Obama: sanzioni contro gli hacker stranieri

By

-

4 April 2015 - 13:04

Barack Obama pochi giorni fa ha annunciato un nuovo programma di sanzioni per colpire economicamente gruppi o individui fuori dagli Stati Uniti che opereranno attacchi cibernetici contro interessi USA.

Ammettiamo di aver atteso un po’ per capire se si trattasse di un pesce d’aprile, poiché l’annuncio è stato fatto proprio il primo del mese. L’esitazione è dovuta al fatto che nel nostro campo si sa bene come la paternità delle azioni cibernetiche sia spesso difficile da stabilire con certezza. Triangolazioni e “false flag” sono all’ordine del giorno, e lo saranno sempre di più via via che gli attaccanti guadagneranno esperienza.

Per fare due esempi classici, l’attacco a Sony del novembre 2014 è stato attribuito alla Corea del Nord, anche se molti esperti pensano che Pyongyang non abbia avuto nulla a che fare con l’hack, mentre l’operazione Olympic Games degli anni 2006-2010 (quella, per intenderci, del malware Stuxnet) è stata sempre attribuita a una collaborazione congiunta di Stati Uniti e Israele, che però non hanno mai confermato.

In altre parole, le operazioni di cyber warfare condotte finora sono state più territorio dei servizi segreti che non degli apparati militari, e mentre nella guerra convenzionale un massiccio trasporto di truppe o un attacco di terra sono difficili da nascondere, nella guerra cibernetica un denial of service o un malware sono molto più facili da attribuire a terzi. Magari strumentalizzando un gruppo di hacker in uno Stato estero in una classica operazione di false flag.

Anche esperti legali e politici americani ritengono che sia difficile individuare i responsabili di attacchi hacker, per questo motivo la mossa – più che di uno strumento per contrastare l’hacking contro gli USA – ha il sapore di una presa di posizione per stabilire alcuni princìpi. Anzitutto il principio che l’hacking non è più considerato un crimine di serie B, poi il principio che gli interessi informatici degli Stati Uniti sono equiparati (se non superiori) a quelli materiali, e infine il principio che Washington è più che pronta a usare l’arma della deterrenza – anche economica – per contrastare tali attività.

Fonte:
http://www.reuters.com/article/2015/04/01/usa-cybersecurity-idUSL2N0WY1OL20150401

USA: nuova strategia di cyber difesa per la Guardia Costiera

By

Luca Sambucci

-

2 April 2015 - 18:15

La Guardia Costiera statunitense ha in cantiere una nuova strategia di cyber difesa, che proteggerà dagli attacchi informatici non solo i propri sistemi, ma anche i 3.600 porti e strutture portuali degli Stati Uniti, oltre alle navi che li usano.

In una recente intervista^[1] il Comandante della Guardia Costiera, Ammiraglio Paul Zukunft, ha affermato che la nuova strategia di cyber difesa individuerà i requisiti per armatori, aziende di trasporti e autorità portuali. Ricordando che molti grandi porti degli Stati Uniti sono quasi completamente automatizzati, Zukunft ha evidenziato come questo li renda vulnerabili ad attacchi cibernetici e come a oggi non vi siano obblighi di protezione in tal senso, né standard comuni.

In molti casi le gru portuali sono automatizzate, mentre sulle moderne navi da carico i motori possono essere controllati da terra, cosa che rende tali strutture potenziali obiettivi di attacchi cibernetici. Con il 90% del commercio statunitense che viaggia per mare, e con molti porti e aziende di trasporti che non hanno adeguate misure di sicurezza per i loro sistemi informatici, la Guardia Costiera intende aumentare i livelli di protezione di questi asset strategici, collaborando con il Cyber Command e con il Dipartimento della Sicurezza Interna (Homeland Security) per analizzare eventuali attacchi e determinarne la provenienza.

Fonte:
[1] http://www.c4isrnet.com/story/government/cybersecurity/2015/03/12/coast-guard-cyber-plan-ports-shipping/70203712/

Pentagono meno restrittivo nell’assumere hacker?

By

Luca Sambucci

-

31 March 2015 - 20:05

Recentemente negli Stati Uniti una nota^[1] dell’Ufficio federale per la gestione del personale annuncia che il Dipartimento della Difesa è autorizzato ad assumere 3.000 civili per mansioni connesse alla sicurezza informatica. I candidati dovranno avere capacità tali da poter condurre, fra le altre cose, “analisi strategiche del rischio cyber, gestione degli eventi avversi e analisi di malware e vulnerabilità”. Tutti skill facenti parte del repertorio di un buon esperto di sicurezza informatica, oltre che di un hacker.

