GEOPOLITICA DEL MONDO MODERNO

Tag archive

report

“Operare Embedded e comunicare in operazioni Dual Use dell’Esercito”. Giunge alla 6^ edizione il corso per giornalisti ed operatori civili in contesti instabili.

BreakingNews/Defence/Difesa di

 

Giornalisti alle prese con l’addestramento NBCR

In molte occasioni, su varie riviste – e ovviamente anche su questa – si è parlato varie volte delle attività che il Centro Studi Roma3000 e la sua European Safaety Academy, entrambi diretti dal giornalista Alessandro Conte, svolgono ed hanno svolto in favore dei cronisti impegnati in aree di crisi.

Negli anni, inoltre, la formazione si è estesa anche ad altre figure che, per vari motivi, sono chiamate ad operare in contesti instabili e dove una formazione tecnica, culturale e pratica sono indispensabili.

Il noto corso “Operare Embedded in aree di crisi“, giunto ormai alla sua 6a edizione, quest’anno farà infatti il focus proprio sulle attività degli operatori umanitari e, ovviamente, dei reporter. Quest’anno, però ‒ stante l’ampliamento delle competenze delle Forze Armate e dell’Esercito in particolare – anche il corso si è perfezionato, e si è in parte modificato, con le opportune integrazioni, sul nuovo modello “Dual Use”.

Ecco allora che il titolo dell’attività formativa è diventato, per l’esattezza, “Operare Embedded e comunicare in operazioni Dual Use dell’Esercito”. Scopo dell’iter formativo è dotare i partecipanti della consapevolezza e degli strumenti per prevenire le situazioni di rischio e per conoscere le modalità per operare in maniera coordinata con l’Esercito nelle operazioni Dual Use, sia in territorio nazionale che nei teatri internazionali.

L’iniziativa verrà organizzata a L’Aquila, presso il 9° Reggimento Alpini, in collaborazione con lo Stato Maggiore della Difesa e lo Stato Maggiore dell’Esercito.

Nata dall’esperienza del Centro Studi Roma 3000 e dei suoi collaboratori, la European Safety Academy è nata proprio con l’obiettivo di promuovere la sicurezza sul lavoro di chi opera in aree di crisi o instabili, come i reporter, gli operatori della comunicazione, i volontari delle ONG, i tecnici specializzati che operano su impianti in zone pericolose.

L’obiettivo dell’Academy è quello di  promuovere la cultura della sicurezza degli operatori civili che devono operare in aree instabili, sensibilizzare queste

Un esempio di Reporter embedded, all’opera in area di crisi

categorie di personale a valutare con maggiore attenzione i possibili pericoli. L’attività formativa proposta dall’European Safaety Academy si completa di norma anche con lo studio di dossier informativi sulle aree interessate, attraverso valutazioni di rischio delle attività in corso in quei luoghi, ed assicurando una formazione specifica del personale.

Il corso di cui parliamo stavoltariservato a giornalisti e operatori civili delle organizzazioni di volontariato e soccorso ‒ si sostanzia di tre giorni di esercitazioni ed erogazione di contenuti, volti ad aumentare la percezione del pericolo ed a prevenire situazioni di potenziale criticità, riconoscendole, ed acquisendo la capacità di muoversi al fianco dell’Esercito, anche nelle nuove operazioni “Dual Use”.

Caratteristica del corso, inoltre, è proprio la prevalenza degli insegnamenti pratici rispetto a quelli teorici, nella convinzione che soltanto sperimentando si possa comprendere e valutare concretamente le opportunità ed i limiti dell’operare embedded a seguito della Forza Armata.

Nel corso delle giornate di formazione, i corsisti potranno confrontarsi con l’esperienza maturata da professionisti con una rilevante esperienza operativa: gli addetti alla pubblica informazione della Difesa e gli alpini della Taurinense, già impegnati attivamente in Afghanistan e in molti altri teatri operativi nazionali e internazionali

Il cronista , in missione, deve imparare a muoversi con le Forze Armate che operano sul territorio

L’opportunità di operare al fianco delle Forze Armate impegnate nelle aree di crisi rende necessaria la conoscenza di regole e modi operativi specifici. Il corso si prefigge l’obiettivo di indicare le modalità migliori per realizzare servizi giornalistici in aree di crisi, interagire nel modo più corretto con le Forze Armate impiegate nel teatro di riferimento, confrontandosi concretamente con le difficoltà logistico-operative connaturate alle operazioni in corso: sono previsti anche insegnamenti in materia di NBCR, sul movimento dei mezzi operativi, sugli esplosivi.

Tra i docenti, oltre ad Alessandro Conte ed ai docenti militari, saranno presenti Gian Micalessin (reporter de “Il Giornale” in zone di guerra giornalista e scrittore, esperto di geopolitica e di attività in zone di crisi), Pierpaolo Cito (fotoreporter di fama internazionale da anni presente sui fronti internazionali più caldi), e Monia Savioli (giornalista professionista e ufficiale della Riserva Selezionata dell’Esercito).

Al termine del corso i partecipanti potranno aderire ad un tirocinio curriculare di 3 mesi nell’ambito di una attività di supporto umanitario internazionale, organizzata dal Centro Studi Roma 3000, che si concluderà con la consegna di beni materiali nel Libano del Sud.

