ICT Security n.133 - Gennaio/Febbraio 2016 · ART ICOL Un anno in retrospettiva: le minacce cyber del 2015 Corrado Giustozzi.....34 Contromisure dinamiche: perché, quando e soprattutto

direttore ScientificoCorrado GiustozziMembro del Permanent Stakeholders'Group di ENISA ed esperto di sicurezzacibernetica presso l'Agenzia per l'ItaliaDigitale per lo sviluppo del CERT-PA

Isabella CorradiniPresidente Centro Ricerche Themis Crime

Coordinatore RubricafattoRe umano e amBiente digitale

Stefano Meleof Counsel di Carnelutti Studio LegaleAssociato e Socio Fondatore di MoireConsulting GroupCoordinatore RubricaCyBeR SPazio e SiCuRezza nazionale

Matteo Cavallini Responsabile Standard Sicurezza eSistemi Informativi, Consip

Fabrizio Baiardi Full Professor Department of ComputerScience Università di Pisa

Cosimo ComellaDirigente Dipartimento tecnologie digitalie sicurezza informatica – Garante per laprotezione dei dati personali

Fabrizio D’AmoreCentro di Ricerca di Cyber Intelligenceand Information Security (CIS) Università“Sapienza” di Roma

Roberto Di LegamiDirettore del Servizio Polizia Postale edelle Comunicazioni

Rita Forsi Direttore Generale Istituto Superiore delleComunicazioni e delle Tecnologiedell'Informazione Ministero dello SviluppoEconomico ISCOM

Luisa Franchina Presidente di AIIC (Associazione Italianaesperti in Infrastrutture Critiche)

Coordinatore RubricainfRaStRuttuRe CRitiChe

Andrea Lisi Presidente di ANORC (AssociazioneNazionale per Operatori Responsabilidella Conservazione digitale)Coordinatore RubricaConSeRvazione, PRotezione e SiCuRezza dei dati

Paolo Scotto di Castelbianco Responsabile della comunicazioneIstituzionale del Dipartimento delleInformazioni per la Sicurezza dellaRepubblica, DIS

Domenico Vulpiani Coordinatore dei sistemi informativi,Ministero dell'Interno

Coordinamento del Comitato Scientifico

Comitato Scientifico

Giovanni Manca Membro del comitato scientifico di AIFAG(Associazione Italiana Firma ElettronicaAvanzata biometrica e Grafometrica)Coordinatore RubricaBiometRia e fiRme elettRoniChe

Alberto ManfrediPresidente CSA (Cloud Security Alliance)

Coordinatore RubricaCloud SeCuRity

ColoPhonAnno XV - Numero 133 - Gennaio/Febbraio 2016

Rivista fondata daRoberto Scaramuzza

DIRETTORE RESPONSABILE Riccardo Melito

DIRETTORE EDITORIALEEdoardo Scaramuzza

PUBLIC RELATIONS MANAGEREliana D’Aquanno

SALES AND MARKETING MANAGERRomina Rakaj

IMPAGINAZIONEFrancesco Tripputi

Finito di stampare nel mese di Febbraio 2016 pressoPixartprinting SpA - Via 1° Maggio, 8 - 30020 Quartod'Altino VE

ROC - Registro Operatori delle Telecomunicazioni n. 17650- Pubblicazione mensile registrata presso il Tribunale diRoma n. 113/98 - Tecna Editrice Roma Poste ItalianeS.p.A. - Spedizione in Abbonamento Postale - D.L.353/2003 (Conv. in L. 27/02/2004 n° 46) Art. 1, Comma 1 -DCB Roma

PREZZO DI COPERTINA Euro 9,00COSTO ARRETRATI Euro 15,00COSTO ABBONAMENTO PER 9 NUMERI Euro 81,00da pagare su C/C postale n. 92435809 intestato a TecnaEditrice srl - Viale Adriatico, 147 - Roma 00141

L’Editore si dichiara pienamente disponibile a regolareeventuali pendenze relative a testi e illustrazioni con gliaventi diritto che non sia stato possibile contattare.Le tesi espresse nelle rubriche e negli articoli impegnanosoltanto l’autore e non rispecchiano quindinecessariamente le opinioni della rivista.Tutti i diritti sono riservati. Nessuna parte di questoperiodico può essere riprodotta con mezzi grafici emeccanici senza l’autorizzazione dell’editore.

TUTELA DATI PERSONALI – PRIVACYSi informa ai sensi del D.L. 196/03 che i Suoi dati sonoinseriti nella nostra banca dati con lo scopo di poterLainformare delle nostre pubblicazioni e dei nostri convegniinerenti la Sua attività. Qualora non desiderasse riceverepiù le nostre informative la preghiamo di comunicarlo viafax al numero 06 8182019

EDITORIALE ........................................................................... 4

RUBRICHEConSeRvazione, PRotezione e SiCuRezza dei datiPresentazione RubricaAndrea Lisi ................................................................................... 6Come gestire la responsabilità della corretta conservazione dei documenti informaticiSarah Ungaro............................................................................... 8

BiometRia e fiRme elettRoniChePresentazione RubricaGiovanni Manca ....................................................................... 12

Cloud SeCuRityPresentazione RubricaAlberto Manfredi ....................................................................... 14

infRaStRuttuRe CRitiChePresentazione RubricaLuisa Franchina ......................................................................... 16La minaccia terroristica alla sicurezza e alle infrastrutture critiche nazionaliLuisa Franchina, Ludovica Coletta........................................... 18

fattoRe umano e amBiente digitalePresentazione RubricaIsabella Corradini ...................................................................... 24Sicurezza dei dati, tra password e comportamentiIsabella Corradini ...................................................................... 25

CyBeR SPazio e SiCuRezza nazionalePresentazione RubricaStefano Mele.............................................................................. 28Cyber Strategy & Policy Brief (gennaio 2016)Stefano Mele.............................................................................. 29

ARTICOLIUn anno in retrospettiva: le minacce cyber del 2015Corrado Giustozzi ...................................................................... 34

Contromisure dinamiche: perché, quando e soprattutto comeF. Baiardi, J. Lipilini, F. Tonelli ....................................................... 38

Il CERT Nazionale: Campagne di Prevenzione e Reazione nel 2015A cura di ISCOM........................................................................ 44

SELEZIONATO DALLA REDAZIONECyber security: i trend del 2016 .............................................. 48

6 trend che gli MSP dovrebbero cogliere al volo! ................ 50

Cyber Intelligence: un passo avanti alle minacce .............. 52

La top 5 dei malware in Italia.................................................. 57

SommaRio

REDAZIONEViale Adriatico, 147 - 00141 RomaTel. 06 - 871 82 554 - Fax 06 - 81 82 019E-mail: [email protected]

4 Gennaio/Febbraio 2016 ICT Security

L’innovazione è ormai tra i pochistrumenti chiave per migliorare iprofitti. Con l’evolversi delle tec-

nologie, soprattutto digitali, un numeromaggiore di governi si affida ad essa permigliorare l’economia. Similmente i nuovi modelli di business sibasano sul mutamento tecnologico co-me unico mezzo in grado di segnare ilmiglioramento dei processi produttivicreando valori positivi per l’azienda.Se l’Era Digitale offre innumerevoli op-portunità di sviluppo, crescono a ritmocostante anche i rischi e i pericoli che cit-tadini, imprese ed Istituzioni si trovano adover affrontare fruendo della rete e deisuoi servizi, con conseguenze non di radodrammatiche per la privacy e la sicurez-za dei singoli, per il benessere e la com-petitività delle aziende, per la salvaguar-dia delle infrastrutture strategiche su cuipoggia il funzionamento di interi Paesi.Emerge quindi come l’elemento caratte-rizzante della sicurezza informatica sial’incertezza. L’unico strumento per ridurre tale statodi incertezza è il costante aggiornamen-to, assicurarsi perciò di aver fatto ricorsoagli ultimi ritrovati sia metodologici chetecnologici del settore. Un aggiornamento che deve avveniregiorno dopo giorno. Ed è per questo chela rivista ICT Security, sin dal 2002, è di-ventata un’utile strumento di consulta-zione sia per il fornitore di servizi e pro-dotti della sicurezza sia per il fruitore ditali servizi. Per raggiungere questi obiettivi abbia-mo coinvolto i più qualificati professioni-sti ed esperti provenienti dal mondodelle istituzioni e delle aziende leader nelsettore che illustreranno le principali no-vità poste dall’evoluzione delle tecnolo-gie legate alla sicurezza informatica se-

condo un approccio concreto e dinamicoche, all’analisi dei problemi, accompagnaintelligentemente sempre la ricerca di ri-sposte e soluzioni con pareri e confrontiutili ad informare l’utente finale. Verran-no quindi affrontati gli aspetti metodolo-gico organizzativi della sicurezza infor-matica insieme all’innovazione tecnolo-gica. Questo è il compito che svolgerà il nuovocomitato scientifico composto da auto-revoli esperti del settore e diretto daCorrado Giustozzi, Membro del Perma-nent Stakeholders' Group di ENISA edesperto di sicurezza cibernetica pressol'Agenzia per l'Italia Digitale per lo svilup-po del CERT-PA e coordinato da IsabellaCorradini, Presidente Centro RicercheThemis Crime, e Stefano Mele, of Coun-sel di Carnelutti Studio Legale Associatoe Socio Fondatore di Moire ConsultingGroup. La rivista proporrà contenuti tecnico-scientifici di aggiornamento sull’evolu-zione delle tecnologie dell’informazione edella comunicazione capaci di mobilitarel’interesse delle istituzioni, del tessutoeconomico e della società civile, oltre aquello degli specialisti tramite le seguen-ti rubriche: Biometria e firme elettroni-che, Cloud Security, Cyber Spazio e Sicurezza Nazionale, Fat-tore Umano e Ambiente Digitale, Infra-strutture Critiche e Conservazione, Pro-tezione e Sicurezza dei dati. Ultima novità da segnalare prima di la-sciarvi alla lettura è la nascita del sitodedicato alla rivista www.ictsecurityma-gazine.com.Per quanto mi riguarda avrò il compito diintrodurvi ad ogni numero. Spero di ren-dervi la lettura piacevole.

Buona lettura. �

Editoriale

Riccardo Melito


Mentre la Integrated Industry ele aziende 4.0 sono argomentiche occupano sempre più spa-

zio nelle testate di informazione e ven-gono prospettati spesso come un futuroimminente se non come un presente giàin corso, lo scenario reale offerto dalleimprese italiane non è poi così unilate-ralmente innovativo, soprattutto perquanto riguarda il primo step fonda-mentale verso l’innovazione che consistenella gestione digitale, consapevole e si-cura, di dati e documenti. Molte aziende, infatti, adottano ancoraun approccio frammentario alla gover-nance delle proprie informazioni rilevan-ti, con un impatto negativo in termini diefficienza, sostenibilità e sicurezza. Non si tratta solo della corretta produ-zione e conservazione dei documenti in-formatici: la mancanza di un approcciostrutturato, infatti, non consente di avereun pieno controllo sui dati e questo rendenon solo vulnerabili società, studi profes-sionali e/o PA a violazioni della sicurezza(siano esse accidentali o intenzionali), mali espone anche a contestazioni in meritoall’affidabilità (anche giuridica) del loropatrimonio informatico e documentale.

E le violazioni accidentali al proprio pa-trimonio di dati non sono da trascurarese da un recente studio elaborato dauna società di corporate intelligence èemerso che nel 75% dei casi di violazionedati all’interno dell’azienda il responsa-bile è un dipendente e ben 6 violazioni su10 avvengono per sbaglio.La custodia sicura dei documenti do-vrebbe essere garantita in maniera tra-sversale e coinvolgere l’azienda (o la PA)in ogni suo processo, tenendo conto,inoltre, che ci sono informazioni di cui ènecessario, più di altre, garantire la ri-servatezza, l’integrità, la confidenzialitàe la reperibilità.In questa rubrica che qui inauguriamo,ospitata tra le pagine di ICT Security,cercheremo di affrontare due principaliargomenti: come le aziende e le pubbli-che amministrazioni gestiscono in modoaffidabile la riservatezza e l’autenticitàdei documenti informatici e quali possi-bili rischi si corrono in caso di violazionedelle regole tecniche attualmente in vi-gore.Senza il rispetto di procedure formali e anorma di legge finalizzate alla sicurezzae alla custodia affidabile dei dati, le

PrESEntazionE rubriCaConSErvazionE, ProtEzionE E SiCurEzza DEi Dati

Conservazione, Protezione e Sicurezza dei Dati

ANORC:Associazione Nazionale per Operatori e Responsabili della Conservazione digi-tale dei documenti) dal 2007 mette in comunicazione conoscenze e bisogni di aziende,enti pubblici, professionisti ed esperti che operano nella Dematerializzazione e Conser-vazione digitale, con lo scopo di garantire ai nuovi archivi digitali durata e immutabilitànel tempo. L’associazione promuove attività di studio e formazione sulle tematiche deldigitale e sostiene un dialogo attivo con le istituzioni centrali (www.anorc.it).

Andrea Lisi: Avvocato esperto in diritto delle nuove tecnologie, Presidente ANORC e ANORC Professioni, Se-gretario Generale AIFAG e Coordinatore del Digital & Law Department dello Studio Legale Lisi. È Docente pres-so la Document Management Academy e la MIS Academy della SDA Bocconi.

Andrea Lisi,Presidente di ANORC

Gennaio/Febbraio 2016 ICT Security 7

aziende (e le PA) si espongono a rischi dinotevole entità che posso ripercuotersidirettamente sul business (o sull’affida-bilità del proprio archivio). Inoltre, credo che sia opportuno ricorda-re come la divulgazione non controllatadi informazioni che dovrebbero invece ri-manere riservate potrebbe vanificare gliinvestimenti in materia di ricerca e svi-luppo, generare una perdita di fiducia daparte dei propri clienti e in ultimo (fattonon meno importante) esporre a pesantisanzioni.Essere consapevoli dei vantaggi che de-rivano da una corretta governance deipropri dati e documenti è, quindi, il primopasso da compiere. Non meno importan-te sarà individuare in modo chiaro e tra-sparente le diverse responsabilità legatealla gestione dei flussi di dati e assicurar-si che i propri dipendenti, a maggior ra-gione coloro che svolgono dei ruoli chiavecome il Responsabile della Conservazio-ne e il Responsabile del Trattamento, ab-biano una preparazione adeguata alleresponsabilità a cui devono far fronte.L’innovazione digitale ha colto molte or-ganizzazioni alla sprovvista, così in tanti

casi si è improvvisato, investendo perso-nale non specializzato di incarichi persvolgere i quali occorre possedere inveceuna professionalità specifica, con tutti irischi che ne derivano: è per questo cheANORC e ANORC Professioni, le associa-zioni che presiedo, stanno conducendoormai da anni una battaglia per il ricono-scimento e la corretta valorizzazione del-le competenze specifiche dei professioni-sti della digitalizzazione e della privacyche operano all’interno di ogni organiz-zazione - pubblica o privata che sia - in-sistendo molto sull’importanza della for-mazione.Non si tratta di noiosi cavilli burocratici, diregole per gli addetti da rispettare solosuperficialmente, ma di fattori chiave chehanno ricadute importanti anche in ter-mini economici.Le aziende in grado di garantire l’affida-bilità dei loro processi di gestione dati,attraverso una giusta organizzazione el’apporto di personale preparato, pos-seggono una marcia in più con la qualepotranno aumentare il loro vantaggiocompetitivo e rafforzare la fiducia dei lo-ro clienti. �


Per delineare l’assetto di ruoli e re-sponsabilità nelle attività relativealla conservazione dei documenti

informatici, occorre innanzitutto chiarireche tale obbligo dovrà essere assolto dalsoggetto che ha prodotto il documento oda colui che, per legge, deve custodirlo. In tema di documento informatico, il Codi-ce dell’amministrazione digitale (D.Lgs. n.82/2005) stabilisce che i documenti degliarchivi, le scritture contabili, la corrispon-denza e ogni atto, dato o documento di cuiè prescritta la conservazione per legge oregolamento, se riprodotti su supporti in-formatici, sono validi e rilevanti a tutti glieffetti di legge, a patto che la riproduzionee la conservazione nel tempo siano effet-tuate in modo da garantire la conformitàdei documenti agli originali. Inoltre, il CADdispone che i documenti informatici, di cuiè prescritta la conservazione per legge oregolamento, debbano essere conservatiin modo permanente con modalità digitali,nel rispetto delle regole tecniche. La re-sponsabilità della conservazione ricade,quindi, direttamente sul soggetto che, perlegge o regolamento, è tenuto a garantirla. La responsabilitàdel titolare dei documen-ti informatici sulla corretta conservazionedegli stessi è stata ribadita più volte anchedall’Agenzia delle Entrate, con specifico ri-ferimento ai documenti fiscalmente rile-vanti: nella Risoluzione 161/E del 9 luglio2007, ad esempio, si è precisato che “intutti i casi in cui il contribuente affida, intutto o in parte, il processo di conservazio-ne a soggetti terzi continuerà a risponderenei confronti dell’Amministrazione finan-ziaria della corretta tenuta e conservazio-ne delle scritture contabili e di tutti i docu-menti fiscalmente rilevanti. Eventuali ina-dempienze del soggetto incaricato della

conservazione non potranno essere oppo-ste all’Amministrazione finanziaria per giu-stificare irregolarità o errori nella tenuta enella conservazione della contabilità o, piùin generale, di tutti i documenti rilevanti aifini tributari […]”. Pertanto, il conferimento a terzi dell’incari-co di effettuare la conservazione a normadell’art. 44 e ss. del CAD non incide sugliobblighi di corretta tenuta e conservazionedi libri, registri, scritture, fatture e di tutti idocumenti prescritti dalla normativa fisca-le, che continuano a gravare sul contri-buente. Eventuali inadempienze dei suddetti obbli-ghi che diano luogo all’applicazione di san-zioni sono, dunque, addebitate al soggettotenuto al rispetto delle prescrizioni in ma-teria di corretta gestione e conservazionedei documenti. Con particolare riguardo al ruolo del Re-sponsabile della conservazione, il Codicedell’amministrazione digitale stabilisce al-l’art. 44 (commi 1-bis e 1-ter) che “il sistemadi conservazione dei documenti informaticiè gestito da un responsabile che operad’intesa con il responsabile del trattamen-to dei dati personali di cui all’articolo 29 deldecreto legislativo 30 giugno 2003, n. 196,[…]” e che lo stesso “può chiedere la conser-vazione dei documenti informatici o la cer-tificazione della conformità del relativoprocesso di conservazione […] ad altri sog-getti, pubblici o privati, che offrono idoneegaranzie organizzative e tecnologiche”1.

ComE gEStirE la rESPonSabilitàDElla CorrEtta ConSErvazionEDEi DoCumEnti informatiCi


1 È utile ricordare che secondo l’art. 2 com-ma 3 del Codice dell’amministrazione digi-tale queste specifiche disposizioni relativealla conservazione dei documenti informa-tici si applicano an iche ai privati e non soloalle pubbliche amministrazioni.

