Blog

podcast

Sintesi cibernetica #11

Gestire un incident, che si tratti di un fault, un attacco o un malfunzionamento di un sistema critico, è una pratica che richiede elevate competenze tecniche ed una buona dose di sangue freddo. Non bisogna solo sapere ciò che c’è da fare, bisogna anche sapere perché va fatto in un modo specifico, applicando “quella procedura” e non “l’altra”. Serve esperienza e pratica acquisibile grazie a tecniche come l’addestramento. Improvvisare non aiuta, anzi, si rischia di trasformare l’incidente in un disastro.

Bisogna anche rendersi conto che esistono situazione che non sono ripristinabili, nel senso che non esiste il processo che annulla quanto accaduto, è però possibile, con la giusta strategia, ricostruire e ripartire.

La settimana appena trascorsa ha dato diversi spunti di riflessione sulla gestione degli incident, in particolare OVH è alle prese con le prime ripartenze ma a quanto pare ieri (20 marzo) i sistemi sono stati nuovamente spenti a causa di un principio di incendio in uno del locali dove erano posizionate delle batterie UPS in quel momento non operative. La prossima settimana doveva essere quella dell’accensione dei sistemi ma questo nuovo incidente rischia di generare nuovi ritardi.

La vicenda OVH va seguita lasciando da parte il pensiero critico, è una scuola per tutti coloro che lavorano nel campo delle infrastrutture ad alta disponibilità di servizio. Osserviamo ed impariamo dagli errori tanto quanto dai successi… e consiglio di partire proprio dalle scelte comunicative che CEO che in prima persona aggiorna gli utenti tramite Twiter: https://twitter.com/olesovhcom.

Su Exchange non dico nulla se non di stare in campana, questa settimana si è parlato di DearCry, un crypto malware in grado di sfruttare la vulnerabilità ProxyLogon… evidentemente in molto stanno cercando una scusa per lanciare qualche job di restore dei dati.

Nuovi interessanti movimenti li ho trovati sul fronte SolarWinds, a distanza di settimane si sono osservate delle ingegnose tecniche per guadagnare un accesso permanente alle mailbox Office 365 di alcune delle aziende interessate dall’attacco (miglia di aziende). La tecniche è spiegata in questo articolo ed è molto semplice: l’attacker utilizza credenziali legittime, ovviamente sottratte tramite l’attacco già in corso, per eseguire una modifica alla configurazione delle mailbox rendendole accessibili in read-only. Silenziosi ed efficaci.

Qualche riflessione in più sul podcast.

cyber security

Schermaglie cibernetiche e strategie di difesa

Mentre leggo curiose reazioni di chi si stupisce — a distanza di due settimane — della portata dell’attacco globale che sta interessando i sistemi Microsoft Exchange (lo ripeto: era chiaro dopo cinque minuti che sarebbe stato un disastro ed in questo post spiegavo i motivi) osservo con interesse le mosse del governo USA ben illustrate in un recente post di Bechis su Formiche.Net in cui, sintetizzo ma consiglio la lettura, viene riportata l’intenzione del governo americano di far cooperare le agenzie governative con i grandi gruppi privati per potenziare la propria capacità di anticipare azioni di attacco come quelle in corso.

Il problema è chiaro: NSA, USCYBERCOM e compagnia briscola (e scusate se è poco) faticano a tenere il passo con attacchi di questa portata in “rapida” successione, non si è ancora chiusa la non banale questione SolarWinds e si rende necessario preoccuparsi anche di questa nuova campagna di attacchi ben più estesa. Sarà interessante osservare le prossime mosse dei grandi gruppi che, a quanto pare, non sono così propensi ad avviare questa collaborazione.

Ora osserviamo lo scenario: abbiamo il Presidente degli Stati Uniti d’America che si rende conto di avere fior di strumenti come le agenzie e forze armate con risorse dedicate alla sicurezza cibernetica, ma il perimetro interessato dagli attacchi ed i relativi impatti vanno ben oltre la capacità di prevenzione e gestione delle forze in gioco. La mossa interessante e che vorrei sottolineare è in relazione alla scelta strategica: “come la gestiamo Joe” gli avrà chiesto un membro dello staff, “dobbiamo potenziare l’intelligence coinvolgendo le big tech” avrà risposto il Presidente… o almeno è così che mi immagino io il dialogo.

