Intervista a Tommaso Olmastroni, Cybersecurity Area Manager di Gruppo SCAI
Nel corso della 21° edizione di HackInBo® Winter Edition, importante conferenza sulla sicurezza informatica in Italia, il Cyber Security Competence Center di Gruppo SCAI è stato rappresentato dagli speech di Tommaso Olmastroni, Cybersecurity Area Manager di Gruppo SCAI, e di Luca Antognarelli, laureato alla Università degli studi di Parma in Ingegneria dei sistemi informativi e attualmente studente in Cybersecurity Engineering al Politecnico di Torino.
Come si sono incrociate le strade di un esperto e di un giovane appassionato di Cybersecurity?
Nel corso del 2021 ho avuto la fortuna, grazie al Professor Luca Veltri, di tenere lezioni presso l’Università di Parma per la fase di addestramento del progetto Cyber Challenge un importante programma di formazione per i giovani talenti della sicurezza informatica tra i 16 e i 24 anni.
Così ho conosciuto Luca Antognarelli, studente al primo anno del corso di Laurea in Ingegneria dei Sistemi Informativi e già in quella circostanza aveva mostrato notevole interesse e sana curiosità nei confronti dei temi trattati.
Fin da subito gli ho letto negli occhi la volontà di apprendere, mosso dalla passione verso il modo dell’Offensive Security e, così, gli ho proposto un progetto di tirocinio molto complesso e sfidante, da cui è derivata la sua tesi: ingegnerizzare un malware, della famiglia dei ransomware, per cercare di evadere un EDR di livello Enterprise e portare a termine un attacco più realistico possibile!
Mi spiego meglio: i SOC – Security Operations Center – a cui imprese e organi istituzionali affidano la protezione da attacchi informatici sempre più sofisticati, ricorrono a strumenti che consentono la rilevazione, l’analisi e la risposta alle minacce nel minor tempo possibile, arrivando addirittura ad operare in tempo reale, come nel caso dell’utilizzo di un EDR Endpoint Detection & Response.
Il titolo della tesi è stato individuato in Progettazione e sviluppo di un ransomware per test di resilienza di un SOC – Design and development of ransomware for SOC resilience testing e presenta la descrizione del processo di ingegnerizzazione utilizzato per la creazione di un ransomware, volto al bypass di un EDR.
Com’è stato impostato il lavoro e quali sono state le principali fasi del progetto?
Nello sviluppo della tesi ci siamo dati alcuni step intermedi proprio per la difficoltà dell’obiettivo principale che – detto in tutta sincerità – non mi aspettavo venisse raggiunto.
Il primo periodo di attività è stato impiegato interamente dall’attività di ricerca, analizzando in maniera approfondita i ransomware in circolazione. Il ransomware è uno dei software malevoli (malware) alla base delle più diffuse e distruttive minacce informatiche in circolazione, capace di criptare i dati di un sistema per poi richiedere il pagamento di un riscatto per il loro ripristino.
Una volta acquisite tutte le informazioni necessarie ha preso il via l’attività di sviluppo vero e proprio, rielaborando e mettendo in pratica le informazioni raccolte in modo da creare un ransomware originale.
Gli step intermedi prevedevano l’elusione di vari Antivirus consumer disponibili gratuitamente.
Luca ha potuto contare sul supporto del team specialistico di Gruppo SCAI e, grazie alla sua geniale dedizione, i risultati sono arrivati in tempi brevi e inaspettati.
La progettazione del malware è basata sui pilastri dell’Offensive Cyber Capability (OCC), ovvero l’insieme di una vasta gamma di abilità interdisciplinari legate al mondo della sicurezza informatica che hanno consentito di scoprire pattern progettuali che si sono resi fondamentali nelle fasi successive di sviluppo e di test.
Lo sviluppo di ScaiRansomware – questo è il nome dato al malware – è stato svolto in varie fasi, che hanno portato alla nascita di numerose versioni dello stesso, ognuna delle quali ha comportato lo studio e l’utilizzo di diverse tecniche e tecnologie, che si sono susseguite a seconda degli esiti dei test d’attacco effettuati.
Lo studio si è dimostrato così interessante da aprire un canale ufficiale con il Vendor che ha rilasciato, in seguito alle nostre argomentate segnalazioni, una Fix di Sicurezza in modo da non rendere possibile l’elusione.
Per ovvi motivi di privacy non posso rivelare i nomi dei prodotti elusi, ma posso quindi affermare che il lavoro di Luca ha riscontrato un notevole successo.
HackInBo® è una delle principali conferenze sulla Cybersecurity in Italia: in quale modo siete stati coinvolti e quale messaggio ritieni di aver trattenuto dall’esperienza?
Dopo la discussione della tesi di Luca – che ha mi ha voluto con mio grande onore come correlatore – e raccolto il suo meritato riconoscimento accademico, ho pensato che valesse la pena far conoscere la storia e proporne il racconto in un contesto nazionale importante, anche per dare un’ulteriore, meritata soddisfazione al ragazzo.
Così ho risposto alla Call for Papers di HackInBo®, evento che ho sempre stimato come una delle principali occasioni di confronto e apprendimento sulla Sicurezza Informatica in Italia. Non era sicuro che venissimo selezionati come relatori poiché sono richiesti esperienza di public speaking, pubblicazioni e riconoscimenti che sulla carta avevamo solo in parte, ma siamo stati scelti, con nostra grande soddisfazione, proprio per l’eccezionalità e per l’indubbio valore dell’argomentazione tecnica.
Dopo la bellissima esperienza di HackInBo® sono sempre più convinto che dobbiamo spingere gli appassionati e i giovani ad approcciarsi alla tecnologia e alla sicurezza informatica con passione e spirito critico, elementi certamente presenti nel DNA di Luca! Ora, infatti, Luca sta continuando ad approfondire e sviluppare le sue conoscenze e potenzialità con un percorso di Laurea Magistrale in Cybersecurity Engineering a PoliTo e lo aspetto per un’altra sfida professionale da raccontare.
a cura di adriana ferrari
Cyber Security AreaManager presso Cyber Security Competence Center
