Hackerata l'Agenzia delle Entrate?

25 luglio, a Roma la temperatura è sempre più alta, e non solo quella del meteo!

Qualche giorno fa è caduto il governo, oggi sembra che sia la volta dell'Agenzia delle Entrate. Sui social si inseguono notizie, mezze voci, smentite... "Hackerata l'Agenzia... "

L’Agenzia delle Entrate dichiara “in riferimento alla notizia apparsa sui social e ripresa da alcuni organi di stampa circa il presunto furto di dati dal sistema informativo della fiscalità, l’Agenzia delle entrate precisa di aver immediatamente chiesto un riscontro e dei chiarimenti a Sogei Spa, società pubblica interamente partecipata dal Ministero dell’Economia e delle Finanze, che gestisce le infrastrutture tecnologiche dell’amministrazione finanziaria e che sta effettuando tutte le necessarie verifiche”.

"Smentita la notizia... "

La Sogei afferma che “non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria”, chi ha ragione?

 

Come al solito in Italia non si capisce niente! 

Eppure i meglio informati dicono di aver visto le cartelle del file system, organizzate per utente, con all'interno i documenti personali, carte d'identità, passaporti... possibile che nel 2022 ci sia ancora chi organizza i dati in questo modo? Perché non un database? 

Ma si tratta veramente di dati dell'Agenzia delle Entrate?

Ma tant'é, questa è la situazione:

  

Purtroppo occorre ipotizzare il peggio: ovvero che LockBit abbia effettivamente hackerato l'Agenzia e sia in possesso dei dati. 

LockBit chiede un riscatto, pena la pubblicazione dei dati entro cinque giorni. 

Ora proviamo a considerare alcune possibili linee d'azione: 

1. lo Stato decide di non pagare il riscatto. Semplice, le conseguenze sono già chiare. I dati sottratti, sembra si tratti di 75 GB circa, saranno resi pubblici, forse in parte venduti sul mercato nero, con tutte le conseguenze del caso. Truffe, impersonificazioni, ricatti... si perché si tratta dei dati finanziari di tutti i soggetti (o parte di essi) che si trovavano nei DB dell'Agenzia delle Entrate. 

2. lo Stato decide di pagare. Gli hacker sono onesti e avuto il loro compenso restituiscono i dati sottratti e cancellano ogni copia creata. Ipotesi credibile? direi molto poco. Ma ormai la frittata è fatta, l'unica cosa da fare è sperare nella loro onestà. E se fossero disonesti, allora si ritornerebbe al caso uno con l'aggravante di aver pagato il riscatto. 

3. Lo Stato mette in moto tutte le strutture create in questi anni, attiva tutte le direttive NIS, ricorre alle innumerevoli norme regolamentari e ai suoi migliori uomini per... 

Purtroppo ho esaurito le ipotesi, restano però le domande: 

1. Come è potuto accadere? 

Le norme prevedono che i dati particolarmente sensibili debbano essere come minimo cifrati... i nostri dati lo erano? 

A vedere gli screenshot pubblicati sembrerebbe proprio di no. 

2. E adesso? Chi paga per quanto accaduto? Il tecnico in fondo a destra o il Titolare dei dati? 

Contitolari più probabilmente, se l'attacco sarà confermato, dato che le organizzazioni corresponsabili potrebbero essere diverse, l'Agenzia in primis ma anche sa società Sogei. Sicuramente il Garante della Privacy potrà dire la sua. Forse si potrebbe addirittura pensare ad una class action.. ma siamo seri, come potrebbe finire se non a tarallucci e vino?

Purtoppo, qualunque cosa si possa dire non aiuterà a riportare le cose all'attimo prima dell'incidente.

Eppure a volte una sana prevenzione, la corretta informazione e formazione del personale e delle attività di bug bounty e pentesting possono essere d'aiuto.

Ma occorre sapere di che si parla... e non sempre è cosi!

Alessandro Rugolo, Danilo Mancinone, Ugo Micci, Carlo Mauceli

Per approfondire:

- Attacco ransomware all'Agenzia delle Entrate. La situazione è poco chiara (redhotcyber.com)

- Attacco ransomware all’Agenzia delle Entrate, LockBit rivendica il data breach - ICT Security Magazine

Cyber Influence, e siamo tutti parte della comunità globale!

"Cyber-Influence, un termine nuovo creato per indicare una attività antica quanto il mondo, l'influenza, svolta con metodologie e mezzi moderni (cyber) in particolare attinenti al cyberspace."

No, non si tratta di una definizione, almeno non di una definizione ufficiale! Ma semplicemente di una mia definizione.    

In un precedente articolo abbiamo visto quali sono le relazioni tra cyber warfare e Information Warfare, 

ora proviamo a chiederci che c'entra in tutto ciò la cyber-influence.

Questa volta, per trovare una guida, mi rivolgo alla Francia.

Nel mese di marzo del 2021 è uscito uno studio dell'IFRI (Institut Français des Relations Internationales) dal titolo "Cyber-influence, Les nouveaux enjeux de la lutte informationelle" firmato da Laure DE ROCHEGONDE e Elie TENENBAUM. Proverò a seguirlo per quanto possibile, cercando di semplificare per rendere comprensibile a tutti un argomento abbastanza complesso.