Del resto lo stesso Ammiraglio Michael Rogers, contemporaneamente a capo della National Security Agency e del Cyber Command, in una recente audizione al Senato^[2] aveva parlato del progetto di portare il Cyber Command a 6.200 unità entro il 2016.

Quello che però non risulta evidente dalle notizie ufficiali è il fatto che in questo caso la procedura di screening dei candidati potrebbe avere maglie leggermente più larghe. Premesso che il termine hacker in sé non ha una connotazione negativa, è possibile che alcuni di questi candidati in passato abbiano compiuto qualche leggerezza di troppo nel mettere a frutto le loro conoscenze di hacking. Visto però che al Cyber Command servono esperti di sicurezza cibernetica, ne servono tanti e servono in fretta, c’è chi dice^[3] che durante lo screening questi atti di “frivolezza” giovanile potrebbero essere ignorati se ciò consentisse di portare alle dipendenze del Pentagono hacker competenti, in grado cioè di far fronte agli attacchi dei cyber-avversari degli Stati Uniti (Cina, Russia, Iran e Corea del Nord in testa).

Fonti:
[1] https://www.federalregister.gov/articles/2015/03/05/2015-05185/excepted-service
[2] http://www.armed-services.senate.gov/download/rogers_03-19-15
[3] https://www.strategypage.com/htmw/htiw/articles/20150319.aspx

Anche il Canada ha le sue armi cibernetiche

By

Luca Sambucci

-

24 March 2015 - 20:57

Documenti top secret finiti nelle mani dei giornalisti di The Intercept (una delle testate che riceve i leak da Edward Snowden) e della CBC rivelano come il Canada abbia messo a punto un cyber arsenale per difendere le proprie infrastrutture e attaccare quelle del nemico. Il Communications Security Establishment, l’agenzia governativa canadese che si occupa della sicurezza informatica, avrebbe la capacità di spingersi ben oltre le normali attività di difesa e di controspionaggio. Fra le operazioni che il CSE sarebbe in grado di compiere in territorio straniero figurano:

la distruzione di infrastrutture informatiche
attività di triangolazione o “false flag” per operare fingendosi uno Stato terzo
il disturbo del traffico online, come ad esempio la cancellazione di mail, il blocco delle connessioni a Internet e dei siti web

L’agenzia canadese avrebbe inoltre a disposizione il tool di attacco noto come QUANTUM, sviluppato dalla statunitense National Security Agency (stretta alleata del CSE), che consentirebbe di infiltrare network e computer superando le difese commerciali con attacchi di DNS, SQL e HTTP injection.

Ovviamente vi è una differenza sostanziale fra l’essere in grado di svolgere tali attività e il metterle in pratica, ma il dibattito in Canada è comunque acceso. C’è chi spera che il CSE usi tutti i mezzi a disposizione – difensivi e offensivi – per combattere il cyber terrorismo, e chi preferirebbe un maggiore controllo delle attività di cyber guerra svolte dalle agenzie di intelligence.

Fonti:
http://www.cbc.ca/news/canada/communication-security-establishment-s-cyberwarfare-toolbox-revealed-1.3002978
https://firstlook.org/theintercept/2015/03/23/canada-cse-hacking-cyberwar-secret-arsenal

Hacker ucraini in aiuto dei servizi di sicurezza

By

Luca Sambucci

-

16 March 2015 - 21:15

Nel settore della cyber difesa è noto come diversi governi collaborino attivamente con “hacker privati“: in alcuni Paesi le agenzie deputate alla guerra cibernetica tengono contatti con gruppi criminali di hacker a cui ogni tanto fanno fare il gioco sporco, vuoi per mantenere la deniability, vuoi perché gli hacker in certe attività sono meglio organizzati.

Questi contatti sono generalmente presunti e mai confermati, come ad esempio nel caso dell’Iran, che secondo alcuni rapporti userebbe hacker locali per compiere attività delle quali non vuole il coinvolgimento diretto. In questi casi però il Paese tende sempre a ignorare o a smentire tali voci.

Per questo è degna di nota la recente dichiarazione di Vitaliy Nayda, capo del dipartimento per la sicurezza informatica dei servizi di sicurezza ucraini SBU (Служба Безпеки України) – e riportata da Interfax-Ucraina – nella quale egli ammette che i servizi hanno in attivo una proficua collaborazione con “hacker e programmatori del settore privato” in chiave anti-russa.