Primo tema da analizzare: Biden punta dritto all’intelligence. Ovviamente ha la necessità di essere un passo avanti, deve poter prevenire le mosse del suo nemico e per farlo ha bisogno di informazioni da analizzare e correlare. Non posso non citare Sun Tzu (chi mi ha incrociato in ambito professionale si è beccato tutta la trattazione filosofica):

Sun Tzu, L’arte della guerra

Ovviamente, aggiungo, conoscere le strategie del proprio nemico non solo permetterebbe agli USA di organizzare una difesa efficace, darebbe anche qualche spunto su come colpire a loro volta. Sì, stiamo parlando di Guerra Cibernetica. E quale potrebbe essere un asset ricco di dati, con elevate capacità di analisi e dove si annidano figure professionali particolarmente abili nella gestione della sicurezza cibernetica? Domanda retorica.

Non affronto, in questo pezzo, il tema delle figure legate al mondo del hacking e del cracking (nelle sue varie forme) che nel tempo hanno collaborato con enti governativi. E’ un altro capitolo e non ci interessa ai fini della riflessione.

Proviamo ad imparare qualcosa da questo macro esempio di strategia: è poco plausibile mantenere il “vecchio” modello in cui corriamo ai ripari quando qualcosa non va e mettiamo presidi sulla base di ciò che sappiamo senza considerare che non possiamo sapere tutto.

È molto più efficacie ed efficiente, anche dal punto di vista della sostenibilità economica, analizzare quali sono i nostri punti deboli in funzione dell’impatto che avrebbe una minaccia cibernetica nel nostro modello di business e, sulla base di dati reali, valutare una strategia di difesa. Un’analisi della nostra superficie d’attacco affiancata alla verifica delle potenziali minacce che, in un reale contesto, farebbero breccia nella nostra organizzazione ci consentirebbe di valutare appropriate precauzioni.

Un passaggio ulteriore è mettere a frutto questo percorso che può portare valore non solo in termini di maggiore sicurezza della propria organizzazione ma anche come garanzia di affidabilità nei confronti di altre aziende e clienti. È banale: se a parità di prodotto / servizio ciò che la vostra organizzazione eroga viene accompagnato da una nota che ne attesta la robustezza secondo specifici test (ad esempio) o scelte tattiche ne otterrete un vantaggio competitivo.

Non so voi ma se devo sottoscrivere un servizio o acquistare un prodotto e mi trovo a dover scegliere tra più proposte equivalenti dal punto di vista funzionale ed economico, quella che mi da maggiori garanzie dal punto di vista dell’affidabilità e della resilienza è la proposta che vince.

Dedicate qualche minuto al tema del vantaggio competitivo, ci torno nel prossimo podcast.

cyber security, podcast

Sintesi cibernetica #10

Inizio la mia rubrichetta (fatemi sperimentare un po’) su ciò che questa settimana ha calamitato la mia attenzione nel mondo cibernetico, ammesso che ci sia una qualche reale differenza rispetto al mondo fisico.

Lo 0-Day su Exchange ve lo siete già dimenticati tutti ma in realtà il tema è tutt’altro che chiuso e mi aspetto torni alla ribalta nel giro di qualche settimana. L’innesco è della settimana #9 e, oltre ad aver registrato una reattività non proprio eccellente da parte degli utilizzatori di questa piattaforma, i movimenti relativi alle vulnerabilità segnalate sono datati gennaio 2021 da diversi analisti. Ovviamente spero di sbagliarmi ma c’è la seria possibilità che fra qualche settimana vedremo gli effetti delle azioni di attacco in corso per mano di vari gruppi di criminali cibernetici.

Il tema della settimana è stato in realtà l’incendio che ha interessato il campus Datacenter di OVH a Strasburgo. Una delle quattro sale è andata completamente distrutta nella notte tra il 9 e 10 marzo, un’altra sala è stata in parte danneggiata. Tutto il sito è ovviamente stato spento per consentire le operazioni di verifica, pulizia e ripristino di ciò che si potrà accendere, ipostenicamente in settimana #12 come OVH stessa riporta sul proprio sito al seguente link: https://www.ovh.it/news/press/cpl1785.incendio-nel-dataceneter-strasburgo

L’evento è sicuramente qualcosa di eccezionale e le indagini chiariranno cosa è effettivamente accaduto considerando che questo tipo di installazioni sono tipicamente molto ben progettate e presidiate anche se in questo caso potrebbero esserci stati elementi o scelte architetturali un po’ datate. Per ora si possono fare solo supposizioni e speculazioni, cosa che personalmente eviterei fino a quando non ci saranno dei dati da analizzare e delle dichiarazioni da parte di OVH stessa che, proprio oggi, ha iniziato ha fornire qualche dettaglio sull’incidente che parrebbe essere stato causato da un guasto ad un UPS.