Sarah Ungaro,Digital&LawDepartment StudioLegale Lisi – Ufficio di PresidenzaANORC


La conservazione a norma dei documen-ti, dunque, può essere svolta - sempresotto la gestione del Responsabile - oall’interno della struttura organizzativadel soggetto titolare o “affidandola, inmodo totale o parziale, ad altri soggettipubblici o privati” che, sulla scorta del-l’art. 5 delle Regole tecniche, di cui alDPCM 3 dicembre 2013, offrano idoneegaranzie organizzative e tecnologiche,come l’essere accreditati come conser-vatori presso l’Agenzia per l’Italia digita-le. La gestione, in piena responsabilità eautonomia, del sistema di conservazionespetta dunque sempre al Responsabiledella conservazione: sia qualora la con-servazione venga svolta internamentealla struttura organizzativa del soggettoproduttore dei documenti informatici daconservare, sia quando venga affidata,in modo totale o parziale, ad altri sog-getti pubblici o privati (Conservatori) che

offrano idonee garanzie organizzative etecnologiche. Vengono così confermatee sottolineate la complessità e la re-sponsabilità connesse a tale ruolo che,rendendo necessarie varie e differenticompetenze (informatiche, giuridiche,archivistiche), deve essere affidato asoggetti apicali all’interno della strutturache ha la responsabilità di conservare idocumenti informatici prodotti.È opportuno sottolineare che – comeperaltro specificato dall’Agenzia delleEntrate nella Circolare 36/2006 - giàdalla sola analisi dell’art. 44 del CAD pa-re evincersi la “naturale” collocazione delruolo del Responsabile della conserva-zione all’interno della struttura organiz-zativa del titolare dei documenti conser-vati, o comunque della riferibilità di taleruolo in seno a un “rapporto qualificato”(un socio, un amministratore, o comun-que un soggetto che ricopre una posizio-ne apicale) o comunque di fiducia con la


società, l’associazione o l’ente titolaredei documenti2 (come, ad esempio, unconsulente esterno di fiducia dello stes-so soggetto titolare dei documenti, matale soluzione è ipotizzabile solo per isoggetti privati)3. Diversamente, alla luce dell’assetto diresponsabilità delineato dalla normati-va, non risulta corretto che il Responsa-bile della conservazione nominato dal ti-tolare abbia in essere un rapporto di la-voro anche con il soggetto Conservatoreesterno, in quanto in tale eventualità po-trebbe risultare difficile escludere, in li-nea generale, la potenziale sussistenzadi un conflitto di interessi nell’esecuzionedei compiti e delle funzioni del Respon-sabile della conservazione. In tal senso, analizzando con attenzionela formulazione letterale e la tecnicanormativa con cui sono state redatte lenuove Regole tecniche, è possibile co-gliere altri indizi circa la configurazionedel ruolo del Responsabile della conser-vazione. Tale figura, infatti, sempre sottola propria responsabilità, può delegarelo svolgimento del processo di conserva-zione o parte di esso, ad altri soggetti di

specifica esperienza e competenza. Ladelega (atto che solitamente prevedel’esistenza di un rapporto strutturato apriori tra il delegante e il delegato) dovràessere formalizzata indicando tutte lespecifiche funzioni e competenze affida-te al delegato. Pur potendo spogliarsi ditutte le funzioni legate al processo diconservazione, quindi, il Responsabileresta comunque responsabile dell’interoprocesso. Anche laddove venga scelto di affidare


2 O, per riprendere la fattispecie esaminatadalla Agenzia delle Entrate nella Circolare36/2006, “il contribuente diverso da per-sona fisica”. 3 In effetti, la nomina a Responsabile dellaconservazione di un consulente esterno èin ogni caso da escludersi per le pubblicheamministrazioni alla luce dell’espressaprevisione del comma 3 dell’art. 5 delle Re-gole tecniche di cui al DPCM 3 dicembre2013, nel quale si stabilisce, ribadendo ladelicatezza e la complessità di tale ruolo,che “nelle pubbliche amministrazioni, ilruolo del Responsabile della conservazioneè svolto da un dirigente o da un funzionarioformalmente designato”.


la conservazione all’esterno della strut-tura, tale affidamento dovrà essere ef-fettuato mediante contratto o conven-zione e dovrà prevedere l’obbligo del ri-spetto del Manuale di conservazionepredisposto dal Responsabile. Anche inquesto caso, quindi, la norma tecnicadev’essere letta alla luce della normati-va primaria che riconosce al Responsa-bile la possibilità di affidare all’esterno ilsistema e, tale affidamento, non per-mette comunque di spogliarsi della pro-pria responsabilità, quantomeno nei ter-mini di eventuale culpa in eligendo e cul-pa in vigilando. Si sottolinea che con l’introduzione delleRegole tecniche approvate con il DPCM 3dicembre 2013, sono state specificate leattività di competenza del Responsabiledella conservazione, che “è colui che de-finisce e attua le politiche complessivedel sistema di conservazione e ne gover-na la gestione con piena responsabilità eautonomia, in relazione al modello orga-nizzativo adottato”. Peraltro, le Regoletecniche stabiliscono che tali attività ven-gano svolte d’intesa con il Responsabiledella sicurezza e dei sistemi informativi

(oltre che con il Responsabile della ge-stione documentale, ove nominato). In effetti, punto cardine della trattazionenegoziale è anche quello relativo alla ri-servatezza dei dati e delle attività svoltedal Conservatore per l’azienda o l’enteche affida in outsourcing la conservazio-ne: si pensi alla massa di documenti, dati,e informazioni che “migrano” dalla strut-tura titolare al Conservatore, affinchéquest’ultimo possa attuare le operazionia cui è preposto. Trattandosi poi di attivi-tà aventi ad oggetto molto spesso serviziinformatici, non trascurabile risulta esse-re anche l’aspetto della sicurezza: il tito-lare dovrà, in tal senso, imporre al forni-tore, laddove già lo stesso non vi abbiaespressamente provveduto, l’adozione dimisure di sicurezza tali da tutelare l’atti-vità da accessi non autorizzati o mano-missioni che comportino conseguenzequali distruzione e perdita dei dati. Le stesse regole tecniche prevedono, in-fatti, che il Conservatore esterno assu-ma ex lege il ruolo di Responsabile ester-no del trattamento dei dati, così comeprevisto dal Codice in materia di prote-zione dei dati personali. �


Sono passati esattamente diecianni (era l’1 gennaio 2006) dal-l’entrata in vigore del Codice per

l’amministrazione digitale, comunemen-te noto come CAD, a seguito del D. Lgs.n. 82 approvato il 7 marzo dell’annoprecedente. Con questo ricordo si apre il2016 delle sottoscrizioni informaticheanche perché il 1 luglio del 2016 entra invigore il Regolamento 910/2014 checambia completamente lo scenario dellefirme e di tanti altri servizi connessi al-l’agenda digitale.A cambiare, prima di tutto è il glossario,scompare infatti il certificatore accredi-tato o il gestore di posta elettronica cer-tificata ai quali dovremo riferirci comeprestatori di servizi fiduciari.Numerose altre modifiche e innovazionisaranno operative come i servizi di reca-pito certificato qualificato e i sigilli elet-tronici.Tutti questi argomenti saranno trattatinei prossimi numeri con le opportunedescrizioni e gli approfondimenti del ca-so compreso quanto attinente al nuovo

Codice dell’amministrazione digitale(CAD) che sarà promulgato in attuazio-ne della Riforma della pubblica ammini-strazione Italiana.Il CAD vigente è stato significativamentemodificato considerato che le regole na-zionali in materia di firme sono comple-tamente in linea con la direttiva1999/93/CE su un quadro comunitariodelle firme elettroniche che sarà abro-gata il 1 luglio del 2016 in contempora-nea con l’entrata in vigore del Regola-mento eIdAS. Per esempio sono state eliminate le de-finizioni già presenti nel Regolamento inquanto duplicazioni; le procedure di ac-creditamento dei certificatori lasciano ilposto a quelle di qualifica dei prestatoridi servizi fiduciari. Il coordinamento tra la normativa nazio-nale e quella comunitaria (che essendoRegolamentare è di rango superiore) èstato condotto con l’obiettivo di garanti-re continuità al mercato nazionale di ri-ferimento, assicurando, contempora-neamente un adeguato equilibrio con i

PrESEntazionE rubriCabiomEtria E firmE ElEttroniChE

biometria e firme elettroniche

Giovanni Manca,Membro del comitatoscientifico di AIFAG

AIFAG: Associazione Italiana Firma elettronica Avanzata Biometrica e Grafometri-ca, promuove e sostiene nel mercato delle firme – caratterizzato ancora da diso-mogeneità - l'adozione di standard sicuri e interoperabili, inoltre stila e fornisce li-nee guida e best practice sull'utilizzo corretto della firma elettronica avanzata, bio-metrica e grafometrica (www.aifag.it).

Giovanni Manca: laureato in Ingegneria Elettronica, svolge attività di consulenza sulle tematiche di demateria-lizzazione e sicurezza ICT. Da circa 25 anni si occupa di attività tecnologiche nel settore dell’ICT avendo spa-ziato nel corso degli anni dal network and system management alle infrastrutture a chiave pubblica (PKI).Ha partecipato alla creazione della prima firma elettronica nella pubblica amministrazione, alla messa in lineadel primo sito internet della fiscalità, al primo progetto pubblico di disaster recovery di dati fiscali, alla proget-tazione della Carta Nazionale dei Servizi e della Carta d’Identità Elettronica. Ha partecipato alla stesura dellepiù importanti normative tecniche sui temi dell’e-government. Attualmente è senior advisor sulle tematiche didematerializzazione e sicurezza ICT per alcune primarie società di settore.


mercati esteri che emergeranno neglialtri Stati membri e che avranno pienotitolo, senza barriere di sorta ad opera-re nel mercato nazionale.Ma eIDAS introduce anche elementi conprimario valore giuridico che, corretta-mente, non sono stati inseriti nel CADperché totalmente innovativi e quindiavremmo una duplicazione di elementiopposta a quella descritta per le defini-zioni. Cioè sarebbe inutile importare nelCAD quanto stabilito nel RegolamentoeIDAS.Al nuovo CAD si dovranno affiancarerapidamente nuove regole tecniche disettore che tengano in conto gli elemen-ti innovativi introdotti dal Regolamento.Quando tali regole saranno diverse daquelle comunitarie quelle nazionali nonpotranno essere applicate e soprattuttol’emissione delle regole non è più a cari-co o sotto il controllo diretto degli Statimembri, ma saranno gli organismi distandardizzazione come ETSI e CEN ademettere regole e poi la CommissioneUE, con il parere degli Stati emetteràprovvedimenti denominati atti di esecu-zione o atti delegati ai quali i medesimiStati dovranno attenersi.Nei prossimi numeri svilupperemo tuttequeste tematiche relative alle firme ealle tecnologie indispensabili per la lorocorretta realizzazione e diffusione. Un altro argomento di questa rubrica èla biometria. Negli ultimi due anni abbiamo assistitoad una vertiginosa diffusione della firmaelettronica avanzata basata su tecnichebiometriche ovvero alla firma grafome-trica. Il Regolamento eIDAS non modifi-ca quanto stabilito dal CAD e dalle spe-cifiche regole tecniche sul tema e questoè un vantaggio per lo sviluppo del mer-

cato grafometrico. Questo è ancoramolto scarso nella pubblica amministra-zione e nel settore privato diverso daquello bancario/finanziario o assicurati-vo.Ci occuperemo quindi dello stato dell’ar-te, di proposte per l’aggiornamento del-le regole tecniche della FEA che in alcunipunti sono obsolete o bloccanti. Un altrointeressante argomento da affrontare èquello dell’ipotesi di aggiornamento delfondamentale provvedimento prescrit-tivo del Garante per la protezione deidati personali in materia di biometria.Infatti oltre alla grafometrica si stannodiffondendo velocemente altri tipi di ap-plicazioni biometriche a partire dalmondo bancario ma anche nella domo-tica.Quindi comincia a essere possibile ap-procciare l’internet banking in chiavetotalmente biometrica. Per effettuare un bonifico quindi, giàoggi, non sarebbe fantascienza entrarenel sistema bancario con il proprio volto,dare disposizioni tramite voce e confer-mare le transazioni tramite l’improntadigitale.E nemmeno operare nella domotica conil riconoscimento vocale o facciale è giànella disponibilità di mercato e avrà lasua diffusione nei prossimi mesi ed anni.Il che significa che i paradigmi e gli ap-procci alla privacy (e non separatamen-te alla sicurezza) dovranno essere diver-si e con il giusto grado di consapevolez-za.Seguiteci e tutti gli argomenti sintetica-mente qui anticipati e gli altri che emer-geranno dall’evoluzione di queste tema-tiche saranno trattati ai fini della diffu-sione dell’informazione e della cono-scenza scientifica. �


I l Cloud Computing rappresenta oggiil nuovo paradigma verso il qualestanno convergendo tutte le nuove

strategie di implementazione di infra-strutture, sviluppo applicazioni e serviziICT.La maggior parte delle aziende ICT, inparticolar modo le medio-grandi, hannogià trasformato la propria offerta in“cloud services” mentre le start-up na-scono immediatamente “cloud-ready”.Parallelamente i nuovi approcci e le nuo-ve sfide dell’Information Security hannosuperato i confini aziendali, il cosiddetto“perimetro”, considerando ormai il dato-informazione come un bene “mobile”, di-sponibile su richiesta, da qualunque retee qualunque dispositivo di accesso (pc,smartphone, tablet, watch, glass, mete-ring, …). Il Cloud Computing è di fatto un paradig-ma pervasivo e trasversale nell’organiz-zazione attuale delle aziende, sia fornitorisia utilizzatori, e richiede un processo diformazione ed allineamento continuo tra

tutte le parti interessate (stakeholders)nel processo di definizione, acquisto, uti-lizzo, gestione (governance) e sicurezza diun servizio Cloud utilizzando un linguag-gio comune e buone pratiche di facile im-plementazione. Gli obiettivi della rubrica sono quelli di in-formare il lettore sull’evoluzione del mer-cato Cloud Security e relativi trend tecno-logici, buone pratiche, formazione specifi-ca, esperienze sul campo e condividereanteprime dei risultati dei gruppi di lavoridi Cloud Security Alliance (più di 20 areetematiche attive a livello internazionale e5 a livello nazionale) . I lettori di riferimen-to non sono soltanto i professionisti del-l’information e cyber security, ma voglia-mo rivolgerci e coinvolgere anche:• i legali, considerando le novità introdot-te dal nuovo regolamento europeo sullaData Protection e la nuova figura delData Protection Officer che dovrà occu-parsi sempre più di tematiche Cloud(tracciabilità del dato, privacy, safe har-bour, digital forensics nel cloud, …);

PrESEntazionE rubriCaClouD SECurity

Cloud Security

CSA Italy è un’associazione no profit italiana nata nel 2011 come capitolo na-zionale dell’associazione internazionale CSA (Cloud Security Alliance) a cui ade-riscono le maggiori aziende del settore ICT ed Information Security che hannoscelto il Cloud Computing come parte rilevante del loro business. CSA coordinauna community di professionisti che contribuiscono attivamente a sviluppare li-nee guida e buone pratiche per uno sviluppo ed utilizzo in sicurezza del Cloud.

Alberto Manfredi,Presidente CSA

Alberto Manfredi è Presidente di CSA Italy dal 2011. Dottore in Scienze dell’Informazione e Dottore Magistralein Informatica con pieni voti assoluti e lode, lavora da piu` di 20 anni nel settore ICT e Cyber Security. Attual-mente lavora in Finmeccanica Spa come Business Development Manager nel Settore Elettronica e Sistemi diDifesa e Sicurezza. Detiene le certificazioni professionali CISA, CRISC, CISSP, GCFA, CCSK, Lead Auditor 27001,Certified CSA STAR Auditor. Cofondatore e Managing Director dell’associazione Club R2GS Europe nata perfavorire lo scambio di esperienze e conoscenza nel campo Security Information and Event Management e Se-curity Operation Centres.


• i responsabili acquisti/buyer, perché ènecessaria una nuova classificazionedei fornitori Cloud distinta dalla classifi-cazione tradizionale con fornitori soft-ware, hardware e telecomunicazioni;• gli sviluppatori software, considerando inuovi sviluppi di applicazioni su Platformas a Service , metodologie SSDLC e fo-cus su API Security;• i manager delle linee di business che vo-gliono utilizzare le risorse Cloud come unsupporto più efficace ed efficiente alleloro attività;• i responsabili strategie, perché l’intro-

duzione del Cloud in un’azienda richiedeun approccio strategico a breve, medioe lungo termine per poterne coglieretutti i benefici e minimizzare gli impatti;• i responsabili organizzazione risorseumane, perché il nuovo personale, e nonsolo, è ormai “digital native” ed il merca-to propone diversi servizi Cloud per se-lezionare, formare, collaborare in azien-da;Ci auguriamo che questa rubrica possaessere un “compagno di viaggio” nel vo-stro percorso verso il Cloud in sicurezza.Buona lettura! �


La Rubrica “Infrastrutture critiche”andrà a trattare con periodicitàtematiche relative a quelle infra-

strutture dalle quali dipende il consuetoe lineare svolgimento delle funzioni vitalidi uno Stato. La continuità delle funzionie la sicurezza delle attività in alcuni set-tori critici sono rilevanti per il loro ruolostrategico ed essenziale a supporto dellasicurezza e della vita del Pase. La Direttiva Europea 2008/114/CE defi-nisce l’infrastruttura critica come “un ele-mento, un sistema o parte di questo […]che è essenziale per il mantenimentodelle funzioni vitali della società, della sa-lute, della sicurezza e del benessere eco-nomico e sociale dei cittadini ed il cuidanneggiamento o la cui distruzioneavrebbe un impatto significativo […] acausa dell’impossibilità di mantenere talifunzioni”. La Direttiva è stata attuata in Italia at-traverso il D.Lgs n°61 dell’11 Aprile 2011.Tramite il Decreto Legislativo si acquisi-

scono inoltre le metodologie e gli stru-menti, definiti in ambito europeo, per in-dividuare anche le Infrastrutture Critichedi interesse nazionale.Fondamentale nella definizione e nellagestione delle Infrastrutture Critiche èl’identificazione dei rischi e degli impattidi una minaccia su di un determinatosettore. Le minacce possono essere di ti-po naturale – prevedibili o imprevedibili –che nel nostro Paese si individuano inparticolare nel rischio idrogeologico, allu-vioni, terremoti, attività vulcaniche ed in-cendi; oppure di natura antropica, sia vo-lontarie come un attacco terroristico, cheaccidentali, come un errore umano. L’impatto che tali minacce possono averesul settore individuato come essenziale,si delinea come uno strumento basilareper permettere di definire la criticità del-l’infrastruttura. L’Unione Europea ha infatti definito comecriterio per determinare le InfrastruttureCritiche l’impatto che una crisi potrebbe

PrESEntazionE rubriCainfraStrutturE CritiChE

infrastrutture Critiche

AIIC - ASSOCIAZIONE ITALIANA ESPERTI IN INFRASTRUTTURE CRITICHE nasce per co-struire e sostenere una cultura interdisciplinare per lo sviluppo di strategie, metodologie etecnologie in grado di assicurare la protezione delle infrastrutture critiche e la loro gestionein situazioni di crisi, di eventi eccezionali o a seguito di atti terroristici.

