Traduttore automatico - Read this site in another language

martedì 28 dicembre 2021

Deepfakes: l’arte della creazione di “falsi d’autore” al tempo dell’intelligenza artificiale

https://thispersondoesnotexist.com/
Negli ultimi anni lo sviluppo e la realizzazione di reti neurali artificiali profonde (deep neural networks) ha accelerato lo sviluppo di applicazioni in grado di riconoscere in modo molto affidabile diverse categorie di immagini e video. 

Si tratta di modelli matematici che affondano le radici in studi pubblicati più di mezzo secolo fa e che solo negli ultimi anni, grazie a computer ad altissime prestazioni dal costo contenuto, hanno avuto un rapido sviluppo consentendone l’applicazione in diversi contesti reali, quali il riconoscimento di volti e del parlato umano.

Un'applicazione che sta riscuotendo un discreto successo nel mondo dello spettacolo, ma che pone diversi problemi per la sicurezza, è la creazione di deepfakes, combinazione di 'deep learning' e 'fake'. Con questo termine si intende qualsiasi creazione ottenuta attraverso tecniche capaci di sovrapporre immagini di una persona (target) a quelle di una altra persona (source) in un video in cui la seconda persona fa o dice determinate cose. In questo modo si ottengono video realistici falsi in cui, ad esempio, un attore recita una parte, ma al suo volto viene sovrapposta in modo realistico il volto di un personaggio famoso che non ha mai pronunciato le frasi proclamate dall’attore né tantomeno si trovava nel contesto della scena. Più in generale, col termine deepfakes ci si riferisce a contenuti sintetici ottenuti tramite strumenti di artificial intelligence.

Di recente alcuni articoli hanno proposto una panoramica delle tecniche per la creazione di deepfakes e per la loro individuazione. Le tecniche di individuazione sono fondamentali per individuare immagini e video creati appositamente per disinformare o, più in generale, per ingannare le persone. Nei lavori “The Creation and Detection of Deepfakes: A Survey"1 e “Deep Learning for Deepfakes creation and Detection: a Survey"2, gli autori spiegano le recenti tendenze nelle tecnologie per la produzione di deepfakes, e i possibili usi in buona e in mala fede.


Oltre ad usi leciti nel campo della produzione cinematografica o nella traduzione automatica per esempio, vi sono tutta una serie di usi illeciti, in particolare nella produzione di film porno o nella falsificazione di discorsi, allo scopo di facili guadagni, influenzare l'opinione pubblica e le elezioni, creare panico, generare false prove processuali e così via. 

Il primo tentativo di creazione di deepfake si fa risalire a un utente di Reddit che ha sviluppato l'applicazione chiamata 'FakeApp' utilizzando un modello basato su autoencoder accoppiati per estrarre da un'immagine facciale le caratteristiche principali e riprodurle su un'altra immagine facciale. 

Un autoencoder è una rete neurale costituita da un encoder e da un decoder, realizzata allo scopo di estrarre le caratteristiche principali di un insieme di dati non etichettati (encoder) e ricostruire i dati in ingresso (decoder) a partire da una loro rappresentazione compatta preventivamente realizzata. Un deepfake può essere creato utilizzando un encoder specializzato sul volto di una persona e utilizzando la codifica così realizzata come dati di ingresso per un decoder specializzato sul volto di un’altra persona.

Una seconda tecnologia per la produzione di 'deepfakes' consiste nell'impiego di 'Generative Adversarial Networks'. Si tratta anche in questo caso di reti neurali il cui scopo è creare immagini realistiche non corrispondenti a persone reali3.  

L'impiego di queste tecnologie rende sempre più difficile distinguere tra una immagino un video (immagine o discorso) reale e uno modificato creando seri problemi nel campo della privacy, della vita democratica e della sicurezza nazionale.  

In queste pubblicazione si fa anche riferimento ad alcuni casi di particolare interesse per il mondo militare, in cui sono state generate immagini satellitari modificate a scopo militare, con dei particolari non presenti nell'originale.

Se è vero che risulta sempre più difficile distinguere i deepfakes dalla realtà, è anche vero che la tecnologia ci viene in aiuto. Gli autori nei loro lavori censiscono le principali tecniche di analisi impiegate nel rilevare deepfakes, tecniche che spesso fanno uso, ancora una volta, di tecnologie di deep learning. Purtroppo però queste tecniche di rilevazione sono molto vulnerabili, ed è sufficiente uno sforzo moderato per modificare il processo di creazione di deepfakes affinché questi non siano più riconoscibili come tali.

Oggigiorno, in molti casi si fa ricorso a immagini video nel corso di processi penali, video certificati da esperti forensi. Ma quanto ci si può fidare di ciò che si vede o si sente in un video? 

Sempre meno... ecco perché sarà sempre più necessario affiancare gli esperti informatici (digital forensics) capaci di impiegare e riconoscere l'uso di tecnologie di deep learning agli esperti forensi. Purtroppo, anche così facendo, in alcuni casi il risultato potrebbe non essere sufficiente ad appurare la verità in quanto non è sempre facile né possibile spiegare il funzionamento di una tecnologia di deep learning per produrre o individuare deepfakes. 

Pertanto occorre affiancare tecniche e metodologie di intelligence per la verifica comparativa del contesto agli strumenti tecnologici di analisi di immagini e video.