Il corso è a numero chiuso e per partecipare si deve inviare la propria candidatura entro il 15 giugno 2019 all’indirizzo email formazione@roma3000.it

Maggiori informazioni su costi e modalità sono reperibili sul sito http://www.europeansafetyacademy.it/corso-operare-embedded-in-aree-di-crisi/

Il rapporto Istat su reati contro ambiente e paesaggio

EUROPA di

Nel 2017, secondo i dati di Legambiente, si è registrato l’incremento degli illeciti ambientali, del numero di persone denunciate e dei sequestri effettuati. Nelle quattro regioni a tradizionale insediamento mafioso è stato verbalizzato il 44% del totale nazionale di infrazioni. La Campania è la regione in cui si registra il maggior numero di illeciti ambientali (4.382 che rappresentano il 14,6% del totale nazionale), seguita dalla Sicilia (3.178), dalla Puglia (3.119), dalla Calabria (2.809) e dal Lazio (2.684). Secondo il report dell’Istat che prende a riferimento il periodo 2006-2016 l’aumento delle norme a tutela dell’ambiente e la maggiore attenzione ai temi ambientali hanno trovato corrispondenza in un maggior numero dei procedimenti presso le Procure. Questi sono passati dai 4.774 del 2007 (il Testo unico dell’ambiente è stato varato nel 2006) ai 12.953 del 2014. Il tema della “protezione dell’ambiente” soprattutto in relazione allo sviluppo economico e all’antropizzazione del territorio è di grande complessità e ha molteplici implicazioni che hanno sollevato nel tempo crescente attenzione per le problematiche ambientali e condotto ad una rapida crescita della produzione legislativa. Molta della normativa è relativamente recente in quanto al momento della Costituente in Italia erano in vigore solo una norma sui Beni culturali (L. 1089/1939) e una sulle Bellezze naturali (L. 1497/1939). La produzione normativa successiva è avvenuta spesso sulla spinta di direttive europee e convenzioni internazionali, ma anche di disastri di grandi proporzioni che hanno messo in luce come la problematica ambientale non può essere confinabile a un singolo Stato ma deve essere affrontata anche a livello sovranazionale. Dal 2006, anno d’introduzione del Testo Unico Ambientale (T.U.A.), fino al 2014, si osserva un aumento dei procedimenti definiti nelle Procure della Repubblica, con almeno un reato previsto dal codice ambientale, da poco più di mille casi a quasi 13mila. A partire dall’anno successivo si nota una contrazione continuata anche nel 2016, soprattutto dei procedimenti per cui inizia l’azione penale.

    Il T.U.A. considera come reato e punisce diverse azioni a danno dell’ambiente. Inoltre, i reati previsti si riferiscono a un pericolo di danno ambientale “astratto” cioè potenziale. Prevedono generalmente sanzioni di lieve entità con termini di prescrizione brevi, con possibilità di oblazione e sospensione condizionale della pena avendo quindi una debole funzione deterrente. La legge 68 del 22 maggio 2015 ha introdotto nuove fattispecie di delitto (anche colposo) nel Codice penale (Titolo VI-bis Libro II) incentrate sul danno ambientale effettivamente causato con pene elevate e, quindi, lunghi tempi di prescrizione (che sono funzione della gravità della pena). I dati che si riferiscono alle decisioni nelle Procure della Repubblica al termine delle indagini preliminari in tema di nuovi delitti ambientali sono ancora esigui: sono stati 72 nel 2016, di cui 56 archiviati e per cui è iniziata l’azione penale. Quasi tutti i reati riguardano l’inquinamento ambientale, residuali le altre voci come i delitti colposi contro l’ambiente, il disastro ambientale, morte o lesione come conseguenza del delitto di inquinamento ambientale, impedimento del controllo, omessa bonifica dell’area inquinata. I nuovi delitti previsti dalla legge sugli ecoreati sono stati aggiunti a quelli per cui è prevista la responsabilità oggettiva dell’ente nel cui interesse i dirigenti hanno commesso il reato.