“Sfortunatamente, le nostre risorse per la guerra informatica non sono paragonabili a quelle che la Federazione Russa ha allocato per la guerra contro l’Ucraina” ha affermato l’esponente dei servizi, che continua “Per questa ragione in questo conflitto cyber ci affidiamo al settore non statale, ovvero ai programmatori ucraini” che però Nayda non vuole chiamare hacker.

Ma chi si aspetta l’ammissione di attacchi cibernetici in stile “black ops” contro la Russia resterà deluso. La collaborazione è posta in un’ottica esclusivamente difensiva, poiché l’aiuto di questi “programmatori” si limita a scoprire vulnerabilità nei sistemi governativi “prima che esse arrivino all’attenzione di hacker e servizi speciali russi“.

Fonti:
http://en.interfax.com.ua/news/general/255093.html
http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf

La Cina e la guerra informatica integrata

By

Luca Sambucci

-

5 March 2015 - 19:58

Già che siamo in tema di Cina, un ricercatore della Nanyang Technological University di Singapore, Michael Raska, pochi giorni fa ha pubblicato un breve documento che si occupa delle capacità di cyberdifesa cinesi e della direzione che prenderà la strategia di Pechino in quanto a guerra cibernetica. Molte delle considerazioni espresse nel documento si trovano anche nella testimonianza che un ricercatore della Heritage Foundation, Dean Cheng, ha fatto due settimane fa davanti alla Commissione “US-China Economic and Security Review” del Congresso degli Stati Uniti.

Vi è un concetto importante da tenere a mente: 网电一体战, o wangdian yitizhan, descrive la nozione di guerra informatica integrata, ovvero azioni di guerra coordinate dove le offensive informatiche sono affiancate da operazioni di guerra elettronica (jamming, ecc) e da attacchi cinetici in piena regola, con il fine di disabilitare le capacità informatiche dell’avversario. Il tutto rientra nelle aspirazioni cinesi di poter compiere attacchi simultanei via terra, aria, mare, spazio e cyberspazio (parte della loro dottrina militare che punta a contrastare avversari militarmente più forti, come gli Stati Uniti).

Per supportare questa strategia integrata l’esercito cinese necessita di 制信息权, o zhi xinxi quan, ovvero il dominio sulle informazioni, vera chiave di volta – secondo la Cina – per affermare la supremazia in tali operazioni. In questa logica rientra lo spionaggio informatico condotto in tempo di pace, dove gli hacker in uniforme passano al setaccio le reti informatiche di aziende private e istituzioni pubbliche in tutto il mondo, per raccogliere informazioni su vulnerabilità, saggiare i punti deboli dei network, trovare e monitorare i percorsi di comunicazione (ufficiali e non) delle forze militari straniere.

Pechino ha sempre negato con fermezza l’esistenza di queste attività.

Fonti:
http://www.rsis.edu.sg/rsis-publication/idss/co15045-decoding-chinas-cyber-warfare-strategies/
http://www.uscc.gov/sites/default/files/Cheng_Testimony.pdf

La RAND analizza le capacità informatiche dell’esercito cinese

By

Luca Sambucci

-

26 February 2015 - 18:11

La RAND Corporation – un think tank statunitense collegato al Dipartimento della Difesa – ha rilasciato recentemente un report intitolato “China’s Incomplete Military Transformation” che analizza le caratteristiche e le debolezze dell’apparato militare cinese.

Il report sottolinea come per la Cina sia di vitale importanza dominare lo spazio, la cyber difesa e l’EW (electronic warfare, la guerra elettronica), motivo per cui diverse pubblicazioni militari cinesi evidenziano la necessità di migliorare ulteriormente la posizione in tali aree. L’esercito cinese già conduce numerose esercitazioni in quelle che chiama “condizioni elettromagnetiche complesse“, anche perché il dominio nell’EW consentirebbe di ridurre o eliminare i vantaggi cibernetici di avversari tecnologicamente avanzati, come ad esempio gli Stati Uniti. In altre parole, l’Esercito Popolare di Liberazione mira al perfezionamento delle capacità di jamming contro sistemi di comunicazione, radar, GPS per rendere – in uno scenario di guerra – le forze avversarie tecnologicamente sorde, cieche e mute.