Alessandro Rugolo, Giorgio Giacinto, Maurizio d'Amato


Per approfondire:

- The Creation and Detection of Deepfakes: A Survey (arxiv.org

[1909.11573] Deep Learning for Deepfakes Creation and Detection: A Survey (arxiv.org)

The Newest AI-Enabled Weapon: ‘Deep-Faking’ Photos of the Earth | Winter Watch

The Newest AI-Enabled Weapon: ‘Deep-Faking’ Photos of the Earth - Defense One

Building and Training Deep Fake Autoencoders - CodeProject

Encoder-Decoder Recurrent Neural Network Models for Neural Machine Translation (machinelearningmastery.com)

AI fake-face generators can be rewound to reveal the real faces they trained on | MIT Technology Review

Understanding Generative Adversarial Networks (GANs) | by Joseph Rocca | Towards Data Science

[1406.2661] Generative Adversarial Networks (arxiv.org)

1 Yisroel Mirsky and Wenke Lee. 2021. The Creation and Detection of Deepfakes: A Survey. ACM Comput. Surv. 54, 1, Article 7 (January 2022), 41 pages. DOI:https://doi.org/10.1145/3425780

2 Nguyen, T. T., Nguyen, Q. V. H., Nguyen, C. M., Nguyen, D., Thanh Nguyen, D., and Nahavandi, S., “Deep Learning for Deepfakes Creation and Detection: A Survey”, arXiv e-prints, 2021, https://arxiv.org/abs/1909.11573v3

3 Un esempio di volti creati con questa metodologia è disponibile qui:   https://thispersondoesnotexist.com 

mercoledì 22 dicembre 2021

CVE-2021-44228, Apache Zero-Day Log4j per gli amici !

Ancora una volta il mondo della tecnologia informatica è sconvolto dalla scoperta di una vulnerabilità distribuita su un'enorme quantità di sistemi informatici, secondo alcune stime si arriverebbe al 70% dei sistemi web esistenti su internet.

Ma procediamo con ordine, per quanto possibile...

Il 24 novembre 2021, il ricercatore di sicurezza Chen Zhaojun di Alibaba Cloud Security Team ha scoperto una vulnerabilità su una libreria java di Apache in uso sin dal 2013. Le versioni affette dalla vulnerabilità sono quelle che vanno dalla 2.0 alla 2.15.0-rc1 e nel giro di pochi giorni altri ricercatori hanno scoperto nuove vulnerabilità in versioni anche successive. Patch e versioni si inseguono... al momento in cui scrivo è uscita una nuova versione della libreria, la 2.17. Sarà interessante verificare se questa nouva versione sarà esente da problemi. Ricordiamo sempre che la fretta è cattiva consigliera.

La vulnerabilità trovata è del tipo RCE, ovvero "remote code execution". Si tratta di una vulnerabilità che consente ad un attaccante di fornire istruzioni ad un sistema affinché venga scaricato ed eseguito codice malevolo (per i più curiosi consiglio l'articolo di unit42).    

Al momento sono segnalati come a rischio i seguenti software e sistemi: Apache Struts, Apache Solr, Apache Druid, Apache Flink, ElasticSearch, Flume, Apache Dubbo, Logstash, Kafka, Spring-Boot-starter-log4j2, Cloudflare, iCloud, Minecraft: Java Edition, Steam, Tencent QQ, Twitter. Ma come è facile rendersi conto attraverso qualche semplice ricerca su internet, i prodotti delle principali società ICT che fanno uso di Apache Log4j sono tantissimi, per esempio CISCO ha pubblicato una tabella che per motivi di spazio non riporto, ma che potete consultare a questo link.  Il mondo Microsoft ha segnalato i propri prodotti colpiti dalla vulnerabilità e fornito le indicazioni per risolverla. Se invece usate sistemi Linux non pensate di essere più al sicuro, in questo articolo potrete trovare indicazioni su come capire se siete vulnerabili

Un ultimo dettaglio, il livello di pericolosità della vulnerabilità, conosciuto universalmente come Common Vulnerability Scoring System (CVSS) attribuito alla vulnerabilità è pari a 10, il massimo possibile. Un indice molto impiegato relativo al rischio è anche il Kenna Risk Score che, nel nostro caso è pari ad 87 su 100, un valore eccezionalmente alto.

Parlare di livello di rischio mi consente di fare un'ultima considerazione che riguarda in generale il mondo della sicurezza o delle cosiddette "verità" del mondo della sicurezza. Immagino che sia capitato un po' a tutti di sentir dire che i software Open Source sono più sicuri di quelli proprietari in quanto il loro codice è disponibile a chiunque per le analisi di sicurezza. A me è capitato di sentirlo dire tante volte nel corso della mia vita; tuttavia, se da un lato condivido il valore dell'affermazione, dall'altro lato vorrei mettere in evidenza alcuni concetti che forse non sono chiari a tutti:

1. Un software open source (come qualunque altro software proprietario!) non può essere considerato esente da problemi solo ed esclusivamente sulla base di una affermazione generica di possibilità di controllo. 

2. Affermare che i software open source sono più sicuri - per la possibilità data a chiunque di verificarne il codice - è pericoloso. Infatti la maggior parte di coloro che li utilizzano (e tra questi metto anche gli sviluppatori che li riutilizzano nei loro prodotti) non ha né le conoscenze per fare le verifiche necessarie né tantomeno alcuna motivazione a farlo, anzi.

So benissimo che quanto sto dicendo non farà piacere a tanti, ma questa non è che l'ultima prova di quanto dico: Log4j è open source eppure ci sono voluti anni per capire quali problemi possa causare, Heartbleed è un secondo esempio. Con ciò non voglio dire di essere contro l'uso dei software Open Source, ma di essere contro il loro uso "selvaggio e indiscriminato", senza adeguato supporto, in quanto aumenta il livello di rischio!

L'ultima considerazione è relativa al fatto che la scoperta sia arrivata da un "laboratorio dell'altra parte del mondo" e che ora occorre correre al riparo. E quando dico correre, intendo proprio questo...


