GEOPOLITICA DEL MONDO MODERNO

Category archive

Report

L’intelligence ancora una volta tra i banchi universitari: in Calabria il primo corso di laurea in “Intelligence ed analisi del rischio”

INNOVAZIONE/Policy/Report/SICUREZZA di

Rende (Cosenza): – Varie volte, ed a vario titolo, European Affairs si è occupato di intelligence. Abbiamo spesso fatto riferimento alle varie forme, anche registrate storicamente, in cui tale disciplina è ed è stata applicata, discussa e studiata. Ci siamo occupati dello studio dell’intelligence in quanto scienza sociale ed in quanto materia universitaria

“Il Polo di Rende”, sede dell’Università della Calabria

proprio in questo articolo. Bene, l’opera di sdoganamento dell’intelligence quale disciplina di studio – di cui la società non può più fare a meno – continua sempre in Calabria, proprio nella sede dell’Ateneo a cui ci siamo riferiti poco più di un anno fa. L’Università della Calabria, ha infatti inaugurato, ieri 4 luglio 2018, il primo corso di Laurea in Intelligence ed Analisi del Rischio, incardinato nella classe Scienze della Difesa e della sicurezza, presso il Dipartimento di Lingue e Scienze dell’Educazione dell’Ateneo (il leaflet è scaricabile qui) . La Laurea Magistrale in Intelligence e Analisi del Rischio, erede delle precedenti e riuscitissime edizioni del Master in Intelligence (percorso formativo di 2° livello, che continuerà ad esistere) si propone di sviluppare abilità e competenze funzionali a valutare le diverse tipologie di rischio presenti negli aspetti operativi e di localizzazione delle organizzazioni complesse.

In un contesto caratterizzato da processi di despazializzazione e di rispazializzazione, nel quale si intrecciano fitte reti di interdipendenza nei diversi ambiti istituzionali, si producono infatti rischi e minacce per la sicurezza in campi diversi. Lo abbiamo detto anche noi, nei nostri convegni e, e scritto tante volte, ogni giorno, nei nostri articoli. Tale concetto, negli ultimi anni, ha acquisito significati più ampi che interessano la politica, ma anche l’ambiente, l’alimentazione, le comunicazioni, l’intelligenza artificiale, la criminalità. La crescente difficoltà regolativa derivante dall’aumento di complessità della società richiede decisioni rapide ed efficaci. Il nuovo percorso si propone proprio di formare le figure che dovranno raccogliere, selezionare e analizzare informazioni rilevanti proprio in questi delicatissimi processi decisionali. Ma l’intelligence non è solo spionaggio, impermeabili beige, barbe finte o intercettazioni. Esiste, a titolo esemplificativo e non esaustivo, anche una intelligence economica che si affianca alle altre forme di intelligence, e che giova particolarmente anche agli interessi aziendali e finanziari di privati e multinazionali, oltre che strategici e di difesa degli interessi economici di uno Stato.  Quindi, lo studio dell’intelligence non è solo una questione per pochi e selezionati addetti ai lavori. La materia merita certo l’attenzione di addetti ai lavori ed esperti, ma anche di studiosi e di studenti e di chiunque voglia avvicinarsi al mondo del lavoro con un background ed una preparazione diversi, multidisciplinari, e per questo open-minded e flessibili.

Un momento della presentazione del corso, presso l’aula “Andreatta” dell’Università della Calabria

Il corso è stato presentato nella prestigiosa sala stampa dell’Aula Magna “Beniamino Andreatta” dell’Università della Calabria. I lavori sono stati presieduti dal direttore del Dipartimento di Lingue e Scienze dell’Educazione, Roberto Guarasci, che ha sottolineato come “il corso di Laurea in Intelligence è il risultato della collaborazione di tre Dipartimenti con competenze diverse che integrano i saperi umanistici con quelli scientifici per rispondere alla complessità di questo tempo”. Il magnifico rettore dell’Ateneo calabro, Gino Mirocle Crisci, nella circostanza, ed a sostegno della bontà dell’iniziativa scientifica, ha riferito ai cronisti di aver “maturato il convincimento dell’utilità dello studio dell’intelligence nelle università italiane poiché riguarda la conoscenza che è prerogativa delle Università. Parlare di intelligence significa offrire ai nostri studenti una maggiore consapevolezza di quelli che saranno gli eventi futuri e quindi aumentare le opportunità”. Il rettore ha poi ricordato che questo nuovo corso di laurea si inserisce nella fase di crescita dell’ateneo calabrese che proprio ne giorni scorsi ha ricevuto un significativo riconoscimento da parte del CENSIS che lo ha considerato il secondo ateneo d’Italia tra quelli collocati tra i 20 e 40 mila iscritti. Francesca Guerriero, vice direttore del Dipartimento di Ingegneria Meccanica, Energetica e Gestionale – anch’esso coinvolto nell’iniziativa formativa –  ha sostenuto che il  contributo del suo Dipartimento “riguarderà l’analisi del rischio poiché sarà importante l’utilizzo di tecniche che consentano di prendere decisioni in condizioni di grande pericolo e in un ambito di sistemi complessi. Sviluppare la capacità di prevedere queste situazioni è un aspetto fondamentale del corso in Intelligence”. Anche Franco Rubino, direttore del Dipartimento di Scienze Aziendali e Giuridiche, ha sottolineato il raccordo con il mondo del lavoro, tenendo conto degli aspetti legati all’intelligence economica che è sempre più strategica per gli Stati. Per Piero Fantozzi, professore di Teorie della regolazione e della sicurezza, “il tema dell’intelligence è relativo al contesto in cui questa scienza si esplica ed è poi intimamente collegato alla sicurezza della comunità”.

Ha chiuso la presentazione Mario Caligiuri, direttore del Master in Intelligence, per il quale “questo primo corso di

Da sinistra, Francesca Guerriero, Mario Caligiuri, Gino M. Crisci, Roberto Guarasci, Franco Rubino e Piero Fantozzi.

laurea in Italia è il frutto di un percorso scientifico e culturale iniziato circa venti anni fa e che ha visto il coinvolgimento di intellettuali, studiosi e uomini dello Stato di grande rilievo. Questa iniziativa oggi intende essere un laboratorio di sperimentazione che intende aprire una riflessione sui saperi del XXI secolo, rappresentando un punto di incontro tra discipline scientifiche e umanistiche. L’intelligence è il tempo del futuro e consente l’interpretazione del presente, essendo uno strumento indispensabile per cittadini, imprese e Stati per comprendere la realtà offuscata dalla disinformazione”. 

A Mario Caligiuri, professore, giornalista ed attivissimo scrittore, si deve proprio il merito, l’idea ed il plauso di aver studiato l’intelligence, per la prima volta in Italia, da vari punti di vista e sotto diverse prospettive, in funzione di contrasto al crimine, nei rapporti con le differenti scienze sociali, con la magistratura e le forze di polizia, sotto gli aspetti della cybercriminalità e della geopolitica, fino a giungere ad una intelligence che soccorra i governi per arginare gli aspetti più pericolosi del traffico di migranti e dell’immigrazione irregolare ed incontrollata, in quanto fenomeni criminali (e ovviamente non in chiave politica). E, sicuramente, ne vedremo ancora delle belle….

Alla conferenza stampa ha partecipato anche una delegazione del Liceo Classico “Campanella” di Reggio Calabria, guidata dalla dirigente Maria Rosaria Rao, che sta svolgendo con l’Ateneo di Arcavacata un innovativo progetto sull’educazione all’intelligence. Ed anche questo è un segnale importantissimo.

Una prospettiva del “campus” dell’UniCal

Se ogni cittadino, sin dalle ultime fasi dell’adolescenza, fosse informato davvero sui principali aspetti – anche solo basilari – della sicurezza non potremmo che trarne tutti beneficio. Cittadini più attivi e più attenti a determinati particolari potrebbero contribuire ad un maggior senso si responsabilità collettiva, anche non necessariamente arruolandosi in un’agenzia governativa.  La cultura dell’intelligence e, più in generale, della sicurezza, non può non tradursi anche in una società più sicura. Una società più sicura – o, quanto meno, con una percezione di sicurezza più elevata – non può non essere una società più ricca, più attiva e più protagonista nelle sfide sociali ed economiche che la attendono.

Il corso di laurea di cui abbiamo parlato, insieme agli altri percorsi simili ideati dal professor Caligiuri e dal suo Ateneo, contribuiscono sicuramente a dotare l’Italia di professionisti migliori e di una società migliore.

Giornalista uccisa a Malta: l’OSCE e l’UE impegnati nei diritti umani, nella libertà di stampa e di espressione.

È stato comunicato ufficialmente oggi dall’OSCE che la 19esima conferenza sull’Open Journalism in Asia Centrale (che si terrà a Tashkent dal 17 al 19 ottobre), verrà presieduta dal Rappresentante dell’OSCE per la libertà di stampa, Harlem Désir, che ricopre questo incarico dal luglio scorso. La conferenza sull’Open journalism nell’Asia Centrale si tiene ogni anno e garantisce un form per la discussione di questioni relative alla libertà di espressione ed integrai

(fonte www.osce.org)

doveri istituzionali dell’OSCE nello specifico settore, ovviamente in territorio centroasiatico. Désir incontrerà nella circostanza alti funzionari degli Stati aderenti e rappresentanti della società civile e dei media per discutere, in particolare, dello stato della libertà di stampa in Uzbekistan ed in tutte le aree di competenza dell’OSCE. Ma oltre alla rappresentativa uzbeka, lo stato dell’arte in materia verrà discusso in questi due giorni da oltre 100 partecipanti, tra cui attori istituzionali, giornalisti ed accademici provenienti da Kazakhstan, Kyrgyzstan, Tajikistan e Turkmenistan, con rappresentanti provenienti persino dalla Mongolia ed altri esperti internazionali. Il Rappresentante OSCE ha il compito di monitorare gli sviluppi della libertà di stampa e di espressione presso i 57 Stati membri dell’OSCE e di denunciare le violazioni in tali settori, indicando anche quali siano le prescrizioni dell’OSCE in materia. E proprio oggi, per esempio, ha chiesto alle autorità maltesi di indagare velocemente sull’omicidio di Daphne Caruana Galizia, giornalista uccisa in questi giorni sull’isola. Nel formulare le sue condoglianze alla famiglia, Désir si è detto “profondamente scioccato ed offeso dall’omicidio” della giornalista, che ha definito “fiera, investigatrice e coraggiosa”, ed ha chiesto che tutto il mondo conosca chi ne ha cagionato la morte.

Daphne Caruana Galizia (fonte www.wikipedia.it)

La collega era infatti autrice su Malta Indipendent, e scriveva su un suo blog personale. È  morta questo lunedì (16 ottobre) pomeriggio in una macchina appena noleggiata, che è esplosa con lei a bordo: aveva denunciato di essere stata minacciata di morte due settimane prima. Già da febbraio – si legge in una nota dell’OSCE – l’ufficio del Rappresentante per la libertà di stampa aveva invitato le autorità maltesi a proteggere la giornalista e la libertà di stampa, in generale. È pur vero che lo stesso Rappresentante – cha ribadito come “silenziare i giornalisti uccidendoli sia un fatto inaccettabile” ha apprezzato sin da subito le indagini immediatamente avviate dagli inquirenti della polizia maltese ed ha ulteriormente espresso apprezzamento per il fatto che il Primo Ministro Muscat e le altre autorità abbiano immediatamente condannato l’attacco. Non esistono delle stime ufficiali e universalmente condivise sullo stato della libertà di stampa nel mondo. Annualmente l’organizzazione Reporters san frontières stila una classifica di 180 Paesi: quest’anno l’Italia si è classificata solamente al 52° posto. Ma come vengono compilati questi elenchi? Ce lo spiega in un suo articolo di aprile u. s. la giornalista de La Stampa Nadia Ferrigo. L’ONG per giornalisti invia ai suoi partners dei questionari da compilare in merito a  “pluralismo, indipendenza dei media, contesto e autocensura, legislatura, trasparenza, infrastrutture e abusi”. All’ultimo posto? Ovviamente la Corea del Nord, di cui abbiamo svariate volte esaltato le prodezze geopolitiche su questa rivista. Ma come mai l’Italia è in una zona quasi di pericolo? Parrebbe che i giornalisti si sentano in parte minacciati dalla pressioni politiche, ed optino talvolta per non esprimersi. La colpa, sembrerebbe, è da attribuirsi ad alcuni partiti populisti, che hanno assunto talvolta posizioni anti-media. Ma per correttezza (e non per paura) preferiamo non entrare nella discussione politica.

