Da Multics a Meltdown e Spectre

Ultimamente ho dedicato del tempo alle vulnerabilità Hardware di quest’anno, principalmente Meltdown e Spectre nelle loro molteplici varianti.

Non ho aggiornato questo blog, ma ho pubblicato tre articoli dal titolo “L’Hardware e la sicurezza IT” sulla rivista online ICTSecurity. In questi articoli sono ripartito dagli anni ’60, in particolare da Multics, quando l’architettura e le funzioni di sicurezza dell’Hardware sono stati inizialmente disegnati, per arrivare a Row Hammer, gli attacchi alla Cache, Meltdown e Spectre.

Adesso ho sicuramente le idee un po’ più chiare sul significato ad oggi di queste vulnerabilità, anche se mi è molto meno chiaro cosa possano comportare nel futuro.

Honeypot per Sistemi ICS/SCADA

L’idea di connettere ad internet un Industrial Control System (ICS/SCADA) fa sicuramente tremare i polsi a chi ha una minima idea di cosa possa succedere. Ben venga quindi l’iniziativa di TrendMicro di realizzare un Honeypot dedicato agli scan e attacchi ai device ICS/SCADA connessi direttamente a internet.

I risultati raccolti dall’Honeypot possono essere letti qui, e non mancano di farci paura. Infatti basta pensare a cosa potrebbe succedere alle centrali elettriche, idriche ecc. se fossero (ed in troppi casi già lo sono) connesse a internet, ma anche più semplicemente ai piccoli oggetti casalinghi che sempre più offrono la possibilità di essere controllati via internet da una App sul nostro smartphone.

Statistiche sulle Vulnerabilità

Secunia ha rilasciato il suo Vulnerability Review 2013 (qui c’è un breve riassunto) da cui risulta che la grande maggioranza delle vulnerabilità che hanno afflitto i sistemi Microsoft nel 2012 hanno avuto origine in applicazioni di terze parti quali flash, acrobat, java ecc.

E’ probabile che i numeri citati da Secunia siano corretti, ma la cosa importante è quale conclusione se ne trae. E’ ovvio che la presenza di vulnerabilità in qualunque applicazione è una mancanza, ma quello che personalmente mi preoccupa di più è che un sistema operativo, che per definizione ha come principale scopo quello di gestire le risorse hardware e software, quindi anche le applicazioni, possa essere sovvertito a causa non di una propria vulnerabilità interna ma di una vulnerabilità di una applicazione.

Ridisegnare i Sistemi Operativi per una Nuova Sicurezza

Ho appena pubblicato sul mio sito un breve articolo intitolato “Ridisegnare i Sistemi Operativi per una Nuova Sicurezza” sulla presunta necessità di ripensare i fondamenti della sicurezza dei Sistemi Operativi per poter soddisfare le nuove richieste di funzionalità di sicurezza necessarie in ambito Cloud e Mobile. L’articolo può essere scaricato da www.ucci.it.

Apprendimento e Gaming

Recentemente mi è capitato più volte di leggere o discutere della relazione tra il gioco, in questo caso digitale (su console, PC o online) e l’apprendimento. In realtà ben sappiamo che il gioco è il principale mezzo di apprendimento, insieme all’esperienza, sia degli animali che di noi stessi nei primi anni della nostra vita.

“Giocando (e sbagliando) s’impara” diceva mio nonno…

In realtà, a pensarci un attimo, il nostro apprendimento è basato soprattutto sul nozionismo che poi si traduce in conoscenza a mio parere solo se integrato dall’esperienza. Si impara molto anche solo dall’esperienza diretta, ma è un procedimento lento e che non sfrutta quanto è già stato scoperto da chi ci ha preceduto e che possiamo facilmente e velocemente assimilare.

Ma l’esperienza Virtuale? Apprendiamo lo stesso giocando coi “balocchi” e un videogioco? Possiamo sostituire ed estendere il gioco reale con il gioco virtuale? Possiamo sostituire parte dell’apprendimento nozionistico con un apprendimento ludico virtuale?

Mi ha fatto anche riflettere il fatto che l’addestramento dei piloti dei famosi F-35 (se mai voleranno) è solo virtuale, non esistono modelli con doppi comandi per istruttore-allievo: dal gioco al volo senza paracadute?