Il rovescio della medaglia ovviamente è che chi di jammer ferisce, di jammer perisce. La Cina si ritiene molto vulnerabile ad attacchi EW e informatici, considerandosi ancora debole in ambiti quali la cyber sorveglianza, la difesa dei propri sistemi e la deterrenza. In particolare, secondo lo studio americano la deterrenza gioca un ruolo chiave nella mentalità militare cinese (e come abbiamo già scritto in passato, rappresenta globalmente uno dei pilastri della cyber difesa) ed è per questo che Pechino mira a conquistare una posizione di primaria importanza nella guerra cibernetica mondiale.

Fonte:
http://origin.www.uscc.gov/sites/default/files/Research/China%27s%20Incomplete%20Military%20Transformation_2.11.15.pdf

Singapore istituisce un’agenzia per la cyber security

By

Luca Sambucci

-

29 January 2015 - 19:52

Per gli addetti ai lavori è sempre interessante vedere come si organizzano i vari Stati per adeguarsi alla guerra informatica. In particolare, è utile capire chi si affida ai militari, chi ai servizi segreti, chi ad agenzie create ad hoc (e a chi faranno capo tali agenzie) e chi sub-appalta la sua cyber difesa ad alleati più potenti.

Singapore si sta preparando a creare un’agenzia apposita per sovrintendere a tutte le operazioni di cybersecurity della città-Stato. La Cyber Security Agency (CSA) di Singapore partirà il prossimo aprile, rimpiazzerà la SITSA – Singapore Infocomm Technology Security Authority, creata nel 2009 e facente capo al Ministero degli Interni – e strapperà il CERT nazionale dalla sua attuale sede all’Infocomm Development Authority (IDA) – in seno al Ministero delle Comunicazioni.

La CSA farà comunque capo al Ministero delle Comunicazioni, anche se il direttore operativo sarà l’attuale sottosegretario alla tecnologia presso il Ministero della Difesa. Il personale sarà composto da dipendenti del Ministero degli Interni che già lavoravano presso la SITSA.

Singapore negli scorsi anni ha subito numerosi attacchi contro siti del Governo, incluse operazioni condotte da attivisti di Anonymous.

Fonte:
http://www.zdnet.com/article/new-government-agency-to-oversee-singapores-cybersecurity-operations/

L’Australia sviluppa malware per attaccare i nemici

By

Luca Sambucci

-

27 January 2015 - 22:00

Il periodico The Australian Financial Review riporta che – secondo fonti dei servizi segreti locali – già da oltre dieci anni l’Australian Signs Directorate (controllato dal Dipartimento della Difesa) sviluppa e compie operazioni di attacco informatico contro i nemici dello Stato.

L’Australian Signs Directorate (ASD) avrebbe una sezione che gestisce azioni di attacco alle reti informatiche con lo scopo di ottenere (leggi rubare) informazioni ed elementi di intelligence. Ma non basta: all’interno di questa sezione vi sarebbe un sotto-gruppo che compie azioni avanzate di attacco come lo sviluppo di malware. Codici e payload malevoli verrebbero sviluppati con l’aiuto di agenzie alleate quali l’NSA e la britannica GCHQ, e negli anni questi malware sarebbero stati lanciati contro nemici come alcuni gruppi jihadisti che preparavano attacchi all’Australia e almeno un Paese “non democratico” ritenuto colpevole di aver organizzato azioni di intelligence contro interessi australiani.

Uno di questi malware di Stato sarebbe stato sviluppato non solo per cancellare dati, ma anche per disabilitare i meccanismi di raffreddamento dei sistemi colpiti, portandoli a un surriscaldamento e quindi a un potenziale danneggiamento fisico dell’hardware.

Fonte:
http://www.afr.com/p/technology/australia_launches_cyber_weapons_hR1B30qv3c6bYKJvquVzoO

Danimarca: servizi segreti con licenza di hacking

By

Luca Sambucci

-

23 January 2015 - 19:46

Le guerre asimmetriche, si sa, hanno regole speciali.

Nella guerra informatica fra Stati i costi necessari per difendersi efficacemente sono estremamente superiori rispetto a quelli necessari per attaccare efficacemente. Per questo motivo, qui più che in altri ambiti, il deterrente riveste un ruolo fondamentale.

È in quest’ottica che si deve inquadrare la notizia della Danimarca che nei prossimi due anni spenderà oltre 62 milioni di Euro per “armare” una speciale divisione dedicata agli attacchi informatici. Attacchi, non difesa.