L’impatto è devastante: quattro sale spente di quella dimensione generano ripercussioni su migliaia di aziende e non saprei calcolale quanti utenti. Non si tratta semplicemente di avere dei siti web non disponibili, i Datacenter in oggetto ospitavano diversi sistemi e applicativi, oltre che molti archivi di dati al momento non disponibili. Per alcuni di questi archivi vi è la seria possibilità che non siano recuperabili.

Quasi tutti i commenti che ho letto ed ascoltato hanno il sapore del monito verso chi eroga servizi Datacenter o verso i clienti che ritengono di non aver bisogno di un Disaster Recovery. Propongo in alternativa una riflessione in relazione alla livello di dipendenza che abbiamo costruito nei confronti di una serie di tecnologie di cui generalmente non sappiamo nulla. Personalmente comincio a vedere delle debolezze nel paradigma dell’accessibilità alla tecnologie a prescindere da una consapevolezza di base, una sorta di livello minimo di cultura necessario per accedere ad una tecnologia di questo tipo. Soprattutto per chi ha poi intenzione di fare del business tramite questa tecnologia.

Ora l’evento in se è forse anche troppo estremo, ma i disservizi esistono anche nei migliori Service Provider che siano di qualche minuto, di qualche ora o di giorni interi come in questo caso. E’ qualcosa di cui bisogna essere consapevoli e solo quando ci sarà questa consapevolezza di base si potranno fare valutazioni di merito su temi tattici come i piani di recovery, la ridondanza geografica e tutto quello che volete metterci dentro.

Ultimo tema che mi ha interessato, un po’ in ritardo in realtà perché la notizia è della settimana #9, è la prossima missione che vedrà coinvolta Samantha Cristoforetti nel 2022. Da qualche tempo ho iniziato a seguire le evoluzioni tecnologie che ci stanno permettendo di avviare una nuova era di esplorazioni spaziali e, giusto per restare allineato al mio modo di approcciare la scienza e la tecnologia, ho iniziato a ragionare sulle implicazioni di un compromissione delle infrastrutture a supporto delle missioni spaziali e, più in generale, al tema della sicurezza cibernetica in uno scenario che vede l’umanità impegnata nell’esplorazione del sistema solare e nella colonizzazione di Marte. Una riflessione che è bene iniziare con largo anticipo.

hacking

Exchange 0-day, una settimana dopo

Mi ero ripromesso di dedicare qualche minuto ad un approfondimento su quanto accaduto dopo la pubblicazione del post del CSIRT ed aver atteso una settimana ha consentito di considerare diversi eventi e di approfondire alcune analisi così da elaborare qualche considerazioni su una situazione che, a parer mio, è tutt’altro che risolta.

I fatti sono noti a tutti: il 03 marzo viene annunciato da tutti i siti di settore che è stato individuato un attacco 0-day in grado di sfruttare una serie di vulnerabilità di Microsoft Exchange (2013, 2016, 2019) con l’obiettivo di compromettere il sistema e, potenzialmente, rubare informazioni sensibili come il contenuto della posta elettronica del server attaccato.

Come ho scritto in un post poco dopo l’annuncio, si è trattato della “ricetta perfetta”: Exchange è largamente utilizzato da aziende medie e grandi, le vulnerabilità sono sfruttabili da remoto se il sistema espone funzionalità fruibili via https (cosa che ovviamente fanno tutti) e l’annuncio parlava di 0-day, non solo di vulnerabilità… quindi doveva essere chiaro che l’attacco era già cominciato.

Un post interessante lo trovate sul blog di FireEye dove vengono illustrati alcuni comportamenti osservati già da gennaio 2021 in relazione alle vulnerabilità CVE-2021–26855 e CVE-2021–26858. Le attività analizzate si riferivano allo sfruttamento delle vulnerabilità per il posizionamento di una web shell sul sistema target.