Alessandro Rugolo

per approfondire:

Log4Shell Vulnerability is the Coal in our Stocking for 2021 | McAfee Blogs

CVE - CVE-2021-44228 (mitre.org)

The Log4j Vulnerability, Every Java App is a backdoor for remote code execution | by Carl Marino | CodeX | Dec, 2021 | Medium

Log4j Vulnerability: Everything You Need To Know About the Zero-Day Flaw | Toolbox It Security

Informatica Network: Informatica Response to Ap...

Apache log4j Vulnerability CVE-2021-44228: Analysis and Mitigations (paloaltonetworks.com)

How Risky Is the Log4J Vulnerability? (darkreading.com)

Log4j CVE 2021-44228: Systems Affected and Impact… | Bishop Fox

How to Exploit the Heartbleed Bug (stackabuse.com)

martedì 7 dicembre 2021

Combattere i cattivi in modo strutturato

Il mondo della tecnologia, più in particolare quello della cyber security, è oggi pieno di sigle e acronimi che fanno sembrare un dialogo tra praticanti del settore quasi una lingua aliena.

L’obiettivo di questo articolo è di fare chiarezza su una manciata di queste, relative ad alcune importanti iniziative della società no-profit americana MITRE.

Costituita nel 1958 per dare manforte al governo federale in temi di tecnologie avanzate in relazione a problematiche di sicurezza nazionale, nel corso di oltre sei decadi di esistenza il MITRE ha dato vita a numerosi progetti, giocando recentemente un ruolo primario nel supportare le aziende in ambito cyber security con cinque iniziative importantissime.

Prima di analizzarne gli acronimi, cercando di sviscerarne i contenuti, è fondamentale prendere confidenza con un concetto che rappresenta un filo conduttore alla base di queste iniziative: la catena di compromissione o kill-chain.

Quando si parla di attacchi informatici è ormai consolidata la presenza di una strategia di attacco, che si sviluppa nel tempo in alcune fasi ben precise.

Come già illustrato da Alessandro Rugolo e Lino Porceddu in un ottimo articolo nello scorso marzo, individuare le attività dell’attaccante quanto prima possibile nella catena di compromissione permette di organizzare misure di contrasto dell’attacco e mitigazione dei danni estremamente efficaci.

Per fare questo è cruciale individuare la tipologia di avversario in base alle tattiche, alle tecniche e alle procedure utilizzate. Ed ecco svelato il contenuto di un acronimo di uso molto frequente: TTP.

Le Tattiche riguardano la comprensione dell’obiettivo dell’avversario.

Le Tecniche riguardano il modo in cui l’avversario raggiunge l’obiettivo.

Le Procedure riguardano il modo in cui le tattiche sono operate.

Il tema delle TTP e dell’importanza di riuscire ad individuarle è stato trattato da Orazio Danilo Russo in un interessante articolo lo scorso maggio.

La comprensione della catena di compromissione e delle TTP consente di apprezzare l’enorme valore delle cinque iniziative principali del MITRE in tema di cyber security.


La prima - molto nota e popolare - rappresenta da ventidue anni un punto di riferimento, un
cyberfaro per orientarsi nella moltitudine di vulnerabilità che affliggono infrastrutture e software di ogni tipo. Sto parlando di CVE, acronimo per Common Vulnerabilities and Exposures: una collezione centralizzata su web di falle di sicurezza, organizzata per essere rapidamente consultabile e interrogabile in base a diversi criteri.
Per dare l’idea del lavoro mastodontico dietro a questa iniziativa, basti osservare il grafico sotto che riporta l’andamento delle vulnerabilità censite nel tempo fino allo scorso anno:


Il secondo acronimo che costituisce un’ottima fonte di informazione per i cyber-difensori è il famosissimo ATT&CK, che significa Adversarial Tactics, Techniques & Common Knowledge.

Compendio online che rappresenta in uno schema molto ben costruito e fruibile le tattiche tipiche degli attaccanti, dettagliando per ognuna le tecniche più comunemente utilizzate. Ognuno di questi due raggruppamenti fornisce un contesto che consente la mappatura di quanto si osserva sul campo.

Ad esempio, ipotizziamo di approfondire la tattica Initial Access, in cui si descrive come un attaccante guadagna un primo percorso di accesso all’infrastruttura della vittima.

Una delle tecniche descritte in questo insieme è il Phishing, delle cui diverse forme ho scritto in un recente articolo, che sfrutta l’ingegneria sociale tramite applicazioni di comunicazione e messaggistica. All’interno di questo contesto si distinguono diverse sotto-tecniche, come ad esempio Spearphishing Attachment – che colpisce la vittima tramite allegati (ad es. di e-mail) armati per assumere comportamenti malevoli quando aperti.

Per approfondire questa interessante iniziativa segnalo un altro articolo di Orazio Danilo Russo dello scorso giugno dedicato all’iniziativa ATT&CK.

Il terzo acronimo, certamente meno conosciuto dei primi due ma egualmente importante per armare le difese in ambito cyber, è CAR – espanso in Cyber Analytics Repository.

Si tratta di una utilissima libreria di analytics, cioè di modelli per l’analisi dei dati disponibili sia come pseudo-codice che in pratiche implementazioni pronte per l’utilizzo nelle piattaforme più comuni per la correlazione dei dati – come ad esempio i sistemi SIEM (Security Information & Event Manager).

Modellato sulla matrice ATT&CK per l’identificazione delle TTP avversarie, questo repositorio è composto da elementi che contengono i tratti distintivi degli eventi complessi che si desidera rilevare. Un esempio è la scrittura di file batch nella directory System32 di Windows: sebbene i file batch non siano di per sé elementi malevoli, è particolarmente raro che vengano creati nella directory di sistema dopo l’installazione del sistema operativo.

Per monitorarne l’occorrenza sarà sufficiente consultare la pagina del CAR dedicata a questo evento al link CAR-2021-05-002 per avere tutti i moduli per diverse piattaforme.