     Nel 2016 i procedimenti per violazioni delle regole di gestione delle acque reflue sono stati 1.636, quelli per le violazioni delle regole di gestione dei rifiuti 8.792, 170 per il trasporto non autorizzato di rifiuti e 164 per traffico organizzato di rifiuti. Per tali reati, sono diminuiti i procedimenti per cui è iniziata l’azione penale: dal 2013 per violazioni nella gestione delle acque reflue; dal 2015 per la gestione dei rifiuti (che coinvolge spesso, oltre ad attività economiche, anche singoli cittadini che non rispettano i regolamenti); dal 2014 per il traffico organizzato di rifiuti. Per questi ultimi si ha un aumento delle archiviazioni a denotare anche la difficoltà crescente, da parte degli inquirenti, nel trovare elementi di prova della violazione. Le violazioni della regolamentazione in materia di acque reflue hanno raggiunto il picco tra il 2010 e il 2012. Nel 2012 quasi il 56% del totale dei procedimenti per cui c’è stato l’avvio dell’azione penale è avvenuto nel Mezzogiorno. Tale percentuale, anche se in leggera diminuzione, negli anni seguenti si colloca sempre intorno al 50% (49% nel 2016) del totale italiano. Il tasso di reati più alto si è avuto in Basilicata (6,4 reati per 100mila abitanti). Hanno valori superiori a 3 reati per 100mila abitanti il Molise, il Lazio, l’Abruzzo e la Calabria. La scorretta gestione dei rifiuti è individuata e portata all’attenzione della magistratura in gran parte attraverso attività di controllo, per opera delle Forze di Polizia, sulle attività produttive che quei rifiuti devono gestire. Il numero medio di “Imputati per violazioni sulla gestione dei rifiuti” è pari a 1,5 persone. Il trasporto non autorizzato di rifiuti è punito con una contravvenzione ed è commesso da chi, senza titolo valido, trasporta i rifiuti anche in modo occasionale. Nel 2016, il dato si attesta su 93 violazioni, in lieve diminuzione rispetto ai due anni precedenti (111 casi). La Liguria è la regione in cui si sono riscontrati più casi nel periodo considerato (42). Per questo reato, il numero medio di autori coinvolti nei procedimenti varia da 1,2 a 2,5 nei dieci anni considerati. È pari a 1,7 nel 2016. Il traffico organizzato di rifiuti è l’attività posta in essere in modo sistematico e strutturato per nascondere o eliminare, illegalmente, anche grandi quantità di rifiuti e scarti senza riguardo alla loro tossicità. Nel 2016 si sono rilevati 58 casi, in netto calo su quasi tutto il territorio nazionale. L’andamento nel tempo evidenzia due picchi in corrispondenza del 2010 e del 2013 (104 e 105 casi rispettivamente) ascrivibili soprattutto al Sud. Il numero esiguo di procedimenti per cui inizia l’azione penale sottende in realtà una complessità investigativa connaturata con i tempi, le procedure di indagine e il numero di autori coinvolti per questo tipo di reati. Qui infatti il numero medio di imputati in associazione è molto più elevato, con valori che passano da un minimo di 4 per il 2008 a un massimo di 12 per il 2006. Dal 2010 la media si è stabilizzata intorno a 5,5 (5,7 nel 2015). Secondo il report di Legambiente sulle ecomafie, il 2017 è l’anno del rilancio delle inchieste contro i trafficanti di rifiuti e nel settore si concentra la percentuale più alta di illeciti. In crescita anche le tonnellate di rifiuti sequestrate dalle forze dell’ordine nell’ultimo anno e mezzo (1° gennaio 2017 – 31 maggio 2018) nell’ambito di 54 inchieste (in cui è stato possibile ottenere il dato, su un totale di 94) sono state più di 4,5 milioni di tonnellate. Pari a una fila ininterrotta di 181.287 Tir per 2.500 chilometri. Tra le tipologie di rifiuti predilette dai trafficanti ci sono i fanghi industriali, le polveri di abbattimento fumi, i Raee (rifiuti di apparecchiature elettriche ed elettroniche), i materiali plastici, gli scarti metallici (ferrosi e non), carta e cartone. Più che allo smaltimento vero e proprio è alle finte operazioni di trattamento e riciclo che in generale puntano i trafficanti, sia per ridurre i costi di gestione che per evadere il fisco.

     Nel quadro normativo è importante la legge 21 novembre 2000, n. 353 che ha introdotto, nel codice penale, il reato di incendio boschivo doloso e colposo, prima punito come aggravante dell’incendio, per una tutela più stringente del patrimonio forestale. Nel 76% dei casi, gli incendi boschivi si verificano tra giugno e settembre e il numero di procedimenti per incendio boschivo con autore noto, definiti dalle procure della repubblica, si attesta nel 2016 su un valore pari a 500, senza apprezzabili variazioni nel periodo considerato, tranne il picco di 701 casi nel 2012. Per poco meno di 7 procedimenti su 10 inizia l’azione penale. Di questi (334 nel 2016), il 28,4% riguardano il Sud, il 29% il Centro, il 24,6% il Nord. Oltre all’incendio boschivo doloso (volontario) è punito anche quello colposo, cioè commesso da chiunque cagiona involontariamente un incendio su boschi (anche propri). Nei casi l’incendio sia stato provocato nei propri terreni, perché possa configurarsi l’illecito penale, è necessario tuttavia provare (oltre alla colpa del proprietario) che l’incendio abbia causato un concreto pericolo per la pubblica incolumità. L’incidenza degli incendi non colposi sul totale degli incendi è aumentata negli ultimi anni (dal 60,5% del 2012 al 72,2% del 2015) anche grazie alle nuove tecniche di investigazione. Il territorio forestale copre al 2015 circa 11 milioni di ettari21 pari a un terzo della superficie italiana. Nonostante l’impegno nel controllo del patrimonio forestale, il reato di incendio boschivo è in gran parte di origine dolosa e resta senza un colpevole. L’incendio colposo, anche grazie alle tecniche innovative di indagine, rappresenta un numero ridotto di casi.