Quello che di fatto abbiamo osservato è che la fase “1” dell’attacco, relativa all’exploiting atto al posizionamento della web shell, era già in corso e sono certo che molti di quelli che si sono apprestati ad installare le patch suggerite da Microsoft hanno potuto verificare la presenza della web shell nel path c:\inetpub\wwwroot\apsnet_client\ del sistema Exchange sotto forma di file *.aspx; nel seguente repo di GitHub è stato riportato un elenco di possibili nomi dei file che vengono caricati attribuiti ad una famosa web shell nota con il nome di China Chopper.

Note: questo potrebbe dar sostanza ai sospetti di Microsoft stessa sul gruppo responsabile di questa campagna di attacchi che si ritiene essere HAFNIUM.

La prima doverosa nota tecnica si riferisce al comportamento dei firewall che tipicamente vengono configurati con un NAT per esporre i servizi di Exchange: molti firewall sono in grado di rilevare specifiche minacce grazie alle funzionalità di inspection, ma nel caso specifico l’azione avviene all’interno di una sessione HTTPS e quindi, a meno che il Firewall o il WAF non sia configurato per eseguire attività di SSL decryption, resta assolutamente invisibile al sistema di presidio del perimetro esterno.

Una volta portata a termine la prima fase dell’attacco, avendo a disposizione una web shell ricca di funzionalità, l’attacker è in grado di tentare ulteriori azioni anche contando sulla presenza delle altre vulnerabilità rese note nello stesso contesto (CVE-2021–26857 utilizzata per eseguire codice arbitrario sul sistema con utente SYSTEM e CVE-2021–27065 utilizzata per la scrittura arbitraria di file sul file system del server Exchange).

Nel caso specifico ciò che avviene è un tentativo di garantirsi un accesso persistente al sistema (il mio Red Team ha intercettato l’installazione di DLL e la registrazione di servizi al fine di garantire il dialogo persistente verso il server di Command and Control) e successive azioni che puntano al furto delle informazioni contenute nel sistema con particolare riferimento ai dati in memoria gestiti dal processo LSASS (quindi anche le credenziali) ed i dati presenti sul file system (le mailbox).

Le evoluzioni di questi comportamenti sono presentate anche in un post di Microsoft che è stato via via aggiornato e che da qualche spunto interessante.

Sulle azioni successive al primo exploit ci sono ulteriori elementi di analisi che possono essere utili ad una detection e mitigation dell’attacco. In particolare le attività che portano ad un dialogo verso il C2 server possono essere intercettate dai firewall che mettono a disposizione specifiche funzionalità di verifica del traffico e delle destinazioni. Una certa reattività potremmo aspettarcela anche dai sistemi di anti-exploiting di cui, spero, tutti facciate uso anche se, devo essere onesto, i rilevamenti fatti mi hanno lasciato perplesso su quest’ultimo fronte.

Per chiudere qualche suggerimento (banale ma doveroso):

  • Non avere ancora installato i fix? Mi complimento per il coraggio… fateli ma mettete anche in conto una bonifica del sistema.
  • Avete versioni precedenti di Exchange? Avete un problema ben peggiore perché state utilizzando un sistema end of support per gestire un asset fondamentale per la vostra organizzazione.
  • Avete applicato i fix subito dopo gli annunci? Bene, assicuratevi che il primo exploit non sia stato lanciato e verificate il traffico del vostro Exchange server sul firewall.
  • Precauzionalmente eseguite un cambio password del Domain Admin (due volte) e, già che ci siete, forzate un cambio password all’utenza.

Come sempre mi piacerebbe confrontarmi con chi si trova a gestire il problema all’interno delle organizzazioni. Ogni vostro contributo è prezioso alla community.

hacking

Punti di vista

Premetto che in questo pezzo vorrei far cadere qualche tabù, temi che tutti conosciamo bene ma che talvolta causano un po’ di imbarazzo. Mettiamolo da parte e guardiamoci serenamente in faccia… siamo tra professionisti.

Parte della mia ricerca in relazione allo studio delle tecniche di attacco è focalizzata sulla “percezione di sé”, ovvero come ognuno di noi interpreta la propria realtà. Quando osserviamo il nostro contesto abbiamo una percezione parziale di ciò che esiste dettata da molteplici aspetti: la nostra capacità di osservazione, il nostro grado di conoscenza del contesto, le nostre competenze… ma anche le nostre abitudini, la nostra esperienza, la nostra scala di valori. Analizzarsi è complesso e, pur non essendo impossibile, è estremamente inefficiente. Diventa più sensato, ritengo quasi in tutti i casi, sfruttare un punto di vista terzo e possibilmente non interessato, indipendente, agnostico. Su questo assunto ho basato parte del mio approccio in tema di gestione della sicurezza cibernetica delle organizzazioni.