Luisa Franchina,Presidente di AIIC

Luisa Franchina: Ingegnere elettronico con dottorato e post dottorato di ricerca in ingegneria elettronica (Uni-versità di Roma la Sapienza) e master in geopolitica (IASD) del Centro Alti Studi Difesa. Ha conseguito la qua-lifica militare CBRN presso la Scuola di Rieti. E' stata Direttore Generale della Segreteria per le InfrastruttureCritiche (Presidenza del Consiglio dei Ministri 2010-2013), Direttore Generale del Nucleo Operativo per gli at-tentati nucleari, biologici, chimici e radiologici (Dipartimento della Protezione Civile 2006-2010) e Direttore Ge-nerale dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Ministero delle Comuni-cazioni 2003-2006). Attualmente ha fondato una azienda che eroga servizi di gestione del rischio, informativee reporting. Docente presso master specialistici presso Sapienza, Tor Vergata, SIOI, Campus Biomedico, Boc-coni, Università di Milano, in temi di sicurezza. Ha pubblicato numerosi articoli e libri su temi di sicurezza e pro-tezione infrastrutture critiche.


avere in termini di vittime, di effetti eco-nomici (intesi come perdite e deteriora-mento di prodotti e servizi) e di effettipubblici, ossia l’impatto sulla fiducia deicittadini, il turbamento della vita quoti-diana e la salute pubblica. Tra i rischi non naturali acquista semprepiù rilevanza, come già riportato, l’utilizzodello spazio cibernetico. La minaccia sista infatti evolvendo e ciò permette di in-dividuare nuovi settori critici e di sottoli-neare la complessità e l’importanza del-l’interconnessione tra di essi.Basti pensare a quante infrastrutturefondamentali sono informatizzate, utiliz-zano servizi in rete e la tecnologia infor-matica è centrale o necessaria al lorofunzionamento. La lista potrebbe partiredalla stessa infrastruttura di telecomuni-cazioni e comprendere il settore del-l’energia, della salute pubblica, dei tra-sporti, della finanza e del credito, dellapubblica amministrazione, come della di-fesa e della sicurezza pubblica. Un esempio ci permette di comprenderecon chiarezza il rischio che attraversa lospazio cibernetico: sono noti e non rarieventi di incidenti, spesso intenzionali efrutto di azioni malevole, che colpiscono isistemi informatici SCADA, ossia di con-trollo di supervisione ed acquisizione didati, demandati al monitoraggio e alcontrollo di sistemi fisici dei processi in-dustriali. Un attacco cibernetico con po-tenziali ripercussioni fisiche potrebbeportare all’interruzione ed al deteriora-mento di processi essenziali, il cui impat-to potrebbe risultare considerevole intermini di vittime, di perdita economica edi effetti sulla vita pubblica. Un valutazione ed una gestione dei rischiper le Infrastrutture Critiche sono quindinecessarie, così come lo è investire risor-se nella loro messa in sicurezza e nel mi-glioramento della loro resilienza e robu-stezza. Osservata la potenziale gravità dell’im-patto, si può convenire sul fatto che il co-sto di una mancata sicurezza potrebberisultare ancor maggiore dell’investimen-to, soprattutto perché potrebbero esserecolpiti elementi vitali di un Paese e dellesue funzioni. Un’analisi dei costi di unascarsa sicurezza permette di osservaresia le potenziali perdite immediate, ma

anche quelle indirette, definibili come lamancanza di fiducia nelle istituzioni, laperturbazione dell’ordine sociale e gli ef-fetti reputazionali negativi sulle aziendecoinvolte. Fondamentale è quindi l’osservazione dibest practice e di standard di sicurezzariconosciuti a livello internazionale ed inparticolare definire delle politiche chepermettano di gestire ed ottimizzare lasicurezza delle Infrastrutture Critiche infunzione dell’interdipendenza del settorepubblico e privato in tale ambito. Nel campo della sicurezza delle Infra-strutture Critiche attori pubblici e privatisi trovano a cooperare proprio in ragionedell’interconnessione delle infrastrutturestesse, che diventano così realtà piùcomplesse e reciprocamente dipendenti,e che necessitano di coordinamento peraffrontare le vulnerabilità che in tale si-stema reticolare potrebbero portare adun pericoloso effetto domino. Tale interconnessione è ancor più rile-vante ed evidente nello spazio ciberneti-co, dove – come sottolineato anche dalDPCM del 24 Gennaio 2013 – la gestionedella sicurezza è compito tanto delle re-altà pubbliche quanto delle società pri-vate.In questo scenario acquisisce un valoreparticolare l’information sharing tra glioperatori delle Infrastrutture Critiche,che permette un’amministrazione più ef-ficace delle interconnessioni, condividen-do informazioni relative ai rischi, alle mi-nacce, alle soluzioni adottate ed alle pra-tiche di sicurezza che permettano di ri-spondere con reattività ed organicità aduna situazione di crisi condivisa. Gli articoli che troveranno spazio all’in-terno di questa rubrica si occuperanno dianalizzare e di approfondire argomenti equestioni relative alle Infrastrutture Criti-che ed alla loro protezione. Si parlerà di aspetti normativi, di stan-dard e best practice per la sicurezza, deirischi e del loro management. Un ruolo diprimo piano lo occuperanno gli appro-fondimenti sulla cyber security, sull’esa-me dell’evoluzione delle minacce e sullacollaborazione tra settore privato e pub-blico. Non mancheranno gli aggiorna-menti relativi alle news ed agli eventi delsettore. �


I l fenomeno del terrorismo di matriceislamica è un pericolo attuale e con-creto che persisterà anche nel me-

dio e lungo periodo negli elenchi delleminacce prioritarie delle agende nazio-nali. Se a ciò si aggiunge il crescente at-tivismo di tipo molecolare, si comprendecome la complessità dello scenario sia,oggi giorno, estrema. Per di più, se da unlato il lavoro dei Servizi di informazione èstato facilitato dai progressi nel campodella tecnologia che hanno giovato alletecniche d’intelligence, dall’altro ci si tro-va a fronteggiare una minaccia sempremeno “visibile” e prevedibile. L’analisi svolta intende esaminare la mi-naccia terroristica di matrice islamicaponendola in relazione con le infrastrut-ture critiche nazionali, quali target dipossibili attentati e proponendo un’ana-lisi dei rischi che tenga conto delle tipolo-gie d’attacco, fermo restando l’elevatotasso di imprevedibilità della minacciastessa, derivante dalla crescente inter-connessione fra i gruppi fondamentalisti(nella loro interezza, in parte o a livello disingole affiliazioni), nonché dall’azioneemulativa di lupi solitari. Molti paesi eu-ropei ed extraeuropei si sono già datempo dotati di piani di sicurezza in ma-teria di infrastrutture critiche che per-mettono di identificare quelle d’impor-tanza strategica e di formulare sistemi diprotezione. L’individuazione – all’internodi un documento ad hoc che rispecchi ledirettive europee e definisca una strate-

gia di difesa unitaria, organica e di siste-ma – delle infrastrutture di rilevanza cri-tica e strategica per il sistema paese è difondamentale importanza in un momen-to, come quello attuale, in cui tali infra-strutture sono esposte a molteplici mi-nacce, non convenzionali e multiformi,tra cui quella di matrice terroristica. Unastrategia che permetta ai vari soggettiincaricati di “fare sistema” consentireb-be, dunque, di assicurare un maggiore emigliore coordinamento in fase di rispo-sta ad attacchi di qualsiasi genere con-tro tali infrastrutture. A tal fine, l’intento dell’elaborato è quellodi fornire un diverso spunto di riflessionesu un tema caldo come quello del terro-rismo di matrice islamica, ponendolo inconnessione con le metodologie di anali-si strategica e protezione del sistemapaese. Nello specifico, a partire dall’indi-viduazione delle infrastrutture critiche alivello nazionale e sulla base del modellodi Enterprise Risk Management, è stataproposta una doppia analisi dei rischiche tiene conto delle varie tipologie diattacco (terrestri, aeree e cibernetiche) edei possibili obiettivi in qualità, appunto,di settori critici. In seguito, a ciascun ri-schio identificato è stato attribuito un in-dice numerico, sulla base di una scala divalori crescenti per probabilità e impat-to, nonché di una valutazione del gradodi pericolosità della minaccia terroristicanel nostro paese. Questo tipo di analisi consente di effet-

la minaCCia tErroriStiCa alla SiCurEzza E allE infraStrutturE CritiChE nazionaliun modello di analisi dei rischi


Luisa Franchina,Presidente di AIIC

Ludovica Coletta,Dottoressa inRelazioniInternazionali pressol'Università LuissGuido Carli


tuare un discrimine e un focus sugli assetche presentano un maggiore indice di ri-schio e sui quali va posta una specialeattenzione in termini di prevenzione eprotezione: distinzione che potrebbe ri-sultare utile ad un eventuale decisore,soprattutto alla luce della necessaria al-locazione delle risorse (umane ed econo-miche), spesso limitate, sul territorio. Diseguito è illustrato con maggior detta-glio un estratto dell’analisi svolta1 che hacome focus gli attacchi cibernetici ed igrandi eventi. Sulla base della definizione declinatanella Direttiva 2008/114/CE, sono stateindividuate le infrastrutture critiche di ri-

levanza strategica in relazione alla mi-naccia in esame.Partendo dal modello dell’EnterpriseRisk Management (ERM), una primaanalisi è stata svolta prendendo in con-siderazione le diverse tipologie di attac-co terroristico, mentre una seconda apartire dai settori critici elencati in pre-cedenza. Le metriche utilizzate per lematrici di probabilità – impatto proven-gono da una matrice di base compostada cinque livelli di probabilità e di impat-to (dal “very low” al “very high”), i cui co-lori si riferiscono a tre diverse tipologie dirisposta al rischio, dal trascurabile al nonaccettabile.

1 Estratto dall’elaborato “Minacce alla sicurezza e alle infrastrutture critiche nazionali daparte dei movimenti del fondamentalismo islamico. Il ruolo dei Servizi di Informazione” re-datto a conclusione del Master in Sicurezza delle Informazioni ed Informazione Strategicadell’Università degli Studi di Roma “La Sapienza”.


ANALISI DEI RISCHI SULLABASE DELLE TIPOLOGIED’ATTACCO

Le tipologie di attacco terroristico che po-trebbero essere adottate per compiereattentati sul territorio nazionale sono sta-te individuate sulla base di un’analisi deiprecedenti attentati, nonché dell’effettivadisponibilità degli strumenti di offesa incapo agli attaccanti e sono state aggre-gate in tre classi: attacchi da terra, aerei ecyber. Tra gli attacchi terrestri si inqua-drano gli attentati suicidi, le autobomba,gli ordigni esplosivi (anche CBRN), gli as-salti armati e gli attacchi CBRN; tra quelliaerei i dirottamenti e i missili e, infine, tragli attacchi cyber si includono i deface-ment, i malware, i furti di dati e credenzialie gli attacchi DDoS. Ad ogni tipologia diattacco è stato successivamente associa-

to un elenco di possibili obiettivi in terminidi infrastrutture critiche. Per calcolare ilrelativo indice di rischio, inteso come ilprodotto fra probabilità e impatto, a par-tire dalla matrice di base ne sono state in-dividuate quattro, rappresentative degliimpatti in termini di vittime, danni econo-mici, risonanza mediatica e conseguenzepolitico-sociali. Sul versante degli attacchicyber, i risultati dell’analisi puntano unaparticolare attenzione sullo strumento deimalware, in grado i produrre impatti an-che in termini di vittime (valore che per lealtre tipologie di attacco risulta esserepressoché nullo). Tra i settori critici che po-trebbero essere maggiormente colpitidalle conseguenze di eventuali attacchicibernetici si registrano quelli governativi,dei trasporti, ICT e media, energetici, fi-nanziari, della difesa e dell’industriaCBRN.



ANALISI DEI RISCHI SULLABASE DELLEINFRASTRUTTURE CRITICHE

La seconda analisi del rischio è statacondotta a partire dalle infrastrutturecritiche individuate in precedenza, utiliz-zando la medesima tassonomia adotta-ta per la prima analisi. Tra i vari settoriche sono stati presi in considerazione,quello dei grandi eventi continua ad es-sere vulnerabile agli attacchi terroristicia causa della relativa facilità con cui sipotrebbe realizzare un attentato e deglialtissimi impatti (in primis in termini divittime) che ne conseguirebbero. Con iltermine grandi eventi si intendono quellemanifestazioni pubbliche che assumonoparticolare rilievo per “rilevanza o popo-larità a livello storico e politico; ampia ri-sonanza nei media e/o partecipazione

dei media a livello internazionale; parte-cipazione dei cittadini di diversi paesi e/odi eventuali gruppi destinatari; parteci-pazione di VIP e/o personalità; alto nu-mero di persone”. In tal senso, si intendo-no grandi eventi l’EXPO di Milano, il Giu-bileo, i vertici internazionali, nonché im-portanti eventi sportivi di risonanzamondiale (finali di calcio, olimpiadi, torneiinternazionali). La salvaguardia della sicurezza neigrandi eventi è essenziale per diversimotivi, dalla protezione e l’incolumità deicittadini, alla tutela degli investimentieconomici, fino alla protezione dell’im-magine del paese a livello interno (cometenuta del sistema di governo) e interna-zionale (in termini di credibilità). A diffe-renza dei luoghi di aggregazione, nonsempre è possibile individuare con preci-sione l’area perimetrale di un grande


evento. Nel caso del Giubileo, ad esem-pio, il perimetro non è circoscritto sola-mente al Vaticano, ma comprende piùaree a rischio come il sistema dei traspor-ti, i monumenti o i musei. Di conseguenza, uno dei maggiori rischievidenziati nell’analisi, connesso a questotipo di infrastruttura, potrebbe derivareda un’insufficienza dei sistemi di controlloaccessi in termini di incapacità di defini-zione di un’area perimetrale da controlla-re, di scarsità di personale (con conse-guenti accessi secondari incontrollati) o diinsufficiente preparazione dello stesso. Ilpersonale di sicurezza dovrebbe esseresempre addestrato e pronto a risponderea qualsiasi emergenza: in tal senso an-drebbero periodicamente effettuate pro-ve di emergenza e simulazioni per rende-re gli addetti pronti a gestire la folla,sventare attentati e identificare poten-ziali attaccanti prima che colpiscano. Ulteriore elemento essenziale dovrebbeessere il costante coordinamento infor-mativo fra le forze di polizia e i servizi diinformazione in merito alla diffusione diallarmi e database contenenti le infor-mazioni relative a persone sospette e ter-roristi. Tali database dovrebbero essere a di-sposizione del personale operativo instrada e dovrebbero essere pre-caricatisui sistemi di videosorveglianza a ricono-scimento facciale. In tal senso, al lavoro diaddestramento e formazione del perso-nale si dovrebbe accostare un adeguato

sistema di supporto tecnologico in gradonon solo di identificare i terroristi (teleca-mere) o armi (metal detector), ma anchedi individuare materiale esplosivo o chi-mico/batteriologico.

CONCLUSIONI

Il cyber crime e il terrorismo molecolarecostituiscono senza dubbio le minacceprioritarie del presente e del prossimo fu-turo. Nel fronteggiare tali pericoli, un’ana-lisi come quella proposta può essere diaiuto se affiancata ad altre metodologiedi intelligence. In tal senso, la centralitàdell’OSINT rimane infatti cruciale: avva-lersi di tecnologie di ricerca e di analisi se-mantica in grado di filtrare ed estrapola-re le informazioni necessarie dalle innu-merevoli fonti aperte permette di facilita-re il lavoro degli analisti e di velocizzare lericerche. Allo stesso tempo, all’organico di analistie di tecnologie informatiche va abbinato ilruolo della HUMINT, la quale, unita a unbuon livello di coordinamento informativoa livello nazionale ed internazionale tra leAgenzie di informazione, costituisce unperno di importanza strategica per lo svi-luppo delle capacità possedute dai pro-fessionisti del mestiere, nonché per ilmantenimento di contatti diretti con lezone di interesse che possano fornire in-formazioni aggiuntive all’analisi o possa-no verificare informazioni già ottenutetramite le fonti tecnologiche. �



In questi ultimi anni si è rafforzata laconvinzione che la gestione della si-curezza sia fortemente correlata al

fattore umano. Che si tratti di sicurezzain ambito informatico, di sicurezza fisicao di sicurezza sul lavoro, la questionenon cambia: l’adozione da parte dellepersone di comportamenti prudenti puòfare realmente la differenza nelle stra-tegie di prevenzione. Le persone si muovono negli ambientidigitali, una ricchezza alla quale non sipuò e non si deve rinunciare ma che ri-chiede cautela: l’esposizione delle iden-tità digitali è tale che i rischi per la sicu-rezza sono un problema da affrontare,tra furti di identità, frodi, violazioni deidati, cyberspionaggio, solo per farequalche esempio. Gli schemi di attaccosi fanno sempre più sofisticati, ma an-che tecniche note agli esperti da annisono sempre più diffuse: è il caso degliattacchi di ingegneria sociale, tecnicheconosciute da sempre e particolarmen-te potenti poichè, sfruttando principipsicologici, agiscono sulla percezionedell’utente, influenzandone il comporta-mento.L’evoluzione tecnologica non si arresta econ l’Internet delle cose (IoT) si prevedo-

no nei prossimi anni a venire miliardi didispositivi connessi. Questi cambiamentirichiedono di considerare con attenzio-ne gli aspetti di sicurezza, dal momentoche si moltiplicheranno dati e informa-zioni tra i dispositivi collegati in Rete; co-sì come è importante considerare la ne-cessità per le persone di adattarsi aduno stile di vita in cui tutto sarà inter-connesso. Da sempre fautrice dell’importanza delfattore umano nella sicurezza, con que-sta rubrica Isabella Corradini inaugurauno spazio dedicato alla lettura dei fe-nomeni cyber con un approccio umani-stico e sociale, sottolineando l’impor-tanza della relazione tra uomo e tecno-logie. Considerando che le tecnologie, ein particolare le tecnologie dell’informa-zione, incidono fortemente sulla dimen-sione individuale e globale, è evidenteche nell’affrontare i temi della sicurezzainformatica non si può prescindere dallaconoscenza dei meccanismi umani e so-ciali. Ambiente digitale, comportamenti uma-ni, organizzazioni, cultura, ricerca, for-mazione, comunicazione, reputazione:queste alcune parole delle parole chiaveche caratterizzano i temi della rubrica.�

PrESEntazionE rubriCafattorE umano E ambiEntE DigitalE

fattore umano e ambiente digitale

Isabella Corradini, Psicologa sociale e del lavoro, criminologa, è esperta sui temi della sicurezza (safety, securitye cybersecurity) con approccio psicosociale e in comunicazione aziendale. E’ Presidente e Direttore Scientifico delCentro Ricerche Themis e responsabile di Reputation Agency. Ha di recente fondato con Enrico Nardelli ilLink&Think Research Lab per lo sviluppo di attività di ricerca interdisciplinare. Presso l'Università dell'Aquila, Di-partimento di Medicina Clinica, Sanità pubblica, Scienze della Vita e dell'Ambiente, insegna psicologia sociale epsicologia del comportamento criminale. E' docente in corsi di perfezionamento e master presso diverse Univer-sità italiane in materia di psicologia, sicurezza, comunicazione e reputazione. E' membro scientifico di diversi co-mitati editoriali e tecnici, e autrice di numerose pubblicazioni. Sul tema della reputazione è curatore di una collanaper la Franco Angeli Editore e responsabile scientifico della rivista Reputation Today.