Questa volta la parola chiave è "influenza" e come questa possa essere impiegata nell'ambito della guerra.  

Nella NATO il concetto di STRATCOM è ben noto e tutte le Forze Armate Alleate, chi più chi meno, si sono allineate dal punto dottrinale. 

Le Operazioni Informative sono parte della STRATCOM e si dividono in tre grandi branche:

- le azioni di cooperazione civile-militare (CIMIC), aventi lo scopo di migliorare alcune condizioni sociali o economiche del paese ospite, per far si che la Forza Militare sia percepita bene e che la popolazione collabori; 

- le operazioni di Key Leader Engagement, che mirano ad influenzare primariamente i decisori;

- le Operazioni Psicologiche, che sono concepite allo scopo di modificare, mantenere o rinforzare la percezione di individui o collettività.      

Come è facile immaginare queste tre tipologie di operazioni possono essere condotte impiegando mezzi di diversa natura. 

Ci fu un tempo in cui si cercava di influenzare il prossimo stampando e distribuendo, spesso di nascosto, dei libercoli in cui si tessevano le lodi di tale persona o idea (più spesso si sparlava di qualcuno!). La carta e l'inchiostro erano il supporto indispensabile. L'area in cui questo tipo di propaganda era possibile variava da un quartiere ad una città, difficilmente si arrivava oltre.

Poi arrivarono le prime macchine che consentivano di fare tante copie in poco tempo. Ciò migliorò la velocità di diffusione. Ma per riuscire a superare il confine cittadino occorreva attendere. L'avvento di internet e soprattutto dei social ha fatto si che i confini si annullassero e con le attuali capacità di profilazione si è arrivati alla distribuzione porta a porta di prodotti di influenza personalizzati.

Oggi infatti siamo soggetti a bombardamento continuo di messaggi preparati appositamente per colpirci nei nostri punti deboli.

Il cyberspace è trasversale a tutte le attività umane e veicola dati e informazioni di tutti i tipi, comprese tutte quelle informazioni sul nostro profilo psicologico raccolte in maniera automatica ormai da qualunque sito, aggregate e analizzate per ottenere dei prodotti di intelligence sui singoli e sui gruppi sociali.

Ecco perché quando pubblichiamo una foto di un piatto di linguine cozze e vongole su facebook, qualche istante dopo ci viene proposto di iscriverci al sito del super chef stellato che ci insegnerà come fare la salsa di pomodoro utilizzando i migliori prodotti (sponsorizzati) disponibili sul mercato. Naturalmente i siti su cui verremo reindirizzati sono creati da professionisti del marketing che ben sanno come catturare l'attenzione e convincere, influenzare. Difficilmente si scappa dalla rete. 

Esattamente allo stesso modo, se abbiamo dato il nostro sostegno ad un post in cui si sostiene una causa politica o sociale, nel giro di poco tempo ci verranno presentati post simili. Naturalmente ciò avviene solo se la narrativa possibile conduce verso lidi ben gestiti, altrimenti avviene il contrario, si viene isolati, i propri post sono cancellati, il proprio profilo viene bloccato...

Queste sono operazioni di influenza, condotte contro il singolo o contro gruppi sociali, grazie alla potenza delle nuove tecnologie e alla pervasività del cyberspace. 

Immaginate ora cosa può essere fatto in caso di guerra, quando tutta la forza di una Nazione è incanalata verso l'unica direzione possibile? 

Allora, ricordiamo che una regola antica come il mondo consiste nel chiedersi sempre: "Cui prodest"? Ovvero, a chi giova? Chi ha vantaggio da una o dall'altra narrativa? Chi trae vantaggio dal possedere i miei dati? Chi trae vantaggio dall'impiego delle informazioni che senza troppo preoccuparmi sono giornalmente condivise con i miei amici dei social, con la banca, con l'app contapassi, con quella che mi conta le calorie consumate e mi suggerisce cosa mangiare, con il mio supermercato di fiducia, con le piattaforme che mi aiutano nella ricerca del volo più economico per andare in vacanza, dell'hotel che fà assolutamente al caso mio, dell'app che misura i miei progressi linguistici... cominciamo a ripeterci: cui prodest? Poi magari facciamolo lo stesso, ma facciamolo consapevolmente! 

Cominciare col porsi questa domanda corrisponde ad iniziare un nuovo percorso, un percorso di consapevolezza in cui non si è più parte del gregge.

Meditate gente, meditate,

Alessandro RUGOLO

Come sempre grazie agli amici di SICYNT che mi hanno aiutato a rendere semplice e interessante l'articolo coi loro preziosi suggerimenti.

Immagine: Cyber-influence : les nouveaux enjeux de la lutte informationnelle | IFRI - Institut français des relations internationales

Per approfondire:

- Cosa bisogna sapere sul cyberspace per vivere bene: la pubblicità personalizzata - Difesa Online

- Alexa, Intelligenza Artificiale e buon senso - Difesa Online

- IFRI - Institut français des relations internationales | Institut de recherche et de débat indépendant, consacré à l’analyse des questions internationales et de gouvernance mondiale.

