Category Archives: Information Security

Military ATCC during Allied Force

In Y2000 I interviewed two controllers working at the Rome Military ATCC during Operation Allied Force. I was interested to give an angle which people seem to forget about controlling the airspace.
Here’s the report I wrote after talking with them:

Gen (aux) Battifoglia is no longer the CinC of the Rome SCCAM (Servizio Coordinamento e Controllo Aeronautica Militare, Military ATCC), but on March 24th 1999, when the first NATO bombs hit Serbia, he was wearing his earphones listening and watching the aircraft heading to the Balkans that were filling of tracks and transponder codes his radar screen. Today he has left active duty and he is working as a high rank officer within the committee that is studying the causes of the famous Ustica crash but he was glad to talk about his strong commitment in the Allied Force because “It was the most interesting and formative experience of a 40 years life spent within the Aeronautica Militare Italiana (ItAF)”.

On Day 1 of the War Battifoglia was in his office at Ciampino Center with his Deputy Chief Lt Col Claudio Luccioli when they received a classified message stating that the attack was about to begin. “We were very interested to know in advance about the beginning of the strikes” Gen Battifoglia told me. “Our area of responsibility was the greatest among the Military Control Centers (located in Milan, Brindisi and Padova) as Rome FIR (Flight Information Region), that our radars continuously controlled, represents the 60% of the whole Italian airspace, spreading from Elba Island to the South of Sicily. We already had hundreds of aircraft hosted in the airbases we managed (Grosseto, Grazzanise, Pratica di Mare, Trapani, Cagliari-Elmas, Sigonella and Decimomannu) and we were aware that many Italian and foreign missions were shortly taking off from there. Our main concern was to let them accomplishing their tasks without overflying towns and to provide deconfliction with civilian and general air traffic”.

The GAT traffics were in fact a worrying for the Italian controllers: the main airports on the Adriatic coast had been closed to commercial aircraft two hours before the “rock and roll” codeword (meaning “clear to fire”) was given to the pilots and use of all the eastern airways had been temporary denied to let operative flights flying with as less restrictions as possible.

“I spent some hours working at Brindisi Radar on the Southern Adriatic coast during the war: it was impossible to let civil aircraft flying through that area as the radar screen was fully studded with tracks of allied aircraft”. That was a wise decision. However it meant that the obsolete airspace configuration needed a new design. “

We were about to face big trouble as we did not have only the fighters based in our area but had also all civil traffic shifted from the Adriatic area on our side to keep Brindisi and Padova zones free. Incidentally, the war broke out while we were moving to the new operative building and this represented a further complication”. Airway scheme of the eastern flank was temporary suspended: B-23, G-23, W-95 and W-98 routes were abolished and flights to Africa and Middle East transiting the Italian airspace were only permitted to use A-14 and A-1, two parallel airways crossing Rome ATCC responsibility area from NW to SE with Fiumicino intercontinental hub lying in the middle. “We had to boost our capabilities to manage the mixed traffic and successfully achieve our mutated tasks:

1) to control flights (both operative and supporting ones) involved in Allied Force operation;

2) to manage daily Italian Air Force training missions that were going ahead following the pre-planned schedule;

3) to provide permeability of the military areas to the largely increased civilian traffic trying to keep it smooth and fluent and avoiding delays

First of all, there was the need to increase the capacity of the Center without decreasing safety measures; the creation of new dedicated corridors was considered the most effective solution. “Lt Col Luccioli had already drawn a corridor for the Danish and Norwegian F-16s (based at Grazzanise since 1998), a special route that skirted the Naples CTR and the Rome-Fiumicino STAR (Standard Arrival Route) and led the fighters inside a Restricted Area from where they could head directly to the Adriatic without affecting civilian movements, so I immediately thought of a similar corridor for the Fairford based B-1Bs and B-52s that came fully loaded with bombs from North.