Isabella Corradini,Presidente CentroRicerche ThemisCrime


Tra i consigli che gli specialisti di si-curezza ci forniscono per tutelare inostri account c’è l’attenzione che

occorre prestare alla scelta della pas-sword, la quale deve essere complicata esoprattutto “robusta”, per evitare che siafacilmente scoperta. Così facendo, però,scegliere una password può diventarefaticoso, visto il numero elevato di ac-count che ormai tutti possediamo, anchese è comunque un’operazione necessariaper garantire al meglio la tutela dei pro-pri dati personali. Gli utenti devono essere consapevoli del-l’importanza del loro comportamento nelprevenire furti di credenziali e violazionida parte di cybercriminali.Una politica di prevenzione deve esseremessa in atto anche dai siti ai quali gliutenti si registrano, ad esempio inducen-doli ad adottare password efficaci. Sipensi a quanto questo possa essere im-

portante – in particolare – per i siti e-commerce per il quali la sicurezza deiclienti è ciò che garantisce il loro busi-ness. Violazioni di dati e abusi si riflettono ine-vitabilmente sulla reputazione e sul busi-ness; per questo essi devono adottaretutte le misure e le precauzioni necessa-rie per proteggere i dati dei propri clienti.Il fenomeno della violazione dei dati è or-mai un problema che non può essere as-solutamente sottovalutato. Nessuno, infatti, può ritenersi invulnera-bile. Mettere in campo tutte le cautele delcaso, sia di tipo tecnico-organizzativoche comportamentale, diventa pertantoun passaggio necessario se si vogliono ri-durre il più possibile i rischi di subire vio-lazioni. Nella terza edizione del barometro di Da-shlane, società specializzata nella gestio-ne di password e identità on line, gli

SiCurEzza DEi Dati, tra PaSSworDE ComPortamEnti


esperti hanno analizzato il modo con cui isiti di e-commerce (che vendono in Fran-cia) gestiscono la sicurezza delle pas-sword. Secondo l’indagine, il 52% dei 25 sitianalizzati non impone ai loro visitatoril’utilizzo di password complesse, metten-do così a rischio la sicurezza dei dati per-sonali dei loro clienti. Il 36% accetta password facili da ricor-dare - ma anche da hackerare - come ilclassico “123456”. La valutazione Dashlane produce unpunteggio compreso tra -100 e +100 cal-colato sulla base di una serie di criteri

che attribuiscono valori negativi a misureparticolarmente carenti dal punto di vi-sta della sicurezza e punteggi positivi permisure particolarmente buone. Tra i cri-teri negativi, ad esempio, vi è l’accetta-zione di password banali create dal-l’utente; tra quelli positivi l’obbligo perl’utente di usare numeri ed altri caratterinon alfabetici per la creazione della pas-sword.Analizzando il barometro Dashlane si ri-mane sorpresi nel trovare in questaclassifica siti e-commerce importanticon punteggi negativi (tabella 1). Nella tabella 2 vengono invece riportati isiti e-commerce con un punteggio posi-tivo. Tra questi al primo posto si collocaApple con uno score di 100. Una comparazione tra il barometro del2015 e quello del 2014 evidenzia alcunielementi interessanti, come la crescita diconsapevolezza di alcuni siti nel raffor-zare la protezione dei dati dei loro clienti. Ad esempio, si legge nel nuovo barome-tro che Alloresto, Vente Privée, Cdi-scount e Show Room Privé impongonoora ai loro utenti la creazione di pas-sword più robuste rispetto al passato(nella comparazione tra i due anni va te-nuto conto che il numero dei siti analiz-zati è cresciuto).Certo, il principio fondamentale è che, aprescindere dalle sollecitazioni rivolteall’utente da parte dei siti, egli deve co-munque essere consapevole dei rischi ai

fattore umano e ambiente digitale

Tabella 1 – I 10 siti con punteggio più negativo


quali può andare incontro se non rispet-ta semplici regole di sicurezza, come lascelta di password efficaci. Ma di fronte alla naturale tendenzadell’essere umano a risparmiare energie(anche cognitive) e a pensare di potercontrollare tutto ciò che lo circonda, nondi rado si commette l’errore di sottovalu-tare l’importanza di alcuni comporta-menti di tutela. In aggiunta, come supe-rare il problema di dover ricordare tuttele password create a fronte di un nume-ro sempre più elevato di account? Di sicuro interesse è la proposta di duericercatori della University of SouthernCalifornia, Ghazvininejad e Knight che, inconvegno di linguistica computazionaletenuto nel giugno del 2015 hanno pro-posto una soluzione insolita ma efficace:è possibile creare delle password robu-ste ricorrendo a brevi poesie. Per esserericordate devono essere in rima e per re-sistere agli attacchi non devono esserecomponimenti noti. I due studiosi hanno realizzato un gene-ratore casuale di password (da usaresolo a scopo dimostrativo) ed i loroesperimenti evidenziano che tali pas-sword si ricordano più facilmente e sonomeno attaccabili.Di certo, in un ambiente sempre più digi-tale, strutture e persone devono intera-gire per garantire al meglio la sicurezza.Gli strumenti ci sono, vanno applicati conrigore e costanza. �

RIFERIMENTI

http://www.itrpress.com/cp/2016/2016-01-06_dashlane.pdf

http://blog.dashlane.com/wp-content/uplo-ads/2014/03/UK-Methodology.pdf

http://www.bancaforte.it/notizie/2016/01-2/una-poesia-come-password

http://www-scf.usc.edu/~mghazvin/pa-pers/marjan15.pdf

http://www.isi.edu/natural-language/peo-ple/poem/poem.php

Tabella 2 – I 10 siti con punteggio più positivo

http://www.isi.edu/natural-language/people/poem/poem.php

http://www.isi.edu/natural-language/people/poem/poem.php

http://www-scf.usc.edu/~mghazvin/papers/marjan15.pdf

http://www-scf.usc.edu/~mghazvin/papers/marjan15.pdf



http://blog.dashlane.com/wp-content/uploads/2014/03/UK-Methodology.pdf

http://blog.dashlane.com/wp-content/uploads/2014/03/UK-Methodology.pdf

http://webcache.googleusercontent.com/search?q=cache:http://www.itrpress.com/cp/2016/2016-01-06_dashlane.pdf&gws_rd=cr&ei=xM65VrTbN4ama723vcgB

http://webcache.googleusercontent.com/search?q=cache:http://www.itrpress.com/cp/2016/2016-01-06_dashlane.pdf&gws_rd=cr&ei=xM65VrTbN4ama723vcgB


L’elevata pervasività delle tecno-logie e della rete Internet inogni strato dell’odierno tessuto

sociale ha completamente trasformato– in un lasso di tempo peraltro esiguo –ogni aspetto della nostra società, del-l’erogazione e gestione dei servizi, del-l’accesso alle informazioni, della loroqualità e quantità, nonché dell’intera-zione tra questi elementi e il cittadino. Come se ciò non bastasse a sottolineareil loro ruolo cruciale nella cosiddetta ‘so-cietà dell’informazione’, le tecnologie ela rete Internet sono ormai alla base an-che dei sistemi complessi che assicura-no la corretta esecuzione dei settoristrategici e sensibili di uno Stato, comequelli dell’energia, delle comunicazioni,dei trasporti, della finanza e così via. Es-se rappresentano, quindi, uno dei princi-pali cardini intorno a cui ruota il benes-sere economico e sociale di ogni Stato,nonché il piano di appoggio e il motoredella sua crescita.Peraltro, l’analisi dello scenario correntee dei principali documenti strategici na-zionali in ambito di cyber-security deli-nea contorni particolarmente evidentidelle direttrici di minaccia, causate prin-

cipalmente dallo scarso livello di perce-zione e consapevolezza di queste pro-blematiche, dal vuoto normativo e di re-golamentazione sovrannazionale delsettore, dal debole livello di collabora-zione interna e internazionale, nonchédalla scarsa capacità di raggiungere unadeguato standard di sicurezza infor-matica e di resilienza dei sistemi criticinazionali.Garantire un approccio strategico allasicurezza di questo settore, pianificarnela crescita, valutare i rischi a breve, me-dio e lungo termine, nonché svolgere at-tività previsionali sulla sua evoluzione,rappresentano, quindi, un compito or-mai imprescindibile, da porre come prio-ritario nell’agenda politica di ogni buongoverno, soprattutto oggi che la prote-zione del cosiddetto ‘spazio cibernetico’rappresenta per tutti una sfida ad ele-vato grado di priorità.Questa rubrica si pone come scopoquello di sensibilizzare il lettore su questiargomenti, analizzando i principali avve-nimenti a livello internazionale, al fine ditrarre i trend della ‘minaccia cibernetica’e le “lezioni apprese” utili alla salvaguar-dia della nostra sicurezza nazionale. �

PrESEntazionE rubriCaCybEr SPazio E SiCurEzza nazionalE

Cyber Spazio e Sicurezza nazionale

Stefano Mele of Counsel di Carnelutti Studio Legale Associato e Socio Fondatore di Moire ConsultingGroup

Stefano Mele è avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelli-gence. Lavora a Milano come ‘of Counsel’ di Carnelutti Studio Legale Associato. E’ socio fondatore e Partner delMoire Consulting Group ed è Presidente del “Gruppo di lavoro sulla cyber-security” della Camera di CommercioAmericana in Italia. È Direttore di Ricerca su Cyber-security & Cyber-Intelligence del Ce.Mi.S.S. ed è Coordinatore dell’OsservatorioInfoWarfare e Tecnologie emergenti dell’Istituto Italiano di Studi Strategici ‘Niccolò Machiavelli’. È inoltre docentepresso istituti di formazione e di ricerca del Ministero della Difesa italiano e della NATO, nonché autore di nume-rose pubblicazioni scientifiche e articoli sui temi della cyber-security, cyber-intelligence, cyber-terrorism e cy-ber-warfare. Nel 2014, la NATO lo ha inserito nella lista dei suoi Key Opinion Leaders for Cyberspace Security ela rivista Forbes lo ha inserito tra i 20 migliori Cyber Policy Experts al mondo da seguire in Rete.


I mesi a cavallo tra la fine del 2015 el’inizio del 2016 sono stati caratteriz-zati da numerosi e importanti avveni-

menti in materia di cyber-security, chenon possono assolutamente essere igno-rati dagli analisti. Dalla pubblicazione dialcuni fondamentali documenti strategici,fino alla conduzione di attacchi informaticinei confronti di infrastrutture critiche na-zionali, il settore continua ad essere ca-ratterizzato da una fortissima espansionee da un elevato numero di attacchi tesi aminare la sicurezza nazionale ed econo-mica dei principali attori presenti sulloscacchiere internazionale. L’approcciostrategico degli Stati, peraltro, sta veloce-mente mutando da una mera difesa atti-va (Active Cyber-Defence) ad un vero eproprio sviluppo di capacità offensive peril cyber-spazio. Tutto ciò senza una chiaraconduzione strategica a livello sovranna-zionale e senza, soprattutto, un substratointernazionale di norme per l’utilizzo dellecapacità offensive che sia globalmentecondiviso ed accettato.Di seguito, quindi, vengono brevementeanalizzate le principali notizie e i più im-portanti avvenimenti in materia di cyber-security che hanno caratterizzato questiultimi mesi.

CINA

Lo scorso 31 dicembre, la Central MilitaryCommission cinese ha pubblicamenteannunciato di aver completato una so-stanziale riforma organizzativa dellaPeople’s Liberation Army, ovvero le ForzeArmate cinesi, dando alla luce tre nuoviorganismi: l’Army Leading Organ, la Roc-ket Force e la Strategic Support Force. Tra le tre, la Strategic Support Force ap-pare essere la più interessante sotto il

punto di vista della cyber-security. Infatti,secondo alcune fonti, sarebbe a sua voltacostituita da tre ramificazioni: la prima,responsabile delle operazioni di intelli-gence e militari nel e attraverso il cyber-spazio (sia difensive, che offensive); la se-conda, deputata alle operazioni militaricondotte nello spazio, in cui rientrerebbe-ro anche le attività di sorveglianza e quel-le inerenti ai satelliti; la terza, infine, concompiti di electronic warfare (EW), sia dalpunto di vista offensivo, che difensivo e diintelligence (ELINT). Ad un’attenta analisi,quindi, la Strategic Support Force rac-chiuderà presto in sé le specialità e lecompetenze del Terzo e del Quarto Di-partimento della People’s Liberation Ar-my, ponendo sotto un’unica linea di co-mando due dei tre ‘domini critici’ delineatidal governo cinese all’interno delle suestrategie, ovvero il cyber-spazio e lo spa-zio (il terzo ‘domino critico’, invece, è il nu-cleare).Questa scelta organizzativa sicuramentenon stupisce, né tantomeno deve sor-prendere. L’approccio strategico cinese,

CybEr StratEgy & PoliCy briEf(gEnnaio 2016)


infatti, ha da sempre privilegiato da unlato la fusione tra il cyber-warfare el’electronic warfare, creando un approc-cio di “Intergrated Network and ElectronicWarfare”, mentre dall’altro ha favoritol’evoluzione del concetto di informationwarfare verso quello di “Information Con-frontation”. Racchiudere tutti gli elementidell’information warfare – sia militari, chedi intelligence; sia difensivi, che offensivi;sia elettronici, che informatici – all’internodi un unico ‘contenitore’ e sotto una sin-gola ed univoca linea di comando più vici-na, rispetto al passato, all’influenza dellaCentral Military Commission cinese era ilpasso successivo e quello più ovvio dalpunto di vista strategico.

REGNO UNITO

Da tempo il Regno Unito si è posto comeil principale attore europeo in materia dicyber-security, sia sotto il punto di vistastrettamente legato allo sviluppo econo-mico del settore sul proprio territorio, at-traverso, ad esempio, fortissime agevola-zioni per le imprese che fanno delle tec-nologie e dell’innovazione tecnologica illoro core business, che sotto il punto di vi-sta della sicurezza nazionale dalle ‘mi-nacce cibernetiche’. In quest’ottica, il 23novembre 2015, il Regno Unito ha pubbli-

cato il suo nuovo “Strategic Defense andSecurity Review”, uno dei documenti piùrilevanti per comprendere la posturastrategica del governo inglese in ambitodi difesa e sicurezza nazionale per i pros-simi cinque anni. All’interno di questo do-cumento anche la cyber-security vienepresa in considerazione e, anzi, proprio lacyber-defence – insieme all’intelligence eal contro-terrorismo – rappresenta unodei settori con la maggior crescita di ri-sorse economiche dedicate. Il Regno Uni-to, del resto, non è nuovo a quest’approc-cio, basti pensare che dal 2011 ha già in-vestito 860 milioni di pound in questosettore e la previsione è di investirne 1 mi-liardo e 900 milioni nei prossimi cinqueanni. La ‘minaccia cibernetica’, infatti, vie-ne considerata nel nuovo documentostrategico come una delle quattro princi-pali priorità per il governo inglese da quial 2020.Pertanto, lo “Strategic Defense and Se-curity Review” fissa le principali prioritàstrategiche in ambito di cyber-securitypreviste dal Regno Unito. Esse sono:• sviluppare una serie di misure per difen-dere attivamente il Regno Unito dagliattacchi informatici (Active Cyber-De-fence);• investire nella creazione di capacità attea rilevare e analizzare le ‘minacce ciber-



netiche’, prevenire gli attacchi informati-ci e rintracciarne i responsabili;• migliorare la capacità nazionale di ri-spondere rapidamente ed efficacemen-te ai cyber-attacchi. Per raggiungerequesto obiettivo, il governo britannicocreerà un nuovo “National Cyber Cen-tre”. Il Centro opererà sotto la guida delGCHQ e avrà l’incarico di gestire la ri-sposta agli incidenti informatici sul pia-no operativo, garantendo così la prote-zione del Regno Unito dagli attacchi e ri-ducendo al minimo possibile il loro im-patto;• costruire una nuova e più sicura rete in-tergovernativa per migliorare lo scam-bio di informazioni e la cooperazionesulle tematiche di cyber-security;• aiutare le aziende e i cittadini a fare dipiù per proteggere i propri dati dalle‘minacce cibernetiche’, fornendo infor-mazioni specialistiche. Ciò avverrà sem-plificando e rendendo più agevole pos-sibile l’accesso del settore privato alleconsulenze in materia di cyber-securitydel governo. In quest’ottica, il nuovo“National Cyber Centre” sarà il puntounico di contatto per le aziende in cercadi questo genere di informazioni;• creare una nuova unità di intelligencespecificamente dedicata alla lotta con-tro l’uso criminale del ‘Dark Web’;• fare in modo che le Forze Armate inglesiraggiungano un eccellente livello di cy-ber-defence e che, in caso di un signifi-cativo incidente informatico nel RegnoUnito, siano pronte a fornire assistenza.Il governo, inoltre, prevede che le ForzeArmate inglesi conseguano capacitàmilitari offensive avanzate attraverso ilcyber-spazio, così come previsto dal“National Offensive Cyber Programme”gestito in partnership dal Ministero dellaDifesa inglese e dal GCHQ;• continuare a collaborare con la NATO econ gli altri alleati per proteggere le lororeti informatiche attraverso le informa-zioni di intelligence e le tecniche di pro-tezione sviluppate dal Regno Unito.Ciò che emerge e deve urgentementeemergere – anche in un’ottica di sicurezzanazionale dell’Italia – dalla lettura dello“Strategic Defense and Security Review”è che il governo del Regno Unito ha sotto-lineato con forza l’esigenza per le proprie

Forze Armate di migliorare le capacità dicyber-defence, ma, soprattutto, di svi-luppare eccellenti e avanzate capacitàmilitari offensive per il cyber-spazio a so-stegno degli interessi nazionali e di quellidella coalizione. Ciò rende il governo in-glese uno dei pochissimi Stati ad aver uf-ficialmente formalizzato in una policyl’uso offensivo degli attacchi informatici.Urge, pertanto, che il medesimo dibattitosia portato quanto prima ai più alti livellianche in Italia, soprattutto oggi che gliattacchi informatici alle infrastrutturecritiche nazionali sembrano aver trovatonuova linfa e alte capacità di impatto edi successo (si vedano, di seguito, leschede su Russia e Stati Uniti).

ISRAELE

Il governo israeliano ha da tempo pun-tato gran parte dell’attenzione istituzio-nale sulle questioni relative alla ‘sicurez-za cibernetica’, sia sotto il profilo militaree di intelligence per la salvaguardia deipropri interessi strategici, che come vei-colo e volano dello sviluppo economico.Nell’arco di soli tre anni, Israele – attra-verso il suo “CyberParco” di Be’er Shevacompletamente dedicato alla sviluppodella cyber-security – ha acquisito inquesto settore una posizione dominantea livello globale. Stando alle ultime sti-me ufficiali, infatti, oggi Israele ospita sulsuo territorio oltre 300 aziende che fan-no della cyber-security il proprio corebusiness. Esse, peraltro, esportano an-nualmente servizi e tecnologie per circa6 miliardi di dollari e rappresentano il20% dell’investimento privato mondialenel settore. Questi numeri e la loro co-stante crescita hanno portato a gennaioil Primo Ministro Netanyahu a spingereper la trasformazione del “CyberParco”di Be’er Sheva non più solo come puntodi riferimento della cyber-security a li-vello nazionale, ma di provare ad esten-dere il progetto anche a livello globale.Ciò, complice la distrazione dei governieuropei verso gli evidenti benefici di si-mili iniziative e nonostante un progettoanalogo a quello israeliano siano giàstato delineato, ad esempio, proprio inItalia.In una recente conferenza a Tel Aviv,


inoltre, il Primo Ministro Netanyahu haanche preannunciato l’imminente pub-blicazione di alcune norme volte a rego-lamentare l’esportazione di prodotti perla cyber-security da parte delle aziendeisraeliane. L’intento appare essere quel-lo d’inserirsi nel medesimo solco traccia-to dagli Stati Uniti attraverso l’estensio-ne dell’accordo Wassenaar all’esporta-zione di tecnologie e di software utili allasorveglianza e all’hacking di sistemi in-formatici. Accordo che, peraltro, proprioagli inizi di quest’anno ha visto un riac-cendersi delle polemiche politiche negliStati Uniti, al fine di ottenere nuove mo-difiche e maggiori aperture per le azien-de. Medesime polemiche che, al mo-mento, infiammano anche il dibattitopolitico israeliano.

RUSSIA

Pochi giorni prima delle festività natali-zie dello scorso anno, il governo russo ènuovamente balzato agli onori dellacronaca a seguito di un suo possibilecoinvolgimento in un attacco informati-co coordinato contro alcune infrastrut-ture energetiche site sul territorio ucrai-no. Il 23 dicembre 2015, infatti, le com-pagnie energetiche PrykarpattiaOblE-nergo e KyivOblEnergo, deputate aderogare energia elettrica nella regioneoccidentale dell’Ucraina, hanno pubbli-camente affermato di aver subìto un at-tacco informatico ai sistemi di gestionedi numerose sottostazioni elettriche,causando un blackout esteso e prolun-gato in gran parte della regione. Seppu-re approfondire i dettagli tecnici dell’at-tacco non è lo scopo primario, occorre

comunque evidenziare come il Trojanutilizzato, il famoso “BlackEnergy” (la cuiprima versione fu impiegata nei cele-berrimi attacchi DDoS del 2008 controla Georgia), sia stato inoculato attraver-so un mero file Microsoft Word capacedi sfruttare un ben noto bug del 2014nella gestione delle macro da parte diOffice (per la precisione il CVE-2014-4114). Un metodo, quindi, assolutamentepoco innovativo sul piano tecnico, maanzi particolarmente conosciuto e giàampiamente utilizzato.Ciò che più interessa sul piano dell’ana-lisi in un’ottica di sicurezza nazionale,però, è certamente la crescente atten-zione che i sistemi ICS/SCADA stannoavendo – in particolar modo dal 2013 –da parte degli sviluppatori di malware.Un settore, quello delle infrastrutturecritiche, particolarmente delicato per lasua caratteristica, in caso di incidente, diprodurre effetti direttamente nel mondofisico – come nel caso del blackout inUcraina – e dove la crescente “necessi-tà” d’interconnessione tra i sistemi, unitaalla mancanza delle più elementari mi-sure di sicurezza nelle tecnologie e neiprotocolli utilizzati, rappresentanosenz’altro una vera e propria spina nelfianco per ogni governo. Sotto altro profilo, invece, occorre evi-denziare come, a dispetto dei proclamigiornalistici su un’ipotetica “cyber-war”in atto da tempo tra Russia e Ucraina,nessuno dei due attori fino a questomomento si era realmente adoperatoper sfruttare le tecnologie e la rete In-ternet per confezionare attacchi infor-matici classificabili come atti di cyber-warfare. Men che mai attacchi, comequello subìto dall’Ucraina, capaci peral-tro di produrre effetti diretti sulla popo-lazione. Questo blackout, pertanto, rap-presenta sicuramente un evento da se-guire nei suoi sviluppi con estrema at-tenzione. Infatti, qualora col tempo fos-se provato il coinvolgimento del governorusso – assolutamente teorico al mo-mento – questo attacco informatico po-trebbe essere classificato sotto il puntodi vista del diritto internazionale quantomeno come “uso della forza”, il cui divie-



to è sancito dall’art. 2, § 4, della CartaONU, con tutte le conseguenze che nederiverebbero per la Russia, sia sotto ilprofilo dei rapporti internazionali, chesotto il punto di vista della possibilità direazione legittima a questo attacco daparte dell’Ucraina.