Quarta iniziativa che prendiamo in esame è ENGAGE: non si tratta di un acronimo ma di una nomenclatura concettuale. L’idea è fornire una metodologia per analizzare e pianificare azioni di contrasto, inganno, e deviazione dell’avversario.

Elaborando i comportamenti degli attaccanti osservati sul campo, ENGAGE permette di agire a tre livelli:

  • capire come la deviazione, l’inganno ed il contrasto dell’attaccante possano entrare nella strategia cyber di un’organizzazione

  • come effettuare un’operazione di contrasto dell’attaccante

  • comprendere come strumenti di inganno cyber in uso da un’organizzazione siano allineati con le strategie di MITRE ENGAGE.


Conclude questo escursus l’iniziativa AEP, acronimo che significa Adversary Emulation Plan.

Formalmente una risorsa di ATT&CK, rappresenta un insieme di documenti per modellare le attività di test della resilienza agli attacchi in base a strategie utilizzate da gruppi noti.

In questo modo le aziende potranno mettere alla prova i propri sistemi di difesa proprio come se venissero effettivamente presi di mira da attori del panorama della minaccia cyber.

Lo schema che segue illustra come si svolgerebbero le diverse fasi di questo test, volendo simulare l’attività dell’attore conosciuto come APT3 – un gruppo di attacco cinese noto dal 2015.

Armare le difese di un’organizzazione in modo da aumentarne sia la maturità in ambito cyber rispetto alla prevenzione e al rimedio, sia la resilienza rispetto alla velocità di rilevamento e risposta alle anomalie può rivelarsi un’attività molto complessa.

Comprendere l’enorme valore di queste iniziative di MITRE e come combinarle ai processi e alle risorse già in essere è di fondamentale importanza per ridurre questa complessità in modo molto efficace.

Marco Rottigni


domenica 5 dicembre 2021

NATO Strategic Concept: comincia il processo di rinnovo

Il contesto di sicurezza definito nel novembre del 2010 nel documento NATO Strategic Concept è ancora valido ?
Quali sono le nuove sfide che nel corso di più di dieci anni, si presentano alla organizzazione internazionale ?
Quali sono le capacità necessarie per garantire la sicurezza degli Alleati nel mondo iperconnesso attuale?
Queste sono solo alcune delle domande cui la NATO, tramite i suoi Paesi membri, sia accinge a dare risposta a breve. 
Ricordiamo che la NATO non è solo un'Alleanza militare ma è una risposta strategica ai rischi del mondo attuale.

Nei dieci anni passati la NATO è cambiata. Cercando di stare al passo coi tempi sono stati aggiunti due nuovi domini delle operazioni, il Cyber Space e lo Spazio. La componente cyber è già presente nel NATO Strategic Concept ma deve essere comunque rivista alla luce dei nuovi rischi, anche per l'industria strategica, che i membri NATO sperimentano quotidianamente. Le minacce sono sempre più di tipo non tradizionale, non provengono sempre da Stati ma anche da criminalità e Advanced and Persistent Threath actors. Ora sembra arrivato il tempo di riflettere sulle implicazioni strategiche delle scelte effettuate.
Le sfide tecnologiche che dovrà affrontare l'Alleanza vanno dai due nuovi domini all'impiego delle nuove tecnologie, quali per esempio l'Intelligenza Artificiale, nel contesto politico, strategico e militare del mondo attuale.
Anche il mondo è cambiato, ponendo in evidenza le ripercussioni della sempre maggiore interconnessione tra domini e tra Stati, alleati e non.
E' sempre più difficile capire cosa ci riservi il futuro e quali conseguenze possano avere le azioni di uno Stato (non per forza militari) sullo scacchiere mondiale. L'acquisto o la vendita di una società cyber, per esempio, può essere considerato un atto che in qualche modo entra nella sfera strategica delle decisioni dell'Alleanza ? Sembra che la risposta sia affermativa. Bisogna capire come ciò si deve riflettere, sempre che sia il caso, nel nuovo concetto strategico dell'Alleanza.

Tra le tante iniziative in corso, gli Stati Uniti d'America si preparano alla definizione del nuovo NATO Strategic Concept tramite una iniziativa lanciata lo scorso settembre, il West Point Strategic Concept Seminar, organizzato dal Social Sciences Research Lab, guidato dal Tenenete Colonnello Jordan Becker. La prima riunione si terrà a febbraio 2022 e vedrà la partecipazione di studiosi di tutto il mondo, chiamati a dare il proprio contributo in merito.

L'iniziativa ricade sotto gli auspici della Policy Planning Unit del Segretario Generale della NATO, Stoltenberg.

Alessandro Rugolo e Alberto Monici

Per approfondire:

giovedì 2 dicembre 2021

Bio Hacking etica e Supply Chain

Fin da ragazzo sono stato incuriosito dalla Bioingegneria tanto da farne diventare la specializzazione del mio percorso di studi in Ingegneria Elettronica. In seguito, il mio destino è stato quello di occuparmi di informatica e sicurezza e, anche se non ho mai abbandonato l’amore per il connubio tra ingegneria e tutto ciò che ruota intorno alla vita, mai avrei pensato che oggi ci saremmo trovati di fronte ad un fenomeno nuovo, quello noto come “Cyber Biohacking”.

Chi opera nel mondo della cybersecurity avrà certamente sentito parlare di exploit, ovvero una porzione di codice eseguibile sviluppata per creare, in un software, un comportamento non previsto e finalizzato, ad esempio, a conquistare privilegi di amministratore in un computer.

Solo da pochi anni, però, è stata paventata l’ipotesi che questi exploit si sarebbero potuti installare all’interno di una molecola genetica. Capisco che la cosa possa sembrare assurda ma vi assicuro che non è così.