La Danimarca lamenta numerose intrusioni informatiche a danno delle sue aziende, incluse quelle che lavorano nel settore della difesa, e alcune di queste intrusioni sarebbero riconducibili a Stati spesso indicati come sponsor della cyber guerra invisibile, prima fra tutti la Cina.

Un altro elemento da tenere presente è che l’organizzazione preposta a lanciare questo tipo di rappresaglia è il Forsvarets Efterretningstjeneste, ovvero i servizi segreti militari. Un punto a favore di chi pensa che la cyber guerra debba essere prevalentemente appannaggio dei servizi segreti piuttosto che dell’apparato militare convenzionale.

Nota finale: da informazioni del Ministero dell’Economia danese pare che l’intero budget annuale del Forsvarets Efterretningstjeneste si aggiri sui 90 milioni di Euro. Un’iniezione di 62 milioni di Euro in due anni per un singolo progetto rappresenta una notevole caratterizzazione della struttura, che la porterebbe quindi a concentrare gran parte delle sue attività verso il dominio “cyber”.

Fonti:
http://www.thelocal.dk/20150102/denmark-prepares-to-wage-cyber-warfare
http://www.fmn.dk/videnom/Pages/Ministeromraadetsoekonomi.aspx

Israele: Big Data contro il terrorismo

By

Luca Sambucci

-

12 January 2015 - 21:45

Big data, ovvero la raccolta, la gestione e l’analisi di enormi quantità di dati, è ciò che negli ultimi tempi ha consentito all’intelligence e ai militari israeliani di trovare e uccidere molti nemici, inclusi diversi leader di Hamas, secondo Ronen Horowitz, l’ex capo IT dello Shin Bet (noto ufficialmente come Israel Security Agency) in un’intervista rilasciata a Israel Defense.

Il servizio avrebbe utilizzato avanzati metodi informatici per effettuare il mining di informazioni da qualsiasi fonte (testo, video, audio, comunicazioni wireless, social media, servizi cloud, telecamere pubbliche) e analizzarle per estrapolare dati utili. La gigantesca mole di informazioni è spesso l’ostacolo più grande che deve affrontare chiunque cerchi di mettere in relazione dati di per sé irrilevanti. I metodi di analisi adottati dai servizi israeliani hanno tuttavia consentito loro di estrarre informazioni significative, permettendo a Israele di ottenere maggiori risultati nella lotta al terrorismo.

Fonte:
http://www.israeldefense.com/?CategoryID=484&ArticleID=3288

Jang Se-yul, il disertore nordcoreano e gli hacker di Stato

By

Luca Sambucci

-

29 December 2014 - 19:50

Businessinsider ha pubblicato un’intervista a un giovane disertore della Corea del Nord, tale Jang Se-yul, che fino al 2007 frequentava quella che ora si chiama University of Automation, l’università che istruisce i giovani hacker del governo di Pyongyang (anche se solo 100 su migliaia sono scelti ogni anno per entrare nell’Unità 121, o Ufficio 121).

Da quello che racconta Jang, i ragazzi passano otto ore al giorno a programmare, a imparare come funzionano i più diffusi sistemi operativi e a fare reverse engineering dei software Microsoft, per comprendere quali sono le debolezze e i punti attaccabili dei software maggiormente utilizzati dai nemici stranieri.

Inoltre:

molta enfasi è posta sulla capacità di programmare malware e tool di hacking in autonomia, senza usare programmi già disponibili
agli hacker sono assegnati Paesi di riferimento (nemici storici come gli Stati Uniti, il Giappone e la Corea del Sud) e trascorrono circa due anni in quei Paesi per assimilare la lingua e la cultura del luogo
scopo ultimo del governo è quello di introdursi nei centri informatici nevralgici dei Paesi target, rubare dati e creare scompiglio
il governo nordcoreano definisce quella informatica la “guerra segreta“
nonostante possano viaggiare e avere accesso illimitato a Internet – normalmente precluso agli alti abitanti del Paese – gli hacker preferiscono restare fedeli al loro governo, anche grazie agli incentivi destinati alle loro famiglie (trasferimento nella capitale, grande appartamento, stipendi alti)
il livello di preparazione degli hacker della Corea del Nord è estremamente elevato, comparabile a quello degli analoghi servizi USA

Pur non avendo mai fatto parte del Bureau 121, Jang Se-yul ha ottenuto queste informazioni da ex compagni di università tuttora in contatto con lui che lavorono come hacker governativi.

Fonte:
http://uk.businessinsider.com/north-korean-defector-jang-se-yul-trained-with-hackers-2014-12