Harlem Désir, rappresentante OSCE per la libetà di stampa (fonte www.OSCE.org)

Apprezziamo invece il lavoro dell’OSCE e ci rammarichiamo davvero per la scomparsa di una collega, vittima della sopraffazione e dell’ignoranza che, purtroppo, non hanno bandiera e non hanno colore. Anzi: forse hanno proprio tutte le bandiere e tutti i colori. Alla sua famiglia ed ai suoi colleghi, le espressioni più sentite della redazione di European Affairs.

Ci fa piacere e ci entusiasma, invece, come proprio oggi anche l’UE abbia ribadito l’importanza dei diritti umani e, tra questi, quello ad esprimersi liberamente. Il Consiglio “Affari esteri”, in data odierna, ha discusso infatti della politica dell’UE in materia di diritti umani e delle modalità migliori per promuoverli nei contesti bilaterali e multilaterali. L’Istituzione europea ha ribadito l’impegno dell’UE a promuovere e proteggere i diritti umani ovunque nel mondo, adottando conclusioni sulla revisione intermedia del piano d’azione per i diritti umani e la democrazia. Ha adottato anche la sua relazione annuale sui diritti umani e la democrazia nel mondo nel 2016. Ma questa è (anche) un’altra storia.

NotPetya, un altro attacco ransomware?

INNOVAZIONE/Report di

Durante la giornata del 27 giugno è iniziata la diffusione di un nuovo ransomware, variante di Petya, malware già diffuso in passato, e ribattezzato Petrwrap o anche NotPetya e Nyetya. Alla base del rapido contagio, ancora una volta ci sarebbe il protocollo di rete SMB sfruttato dall’exploit Eternalblue, salito alle cronache perché sviluppato in ambienti NSA ma poi diffuso globalmente in un’azione di ricatto da parte del gruppo ShadowBrokers (che intanto sono i protagonisti di alcune news thehackernews.com/2017/06/shadowbrokers-nsa-hacker.html) , tanto da fungere da base per il massiccio attacco ransomware iniziato il 12 maggio e denominato Wannacry (per approfondimenti Wannacry1, Wannacry2).

Una novità di NotPetya è, però, il suo lavoro “orizzontale”: una volta contagiata la prima macchina attraverso un allegato e-mail o l’aggiornamento del software MeDoc, applicazione contabile sviluppata e diffusa in Ucraina, il ransomware utilizza i tool di serie Windows PSEXEC e WMIC che permettono la propagazione attraverso le reti interne, rendendo i terminali di un’azienda (connessi spesso a reti aziendali) particolarmente a rischio. Per ora questo sembra il canale principale di diffusione del malware.

Inoltre NotPetya ha un comando standardizzato per criptare il Master File Table, una tabella strutturata in blocchi che contiene gli attributi di tutti i file del volume, inclusi i metadati, e rende il MBR, cioè l’insieme dei primi comandi del PC all’avvio, ineseguibile.

Come tutti i ransomware, anche NotPetya chiede un riscatto, generalmente di 300$, da versare sul portafoglio 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX, su cui ad oggi sono stati versati meno di 10000 euro. Dopo il pagamento, l’utente deve inviare una mail con il proprio ID Bitcoin e la propria chiave di installazione fornita dal malware ad uno tra gli indirizzi qui indicati per ricevere la propria chiave di decriptazione:

wowsmith123456@posteo.net

iva76y3pr@outlook.com

carmellar4hegp@outlook.com

amanda44i8sq@outlook.com

gabrielai59bjg@outlook.com

christagcimrl@outlook.com

amparoy982wa@outlook.com

rachael052bx@outlook.com

sybilm0gdwc@outlook.com

christian.malcharzik@gmail.com

Alcuni degli indirizzi sono stati disabilitati dai provider poco dopo l’inizio dell’attacco rendendo de facto impossibile la decrittazione. Per questo si consiglia a chi avesse ancora il proprio terminale encrypted  di non pagare il riscatto ma di aspettare che venga diffuso un valido decryptor.

Per le macchine non ancora infettate si suggerisce il local killswitch condiviso da molti esperti: creare il file perfc (per precauzione anche perfc.dll e perfc.dat) nella cartella C:\Windows e bloccarne la scrittura e l’esecuzione (sola lettura) disattivando il vettore WMIC. Parallelamente rimane necessario l’aggiornamento con la patch MS17-010 che impedisce l’exploit di SMB. Nel caso, però, in cui NotPetya dovesse essere riprogrammato tali soluzioni non sarebbero più efficaci. Intanto, sembrerebbe che uno degli autori, firmato Janus, del ransomware originale Petya abbia offerto attraverso un comunicato il proprio aiuto alle vittime di NotPetya.

Il contagio sembra essere iniziato in Ucraina e Russia, in cui numerose aziende elettriche, di trasporti (anche pubblici), aeroporti, la Banca Centrale Ucraina, i sistemi della centrale di Chernobyl, la Rosneft hanno subito attacchi. Il malware si è poi diffuso soprattutto in Danimarca, Olanda, India, Spagna, Francia, Regno Unito, USA. Ad oggi non si segnalano casi significativi di infezione in Italia.

Passando alla motivazione e alle responsabilità dell’attacco, questi sono i punti di maggiore interesse:

  • L’attività di ricatto è durata un tempo limitato e ha permesso ai detentori del portafoglio Bitcoin un guadagno risicato.
  • E’ stato utilizzato un solo portafoglio e, quasi esclusivamente, un solo indirizzo mail facendo sì che disattivata la mail tutta l’attività di money-collecting è stata interrotta.
  • MBR non viene sostituito ma sostanzialmente eliminato rendendo la macchina inutilizzabile.

Tutto ciò ha fatto supporre che NotPetya non fosse un attacco ransomware per il guadagno di denaro, ma un vero e proprio attacco distruttivo con obiettivi primari e secondari, false flag e una cortina fumogena entro cui operare.

L’Ucraina ha da subito colpevolizzato la Russia ma ad oggi nessuna pista è stata confermata né dalle autorità né dagli esperti. Il sentiment comune è che non si tratti più di semplice cyber-crime ma di un atto di forza distruttiva. Bisognerà capire quali tra gli innumerevoli terminali colpiti, fosse il target primario.

 

NOTPETYA UPDATE: Continuano gli aggiornamenti sul vasto attacco malware denominato NotPetya iniziato il 27 giugno. Si fa sempre più realistica l’ipotesi di un attacco distruttivo premeditato e non di un ransomware come inizialmente si era pensato. Un wiper, quindi, (un malware per la distruzione dei dischi) nascosto dalla cortina fumogena del ransomware simile a Wannacry. Di conseguenza, gli esperti si stanno interrogando su due principali elementi:

  • Responsabilità: l’ipotesi di wiping implica che non vi fosse un obiettivo né di guadagno diretto, né di sottrazione di dati come poteva essere in caso di espionage o identity-fraud. L’ipotesi state-sponsor sarebbe quella più plausibile secondo molti analisti. Identificare il responsabile permetterebbe con un’analisi top-down di capire quale fosse il bersaglio.
  • Obiettivi: il wiper ha colpito nel mucchio rendendo difficile la comprensione su chi fosse il primary target dell’attacco. E’ necessaria un’analisi orizzontale per poi risalire alla responsabilità con un approccio bottom-up.

In sede NATO, la risposta è stata dura. Le analisi svolte dal Centro d’Eccellenza di Cyber Defence a Tallin, hanno evidenziato che l’origine dell’attacco sia da ricercare in uno stato, o in un gruppo non statale sponsorizzato da uno stato. L’attacco, se provocasse danni paragonabili ad un attacco armato, si potrebbe considerare, quindi, come un atto di guerra a cui rispondere appellandosi all’articolo 5 del Trattato. Quello che invece ventila la NATO è un contrattacco cyber per sabotare lo stato sponsor di NotPetya. Infine, gli analisti sottolineano che gli autori di NotPetya non sarebbero gli stessi di Wannacry. Chiaramente, finché luce non verrà fatta sulle responsabilità del malware, nulla di questo accadrà.

In Ucraina, il servizio di sicurezza SBU ha avviato un’indagine congiunta con Europol, FBI e NCA (UK), denunciando l’atto come cyber-terrorismo, per la quale sono stati sequestrati i server di Me.Doc, l’applicazione di contabilità che si pensa abbia dato inizio al contagio. Da sottolineare che dopo l’attacco molti politici e figure di spicco dell’amministrazione ucraina avevano incolpato la Russia per l’attacco. A sostegno di questa tesi per ora ci sarebbe un indizio: la somiglianza con l’attacco “BlackEnergy” contro la rete elettrica ucraina attribuita e con l’attacco “Telebots” entrambi attribuiti ad hacker russi. Tutti e tre utilizzerebbero alcuni tool (KillDisk, Mimikatz, PsExec, WMIC) caratteristici.

 

Lorenzo Termine

Cyber-security, il ruolo dell’Italia dopo il G7 – Convegno

INNOVAZIONE/Report di

La scorsa settimana un’importante convegno organizzato dalla Fondazione Luigi Einaudi si è tenuto al Centro Studi Americani. Il titolo dell’incontro era “Il ruolo dell’Italia nella Sicurezza Cibernetica dopo il G7” e vedeva un ricco panel di relatori, provenienti tanto dal settore privato quanto dal pubblico, che ha cercato di analizzare quale ruolo possa ritagliarsi il nostro paese nella cooperazione internazionale e quale sia lo stato dell’arte della Difesa nazionale in materia cyber. Si cercherà di riassumere in questo report le principali posizioni degli esperti.

 

PAOLO COCCIA – Vicedirettore del Dipartimento Informazioni per la Sicurezza (DIS)

Il dott. Coccia ci ha fornito, nel suo intervento, una panoramica de:

  • L’architettura cyber nazionale dopo i recenti interventi legislativi
  • Il quadro internazionale (poi approfondito nei successivi interventi)

Per quanto riguarda il primo aspetto, Coccia menziona i due recenti aggiornamenti della disciplina occorsi con il DPCM Gentiloni (febbraio) e il nuovo Piano Nazionale (giugno). Il primo ha riformato la struttura istituzionale deputata alla difesa delle critical infrastructure nazionali semplificando le procedure e la catena di comando e chiarendo le competenze (per un’analisi più dettagliata del DPCM si veda http://www.europeanaffairs.media/it/2017/04/24/il-dpcm-gentiloni-un-passo-avanti-per-la-cyber-security-nazionale/). Il secondo è nato dalle osservazione delle criticità del primo Piano Nazionale e si concentra su attività specifiche per cui prevede un dettagliato piano d’azione.