Che cos’è, allora, il BioHacking, veramente?

il Biohacking è quel settore della scienza che combina la biologia, lo studio del corpo umano e l’hacking: “l’insieme dei metodi, delle tecniche e delle operazioni – si legge su Wikipedia – volte a conoscere, accedere e modificare un sistema informatico hardware o software”.

Si tratta di un concetto ampio ed incorpora molte attività: dalle modifiche del DNA agli esperimenti scientifici per migliorare le prestazioni umane sia fisiche che cerebrali.

In sintesi, possiamo affermare che il Biohacking è quel settore della scienza che unisce biologia e tecnologia.
Di fronte ad un fenomeno simile, si potrebbero fare moltissime considerazioni e, probabilmente, servirebbe ben altro che non un articolo. Pertanto, vorrei focalizzarmi su tre elementi che ritengo possano essere chiave:

Etica della tecnologia

Sicurezza della Supply chain

Mitigazione del rischio

Iniziamo subito con l'Etica della Tecnologia.
Nell’era digitale, la parola sicurezza è diventata centrale. Al di là del significato acquisito nel settore industriale e dei servizi e in un sistema guidato dai dati, il concetto si è espanso a tal punto da raggiungere nuove dimensioni. La relazione tra macchine e uomo è sempre maggiore e sta raggiungendo livelli sempre più evoluti ed articolati.

Da una parte, il sistema trae benefici, a volte, impensabili e, forse, inaccessibili all’uomo (basti pensare alla potenza di calcolo) e dall’altra, quasi come contraltare, dà luogo ad abilità e attività rischiose per gli esseri umani e destabilizzanti per i sistemi. Il digitale è un qualcosa di dirompente per definizione; il che significa che è necessario interrogarsi, studiare e progettare al fine di elaborare sistemi di sicurezza che tengano conto dei nuovi scenari da esplorare.

Da tutto ciò ne consegue che la cybersecurity è l’infrastruttura a cui è demandata la protezione, per molti aspetti la definizione stessa, di etica del digitale.

A questo riguardo, sposo le parole di Marco Ramilli, esperto di cybersecurity nonché Founder e CEO di Yoroi, secondo il quale “è naturale considerare la tecnologia direttamente associata all’etica se parliamo di tecnologia come scienza dello studio del “vivere bene”. Di contro, non è possibile aspettarsi dalla tecnologia un comportamento etico proprio perché essa non ha la capacità di crearsi né ha la percezione dei limiti imposti dalla cultura e dal ‘buon vivere’. Anche il miglior sistema di deep-learning (intelligenza artificiale), prima di poter essere avviato, necessita di una fase iniziale di allenamento che influenza radicalmente le sue decisioni. Proprio per questo motivo non è possibile considerare la tecnologia come eticamente neutrale in quanto dipende notevolmente dal suo allenatore. La tecnologia aumenta radicalmente la velocità d’informazione come anche il suo fattore di scala ed è a-territoriale, quindi priva di cultura. Questi punti rappresentano un cambiamento al contorno che ne sfigura l’originalità influenzando problemi etici su larga scala”.

Un esempio su tutti: la capacità di un numero ristretto di organizzazioni di possedere informazioni specifiche su ognuno di noi e sfruttarle a fini socioeconomici.

Pertanto, è fondamentale avere un’idea precisa di che cosa e chi deve sovrintendere e come questo privilegio debba essere protetto.

Tutto ciò si traduce nel dare alla cybersecurity un significato nuovo, per certi versi, originale e anche un po' dirompente: la cybersecurity è la struttura portante dell’etica digitale e non più solo e soltanto un’arma di difesa oppure, in maniera assai più triste, di attacco.

Se pensiamo che oggi le tecnologie sono alla base della digitalizzazione di sistemi complessi, infrastrutture critiche e servizi essenziali e che possono subire attacchi informatici modificandone il comportamento, è evidente come la cybersecurity sia legata a tematiche di natura etica in maniera estremamente profonda. Di conseguenza non possiamo esimerci dal considerarla un elemento centrale.

Penso che uno dei problemi etici più noti inerenti alla cybersecurity sia quello riguardante la privacy. Ottenere informazioni di natura personale può permettere ad un attaccante di sostituirsi digitalmente alla vittima, avviando false transazioni e manipolando conversazioni. È un fenomeno a cui assistiamo quotidianamente grazie al furto d’identità. Inoltre, tale problema etico potrebbe abilitare l’attaccante in estorsioni e ricatti verso la vittima.

Al di là delle parole e delle affermazioni di carattere pubblico non ritengo ci sia ancora una profonda consapevolezza di questa centralità etica ed è proprio su questo che si deve lavorare seriamente sia a livello pubblico che privato.

Il ‘buon vivere’ di oggi non è più e soltanto affine al rapporto fisico ma dipende fortemente da quello digitale. La cybersecurity è un elemento fondamentale per garantirlo. Per questo è’ necessario includere tale disciplina in un nuovo framework etico che vada oltre lo spazio e la cultura e che sia, contestualmente, rispettoso dell’essere umano partendo, come detto, dalla consapevolezza che, al contrario, la tecnologia non può essere eticamente neutra.

Sicurezza della Supply Chain.
È noto che gli scienziati di tutto il mondo stiano continuando a lavorare allo sviluppo dei vaccini per combattere la pandemia di COVID-19 stante le innumerevoli varianti che si sono sviluppate nell'ultimo periodo. Oltre a cercare di rubare i dati relativi alle ricerche, i cyber criminali potrebbero sviluppare attacchi mirati per scatenare una guerra biologica ed il DNA potrebbe diventare la nuova arma degli hacker del futuro.

Una recente pubblicazione della rivista Nature riprende uno studio condotto da un gruppo di ricercatori della Ben-Gurion University of the Negev, in Israele, gettando ombre sul futuro del Cyber Biohacking. Forzando le deboli procedure di sintesi del DNA, si possono infatti raggiungere risultati sorprendenti, con alterazioni del codice genetico che bypasserebbero i controlli automatici, arrivando a generare tossine e nuovi virus.

