DARPA pensa di poter sconfiggere gli Hacker Nord Coreani

I vulnerabili sistemi di sicurezza informatica degli Stati Uniti stanno indirettamente permettendo alla Corea del Nord di rafforzare il proprio arsenale nucleare, ma grazie alla tecnologia esistente questo può essere facilmente evitato, ha dichiarato lunedì un funzionario della Defense Advanced Research Project Agency.

La Corea del Nord è in grado di utilizzare i fondi acquisiti dagli attacchi ransomware ai sistemi statunitensi e a quelli di altri paesi per pagare lo sviluppo di armi nucleari, ha dichiarato lunedì Kathleen Fisher, direttrice dell’Information Innovation Office della DARPA, durante un evento dell’agenzia.

Tuttavia, grazie alla tecnologia avanzata che la DARPA ha finanziato e che l’industria e il Pentagono sono stati in grado di sviluppare, fermare gli attacchi ransomware è possibile. Il problema sta nel far arrivare la tecnologia nelle mani delle persone giuste, cosa che spesso è ostacolata da processi burocratici come le procedure di autorizzazione al trattamento (ATO), ha detto Fisher.

“In sostanza, stiamo finanziando lo sviluppo di armi nucleari in Corea del Nord con le nostre cattive pratiche software”, ha detto. ‘Sappiamo come fare meglio. È come se tutto questo [gli attacchi ransomware della Corea del Nord] fosse anche peggio, perché sappiamo come fare meglio. Immaginate un mondo in cui il nostro software non sia pieno di queste vulnerabilità’.

“A questo si aggiunge il nostro attuale processo ATO, che significa che ci vuole molto tempo per aggiornare il software nei nostri sistemi, perché il processo ATO è così lento, abbiamo molti sistemi mission-critical che hanno vulnerabilità note, vulnerabilità sfruttabili in essi che non possiamo aggiornare per lunghi periodi di tempo perché il processo ATO è così lento”, ha detto. “Non possiamo permetterci di continuare questa pratica, l’impotenza che deriva da essa”.

Darren Cofer, ricercatore principale presso Collins Aerospace, dimostra le capacità dell’azienda in materia di composizione matematicamente sicura e garantita dei modelli di controllo (SMACCM) in una giornata dimostrativa della DARPA. (Foto per gentile concessione della DARPA).

Le procedure ATO sono state a lungo viste come una spina nel fianco del processo di acquisizione del Pentagono a causa della loro ridondanza. Diverse organizzazioni hanno in genere il proprio Ufficiale Autorizzatore (AO) che deve dare un ATO a un software prima che possa essere implementato. Gli AO hanno spesso criteri diversi, quindi la società di software che passa attraverso questo processo deve operare ogni volta in modo leggermente diverso, rallentando il processo quando l’ufficio accanto potrebbe già essere stato autorizzato a utilizzare lo stesso software.

Lo scorso maggio, il Dipartimento della Difesa ha emanato nuove linee guida che hanno rafforzato il concetto di “reciprocità” dell’ATO, il che significa essenzialmente che se un ufficio certifica che un sistema è sicuro dal punto di vista informatico, allora tutti gli uffici possono accettarlo invece di dover ripetere il processo di certificazione. Tuttavia, Fisher ha affermato che la mancanza di reciprocità nei sistemi software è ancora diffusa, ostacolando il progresso del software per la sicurezza informatica.

Impatto dei metodi formali

Sebbene i dilemmi posti dagli ATO non saranno probabilmente risolti in tempi brevi, la base industriale della difesa (DIB) deve comunque concentrare le proprie energie e risorse nella costruzione di una sicurezza informatica resiliente nei sistemi software, ha affermato Fisher.

Una pratica tecnologica che secondo Fisher dovrebbe essere adottata più ampiamente per prevenire gli attacchi ransom sono i “metodi formali”, approcci basati sulla matematica per produrre software che vengono forniti con garanzie verificate e prove che il codice “non può sbagliare”.

Alcuni casi d’uso dei metodi formali includono i precedenti programmi DARPA High-Assurance Cyber Military Systems (HACMS) e Assured Micropatching (AMP), insieme all’attuale programma Verified Security and Performance Enhancement of Large Legacy Software (V-SPELLS).

Questi programmi, insieme ad altri, hanno dimostrato che l’uso di metodi formali può garantire che gli avversari non possano penetrare nei sistemi. Ad esempio, con il programma HACMS, gestito da Collin Aerospace (all’epoca Rockwell Collins), è stata sviluppata la Secure Mathematically-Assured Composition of Control Models (SMACCM) per mostrare nuovi strumenti per la creazione di software per veicoli aerei senza pilota resistenti all’hacking ostile. Durante le dimostrazioni del programma, quando un gruppo di hacker fittizi ha cercato di hackerare il sistema del drone, non è successo nulla, segno che tutto è andato come previsto.

Un percorso alternativo

Il DIB e i partner industriali a volte devono adottare metodi meno tradizionali per acquisire tecnologie sicure dal punto di vista informatico, per garantire che la tecnologia arrivi nelle mani degli operatori e degli ingegneri del software.

Ad esempio, è sempre più comune per la DARPA condurre le ricerche necessarie per verificare se un metodo o una tecnologia è possibile da eseguire, e poi, una volta dimostrato il suo valore, l’industria può adottarlo, ha detto lunedì ai giornalisti il colonnello Rob Gerbracht, il Marine Corps Operational Liaison per la DARPA. Poi, fa ritorno al Pentagono, ha detto.

“Alcune delle tecnologie che la DARPA fa avanzare finiscono nel settore commerciale e tornano a noi nella base industriale della difesa, molto tempo dopo che sono state effettivamente introdotte”, ha detto Gerbracht.

“A volte è il modo più semplice per farlo”, ha aggiunto Fisher. ‘Tutto è sul tavolo per ottenere la massimizzazione il più velocemente possibile. DARPA non si occupa di creare tecnologia per il gusto di creare tecnologia, ma di creare tecnologia per cambiare il mondo in meglio per la sicurezza nazionale, per la sicurezza dei soldati’.