STATI UNITI

Sulla scia delle garanzie giuridiche previsteall’interno del capitolo “Cyber Operations”del mastodontico “Law of War Manual”pubblicato a giugno del 2015, lo U.S. CyberCommand si appresta ad appaltare alleaziende private un progetto da oltre 450milioni di dollari. L’obiettivo è quello di ve-dersi affiancato – nell’arco dei prossimi 5anni – nello sviluppo dei “Cyberspace Ope-rations Support Services” utili al Pentagonoper proiettare forza anche nel cosiddettoquinto dominio della conflittualità, il cyber-spazio appunto. A tal fine, lo U.S. CyberCommand punta ad avere entro la fine diquest’anno ben 6.200 militari specializzatiin operazioni nel e attraverso il cyber-spa-zio. Tuttavia, ciò che più rileva di questoprogetto è senz’altro l’intenzione di richie-dere alla società vincitrice dell’appalto an-che lo sviluppo e la distribuzione di cyber-armi e di far ciò in cooperazione con le

agenzie di intelligence americane. In parti-colare, la bozza del contratto prevede chela società supporti tecnicamente lo U.S. Cy-ber Command nel pianificare, coordinare esincronizzare sia le operazioni militari difen-sive, che quelle offensive attuate per mezzodel cyber-spazio, nonché di consigliare, svi-luppare, valutare, analizzare e integrare lecyber-armi all’interno di questo genere dioperazioni. Appare evidente, quindi, come ilgoverno americano lavori ormai da tempoe senza sosta per consolidare lapropria leadership internazionale nelle atti-vità militari nel e attraverso il cyber-spazio,spingendo sempre più verso una posturamarcatamente offensiva, utile già oggi ai fi-ni del rafforzamento della loro strategia dideterrenza. Ciò, peraltro, si raccorda perfettamentecon la proposta di finanziamento per il 2017che il Pentagono ha formulato agli inizi difebbraio. Solo per il settore della cyber-se-curity, infatti, la richiesta è di 7 miliardi didollari per il prossimo anno (circa un miliar-do in più rispetto alle richieste per il 2016) edi 35 miliardi di dollari per i prossimi 5 annida destinare alla protezione delle infra-strutture militari, ma anche – si legge espli-citamente nella richiesta – per accelerare losviluppo delle capacità offensive nel e at-traverso il cyber-spazio. �

In qualsiasi disciplina o attività,le prime settimane di ogni nuo-vo anno sono il momento d’ele-

zione per fermarsi un attimo a fareil punto della situazione e tirare lesomme su ciò che è successo neiprecedenti dodici mesi. Valutare lostato delle cose a mente fredda ead intervalli prefissati aiuta infatti arendersi meglio conto dei trend dilungo respiro, e quindi anche a farsiun’idea di cosa succederà nel pros-simo futuro e di come ci si potrebbepreparare a ciò che verrà.La cybersecurity non fa eccezione,ed infatti sono molti i vendor e i ri-cercatori che al cambio d’anno cipropongono, ciascuno dal propriopersonale punto di vista, le loroconsiderazioni sui fenomeni rilevan-ti che hanno caratterizzato l’annoappena terminato; e magari anchele proprie anticipazioni su ciò che siaspettano da quello appena inizia-to, alla luce delle tendenze analiz-zate.Fra tutti i rapporti del genere spiccada oramai quattro anni quello pub-blicato da ENISA, l’Agenzia del-l’Unione Europea per la sicurezzadelle reti e dell’informazione, sul co-siddetto “panorama delle minacce”.Stante infatti la particolare posizio-ne “super partes” e strategica del-


Un anno in retrospettiva:le minacce cyber del 2015


l’Agenzia, che traguarda tutto ilmondo con particolare riguardoall’Unione Europea e riceve dati diprima mano da alcuni specifici set-tori di mercato in tutti gli Statimembri, questo lavoro offre una vi-sione estremamente ampia ed ac-curata dei fenomeni legati al mon-do del rischio cyber, identificando ecatalogando le minacce più rilevan-ti, le vulnerabilità da esse sfruttatee le modalità con cui esse vengonoimpiegate dalla criminalità e dallealtre forze che “giocano contro”.

IL RAPPORTO ETL 2015

Il rapporto “ENISA Threat Landsca-pe 2015”, pubblicato a fine gennaio,è il quarto di quella che è oramai di-ventata una serie tradizionale. Co-me di consueto si focalizza suglieventi cyber più significativi occorsinei dodici mesi precedenti, catego-rizzandoli per tipologia di minaccia.Ciascuna minaccia viene inoltre va-lutata secondo la sua rilevanza esoprattutto la sua diffusione, dan-do così origine ad una sorta di “hitparade” delle 15 principali minacceche vede ai primi posti della classi-fica quelle maggiormente diffuse oche hanno causato i maggiori dan-ni. Ciascuna delle “top threats” ri-

sultanti viene inoltre confrontatacon la sua posizione nel rapportoprecedente, in modo da tracciarneanche l’andamento tendenziale etentare di prevederne la possibileevoluzione.In Figura 1 vediamo la tabella rias-suntiva del rapporto di quest’anno,che riporta il raffronto tra le posi-zioni attuali e quelle dell’anno scor-so. Per ciascuna delle minacce pre-sentate viene indicato il trend dicrescita relativo all’anno considera-to, mentre l’indicatore nell’ultimacolonna rappresenta l’eventualespostamento della minaccia all’in-terno della classifica, rispetto quel-la dell’anno precedente. Si vede acolpo d’occhio che le cinque minac-ce più rilevanti sono rimaste so-stanzialmente invariate fra 2014 e2015, mentre al sesto e settimo po-sto si sono insidiate minacce che inprecedenza erano state classificatepiù in bassso nella lista.Oltre all’analisi dettagliate delle“top threats” il rapporto fornisce ul-teriori interessanti considerazionimetodologiche, ad esempio propo-nendo nonché adottando una tas-sonomia per la classificazione deirischi sviluppata ad hoc come ar-monizzazione di quanto già esisten-te in letteratura. Infine vengono illu-

CORRADO GIUSTOZZI

Membro del PermanentStakeholders' Group diENISA ed esperto disicurezza ciberneticapresso l'Agenzia perl'Italia Digitale per lo

sviluppo del CERT-PA

Corrado Giustozzi: Attivo da oltre trent'anni nella cybersecurity come consulente, docente e divulgatore.Membro da tre mandati del Permanent Stakeholders' Group dell'Agenzia dell'Unione Europea per la Sicurezzadelle Reti e delle Informazioni (ENISA), esperto di sicurezza cibernetica presso l'Agenzia per l'Italia Digitale perlo sviluppo del CERT della Pubblica Amministrazione, componente del Consiglio direttivo di Clusit.Collabora da anni con diverse forze dell'ordine e con l'Ufficio delle Nazioni Unite per il controllo della droga ela prevenzione del crimine (UNODC) nel contrasto al cybercrime ed al cyberterrorismo internazionali.Membro di varie associazioni scientifiche e tecniche, componente di molteplici comitati scientifici, docentepresso varie Università, svolge da sempre un’intensa attività di divulgazione culturale dei temi cyber tenendofrequentemente conferenze e seminari specialistici. Giornalista pubblicista e membro dell'Unione GiornalistiItaliani Scientifici (UGIS), ha al suo attivo oltre mille articoli e quattro libri.


strate le “lesson learned”, ossia co-sa abbiamo imparato dagli inciden-ti occorsi, e prodotte raccomanda-zioni indirizzate ai decisori in ambitopolitico, aziendale e della ricerca.In questo articolo riportiamo unarapida overview delle principali mi-nacce poste da Enisa ai vertici dellaclassifica, rimandando alla letturadel report originale1 tutti coloro chefossero interessati ad approfondiregli ulteriori numerosi appprofondi-menti che vi si trovano.

MALWARE

Come già accennato, nel 2015 ilmalware si è confermato al primoposto tra le minacce cyber, così co-me già era successo l’anno prece-dente. Particolarmente rilevante lapresenza di malware specifico perdspositivi mobili (smartphone e ta-blet), cresciuto di oltre il 50% rispet-to al 2014.Fra gli aspetti interessanti che il re-

port evidenzia va menzionato il ri-torno di tecniche di infezione risa-lenti a vent’anni fa e date perscomparse, quali documenti Officeche, mediante macro (in Visual Ba-sic), scaricano il malware sul PCdell’utente e lo installano. Due im-portanti casi di questa tecnica “vin-tage” sono Duku 2 e EquationGroup.Un’altra caratteristice interessanterilevata da ENISA è lo spostamentodel vettore di diffusione dall’atta-chment di email alla URL malevola,conseguente all’aumento di infezio-ni veicolate tramite profili o mes-saggi sui social network.Interessante infine sottolineare co-me la Russia da sola ospiti la metàdei siti di risorse di malware onlinedel mondo, con gli USA al secondoposto ma ben distaccati (12%) e trePaesi europei a seguire (Olanda,Germania e Francia).

WEB BASED ATTACKS

Gli attacchi web-based sono quelliche sfruttano il Web, sia lato serverche lato client, come mezzo per rile-vare vulnerabilità ed installare mal-ware. Essi comprendono ad esem-pio tecniche come URL malevole,

pagine Web compromesse, exploitsul browser eccetera.Una novità del 2015 è stato l’uso diplugin specializzati, che vengono in-stallati nei browser da pacchettisoftware indesiderati, e sono utiliz-zati per inviare spam o mostrarepubblicità non richieste e non elimi-nabili. Al fine di sfuggire il rileva-mento questi plugin usano casual-mente circa 400 nomi e 500 domi-ni.In generale nel corso del 2015 sonostate identificate da vari CERT circa58.000 nuove URL malevole al gior-no, ossia oltre venti milioni nell’anno,il che rende particolarmente onero-so il loro blocco mediante strumenticonvenzionali (blacklist), che sonotuttavia praticamente l’unica formadi contrasto disponibile.

WEB APPLICATIONATTACKS

Sì, i “soliti” vecchi cross-site scrip-ting e SQL injection, che apparen-temente erano diminuiti nel 2014,sono tornati più vispi di primaLa stessa vulnerabilità Shellshock,apparsa e ben studiata nel 2014, èritornata prepotentemente alla ri-balta risultando responsabile dasola di oltre il 40% degli attacchi al-le web application.

BOTNETS

Le botnet rimangono un fenomenoestremamente rilevante, anche sele loro modalità di azione sta cam-biando. Ad esempio, in seguito delfamoso takedown dela rete Ga-meover Zeus, ne è stata rilevatauna nuova versione che non sfruttapiù i protocolli P2P, un cui bug erastato sfruttato dalle forze di poliziaproprio per smantellare la reteprecedente.È anche in atto un riposizionamen-to dei centri di comando e controllo(C&C) da server fisici infettati conmalware a server virtuali, più facilida gestire dinamicamente e menoesposti a rischi per il botmaster.Sono inoltre state osservate le pri-me botnet formate da dispositivi IP,l’inizio di quella che si teme sarà ilmaggior problema della prossima

Il rapporto è liberamente scaricabileda: https://www.enisa.europa.eu/ac-tivities/risk-management/evolving-threat-environment/enisa-threat-landscape/etl2015/etl2015/at_dow-nload/fullReport


Internet of Things.Globalmente nel corso del 2015 so-no stati identificati dai 600 ai 1.000C&C, ciascuno dei quali responsa-bile di alcune centinaia di migliaiadi macchine zombie. L’utilizzo tipicoè stato il noleggio delle reti per at-tività di Cybercrime-As-A-Service,in particolare per sferrare attacchidi Denial of Service massivo (DDoS)a tariffe di mercato variabili fra i 20e i 40 dollari l’ora.Una rete in particolare, denomina-ta Nidol, si è resa da sola respon-sabile del 60% di tutti gli attacchiapplicativi del 2015.

DENIAL OF SERVICE

Gli attacchi di tipo Denial od Servi-ce hanno visto nel 2015 un consi-stente incremento sia in termini diqualità che in termini di quantità ri-spetto all’anno precedente. In par-ticolare il numero complessivo degliattacchi è aumentato del 130%,quello degli attacchi a livello appli-cativo del 120%, quello degli attac-chi a livello di infrastruttura del130%, quello degli attacchi con vo-lume superiore ai 100 gbps del100%. È inoltre stata registrata latendenza ad abbandonare i tradi-zionali sistemi usati per gli attacchi,tipicamente macchine server dielevata potenza, in favore di dispo-sitivi economici, meno potenti mapiù diffusi quali i router casalinghi,sfruttando attacchi basati sul pro-tocollo UPnP.Nel corsso del 2015 sono anche au-mentati i casi di attacchi DDoS usaticome fonte di lucro per la criminali-tà, mediante un meccanismo chevede dapprima lanciare un attaccomassiccio contro la vittima e suc-cessivamente chiedere il pagamen-to di un riscatto per farlo cessare.

CONSIDERAZIONI SUALTRE MINACCE

Per quanto riguarda le rimanentiposizioni della top 15, non potendocommentarle tutte una ad una èinteressante notare almeno le ca-tegorie in ascesa: phisical dama-ge/theft/loss (danno, furto o perdi-ta fisica), insider threat (minaccia

interna), identity theft (furto d’iden-tità) e ransomware (malware checifra i dati e chiede il riscatto perdecifrarli).Il furto fisico di apparati, per quan-to banale, rimane una delle più im-portanti cause di perdita (e quindispesso di diffusione) di dati riser-vati. La maggior parte degli episodi(55%) avviene sul luogo di lavoro,ma oltre il 22% riguarda o coinvol-ge materiale presente a bordo diautoveicoli. In generale il furto didispositivi è il danno più probabileper un’azienda o organizzazione,prima ancora dell’intrusione o delDenial of Service!La minaccia dall’interno, sia delibe-rata che non intenzionale, è ungrande classico che non passa maidi moda: circa un terzo di tutti gli in-cidenti può essere ricondotto ad at-tività di questo tipo. Tuttavia unsondaggio ha mostrato che il 75%delle aziende interessate ha prefe-rito risolvere l’incidente direttamen-te senza denunciarlo alla polizia.Il furto d’identità è un caso partico-lare di furto d’informazioni che ri-guarda dati relativi all’identità per-sonale, i quali possono avere un va-lore immediato sul mercato crimi-nale. Gli episodi registrati nel 2015hanno riguardato soprattutto datisanitari, che da soli hanno costituitocirca un terzo dei casi totali.Il ransomware è sicuramente il fe-

nomeno che più ha caratterizzato il2015: in effetti il numero di episodiregistrati è più che raddoppiato ri-spetto all’anno precedente, rag-giungendo il suo attuale massimostorico, mentre il numero di nuovi ti-pi o varianti è più che quaduplicato.

CONCLUSIONI

Gli analisti di ENISA notano a mar-gine che nel 2015 non ci sono statieventi eclatanti sul fronte cyber,come lo furono ad esempio le rive-lazioni Snowden l’anno passato.Questa apparente tranquillità hapermesso ai cattivi di svilupparecon maggior cura e calma i propristrumenti di attacco, migliorandoliin qualità ed efficienza e di fattoaumentando silenziosamente masistematicamente il loro livello diminaccia.D’altro canto l’analisi degli incidentimostra che nella grande maggio-ranza dei casi non vi erano neppurele più basilari misure di protezione,o quelle che c’erano non hannofunzionato come ci si attendeva. Ilproblema della prevenzione ruotaattorno alla preparazione ed allaconsapevolezza degli utenti e delleorganizzazioni, e sarebbe utile defi-nire una baseline comune di misureminime di sicurezza per ottenerealmeno un livello di base ugualeper tutti. �

Continuiamo la presentazionedei vantaggi di una metodo-logia che permetta di predire,

in modo quantitativo e ripetibile lacapacità di un sistema di resistereagli attacchi. Il tema di quest’articolosono le contromisure, quelle perma-nenti e quelle dinamiche. Una con-tromisura è una modifica al sistemao al modo in cui il sistema è utilizzatoche riduce la probabilità di successodi un attacco semplice. Un attaccosemplice è il singolo passo della pri-vilege escalation che un attaccantedeve realizzare per raggiungere ilproprio obiettivo. Una contromisurapermanente modifica uno o piùcomponenti del sistema in modo de-finitivo. Tipici esempi sono l’applica-zione di una patch per rimuovereuna vulnerabilità in un modulo soft-ware, la segmentazione di una sin-gola rete in più reti separate da unfirewall o l’esecuzione di alcuni mo-duli su macchine virtuali diverse permeglio confinare gli attacchi. Con-tromisure di questo tipo devono es-sere valutate attentamente per ga-rantire che il loro costo, spesso ele-vato, abbia come controparte unaumento della robustezza del siste-ma. Come già discusso nel prece-dente articolo sulle “contromisurebenefiche”1, occorre infatti evitare la


Contromisure dinamiche:perché, quando e soprattutto come


situazione paradossale di investire inuna contromisura che aumenti laprobabilità di successo dell’attac-cante. Oltre alle contromisure per-manenti, è possibile adottare anchequelle dinamiche. Una contromisuradinamica cambia la struttura del si-stema ma per un intervallo di tempolimitato, tipicamente fino al terminedell’attacco. Tipici esempi sono lamodifica delle regole di routing perdifendersi da un DDOS o l’interruzio-ne di alcuni collegamenti. In casiestremi si possono anche spegnerealcuni nodi o a disconnetterli dallarete per creare un air gap. Il vantag-gio delle contromisure temporanee èche possono essere molto severe vi-sto che sono applicate per un tempolimitato. Il vero problema nasce peròse pensiamo ai componenti del si-stema che devono decidere quandoapplicarle. Consideriamo ad esem-pio la drastica contromisura che pre-vede di spegnere un nodo. E’ ovvioche il nodo debba essere spento pri-ma dell’inizio dell’attacco perché, vi-sti i tempi tipici di un attacco adotta-re la contromisura dopo l’inizio del-l’attacco può essere del tutto inutile.

E’ anche altrettanto ovvio che visti itempi degli attacchi informatici, ladecisione non può essere delegataad un essere umano. Per risolvere ilproblema dobbiamo ritornare aduno dei concetti che stanno alla basedel nostro approccio, la necessità diprevedere i possibili comportamentidegli attaccanti come chiave per ga-rantire una difesa efficace e conve-niente. Vediamo come questa previ-sione sia possibile quando di utilizzala metodologia Haruspex.