     Nel 2016, tra tutti gli illeciti amministrativi inerenti ai reati ambientali contestati, l’8% ha riguardato gli ecoreati. Il paesaggio si connota contemporaneamente come bene ambientale e come bene culturale. Fra i reati previsti dal “Codice del paesaggio” (D. Lgs. 22 gennaio 2004, n. 42) sono stati analizzati i procedimenti collegati ai lavori edilizi, in totale difformità o assenza del permesso di costruzione o di prosecuzione degli stessi nonostante l’ordine di sospensione e le lottizzazioni abusive e/o opere di qualsiasi genere eseguite su beni paesaggistici in assenza di autorizzazione o in difformità da essa. Violazioni, queste, che incidono sull’uso del territorio e sono da ritenersi più gravi. I procedimenti penali per le lottizzazioni e le violazioni su beni con vincolo paesaggistico, che sono un tipo specifico di violazione edilizia grave, dopo un picco nel 2010, diminuiscono in valore assoluto negli anni. Tuttavia, la loro proporzione sul totale delle violazioni edilizie aumenta (17% del totale dei procedimenti nel 2006, 32,2% nel 2016). Soprattutto al Sud aumenta la percentuale dei procedimenti per violazione del vincolo paesaggistico (40,6% nel 2016). Il lavoro delle forze dell’ordine nel 2017 ha portato alla luce 3.908 infrazioni sul fronte “ciclo illegale del cemento”, una media di 10,7 ogni ventiquattro ore, e alla denuncia di 4.977 persone. Un dato in leggera flessione rispetto all’anno precedente, ma che testimonia come – dopo anni di recessione significativa – l’edilizia, e quindi anche quella in nero, abbia ricominciato a lavorare. Il 46,2% dei reati si concentra nelle quattro cosiddette regioni a tradizionale presenza mafiosa, ossia Campania, Sicilia, Puglia e Calabria. Occorre ricordare come la natura profonda del crimine ambientale è economica e ha per principali protagonisti imprese e faccendieri, ma le mafie continuano a svolgere un ruolo cruciale, spesso di collante. I clan censiti da Legambiente finora e attivi nelle varie forme di crimine ambientale sono 331. Il 2018 è anno da record per lo scioglimento delle amministrazioni comunali per infiltrazioni mafiose. Sedici i Comuni sciolti da gennaio, 20 nel 2017. Mentre i comuni attualmente commissariati dopo lo scioglimento sono 44 (ci sono anche alcuni sciolti nel 2016 e prorogati). Sono soprattutto i clan a minacciare gli amministratori pubblici che difendono lo stato di diritto e la salvaguardia dell’ambiente. Secondo i dati elaborati di Avvivo Pubblico, sono state 537 le intimidazioni nel 2017, se si considerano invece gli ultimi cinque anni il numero sale a 2.182.

Cyber-security, a che punto siamo? L’analisi di Cisco

INNOVAZIONE/Report di

Decifrare, da un lato, chi siano gli aggressori e quali tecniche siano maggiormente utilizzate oggi e, dall’altro lato, capire il comportamento delle aziende costrette a difendersi nella cyber-arena è l’obiettivo del report analizzato, il Cisco 2017 Annual Cybersecurity Report. Cisco è uno dei maggiori competitor internazionali per la fornitura di infrastrutture di reti e attraverso le sue numerose partecipazioni controlla importanti settori anche nei mercati dell’IoT, del cloud, delle nuove tecnologie. Il report 2017 è diviso, principalmente, in due parti: la prima esamina il comportamento degli aggressori nel cyber-space, la seconda esamina quello di chi difende il proprio business agli attacchi.

INTRODUZIONE

Gli avversari nel cyber-space, oggi, hanno a disposizione una vasta gamma di tecniche per violare le reti e guadagnare l’accesso alle risorse dell’organizzazione e ampliare il proprio spazio operativo. Le loro strategie includono:

  • Guadagnare vantaggi mentre chi si difende è impegnato ad aggiornare le proprie tecniche di difesa (patch e update).
  • Adescare utenti tramite il social-engineering.
  • Distribuire malware attraverso contenitori leciti sulla rete (per esempio pubblicità).

Oltre a queste hanno sviluppato numerose altre tecniche riuscendo ad aggiornare costantemente la qualità e la quantità delle proprie minacce. L’espansione smisurata della superficie di difesa (e quindi di attacco) seguente alla proliferazione di dispositivi mobili always-on e la crescita del traffico online garantiscono agli aggressori una fonte pressoché illimitata di dati e ricchezza. Chi si difende deve quindi imparare a ridurre lo spazio operativo degli avversari e, in questo senso, un concetto (e un metodo) chiave è quello dell’Automazione. Essa, infatti, garantisce agli addetti alla sicurezza di capire quale sia un comportamento normale e quale no, e, di conseguenza, ridurre il tempo di risposta e lo spazio operativo di chi sta attaccando l’infrastruttura. Altro concetto chiave è Integrazione. Continuare a sviluppare o acquistare soluzioni differenziate non facilita l’azione di sicurezza ma, anzi, la complica. Per questo, le organizzazioni devono adottare un approccio integrato che riesca a rendere operativi i processi, le tecnologie e il personale a disposizione.

I professionisti della cyber-sicurezza intervistati da Cisco hanno citato quattro elementi fonti di rischio secondo la propria esperienza: dispositivi mobili, dati nel cloud, infrastrutture cloud, personale, secondo queste percentuali:

Per dare un’idea di quanto il cyber-space e, quindi, la superficie di attacco e difesa si stia espandendo, Cisco ha stimato che, alla fine del 2016, il traffico globale IP abbia superato il confine dello zettabyte (1 miliardo di terabyte) e raggiungerà 2.3 ZB entro il 2020, 95 volte il traffico globale del 2005.

Le indicazioni strategiche di Cisco per le organizzazioni sono, quindi, di:

  • Integrare la propria sicurezza
  • Semplificare le proprie operazioni
  • Affidarsi maggiormente all’automazione

 

IL COMPORTAMENTO DEGLI AGGRESSORI

Dividiamo in 4 fasi principali l’azione di aggressione di un soggetto contro l’infrastruttura informatica di un’organizzazione:

  • Reconnaissance
  • Weaponization
  • Delivery
  • Installation

RECONNAISSANCE

In questa fase gli aggressori scandagliano le infrastrutture target alla ricerca di vulnerabilità che permettano lorodi guadagnare l’accesso alle risorse dell’organizzazione.

