, e di pari passo di gestione del dato

(fonte: Wikipedia)

Ma, come tutto in rete può essere teoricamente violabile, lo è anche il singolo sensore o trasduttore dell’impianto? La rete OT (Operation Technology) quanto si può considerare sicura? Qual è il livello di sicurezza richiesto dagli standards attuali e come prepararsi alle evoluzioni future?

Se in passato ci è capitato di vedere sensori di pressione che indicavano un valore appositamente errato per proteggere il valore vero e quindi la proprietà intellettuale del processo a cui il sensore era dedicato, tale logica oggi ha ancora senso in un sistema gestibile da remoto?

Cosa ci ha insegnato il caso del virus Stuxnet [1] o il ransomware che ha bloccato il sistema di gestione della Colonial Pipeline [2] ? Senza arrivare a tali casi, vogliamo in questa breve trattazione indicare gli elementi base di una strategia di protezione che, al di fuori delle proposte di mercato, possa essere da guida per un corretto impiego della tecnologia disponibile. Un esempio applicativo servirà di aiuto alla comprensione dei concetti trattati e delle fasi di Early Warning e Incident Response.

Processi industriali nell’industria 4.0

Il termine Industria 4.0 indica un insieme di azioni migliorative dell’intero processo aziendale mediante l’applicazione di strumenti e concetti all’avanguardia facenti parte di un pacchetto individuato dalla Comunità Europea con il termine “Tecnologie Abilitanti”. In breve tali tecnologie sono di seguito elencate:

• Advanced manufacturing solution: tutte le tecnologie di produzione avanzata, inclusa lo robotizzazione e la logistica automatizzata
• Additive manufacturing: Utilizzo e sviluppo di sistemi di produzione mediante stampa 3D e con impiego di materiali di varia natura in settori high-tech.
• Realtà aumentata: sistemi di simulazione 3D e ambienti con realtà aumentata per aiutare gli operatori a svolgere il proprio lavoro con aumento della sicurezza e riduzione di errori.
• Simulazioni: Simulazione della interazione tra meccanismi diversi volta alla integrazione
• Integrazione orizzontale e verticale: Integrazione orizzontale e verticale tra i vari componenti del processo produttivo per incrementare sicurezza, affidabilità e produttività.
• Industrial internet: utilizzo della rete internet per comunicazioni sicure sia interne che esterne.
• Cloud: implementazione di tutte le tecnologie di archiviazione e gestione/analisi mediante l’uso del cloud computing,
• Sicurezza informatica: Dai due punti precedenti è naturale la necessità di aumento della sicurezza dei dati.
• Big Data Analytics: Gestione di grandi quantità di dati attraverso sistemi aperti che permettono previsioni o predizioni.

Tutto quanto sopra fa parte del bagaglio tecnologico che l’azienda deve necessariamente avere per poter essere competitiva sul mercato. 

La conseguente necessità di nuovi investimenti va di pari passo con la accresciuta esposizione dei dati aziendali a possibili attacchi esterni. Le medie e grandi aziende stanno affrontando in maniera strutturata le proprie aree critiche e investendo in personale e sistemi di protezione, aiutati anche da varie iniziative pubbliche sia nazionali che internazionali, quale Legge Sabbatini [3] o appunto Industry 4.0.

Il problema per le piccole aziende è fondamentalmente di approccio al sistema, mancando ad oggi una diffusa cultura di base sulla sicurezza informatica, spesso risolta con un antivirus installato sul PC o sul server e un consulente esterno.

Purtroppo a livello di Cyber Security la lotta è impari: i tempi di attacco vero e proprio di un criminale in rete sono  molto più rapidi della evoluzione degli antivirus o dell’intervento del tecnico. Prima di un qualsivoglia intervento, un hacker ha avuto tutto il tempo per organizzare l’attacco, mentre chi deve difendere il proprio sistema generalmente si trova a dover rispondere e recuperare in tempi rapidissimi. Il danno che con alcune tipologie di attacco si può causare ad un processo produttivo in ambito OT è esponenziale rispetto al semplice furto di dati aziendali fatti con una mail o il blocco del PC di casa.

Il rischio di un attacco al sistema OT va dal blocco della produzione alla rottura di parti di impianto fino alla distruzione dell’impianto stesso e dell’intero ciclo produttivo con possibili conseguenze anche ambientali e sul territorio.