Initially the heavy bombers followed an 8-hour long route above Spain and central Med and entered the theater of operations circumnavigating Southern Italy but soon they began requesting a more straight ride to the target area to have aircraft available for another mission in a shorter time. We overcame the initial difficulties by clearing them above unpopulated regions inside military restricted areas and creating new reporting points (dubbed with funny names like “Backstreet”) and the Buffs and Bones crews began appreciating these big cuts. We reserved for them and for the AAR operations of the RAF Tornados cruising levels inside our upper airspace so that they could overfly military training areas usually engaged by the Italian Starfighters above the ceiling authorized to the training flights. Fortunately tankers and support assets used airways to reach the operative area as they transited to the refueling orbits as GAT traffic and we were able to put them in the right sequencing between civilian aircraft”.

The war went into Phase III and many more allied aircraft were deployed to Italian airbases, especially those on the Western side of the peninsula that weren’t already overcrowded. This created new troubles: “After the first month of war the increase in raid pressure and more aircraft being based in our region almost led to the collapse of our or airspace especially since we discovered that Milosevic could intercept our ATOs and FPLs (flight plans)” Battifoglia explained.

“There was a strong feeling among the NATO that the repetitive use of some routes and the exact knowledge of the TOTs (Time On Target) could have been the causes of the loss of the F-117 and the 31FW F-16. We were compelled to do something planners would never do: we put FPLs out of the Allied Force. As a consequence, in the mid of the war we lost the capability of coordinating levels and routes and estimating times above navaids. We were unable to react strategically to the traffic requests anymore and to handle it in advance so we started to think in a more tactical way that is to say we almost knew of a formation as soon as the leader called us on frequency for the initial contact or when the control tower at departure aerodrome called on the phone to tell us the aircraft had requested the start up clearance.

At that time French pilots were operating Mirages out of Solenzara in Corse, US “KC”s coming from both Moron, Istres, UK and Germany had increased their crossings throughout the Tyrrenian Sea, Mirage 2000s had been re-located from Istrana to Grosseto to make room for additional Mirage 2000N, NAS Sigonella already hosted the whole allied maritime patrol assets plus a U-2S detachment; 18 ANG and Reserve A-10s were based in Trapani while B-2s operated daily from Whiteman almost in complete radio silence…… The only positive aspect of the orbat (order of battle) distribution was that the RAF Tornados, being detached to Solenzara, didn’t need any air-to-air refueling above Central Italy before reaching the Adriatic and this kept some British tankers away of our zones”.

Prior management of the waves of missions was however just a dream: “We only received classified bulletins from the CAOC (Combined Air Operation Center, for the Americans “K-OK”) which we used to get a preview of the traffic we could expect” Luccioli told us, “we had to draw further corridors for the newcomers and foresaw wide altitude reserve windows for the flights: for example the Warthogs were a problem for us as their performances are not comparable to those of the fast F-16s that we could manage quite easily. The A-10s are very slow with poor climb speed especially when loaded with tons of bombs or Mavericks, when they departed from Trapani, take off and landings at the nearby Palermo Punta Raisi airport were subject to delay”. A special corridor to let them going direct to Brindisi immediately after take off was soon created and kept free 24 hours a day at certain levels.

Something similar was done for the Italian B-707: two kind of route were created, dubbing them “North” and “South” according to the direction the tanker assumed after the take-off. When the tower told the ATCC that a tanker was about to depart following North or South route the military controllers already knew its reporting points and were able to calculate estimates that were provided to the civilian ATC. Coordination with civilian controllores was paramount in that period to prevent risk of collisions. “Our motto was –try to positively comply with pilots’ request otherwise they probably will do it the same” Lt Col Luccioli told me.

During “Live ops”, relationship with the pilots was sometimes difficult as controllers always needed to know as much information about the flight as possible while pilots tried to hide most of the flight details, especially since the stealth downing and the overall war lessons learned until then, had stressed the importance of COMSEC (Communication Security) matters. “Pilots were aware that someone could hear them on UHF frequencies” Battifoglia explained “and we didn’t operate secured radios: this could be hazardous for their safety but on the other side we had the strong need to have maximum knowledge about their planning in order to separate all of our traffic”. Since all missions started to use randomly assigned callsigns, often changing them twice during the same flight, controllers experienced more troubles to positively identify a flight rather than another during the RTB (Return To Base) phase.