Le tecniche per il riconoscimento delle vulnerabilità che sono state maggiormente utilizzate nel 2016 sono le PUA (Potentially Unwanted Applications), come per esempio le estensioni del browser, e i Suspicious Binaries, cioè file eseguibili che distribuiscono spyware o adware.  Seguono i Trojan Droppers, cioè file per l’installazione successiva di un trojan, e le truffe su Facebook (fake offer soprattutto). Questi primi 3 (PUA e SB, TD e Facebook Scam Links) coprono da soli il 49% dei malware più utilizzati nel 2016 precedendo altre 15 tipologie meno comuni. Da sottolineare, però, la crescita della minaccia dei Browser Redirection che espongono il browser a campagne di malvertising (malicious advertising) con cui poi i criminali distribuiscono malware e ransomware. Cisco ha evidenziato come il 75% delle aziende analizzate soffra dei problemi con adware malevoli. Un altro trend degno di nota è l’aumento di malware su Android.

WEAPONIZATION

La weaponization è la fase in cui i malware che garantiscono accesso remoto all’aggressore vengono uniti a contenuti vulnerabili destinati alla diffusione.

Adobe Flash, a lungo fondamentale vettore degli attacchi web, sta oggi perdendo il proprio ruolo grazie anche all’azione di sostituzione che molti web-browser stanno portando avanti. Questo non deve però far abbassare la guardia verso un componente che continua ad essere molto diffuso. Un’azione di costante aggiornamento e pulizia dei plugin del proprio browser può essere fondamentale per ridurre i rischi. Stessa considerazione può essere fatta per Java, PDF e Silverlight.

Ciò che sembra diventare il principale vettore per avere l’accesso alle risorse di un’organizzazione è il cloud o, meglio, la moltitudine di applicazioni che hanno accesso al cloud aziendale. Per quanto riguarda il numero di esse, Cisco riporta che tra l’ottobre 2014 e l’ottobre 2016 esso sia aumentato di circa 11 volte (da 20’400 a 222’000). Per quanto riguarda la loro natura, il servizio cloud di Cisco ha rilevato che il 27% di esse sia da considerare altamente rischioso.

La percentuale di applicazioni rischiose che hanno accesso al cloud dell’azienda è sostanzialmente stabile sia per regioni del mondo sia per mercati (un picco significativo per quanto riguarda il settore finanziario, il 35%).

L’obiettivo della sicurezza dell’organizzazione è di standardizzare le procedure di accesso per poter concentrare la propria attenzione sulle reali minacce. Si compone, quindi, un pattern delle minacce in 3 livelli. Il primo è quello del comportamento standard degli utenti, il secondo è quello dei comportamenti anomali (eccessivi tentativi di login, download o eliminazione di file etc), il terzo è quello delle attività sospette (lo 0,02% del campione di 5000 attività analizzate da Cisco). Solo l’automazione può permettere al personale una corretta valutazione dei rischi.

DELIVERY

Questo paragrafo analizza i modi in cui i malware vengono consegnati al sistema obiettivo. Ciò avviene attraverso email, allegati, siti e altri strumenti estremamente diversi tra loro.

Il 2016 è stato un anno particolarmente intenso per quanto riguarda gli exploit. Infatti se all’inizio dell’anno si contavano almeno 4 exploit kit online che dominavano il mercato, Angler, Nuclear, Neutrino e RIG, alla fine del 2016 solo l’ultimo era ancora attivo. Secondo Cisco, solo per Angler si può supporre la causa della scomparsa: l’arresto del collettivo di 50 hacker russi collegati alla sua diffusione.

Il mercato è, secondo Cisco, oggi nuovamente libero per gli small player che vogliono approfittarne.

Per quanto riguarda gli adware, i cyber-criminali ne fanno uso per:

  • Introdurre pubblicità che possa, in seguito, portare nuove violazioni o aumentare l’esposizione agli exploit kit;
  • Cambiare le impostazioni di browser e OS per diminuire la sicurezza del sistema;
  • Oltrepassare l’antivirus e gli altri sistemi di sicurezza;
  • Guadagnare pieno controllo del computer host;
  • Localizzare e tracciare l’attività dell’utente;
  • Sottrarre informazioni personali.

Il report di Cisco raggruppa gli adware in quattro categorie principali:

  • Ad injectors: generalmente attaccano il browser e infettano tutto il sistema operativo
  • Browser-settings hijackers: cambia le impostazioni del browser
  • Utilities: categoria vasta e in crescita che comprende tutte le web applications che offrono un servizio apparentemente utile (per esempio l’ottimizzazione del PC).
  • Downloaders: questi adware possono scaricare altri software (è il caso delle toolbar)

Cisco ha stimato che il 75% delle organizzazioni studiate sono colpite da infezioni di adware.

Altro metodo di “consegna” delle cyber-weapons usato dai criminali è lo spam. Cisco stima che tra l’ottobre 2015 e l’ottobre 2016, il 65% del volume globale di mail costituisce SPAM, e di questo il 8-10% sia di natura fraudolenta. Parliamo dunque di un’imponente volume di mail inutili o, peggio, dannose. Riprendendo lo studio Composite Blocking List (CBL), il report ci mostra come negli ultimi 5 anni (2012-2017) il volume di Junk Mail sia aumentato vorticosamente, raggiungendo quasi il picco del 2010.