- Cyber-influence : les nouveaux enjeux de la lutte informationnelle | IFRI - Institut français des relations internationales

- STRATCOM, comunicazione e information influence activities - Difesa Online

- Cyber Influence and International Security > National Defense University Press > News (ndu.edu)

- Cyber Influence and Cognitive Threats | ScienceDirect

Cybersecurity Ergonomica

Ho avuto spesso modo di valutare differenti approcci alla protezione informatica, in diversi ambiti.

Molto spesso l’impostazione era troppo superficiale, le politiche di sicurezza insufficienti quando non completamente assenti, e questo esponeva l’azienda ad un fortissimo rischio di compromissione.

A mio parere, però, quasi altrettanto deleterio per la sicurezza globale è l’implementazione di policy “troppo” stringenti.

So che questo sembra essere un controsenso, forse provocatorio, ma vi prego di seguirmi nel ragionamento.

E’ un fatto acclarato che l’anello debole nei sistemi informativi è quasi sempre “Dave: l’errore umano” (non me ne vogliano i tanti amici di nome Dave!)

Se implementiamo delle policy troppo stringenti e poco user friendly, poco “ergonomiche”, come mi ha suggerito il bravissimo @roarinpenguin, inevitabilmente gli utenti, schiacciati tra l’incudine della sicurezza e il martello della produttività, cercheranno degli escamotage per rispettare formalmente le policy, e nello stesso tempo continuare a lavorare in maniera agevole.

Faccio un esempio concreto: per lungo tempo si è stressato sulla necessità di avere password molto complesse, che comprendessero numeri e caratteri speciali in diverse combinazioni.

Questo ha portato molti, troppi utenti a scriversi da qualche parte la password per non dimenticarla, vanificando così completamente l’obiettivo primario della policy.

Poi si è introdotto l’obbligo di cambiare la password di frequente. Gli utenti la “cambiavano”, reimpostando la precedente. Allora si è bloccato il riutilizzo. Risultato? P@ssword1, P@ssword2, P@ssword3…

Questo è solo un esempio per dire che, per ottenere una sicurezza efficace, è necessaria la cooperazione attiva di utenti e operatori cybersec.

Questo risultato si ottiene innanzitutto con la formazione, promuovendo all’interno della struttura la consapevolezza dei rischi che si corrono (#ilbersagliosiamonoi), e dei comportamenti da adottare per minimizzarli. Ma oltre a questo, chi è responsabile delle security policy deve cercare in tutti i modi l’ergonomia delle soluzioni, così da rendere il rispetto delle regole impostate non dico piacevole (non esageriamo!) ma quantomeno poco invasivo.

Inoltre, spiegare i motivi per cui si introducono determinate restrizioni, condividendo per quanto possibile le analisi di rischio che hanno portato a implementarle, aiuta immensamente nell’ottenere l’adozione da parte degli utenti.

Infine, è bene ricordare sempre che “chi rinuncia alla libertà per la sicurezza non merita nè l’una, nè l’altra” (Benjamin Franklin).

Ugo Micci

Information warfare e cyber warfare, quali sono le relazioni?

Come sempre più spesso accade, mi ritrovo a scrivere un articolo per rispondere alla curiosità degli amici. 

Questa volta la domanda arriva nel mezzo di una chiacchierata sulle operazioni di propaganda portate avanti da entrambe le parti nella recente guerra che stiamo vivendo in Europa.

La domanda postami e alla quale cercherò di dare risposta è la seguente: "In che modo la cyber influisce sul piano della guerra informativa?".

Onestamente la risposta non è facile ma sono sicuro che potremo trovare una risposta se non completa quanto meno soddisfacente.

Comincio col dire che la guerra informativa non è una caratteristica dei giorni nostri. E' sempre esistita!

Ciò che in parte caratterizza la guerra informativa odierna è la velocità di scambio e soprattutto di consumo delle informazioni e i diversi strumenti utilizzabili, figli del nostro sviluppo tecnologico.

Ma come al solito, procediamo per passi e cerchiamo di capire di che cosa parliamo.

Cosa si intende per guerra informativa o delle informazioni?

Cerchiamo di capirlo facendo riferimento alla dottrina della NATO:

"Information warfare is an operation conducted in order to gain an information advantage over the opponent. It consists in controlling one’s own information space, protecting access to one’s own information, while acquiring and using the opponent’s information, destroying their information systems and disrupting the information flow. Information warfare is not a new phenomenon, yet it contains innovative elements as the effect of technological development, which results in information being disseminated faster and on a larger scale."

Per la NATO è chiaro che:

- la guerra informativa è un'operazione (militare) che ha lo scopo di guadagnare il vantaggio informativo sull'avversario;

- consiste nel controllo e protezione del proprio spazio informativo;

- si attua con l'acquisizione delle informazioni dell'avversario, la distruzione dei sistemi di informazione, l'interruzione dei flussi di informazioni.