Le università e i centri di ricerca commissionano ad aziende specializzate di creare, per scopi scientifici, specifiche sequenze di DNA necessarie per sperimentazione e studi. La produzione delle sequenze di RNA o DNA a livello mondiale è affidata in larga misura ai sintetizzatori di DNA, capaci di sintetizzare miliardi di nucleotidi (DNA) per un giro d’affari di diverse centinaia di milioni di dollari. Anche in questo campo il mondo digitale sta imponendosi come elemento fondamentale del processo.

La crescita esponenziale di ordini digitali verso le società che operano e gestiscono questi “sintetizzatori” ha fatto sorgere molti dubbi in merito alla possibilità di attacchi cyber in una nicchia di mercato così nuova e delicata. Gli hacker potrebbero infatti inserirsi nella filiera di “ordinazione” e “produzione” dei nucleotidi (DNA) attaccando i punti deboli dei sistemi informatici degli operatori del settore. Gli attacchi potrebbero riguardare le modifiche delle “ordinazioni”, la “miscela” o il processo produttivo grazie all’inserimento di sequenze scorrette e maligne, in grado di eludere i controlli automatici di sicurezza delle società che operano nell’ambito della sintesi del DNA.

Proviamo a immaginare, a questo punto, uno scenario realistico in cui ci sono tre protagonisti: Alice, che opera presso la facoltà di biologia di una nota università, Silvio, che è il responsabile del controllo qualità di un’azienda che sintetizza le sequenze brevi di DNA, e, infine, Eva, una criminal hacker pronta a sperimentare le sue capacità in un ambito estremamente moderno e iperconnesso.


Alice commissiona a Silvio sequenze di DNA, tramite una procedura consolidata che non ha particolari livelli di sicurezza in considerazione anche del fatto che esiste un rapporto di fiducia tra Alice e Silvio che lavorano insieme da diverso tempo. In questo contesto, inoltre, i software utilizzati per l’editing genetico e i file che rappresentano digitalmente la sequenza non hanno, a loro volta, standard di sicurezza tali da difendersi dagli attacchi di Eva. La considerazione generale è che trattandosi di un campo estremamente nuovo, nessuno pensa che possa essere d’interesse per i cyber criminali. Pensiero, ahimè, molto diffuso ☹in tutti i settori.

Al fine di snellire le procedure, di velocizzare le operazioni e di aumentare la produttività, Alice preferisce utilizzare il procedimento standard, probabilmente, come detto, ignara dei rischi informatici. Eva, però, riesce ad attaccare il sistema informatico universitario, grazie a malware in grado di modificare la sequenza genetica ordinata. Utilizzando una tecnica cyber di “offuscamento del codice”, il malware è in grado di mascherare la parte di DNA manomessa, in un modo tale per cui la società di Silvio non è in grado di identificarla come “differente” dal resto della sequenza.

Il malware potrebbe addirittura essere in grado di rendere inutile un eventuale controllo umano. Questi controlli, attualmente applicati nelle strutture di sintesi solo quando necessario, difficilmente sono in grado di evidenziare il problema, soprattutto nel malaugurato caso in cui l’attaccante sia stato così bravo da creare un malware capace di nascondere le proprie tracce.

Pertanto, i controlli automatici e manuali danno risultato positivo e gli ordini vengono elaborati e spediti alla facoltà universitaria in cui lavora Alice. A questo punto, tutto risulta normale e Alice o i suoi colleghi potrebbero “spacchettare” il codice genetico ricevuto, con la specifica procedura denominata CRISPR/Cas91. Così facendo, Alice “libera”, in maniera totalmente inconsapevole, una sequenza maligna, potenzialmente portatrice di tossine o virus o di un nuovo Covid-19.

Questo tipo di attacco è tutt’altro dall’essere lontano dalla realtà, come confermato dallo studio sviluppato dal gruppo di ricercatori dell’Università israeliana, capeggiato da Rami Puzis. Nel test, infatti, parte del codice è stato “offuscato” nascondendo un peptide dannoso e la nuova sequenza è stata fornita a una delle principali società del settore.

Volete sapere qual è stato il risultato? Le procedure interne automatiche non hanno rilevato problemi, inviando l’ordine alla produzione. Naturalmente l’International Gene Synthesis Consortium, IGSC, principale organismo del settore per la creazione di standard di sicurezza comuni, è stato subito avvisato dell’accaduto e l’ordine è stato annullato per ragioni di biosicurezza.

È chiaro che tutto ciò evidenzia in maniera ancora più forte quanto non solo i sistemi di cybersecurity siano fondamentali in tutti i settori e, dunque, a maggior ragione in quello scientifico ma anche quanto importante sia la sicurezza dei processi, soprattutto se all’interno di una supply chain.

“Uno scenario di attacco di questo tipo – scrive Pizis – sottolinea la necessità di rafforzare la supply chain del DNA sintetico attraverso sistemi di protezione dagli attacchi cyber-biologici. Proponiamo un algoritmo di screening rafforzato che tenga conto della modifica del genoma in vivo”.

È auspicabile che framework di sicurezza adeguati dovranno garantire una sicurezza sia funzionale che operativa in grado di coprire in maniera preventiva, proattiva e predittiva, tecnologie e processi.
Mitigazione del Rischio

In tantissime occasioni abbiamo avuto modo di parlare di rischio cyber e ne abbiamo discusso definendolo come la vera minaccia che individui, aziende, stati ed organizzazioni internazionali sono chiamati a fronteggiare nella nuova era dominata dall’industria 4.0.