Haruspex assume che il sistema siaattaccato da uno o più agenti intelli-genti che hanno come obiettivo ilpossesso di uno o più privilegi in mo-do da controllare uno o più modulidel sistema. Ad esempio, un agenteche voglia rubare delle informazioniè interessato a controllare alcuni da-tabase e dei nodi che gli permettanodi esfiltrare le informazioni. Invece,un attaccante interessato a sabota-re un impianto industriale è interes-sato a controllare alcuni dei PLC cheinterfacciano il sistema di controllo el’impianto stesso. I vari agenti rag-giungono un loro obiettivo medianteprivilege escalation ottenuta graziead una catena di attacchi elementa-ri. Ogni attacco elementare aumen-ta i privilegi dell’agente e sfrutta una

FABRIZIO BAIARDI

Full ProfessorDepartment of

Computer ScienceUniversità di Pisa

J. LIPILINI

F. TONELLI Dipartimento di

Informatica, Universitàdi Pisa, Italia

1 Si veda il numero di ICT Security delMaggio 2015


o più vulnerabilità o weakness del si-stema. Se l’attaccante riesce adeseguire tutti gli attacchi della cate-na allora raggiunge il suo obiettivo.Possono esistere catene diverse peruno stesso obiettivo, queste catenepossono essere viste come stradediverse che l’agente percorre nel si-stema target. L’intelligenza dell’at-taccante implica un minimizzazionedello sforzo, e quindi la scelta dellacatena più breve e più conveniente.La stessa intelligenza permette al-l’attaccante di cambiare la catenache sta realizzando in base alle con-tromisure adottate. Gli strumentiHaruspex permettono di costruirepiù modelli, uno del sistema da ana-lizzare ed uno per ogni agente chepuò attaccare il sistema. Il modellodel sistema descrive le due informa-zioni fondamentali per capire come ilsistema può essere attaccato e cioèle vulnerabilità dei moduli del siste-ma, l’allocazione dei moduli ai varinodi di elaborazione del sistema e leconnessioni tra questi nodi. L’infor-mazione sulle vulnerabilità permettedi scoprire gli attacchi elementariche gli agenti possono eseguire, le ri-sorse che tali attacchi richiedono e laloro probabilità di successo. La co-noscenza delle connessioni tra i nodipermette di capire come gli agentipossano estendere il loro controlloda un nodo ad un altro. Il modellodell’agente è formato da un insiemedi attributi che descrivono i suoiobiettivi, le sue capacità e le sue pre-ferenze. Ad esempio, possiamo mo-dellare agenti che sanno costruiredegli exploit oppure che sanno solousare gli exploit già pubblici. Un

agente potrebbe preferire raccoglie-re una grande quantità di informa-zione per eseguire poi attacchi mira-ti, mentre potrebbero raccogliere ilminimo di informazioni ed eseguireun attacco il prima possibile.

Costruiti il modello del sistema equelli degli agenti che lo attaccano,altri strumenti Haruspex li eseguonoin modo interattivo. Nell’esecuzione,il modello di un agente interagiscecon quello del sistema, scegliendo edeseguendo i vari attacchi possibili inbase agli obiettivi dell’agente, allesue capacità ed alle sue preferenze.L’esecuzione tiene anche conto deltempo che l’agente deve spendereper acquisire le informazioni neces-sarie per scegliere il prossimo attac-co da eseguire. Sono anche possibiliinterazioni tra i modelli dei vari agen-ti per rappresentare lo scambio diinformazioni ed i diritti. La simulazio-ne passo passo del comportamentodegli agenti permette di non doverricostruire a priori tutte le possibilicatene che un agente può scegliereevitando una esplosione esponen-ziale delle alternative da considera-re. Questa esplosione ha fino ad ora im-pedito di utilizzare approcci basati suattack graph o su altri formalismiche richiedano di modellare inizial-mente tutte le possibili catene di unagente.

La singola esecuzione dei vari mo-delli restituisce un insieme di infor-mazioni sul comportamento del si-stema e degli agenti. Per quel che in-teressa in questo articolo, le infor-

mazioni di interesse sono la sequen-za degli attacchi di ogni agente el’obiettivo eventualmente raggiunto.Una sequenza è diversa da una ca-tena, perché un agente può sceglie-re inizialmente una catena e poicambiare tale scelta a causa del fal-limento ripetuto di alcuni attacchi. Lasequenza comprende eventuali ripe-tizioni e permette di dedurre altre in-formazioni quali il numero di attacchidiversi o il tempo impegnato perraggiungere un obiettivo. La singolaesecuzione restituisce informazionisolo parziali visti fattori stocastici chela influenzano. Il principale di questifattori è il successo o il fallimento diun attacco che influenza la sceltadegli attacchi successivi dell’agente.Per tener conto dei fattori stocastici,e vista l’impossibilità di analizzare apriori tutte le alternative che essipossono generare, Haruspex applicail metodo Monte Carlo ed esegueesperimenti. Ogni esperimento com-prende più esecuzioni indipendentidel modelli del sistema e degli agentie restituisce un campione statisticosui vari eventi che permette di calco-lare le statistiche di interesse qualitempo minimo, massimo e medio perraggiungere un certo obiettivo. Lapossibilità di calcolare tempi minimi emassimi per raggiungere un obietti-vo è di particolare rilevanza perché iltempo medio è spesso una informa-zione troppo rozza per una valuta-zione realistica della robustezza diun sistema. Per citare un antico proverbio, “Moltepersone alte due metri sono morteattraversando un fiume profondo inmedia un metro”. Tipicamente, il nu-


mero di esecuzioni necessarie percalcolare statistiche con una confi-denza superiore al 95% varia da10.000 a 50.000. Questo numerocresce con il numero di catene diver-se a disposizione di un agente. Tratutti i valori restituiti dal metodoMonte Carlo, quello che ci interessaqui è un database per ogni agentecon tutte le sequenze di attacchi chel’agente stesso ha eseguito nelle va-rie esecuzioni.

E’ estremamente interessante ana-lizzare il database di ogni agenteperché ciò permette di scoprire in-formazioni fondamentali per la dife-sa del sistema. Ad esempio, la percentuale di esecu-zioni che restituiscono la stessa se-quenza è una accurata approssima-zione della probabilità che l’agentescelga la sequenza stessa. Analisi piùsofisticate permettono di scoprire lecatene eseguite in ogni esecuzione edi come l’agente sia passato da unacatena ad un altra. Il cambio di stra-tegia dell’agente è dovuto, in genere,al fallimento ripetuto di un attacco oalla scoperta di una migliore catena.Altre analisi permettono di correlarei vari attacchi di uno stesso agente epermettono di scoprire, ad esempio,che ogni volta che un agente attaccaun nodo n1 poi attacca un nodo n2. Diparticolare interesse sono gli m-gram cioè le sottosequenze di m at-tacchi presenti nelle varie sequenzedi un agente e gli m-gram unici, quelliche compaiono cioè nel database diun solo agente. Gli m-gram unici, seesistono, possono essere visti comeuna firma che permette di riconosce-re l’agente.

Per illustrare la relazione tra i data-base dei vari attaccanti e le contro-misure dinamiche occorre supporreche nel sistema da proteggere esistaun sistema di intrusion detection condei sensori per il monitoraggio intempo reale delle intrusioni. Per rile-vare gli attacchi i sensori possonoutilizzare le signature dei vari attac-chi. Individuata una signature nelflusso delle informazioni, i sensoripossono risalire immediatamenteall’attacco che essa identifica. I sen-sori scoprono gli attacchi eseguiti

contro il sistema ad un certo istanteed il sistema di monitoraggio rico-struisce e rende disponibile uno stre-am con la sequenza degli attacchieseguiti. Il sistema di monitoraggioinserisce un nuovo attacco nellostream ogni volta che un sensore ri-leva un attacco. Il sistema di monito-raggio ha un ruolo fondamentale intutti quei sistemi in cui alcuni agentipossono raggiungere i loro obiettiviperché non sono state adottate del-le contromisure permanenti che ga-rantiscano di bloccare ogni catenache permette ad un agente di rag-giungere i suoi obiettivi. Notiamo checiò non richiede di adottare dellecontromisure permanenti che impe-discano qualsiasi attacco perchéquesto potrebbe non essere conve-niente. In generale è sufficiente bloc-care un attacco di ogni catena chepermetta ad un agente di raggiun-gere un obiettivo. Bloccando un at-tacco che appare in catene diverse sidiminuisce il costo delle contromisu-re e si aumenta il ritorno dell’investi-mento. Quindi in generale gli agentisono sempre in grado di eseguire al-cuni attacchi ma in alcuni sistemi nonpossono raggiungere i loro obiettivi,o possono farlo con una probabilitàtrascurabile, mentre in altri li rag-giungono con una probabilità eleva-ta perché non è possibile o conve-niente bloccare tutte le catene. Con-tromisure dinamiche sono utili solonel secondo caso.

Supponiamo di dover aumentare larobustezza mediante contromisuredinamiche e di averne individuatoalcune convenienti ed efficaci per ilnostro sistema. Ad esempio, è possi-bile adottare una di tali contromisureper un attacco Att ma, come già det-to, essa deve essere adottata primache un agente esegua Att. Vediamocome si può risolvere il problemamediante uno strumento Haruspex,l’intrusion prevention system predit-tivo o IPSpred, che integra le infor-mazioni nello stream restituito dal si-stema di monitoraggio con quelle neivari database degli agenti prodottida un esperimento Haruspex. IP-Spred può attivare la contromisuraper Att non appena raggiunge unaragionevole certezza che esso sarà

eseguito dall’agente che sta attac-cando il sistema. Inizialmente, IP-Spred analizza tutti i database e se-leziona per ognuno il sottoinsiemecon tutte le sequenze in cui compareAtt. Di ognuna di tali sequenze, IP-Spred conosce anche la probabilità.Ogni volta che lo stream degli attac-chi eseguiti viene esteso con un nuo-vo attacco, IPSpred esamina qualisequenze sono compatibili con la se-quenza st restituita dallo stream.Una sequenza è compatibile se st èun suo prefisso, ovvero se essa iniziacon st. Tutte le sequenze non com-patibili non sono considerate quan-do un nuovo elemento viene inseritonello stream. Se, ad un certo istante,non esistono sequenze compatibili,allora la sequenza dell’attaccantenon comprenderà Att e IPSpred ter-mina la sua analisi che potrà ripren-dere in presenza di un nuovo attac-cante. IPSpred scopre un nuovo at-taccante quando l’ultimo attacco in-serito nello stream è quello iniziale diuna sequenza di un qualche agente.Supponiamo invece che esistano se-quenze compatibili. Ogni agente nelcui database compaiano sequenzecompatibili può eseguire Att con unaprobabilità che dipende dalla di-stanza media tra l’ultimo attaccoeseguito ed Att nelle varie sequenze.Chiariamo il punto con un esempio. Supponiamo nel database di un soloagente ci siano due sequenze com-patibili. Nella prima mancano ancorad1 attacchi mentre nella seconda nemancano ancora d2. Siano p1 e p2 leprobabilità delle due sequenze.Quindi la distanza media che separail sistema da Att è proporzionale a(d1•p1+d2•p2)/(p1+p2) e la probabilitàche esso sia eseguito è inversamen-te proporzionale a tale distanza. In-fatti, più lontano nel futuro è l’attac-co, più probabile è che intervengaqualche fattore che fermi l’attaccan-te. Viceversa, se la distanza è moltopiccola, allora è estremamente im-probabile che l’attaccante desista.La soglia sulla distanza al disottodella quale IPSpred adotta la con-tromisura dipende dalla tolleranza alrischio dell’owner del sistema. Mino-re la tolleranza, maggiore è la sogliasotto la quale la contromisura diven-ta effettiva. Nel caso di più agenti


con sequenze compatibili, possiamoavere una ulteriore media tra gliagenti oppure, se diffidiamo dei va-lori medi, possiamo considerare ilcaso pessimo ovvero l’agente con ladistanza più bassa. Una analisi piùsofisticata può considerare il tempoche ogni attacco richiede. Ovvia-mente, in questo caso IPSpred useràun tempo come soglia. Un ulterioreraffinamento può considerarel’agente al cui database apparten-gono le sequenze compatibili ed in-trodurre soglie specifiche per ogniagente.

Si possono facilmente immaginare leobiezioni dei nostri venticinque letto-ri. Ad esempio una molto seria ri-guarda eventuali falsi positivi o falsinegativi. Ovvero il sistema di monitoraggiopuò segnalare attacchi che non sonostati eseguiti o non poter scoprire al-cuni attacchi. Una prima risposta èche nessun sistema di prevenzionedelle intrusioni può essere esente daerrori nel caso di sensori non accura-ti. Si tratta in fondo di una ulterioreapplicazione del noto principio “Gar-bage In, Garbage Out”. Però anche inquesto caso la metodologia Haru-spex viene in soccorso. Infatti il verifi-carsi di falsi negativi o falsi positividiventa critico nel momento in cuinon esistono più sequenze compati-bili perché ciò provoca la sospensio-ne dell’analisi. Prima di decidere disospendere l’analisi IPSpred verificala possibilità dei due errori. Ad esempio, per verificare la presen-za di falsi positivi verifica se esisteuna sequenza compatibile nel casoin cui si elimini un attacco dalla se-quenza dello stream. Per verificare

possibili falsi negativi, invece, IP-Spred verifica l’esistenza di sequen-ze compatibili se si inserisce un ulte-riore attacco nello stream. Se in unoo in entrambi i casi esistono sequen-ze compatibili allora l’analisi puòproseguire. Ovviamente in questocaso si possono utilizzare soglie di-verse per attivare le contromisureche tengano conto dell’assunzionesul falso positivo o negativo.L’attivazione di contromisure dina-miche è solo uno dei possibili casi incui si può integrare l’output del siste-ma di rilevazione delle intrusioni ed idatabase degli altri esempi. Un’altraapplicazione che può essere utile è laprevisione del prossimo attacco. Dato lo stream degli attacchi rilevati,è possibile analizzare tutti i databasedegli agenti per scoprire le sequenzecompatibili. Analizzando le sequenze è possibilescoprire i prossimi passi di ogniagente e quindi costruire un insiemecon i possibili attacchi successivi ocon i possibili nodi che eseguono imoduli che sono il bersaglio di tali at-tacchi. Ovviamente, inizialmente tali previ-sioni sono poco accurate perchè lacardinalità degli insiemi è elevata edanche considerando le probabilità diogni sequenza, quindi dei vari attac-chi, non si ottengono risultati signifi-cativi. Ma dopo pochi passi l’accura-tezza che si raggiunge è elevata. Adesempio abbiamo applicato questometodo al sistema di controllo di unacentrale per la produzione di ener-gia. I vari agenti hanno obiettivi chepossono raggiungere eseguendouna decina di attacchi. In questo ca-so dopo al più 4 passi IPSpred iden-tifica l’attaccante, l’obiettivo che sta

cercando di ottenere e predice conuna accuratezza molto elevata ilprossimo nodo che attaccherà.

Infine l’ultima considerazione. E’ pos-sibile che il modello del sistema siapoco accurato e quindi gli attaccantiutilizzino contro il sistema sequenzeche non abbiamo simulato? La ri-sposta è ovviamente positiva. Glistrumenti Haruspex che costruisco-no il modello del sistema assumonosiano note tutte le vulnerabilità deivari moduli che compongono il siste-ma. E’ però ovviamente possibile cheil sistema sia affetto da una o più 0-day ovvero da vulnerabilità non an-cora pubbliche. Se tali vulnerabilitànon appaiono nelle posizioni iniziali diuna sequenza è comunque probabi-le che esse siano state rese inin-fluenti dalle contromisure perma-nenti che hanno bloccato delle cate-ne. Comunque è sempre possibileche un attaccante che conosca talivulnerabilità possa scegliere ed ese-guire una sequenza diversa da quel-le scoperte e restituite da un esperi-mento Haruspex. Anche assumendo falsi positivi e/onegativi in questo caso nessuna del-le sequenze restituite può esserecompatibile. Questo è una situazionedi rischio estremamente elevato cheIPSpred riesce comunque a gestire.Infatti l’impossibilità di trovare se-quenze compatibili anche assumen-do falsi positivi o negativi rivela che ilmodello del sistema non è consi-stente rispetto agli attacchi chestanno avvenendo perchè l’attac-cante che sta utilizzando 0-day. Aseguito di questa scoperta IPSpredattiva le contromisure dinamiche piùsevere di cui dispone. �

Il 2015 ha registrato un sensibileincremento delle attività delCERT Nazionale.

Se infatti nel corso della secondaparte del 2014 il CERT si era forte-mente impegnato a stabilire i primicontatti con gli omologhi CERT inter-nazionali, non solo a livello europeo,e a consolidare a livello nazionale lerelazioni con i competenti soggettipubblici ed il settore privato, duran-te tutto il 2015 la rete dei contatti haavuto una consistente estensione,traducendosi in uno scambio cre-scente di informazioni che ha com-portato la necessità di svilupparestrumenti opportuni per la loro ge-stione.Il trend di crescita delle segnalazio-ni è dovuto, da un lato, all’estensio-ne della rete dei contatti, a livellosia nazionale che internazionale, edall’altro all’incremento del numerodelle fonti di informazione che sitraduce in nuovi servizi per gli ope-ratori nazionali.Inoltre, l’accreditamento ottenutopresso soggetti riconosciuti inter-nazionalmente (Carnegie Mellon,Trusted Introducer) ha portato anuovi contatti, soprattutto da partedi alcuni CERT internazionali.Nell’ultimo periodo si registra untrend crescente per le segnalazioni


Il CERT Nazionale:Campagne di Prevenzione e Reazione nel 2015


provenienti da soggetti privati, na-zionali o internazionali; le segnala-zioni dai CERT Europei ed interna-zionali si attestano, invece, intornoal 40% del totale.Allo stato attuale è stato raggiuntodalle segnalazioni del CERT Nazio-nale un numero considerevole diOperatori/Internet Service Provi-der nazionali, di varia dimensione,corrispondente ad una copertura dipiù di 490 AS (Sistemi Autonomi) epiù di 50 Milioni di indirizzi IP che co-prono circa il 98% del totale di indi-rizzi afferenti ad AS italiani.Nel dettaglio, i dati ricevuti diretta-mente da omologhi CERT nazionalied internazionali e quelli desuntidalle nuove fonti di informazioni, ti-picamente di tipo semi-aperte, conviste particolari riservate ai CERTnazionali, hanno portato comples-sivamente all’invio di 3.500 reportcorrispondenti ad oltre 750.000eventi segnalati ai circa 375 Opera-tori/ISP entrati a far parte dei con-tatti del CERT Nazionale.Un’attenzione particolare è statadedicata alla predisposizione dicampagne informative attingendoalle fonti più disparate, da quelleaperte, a quelle semi-aperte di se-curity vendor che forniscono aiCERT Nazionali dati a livello Paese,

a quelle chiuse rappresentate prin-cipalmente dagli omologhi CERT in-ternazionali, a quelle interne, basa-te su dati desumibili dai propri si-stemi.Le campagne sono state divise indue categorie, quelle a carattere“preventivo” e quelle a carattere“reattivo”: le prime legate a vulne-rabilità rilevate in rete dovute aconfigurazioni errate o vulnerabilitàintrinseche dei sistemi; le secondelegate a macchine risultate com-promesse, generalmente apparte-nenti a botnet, rilevate attraverso illoro traffico anomalo registrato inrete.In particolare alcune delle campa-gne “reattive” hanno riguardato sitiweb compromessi, relativamente aiquali il CERT Nazionale ha provve-duto ad informare gli Operatori edISP coinvolti. La principale infezionesegnalata è stata relativa allaspam-botnet nota come “stealrat”.Sono stati circa 2.000 i siti webcompromessi segnalati con l’ultimacampagna di dicembre da questosofisticato malware che, attraversouna tecnica basata su tre livelli diinfezione (una prima macchina in-fetta appartenente ad una botnet,un primo web server che predispo-ne lo spam, ed un secondo server

A CURA DI ISCOMIstituto Superiore delleComunicazioni e delle

Tecnologie dell’Informazione

Ministero dello Sviluppo Economico


che effettua l’attacco vero e pro-prio, per esempio ospitando unmalware o una pagina di phishing ouna qualsiasi altra pagina di atter-raggio) , è in grado di eludere moltifiltri anti-spam.Altre campagne hanno invece ri-guardato la compromissione di sin-gole macchine, che sono risultateappartenere a diverse botnet. Nelcomplesso queste campagne, av-viate nel corso dell’anno, hanno ri-guardato le principali botnet note,con quasi 70.000 infezioni segnala-te ai rispettivi Operatori/ISP, comeriportato nel dettaglio.