Leggere una delle definizioni ci permette di inquadrare meglio la questione ma siamo ancora lontani dal capire quali sono le relazioni tra cyber e information warfare. 

Per capirlo occorre specificare meglio cosa intendiamo per cyber warfare e per farlo uso una fonte governativa, la definizione riconosciuta dallo stato dell'Australia:

"The use of computer technology to disrupt the activities of a state or organisation, especially the deliberate disruption, manipulation or destruction of information systems for strategic, political or military purposes."

Dunque, riassumendo, per cyber warfare si intende l'impiego di tecnologie informatiche per :

- interrompere le attività di uno stato o di una organizzazione;

- manipolare o distruggere sistemi informativi;

- per scopo strategico, politico o militare.

Avendo fatto un minimo di chiarezza sui concetti basici di infowar e cyberwar, consapevoli delle semplificazioni necessarie dovute a definizioni parziali e non sempre comuni a tutti, possiamo ora cercare di trovare risposta alla domanda iniziale, che ripropongo per chiarezza:

In che modo la cyber influisce sul piano della guerra informativa? 

Se consideriamo che la maggior parte dei sistemi informativi (sistemi per il trattamento delle informazioni) odierni si basano sull'impiego di tecnologie informatiche è facile capire che l'influenza della cyber sulla guerra informativa è notevole.

I sistemi informativi sono realizzati per gestire e trattare informazioni, per facilitarne l'analisi, la visualizzazione e così supportare le decisioni a diversi livelli, politico, strategico militare, strategico economico e così via. Queste informazioni devono essere trattate garantendone:

- riservatezza (confidentiality), devono essere accessibili solo a chi è autorizzato a trattarle;

- integrità (integrity), devono essere mantenute nel tempo così come sono state create e tutte le modifiche devono essere registrate;

- disponibilità (availability), devono essere disponibili per l'uso.

Inoltre, vi sono due ulteriori caratteristiche che sono associate ad ogni dato o informazione, che nel mondo odierno non possono essere date per scontate:

- la autenticità, consente di dire con ragionevole certezza chi è il proprietario o colui che ha prodotto il dato o l'informazione; 

- il non ripudio, ovvero che chi genera un messaggio non possa negare di averlo fatto. 

E' chiaro che qualunque attacco giunto a buon fine portato contro riservatezza, integrità, disponibilità, autenticità e non ripudio delle informazioni in un qualunque momento del ciclo di vita delle informazioni, condotto attraverso l'uso di sistemi informatici è degno della nostra considerazione ma non risponde in modo esaustivo alla nostra domanda.

Cosa resta ancora da considerare? 

In primo luogo proviamo a pensare a come le tecnologie informatiche hanno trasformato il mondo e la società. 

Un tempo le informazioni erano condivise attraverso la discussione nelle piazze, nei salotti, nei circoli privati e venivano principalmente dai giornali, organi ufficiali che veicolavano solo un determinato tipo di informazione, più o meno controllata da stati o organizzazioni.

Oggi lo strumento di condivisione è diventato il social network di turno e l'informazione viene modificata e ritrasmessa potenzialmente da chiunque abbia un accesso a internet. Per un certo periodo si è addirittura pensato che queste nuove tecnologie potessero rendere la società più "democratica", qualunque fosse il significato attribuito al termine.

Lo sviluppo delle tecnologie dell'informazione consente oggi la raccolta di dati e informazioni, la loro analisi e la produzione di nuove informazioni in tempo reale. Ciò significa avere a disposizione delle armi potentissime in caso di info war, questo perché è possibile effettuare in tempo reale delle operazioni nello spazio informativo:

- controllare le informazioni e determinare quali meritano di essere diffuse e quali no, attraverso il controllo costante dei social e degli influencer;

- immettere nel circuito informativo di interesse informazioni false, ma credibili a supporto della tesi dominante;

- screditare le voci dissenzienti, per esempio facendo passare i loro autori come complottisti o deridendoli e costringendoli al ritiro dallo spazio informativo;

- cancellare informazioni che nel tempo non sono più utili o peggio risultano dannose al racconto precostituito.

Queste attività rientrano appieno nella information warfare e possono essere condotte (e lo sono!) sia verso lo spazio informativo esterno (quindi verso gli avversari) sia verso lo spazio informativo interno (per ridurre la discussione o influenzare l'opinione pubblica).

Per riassumere, il cyberspace influisce sul dominio informativo essenzialmente:

- consentendo di raggiungere l'avversario attraverso sistemi informatici o di comunicazione;    

- consentendo di attaccare i sistemi informatici (o le piattaforme che ne fanno uso) dell'avversario;

- consentendo di accedere ai dati e alle informazioni dell'avversario e modificarle, cancellarle o renderle indisponibili;

- consentendo il controllo dello spazio informativo proprio

- influenzando lo spazio informativo dell'avversario attraverso immissione di informazioni a vario titolo non corrette.

Allora ci si potrebbe chiedere: come faccio ad accorgermi di essere vittima di una campagna di disinformazione?

Non esiste una regola, ma questo è argomento per un'altra storia!