L’esigenza di creare nuovi modelli di business per incrementare la produttività delle industrie ha portato a una tendenza, spesso scriteriata, verso l’automazione, l’informatizzazione, la virtualizzazione, il cloud oltre che verso tutte le funzionalità presenti su mobile. È l’insieme di queste caratteristiche che definisce l’industria 4.0 a cui le varie componenti sociali sono chiamate a rapportarsi e su cui agisce il rischio dei cyber attacchi.

In questo scenario, pensare che cybersecurity significhi solo Information Technology fa sorridere e sapere che l’ambito è molto più ampio, aiuta a comprenderne i rischi e, ci si augura, a prevenirli.

Come per molte malattie, il rischio cyber è amplificato ed anzi, possiamo affermare che “si nutre” di altri fattori digitali che sono legati strettamente tra di loro. Potremmo, con un po' di fantasia ma forse nemmeno troppo, far risalire l’origine di tutto alla legge di Moore che fornisce il carburante che ha consentito a tutta l’industria digitale di svilupparsi ad una velocità importante. È indubbio che la crescita esponenziale della potenza dei microprocessori e, di conseguenza, della capacità di calcolo offerta dalla legge di Moore, unita al livello di miniaturizzazione che si è raggiunto nei processi produttivi delle componenti elettroniche, impensabile fino a pochi anni fa, ha permesso l’esplosione dell’era delle reti di telecomunicazioni e dell’informatica più in generale.

Tutto ciò ha consentito l’inizio dell’era di Internet come piattaforma di distribuzione di tutte le innovazioni digitali.

La crescita globale della popolazione umana è pari a circa 75 milioni ogni anno, o 1,1% all'anno con la popolazione mondiale che è passata dal 2017 al 2020, da 7,7 a 7,8 miliardi di persone. Nello stesso periodo, la “popolazione” dei dispositivi IOT connessi alla rete è, invece, passata da 8,4 miliardi a 20,4 miliardi con un incremento di 12 miliardi di oggetti, ossia +242%, il che, credo, non abbia bisogno di ulteriori parole per descrivere la misura della velocità a cui viaggia il mondo digitale.

La velocità estrema è, quindi, la caratteristica principale che caratterizza gli ecosistemi digitali e che influisce in modo così significativo sul rischio cyber. Ogni cosa viene consumata in grande fretta e di conseguenza, il ciclo di vita delle tecnologie si riduce drasticamente. Se pensiamo, ad esempio, ad un’industria capital intensive come quella delle tecnologie radiomobili che deve assorbire costi elevati per la concessione delle frequenze e per la stesura delle reti, possiamo osservare che in meno di 40 anni si sono succedute 5 differenti tecnologie: il TACS inizia nei primi anni 80, il 2G nel 1991, il 3G dopo 10 anni, il 4G dopo 9 anni e il 5G dopo 8 anni e la velocità di download passa dai 384 kbps del primo 3G, ai 100 Mbps del 4G, ai 10 Gbps del 5G. In questo processo di crescita inarrestabile ci sono due date che non possiamo dimenticare: la disponibilità estesa e a basso costo di capacità di banda sulle reti di telecomunicazioni riconducibile all’anno 2000 e la nascita degli OTT che è databile tra 2007 e 2008. Dopo il 2008 abbiamo assistito alla rapida crescita del numero dei dispositivi costantemente connessi, ad una economia che dipende sempre di più da algoritmi di intelligenza artificiale, alla crescita del potere dei social ed al rischio delle fake news, alla crescita dello sfruttamento dei contenuti personali dovuto allo spostamento sempre più avanti del trade-off tra privacy e servizio.

In tutto questo bailamme, purtroppo, la sensibilità sulla sicurezza dell’informazione non è cresciuta con la medesima velocità ed oggi non solo ne paghiamo le conseguenze ma rischiamo di mettere a rischio anche aree innovative, come la biologia e la medicina, che, come nessun’altra, riguardano la vita umana.

Pertanto, è sempre più urgente e necessario avere una solida cybersecurity roadmap che sia parte di una “call to action” globale, rivolta ad istituzioni, imprese e industria con il fine comune di garantire un impegno ad accettare la sfida del cyber risk e, auspicabilmente, vincerla.



Una comunità accetta le sfide che ha di fronte
proprio perché non sono semplici, perché ci danno
l’occasione di mettere a frutto il meglio delle nostre
capacità e del nostro impegno.

JFK


Carlo Mauceli



Link Utili

Cyberbiosecurity - Wikipedia

This new cyberattack can dupe DNA scientists into creating dangerous viruses and toxins | ZDNet

CRISPR-Cas9: come funziona la rivoluzione genetica e le applicazioni (agendadigitale.eu)

Why Biohacking Is the Latest Major Startup Trend (entrepreneur.com)

Why Biohacking Is the Latest Major Startup Trend (entrepreneur.com)

Hybrid CoE Strategic Analysis 26: Cyber-biosecurity: How to protect biotechnology from adversarial AI attacks - Hybrid CoE - The European Centre of Excellence for Countering Hybrid Threats

Frontiers | Cyber-Biosecurity Risk Perceptions in the Biotech Sector | Bioengineering and Biotechnology (frontiersin.org)

Increased cyber-biosecurity for DNA synthesis | Nature Biotechnology

Facing the 2020 pandemic: What does cyberbiosecurity want us to know to safeguard the future? - ScienceDirect


1 Il metodo crispr-cas9 che permette di modificare gli acidi nucleici di cui è costituito il genoma di tutti gli organismi viventi, è valso il premio Nobel per la chimica a Emmanuelle Charpentier e Jennifer Doudna per la loro capacità di “riscrivere il codice della vita”.

domenica 28 novembre 2021

UK-India e Cyber Deterrence

La guerra di oggi, quella che si combatte senza esclusione di colpi nel cyberspace (o tramite esso), non si vince da soli!