La tipologia delle botnet è estre-mamente varia, così come i poten-ziali effetti sulla sicurezza della vitti-ma e della rete nel suo complesso.Molte di esse, come Cutwail, Keli-hos, Asprox o Lethic, sono principal-mente delle spam-botnet utilizzate,

di fatto, per inviare spam di variogenere, fine a se stesso piuttostoche vettore di phishing o diffusionedi altro malware più specifico. Altresono dei veri e propri rootkit, men-tre altre ancora sono pericolosestealer di credenziali, principalmen-te rivolte alle credenziali bancarie(Dyre e Tinba i più noti ed i più ricor-renti, nella categoria, anche nellesegnalazioni ricevute dal CERT Na-zionale da fonti differenti).Differente lo scopo delle campagne“preventive”. Si tratta, di fatto, di in-formazioni pervenute al CERT Na-zionale e relative a vulnerabilitàscoperte in rete o a sistemi non cor-rettamente configurati.In particolare alcuni servizi lasciatinon intenzionalmente “aperti” allarete, possono rendere la macchinavettore di attacco DDoS verso terzi. Le note tecniche utilizzate per at-tacchi DDoS Reflection and Amplifi-cation, congiuntamente alla possi-bilità di effettuare spoofing degli in-dirizzi IP delle macchine vittime, siarricchiscono sempre più di proto-colli e servizi “aperti” che garanti-scono un buon coefficiente di am-plificazione. Queste tecniche prevedono l’inviodi richieste a macchine con deter-minati protocolli o servizi lasciati“aperti” in rete che prevedono ri-sposte di lunghezza di ordini digrandezza superiori rispetto aquelli della richiesta (“amplifica-tion”). Attraverso tecniche di spoo-fing dell’indirizzo richiedente le ri-

sposte vengono inviate contempo-raneamente alla macchina vittima,perpetrando così l’attacco, per sa-turazione di capacità del destinata-rio. Accanto ai protocolli e servizi,già usati in passato per attacchianche di grande dimensioni, con al-to coefficiente di amplificazione, co-me NTP (coefficiente di amplifica-zione pari a circa 500), Chargen(circa 350) e Quote of the Day (circa140), nel corso dell’anno si è notatol’uso (con un picco registrato adagosto) di attacchi che hanno utiliz-zato il servizio Portmapper, con uncoefficiente di amplificazione pari acirca 30, ridotto, ma pur sempre in-teressante. La necessità di utilizzare nuovi pro-tocolli per gli attacchi deriva dalfatto che le configurazioni vengonogeneralmente corrette in seguitoalla partecipazione della macchinead attacchi DDoS. Per questo moti-vo il numero di macchine segnalatenelle varie campagne, che sono ri-sultate essere in numero molto ri-dotto nel caso di servizi e protocolli“noti” (nell’ordine del migliaio, a li-vello italiano), per quest’ultimo ca-so, invece, sono state oltre 15.000.Altre campagne hanno invece ri-guardato la diffusione di informa-zioni su macchine con servizi lasciatiinavvertitamente “aperti” o concredenziali di accesso deboli. Tali si-tuazioni espongono le macchine adattacchi diretti oppure le trasfor-mano in strumenti per altri attacchicome nel caso del DDoS. �


È ormai un fatto assodato che la sicu-rezza informatica diventerà semprepiù importante nei prossimi anni,

guadagnando sempre più attenzione daparte del grande pubblico. Ci troviamo agliinizi di una serie imponente di cambiamentiche nessuno può prevedere con precisione.I professionisti della sicurezza si sono la-mentati per anni del fatto che chi aveva ilpotere decisionale nelle imprese non dedi-cava sufficiente attenzione ai nostri allarmi,ma la situazione si sta velocemente trasfor-mando, cogliendo molti impreparati e cre-ando situazioni paradossali. Poiché nel2015 si è dedicata moltissima attenzione altema della sicurezza informatica, è utilecercare di delineare come alcune delle ten-denze più significative del 2015 potrebberoevolvere negli anni a venire.Martin McKeay, Senior Security Advocate diAkamai, analizza i trend sulla sicurezza in-formatica del 2015 e il loro sviluppo nel cor-so del 2016:• Crescerà la diffusione dei ricatti DDoS Nel 2014 abbiamo visto comparire unanuova minaccia, DD4BC. Scomparsa nel2015, è stata sostituita da Armada Col-lective. Entrambi i gruppi erano dediti al-l’invio di email con la richiesta di un paga-mento in bitcoin con la minaccia, in casocontrario, di mettere fuori servizio il sitodell’azienda. Il loro successo ha portatoArmada Collective a comportamentisempre più aggressivi e alla nascita di undiscreto numero di imitatori. Non c’è dub-bio che il trend proseguirà nel 2016 e di-venterà sempre più pericoloso poichésempre più malintenzionati vedranno unpotenziale in questo genere di ricatti.

• L’Internet delle Cose sarà compromessoL’Internet delle Cose rappresenta una va-

sta classe di tecnologie e prodotti, lamaggior parte dei quali è stata progetta-ta dedicando nulla più che un veloce pen-siero alla sicurezza. Esempi recenti? HelloBarbie e la compromissione del produtto-re di giochi Vtech. Dobbiamo essere con-sapevoli che i dispositivi IdC raccolgonopiù informazioni sui loro proprietari diquanto essi possano immaginare e sitratta di dati molto preziosi. E anche se ildispositivo è perfettamente sicuro, i servi-zi che stanno dietro a quel dispositivospesso lasciano molto a desiderare in ter-mini di sicurezza. Ecco perché penso cheassisteremo a un crescente numero di at-tacchi sia ai tool e ai giochi IdC sia alleaziende che raccolgono i nostri dati per-sonali.

• La sicurezza non aumenterà in modo si-gnificativo Questo è un trend sul quale vorrei sba-gliarmi ma quasi due decenni trascorsi adoccuparmi di sicurezza mi fanno pensaredi aver ragione. Nonostante tutte le di-chiarazioni dei fornitori di sicurezza chesostengono di disporre della soluzione atutti i vostri problemi, un prodotto del ge-nere non esiste. Dobbiamo invece convin-cerci che assisteremo a una lunga serie dipiccoli miglioramenti alla sicurezza e che iprogressi si misurano in decenni, non inanni. Le aziende troveranno metodi nuovie più efficaci per proteggere i loro sistemie a loro volta i criminali troveranno nuovie più efficaci metodi per attaccare glistessi sistemi. Col tempo e un po’ alla vol-ta, capiremo come costruire software esistemi che siano intrinsecamente sicurifin dalla nascita. Probabilmente nel 2016ci sembrerà che la sicurezza peggiori, maquesto sarà un segnale del fatto che le

Cyber security: i trend del 2016Martin McKeay, Senior Security Advocate di Akamai, analizza itrend sulla sicurezza informatica del 2015 e il loro sviluppo nelcorso del 2016

SELEZIONATO DALLA REDAZIONE


organizzazioni iniziano a riconoscere gliindicatori di una compromissione, più chedi un reale peggioramento della sicurez-za.

• I governi avranno un impatto importantesulla sicurezza La Cina ha sempre preteso di avere ac-cesso a tutto il traffico sul suo Internet; laRussia ha varato una legge nel 2014 inbase alla quale il traffico dei suoi cittadinideve rimanere all’interno del Paese edessere sempre accessibile alle forze dipolizia. Sia gli USA sia la Gran Bretagnastanno facendo pressioni sulle aziendedalla Silicon Valley per avere accesso allecomunicazioni cifrate e, dopo gli attacchidi Parigi, anche la Francia sta prendendoin considerazione la possibilità di rendereTor illegale e chiudere l’accesso al WiFipubblico. A prescindere dalle questionipolitiche, è chiaro che i governi di tutto ilmondo stanno cercando di regolamenta-re Internet e ciò avrà un enorme impattosulla sicurezza delle singole attività e del-l’intero Internet. Se non dedicheremo ab-bastanza attenzione alla trasformazionedi questo scenario, le nuove leggi ci co-glieranno alla sprovvista: una condizionein cui un professionista della sicurezzanon vorrebbe mai trovarsi.

• Lo sconosciuto inconoscibile Se alcuni fatti possono essere previsti, al-tri sono totalmente fuori da ogni previsio-ne. Posso dire con tranquillità che ogni or-ganizzazione subirà nel 2016 almeno un

incidente che non poteva essere previstosulla base delle proiezioni nel futuro deitrend attuali. Il segreto dei professionistidella sicurezza è quello di saper identifi-care il maggior numero possibile di mi-nacce conoscibili e quindi saper costruireun programma di difesa abbastanza fles-sibile da potersi adattare anche alle mi-nacce sconosciute. Avete un piano per laricostruzione dei vostri server web nel-l’eventualità di una compromissione? Co-sa succede se vengono colpiti i vostri ser-ver AD? Consideriamo il peggiore degliscenari: abbiamo un piano per il caso incui l’intera rete cada sotto il controllo diqualcun altro? Sembra un’esagerazione,ma è ciò che è successo, ad esempio, aSony e OPM negli USA e probabilmente amolte altre organizzazioni che sono riusci-te a non fare trapelare la notizia. Analiz-zate tutti i vostri processi e procedure as-sicurandovi che siano in linea con il vostroobiettivo di mantenere l’azienda al sicuro,anche se dovesse accadere qualcosa ditotalmente imprevedibile. Qual è il vostropiano per l’invasione degli zombie? Pro-babilmente non sarà molto diverso dalpiano per un’epidemia contagiosa.

Sebbene nessuno abbia la sfera di cristalloper prevedere con certezza gli accadimentidel futuro, è fondamentale che le aziendemettano in campo strategie che riescano amitigare il più possibile gli effetti collateralidi un attacco. �



Gli MSP devono essere al passo con inuovi trend del settore e l’evoluzio-ne delle nuove tecnologie. Questo è

essenziale per garantire loro di esseresempre un supporto di qualità per i clientie per assicurare un’attività redditizia.Spesso la sfida è trovare il giusto equilibriotra la gestione dell’attività in un contesto incontinuo cambiamento, mantenendo ilcontrollo su tutti gli asset. Ciò significa che,oltre a standardizzare e ottimizzare le con-figurazioni e i processi attuali, gli MSP de-vono essere al corrente delle nuove tecno-logie, restando però flessibili, e capirequando ha senso andare avanti, appor-tando dei cambiamenti al proprio portfo-lio, oppure attraverso investimenti. Esistono diversi trend che possono avereun impatto sui clienti attuali e gli MSP do-vrebbero conoscerli per garantire la mi-gliore assistenza possibile e per essereall’altezza delle aspettative dei clienti. Diseguito, i sei trend principali che gli MSPdovrebbero cogliere al volo, per non esseresuperati dalla concorrenza:1. Windows 10 – Windows 10 è un ottimosistema operativo, ma gli MSP devonoancora tutelare e mettere in sicurezza idati del cliente all’interno di questo si-stema. A parte alcune difficoltà tecnicheiniziali e alcune questioni di sicurezza,Windows 10 ha mostrato miglioramentireali, introducendo caratteristiche comela firma unica e l’autenticazione a duefattori. Gli MSP dovrebbero assicurarsiche i clienti siano consapevoli di ciò checomporta per il successo della propriaorganizzazione l’aggiornamento a Win-dows 10. Inoltre, dovrebbero essere pre-parati a rispondere a domande riguardoalcuni aspetti di sicurezza, compatibilità

e implementazione per garantire aiclienti una transizione senza problemi.Infine, i clienti degli MSP faranno riferi-mento a loro per comprendere fino infondo il valore aggiunto apportato daWindows 10, e una buona riuscita per gliMSP dipenderà dalla loro capacità di ar-ticolare queste informazioni secondo ilcontesto di ogni cliente.

2. Machine Learning – Il machine learningha il potenziale per cambiare radical-mente il modo in cui gli MSP offrono ipropri servizi ai loro clienti. Al momento,il machine learning rappresenta un ter-ritorio relativamente inesplorato per gliMSP, e i fornitori di piattaforme di ge-stione dei sevizi di IT Cloud che hannoaccesso a community intelligence hannola chiave per dare un vero valore ag-giunto ai dati. Sfruttando appieno gli in-sight delle community, i fornitori di servi-zi IT possono accedere a insight basatisui dati in tempo reale, con notizieestrapolate da varie fonti, raccolti attra-verso i dispositivi gestiti dagli MSP cheutilizzano quella piattaforma di gestioneIT. Gli MSP dovrebbero capire e fare inmodo che i benefici offerti dal machinelearning siano una priorità nel prossimoanno, dato che questo li aiuterà a mi-gliorare decisamente i propri servizi eaccrescere il valore aggiunto che appor-tano, senza grandi investimenti o tempibiblici.

3. Internet of Things – IDC, un’azienda di ri-cerche di mercato, auspica che il merca-to globale dei dispositivi e dei servizi le-gati all’Internet of Things supererà i 7mila miliardi di dollari entro il 2020.Seppure impressionanti, questi datiportano molte aziende a domandarsi

6 trend che gli MSP dovrebbero cogliere al volo!



che cosa fare con la propria strategiaIoT. Gli MSP dovrebbero proporre l’IoTnel proprio portfolio come un’opportuni-tà in più, ma con tutto il clamore che og-gi c’è intorno a questo mercato, è diffici-le capire quali aspetti siano realistici eattuabili. Gli MSP dovrebbero ritagliarsidel tempo per analizzare i vantaggi e glisvantaggi dell’IoT prima che questo arri-vi al massimo del proprio potenziale.Con così tante tecnologie nuove, leaziende non hanno il tempo necessarioper prepararsi prima dell’applicazione. Èimportante iniziare adesso l’iter di for-mazione per sviluppare la strategia piùindicata e l’impostazione giusta per losviluppo. Invece di applicare una tecno-logia e informarsi a proposito in corsod’opera, le aziende hanno la possibilitàdi aggiornarsi adesso e trarre tutti ivantaggi possibili dall’IoT.

4. Il mobile in azienda – Secondo il MobileAnalytics Report, il totale dei dispositivimobili aziendali a livello mondiale l’annoscorso è aumentato del 72%. Gli MSPdevono padroneggiare l’applicazionedei servizi cloud e la gestione dei dispo-sitivi mobili aziendali, per poter così ge-stire la percentuale sempre più elevatadi dipendenti che lavorano al di fuori deipropri uffici. Fornire semplicemente i di-spositivi non basta! Gli MSP devono ap-plicare le soluzioni mobili in azienda, perdisporre anche degli strumenti più indi-cati alla gestione di questi dispositivi daremoto.

5. Un IT più consumer – Sempre più spessochi lavora porta sul proprio posto di la-voro tecnologie e dispositivi “consumermarket”, e questo sta cambiando il mo-do in cui i dipendenti e le aziende conce-

piscono le informazioni. Secondo unostudio di IDG, la proliferazione di dispo-sitivi personali usati a scopo lavorativoha portato l’82% delle organizzazioni adattuare cambiamenti, come l’introduzio-ne di politiche sulla condivisione dei datiaziendali, e ad acquistare soluzioni perfar fronte a queste sfide. I clienti faran-no riferimento agli MSP per una soluzio-ne che dia una visibilità completa a tuttii livelli del network e soddisfi i criteri disicurezza.

6. CIO virtuale / consigliere fidato – Spes-so le organizzazioni necessitano di unaguida per orientare le loro attività nelladirezione giusta riguardo la strategia ITe le operazioni in quest’ambito. Invece diassumere un membro dello staff IT insede, sempre più organizzazioni, se ne-cessitano di know-how IT on demand, sirivolgono a un CIO virtuale. Poter conta-re su un partner di fiducia per l’IT èestremamente utile nel superare il gapdi tecnologia delle organizzazioni, e alli-neare strategicamente la tecnologiaagli obiettivi di business. Gli MSP do-vrebbero sempre concentrarsi esatta-mente su ciò che l’azienda cliente chie-de, dato che c’è sempre una discrepan-za tra ciò che i dipartimenti IT voglionoacquistare e ciò che i fornitori di serviziIT cercano con tutte le proprie forze divendere. Una ricerca evidenzia che il 71%dei fornitori di servizi IT vuole un rappor-to con i propri clienti più strategico, masolo il 13% dei dipartimenti IT pensa lostesso. Diventare un CIO virtuale di fidu-cia è più di una condivisione di know howtecnico, significa allineare la visione de-gli MSP per offrire ai dipartimenti IT pro-prio ciò di cui hanno bisogno. �



Le minacce informatiche stanno diven-tando sempre più parte integrantedel tessuto digitale aziendale e gli at-

tacchi mirati diventano sempre più subdoli edinamici. Questa evoluzione nelle metodolo-gie di attacco ha fatto emergere i limiti degliapprocci tradizionali di sicurezza. Chi subisceun attacco deve potenziare le proprie capa-cità nell’individuare e riconoscere le minaccenei propri sistemi aziendali per ritornare adessere in vantaggio sull’attaccante e agireper tempo in modo preciso ed efficace. LaCyber Intelligence è fondamentale per que-sta sfida in quanto fornisce una visione tota-le, personalizzata e in tempo reale delle ano-malie emergenti – contrariamente al prece-dente approccio basato su firme e regole chediventano obsolete dato che si riferiscono aminacce già individuate. L’approccio basatosull’Intelligence è il cuore della Cyber Defensedi nuova generazione; vengono impiegatipersonale qualificato e tecnologie all’avan-guardia di tipo ‘sistema immunitario’ in unprocesso costante di apprendimento e com-prensione delle problematiche in evoluzioneper poterle contrastare prima che diventinocritiche.

RESTARE APERTI PER LAVORARE

Oggi la violazione del perimetro della reteaziendale viene considerata inevitabile daglioperatori di sicurezza. Questa è la nuova re-altà: le tecnologie operanti sul perimetroaziendale pur ricoprendo un ruolo cruciale inun sistema stratificato di difesa, sono insuffi-cienti per sconfiggere un attacco mirato. Èormai accettato che le violazioni siano inevi-tabili e il loro verificarsi sia più un discorso di‘quando’ che di ‘se’. In questo nuovo mondo lasfida è cambiata. Oltre a difendere il proprioperimetro aziendale si devono affrontare

anche le minacce interne utilizzando un ap-proccio basato sull’Intelligence per indirizzarepericoli reali all’interno di una rete comples-sa.Le aziende moderne devono essere in gradodi operare in un mercato aperto e connesso.La linfa vitale di un’azienda sono i dati e percrescere un’azienda ha bisogno che questipossano circolare sia fuori che dentro i tradi-zionali perimetri di rete. I dati vengono scam-biati costantemente fra l’azienda e i suoiclienti, i fornitori, il personale, i soci e così via.La sfida del CISO oggi è quella di proteggerei suoi dati che sono alla mercé di chiunque. Ineffetti tutti i progressi tecnologici che hannoconsentito alle aziende di prosperare negliultimi dieci anni - la connettività, la digitaliz-zazione, l’innovazione - sono quelli che leespongono ai rischi maggiori. Chi opera nellasicurezza oggi sa come gestire i comporta-menti del personale di un’azienda. Pur consi-derando i lavoratori come risorse di valore emeritevoli di fiducia, questi rappresentanouna minaccia significativa per l’integrità deidati aziendali e il loro comportamento, dolo-so o colposo, aumenta il rischio per l’azienda.Anche se c’è la tentazione di aumentare icontrolli e introdurre norme operative piùstringenti la necessità di lavorare fa sì che lepersone trovino il modo di aggirarle. Chiun-que vi dirà che è possibile curare qualsiasimalattia ammazzando il paziente. Un’azien-da non può essere soffocata da controlli disicurezza laboriosi e poco pratici pensando dirimanere più sicura a spese dell’efficienza,dell’agilità e della competitività. Oggi la sfidaper gli operatori della sicurezza consiste neldifendere il patrimonio aziendale più prezio-so, i dati, consentendo a essi di facilitare lacrescita.In questo scenario dove le minacce sono incontinua evoluzione continuare a lavorare ri-

Cyber Intelligence: un passo avanti alle minacce



chiede un equilibrio fra i rischi e i benefici.L’equilibrio necessario non è mai totalmentestatico, ma viene riadattato continuamenteper mantenere uguali i pesi sui due piattidella bilancia. Questa sfida richiede un ap-proccio sottile, orientato all’Intelligence piùche alla sicurezza. Mentre la sicurezza infor-matica presuppone che le misure di difesadebbano funzionare il 100% delle volte, laCyber Intelligence fornisce suggerimenti, ba-sati su prove, che indirizzano il processo de-cisionale, fa emergere le problematiche dialto livello rispetto a quelle meno importantie consente alle aziende un miglior controllo euna migliore consapevolezza sul proprio sta-to di salute per poter definire la migliorestrategia per la cura.