Alessandro Rugolo 

Come sempre grazie agli amici di SICYNT che mi hanno aiutato a rendere semplice e interessante l'articolo coi loro preziosi suggerimenti.

Immagine: Information Warfare Offensive (auth0.com)

Per approfondire:

- information warfare (nato.int)

- Instructions, Manuals, and Notices (jcs.mil)

- Information Warfare (giac.org)

- Cyber warfare | Cyber.gov.au

Quanto sono sicure le VPN?

Fonte: AT&T cybersecurity blog

Con questo breve articolo cercherò di dare una risposta alla domanda che mi è stata posta qualche giorno fa: quanto è sicura una VPN? 

E con l'occasione affronterò anche due argomenti preliminari, senza la conoscenza dei quali non è possibile capire di cosa si parli:

Cerchiamo dunque di capire che cosa significa VPN e come funziona.

Le risposte dovrebbero essere relativamente semplici ma non diamo niente per scontato e proviamo a capire, come sempre, di cosa parliamo.

Per essere certi di non sbagliare vediamo che ci dice in proposito uno dei più grandi fornitori di servizi di rete al mondo, CISCO:
"A virtual private network, or VPN, is an encrypted connection over the Internet from a device to a network. The encrypted connection helps ensure that sensitive data is safely transmitted. It prevents unauthorized people from eavesdropping on the traffic and allows the user to conduct work remotely. VPN technology is widely used in corporate environments."

Abbiamo già scoperto che con l'acronimo VPN ci si riferisce ad una "Virtual Private Network" come ad una connessione cifrata tra un dispositivo (PC, tablet, smartphone...) ed una rete (generalmente una rete aziendale), il tutto poggiato su Internet. 

La connessione cifrata aiuta ad assicurare che i dati siano trasmessi in modo sicuro. 

La VPN previene l'intercettazione del traffico dati da parte di persone non autorizzate e consente agli utilizzatori della stessa di lavorare da remoto.   

Quelle che ho messo in evidenza sono le caratteristiche principali di una VPN.

Prima di proseguire vediamo di fare un esempio di VPN pre-Internet.

Tutti ricordiamo che da bambini a scuola capitava spesso di dover comunicare qualcosa al compagno di classe che si trovava due file avanti.

Dopo aver provato a comunicare, magari chiamandolo a voce bassa, attirando così l'attenzione della maestra e perciò venendo ripreso, ci si inventava metodi meno rumorosi.

Il primo metodo che io stesso impiegavo consisteva nello scrivere il messaggio all'interno di un foglietto, piegarlo in quattro e scrivere il nome del destinatario del messaggio sopra il foglio piegato, quindi toccare la spalla del primo compagno che si trovava in direzione del destinatario e chiedere con un cenno di testa di inoltrare il messaggio. 

Vorrei far notare che in questo esempio la classe fungeva da rete Internet, ogni compagno era in effetti un nodo della rete. Il foglietto era il supporto dei dati importanti (dopo la scuola andiamo a farci il bagno al fiume?). Piegare il foglio in quattro garantiva un minimo di sicurezza (molto poca lo ammetto!). Il nome del destinatario scritto sopra era l'informazione che serviva per fare arrivare il messaggio a destinazione.

Sistema funzionante con un presupposto, tutti i compagni sono tra loro amici e nessuno è curioso.

Come immagino abbiate sperimentato anche voi in occasioni simili, pensare che tutti siano amici e che nessuno curiosi è bello dal punto di vista umano ma assolutamente irreale. 

Ciò che spesso accadeva in questa Internet primordiale era che uno dei nodi (un compagno curioso) invece di trasmettere il messaggio verso il compagno successivo, lo apriva e lo leggeva, e solo dopo, nella migliore delle ipotesi, lo richiudeva e lo inoltrava verso il vero destinatario.

La soluzione da me adottata, e immagino da tanti di voi che leggete, era semplice, era una VPN.

Certo, analogica, ma sempre di VPN si tratta. La VPN funzionava così. 

Siccome il destinatario dei miei messaggi era il mio compagno con cui giocavamo tutti i giorni a pallone, ci mettemmo d'accordo per usare dei messaggi cifrati. Il nostro cifrario era abbastanza semplice, si trattava semplicemente di sostituire ad una lettera un'altra secondo uno schema sul quale ci eravamo accordati. Oggi so che si trattava del cifrario di Cesare ma allora poco importava, l'importante era che funzionasse. E funzionava... c'era sempre chi per curiosità apriva il foglietto ma in genere non era in grado di capire cosa ci fosse scritto. 

In pratica con l'aggiunta della cifratura avevamo realizzato una vera e propria VPN, senza saperlo!

Oggi le VPN vengono usate per connettere in modo sicuro un PC collegato tramite internet ad una rete aziendale. Il PC esterno alla rete, collegato ad internet, stabilisce una connessione sicura con un server di servizio VPN utilizzando un protocollo sicuro, solitamente si usa il protocollo TSL  

Ora, la domanda cui vorremo rispondere è la seguente: quanto è sicura una VPN?