Per quanto riguarda il secondo punto, il quadro internazionale, Coccia rileva un buon adattamento dell’Italia agli impegni presi nelle 3 sedi principali:

  • NATO – Cyber pledge
  • UE – Direttiva NIS
  • G7

 

LUIGI DE MARTINO – membro del gruppo cyber G7

L’intervento del dott. De Martino vuole spiegare quale sia il ruolo giocato dall’Italia nella cooperazione internazionale in materia di cyber, la c.d. cyber-diplomacy. L’Italia, secondo De Martino, si sta facendo promotrice di un negoziato multilaterale che crei un Quadro di Norme comuni a livello internazionale almeno in due sedi:

  • OSCE (Organizzazione per la Cooperazione e la Sicurezza in Europa): l’approvazione di 2 set di Confidence Building Measures e la loro valutazione da parte dell’accademia italiana è, secondo il dott. De Martino, un’importante passo avanti.
  • G7: l’iniziativa italiana in ambito G7 nasceva con l’obiettivo di creare un codice di condotta comune per i paesi membri nel cyber-spazio. Tale obiettivo non è stato raggiunto a causa dell’opposizione in sede negoziale dei paesi che già vantano un vantaggio strategico cibernetico e che, ad oggi, non sono disposti a legarsi le mani. E’ stata approvata invece la Dichiarazione di Lucca (disponibile qui http://www.g7italy.it/it/news/i-documenti-del-g7-esteri-di-lucca), legalmente e politicamente non vincolante ma salutata come un importante primo passo internazionale.

GIULIO MASSUCCI – founder e managing director di AVENURE

Primo dei relatori a provenire dal settore privato, il dott. Massucci ci ha fornito una panoramica sull’attività della sua azienda nel cyber-spazio fatta, necessariamente, di defense e offense (hacking). Inoltre, il relatore ha sottolineato l’importanza di un’educazione e di una formazione capillare in materia cyber non solo di personale tecnico ma soprattutto della cittadinanza (giovani in primis) per sviluppare una maggiore awareness nazionale sul tema.

 

ROBERTO BALDONI – direttore del Cyber-security National Laboratory

Il dott. Baldoni, voce autorevole dell’accademia cyber italiana, ci ha aggiornato su quali siano i principali progetti e le principali sfide per la formazione nazionale in cyber-security. I due progetti da lui coordinati, il CIS (Centro di Ricerca di Cyber Intelligence and Information Security) e il Cyber Security National Lab, sono due iniziative importanti a livello nazionale integrate da un percorso di Laurea in cyber-security e, recentemente, da una Cyber-challenge nazionale per la ricerca di eccellenze nel campo. Si segnala però una limitata diffusione sul territorio nazionale di iniziative del genere, per ora concentrate quasi esclusivamente nella capitale. L’accademia gioca un ruolo fondamentale per la creazione di un Ecosistema Cyber Nazionale, cioè un sistema di trasferimenti tecnologici tra accademia appunto, settore pubblico e industria senza soluzione di continuità.

 

PIERLUIGI PAGANINI – membro del gruppo cyber G7

Il dott. Paganini, rinomato esperto in materia cyber e autore del sito securityaffairs.co, ha fornito le basi per capire i cleavages più importanti in ambito di cyber-war. Le due sfide principali che oggi ci si pongono nel dominio cyber sono:

  • Il numero di minacce crescenti (aspetto quantitativo)
  • Il livello di sofisticazione crescente (aspetto qualitativo) per cui è sempre più difficile individuare effettivamente la minaccia (molte volte essa non viene neanche riconosciuta) e, successivamente, riuscire ad attribuirla ad un attore.

In sede G7, un passaggio fondamentale è stata la previsione di una possibile risposta bellica convenzionale ad un attacco cyber.

Per quanto riguarda le armi del dominio cibernetico (le cyber-weapons) Paganini nota come una loro definizione univoca non sia ancora stata data a livello internazionale creando confusione e ambiguità. Quelli che sono chiari invece sono i vantaggi nello sviluppo di una cyber-weapon per un attore statuale (e non):

  • Difficoltà nell’attribuzione
  • Costi minimizzati
  • Possibilità di sviluppo e armamento in maniera celata e segreta

A tali vantaggi, si aggiunge anche un aumento esponenziale dei soldati del dominio cyber, gli hacker, che oggi offrono le proprie competenze criminali al miglior offerente per un costo sempre più basso.

 

PIERLUIGI DAL PINO – direttore del Dipartimento Relazioni Istituzionali di Microsoft Italia

Secondo relatore dal settore privato, il dott. Dal Pino introduce un tema fondamentale: la partnership pubblico/privata e gli sforzi di un player rilevante come Microsoft per la propria e dei propri clienti sicurezza informatica. Un concetto sul quale il relatore si è concentrato è la c.d. Digital Geneva Convention, un’iniziativa proposta da Brad Smith, CEO di Microsoft con queste parole: “E’ giunto il momento di chiamare i governi di tutto il mondo a unirsi, ad affermare le norme internazionali sulla cybersicurezza che sono emerse negli ultimi anni, ad adottare norme nuove e vincolanti e a mettersi al lavoro per la loro attuazione”. Tale iniziativa poggia, secondo le parole di Dal Pino, su alcuni principi fondamentali:

  • Impegno degli Stati a rinunciare alle azioni offensive nel dominio cyber. Con questo impegno però gli Stati dovrebbero anche interrompere il finanziamento e il supporto dati a chi produce cyber-weapons.
  • Non proliferazione delle cyber-weapons
  • Impegno del settore privato (c.d. Tech-accord) per l’elaborazione di regole di cooperazione e norme di condotta delle aziende.
  • Nascita di un’organizzazione mondiale per la risoluzione delle controversie.

 

MARCO RAMILLI – founder di Yoroi

Il concetto su cui Marco Ramilli fonda il suo intervento (e ha fondato Yoroi) è quello di passaggio da Protezione a Difesa nel cyber-space. La Protezione è intesa come attività di salvaguardia di oggetti e soggetti in maniera reattiva, la Difesa come attività di salvaguardia di oggetti e soggetti in maniera proattiva. Tale cambiamento servirebbe a mettere in sicurezza le infrastrutture critiche di uno Stato come di un’impresa.

 

Uno scenario quindi che si trasforma vorticosamente e verso il quale l’Italia deve agire in maniera sincretica sul versante interno (aggiornando costantemente le proprie procedure) e sul versante esterno (promuovendo e adeguandosi alle iniziative internazionali di cooperazione) con la consapevolezza che altri stati, anche nostri alleati, hanno già sviluppato sistemi di arma cibernetici offensivi e difensivi.

 

Qui il video completo dell’iniziativa: https://www.radioradicale.it/scheda/511569/il-ruolo-dellitalia-nella-sicurezza-cibernetica-dopo-il-g7

 

Lorenzo Termine

Wannacry, Antipublic e Cyberwar: le notizie della settimana

INNOVAZIONE/Report di

WANNACRY UPDATE

Summary:

  • Nonostante la minaccia Wannacry 1.0 sia stata archiviata, l’utilizzo di migliaia di server in giro per il mondo senza patch rende facile ai cyber-criminali una serie di nuovi attacchi.
  • La maggior parte di essi si basa su vulnerabilità scoperte ed exploit elaborati dal NSA o da gruppi ad esso collegati. Ciò risponderebbe ad un preciso intento di sabotaggio contro l’agenzia americana da parte del gruppo The Shadow Brokers (o dei loro mandanti).
  • A partire da giugno inizierà un’azione di rivelazione mensile di exploit da parte di TSB che potrebbero compromettere altri migliaia di sistemi.
  • La best practice rimane l’update regolare dei propri sistemi e l’attenzione agli alert dei provider di sicurezza informatica.

Continuano gli aggiornamenti su Wannacry, il ransomware che ha colpito circa 200mila sistemi in tutto il mondo. La versione iniziale del malware era stata arrestata dall’attivazione del killswitch (si rimanda all’analisi precedente per i dettagli www.europeanaffairs.media/it/2017/05/15/wannacry-il-malware-che-ricatta-il-mondo) ma da subito era circolata la voce di una versione 2.0. In realtà sembrano circolare diversi malware che sfruttano la stessa vulnerabilità di Windows (CVE-2017-0144), singolarmente o insieme ad altre, e che possono essere considerati successori del ransomware. Tra gli altri:

  • Una versione molto simile di Wcry è quella scoperta e arrestata da Matt Suiche, grazie ad un killswitch nel codice (un ping ad un dominio non registrato) simile alla versione 1.0.
  • Altri malware, Adylkuzz a.k.a BlueDoom e UIWIX, sono in circolazione ma non hanno la stessa diffusione. Si segnala, però, che la diffusione del primo potrebbe essere sottostimata lavorando in background sui terminali per il mining di Monero (cryptovaluta alternativa a Bitcoin).
  • Di diversa natura, pur sfruttando la stessa vulnerabilità (insieme ad altre 6), sarebbe EternalRocks (a.k.a. MicroBotMassiveNet), worm scoperto dal CERT croato. Anche questo worm utilizza exploit di provenienza NSA, gettando benzina sull’infuocato dibattitto circa il VEP, il complesso di parametri delle agenzie americane che porta alla non rivelazione di una vulnerabilità scoperta, e in generale sull’attività cyber delle agenzie USA. Per ora il CERT italiano stima che la capacità di individuazione del malware da parte degli antivirus è molto alta. A differenza di Wcry, EternalRocks, però, non avrebbe killswitch.

Un ulteriore update è quello su Wanadecrypt (poi aggiornato da Wanakiwi), due tools sviluppati per permettere agli utenti di decriptare i file colpiti da Wannacry. Entrambi sono stati rilasciati su GitHub (il secondo si trova qui https://github.com/gentilkiwi/wanakiwi/releases)

Per quanto riguarda l’attribuzione di Wannacry, nell’ultima settimana è circolata la voce (Symantec) che fosse riconducibile alla Corea del Nord. Si citano, infatti, somiglianze tra il codice di Wannacry e quello di Contopee, backdoor utilizzata da Lazarus, gruppo autore dell’attacco a Sony e alla Banca centrale del Bangladesh (81 milioni di $ di bottino) e sospettato di essere vicino al regime nord-coreano (caso The Interview). Per ora non ci sono certezze sull’attribuzione e molti esperti chiamano alla prudenza perché “l’utilizzo di componenti o porzioni di codice presi da altri malware può significare semplicemente che gli autori del ransomware hanno preso una “scorciatoia” utilizzando il lavoro di altri o addirittura lo stanno usando come “false flag” per depistare chi indaga sull’attacco”. Non bisognerebbe, quindi, confondere quello che potrebbe essere semplice cyber-crime con cyber-war.

Fonte di preoccupazione poi sono le recenti dichiarazioni di The Shadow Brokers, il gruppo che ha diffuso gli exploit delle vulnerabilità di Windows poi usati per l’attacco Wannacry. Nel loro ultimo comunicato (https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition), annunciano di voler iniziare da Giugno una divulgazione mensile di exploit come atto ostile contro l’attività sommersa dell’Equation Group e della NSA. Le rivelazioni mensili potranno riguardare (secondo le loro parole):

  • web browser, router, handset exploits e tools
  • select items from newer Ops Disks, including newer exploits for Windows 10
  • compromised network data da SWIFT (il sistema di sicurezza per gli scambi finanziari) e banche centrali
  • compromised network data dai programmi nucleare di Russia, Cina, Iran, o Nord Corea. Secondo quelli che ritengono TSB vicino all’intelligence russa questa sarebbe un’azione di depistaggio.

Tutto ciò potrebbe essere evitato se gli stakeholder (i giganti tech e le agenzie di intelligence presumibilmente) decidano di acquistare le informazioni in mano al gruppo, che, in quel caso, non avrebbe più incentivi a continuare l’attività e si eclisserebbe.