Del totale delle mail spam inviate nell’ottobre 2016, il 75% conteneva allegati dannosi, la maggior parte inviati tramite le botnet gestite da Necurs. L’osservazione di quali estensioni di file vengano utilizzate maggiormente per diffondere malware ci mostra una capacità evolutiva e strategica dei cyber-criminali, che tolgono e reimmettono le estensioni dal “mercato” a seconda della capacità di reazione sviluppata dalla sicurezza dei sistemi. Il trend osservato è, quindi, altamente oscillante. Una particolare attenzione è data da Cisco agli attacchi SPAM denominati hailstorm e snowshoe.

INSTALLATION

La fase di installazione è quella in cui, una volta che il malware è presente sul sistema, garantisce accesso permanente all’avversario, costituendo, ad esempio, un Advanced Persistent Threat (APT), e permette di sottrarre dati, lanciare attacchi Ransomware e arrecare altri danni. È chiaro, quindi, come il fattore fondamentale per gli addetti alla sicurezza sia la velocità di scoperta (Time-to-Detection, TTD) di queste minacce sopite e che per i criminali sia la velocità di evoluzione (Time-to-Evolve, TTE) delle minacce. Cisco fa un’analisi empirica dei due parametri, TTD e TTE, e mostra come il proprio TTD mediano sia costantemente diminuito grazie alle strategie di reazione citate nell’introduzione.

IL COMPORTAMENTO DELLE AZIENDE

Nel 2016, anno di riferimento dell’analisi di Cisco, il numero delle vulnerabilità (per quanto riguarda le vulnerabilità e il processo di disclosure si rimanda ad un contributo precedente http://www.europeanaffairs.media/it/2017/04/19/cybersecurity-le-vulnerabilita-di-sistema-al-centro-del-report-settimanale/) dei propri sistemi scoperte dalle aziende ha subito un significativo declino (16 %). Ciò, però, sarebbe da imputare all’inusuale numero di disclosed vulnerabilities nel 2015 e non ad un effettivo calo di esse. Infatti, fatta eccezione per l’annus mirabilis del 2015, il trend è in costante aumento e dimostrerebbe la crescente attenzione delle aziende alla propria cyber-policy di scoperta e correzione delle vulnerabilità.

Fino alla pubblicazione del report (gennaio 2017), nessuna vulnerabilità era stata al centro delle cronache, fin dal caso Heartbleed (2014). Chiaramente oggi, dopo l’esplosione del caso Wannacry collegato ad una vulnerabilità di Microsoft (Eternal Blue), il quadro è cambiato e verrà analizzato nel report 2018 di Cisco.

Se da un punto di vista quantitativo il trend è costante, da quello qualitativo c’è stato un importante shift. I cyber-criminali stanno puntando sempre di più su soluzioni di aggressione server-side, cioè contro i server aziendali e non i client connessi.

Inoltre, degne di nota sono le crescenti vulnerabilità dovute all’utilizzo di middleware, programmi che servono da intermediari tra diverse applicazioni e software al fine di integrarne le funzionalità. Queste vulnerabilità pongono una minaccia considerevole a causa soprattutto dei meno frequenti aggiornamenti a cui sono soggetti i middleware.

L’attenzione principale dell’analisi di Cisco è però su un altro fattore, il c.d. Time to Patch (TTP), cioè l’intervallo di tempo tra la scoperta di una vulnerabilità e, conseguente, release della patch e l’effettivo update da parte dell’user. Più questa finestra di tempo è ampia, più i cyber-criminali hanno spazio operativo per sfruttare la vulnerabilità. Infatti, se per gli attacker più esperti la soluzione migliore è la ricerca autonoma delle vulnerabilità, per molti altri attacker la release di una patch costituisce l’annuncio della presenza di una vulnerabilità di un sistema che, se non patchato rapidamente, può essere bersaglio di attacchi. Oggi lo sperimentiamo con il caso Wannacry, il ransomware che ha colpito mezzo mondo: la scoperta della vulnerabilità, sembrerebbe, da parte dell’NSA, la divulgazione di essa da parte di Shadowbrokers, la release della patch di Microsoft hanno annunciato al mondo la presenza di una vulnerabilità di sistema significativa. Il mancato update del sistema di molte organizzazioni, imprese e privati è il principale responsabile dei danni causati dall’attacco.

La questione dell’aggiornamento diventa, quindi, cruciale e Cisco individua alcuni fattori che condizionano la propensione degli utenti ad aggiornare i propri sistemi:

  • La regolarità degli aggiornamenti: più gli aggiornamenti sono discontinui, meno gli utenti saranno propensi ad aggiornare il prodotto.
  • L’invasività degli avvisi di aggiornamento: più gli avvisi sono light, meno gli utenti saranno costretti ad aggiornare.
  • La facilità dell’opting-out dall’aggiornamento: più è facile per gli utenti declinare o interrompere la procedura di aggiornamento meno saranno quelli che la completano.
  • La frequenza dell’utilizzo del software da aggiornare.

Il comportamento degli utenti nell’aggiornamento di 2 software diffusissimi (Flash e Chrome sul report sono disponibili anche le statistiche di Firefox, Silverlight e Java) è riassunto in questo grafico:

Osservando l’andamento degli aggiornamenti di Adobe Flash il pattern è il seguente: per il periodo di riferimento (a partire da maggio 2015) entro la prima settimana è, di media, l’80% degli utenti ad aggiornare, seppure con un’oscillazione ampia (67-99 %). Per la vulnerabilità oggetto di patch, gli hacker hanno a disposizione 1 settimana come finestra operativa e per il 20% degli utenti anche più.

Per Chrome il pattern è diverso, quando gli update sono regolari il TTP è circa una settimana, ma gli utenti soffrono molto l’aumento della frequenza delle patch. Infatti tra secondo e il terzo quarto del 2016, in 9 settimane ci sono stati 7 aggiornamenti e una percentuale crescente di ritardi nell’update.