Dopo aver capito cos'è e come funziona, vediamo di capire qualcosa di più sulla sicurezza di una VPN.

E' facile capire che vi sono molti fattori in gioco nel valutare il livello di sicurezza della VPN.

Proviamo assieme a capire i punti deboli.

La cifratura.

Uno dei fattori importanti è il tipo di cifratura che si utilizza. Come ho accennato prima, io da ragazzo usavo il cifrario di Cesare, un algoritmo crittografico tra i più semplici, che consiste nel sostituire ad una lettera un'altra lettera dello stesso alfabeto, come potete vedere dalla figura.

Le cose funzionavano abbastanza bene ma non era difficile capire come decifrare il messaggio ed inoltre esisteva sempre la possibilità che qualche compagno particolarmente dispettoso prendesse il foglietto e lo tenesse per se.

Allo stesso modo una delle caratteristiche delle VPN è l'algoritmo di cifratura che viene utilizzato per la cifratura dei dati e per stabilire il percorso migliore per raggiungere il destinatario. 

Siccome gli algoritmi utilizzati dalle VPN sono diversi, è chiaro che anche la sicurezza delle VPN è diversa.

In linea di massima possiamo dire che una VPN richiede l'uso di un algoritmo di cifratura (per cifrare e decifrare i dati) e di un protocollo sicuro per stabilire e mantenere il canale di comunicazione (handshake encription protocol).

Uno degli algoritmi di cifratura più utilizzato nella storia delle VPN per stabilire il canale cifrato si chiama RSA-1024 (Rivest-Shamir-Adleman). Esistono ancora delle VPN che ne fanno uso nonostante già dal 2014 l'algoritmo sia stato craccato dalla NSA americana (o almeno così si dice). Oggi molti algoritmi fanno uso di RSA-2048, dove il numero indica la lunghezza in bit della chiave di cifratura. Teoricamente la cifratura fornita da RSA-2048 è resistente ad attacchi di tipo "Brute Force" in quanto richiederebbe troppo tempo per essere eseguito, ma ricordo anche che tale tipo di attacco non è l'unico possibile, la nascita e la sempre più costante diffusione dei computer quantistici sta mettendo in dubbio l'effettiva validità degli algoritmi di cifratura basati sulla scambio di chiavi. Negli ultimi anni vi è una vera e propria corsa allo studio degli algoritmi cosiddetti "post quantum", ovvero che possono resistere ad attacchi di forza bruta effettuati da computer quantistici. Se prendiamo ad esempio OpenSSH, si è deciso di introdurre la versione 9 basata su un algoritmo post quantum.

 

Poco sopra ho detto che RSA-1024 è stato probabilmente craccato, riprendo solo per un attimo il concetto perché introduce una necessaria precisazione: quando parliamo di quanto sia sicura una VPN non esiste una risposta unica in quanto dipende da chi fa la domanda. A premessa di una qualunque risposta semiseria alla questione dobbiamo ricordare la necessità di un Risk Assessment cioè della valutazione del rischio associato alla impresa di cui parliamo. Non voglio entrare in tecnicismi ma farò un esempio giusto per capire di che si tratta.

Se la nostra società si occupa di produzione di parti di macchine industriali per una certa zona del mondo, supponiamo per l'Italia, ed ha necessità di usare una VPN per le sue comunicazioni, sarebbe buona cosa evitare di usare VPN di una società in qualunque modo legata alle sue dirette concorrenti sul mercato. Purtroppo non sempre è facile capire di chi ci si può fidare e di chi no. La mia regola è che non mi fido di nessuno, ma questa è un'altra storia.

Per tornare alle VPN, uno dei protocolli standard più utilizzati ai giorni nostri è OpenVPN. Si tratta di un protocollo open source che può quindi essere studiato e analizzato pubblicamente da chiunque ne abbia le capacità, l'interesse e la voglia di farlo.    

Come sempre, occorre tenere conto di ulteriori fattori, legati al mondo digitale. Tutti i sistemi, software, hardware o qualunque mix dei due si possa concepire, sono soggetti a:

- vulnerabilità dovute alla cattiva produzione;

- errori dell'uomo, utilizzatore o tecnico che sia, nella configurazione e nell'uso. Questo è il caso più comune in quanto l'uso di una VPN non elimina il rischio di furto di credenziali, anzi, probabilmente lo aumenta creando nell'utilizzatore una falsa aspettativa di sicurezza;

Se volete farvi un'idea delle vulnerabilità di OpenVPN, solo a titolo d'esempio, potete consultare questo elenco: Openvpn : Security vulnerabilities (cvedetails.com). 

Per concludere, dopo aver provato a spiegare in maniera più semplice possibile cosa sia una VPN e aver accennato ad alcune questioni di base, proverò a dare una risposta alla domanda dalla quale siamo partiti: quanto sono sicure le VPN?

La risposta più semplice è: meglio che trasmettere in chiaro. 

La risposta più seria invece è: dipende dal contesto.

La risposta più completa è: per poter dire qualcosa di sensato occorre fare un risk assessment e poi potremo scegliere una VPN adatta al contesto strategico, tecnologico e organizzativo in cui ci troviamo!