Secondo gli esperti, però, il problema principale è che gli attori in campo stanno aumentando: sempre più gruppi dimostrano, infatti, di avere tools in grado di sfruttare EternalBlue (per ora sarebbero almeno 3 i gruppi attivi su EB). La proliferazione degli attori con capacità di penetrazione e il simultaneo comportamento imprudente dei cyber-user è un trend pericoloso. Si assisterà, quindi, a nuovi grandi attacchi come Wannacry, almeno finché tale trend non sarà invertito.

ANTIPUBLIC

Si chiama Antipublic, il gigantesco data-leak scoperto dalla divisione cyber di VAR Group e si tratta di 17 gb di materiale diviso in 10 file .txt. In essi sono riportati circa 457 milioni indirizzi e-mail univoci con annesse password (anche più di una), pubblicate in chiaro. Al momento della scoperta, l’archivio girava indisturbato nel deep-web ed è il risultato dell’aggregazione di milioni di credenziali che da tempo circolavano in maniera sparsa. Nel maggio 2017, gli analisti di VAR Group hanno iniziato una fitta operazione di cyber-intelligence per risalire all’archivio, poi, trovato presso un provider russo. È, però, dibattuto se Antipublic incarni un pericolo reale: se alcuni sostengono che il leak, sotto vari nomi e dimensioni, circolasse già da tempo e contenesse materiale datato, altri (in primis gli autori della scoperta) invece ne sottolineano l’importanza, soprattutto perché coinvolge anche il nostro paese. Questi i principali target istituzionali:

  • Vittime in Italia: Forze dell’Ordine e di Polizia, Vigili del Fuoco, Forze Armate, ministeri, città metropolitane, ospedali e università
  • Vittime a livello globale: Casa Bianca, Forze Armate USA, Europol, Eurojust, Parlamento Europeo, Consiglio Europeo

Questa la dichiarazione della Polizia Postale riguardo al dump: “Nonostante si tratti di dati risalenti e, da una sommaria verifica non privi di errori nella indicazione delle caselle e delle password, si consiglia comunque di effettuare, come da prassi comune, il periodico cambio della password di accesso per escludere eventuali intrusioni, utilizzando una combinazione efficace di numeri, lettere maiuscole e minuscole e caratteri speciali.

Si attendono ulteriori aggiornamenti sia dal gruppo di analisi al lavoro sul leak, sia dai commentatori nazionali che ne saggino l’effettivo pericolo.

FOREIGN AFFAIRS “HACK JOB”

Nel numero di questo bimestre (maggio/giugno), Foreign Affairs ha incluso un interessante articolo dal titolo “Hack Job – How America Invented Cyberwar” firmato da Emily Parker (ex funzionario del Dipartimento di Stato di Hillary Clinton). L’articolo è in realtà una review di due libri sulla Cyber-war, “Dark Territory” di Fred Kaplan e “The Hacked World Order” di Adam Segal. Entrambi affrontano (tra gli altri temi) lo spinoso problema del ruolo di aggressore degli USA nel cyber-space. La Parker sintetizza alcuni momenti principali negli ultimi quarto di secolo in cui gli Stati Uniti hanno espletato questo ruolo:

  • PRIMA GUERRA DEL GOLFO (1990-1991): Attraverso un’abile intercettazione satellitare, la NSA era a conoscenza di alcune importanti conversazioni tra Saddam Hussein e i suoi generali in cui venivano rivelate le posizioni dei soldati iracheni. Tutto questo mentre il presidente degli USA non utilizzava ancora il computer.
  • EX YUGOSLAVIA: l’Intelligence americana poté contemporaneamente manipolare l’informazione in Serbia (information-warfare) ed intercettare e neutralizzare le comunicazioni con cui i serbi-bosniaci organizzavano le proteste contro il contingente NATO in Bosnia.
  • SECONDA GUERRA DEL GOLFO (2003-2011): la creazione di una “mini-NSA” in Iraq garantì stabilità ed efficienza all’attività cyber nel paese e in tutto il Medioriente. In particolare l’intercettazione delle comunicazioni tra i ribelli anti-USA ha permesso all’esercito l’uccisione (stime di Kaplan) di circa 4000 individui.
  • PROGRAMMA NUCLEARE IRANIANO (2006-2010/2012): il più importante cyber-attacco della storia è nato e cresciuto tra gli USA e Israele ed è quello contro il programma nucleare iraniano (Operazione Giochi Olimpici & malware:Stuxnet) che secondo ne avrebbe rallentato i progressi di circa 5 anni. E’ considerato il “passaggio del Rubicone” della cyber-war.
  • INFORMATION-WARFARE: in generale gli USA promuoverebbero una vastissima attività di information-warfare sui social-media e sui siti. Gli scenari principali: Russia, Cina, Medioriente.

Per questo, la Parker sostiene che siano stati gli USA ad aver inventato la cyber-war ma che se la prossima guerra si combatterà via etere, l’America dovrà essere pronta e difendere i propri cittadini.

 

Lorenzo Termine

Cyber-security, a che punto siamo? L’analisi di Cisco

INNOVAZIONE/Report di

Decifrare, da un lato, chi siano gli aggressori e quali tecniche siano maggiormente utilizzate oggi e, dall’altro lato, capire il comportamento delle aziende costrette a difendersi nella cyber-arena è l’obiettivo del report analizzato, il Cisco 2017 Annual Cybersecurity Report. Cisco è uno dei maggiori competitor internazionali per la fornitura di infrastrutture di reti e attraverso le sue numerose partecipazioni controlla importanti settori anche nei mercati dell’IoT, del cloud, delle nuove tecnologie. Il report 2017 è diviso, principalmente, in due parti: la prima esamina il comportamento degli aggressori nel cyber-space, la seconda esamina quello di chi difende il proprio business agli attacchi.

INTRODUZIONE

Gli avversari nel cyber-space, oggi, hanno a disposizione una vasta gamma di tecniche per violare le reti e guadagnare l’accesso alle risorse dell’organizzazione e ampliare il proprio spazio operativo. Le loro strategie includono:

  • Guadagnare vantaggi mentre chi si difende è impegnato ad aggiornare le proprie tecniche di difesa (patch e update).
  • Adescare utenti tramite il social-engineering.
  • Distribuire malware attraverso contenitori leciti sulla rete (per esempio pubblicità).

Oltre a queste hanno sviluppato numerose altre tecniche riuscendo ad aggiornare costantemente la qualità e la quantità delle proprie minacce. L’espansione smisurata della superficie di difesa (e quindi di attacco) seguente alla proliferazione di dispositivi mobili always-on e la crescita del traffico online garantiscono agli aggressori una fonte pressoché illimitata di dati e ricchezza. Chi si difende deve quindi imparare a ridurre lo spazio operativo degli avversari e, in questo senso, un concetto (e un metodo) chiave è quello dell’Automazione. Essa, infatti, garantisce agli addetti alla sicurezza di capire quale sia un comportamento normale e quale no, e, di conseguenza, ridurre il tempo di risposta e lo spazio operativo di chi sta attaccando l’infrastruttura. Altro concetto chiave è Integrazione. Continuare a sviluppare o acquistare soluzioni differenziate non facilita l’azione di sicurezza ma, anzi, la complica. Per questo, le organizzazioni devono adottare un approccio integrato che riesca a rendere operativi i processi, le tecnologie e il personale a disposizione.

I professionisti della cyber-sicurezza intervistati da Cisco hanno citato quattro elementi fonti di rischio secondo la propria esperienza: dispositivi mobili, dati nel cloud, infrastrutture cloud, personale, secondo queste percentuali:

Per dare un’idea di quanto il cyber-space e, quindi, la superficie di attacco e difesa si stia espandendo, Cisco ha stimato che, alla fine del 2016, il traffico globale IP abbia superato il confine dello zettabyte (1 miliardo di terabyte) e raggiungerà 2.3 ZB entro il 2020, 95 volte il traffico globale del 2005.

Le indicazioni strategiche di Cisco per le organizzazioni sono, quindi, di:

  • Integrare la propria sicurezza
  • Semplificare le proprie operazioni
  • Affidarsi maggiormente all’automazione

 

IL COMPORTAMENTO DEGLI AGGRESSORI

Dividiamo in 4 fasi principali l’azione di aggressione di un soggetto contro l’infrastruttura informatica di un’organizzazione:

  • Reconnaissance
  • Weaponization
  • Delivery
  • Installation

RECONNAISSANCE

In questa fase gli aggressori scandagliano le infrastrutture target alla ricerca di vulnerabilità che permettano lorodi guadagnare l’accesso alle risorse dell’organizzazione.

Le tecniche per il riconoscimento delle vulnerabilità che sono state maggiormente utilizzate nel 2016 sono le PUA (Potentially Unwanted Applications), come per esempio le estensioni del browser, e i Suspicious Binaries, cioè file eseguibili che distribuiscono spyware o adware.  Seguono i Trojan Droppers, cioè file per l’installazione successiva di un trojan, e le truffe su Facebook (fake offer soprattutto). Questi primi 3 (PUA e SB, TD e Facebook Scam Links) coprono da soli il 49% dei malware più utilizzati nel 2016 precedendo altre 15 tipologie meno comuni. Da sottolineare, però, la crescita della minaccia dei Browser Redirection che espongono il browser a campagne di malvertising (malicious advertising) con cui poi i criminali distribuiscono malware e ransomware. Cisco ha evidenziato come il 75% delle aziende analizzate soffra dei problemi con adware malevoli. Un altro trend degno di nota è l’aumento di malware su Android.

WEAPONIZATION

La weaponization è la fase in cui i malware che garantiscono accesso remoto all’aggressore vengono uniti a contenuti vulnerabili destinati alla diffusione.

Adobe Flash, a lungo fondamentale vettore degli attacchi web, sta oggi perdendo il proprio ruolo grazie anche all’azione di sostituzione che molti web-browser stanno portando avanti. Questo non deve però far abbassare la guardia verso un componente che continua ad essere molto diffuso. Un’azione di costante aggiornamento e pulizia dei plugin del proprio browser può essere fondamentale per ridurre i rischi. Stessa considerazione può essere fatta per Java, PDF e Silverlight.

Ciò che sembra diventare il principale vettore per avere l’accesso alle risorse di un’organizzazione è il cloud o, meglio, la moltitudine di applicazioni che hanno accesso al cloud aziendale. Per quanto riguarda il numero di esse, Cisco riporta che tra l’ottobre 2014 e l’ottobre 2016 esso sia aumentato di circa 11 volte (da 20’400 a 222’000). Per quanto riguarda la loro natura, il servizio cloud di Cisco ha rilevato che il 27% di esse sia da considerare altamente rischioso.

La percentuale di applicazioni rischiose che hanno accesso al cloud dell’azienda è sostanzialmente stabile sia per regioni del mondo sia per mercati (un picco significativo per quanto riguarda il settore finanziario, il 35%).

L’obiettivo della sicurezza dell’organizzazione è di standardizzare le procedure di accesso per poter concentrare la propria attenzione sulle reali minacce. Si compone, quindi, un pattern delle minacce in 3 livelli. Il primo è quello del comportamento standard degli utenti, il secondo è quello dei comportamenti anomali (eccessivi tentativi di login, download o eliminazione di file etc), il terzo è quello delle attività sospette (lo 0,02% del campione di 5000 attività analizzate da Cisco). Solo l’automazione può permettere al personale una corretta valutazione dei rischi.

DELIVERY

Questo paragrafo analizza i modi in cui i malware vengono consegnati al sistema obiettivo. Ciò avviene attraverso email, allegati, siti e altri strumenti estremamente diversi tra loro.

Il 2016 è stato un anno particolarmente intenso per quanto riguarda gli exploit. Infatti se all’inizio dell’anno si contavano almeno 4 exploit kit online che dominavano il mercato, Angler, Nuclear, Neutrino e RIG, alla fine del 2016 solo l’ultimo era ancora attivo. Secondo Cisco, solo per Angler si può supporre la causa della scomparsa: l’arresto del collettivo di 50 hacker russi collegati alla sua diffusione.