Il punto di vista dell’organizzazione (del team IT di solito, ma in generale di chi ha ruoli di responsabilità) da solo non basta: è limitato a ciò che si conosce di sé e difficilmente è oggettivo, o quanto meno al sottoscritto non è ancora capitato di leggere un’analisi auto-prodotta oggettiva negli ultimi 20 anni.

Il punto di vista di chi vende, implementa e gestisce soluzioni (indispensabili, non lo dirò mai abbastanza) non è sufficiente a superare il traguardo dell’obiettività in quanto esiste un interesse specifico, soprattutto da parte dei vendor che producono soluzioni tecnologiche, di vendere la propria tecnologia.

Nota sui vendor: non me ne vogliate, fate cose meravigliose e ogni giorno che passa non mancano novità strabilianti, ma è un dato di fatto che ognuno porta la propria bandiera a prescindere da tutto… non ho mai visto un vendor non dire “la mia soluzione è quella migliore”. Non è una critica, è un dato di fatto, teniamolo in considerazione.

L’elemento terzo, indipendente e non legato ad interessi specifici, diventa necessario per portare un punto di vista disinteressato, o meglio, interessato ad un miglioramento della postura dell’organizzazione in tema di sicurezza cibernetica, a prescindere dal logo delle soluzioni che l’azienda vorrà adottare e dalla posizione dei team interni. L’obiettivo è migliorare e transita necessariamente per un cambiamento, fattore che tende a spaventare molto.

Dobbiamo scrollarci di dosso un po’ di paura. Dobbiamo voler cambiare. A chi leggerà queste quattro righe chiedo di fare una riflessione e, per chi lo vorrà, si potrebbe anche organizzare una chiacchierata tra attori interessati al tema.

hacking

L’approccio che genera competenza che genera valore

Ho avuto un giro di incontri e dialoghi fortunati (virtuali ovviamente): in tre occasioni, a distanza di pochi giorni, ho potuto discutere con altrettanti manager e figure di responsabilità di tre aziende molto strutturate — dimensioni oserei dire “ginormiche” — in merito alla gestione della sicurezza cibernetica all’interno del processo creativo e produttivo.

(Credit: Kahveci)

Nonostante le differenze a livello di modello di business e di mercato (il comune denominatore è la realizzazione di device interconnessi) delle tre organizzazioni il tema era sostanzialmente lo stesso e ruotava attorno alla stessa domanda: come si può implementare un modello di sviluppo che dia delle garanzie sulla sicurezza del prodotto finale dal punto di vista dell’esposizione alle minacce cibernetiche?

La portata del tema, credo sia chiaro, è immensa… è ovvio che le garanzie sulla sicurezza dei device (per lo più IoT in questo caso) che si connettono alle reti domestiche ed aziendali diventeranno un termine di paragone per l’utenza che ne dovrà valutare l’acquisto e l’impiego, su questo credo non ci siano dubbi.
La mia riflessione è però relativa ad un altra questione: è meritevole di attenzione l’approccio che le organizzazioni adotteranno per avviare un processo di crescita virtuoso che parta dalle fondamenta delle organizzazioni stesse, dalle persone.

Le persone, oltre ad essere il propulsore delle organizzazioni, sono anche parte della “miscela propulsiva” con le loro idee e le loro attitudini. Un corretto approccio alla gestione della sicurezza informatica, maturato all’interno di un percorso di consapevolezza, è ciò che potrebbe portare i componenti delle organizzazioni a farsi delle domande sul modo in cui agiscono (nel privato come in un contesto lavorativo), sulle procedure che seguono (e che non seguono), sul design di una soluzione, sugli impatti di una scelta strategica.

Mettere in discussione il modello corrente, individuandone e correggendone le falle, è ciò che consentirà alle organizzazioni di crescere. Se questo percorso viene indotto coinvolgendo gli interessati, ovvero i creatori e gli utilizzatori del “modello corrente”, non solo vi sarà l’opportunità di migliorare il modello ma si potrà instillare nei membri dell’organizzazione la capacità di mettere in discussione i modelli in uso al fine di migliorarli.