La VPN aumenta la sicurezza, ma aumenta anche il perimetro di sicurezza e quindi aumentano i rischi. Non dobbiamo mai dimenticare che la sicurezza dipende dall'anello più debole della catena e solitamente questo è l'uomo! 

 

Alessandro RUGOLO

Ringrazio, come sempre, gli amici di SICYNT per l'aiuto e i suggerimenti datimi. 

Infine, nella mia esposizione ho scelto di semplificare per cui ho rinunciato appositamente a parlare di autenticazione e di integrità, concetti importanti ma che avrebbero reso l'articolo meno chiaro. Avremo altre occasioni per farlo.

Per approfondire:

- Il cifrario di Cesare - Telsy

- How do VPN Encryption Protocols Work? | AT&T Cybersecurity (att.com)      

- What is the RSA algorithm? Definition from SearchSecurity (techtarget.com)

- Exclusive: NSA infiltrated RSA security more deeply than thought - study | Reuters

- Business VPN | Next-Gen VPN | OpenVPN

- OpenSSH

- Quantum Computing e Crittografia - Difesa Online

- Difendersi dai computer quantici: l'approccio statunitense al problema - Difesa Online

Metaverso, società e cybersecurity

E' da qualche tempo che pensavo di scrivere qualcosa in merito. 

Mentre riflettevo il tempo passava e il web è ormai giunto alla versione 3. e a breve passerà alla 4.0. 

Tra le novità del web 3.0 si può includere tutto ciò che ha a che fare col "Metaverso". 

Qualche tempo fa Federica Maria Rita Livelli e Alberto Monici hanno scritto un bell'articolo (Il metaverso è ormai una realtà, quali sfide ci attendono?) che vi invito a rivedere se potete, prima di continuare la lettura.

In questo breve articolo invece, io proverò ad evidenziare dei problemi che oggi non sono stati ancora affrontati a fondo e di cui raramente si sente parlare, questo perché ritengo sia opportuno aumentare la consapevolezza verso un "mondo virtuale" che però ha tanti risvolti sul mondo reale. 

Mi sembra indispensabile che la società si faccia carico per tempo di studiare, analizzare e se occorre prevenire o proibire comportamenti che potrebbero divenire problematici, per evitare di trovarsi come spesso è accaduto, a dover gestire situazioni scomode e non ben conosciute. 

Comincio con una domanda, come faccio spesso, a cui cercherò di dare una risposta, se alla mia portata. Non ve la prendete se non dovesse esserci risposta da parte mia, ma anzi provate voi a trovarne una.

La mia prima domanda è: devono esserci delle regole nel metaverso, per coloro che vi si immergono o per i loro avatar?

Pùò sembrare una domanda stupida, la cui risposta è banale, ma io non la penso così. 

Per dimostrare ciò che intendo proverò a chiarire  la domanda. Per esempio, nel metaverso un avatar può insultare un altro avatar? Lo può minacciare? Può commettere un furto? Può commettere degli atti che nel mondo reale sono considerati dei crimini, come per esempio un'aggressione, uno stupro, un atto di pedofilia? 

Come vi ho già detto all'inizio, potrebbero sembrare domande banali dalla risposta logica o immediata, ma forse non sempre è così.

Qualcuno potrebbe rispondermi che non ha senso proibire degli atti compiuti da avatar verso avatar. Non si tratta di persone! Eppure, gli avatar sono scelti a somiglianza di chi li crea, spesso ne hanno le fattezze, le caratteristiche psicologiche principali, ne imitano il comportamento... 

Ma questo non è un motivo sufficiente, mi si dice dalle quinte. Concordo.

Ma che dire del fatto che dietro un avatar c'è una persona reale? Con le sue paure, le sue debolezze, i suoi istinti e soprattutto un cervello impegnato a elaborare quanto gli accade intorno, che si tratti del mondo reale o di quello virtuale in cui il suo "altro io", il suo avatar, si trova.

Ora, supponiamo che una persona particolarmente fragile nel mondo reale, subisca un'aggressione al suo avatar nel mondo virtuale, e al suo "rientro nel mondo reale" decida di suicidarsi. 

Qualcuno deve rispondere della sua morte o è stato un semplice incidente?

Qualcuno potrebbe dire che queste cose non accadono, gli avatar si comportano bene. A chi la pensa così invito a leggere questo articolo, su un rapimento di avatar nel metaverso, compiuto ai danni dell'avatar di una ricercatrice che stava studiando il comportamento umano nell'ambiente virtuale... la cosa positiva è che la ricercatrice non si è suicidata, ma questo non significa che ciò non possa accadere a persone particolarmente fragili.

Ma facciamo una altro esempio: che succede se nel metaverso si facesse propaganda politica il giorno prima delle elezioni? Si commette un reato? E se di reato si tratta, chi lo commette, l'avatar o il suo "doppio" umano? E nel caso che l'uomo dietro l'avatar non esista, magari perché si tratta di un avatar prodotto da una intelligenza artificiale, allora chi è l'eventuale colpevole? Il proprietario della piattaforma virtuale? Come ho detto prima non ho una risposta. 