Il mercato è, secondo Cisco, oggi nuovamente libero per gli small player che vogliono approfittarne.

Per quanto riguarda gli adware, i cyber-criminali ne fanno uso per:

  • Introdurre pubblicità che possa, in seguito, portare nuove violazioni o aumentare l’esposizione agli exploit kit;
  • Cambiare le impostazioni di browser e OS per diminuire la sicurezza del sistema;
  • Oltrepassare l’antivirus e gli altri sistemi di sicurezza;
  • Guadagnare pieno controllo del computer host;
  • Localizzare e tracciare l’attività dell’utente;
  • Sottrarre informazioni personali.

Il report di Cisco raggruppa gli adware in quattro categorie principali:

  • Ad injectors: generalmente attaccano il browser e infettano tutto il sistema operativo
  • Browser-settings hijackers: cambia le impostazioni del browser
  • Utilities: categoria vasta e in crescita che comprende tutte le web applications che offrono un servizio apparentemente utile (per esempio l’ottimizzazione del PC).
  • Downloaders: questi adware possono scaricare altri software (è il caso delle toolbar)

Cisco ha stimato che il 75% delle organizzazioni studiate sono colpite da infezioni di adware.

Altro metodo di “consegna” delle cyber-weapons usato dai criminali è lo spam. Cisco stima che tra l’ottobre 2015 e l’ottobre 2016, il 65% del volume globale di mail costituisce SPAM, e di questo il 8-10% sia di natura fraudolenta. Parliamo dunque di un’imponente volume di mail inutili o, peggio, dannose. Riprendendo lo studio Composite Blocking List (CBL), il report ci mostra come negli ultimi 5 anni (2012-2017) il volume di Junk Mail sia aumentato vorticosamente, raggiungendo quasi il picco del 2010.

Del totale delle mail spam inviate nell’ottobre 2016, il 75% conteneva allegati dannosi, la maggior parte inviati tramite le botnet gestite da Necurs. L’osservazione di quali estensioni di file vengano utilizzate maggiormente per diffondere malware ci mostra una capacità evolutiva e strategica dei cyber-criminali, che tolgono e reimmettono le estensioni dal “mercato” a seconda della capacità di reazione sviluppata dalla sicurezza dei sistemi. Il trend osservato è, quindi, altamente oscillante. Una particolare attenzione è data da Cisco agli attacchi SPAM denominati hailstorm e snowshoe.

INSTALLATION

La fase di installazione è quella in cui, una volta che il malware è presente sul sistema, garantisce accesso permanente all’avversario, costituendo, ad esempio, un Advanced Persistent Threat (APT), e permette di sottrarre dati, lanciare attacchi Ransomware e arrecare altri danni. È chiaro, quindi, come il fattore fondamentale per gli addetti alla sicurezza sia la velocità di scoperta (Time-to-Detection, TTD) di queste minacce sopite e che per i criminali sia la velocità di evoluzione (Time-to-Evolve, TTE) delle minacce. Cisco fa un’analisi empirica dei due parametri, TTD e TTE, e mostra come il proprio TTD mediano sia costantemente diminuito grazie alle strategie di reazione citate nell’introduzione.

IL COMPORTAMENTO DELLE AZIENDE

Nel 2016, anno di riferimento dell’analisi di Cisco, il numero delle vulnerabilità (per quanto riguarda le vulnerabilità e il processo di disclosure si rimanda ad un contributo precedente http://www.europeanaffairs.media/it/2017/04/19/cybersecurity-le-vulnerabilita-di-sistema-al-centro-del-report-settimanale/) dei propri sistemi scoperte dalle aziende ha subito un significativo declino (16 %). Ciò, però, sarebbe da imputare all’inusuale numero di disclosed vulnerabilities nel 2015 e non ad un effettivo calo di esse. Infatti, fatta eccezione per l’annus mirabilis del 2015, il trend è in costante aumento e dimostrerebbe la crescente attenzione delle aziende alla propria cyber-policy di scoperta e correzione delle vulnerabilità.

Fino alla pubblicazione del report (gennaio 2017), nessuna vulnerabilità era stata al centro delle cronache, fin dal caso Heartbleed (2014). Chiaramente oggi, dopo l’esplosione del caso Wannacry collegato ad una vulnerabilità di Microsoft (Eternal Blue), il quadro è cambiato e verrà analizzato nel report 2018 di Cisco.

Se da un punto di vista quantitativo il trend è costante, da quello qualitativo c’è stato un importante shift. I cyber-criminali stanno puntando sempre di più su soluzioni di aggressione server-side, cioè contro i server aziendali e non i client connessi.

Inoltre, degne di nota sono le crescenti vulnerabilità dovute all’utilizzo di middleware, programmi che servono da intermediari tra diverse applicazioni e software al fine di integrarne le funzionalità. Queste vulnerabilità pongono una minaccia considerevole a causa soprattutto dei meno frequenti aggiornamenti a cui sono soggetti i middleware.

L’attenzione principale dell’analisi di Cisco è però su un altro fattore, il c.d. Time to Patch (TTP), cioè l’intervallo di tempo tra la scoperta di una vulnerabilità e, conseguente, release della patch e l’effettivo update da parte dell’user. Più questa finestra di tempo è ampia, più i cyber-criminali hanno spazio operativo per sfruttare la vulnerabilità. Infatti, se per gli attacker più esperti la soluzione migliore è la ricerca autonoma delle vulnerabilità, per molti altri attacker la release di una patch costituisce l’annuncio della presenza di una vulnerabilità di un sistema che, se non patchato rapidamente, può essere bersaglio di attacchi. Oggi lo sperimentiamo con il caso Wannacry, il ransomware che ha colpito mezzo mondo: la scoperta della vulnerabilità, sembrerebbe, da parte dell’NSA, la divulgazione di essa da parte di Shadowbrokers, la release della patch di Microsoft hanno annunciato al mondo la presenza di una vulnerabilità di sistema significativa. Il mancato update del sistema di molte organizzazioni, imprese e privati è il principale responsabile dei danni causati dall’attacco.

La questione dell’aggiornamento diventa, quindi, cruciale e Cisco individua alcuni fattori che condizionano la propensione degli utenti ad aggiornare i propri sistemi:

  • La regolarità degli aggiornamenti: più gli aggiornamenti sono discontinui, meno gli utenti saranno propensi ad aggiornare il prodotto.
  • L’invasività degli avvisi di aggiornamento: più gli avvisi sono light, meno gli utenti saranno costretti ad aggiornare.
  • La facilità dell’opting-out dall’aggiornamento: più è facile per gli utenti declinare o interrompere la procedura di aggiornamento meno saranno quelli che la completano.
  • La frequenza dell’utilizzo del software da aggiornare.

Il comportamento degli utenti nell’aggiornamento di 2 software diffusissimi (Flash e Chrome sul report sono disponibili anche le statistiche di Firefox, Silverlight e Java) è riassunto in questo grafico:

Osservando l’andamento degli aggiornamenti di Adobe Flash il pattern è il seguente: per il periodo di riferimento (a partire da maggio 2015) entro la prima settimana è, di media, l’80% degli utenti ad aggiornare, seppure con un’oscillazione ampia (67-99 %). Per la vulnerabilità oggetto di patch, gli hacker hanno a disposizione 1 settimana come finestra operativa e per il 20% degli utenti anche più.

Per Chrome il pattern è diverso, quando gli update sono regolari il TTP è circa una settimana, ma gli utenti soffrono molto l’aumento della frequenza delle patch. Infatti tra secondo e il terzo quarto del 2016, in 9 settimane ci sono stati 7 aggiornamenti e una percentuale crescente di ritardi nell’update.

 

 

CISCO 2017 SECURITY CAPABILITIES BENCHMARK STUDY

In questa sezione Cisco analizza la percezione degli addetti alla sicurezza informatica nelle proprie organizzazioni attraverso sondaggi mirati per Chief Security Officers (CSOs) e Security Operations Managers (SecOps).

Nel 2016, il 58% dei professionisti intervistati ha affermato che la sicurezza della propria organizzazione è aggiornata e sfrutta le migliori tecnologie in circolazione. Il 37 % ha riportato di aggiornare le tecnologie di sicurezza in maniera regolare pur non essendo equipaggiate al momento con la migliore tecnologia in circolazione. Stessa fiducia per quanto riguarda la percezione dell’efficacia delle proprie tecnologie sia in un’ottica statica che dinamica. Entrambe le percentuali sono però in calo rispetto agli anni precedenti. Inoltre la percentuale di addetti convinti che i dirigenti della propria organizzazione considerino la sicurezza come una high priority è calata di 4 punti percentuali dal 2014 ad oggi, come anche quella degli addetti convinti che i ruoli e le responsabilità nella sicurezza siano adeguatamente chiariti.

In sintesi, quindi, ancora si respira un clima di sicurezza ma le incertezze stanno crescendo insieme alla consapevolezza dei successi degli attackers e della difficoltà di gestire l’enorme superficie di difesa.

Per quanto riguarda la percezione degli ostacoli, Cisco rileva come la questione budget sia ancora quella più controversa. Il 39 % degli intervistati ha sostenuto che proprio il budget sia l’ostacolo più grande per la sicurezza dell’organizzazione, seguito dalla compatibilità con i sistemi legacy (sistemi e tecnologia a cui vengono destinati investimenti considerevoli pur risultando antiquati) e dalla mancanza di personale adeguatamente addestrato. Quindi, il denaro non è il solo vincolo sperimentato ma è solo una parte del problema, insieme a tempo e talento.

Un dato importante è quello relativo all’integrazione sia in termini di prodotti e servizi per la sicurezza dell’organizzazione sia in termini di fornitori. Infatti il 55% delle organizzazioni utilizza prodotti e servizi da almeno 5 fornitori diversi aumentando esponenzialmente il profilo dell’eterogeneità delle soluzioni (il 10% utilizza più di 20 fornitori). Inoltre, il 65% delle organizzazioni fa uso di più di 5 prodotti per la propria sicurezza informatica (17% più di 25).

La mancanza di integrazione in un contesto così eterogeneo influisce enormemente sui gap di tempo e spazio sfruttati dagli attackers.

Passando sul piano della capacità di reazione agli alert di sicurezza, Cisco rileva che solo il 56% degli alert di sicurezza vengono approfonditi e, di questi, solo il 28% trova una spiegazione. Infine, solo al 46% di questi ultimi viene effettivamente posto rimedio. In termini più semplici, se gli alert sono 5000 al giorno:

  • 2800 alert vengono approfonditi, 2200 no
  • Dei 2800 analizzati, 784 trovano una spiegazione, 2016 no.
  • Di quelli a cui si trova una spiegazione, solo a 360 si pone rimedio, agli altri 424 no.

L’automazione e l’integrazione possono risolvere questo enorme gap dovuto a mancanza di soldi, talento o tempo.

Passando al livello della quantificazione del danno (per cui si rimanda anche ad un contributo precedente http://www.europeanaffairs.media/it/2017/05/06/limpatto-economico-del-cyber-crime/), esso consta di 3 entità: denaro, tempo e reputazione. Il numero di violazioni che sono diventate di dominio pubblico è in crescita. Oggi, il 49% delle organizzazioni esaminate ha subito violazioni che poi sono diventate di dominio pubblico, coinvolgendo quindi tutte e 3 le dimensioni. Questi i settori maggiormente interessati:

In conclusione, per Cisco, le organizzazioni, per creare un ambiente effettivamente sicuro devono fare agire su due dimensioni, drivers e safeguards, qui illustrati:

Ognuno di questi elementi è fortemente interconnesso, in maniera tale che non si possa garantire la sicurezza del proprio ambiente solo con alcuni di essi. Per capire i propri punti di debolezza, gli esperti devono analizzare la propria struttura e capire quali di questi elementi non sia integrato.