Esco dalla narrazione dei concetti e torno nel “mondo vero”. Mettendo in discussione il processo, ad esempio, di sviluppo software (vale per qualsiasi processo) di una divisione aziendale che si occupa di scrivere parte di una applicazione o del firmware di un device posso verificare se il modus operandi del team è, in qualche modo, exploitable. Esiste una procedura di validazione del codice? E’ documentata e nota a tutti? Viene rispettata? Come viene gestito il codice? Come viene eseguito il testing della soluzione? Esiste un piano di remediation? Esiste un piano di analisi dei bug? […] Io, da solo, posso formulare un centinaio di domande solo per questo contesto… un team interdisciplinare con specifiche competenze e con il corretto mindset è la base per iniziare mettere in discussione il modello, per perfezionarlo e per contagiare (mi concederete il termine) l’intero team di sviluppo e gli altri team affinché il modello diventi parte dell’organizzazione stessa. Da processo ad approccio.

Una nota conclusiva forse banale ma che mi ha fatto riflettere: il fatto che mi sia trovato a discutere questo tema con più persone di uno specifico settore non è da leggersi come una coincidenza, è un trend, un meraviglioso trend che porta le organizzazioni a ragionare sul valore del prodotto finale e sugli impatti delle scelte che sono chiamate a fare in tema di gestione della sicurezza informatica e tutela della privacy.

cyber security

Competenza ed addestramento

Provo ad affrontare un tema che mi sta a cuore e per il quale sarà inevitabilmente necessario fare delle integrazioni al mio ragionamento, spero coinvolgendo proprio quelle figure che oltre ad essere competenti sono anche addestrate o desiderano esserlo.

“Credit: Venitas”

Mi limiterò, in questo post, alla mia area di competenza (appunto), ovvero la sicurezza informatica ed in particolare il tema della Difesa dalle minacce cyber che in un certo senso significa essere pronti alla gestione della minaccia, prevenirla, e combatterla in caso dovesse manifestarsi con un attacco.

Il ragionamento ha a che fare con l’abisso che esiste tra una figura professionale competente, che è già di per se una cosa non banale in quanto è conoscenza ed esperienza assieme (passatemi la semplificazione), ed una figura professionale addestrata. Non si tratta di temi da contrapporre, una persona addestrata su un particolare tema deve necessariamente essere competente, deve padroneggiare la conoscenza della materia. Non tutte le persone competenti sono addestrate, questo può diventare un problema.

Spostiamoci dalla filosofia al mondo vero e per semplicità partiamo dell’ambito prettamente informatico anche se il ragionamento deve essere trasversale.

Nota: circoscrivere la cyber security solo ai temi IT è un grave errore, ne parlerò in prossime occasioni.

Nel mio lavoro (mi occupo di aiutare le organizzazioni a costruire una strategia di difesa dalle minacce cibernetiche, al secolo i Cyber Attack) incontro moltissime persone competenti, persone estremamente in gamba, con anni di esperienza nel loro campo. Molto spesso queste persone, che vantano hard skills fenomenali, non sono addestrate a gestire una minaccia informatica, banalmente perché non sono nella condizione (fortunatamente per le loro organizzazioni) di passare da un security incident all’altro. E’ un tipo di esperienza che, chi ricopre ruoli di gestione tecnica e governance in ambito IT e Security, tipicamente non fa fino a quando l’incident si verifica.

Essere o non essere preparati, addestrati, fa tutta la differenza. Un percorso di addestramento per le figure chiamate a gestire la sicurezza informatica di una organizzazione è ciò che consentirà a quell’organizzazione di avere delle procedure di gestione degli incident, avere personale addestrato a reagire in modo corretto, avere una rete di contatti da coinvolgere in base all’esigenza… e mille altre “armi” di prevenzione e gestione. Non essere addestrati alla battaglia, l’ho visto mille volte, genererà panico.

Nota operativa:
Ci sono diversi gradi di “addestramento” che possono essere presi in considerazione dai team in base alle peculiarità del team stesso, personalmente — lavorando per lo più in ambito offensivo — mi sono occupato di addestrare Blue Team e strutture di presidio, come i SOC, per migliorare le procedure di difesa o per imparare a gestire casi reali tramite simulazioni di attacco. Questo è un esempio di addestramento di carattere tecnico, ma lo stesso lavoro può essere fatto per la consapevolezza o per la visione strategica.