“We needed to know the type of aircraft because this detail permitted us to know if the flight could go faster or climb higher (B-52 differs a lot from the B-1 from the controller’s perspective) and it could have been very useful especially if the missions were approaching the borders with the French airspace. However, pilots were unwilling to answer to our questions, they often didn’t reply at all. On one day two A-10s just taken off told us they wanted to make a 180 turn and land asap. I cleared them to do so and to proceed direct to the field but as I asked them –Sir, have you got trouble, why are you aborting this flight? (just to know if they needed special assistance on the ground) – they simply ignored my query” Luccioli remembered.

Fortunately the war ended without near-misses or major emergencies although some shivers went down the back of Rome Military personnel. “It happened mostly towards the end of the Allied Force” Lt Col Luccioli recalled “when pilots were probably more tired. We experienced a few cases in which pilots didn’t comply with our instructions, almost always when the mission was RTB (Returning to Base) and pilot concentration had decreased. Fortunately we had become able to understand from the crew’s voice if they were tired or not and, especially if they were coming back on the morning after CAPping 6 hours above the Balkans, we tried to give them as clear instructions as possible and to use standard phraseology in a perfect english. The “controller’s judgement” was our solution to this kind of problems as we understood that pilots involved in the Allied Force had to be helped as they were subject to great tensions and stress as we were”.

When the war ended Italian controllers were happy to guide all pilots flying at that time back to their homebases with all their bombs unreleased. “We were proud to have successfully accomplished to our commitments in such an effective and reliable way. Neither midairs nor near-misses occurred and we were ready to manage the additional aircraft that would have been based to Decimomannu should the war had continued”. After such an experience Gen Battifoglia left active duty while Lt Col Luccioli left the Rome Military ATCC for new assignment within the Brigata Spazio Aereo (Airspace Brigate). They have already reached the apex of their career “in front of the screen”.

Il dizionario delle (principali) minacce informatiche

Il 26 gennaio 2007, è iniziata a trapelare la notizia di un defacement ai danni del portale Web dell’Aeronautica Militare (http://www.aeronautica.difesa.it). A quanto pare, un hacker turco, ha sfruttato una SQL Injection per condurre un XSS defacement, ovvero ha iniettato del codice Javascript all’interno della homepage reindirizzando i visitatori ad un sito web esterno contenente un messaggio pacifista. Il defacement è solo una delle centinaia di minacce informatiche che possono mettere a repentaglio la sicurezza delle informazioni di una organizzazione. Di seguito fornirò una breve descrizione di alcune delle principali minacce, utile alla comprensione dell’entità di alcuni attacchi condotti a Forze Armate, Industrie, Istituzioni ecc.