Lorenzo Termine

Wannacry, il malware che ricatta il mondo

INNOVAZIONE/Report di

Nella mattina di venerdì 12 maggio, un esteso cyber-attacco ha colpito le infrastrutture informatiche di almeno 74 paesi (c’è chi parla di 99, si rimanda alla mappa interattiva sviluppata da Intel, https://goo.gl/g683We) tra cui, principalmente, Spagna, Regno Unito, Russia, Cina, Ucraina, India, Taiwan, Germania. L’operazione, ribattezzata “Wannacry” dall’estensione del file .wcry all’origine del contagio, comprende circa 100-150 mila (200 mila secondo altri) attacchi in tutto il mondo e rientra nella categoria dei ransomware, i “malware  che  criptano  le informazioni   all’interno   di   un   sistema   informatico   richiedendo   un   riscatto   per   la decrittazione”. A differenza di altri ransomware però, Wannacry prevede un countdown per il pagamento. Se non versata entro 3 gg la cifra è raddoppiata, entro 7 gg i files distrutti irrevocabilmente.

Il decryptor di Wannacry che chiede il riscatto:

La cifra per il riscatto è rapidamente cresciuta passando dai 300 $ iniziali agli ultimi 600 $ da versare su portafogli Blockchain in Bitcoin. Questo aumento è avvenuto prima della data in cui la cifra si sarebbe raddoppiata (3 gg dall’infezione) e quindi, è probabile, che per alcuni il riscatto potrebbe diventare molto più alto (1200 $) dopo il 16 maggio.

Questi gli indirizzi dei portafogli principali su cui viene richiesto di effettuare il pagamento:

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

 

Ad oggi, il denaro versato sui portafogli ammonta a poco più di 40 mila euro e sembra che non siano stati effettuati trasferimenti in uscita da Blockchain.

Qui di seguito l’elenco delle estensioni che il malware cripta:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

 

Quindi si parla di:

  1. Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi).
  2. Less common and nation-specific office formats (.sxw, .odt, .hwp).
  3. Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  4. Emails and email databases (.eml, .msg, .ost, .pst, .edb).
  5. Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  6. Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm).
  7. Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  8. Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd).
  9. Virtual machine files (.vmx, .vmdk, .vdi).

 

L’origine dell’attacco è da ricercare in una vulnerabilità SMB di Windows (Eternal Blue), già ben nota alle cyber-companies globali (https://support.kaspersky.com/shadowbrokers), scoperta e studiata (tanto da programmare un malware capace di sfruttarla) da The Equation Group legato al NSA (sospettato di essere l’autore di Stuxnet), e, intanto, già risolta con una patch di Microsoft (MS17-010, 14 marzo 2017). Non è chiaro ancora come il gruppo sospettato dell’attacco, gli Shadowbrokers, si sia impadronito dell’hacking tool, se attraverso un leak dall’Intelligence americana oppure una disclosure e programmazione indipendente. Le vittime sono, quindi, tutte le macchine che montano versioni di Windows precedenti a Win10 e non hanno aggiornato il sistema con la patch già menzionata.

Per quanto riguarda i target dell’attacco, la notizia principale è la compromissione dei server del National Health System, il sistema sanitario britannico. In particolare, 24 ospedali e pronto soccorso britannici di diverse aree del paese (qui una lista http://news.sky.com/story/nhs-cyberattack-full-list-of-organisations-affected-so-far-10874493 ) sono stati attaccati. Si parla di contagio anche in altri paesi: Spagna (Telefonica, Iberdrola e Gas Natural), Russia (Ministero Interni, Megafon, le banche VTB e Sberbank, tra gli altri), India (Shaheen Airlines), Germania (Deutsche Bahn). In Italia, per ora, si ha notizia solo del caso dell’Università Bicocca. La Polizia Postale ha pubblicato un vademecum per contrastare il malware e non ha escluso che la situazione potrebbe ancora peggiorare.

Il contagio sarebbe terminato quando un ricercatore (twitter username: @MalwareTechBlog) in cyber-security dell’Inghilterra sud-ovest impiegato presso Kryptos Logic ha trovato nel codice di uno dei malware un collegamento con un dominio (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) utilizzato come killswitch dei malware. Si tratta quindi di un tecnico specializzato in botnet che analizzando il codice sorgente di uno degli eseguibili ha trovato un collegamento e lo ha neutralizzato accidentalmente. Il codice esaminato prevedeva che in caso di connessione avvenuta con il dominio, il malware-binary si sarebbe dovuto arrestare. A quel punto, lo ha acquistato (10.69 $) e attivato (la registrazione è a nome di  Botnet Sinkhole). L’idea di base è che i creatori abbiano previsto un interruttore di arresto per i propri malware in caso un dominio impossibile da registrare casualmente fosse stato acquistato e messo online.

Il codice analizzato:

Già si parla però di un Wannacry 2.0, di estensione minore ma basato sullo stesso codice, fatta ovvia eccezione per il killswitch, che starebbe infettando alcuni terminali nel mondo. Si attendono ulteriori aggiornamenti.

Quello che è sicuro finora è che l’evento verificatosi riapre il dibattito sul c.d. Vulnerabilities Equities Process (VEP), “un procedimento interno al Governo USA in base al quale viene valutata la possibilità di tenere riservate o al contrario pubblicare delle vulnerabilità nella sicurezza di un software” (a tal proposito si rimanda ad un contributo passato https://goo.gl/pYNhH2). La domanda fondamentale è: l’intelligence nazionale che scopra una vulnerabilità in un’infrastruttura di interesse collettivo è tenuta ad informare la sicurezza dell’infrastruttura e permettere una patch o un update per rimediare alla falla? Non è un caso che a prendere rapidamente la parola sia stato anche Edward Snowden, il noto whistleblower dell’NSA che aveva rivelato informazioni sul VEP.

Lorenzo Termine

L’impatto economico del cyber-crime

INNOVAZIONE/Report di

La minaccia cyber costituisce oggi un pericolo per molti settori dell’attività economica di un paese. L’analisi di riferimento è la relazione finale del progetto “ecrime – The economic impacts of Cyber Crime”, ricerca finanziata dalla Commissione Europea iniziata nell’aprile del 2014 e conclusasi lo scorso marzo e a cui hanno partecipato esperti da tutto il mondo sia dal settore pubblico che da quello privato. I 5 settori in cui viene valutato l’impatto economico del crimine informatico sono: Salute, Finanza, Retail, Trasporti ed Energia. L’Italia, dal canto suo, ha partecipato con Global Cyber Security Center (GSEC), non profit sponsorizzata da Poste Italiane la cui mission è quella della promozione della cultura della cyber-sicurezza.

INTRODUZIONE METODOLOGICA

Lo scopo della ricerca è quello di qualificare e quantificare i costi sopportati dalle imprese dei 5 settori sopra menzionati per far fronte alla minaccia cyber-criminale. Dividiamo per iniziare i costi in due distinti momenti:

  • Costi di prevenzione
  • Costi di ripercussione

Alla fine del report si terranno in considerazione anche i Costi di Risposta sociale, che cercano di comprendere la totalità dei costi sopportati dalla società per rispondere alla minaccia cyber.

SALUTE

L’adozione e l’utilizzo di tecnologie IC sta velocemente ridisegnando la fornitura di prestazioni sanitarie, soprattutto di primo soccorso. In questo modo viene archiviata una grande quantità di informazioni sensibili dei pazienti, tra cui i risultati delle analisi, le radiografie, la storia clinica dei pazienti e, addirittura, le informazioni di pagamento e fatturazione dei pazienti. Questo archivio viene spesso gestito attraverso il c.d. Electronic Health Record (EHR), in italiano Fascicolo Sanitario Elettronico (FSE), che, di fatto, è un database personalizzato che permette diverse forme di utilizzo. Nonostante non sia ancora diffuso universalmente, l’adozione di questo sistema sta notevolmente accelerando. In Europa sono in testa i paesi del Centro-Nord (con l’aggiunta virtuosa dell’Estonia). A questo punto risulta chiaro come il principale cyber-rischio per il settore Health sia il furto di questi EHR, e più in generale dei dati sensibili archiviati, per scopi fraudolenti (in particolare per il furto di identità).

I costi di prevenzione sono di due tipi: i costi dei servizi e dei prodotti utilizzati e la perdita di produttività collegata all’attività di prevenzione. I primi, con riferimento al settore Health, hanno, in realtà, un impatto moderato rispetto ad altri settori poiché vengono ammortizzati da un utilizzo su vasta scala della tecnologia che riduce, così, il costo unitario e poiché coinvolgono tecnologie estremamente omogenee, quindi singolarmente meno costose. Ad oggi molte aziende del settore risultano impreparate nell’attività di prevenzione delle minacce cyber, ma grazie al generale senso di allerta (e in particolare alla pressione delle associazioni di consumatori) e ad un’opera di elaborazione di linee guida e best practices hanno imboccato la strada dell’aggiornamento delle proprie procedure. In merito al secondo tipo di costi di prevenzione, il progetto ecrime ha individuato un singolare trade-off tra sicurezza e produttività per cui all’aumentare delle misure di prevenzione la produttività diminuisce a causa del minor rendimento orario del personale impegnato nel rispetto di una serie di nuove e, spesso, lunghe procedure.

I costi di ripercussione per il settore della Salute sono più difficile da valutare. Il danno maggiore di un data-breach nel settore Salute, infatti, grava sulle spalle dei pazienti le cui informazioni sono cadute in mano dei criminali. Questo peso viene trasferito sulle spalle dell’azienda solo nel caso in cui la vittima decida di intentare una causa contro questa o la legislazione preveda una serie di sanzioni per non aver rispettato la normativa vigente per la tutela dei dati.

L’analisi empirica compiuta da ecrime project giunge, così, ad una conclusione interessante. Il costo della sicurezza informatica di un sistema EHR (quello, per intenderci, di prevenzione) supera di gran lunga i costi di un data breach all’interno del sistema (quello di ripercussione), non solo in positivo perché la prevenzione costa di più ma anche a causa della perdita conseguente di produttività del personale.

FINANZA

Il settore finanziario è stato uno dei primi a dotarsi di importanti infrastrutture di ICT. La ragione di questa “fretta” è stata quella della riduzione dei costi e dell’aumento dei profitti. Il risultato è stato l’emergere di una pletora di nuovi attori che hanno soppiantato le banche tradizionali nella gestione di una sempre più grande parte dei servizi finanziari. Questo ha trasferito parte delle effettive responsabilità del contrasto al cyber-crime in alcuni settori chiave della finanza internazionale.

La prevenzione nel settore Finance risponde a due ordini di rischi:

  • Mettere in sicurezza l’infrastruttura IT in cui vengono archiviati e processati i dati sensibili
  • Mettere in sicurezza i sistemi di pagamento dei clienti contro le frodi

Operando la stessa divisione usata precedentemente capiamo che:

I costi di prevenzione che implicano l’acquisizione di prodotti e servizi per il settore Finance sono molto alti, puntando, spesso, le maggiori aziende ad avere le migliori soluzioni sul mercato, ben oltre i semplici standard e best practices. Un altro genere di costi di prevenzione è quello legato al trade-off tra sicurezza e convenienza. L’aumento di procedure di sicurezza rende meno snelle le transazioni e quindi, nell’ottica di un consumatore imprudente, meno convenienti.