Ora, visto che siamo sempre nel mondo vero, è difficile essere sempre nella condizione di avere un team competente ed addestrato su tutti i fronti, non vuole essere questo il messaggio banalmente perché potrebbe non essere economicamente conveniente avere un Cyber Security Team “completo” all’interno dell’organizzazione. Come in passate occasioni il suggerimento è di ragionare su come l’addestramento dei vari team operativi possa rendere efficiente ed efficace la gestione della sicurezza informatica in ottica di investimento qualitativo.

È un cambio di paradigma: da costo necessario ad investimento in aumento della qualità. Un investimento che deve necessariamente essere letto come un incremento dei presidi di sicurezza tanto quanto un aumento di valore dell’organizzazione che dovrà diventare sempre più anti-fragile e garantire livelli di servizio appropriati ai propri clienti e partner.

hacking

Supply Chain Attack

Di per se il concetto è molto semplice: viene colpito un elemento vulnerabile di una organizzazione in un contesto di intima relazione con altre organizzazioni al fine di colpire l’intero cluster.

Le organizzazioni (aziende, enti privati e pubblici, associazioni, ecc) sono oggi molto legate tra loro in rapporti di cooperazione, fornitura di asset e servizi, partnership. E’ del tutto ovvio, se non indispensabile, che si avviino relazioni intime in cui le stesse fondamenta dell’organizzazione dipendono dai servizi erogati dai propri partner. Viviamo quindi in un contesto sociale e di mercato in cui nulla è isolato dal resto del mondo e pochi elementi di questa maglia possono influire sull’intera struttura.

Banalizzando: se la mia azienda vende prodotti o servizi tramite una piattaforma online, ospitata da una qualsiasi piattaforma cloud che il mercato offre, è ovvio che un fault sulla piattaforma in questione si ripercuote sul mio business e sulla mia reputazione; in un contesto di security incident questa proprietà transitiva rischia di essere parecchio fastidiosa. E’ inoltre ovvio che se il servizio da me erogato non è fruibile o ha subito un incidente riguardante — ad esempio — il furto di dati, l’impatto di ciò che è accaduto al mio fornitore arriva a toccare al mio cliente finale che, tipicamente, verrà da me a chiedere spiegazioni.

Legami di questo tipo esistono a tutti i livelli e possiamo fare mille esempi. Gli studi professionali gestiscono dati talvolta riservati dei propri clienti e probabilmente lo fanno tramite un sistema informatico che, a sua volta, è gestito da personale interno o esterno che deve necessariamente dotarsi di strumenti e tecnologia. Hardware e software vengono tipicamente acquistati da aziende specializzate nella produzione di questi asset o acquisiti a servizio per sostituire soluzioni on premise.
Un’anomalia software dal punto di vista della sicurezza informatica mette quindi a repentaglio l’organizzazione che utilizza il software/servizio che presenta l’anomalia, ma anche i dati che vengono con esso gestiti. Ne siamo tutti ben consapevoli.

Ciò che è recentemente accaduto a SolarWinds è semplicemente l’esempio di più eclatante per impatto, ma la modalità è sempre quella: SolarWinds è stata colpita direttamente al fine di manomettere il software dalla stessa azienda distribuito. A seguito del rilascio delle nuove versioni, opportunamente modificate degli attacker, le organizzazioni clienti (e che organizzazioni) hanno di fatto installato una versione vulnerabile la cui falla era ben nota agli attacker che hanno così potuto colpire, senza troppa fatica, i clienti di SolatWinds tra cui ci sono nomi come il Pentagono, la NASA, la NSA e Microsoft. Letteralmente un disastro, un meteorite di cui i danni dell’impatto non sono ancora chiari.

Ma questo è solo un evento, l’ennesimo, non è il messaggio che voglio condividere. La riflessione su cui vorrei portarvi si riferisce all’esigenza di cambiare modo di ragionare in relazione all’approccio alla sicurezza informatica. Dobbiamo uscire dalla gabbia mentale in cui ci siamo chiusi per anni dove la sicurezza di fa acquistando una soluzione o un servizio.