 

 

CISCO 2017 SECURITY CAPABILITIES BENCHMARK STUDY

In questa sezione Cisco analizza la percezione degli addetti alla sicurezza informatica nelle proprie organizzazioni attraverso sondaggi mirati per Chief Security Officers (CSOs) e Security Operations Managers (SecOps).

Nel 2016, il 58% dei professionisti intervistati ha affermato che la sicurezza della propria organizzazione è aggiornata e sfrutta le migliori tecnologie in circolazione. Il 37 % ha riportato di aggiornare le tecnologie di sicurezza in maniera regolare pur non essendo equipaggiate al momento con la migliore tecnologia in circolazione. Stessa fiducia per quanto riguarda la percezione dell’efficacia delle proprie tecnologie sia in un’ottica statica che dinamica. Entrambe le percentuali sono però in calo rispetto agli anni precedenti. Inoltre la percentuale di addetti convinti che i dirigenti della propria organizzazione considerino la sicurezza come una high priority è calata di 4 punti percentuali dal 2014 ad oggi, come anche quella degli addetti convinti che i ruoli e le responsabilità nella sicurezza siano adeguatamente chiariti.

In sintesi, quindi, ancora si respira un clima di sicurezza ma le incertezze stanno crescendo insieme alla consapevolezza dei successi degli attackers e della difficoltà di gestire l’enorme superficie di difesa.

Per quanto riguarda la percezione degli ostacoli, Cisco rileva come la questione budget sia ancora quella più controversa. Il 39 % degli intervistati ha sostenuto che proprio il budget sia l’ostacolo più grande per la sicurezza dell’organizzazione, seguito dalla compatibilità con i sistemi legacy (sistemi e tecnologia a cui vengono destinati investimenti considerevoli pur risultando antiquati) e dalla mancanza di personale adeguatamente addestrato. Quindi, il denaro non è il solo vincolo sperimentato ma è solo una parte del problema, insieme a tempo e talento.

Un dato importante è quello relativo all’integrazione sia in termini di prodotti e servizi per la sicurezza dell’organizzazione sia in termini di fornitori. Infatti il 55% delle organizzazioni utilizza prodotti e servizi da almeno 5 fornitori diversi aumentando esponenzialmente il profilo dell’eterogeneità delle soluzioni (il 10% utilizza più di 20 fornitori). Inoltre, il 65% delle organizzazioni fa uso di più di 5 prodotti per la propria sicurezza informatica (17% più di 25).

La mancanza di integrazione in un contesto così eterogeneo influisce enormemente sui gap di tempo e spazio sfruttati dagli attackers.

Passando sul piano della capacità di reazione agli alert di sicurezza, Cisco rileva che solo il 56% degli alert di sicurezza vengono approfonditi e, di questi, solo il 28% trova una spiegazione. Infine, solo al 46% di questi ultimi viene effettivamente posto rimedio. In termini più semplici, se gli alert sono 5000 al giorno:

  • 2800 alert vengono approfonditi, 2200 no
  • Dei 2800 analizzati, 784 trovano una spiegazione, 2016 no.
  • Di quelli a cui si trova una spiegazione, solo a 360 si pone rimedio, agli altri 424 no.

L’automazione e l’integrazione possono risolvere questo enorme gap dovuto a mancanza di soldi, talento o tempo.

Passando al livello della quantificazione del danno (per cui si rimanda anche ad un contributo precedente http://www.europeanaffairs.media/it/2017/05/06/limpatto-economico-del-cyber-crime/), esso consta di 3 entità: denaro, tempo e reputazione. Il numero di violazioni che sono diventate di dominio pubblico è in crescita. Oggi, il 49% delle organizzazioni esaminate ha subito violazioni che poi sono diventate di dominio pubblico, coinvolgendo quindi tutte e 3 le dimensioni. Questi i settori maggiormente interessati:

In conclusione, per Cisco, le organizzazioni, per creare un ambiente effettivamente sicuro devono fare agire su due dimensioni, drivers e safeguards, qui illustrati:

Ognuno di questi elementi è fortemente interconnesso, in maniera tale che non si possa garantire la sicurezza del proprio ambiente solo con alcuni di essi. Per capire i propri punti di debolezza, gli esperti devono analizzare la propria struttura e capire quali di questi elementi non sia integrato.

Lorenzo Termine

Immigrazione: 150mila sbarchi nel 2015

EUROPA di

In Italia sono arrivati 7000 migranti in più rispetto al 2014. In Grecia siamo arrivati a quasi 76mila. Il numero dei morti nel Mediterraneo è salito a 1900, nonostante Frontex sia riuscita ad arginare, in parte, l’emergenza. L’Oim certifica questa emergenza attraverso i numeri.

[subscriptionform]
[level-european-affairs]
Gli oltre 700 migranti sbarcati sulle coste della Sicilia nell’ultimo weekend sono solo l’ultimo campanello d’allarme di una crisi che riguarda l’Italia e la Grecia. I dati diffusi dall’Organizzazione Internazionale per le Migrazioni (Oim), in collaborazione con il Ministero degli Interni italiano, certificano un tragico esodo in continua evoluzione e un numero di morti destinato a crescere nei prossimi mesi.