PASSARE SOTTO AI RADAR

Ogni settimana le notizie di attacchi informa-tici vengono riportate sulle prime pagine deigiornali con riferimento a numeri vertiginosidi conti compromessi e impatti reputazionalinon indifferenti.Le intrusioni più eclatanti richiedono azioni dirisoluzione immediate con impiego di risorseeconomiche, temporali e umane per ripristi-nare ciò che è stato compromesso.Il concetto di operazione di ripristino a segui-to di un attacco informatico è però incomple-to. Le aziende non sono mai completamenteesenti da minacce o da elementi potenzial-mente pericolosi o malevoli. C’è una fortepressione affinché le aziende corrano ai ripa-ri dopo un attacco per mitigare il danno d’im-magine e per recuperare la credibilità neiconfronti dei clienti e degli azionisti; questoperò è classificato come ‘troppo poco e trop-po tardi’. Troppo tardi perché il danno è statofatto, troppo poco perché l’avversario è riu-scito comunque a controllare e infiltrarsinell’azienda evidenziandone a posteriori la li-mitata capacità di difesa.La sfida degli ultimi anni si è acuita a causadell’industrializzazione dell’economia cheruota intorno ai crimini informatici e allasempre più raffinata abilità degli esecutori.Su internet si trovano avanzati strumenti diattacco pronti all’uso – è possibile provare,scambiare e vendere nuove forme di attacco

e malware configurabili – e questo a riprovadi come sia banale infiltrarsi in un’azienda.Una volta infiltratisi, gli attacchi hanno luogoin forma anonima rendendoli difficili da indi-viduare perché in incognito e effettuati concautela.Per prima cosa, dall’esterno, l’aggressoreuserà le credenziali di accesso di un dipen-dente per non far scattare gli allarmi ubicatisul perimetro. Questo approccio rendeestremamente difficile distinguere fra un’at-tività lecita e quella di un malintenzionato in-tento a fare danni. Gli aggressori utilizzanoquesto velo di legittimità per portare a termi-ne i loro attacchi mimetizzandosi fra le nor-mali azioni di quell’utente nel corso delle sueattività quotidiane sulla rete. Essere ricono-sciuti come utenti regolari offre un vantaggioagli aggressori. Essendo considerati ‘fidati’ ilcompito di muoversi nella rete aziendale edestrarne dati o manipolarne i sistemi diventapiù facile.Per di più gli aggressori non usano solo cam-pagne di email mirate e sfruttano credenzialilegittime per passare sotto ai radar, ma pos-sono anche sfruttare gli zero-day e i malwa-re appositamente sviluppati per raggiungerei propri obiettivi. Sempre di più vengono per-petrati attacchi, portati avanti astutamentee ben mimetizzati, per lunghi periodi di tempoa riprova della pazienza e perseveranzadell’aggressore.Un attacco di tipo avanzato può restare na-scosto nella rete per giorni, settimane o mesidi fila rimanendo pazientemente inattivo nel-la rete aziendale in modo da renderne l’indi-



viduazione più difficile. Mediamente il temponecessario a individuare un attacco informa-tico si aggira sui 170 giorni. Se perpetrato an-che con aggressori dall’interno questo valorearriva a 259 giorni.Durante questo lasso di tempo l’aggressoresi fa un’idea dell’architettura della rete e sta-bilisce come muoversi su di essa per portarea termine l’attacco mirato. Mentre chi si devedifendere è costantemente distratto dallagestione delle attività giornaliere, l’aggresso-re ha dalla sua parte il tempo e le risorse concui effettuare ricognizioni sui sistemi, portarea termine le sue azioni e muoversi evitando diessere scoperto, con relativa tranquillità.Solitamente un aggressore evoluto cerca dirimanere nascosto a lungo dentro un com-puter o la rete. Per porsi al riparo da even-tuali intercettazioni l’aggressore cercherà dicompromettere più dispositivi e server pre-senti sulla rete. Chi attacca è spesso capacedi muoversi su una rete per capire quali sianogli strumenti usati per intercettarlo; questogli permette di muoversi in modo sufficiente-mente invisibile per evitare di essere scoper-to dai tipici sistemi che basano il loro funzio-namento su un insieme di regole. Il trafficodella rete e l’elevato volume di dati inviati asistemi di ‘log-management’ rendono spessoimpossibile rilevare i movimenti invisibili di unaggressore. Nonostante che nella fase dianalisi forensica post-attacco sia evidente laprova dell’infiltrazione, salta anche all’occhiocome questa possa essere invisibile nel ru-more del traffico della rete.

IL TEMPO È PREZIOSOIl tempo è una risorsa preziosa che mancaspesso a chi viene attaccato. L’aggressoredeterminato ha tempo in abbondanza, fi-nanziamenti sufficienti e risorse umane persviluppare attacchi che eludano i vari livelli disicurezza presenti in un’azienda. Le aziendelottano costantemente per rilevare le fasi ini-ziali di una infiltrazione, prima che venganofatti danni quali il furto di dati su grande sca-la o l’interruzione di un servizio essenziale. In-vece le aziende si trovano coinvolte in unalotta contro il tempo per rimuovere e ridurrevelocemente i danni finanziari e d’immagine,al contrario dei mesi di preparazione e rico-gnizione che l’aggressore ha a disposizioneprima di sferrare il suo attacco. Fintanto cheil vantaggio rimane in mano all’aggressore leaziende attaccate saranno sempre sulla di-fensiva. Le aziende devono ripensare al mo-do in cui affrontano gli attacchi informatici ela sicurezza informatica. Tanto per comincia-re questo vuol dire non considerare questiconcetti come assoluti; la sicurezza informa-tica totale non è possibile in pratica e gli at-tacchi non hanno perimetri ben definiti: nonhanno un inizio preciso e nemmeno una fine.Ogni attacco inizia con una infiltrazione che asua volta inizia con un cambiamento imper-cettibile nel normale ordine delle cose e s’in-grandisce fino a diventare una catena dieventi che messi insieme possono esercitareil controllo di un sistema remoto e metternein pericolo i contenuti. In un’epoca in cui le mi-nacce sono innumerevoli e in continua evolu-zione analizzare i problemi di ieri non garan-tisce la difesa da quelli di domani. Gli aggres-sori di oggi utilizzano tecniche e strategie incontinua evoluzione per rimanere nascosti alungo nei vostri sistemi. Il riferimento a ciòche è normale è in continua evoluzione.Occorre quindi iniziare a considerare il tempoin modo diverso, tentare di cogliere attivitàsospette nella finestra temporale compresafra l’infiltrazione iniziale e i primi segnali dianomalia. Invece d’investire in analisi post-mortem su intrusioni e compromissioni pas-sate ci si deve sforzare di trovare i problemidi domani, indirizzando le attenzioni verso at-tività che si mimetizzano nel rumore delle at-



tività quotidiane di un’organizzazione. All’in-terno dell’IT aziendale ci sono due fattori datener presente:Visibilità e comprensioneLe aziende devono fare un passo indietroquando prendono in considerazione le stra-tegie per la difesa informatica, chiedendosiper prima cosa quanto bene conoscano laloro azienda. Le infrastrutture di rete e le in-tranet sono cresciute e si sono estese ag-giungendo sempre più dispositivi, funzionali-tà e tecnologie; l’architettura digitale diun’azienda di una certa dimensione è solita-mente molto complessa. Gli addetti IT alla sicurezza e dell’architetturaspesso non hanno visibilità di tutti i sistemisotto il loro controllo e si concentrano solo suquelli su cui ci sono problemi noti che richie-dono soluzione. La visibilità totale su tutte leinterazioni e comunicazioni digitali, non solosu una parte, è critica perché consente agliaddetti della sicurezza di prendere le decisio-ni migliori basandosi sulla conoscenza dell’in-tero sistema. Avendo visibilità totale sull’an-damento e il tipo di traffico gestito giornal-mente nell’azienda, gli addetti della sicurezzasono in condizione di configurare al meglio laprotezione della rete, identificare le vulnera-bilità o i dipendenti infedeli e tenere effetti-vamente a freno in tempo reale le minacceinformatiche. Vedere e capire cosa sta acca-dendo in tempo reale è il primo passo per co-noscere cosa non debba accadere, indipen-dentemente da quanto sia minimo lo scosta-mento dalla normalità.Analisi intelligente e rilevamento anomalieAvendo la conoscenza delle attività aziendaliè possibile usare nuove tecnologie per ana-lizzarle ed avere una chiara visione di qualesia la normalità. I fondamentali progressinella matematica probabilistica e nell’ambitodel ‘machine learning’ hanno reso possibilequesto approccio, usando una tecnologiache impara su base continua ciò che è nor-male e anomalo nell’ambito aziendale edevidenzia anomalie su base probabilistica intempo reale. Le anomalie o le deviazioni daciò che è stato identificato come normale suisistemi, le reti e gli utenti devono essere au-tentiche e basate sulla comprensione dina-

mica dell’ambiente circostante. Un compor-tamento difforme spesso può essere affron-tato in modo appropriato, ma solo se rilevatonelle sue fasi iniziali. Le aziende devono ab-bandonare l’approccio che consiste nel doverpassare al setaccio l’enorme quantità di al-larmi generati da sistemi basati su regolepreconfigurate per identificare le minacce eorientarsi verso sistemi d’intelligence, fatti sumisura, che aiutano a conoscere l’ambientedigitale aziendale così com’è per prendere lecorrette decisioni. Concludendo, si può direche per ridurre il rischio occorre un eserciziocontinuo portato avanti da professionisti ca-paci di prendere le corrette decisioni, la ca-pacità di fare le scelte giuste e di concentrar-si sulle aree d’interesse richiede una nuovagenerazione di prodotti che sia adattativa,probabilistica e in grado di auto apprendere.

MIGLIORARE LA CONCENTRAZIONE,PER UN’AZIONE MIGLIORE

È quasi impossibile predire le metodologie ele tecniche di attacco; gli attacchi di ieri sonodiversi da quelli di domani o dopodomani. Levulnerabilità interne sono fonte di problemiche richiedono una valutazione continua. Inquesto contesto, dove innumerevoli minaccesono presenti in qualsiasi momento all’inter-no di un’azienda, è richiesta una visione com-pleta degli eventi per capire dove concentra-re l’attenzione e stabilire in tempo reale lepriorità per la Cyber Defense. Di contro, il so-vraccarico degli allarmi che vengono genera-ti costantemente dalla pletora di prodotticonvenzionali per la sicurezza ottiene comerisultato l’abbassamento del livello di guar-dia da parte del personale addetto alla sicu-rezza o dell’IT, causato da questo elevato nu-mero di anomalie proposte o dalla inutile na-tura delle informazioni ricevute.Gli addetti della sicurezza devono essere ingrado di affinare la conoscenza delle minac-ce in modo che abbiano senso in un contestoaziendale invece di perdere tempo ad analiz-zare migliaia di allarmi fuori contesto. Avva-lersi delle configurazioni proprie di ogniazienda - l’orario in cui i dipendenti arrivanoal lavoro, i tipi di dispositivi che utilizzano e



come, le risorse a cui hanno accesso ecc. - èfondamentale poiché nessun attaccante co-nosce questi dettagli quando pianifica un at-tacco. Questo livello di granularità deve es-sere sfruttato utilizzando tecnologie di tipo‘sistema immunitario’ che siano ‘self-lear-ning’ e che possano vedere e analizzarescientemente questi dati, capendone in ma-niera implicita il livello di normalità o meno efacendo emergere in tempo reale le anoma-lie che devono essere gestite in modo tem-pestivo.

‘CYBER INTELLIGENCE’CONTRO ‘THREATINTELLIGENCE’

Il termine ‘Threat Intelligence’ viene usato perla raccolta e la condivisione di informazioni suminacce note. In altre parole si fa riferimentoad un database o insieme di dati da confron-tare con gli allarmi di sicurezza rilevati inun’azienda, i log e altri dati forensici per capi-re se quanto rilevato è una minaccia oppureno. Se quanto rilevato è riconducibile alle in-formazioni contenute nella ‘Threat intelligen-ce’ ciò può essere usato per proteggerel’azienda da attacchi simili ancora in circola-zione. Il difetto principale nel condividere in-formazioni riconducibili ad attacchi già avve-nuti è che questo approccio ‘a posteriori’ nonaiuta le aziende a difendersi dai nuovi attac-chi di domani. Affinché questo funzioni è ne-cessario che almeno un’azienda venga viola-ta da ogni nuovo attacco per poterlo identi-ficare, limitandosi a segnalare gli attacchi giàsubiti con la speranza che lo stesso si possaripresentare. Solitamente occorrono alcuni mesi prima cheuna nuova tipologia di attacco venga inclusanella ‘Threat Intelligence’; nel frattempo lavostra azienda è vulnerabile a quegli attacchiche devono ancora essere scoperti e condivi-si dalle loro vittime. Nella peggiore delle ipo-tesi è un flusso di dati inutili che distogliedall’obiettivo principale dell’azienda che èquello di difendersi dai nuovi attacchi, non daquelli già avvenuti. È di scarso sollievo sapereche la vostra azienda è stata la prima a sco-prire, e subire, un nuovo tipo di attacco e la

prima ad averla aggiunta alla ‘Threat Intelli-gence’ affinché gli altri si possano protegge-re. La ‘Threat Intelligence’ deve essere adat-tata ad ogni singola azienda per essere utilee ad un certo punto deve essere vagliata daun essere umano per poter prendere le ap-propriate decisioni nei momenti critici. L’intel-ligence migliore è quella che aiuta un essereumano nel processo decisionale, che gli dà lamiglior sicurezza nel prendere decisioni cor-rette, appropriate e soprattutto in tempi suf-ficientemente brevi da evitare l’intrusione suvasta scala, un’interruzione dei servizi o uncolpo alla reputazione. Quindi la vera ‘CyberIntelligence’ non è quella che identifica le mi-nacce e i metodi di attacco già noti, ma siconcentra sulla corretta comprensione di ciòche sta avvenendo in azienda con un livello digranularità tale da far emergere anche leazioni più subdole. L’intelligence migliore è quella che analizza intempo reale anomalie ricche d’informazioni eche è in grado di correlare molteplici indica-tori deboli per avere un quadro chiaro dellasituazione. Effettivamente, nell’ambito dellasicurezza nazionale e delle forze dell’ordine, iltermine ‘intelligence’ si riferisce ad azionid’indagine che forniscono informazioni peraffrontare rischi e minacce specifiche primache l’avversario prenda l’iniziativa e vi spingasulla difensiva. Fornisce una conoscenza,suffragata da prove, che indicano ad un es-sere umano quando e come passare all’azio-ne e a sua volta confermano l’efficacia delledecisioni su base continuativa dato che ilcontesto cambia inevitabilmente. Per leaziende che vogliono essere proattive nei ri-guardi degli attacchi informatici queste do-mande sono critiche e richiedono azioni d’in-telligence di elevata qualità e i riscontri diun’analisi avanzata e sensibile al contesto diun ampio spettro di fattori che contribuisco-no all’eventuale attacco. La ‘Cyber Intelligen-ce’ deve guidare nel prendere decisioniquando le infiltrazioni sono nella loro fase ini-ziale e gestibile, in una finestra temporaleche consenta di verificarne l’efficacia ed evi-tare che la situazione diventi critica. �

a cura di Darktrace



Si chiama Bayrob e si maschera dietroallegati infetti di false mail provenien-ti da Amazon: così questo trojan, co-

nosciuto come minaccia informatica già dal2007 e rimasto silente per molto tempo, haregistrato da dicembre 2015 un’impennatadi infezioni in diversi paesi europei, raggiun-gendo in Italia, secondo le stime dei ricerca-tori di ESET, la vertiginosa quota del 14,42%. Le mail fraudolente che veicolano Bayrobspesso si celano dietro un finto account diAmazon, che però ad un rapido controllodell’indirizzo di posta del mittente rivelanonon avere nulla a che fare con questa socie-tà. L’allegato malevolo si presenta come fileZIP contenente un eseguibile che, se scari-cato, lancia un messaggio ingannevole di

“applicazione non compatibile” mentre creauna backdoor che verrà utilizzata dai cyber-criminali per prendere possesso del PC or-mai infetto, rubandone le informazioni sen-sibili.Al secondo posto della top5 dei malware digennaio 2016 sale Win32/Filecoder, un te-mibile ransomware che cripta i file dell’uten-te e richiede alla vittima un riscatto in cam-bio del software di decodifica. Win32/File-coder nella prima settimana di gennaio haregistrato in Italia il picco di infezioni a livellomondiale con una percentuale del 6,35.La Top 5 dei malware in Italia si basa su LiveGrid®, l’esclusiva tecnologia Cloud di ESET,che identifica mensilmente le minacce infor-matiche globali per numero di rilevazioni.


La top 5 dei malware in ItaliaIl Bollettino ESET di gennaio 2016.Nome in codice Bayrob: ecco il trojan che a gennaio 2016 hacolpito il 14,42% degli internauti italiani.Bayrob si nasconde dietro allegati infetti di false emailprovenienti da Amazon.



Win32/Bayrob – rilevato nel 14,42 % delleinfezioni Al primo posto della top 5 dei malwaredi gennaio 2016 sale Win32/Bayrob, untrojan che si nasconde dietro email frau-dolente contenenti file eseguibili che,una volta lanciati, creano una backdoordalla quale i cybercriminali tengono inostaggio il PC infetto, rubandone le in-formazioni sensibili. Oltre all’Italia, Bay-rob ha colpito in Europa la Spagna, conil 22,08% delle infezioni e l’Austria, con il18,49% delle infezioni.

Win32/Filecoder – rilevato nel 3,79% delleinfezioni Sale al secondo posto nella classificamensile Win32/Filecoder, un trojan chenella prima settimana di gennaio ha re-gistrato in Italia il picco di infezioni a li-vello mondiale con una percentuale del6,35%. Win32/Filecoder cripta i filedell’utente e richiede alla vittima un ri-scatto in cambio del software di decodi-fica. Per infettare i PC in questo caso glihacker utilizzano diverse tecniche di infil-trazione come download guidati da sitiinfetti, allegati email, installazione tra-mite altri trojan o backdoor, o addirittu-ra installazioni mirate.

Win32/TrojanDownloader.Nemucod – ri-levato nel 2,76 % delle infezioniScende al terzo posto Win32/Trojan-Downloader.Nemucod, un trojan che

reindirizza il browser a uno specifico URLcontenente un software malevolo. Il co-dice del malware viene di solito inseritoall’interno di pagine HTML. Nemucod haregistrato a gennaio 2016 il picco di in-fezioni in Australia, con una percentualedell’8,12%, mentre in Europa il paese piùcolpito è stato il Regno Unito, con il6,02% delle infezioni.

JS/TrojanDownloader.lframe – rilevatonel 2,68% delle infezioni Sale al quarto posto della classificaJS/Trojandownloader.Iframe, una seriedi trojan che reindirizzano il browser auno specifico URL contenente un soft-ware malevolo. Il codice del malwareviene di solito inserito all’interno di pagi-ne HTML.Questo malware ha registrato il picco diinfezioni in Austria con una percentualedel 14,49%, seguita dalla Danimarca,con il 14,09 % e dalla Turchia con il13,83%.

JS/Kryptik.AZH - rilevato nel 1,66% delleinfezioniAncora basso nelle percentuali di rilevazio-ne ma in costante ascesa JS/Kryptik, untrojan con un codice malevolo in JavaScriptincorporato in pagine HTML. JS / Kryptik disolito reindirizza il browser a un URL dan-noso o attua un exploit specifico. �

a cura di Eset

Documents

ICT Security n.133 - Gennaio/Febbraio 2016 · ART ICOL Un anno in retrospettiva: le minacce cyber del 2015 Corrado Giustozzi.....34 Contromisure dinamiche: perché, quando e soprattutto