  • Backdoor:  Letteralmente, “porta posteriore”. Si tratta di un software che viene utilizzato da remoto per accedere ad una macchina ed eseguire modifiche a file, inviare mail di spam, accedere a siti Internet. E’ una tipologia di minaccia molto diffusa, che può manifestarsi sotto forma di un allegato di posta o tramite software accidentalmente installato sul computer semplicemente cliccando su un link presente nel testo di in una mail. Un utente potrebbe non accorgersi della presenza di questa tipologia di software poiché lo stesso viene avviato automaticamente al boot della macchina consentendo l’esecuzione di attività malevola in presenza di connettività su rete pubblica.
  • Bluejacking e Bluesnarfing:  Minacce che si concretizzano in presenza di PC o dispositivi dotati di interfaccia Bluetooth (BT). In particolare, si riceve un messaggio da un altro dispositivo tramite il BT.  Pensando di visualizzare un biglietto da visita o un messaggio multimediale si installa in realtà un programma in grado di trasferire ad altri dispositivi nelle vicinanze, informazioni custodite sul PC o sul cellulare.
  • Browser Hijacking: Ovvero il dirottamento del browser. Alcuni siti contengono delle applet o degli script che modificano le impostazioni del browser dirottando la navigazione verso altri siti (ad esempio per aumentarne il numero di visite o per procurare al sito di destinazione un Denial Of Service). Questo tipo di minaccia espone l’utente e la rete dalla quale lo stesso si collega, in assenza di idonee contromisure, alla navigazione su siti illegali o “sconvenienti”. Molto simile negli effetti è il Page Hijacking nel quale alcune pagine web di siti molto visitati vengono replicate e registrate nei vari motori di ricerca affinché gli utenti vengano dirottati su questi siti fake nel momento in cui eseguono le ricerche. Il Page Hijacking può essere utilizzato per realizzare il Phishing, ad es. presentando ad un utente la stessa pagina di autenticazione ad un servizio ed invitandolo quindi ad inserire le proprie credenziali di accesso allo stesso.
  • Defacing:  è un attacco che si concretizza nella modifica dell’aspetto della homepage e/o delle pagine accessibili ai visitatori. Il defacing, come nel caso del sito dell’Aeronautica, citato all’inizio dell’articolo, è generalmente finalizzato a propagandare un messaggio avverso all’organizzazione che lo subisce con conseguente danno d’immagine e cattiva percezione del livello di sicurezza implementato dall’azienda vittima dell’attacco (oltre all’indisponibilità dei contenuti pubblicati per mezzo del servizio Web).
  • DoS (Denial of Service). Rientrano in questa categoria le tipologie di attacco mirate a rendere indisponibile un determinato servizio. Nella versione più articolata, l’attacco prende il nome di Distribuited Denial of Service (DDoS) poiché proveniente da diversi indirizzi di rete (solitamente delle macchine ponte o “zombie”) che rendono più difficile la rilevazione dell’azione in fase di preparazione. Un DoS o DDoS è l’effetto di azioni mirate a sovraccaricare le macchine o a saturare la banda
  • Identity Theft:  Furto di identità. E’ realizzato da un utente malevolo che essendo entrato in possesso delle credenziali di autenticazione dell’utente legittimo le riutilizza illecitamente. Il phishing, descritto più avanti, è un tipico metodo utilizzato per rubare le credenziali ad un utente legittimo.
  • Information Theft: Furto di informazioni riservate (nell’accezione più generica, si dovrebbe parlare di Information Assets) . Il social engineering, particolarmente pericoloso per le organizzazioni con molti impiegati, è una delle pratiche attraverso la quale è possibile, attraverso un approccio strutturato in varie fasi, raggiungere l’obiettivo di impossessarsi di informazioni “mission critical”. E’ importante notare come le informazioni non siano necessariamente intese in “senso informatico” ma possano essere anche in versione cartacea (informazioni commerciali, il business plan di un’azienda, ecc.).
  • Malware: Software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il malware può consentire ad esempio, di prendere il controllo remoto della postazione al fine di rubare informazioni o navigare con l’identità di un altro utente.
  • Man in the Middle: Non è una vera e propria minaccia ma è un tipo di attacco tramite il quale un utente malevolo si inserisce nel mezzo della comunicazione tra utente legittimo e il servizio di destinazione al fine di catturare informazioni o credenziali dell’utente legittimo (Identity/Information Theft). L’attacco si basa sull’inganno: l’utente malevolo si presenta all’utente lecito come se fosse il servizio di destinazione e si presenta al server di destinazione come l’utente lecito (al quale ha sottratto le credenziali di autenticazione e altre informazioni) ottenendo l’accesso ai dati e alle informazioni dell’utente. Diversamente dallo sniffing questa tipologia di attacco è attiva in quanto richiede che l’utente malevolo si inserisca in mezzo alla conversazione e l’utente lecito inconsapevole accetti la comunicazione fasulla.