I numeri diffusi da Oim parlano chiaro, tuttavia l’organizzazione non governativa precisa che “L’arrivo di 150.000 migranti in Europa è sicuramente un dato significativo ma assolutamente non eccezionale, considerando che gli europei sono complessivamente più di 500 milioni. Secondo l’OIM, non bisogna considerare questo fenomeno come “un’invasione”, soprattutto se si prende in considerazione ciò che accade al di fuori dei confini dell’Unione Europea”.

Secondo il report, i migranti arrivati in Europa via mare nel 2015 sono stati oltre 150mila: 74mila in Italia (circa 7000 in più rispetto ad un anno) e quasi 76mila in Grecia (sei volte in più rispetto al 2014). Ma è il numero dei morti, 1900, ad essere più che raddoppiato rispetto al 2014. Cifra che è tuttavia diminuita da maggio 2015 in poi, grazie all’intervento sistematico di Frontex nel Canale di Sicilia. La provenienza dei migranti per l’Italia è: Eritrea (18,676), Nigeria (7,897), Somalia (6,334), Siria (4,271), Gambia (3,593) e Sudan (3,589).

Rispetto all’Italia, è il caso della Grecia a destare più scalpore. Perchè, se il bel Paese storicamente è abituato a ricevere un importante flusso migratorio, lo Stato ellenico vive questa notevole ondata migratoria come una novità e il contesto di crisi economica non facilita l’accoglienza dei migranti. Un aumento, soprattutto attinente ai profughi siriani ed iracheni, spiegabile con la maggiore praticabilità della tratta dalle coste della Turchia alle isole del Mar Egeo, piuttosto che la rotta che porti prima in Libia e poi in Italia attraverso un ben più lungo transito in mare aperto.

I numeri relativi ad Atene parlano chiaro: “Secondo i dati della Guardia Costiera greca – recita ancora la nota dell’Oim -, i migranti che hanno solcato il Mar Egeo nei primi 6 mesi del 2015 sono stati circa 69.000. Nel corso del mese appena conclusosi, si stima che siano arrivate circa 900 persone al giorno. In sette giorni, dal 1 al 8 luglio 2015, i migranti che hanno attraversato l’Egeo sono stati 7.202. I principali paesi d’origine sono Siria e Afghanistan”.

L’Oim è presente nei punti di sbarco sia in Italia sia in Grecia. Ciò permette a questa organizzazione di fotografare in modo lucido il quadro generale: “Le rotte cambiano, così come la composizione dei flussi, ma i numeri continuano a salire”, afferma Federico Soda, Direttore dell’Ufficio di coordinamento dell’OIM per il Mediterraneo.

Un sforzo davvero europeo quindi è auspicabile: “L’emergenza è umanitaria a causa delle drammatiche condizioni in cui si vengono a trovare i migranti – continua Soda – e sarebbe certamente più gestibile se tutti i paesi coinvolti collaborassero di più tra di loro e dessero risposte più esaurienti e strutturate. Non esiste una soluzione facile e immediata per questo fenomeno, perché è il frutto di circostanze politiche, sociali ed economiche”, conclude il rappresentanti di Oim.
Giacomo Pratali

[/level-european-affairs]

Siria: Amnesty International denuncia l’utilizzo dei barili-bomba

Medio oriente – Africa di

Il report di maggio pubblicato dalla Omg accusa il presidente al Assad di mettere sotto bersaglio la popolazione di Aleppo, costretta a rifugiarsi sotto terra.

[subscriptionform]
[level-european-affairs]
“Terrore allo stato puro e sofferenze insopportabili costringono molti abitanti di Aleppo a vivere sotto terra per sfuggire agli incessanti bombardamenti aerei delle forze governative contro i quartieri occupati dall’opposizione”. Questo descrive il rapporto di maggio sulla Siria pubblicato da Amnesty International dal titolo “Morte ovunque: crimini di guerra e altre violazioni dei diritti umani ad Aleppo”.

Il report si sofferma in particolare sull’utilizzo dei barili-bomba da parte delle forze governative nei confronti dei civili, come spiegato da Philip Luther, Direttore del programma Medio Oriente e Africa del Nord di Amnesty International. : “Le atrocità dilaganti, soprattutto raid aerei feroci e disumani su zone residenziali da parte delle forze governative, hanno reso sempre più insopportabile la vita per la popolazione di Aleppo. Questi attacchi continui e riprovevoli sulle aree civili fanno parte di una strategia politica che intende colpire di proposito e senza sosta i civili con attacchi che costituiscono crimini di guerra e contro l’umanità”.

Nonostante l’utilizzo dei barili-bomba contro la popolazione sia stato negato dal presidente siriano Bashar al Assad a febbraio 2015, nel corso di un’intervista rilasciata alla Bbc, i numeri dell’inchiesta condotta da Amnesty International parlano chiaro: Gli attacchi coi barili-bomba – barili di petrolio, taniche di benzina, o bombole del gas imbottiti di esplosivo, olio combustibile e frammenti metallici gettati da elicotteri – hanno ucciso più di 3000 civili nel governatorato di Aleppo l’anno scorso e più di 11.000 persone in tutta la Siria dal 2012”.

E ancora: “Nell’aprile 2015 sono stati registrati non meno di 85 attacchi che hanno causato la morte di almeno 110 civili. Il governo, tuttavia, non ha ammesso neanche una vittima civile e, in un’intervista del febbraio 2015, il presidente Bashar al-Assad ha negato categoricamente che le sue forze abbiano mai usato i barili-bomba”, segnala Amnesty International.

Giacomo Pratali

[/level-european-affairs]

Giacomo Pratali
Vai a Inizio