Altro esempio: che succede se un disabile, magari senza gambe a causa di un incidente, trovasse più interessante restarsene attaccato ad una consolle, con un casco indossato, che gli permette di vivere una "vita virtuale" in possesso di entrambe le gambe? E' da considerarsi una cosa buona o cattiva? Sinceramente non vi saprei dire, ma è ciò che vogliamo?

Che succede se un avatar decide di vendere una sua proprietà, magari un'opera d'arte digitale ad un altro avatar? Per lo scambio può usare una moneta elettronica che poi l'essere umano può cambiare in valuta reale. Nessuno di voi ci vede la possibilità di riciclare del denaro sporco? Sono forse l'unico?

Passiamo ad un altro, ultimo esempio. Cosa succede se si utilizza il metaverso e dunque ambienti e avatar per compiere atti di spionaggio? Immaginate quante possibilità di scambio di informazioni possono esserci oltre a quelle già oggi esistenti.

Se ci pensate un attimo, di situazioni simili ne possiamo trovare quante ne vogliamo.

Ho provato a fare dei semplici esempi di situazioni che potrebbero essere considerate al limite, ma vi ricordo che oggi sono pochi gli utenti di questi mondi virtuali per cui sono poche le possibilità di incidenti, ma un giorno, almeno secondo gli investitori, saranno in tanti ad usare il metaverso, come oggi sono in tanti ad utilizzare i social network. 

Ecco perché occorre iniziare a pensare a quali comportamenti sono ammessi e quali no e a cercare di prevenire effetti potenzialmente dannosi per il singolo e per la società.

E non abbiamo ancora parlato di rischi cyber!

Il metaverso è uno spazio creato dall'uomo, in cui l'uomo, attraverso il suo avatar, avrà la possibilità di muoversi, vivere, compiere atti di tutti i tipi. Atti che avranno indubbiamente dei risvolti sia nel mondo virtuale sia nel mondo reale, Ecco perché é importante capire quali siano queste interazioni e quali siano i rischi possibili per il singolo e per la società nel suo complesso.

Meditate gente, meditate!

Alessandro Rugolo

Per approfondire:

Researcher Says Her Avatar Was Raped on Meta's Metaverse Platform (businessinsider.com) 

Il Metaverso è oramai una realtà: quali sfide ci attendono? - Difesa Online

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: On the Radar: Securing Web 3.0, the Metaverse and beyond

e-privacy XXX — Sospendiamo la privacy (winstonsmith.org)

War games: primi tra i serious games?

(Foto: Patrick Ruestchmann, Maggio 2022)

Qualche settimana fa abbiamo accennato come i serious games (e tra questi i war games) possano aiutare a comprendere ciò che accade agevolando la riflessione e la gestione delle crisi di carattere strategico.

In un articolo letto recentemente, "Guida ai serious game" di Marco Segatto, sono bene illustrati i fini possibili di un serious game. Nello stesso articolo è possibile trovare anche molti esempi di serious game in diversi campi applicativi, quali la sanità, il marketing, temi sociali, formazione e altri. C'è da dire che sono stupito dal fatto che all'interno dell'articolo non si parli di war game.

Sempre per parlare di qualcosa che ho letto recentemente un po' per caso, un interessante articolo sul sito "Game Developer": Serious War Games: Serious as Life and Death. In questo articolo si parla proprio di quale sia l'importanza dei war game, all'interno dei serious game. 

Ed allora parliamo di war game. 

(Rivista Militare: 
Dottrina, intuito e wargaming, una formula da potenziare )

In un articolo di qualche anno fa pubblicato su Rivista Militare, "Dottrina, intuito e wargaming, una formula da potenziare", di Aldo Monsellato, l'autore sostiene che il wargaming sia un ottimo strumento" per coniugare scienza e arte militare". Non può essere certo un caso che l'Esercito Italiano abbia edito la Circolare 7015 in cui descrive i principi e il possibile impiego come supporto alle decisioni e come strumento formativo ed addestrativo. Nella stessa circolate si descrive "Decisione immediata", come strumento utile a "stimolare il talento tattico dei comandanti" e dei futuri comandanti in particolare, che con questo strumento possono sperimentare senza paura di sbagliare l'effetto di decisioni che sul campo potrebbero portare pesanti perdite in termini di vite umane.

Ecco dunque che, senza paura di smentite, i wargame sono a pieno titolo parte dei serious game e forse sono anche i più antichi... basterebbe forse ripensare agli scacchi!

Alessandro Rugolo

Per approfondire:

- Serious games e War games - Difesa Online

- https://www.penseemiliterre.fr/-peut-on-innover-en-matiere-de-doctrine-_772_1013077.html;

- Warfare Development: Making NATO Better — Now and Tomorrow :: JWC - NATO

-  Serious Game Guida 2022: Cosa sono, Esempi, Ambiti Applicazione (projectfun.it)

- La Piccola Armata – Il club di wargame a Torino (wargametorino.com)

- PAXsims | Conflict simulation, peacebuilding, and development (wordpress.com)