Nell’attuale contesto il tema lo si affronta con la volontà di agire secondo una logica cyber-sicura, le nostre organizzazioni devono essere intrinsecamente sicure: dobbiamo implementare processi sicuri, dobbiamo imparare ad usare gli strumenti in modo sicuro, comunicare in modo sicuro, gestire i dati in modo sicuro, lavorare in modo sicuro a tutti i livelli (non solo IT).

Costruire una cultura della sicurezza informatica ci porterà a realizzare prodotti e servizi che sin dalle fasi di design saranno stati concepiti in un contesto dove la sicurezza dei dati e delle infrastrutture era un valore intrinseco del processo di produzione, valore che può essere trasferito nel risultato del nostro lavoro e come tale verrà percepito dai nostri clienti e collaboratori.

Le nostre organizzazioni fanno parte della stessa enorme catena: impariamo a collaborare con anelli robusti ed accertiamoci di essere un anello robusto con cui sia vantaggioso collaborare.

cyber security, hacking, update

Armamenti Cibernetici

WarGames (1983)

Da qualche giorno ho iniziato a riflettere su un tema etico che interessa tutto il mondo della ricerca scientifica in — credo — tutti i campi: la possibilità che il proprio lavoro sia trasformato in un’arma.

Siamo tutti consapevoli del fatto che la ricerca nel campo della sicurezza offensiva sviluppa competenze, tecniche e strumenti che possono essere / sono utilizzati anche dal mondo del crimine organizzato. E’ un tema con cui conviviamo da sempre e chi opera in questo settore sa quanto siano necessari questi strumenti per supportare le organizzazioni nello sviluppo di una strategia di difesa efficacie.

La riflessione che vorrei proporre è un’altra e va in una direzione assolutamente legale, mi riferisco all’evidente crescente esigenza delle organizzazioni governatore e militari di ricorrere all’impiego di “armi cibernetiche” per perseguire i propri scopi istituzionali. E’ un capitolo immenso di una storia che è appena agli inizi, ma non ha senso ignorarla.

Ragionando mi sono posto mille domande di cui di seguito alcune:

  • Le organizzazioni interessate a sviluppare delle strategia di difesa che comprendano l’uso di armi cibernetiche si attrezzeranno in autonomia o valuteranno collaborazioni con aziende e consulenti esterni? (preso atto del fatto che la materia è ad oggi padroneggiata per lo più da realtà private)
  • Si paleserà un mercato “aperto” di armi cibernetiche così come oggi esiste un mercato che vede protagonisti grandi gruppi industriali che producono armi “tradizionali”?
  • Le competenze e l’addestramento dei “soldati” e degli “operatori” chiamati ad utilizzare queste armi da chi sarà portato avanti? (tenendo in considerazione le verticalità dei temi e delle relative figura professionali)

Lungi da me fare la morale, non è il mio ruolo e non è mio interesse, ma un invito a riflettere mi sembra quanto meno opportuno. Tutti i ricercatori ed i professionisti che operano nel campo della sicurezza informatica sono potenzialmente interessati in prima persona, meglio avere le idee chiare per evitare di fare scelte azzardate, qualsiasi sia la direzione che si desidera prendere.

update

Dell’esigenza di condividere e divulgare

Negli anni ho approcciato il tema della condivisione di contenuti in molte forme e spesso senza una particolare struttura ne una precisa strategia… tanta volontà e un po’ di tempo investito. Mi rendo conto – e leggo da tutte le parti – che divulgare un contenuto richiede anche altro e, dopo tanti esperimenti, provo a strutturare i miei contenuti ed i canali di comunicazione.

Ho sempre utilizzato la scrittura in un mondo in cui si tende a non aver tempo per leggere. Continuerò a scrivere (mi piace) ma affiancherò al testo dei contenuti “raccontanti” tramite altre piattaforme social che, proprio in queste ore, sto studiando per comprendere quale sia quella più appropriata.

Le motivazioni alla base di questo progetto sono assolutamente egoiste: per passione e per professione ho l’esigenza di confrontarmi con persone che comprendano i temi di cui parlo e non è scontato che tutti abbiano il tempo o l’opportunità di documentarsi a fondo su temi complessi talvolta fuori dal proprio contesto. Spero che il mio contributo consenta a professionisti e neofiti di comprendere meglio il complesso mondo digitale analizzato dal punto di vista della sicurezza informatica e spero che questo porti ad un confronto di valore per tutti gli interlocutori.