Per quanto riguarda i costi-ripercussione il primo fatto con cui ci si scontra è la reticenza di molti istituti finanziari a divulgare i propri dati. Essendo dotati di avanzati data centres e alta sicurezza IT, molti istituti finanziari tendono a non rendere pubbliche le informazioni circa le minacce cyber affrontate e i danni subiti. Questo si verifica soprattutto per i data breach, mentre per quanto riguarda le frodi sono disponibili maggiori informazioni. Quello che si evince è che il costo maggiore di ripercussione è legato, se la legislazione nazionale lo prevede, all’obbligo per l’azienda di risarcire il cliente vittima di frode, oppure alla causa intentata dalla vittima al fornitore del servizio finanziario.

Tirando le somme: il settore finanziario è per sua natura un target di cyber-crimine. Davanti a questa minaccia i costi di prevenzione risultano particolarmente gravosi, in particolare per l’acquisizione di assets di sicurezza informatica (servizi e prodotti).  Per quanto riguarda i costi di ripercussione il panorama diventa ancora più critico. Infatti solo le perdite (sia per i clienti che per le aziende) derivanti da truffe legate a carte di credito eccedono le spese di prevenzione in cyber-security. Riferendoci ai soli furti di identità osserviamo, inoltre, come gran parte dei costi derivanti da questo crimine venga sopportato dagli istituti finanziari sotto forma di compensazione ai clienti, con particolare riferimento ai furti di identità nel banking online.

 

RETAIL

Molte imprese che oggi si occupano di vendita al dettaglio, utilizzano il web per la loro attività commerciale. Questo ha fatto sì che, anche nel Retail, le transazioni siano diventate oggetto di attacchi cyber. I principali tipi di attacchi ad oggi sono: phishing e attacchi tramite malware, generalmente per carpire le informazioni dei clienti, e attacchi DDoS contro i siti di web-shopping. Nonostante una gran parte delle imprese di e-commerce utilizzi servizi di pagamento esterni forniti da terzi soggetti specializzati è prassi comune che, superata una certa soglia di transazioni oggetto di truffa, le compagnie di carte di credito facciano gravare sulle imprese il risarcimento del danno subito dai clienti. Per ridurre al minimo il numero di frodi è stato sviluppato il protocollo Payment Card Industry Data Security Standard (PCI-DSS). Questo set di regole e standard può risultare molto difficile da applicare soprattutto per le piccole imprese, tenute ad assicurare il rispetto di procedure particolarmente costose.

I costi di prevenzione per l’acquisizione di prodotti e servizi sono notevolmente variabili. Infatti, data la grandezza del settore del Retail online, le soluzioni sono andate sempre più moltiplicandosi e differenziandosi, tanto che oggi esistono valide soluzioni di cyber-security anche a titolo gratuito.

D’altra misura sono i costi di prevenzione legati alla perdita di produttività, infatti si rileva un chiaro trade-off tra sicurezza dei metodi di pagamento e tassi di conversione (gli indici che misurano l’effettiva decisione di un visitatore di compiere l’azione per cui è stata studiata la strategia di marketing, nel nostro caso è la decisione di acquisto) dell’e-commerce.

Un ulteriore costo di prevenzione deriva dalla valutazione obbligatoria della sicurezza del proprio sistema di pagamento a causa del protocollo PCI-DSS.

Per quanto riguarda i costi di ripercussione, il bilancio diventa spesso critico. Infatti, a seconda del tipo di attacco, distruttivo (DDoS) o information-oriented (malware o phishing), esistono una serie di costi diretti ed indiretti che sembrano gravare tutti sulle spalle dell’impresa di retail. Per gli attacchi DDoS, il costo diretto è il lucro cessante mentre quello indiretto è lo sforzo necessario a riprendere la normale attività del sito target. In merito al secondo tipo di attacco, il costo diretto è la sottrazione di informazioni che potevano essere fonte di profitti (brevetti, strategie di impresa, dati dei consumatori), mentre il costo indiretto è potrebbe derivare da multe imposte dall’autorità competente, spese processuali e fiducia persa dei consumatori.

Infine, valutando l’effettivo impatto economico dei crimini di Identity Theft (IDT) nei confronti dei consumatori del settore Retail, il report mostra come la maggior parte delle transazioni oggetto di IDT vengano risarcite dalla compagnia venditrice almeno parzialmente (il 47,5 % invece integralmente).

TRASPORTI

Prima di analizzare il settore, bisogna distinguere tra trasporto di beni e trasporto di persone, perché ad essi sono associati diversi tipi di crimini e quindi di costi.

Il trasporto dei beni fa uso delle tecnologie informatiche per ottimizzare la catena di distribuzione sia per aumentare gli utili dell’impresa che per garantire maggiore sicurezza al cliente. Le ultime innovazioni sono: l’utilizzo di sistemi di tracciamento tramite codici a barre, RFID o GPS, la gestione della distribuzione attraverso sistemi ERP, l’utilizzo di sistemi robotici per lo spostamento dei cargo, l’introduzione di tecnologie di IoT.

Per quanto riguarda il trasporto di persone si rileva come l’ultima importante innovazione sia stata l’introduzione di tessere elettroniche, spesso basate su tecnologie cloud.

I rischi di cyber-security nel settore sono altamente diversificati ma non particolarmente estesi. Per quanto riguarda il trasporto dei beni, il rischio maggiore è quello del furto dei cargo su cui vengono stivati i prodotti. Le tecnologie di hacking, infatti, oggi riescono ad incrementare le probabilità di furto, poichè permettono una migliore localizzazione, identificazione del personale coinvolto, fino ad arrivare alla sottrazione dei codici necessari alla consegna dei cargo.

Per quanto riguarda il trasporto di persone, il rischio maggiore è il furto dei dati personali (Personally Identifiable Information) la cui archiviazione (spesso su cloud) è necessaria, in alcuni casi, per la validità della tessera elettronica.

I costi di prevenzione in questo settore sono relativamente contenuti e si limitano al rispetto di standard generali come ISO 27000.

I costi di ripercussione, invece, sono molto eterogenei ma comunque piuttosto contenuti. Infatti, il maggior rischio cyber, per ora, rimane il furto di informazioni sensibili dei clienti. Attacchi distruttivi sono ancora molto rari sebbene in futuro si potrebbe assistere ad un aumento di essi parallelo alla diffusione dell’IoT nel settore. L’utilizzo di tecniche cyber in supporto di azioni “on the ground” come il furto dei cargo è, tuttavia, una procedura abbastanza comune (si riporta un 10 % del totale di furto di cargo).

ENERGIA

In questo settore rientrano tutte le aziende che fanno parte della filiera di esplorazione, produzione e distribuzione dell’energia in Europa.

L’utilizzo del IT in questo settore sta diventando più cruciale perché può riequilibrare quella che fino ad ora è stata la maggiore problematica per i competitors energetici: l’instabilità dell’offerta e della domanda, entrambe esponenzialmente suscettibili ai cambiamenti interni e internazionali. L’utilizzo principale dell’IT nel settore è legato alla dimensione meccanica e coinvolge di sistemi SCADA e, in generale, di Industrial Control, per monitorare la filiera. Chiaramente oltre all’aspetto produttivo, le tecnologie informatiche vengono utilizzate anche nell’ambito della comunicazione e della gestione delle risorse umane.

Le minacce cyber nel settore energetico sono tante, diverse e altamente dannose. Si passa infatti da attacchi distruttivi con conseguenze devastanti per l’economia non solo dell’azienda ma anche dei territori serviti, ad attacchi per il furto di informazioni, soprattutto per lo spionaggio industriale.

Per quanto riguarda i costi di prevenzione, il settore energetico è quello in cui si registra il maggior livello di precauzione e sicurezza informatica. La rigidità delle procedure di sicurezza delle compagnie petrolifere, però, è fonte di una serie di esternalità che incidono negativamente sul bilancio aziendale. La principale è la perdita di produttività conseguente all’introduzione di queste procedure ma viene considerata necessaria dai consigli di amministrazione delle aziende. Per questo, molto spesso, le compagnie si dotano di soluzioni di sicurezza in-house, al fine di una maggiore precisione e adattamento al tipo di business svolto. Si rileva come, nei sondaggi svolti dal progetto per la redazione del report, l’opinione diffusa sia che la vulnerabilità maggiore nei sistemi di sicurezza, fisica e informatica, delle aziende energetiche sia costituita dal personale. A riprova di ciò, in effetti, ci sono evidenze empiriche, prima tra tutte il caso Stuxnet-Iran.

I costi di ripercussione possono variare dal furto di identità alla distruzione fisica delle infrastrutture (con possibili ferimenti e morte di persone). Inoltre, la violazione delle reti di distribuzione che portano l’energia alle case, alle attività commerciali e ai servizi può far lievitare i costi-conseguenza. Una finalità di attacco che sta crescendo rapidamente nel settore è quella dell’estorsione, parallelamente all’aumento dell’utilizzo dei ransomware.

Quantificare l’impatto economico del cyber-crime nel settore energetico è, secondo e-crime project, sostanzialmente impossibile. La gestione in-house della sicurezza informatica, la reticenza delle aziende e dei governi che considerano l’energia un settore strategico da tenere al riparo da fughe di informazioni, rende il settore estremamente ermetico, salvi i pochi casi celebri legati più al cyber-warfare (Ucraina, Iran).

L’IMPATTO ECONOMICO DELLA RISPOSTA SOCIALE AL CYBER-CRIME

Il report si propone di analizzare, anche, quanto effettivamente incida economicamente il cyber-crime a livello sociale. Infatti, le società sopportano una grande quantità di costi per la prevenzione e la sanzione dei comportamenti criminali. Quantificare l’effettivo costo è difficile perché implica la conoscenza approfondita del sistema economico e giuridico e una difficile disponibilità di dati, per questo il report si focalizza sui costi derivanti dall’istituzione dei Computer Security Incident Response Teams (CSIRTs), la cui infrastruttura comune comprende assets, personale e procedure. Inoltre, il report tiene conto del costo delle campagne di sensibilizzazione sul tema della sicurezza informatica, che varia da decine di migliaia a diversi milioni di euro o dollari. Riassumendo quindi, la risposta sociale al cyber-crime può essere estremamente diversificata e comportare altissimi costi a seconda delle policies vigenti.

CONCLUSIONI

L’impatto economico del cyber-crimine varia, come abbiamo visto, enormemente da settore a settore. Ambiti come l’Energia e la Finanza soffrono costi decisamente più alti rispetto a quelli del Retail, dei Trasporti e della Sanità. D’altra parte, però, la distribuzione dei costi nei tre momenti (Prevenzione, Ripercussione, Risposta) non risponde alla stessa divisione: infatti, solo la Finanza e il Retail soffrono costi significativi in tutti e tre, mentre, ad esempio, i costi del settore Sanità sono concentrati, principalmente, nella prevenzione.

In conclusione, il report sottolinea in maniera accurata quali siano i costi sopportati da un’imporante parte dell’attività economica di un paese che entra nelle vite dei cittadini con i propri beni e servizi e ai quali i cittadini forniscono informazioni e denaro. Partire da questo report potrebbe servire a migliorare le policies in ambito cyber e, quindi, la salute e il benessere dei cittadini.

Lorenzo Termine

 

Tutti i report finali del progetto e le stime dettagliate sono disponibili all’indirizzo https://ecrime-project.eu/dissemination/deliverables

Evoluzione della crisi libica

Report di

In Libia la  bocciatura dell’intesa tra il governo italiano e il GNA a guida Serraj da parte di un tribunale di Tripoli pochi giorni fa, conferma la fase di completo stallo per quanto riguarda la possibile risoluzione della crisi in atto.

Uno stallo a livello istituzionale, economico e internazionale che si traduce in una situazione di crescente anarchia e instabilità del Paese.Il mancato incontro in Egitto tra il presidente Serraj e il generale Haftar a febbraio ha cancellato nuovamente le speranze di una reale unificazione di un Paese lacerato da anni di lotta contro il Califfato da una parte e di guerra civile dall’altra.