Lo pensano UK e India che, proprio qualche giorno fa hanno deciso di rafforzare gli accordi (già in essere dal 2018 sotto il nome di "India-UK framework for the Cyber Relationship") e di lavorare assieme per capire come affrontare i rischi emergenti.
L'occasione è stata offerta dal primo meeting del "India-UK Joint Working Group on Cyber Deterrence", tenutosi in videoconferenza giovedì 25 novembre.
Già in passato abbiamo trattato l'argomento della cyber deterrenza, cercando di spiegare che l'impiego delle capacità cyber come deterrenza può essere efficace solo se associato ed grandi capacità di intelligence, per aiutare nell'attribuzione di un attacco, cosa che confermiamo ancora oggi.
Ricordiamo che la cyber deterrenza può ottenersi principalmente in due modi: diventando sufficientemente forti nel proteggersi così da rendere ogni tentativo d'attacco inutile, cosiddetta "cyber deterrence by denial" oppure avendo la capacità di colpire l'avversario in modo tale da metterlo in ginocchio, cosiddetta "cyber deterrence by punishment".
L'idea che due potenze (nucleari) come UK e India decidano di lavorare assieme in un settore importante come quello della Cyber Deterrence la dice lunga sull'importanza del settore e sul fatto che occorrono alleanze forti se si vuol ottenere un effetto strategico.
E l'Italia cosa sta facendo? 
Chi potrebbe essere l'alleato con cui sviluppare le capacità cyber, e in particolare di cyber deterrence?
Potrebbe trattarsi della Francia, con la quale nei giorni scorsi è stato stipulato il "Trattato del Quirinale"?
E' una ipotesi, anche se non se ne parla esplicitamente nell'articolo 2 (Sicurezza e difesa), dove si fa genericamente riferimento all'impegno nel "promuovere le cooperazioni e gli scambi sia tra le proprie forze armate, sia sui materiali di difesa e sulle attrezzature, e a sviluppare sinergie ambiziose sul piano delle capacità e su quello operativo ogni qual volta i loro interessi strategici coincidano". 
Qualche apertura invece viene dall'articolo 5 (Cooperazione economica, industriale e digitale) in cui il comma 3 asserisce che "Le Parti riconoscono l’importanza della loro cooperazione al fine di rafforzare la sovranità e la transizione digitale europea. Esse s’impegnano ad approfondire la loro cooperazione in settori strategici per il raggiungimento di tale obiettivo, quali le nuove tecnologie, la cyber-sicurezza, il cloud, l’intelligenza artificiale, la condivisione dei dati, la connettività, il 5G-6G, la digitalizzazione dei pagamenti e la quantistica. Esse si impegnano a lavorare per una migliore regolamentazione a livello europeo e per una governance internazionale del settore digitale e dello spazio cibernetico.
Si potrebbe obiettare che spesso le frasi dei trattati bilaterali sono solo un modo per stabilire delle comunanze d'intenti e che da li a vedere dei programmi sul tavolo la strada è lunga, ma preferiamo essere ottimisti e pensare che i nostri decisori abbiano compreso la necessità di lavorare assieme, in bilaterale, alla ricerca di soluzioni a problemi comuni. 

Alessandro Rugolo e Federica Maria Rita Livelli

Smart Working e Cybersecurity

Smart Working, locuzione molto gettonata nell’ultimo anno e mezzo, è la nuova modalità di lavoro che coinvolge diverse categorie di lavoratori a causa dell’attuale crisi sanitaria COVID-19. Ma perché chiamarlo Smart Working, potremo definirlo anche Art Working, un nuovo ambiente nel quale si mischiano e si integrano una tazza di latte e caffè, una felpa e un pantaloncino, con una videoconferenza per discutere un'importante attività di rilascio di nuove funzionalità al Logistic Management System, seduti comodamente dalla propria scrivania. E perché no tra una lavatrice e un’altra e la preparazione del pranzo potremo ancora ritrovarci il laptop o lo smartphone ad occupare una delle due mani, diventando a tutti gli effetti un Add-On del nostro corpo.

Lo smart working è una sfida in corso, sposta il surfing di uno scooterista o di un automobilista tra le strade cittadine, ad un surfing tra pagine web, database e connessioni remote. Le reti casalinghe, costituite prevalentemente da un modem, fanno transitare giga e giga di dati al giorno, un flusso continuo che i nostri dispositivi e gli algoritmi contenuti devono efficientemente gestire per soddisfare la nostra richiesta di contatto con il mondo esterno. Gli incidenti stradali si virtualizzano e cominciamo ad assistere a sempre più incidenti informatici. 

Potremo parlare di una MATRIX primordiale?

E così come succede in matrix questo nuovo ambiente nasconde pericoli di non facile e immediata comprensione. Attività semplici di cut, copy, paste, il click di un link in una email, l’apertura di una pagina web tra i preferiti spostano oggetti apparentemente irreali, ma in realtà più reali di quello che immaginiamo.

Un pericolo molto frequente che si incontra in rete è il phishing, forma di criminalità online ampiamente diffusa. E’ fondamentalmente unattività di inganno nella quale un malintenzionato cerca di reperire informazioni personali e dati di accesso fingendosi un fonte attendibile. Secondo i dati ufficiali diffusi dopo il primo lockdown del 2020 questa forma di criminalità sarebbe aumentata del 600% rispetto ai livelli pre-pandemia. (https://www.interno.gov.it/it/notizie/cybercrime-aumento-durante-lockdown). 

Altre tattiche di phishing in corso di diffusione sono il QR Code Phishing e il Technical Phishing. Mentre la prima è facilmente comprensibile la seconda consiste nell’inserire un link in una email, ad esempio www.example1.it, mentre il tag href contiene www.example2.com.

E allora, come si può contrastare il phishing?

Niente di più semplice... attenzione al mittente e ai contenuti della email !


Francesco Bongiovanni