  • Pharming: E’ una evoluzione del Phishing con il quale viene viene molto spesso confuso. Consiste nel realizzare una pagina Web del tutto simile alla homepage di un sito già esistente verso la quale reindirizzare un utente. In questa maniera, l’utente ha la percezione di trovarsi su una pagina che è in realtà un clone dell’originale ed eseguendo una qualsiasi transazione (ad es. sul proprio conto di banking on-line) svelerà le proprie credenziali d’accesso. Si può accedere ad un sito clonato in molti modi. Ad esempio, mediante phishing o spear phishing, ma anche modificando le risposte dei Server DNS alle query di risoluzione degli indirizzi. Il pharming si può realizzare anche a partire da un malware installato sulla postazione dalla quale l’utente esegue il collegamento al sito clonato: in questo caso viene modificato il file host affinché il motore di ricerca indirizzi la transazione non verso il sito reale ma verso il clone.
  • Phishing: Attività malevola che utilizza una tecnica di ingegneria sociale, ed è utilizzata per ottenere l’accesso a informazioni personali o riservate con la finalità di furto di identità o di informazioni. Il phishing viene effettuato generalmente mediante l’utilizzo di falsi messaggi di posta elettronica, messaggi istantanei, o anche contatti telefonici, che spingono l’utente a rivelare dati personali, come credenziali di autenticazione, numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
  • Ransomware: Minaccia della stessa tipologia del Malware. Nel caso specifico, il programma prende possesso di uno specifico file, o di una directory sul PC dell’utente, minacciando lo stesso (mediante un messaggio/finestra di pop-up) di cancellare la risorsa qualora non venga pagato un riscatto (ad es. con un bonifico, un trasferimento fondi con Paypal o Wester Union, ecc.).
  • Sniffing:  Consiste nell’ascoltare (o meglio analizzare) il traffico. In caso di traffico in chiaro, un utente in possesso di appositi strumenti software e hardware (facilmente reperibili sulla rete) è in grado di ricevere ed analizzare il traffico. Questo tipo di attacco è passivo in quanto l’”ascoltatore” non interagisce in alcun modo con la vittima. E’ utilizzato per reperire informazioni sensibili o confidenziali.
  • Spear phising: Variante del phishing normale (che si propaga nella rete mediante spam) ed utilizza mail “mirate” verso una certa tipologia di utenti al fine di creare testi più attendibili inducendo i destinatari a rivelare credenziali, codici identificativi, numeri di carte di credito ecc. La pericolosità di questo agente di minaccia è legata al fatto che trattandosi di mail inviate a piccole organizzazioni, aziende o singoli domini, non vengono rilevate come spam e arrivano solitamente nella casella postale di destinazione. Oltretutto, essendo specificamente scritte per una certa tipologia di utente, contengono riferimenti ed informazioni che inducono i destinatari a fidarsi della fonte.
  • Spoofing: Rientrano in questa categoria le tipologie di attacco dedicate ad inserire in rete client aventi lo stesso indirizzo MAC e indirizzo IP di un client autenticato causando una disconnessione del client lecito e una connessione del client fasullo. Le conseguenze di un attacco di spoofing possono andare dall’indisponibilità del servizio sino al furto di identità nei casi più gravi.
  • Trashing: Consiste nella ricerca di informazioni d’interesse tra la spazzatura prodotta e smaltita nei pressi della sede di un’organizzazione. Molti impiegati prendono appunti, annotano password, indirizzi IP e altre informazioni su pezzi di carta che poi gettano nella spazzatura. Qualora non sia previsto un processo di eliminazione sicura di questi scarti è possibile essere oggetto di una vera e propria ricerca di informazioni che vengono smaltite nei cestini interni o nei cassonetti dell’immondizia situati nei pressi della sede. Ulteriore minaccia è costituita da quei dipendenti che trascrivono le informazioni su block notes personali o su pezzi di carta che portano a casa e smaltiscono con i rifiuti presso la propria abitazione. Qualora fossero individuati impiegati che scartano le cartacce in un cassonetto vicino la propria abitazione, si correrebbe il rischio di fornire ad utenti malevoli, username, password, credenziali varie, in grado di compromettere la sicurezza e l’immagine dell’organizzazione. Il Trashing è quindi una tecnica per realizzare l’Information Theft.
  • Virus:  Termine generico con il quale si identifica tutta una famiglia di programmi che creano copie di se stessi diffondendosi nella rete in vari modi generalmente all’insaputa dell’utente.
  • Vishing: E’ una forma di phishing che sfrutta il social engineering e prende di mira il VoIP, per ottenere informazioni personali e credenziali mediante messaggi vocali automatici.