Dopo la presa dei pozzi petroliferi di Ras Lanuf e Sidra da parte delle milizie di Bengazi avvenuta il 3 marzo scorso, il 14 dello stesso mese 1300 uomini di LNA hanno ripreso il controllo di questi due importanti siti strategici. Un’azione militare in piena regola coadiuvata non solo dall’alleato egiziano, ma, secondo fonti statunitensi, anche dalla Russia, ormai entrata quasi a pieno titolo nello scenario libico dal quale, fino a poco tempo fa, si era chiamata fuori.

Nonostante la produzione di greggio sia tornata ai livelli precedenti al 3 marzo, ovvero di 800mila barili al giorno, è chiaro che questa situazione di instabilità si ripercuota sia a livello economico, con la “crescente preoccupazione” di Italia, Francia, Gran Bretagna e Stati Uniti per le ostilità crescenti attorno alle aree petrolifere libiche, sia a livello di stabilità interna poiché “le infrastrutture, la produzione e i guadagni appartengono al popolo libico e devono rimanere sotto il controllo della Noc”, si legge nel comunicato congiunto di questi quattro paesi diramato il 14 marzo scorso.

A questo si aggiunge l’insicurezza diffusa presso tutta la Libia, a cominciare dalla capitale Tripoli dove, il 17 marzo scorso, viene dichiarato il cessate il fuoco dopo 4 giorni di scontri tra le milizie delle fazioni locali. Per continuare con la denuncia di Human Right Watch nei confronti di Haftar e del Libyan National Army, rei di crimini di guerra perpetrati a Bengasi soprattutto nell’ultima battaglia del 18 marzo, quando viene sconfitta l’ultima roccaforte islamista presente in città.

E la Russia? Attorno a Mosca si è aperto definitivamente un nuovo scenario. La denuncia partita da Reuters di aiuti militari effettivi a Tobruk, attraverso il dispiegamento di uomini delle forze speciali presso alcune basi militari egiziane vicine al confine libico, hanno svelato definitivamente che la posizione del Cremlino in Nord Africa è cambiata. Gli interessi petroliferi diventano preminenti, specialmente ora che la minaccia islamista sembra essere stata messa in secondo piano.

Nella pratica, il cambio di marcia russo, sulla scia di quanto già avvenuto in Siria, rischia di rovesciare i rapporti di forza in campo. L’effetto collaterale evidenziato da diverse fonti è quello di un possibile influsso negativo sui rapporti Roma-Mosca. Difatti, è l’Italia ad essere il paese europeo più vicino e coinvolto nella vicenda libica. Lo dimostrano due fattori: quello economico, con la presenza di Eni in Libia e la volontà italiana di accrescere la propria influenza e partecipazione; quello diplomatico, con il memorandum d’intesa tra il premier Gentiloni e il leader libico Serraj in materia d’immigrazione, rafforzato dall’impegno dell’Unione Europea di volere investire circa 215 milioni di dollari nell’addestramento della Guardia Costiera Libica e momentaneamente sospeso da un tribunale di Tripoli.

La crisi Libica

Dossier Cybersecurity, contromisure in atto per la sicurezza cyber

Defence/INNOVAZIONE/Report di

Di estrema attualità è la Relazione Annuale al Parlamento redatta dal comparto di Intelligence italiano (Sistema di Informazione per la Sicurezza della Repubblica). Allegato al suddetto, riveste particolare importanza in ambito cyber il Documento di Sicurezza Nazionale, il cui scopo è, da una parte, un’analisi retrospettiva dei principali progressi compiuti e delle persistenti minacce con riferimento all’anno 2016, dall’altra una prospettiva di sviluppo nei prossimi anni di fronte alle nuove minacce. Secondo il rapporto, il 2016 ha costituito un significativo punto di svolta in ambito cyber per il nostro paese, grazie all’attività di due tavoli tecnici, il primo, il TAVOLO TECNICO CYBER-TTC, per il raccordo inter istituzionale, il secondo, il TAVOLO TECNICO IMPRESE-TTI, per la partnership pubblico-privata. Questi due tavoli sono stati capaci di recepire l’orientamento espresso nei principali aggiornamenti internazionali in materia cyber, tra cui:

  • La DIRETTIVA EUROPEA NIS (Network and Information Systems), il cui obiettivo è stato rendere più efficace la definizione degli strumenti per l’attuazione degli indirizzi strategici europei e la valutazione degli esiti delle azioni.
  • Le CMBs (Confidence Building Measures) prodotte dall’OSCE per ridurre i rischi di un conflitto eventuale che faccia uso di tecniche legate all’ICT.
  • Il nuovo orientamento sancito al SUMMIT di VARSAVIA della NATO (luglio 2016) per cui si rimanda al report settimanale precedente.
  • Lo sviluppo dei lavori nell’ambito dei CYBER EXPERT GROUP MEETING del G7 Finanza ed Energia.
  • Le interlocuzioni tra il Comparto e la BANCA D’ITALIA per la costituzione di un CERT (Computer Emergency Response Team).
  • Una serie di eventi internazionali tra cui: 17° NATO Cyber Defence Workshop, l’incontro sulla “contractual Partnership Private-Public” (cPPP), la terza edizione dell’ICT4INTEL 2020.

Gli attacchi cyber verificatisi in Italia nel 2016 hanno segnato un ulteriore cambio di passo sotto molteplici profili: dal rango dei target colpiti, alla sensibilità rive­stita dagli stessi nei rispettivi contesti di rife­rimento; dal forte impatto conseguito, alle gravi vulnerabilità sfruttate sino alla sempre più elevata sofisticazione delle capacità degli attaccanti.

ATTORI OSTILI: i gruppi hacktivisti (52% delle minacce cyber) continuano a costituire la minaccia più rilevante, in termini percentuali, benché la valenza del loro impatto sia inversamente proporzionale. I gruppi di cyber-espionage invece risultano più pericolosi anche se percentualmente meno rappresentativi (19%). Ai gruppi islamisti è imputato il 6% degli attac­chi cyber perpetrati in Italia nel corso del 2016. Da evidenziare come per le tre categorie si sia registrato, rispetto al 2015, un incremento degli attacchi pari al 5% per i gruppi hacktivisti e quelli islamisti e del 2% per quelli di cyber-espionage. A tale aumento ha corrisposto un decremento, pari al 12%, dei cd. “attori non meglio identificati” che si attestano nel complesso al 23% delle incursioni cyber.

TARGET: le minacce contro i soggetti pubblici costituiscono la maggioranza con il 71% degli attacchi, e quelle in direzione di soggetti privati si attestano attorno al 27%. Questa divaricazio­ne è riconducibile verosimilmente alle difficoltà di notifica degli attacchi subiti in ragione del c.d rischio reputazionale. In merito ai soggetti pubblici si attesta che pur permanendo una netta predominanza delle Amministrazioni centra­li (87% degli attacchi cyber verso soggetti pubblici) rispetto agli Enti locali (13%), nel 2016 si è assistito ad una inversione di tale trend, per cui gli attacchi contro le Pubbliche Amministrazioni Centrali (PAC) risultano in lieve diminuzione (-2%) mentre quelli avverso le Pubbliche Ammini­strazioni Locali (PAL) sono in aumento (+5%). Per quanto riguarda i soggetti privati si nota che se nel 2015 target principali degli attacchi cyber risultavano quelli operanti nei settori della difesa, delle telecomunicazioni, dell’aerospa­zio e dell’energia, nel 2016 figurano ai primi posti il settore bancario con il 17% delle minacce a soggetti privati (+14% rispetto al 2015), le Agenzie di stampa e le testate giornalistiche che, insieme alle associa­zioni industriali, si attestano sull’11%.

TIPOLOGIE DI ATTACCO: rispetto al 2015, nel 2016 si è registrata un’inversione di tendenza. Se, infatti, nel 2015, poco più della metà delle minacce cyber era costituita dalla diffusione di software malevolo (malware), nel 2016 è stata registrata una maggiore presenza di altre tipologie di attività ostili, che ha comportato una contrazione (-42%) del dato relativo ai malware, at­testatosi intorno all’11%. Tale dato non va letto come una riduzione della pericolosità della minaccia Advanced Persistent Threat (APT), bensì come il fatto che gli APT registrati si sono caratterizzati, più che per la consistenza numerica, per la loro estrema persistenza. Tra le minacce che hanno registrato un maggior numero di ricor­renze vanno annoverate: l’SQL Injection (28% del totale; +8% rispetto al 2015), i Distributed Denial of Service (19%; +14%), i Web-defacement (13%; -1%) ed il DNS poisoning (2%).

In prospettiva, si assiste ad una crescita della minaccia cibernetica ad opera di attori statuali e gruppo connessi alla criminalità organizzata, nonché di potenziali insider. Per questo si potrebbe assistere nei prossimi anni, ad una allocazione di risorse crescenti finalizzate alla costitu­zione/consolidamento di asset cibernetici a connotazione sia difensiva, sia offensiva, impiegabili nella prosecuzione di campagne di cyber-espio­nage, nonché in innovativi contesti di conflittualità ibrida e asimmetrica (cyberwarfare), anche attraverso attività di disruption di sistemi critici in combinazione con operazioni di guerra psicologica.

Un altro contributo importante prodotto durante le ultime settimane è il Cyber Strategy & Policy Brief (numero di gennaio e febbraio 2017) curato da Stefano Mele, avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelligence, e Key Opinion Leader nel settore Cyber secondo la NATO. Gli ambiti di analisi di questo numero sono 3:

  • Mele cita i recenti sviluppi in materia cyber in Brasile. Infatti l’orientamento strategico brasiliano si è tramutato in una decisione esecutiva del presidente Temer per la creazione di un Cyber Command centrale incardinato all’interno del Dipartimento Scienza e Tecnologia dell’Esercito e che avrà finalmente il compito di sovraintendere, coordinare e guidare sia sul piano tecnico che regolamentare l’intera difesa cibernetica della nazione.
  • L’autore si sofferma inoltre sul quadro cyber italiano commentando la Relazione sulla politica dell’informazione per la sicurezza del Comparto Intelligence (analizzato nelle pagine precedenti). Pur apprezzando gli sforzi compiuti dai servizi di informazione italiani, Mele ha voluto aggiungere alcune chiose necessarie. Ciò che pare ancora mancare nel dibattito italiano è, da un lato, una riflessione strutturata – in ottica evolutiva – tesa alla nascita di una vera e propria politica di cybersecurity nazionale. Dall’altro lato, invece, emerge con forza la necessità che in questo settore il governo italiano muti nel più breve tempo possibile l’approccio strategico da meramente difensivo
  • Punto più importante della riflessione di Mele è quello legato alla lotta al cyber-terrorismo. Partendo da un’analisi dell’approccio strategico seguito finora, l’autore sottolinea la necessità di passare ad una strategia olistica, capace di operare contemporaneamente su più livelli. In particolare questo nuovo approccio dovrebbe:

comprendere la peculiarità della minaccia e degli obiettivi dell’ISIS nel cyber-spazio, nonché le caratteristiche dei soggetti coinvolti

attivare le procedure atte a creare deterrenza nei militanti dell’ISIS, riferendosi alle tradizionali azioni di rimozione, infiltrazione e avvio immediato di azioni penali

–  svolgere attività di contro-propaganda e promozione di messaggi positivi all’interno dei network jihadisti

– aumentare la sensibilità di ISP e utenti verso la minaccia

– svolgere maggiori e più mirate attività di cooperazione con gli alleati

– tagliare i fondi dell’ISIS, magari colpendo le strutture cibernetiche che ospitano la ricchezza dell’ISIS

 

Lorenzo Termine

Redazione
Vai a Inizio