I due casi citati nell’introduzione (Stuxnet e Colonial Pipeline) sono eclatanti e infatti hanno avuto risonanza mondiale: attacchi di tale tipo sono realmente difficili da contrastare. Ma nell’approcciarsi allo sviluppo e mantenimento del sistema OT, la componente di sicurezza informatica deve essere fondamentale e sempre presente in tutte le singole azioni di tutti i singoli attori e una necessaria cultura della sicurezza deve essere di base per favorire l’armonico sviluppo del concetto di Industria 4.0. Non bisogna intendere in maniera pessimistica gli eventi citati pensando che “…se sono riusciti a penetrare una centrale nucleare o un sistema strategico di distribuzione nazionale, qualunque azione io faccia non ha sicuramente efficacia” così come non è pensabile ed attuale il detto “Un PC è sicuro se non è collegato in rete”. Occorre invece una maggior consapevolezza dei rischi, una attenta valutazione delle possibili specifiche conseguenze e quindi le necessarie azioni di contrasto, recovery e mitigazione. In questo ci viene d’aiuto la ricerca finora fatta in ambito Cyber Security, i cui elementi di base dovrebbero essere conosciuti e applicati spontaneamente come una qualsiasi elaborazione del sistema OT durante la sua operatività.

Il Concetto C.I.A. dalla Cyber security del processo industriale

Lo sviluppo della sicurezza informatica è andato di pari passo allo sviluppo tecnologico sia delle tecniche di attacco che di difesa. Se solo negli ultimi anni è diventato argomento comune di discussione, storicamente la necessità di sottrarre/manipolare informazioni e la conseguente possibile difesa ha radici molto remote (i codici e la crittografia sono praticamente nati fin dall’epoca dei Babilonesi se non prima). Una presentazione dello sviluppo negli ultimi decenni della sicurezza informatica si può trovare in [4].

Uno dei concetti di base, valido in realtà in tutti gli ambiti della gestione delle informazioni, che è stato sviluppato e dovrebbe essere il punto di partenza di qualsiasi sistema informativo volto alla gestione in sicurezza del dato, è la triade C.I.A. [5], acronimo che in inglese viene esplicitato come: Confidentiality – Integrity – Availability

Figura 2: La Triade C.I.A.

Ovvero in Italiano: Riservatezza – Integrità – Disponibilità.

L’insieme delle tre azioni rappresentano la base della sicurezza informatica, a tutti i livelli e con i necessari specifici sviluppi in base a cosa e quanto occorre mettere in sicurezza.

Tale triade trova però nella OT e nei processi industriali una delle sue migliori espressioni: Nessun processo industriale può permettersi di essere a disposizione di tutti (mancata riservatezza), con possibili variazioni introdotte in maniera malevola o anche semplicemente inconsapevole (mancata integrità) e non disponibile.

Un processo industriale che non ha di base tale triade è potenzialmente un processo non solo a rischio per l’azienda ma per la stessa comunità: si pensi a cosa accadrebbe se un virus potesse manipolare un sistema di aumento incontrollato della pressione di un serbatoio di gas o intervenisse sul sistema di filtraggio prima dell’immissione in atmosfera di vapori di processo!

Sviluppiamo in logica C.I.A. le tre componenti in maniera da renderle esplicite in un sistema OT.

Se il Sistema OT è inteso come l’Operation Technology alla base del sistema produttivo e gestionale dell’azienda ed è pensato in logica Industria 4.0, la prima preoccupazione deve essere sul modello di implementazione della C.I.A. in tutti i suoi aspetti. La seconda preoccupazione deve essere la costante analisi, revisione e riverifica della C.I.A. in tutte le sue componenti. La terza preoccupazione è… non deve passar giorno senza che sia stato fatto e riverificato puntualmente quanto sopra.

Ma perché la triade è più importante in un sistema OT rispetto ad un normale sistema informativo aziendale?

Ne parleremo nel prossimo articolo.

Alberto Monici, Alessandro Rugolo

Bibliografia

[1] Stuxnet Worm Attack on Iranian Nuclear Facilities (stanford.edu)

[2] https://www.nbcnews.com/tech/security/colonial-pipeline-paid-ransomware-hackers-5-million-u-s-official-n1267286

[3] https://www.mise.gov.it/index.php/it/incentivi/impresa/beni-strumentali-nuova-sabatini

[4] http://ijarcsse.com/Before_August_2017/docs/papers/Volume_4/1_January2014/V4I1-0528.pdf

[5] What is the CIA Triad? Defined, Explained, and Explored (forcepoint.com)