Category Archives: Information Security

Airport Network Failures…

Look at the following picture. It was taken by my friend Rage at the Terminal B of Barcelona airport on Jan 7, 2009. Can you notice something weird?

If you look closely, you can see a “NETWORK FAILURE” message among the departures. Failures can happen. I work in the IT area and everyday I have to deal with the concepts of Redundancy, Back Up, Storage, High Availability, Disaster Recovery, etc. What it is really strange in this case, is not the failure itself but the fact that the error message appears on the display. This is what I consider a dual mistake: a communication and a design error. Let me explain what I mean.
That message doesn’t contain any useful information for a passenger departing from the Spanish airport. It answer no question but creates confusion: since travellers are not aware of the type of failure, they don’t know if the message refers to something within the display (is the airport network down? are departures affected by some kind of routes network problem? etc.) or outside it (the source of the information displayed at the Terminal B). Under an Security point of view, providing that message is risky too: if the failure is the consequence of a hacker attack, giving him the confirmation that the hack was succesfull is not a clever idea. Next time he could achieve a DoS (Denial Of Service) basing on the first successful attack. So, programmers, LAN and IT managers at the airports should prevent some error messages to be broadcasted.

Under a design point of view, a network failure is a symptom that something in the “chain” has failed: there was a Single Point of Failure (SPF), the Business Continuity Plan (BCP) did not succeed, the Back Up plan did not work, the configuration was not correctly implemented, the Hardware was obsolete or at full capacity, etc. There can be many reasons for a failure (or a network one). For sure, they must be avoided, especially if the network is used to trasmit mission critical information: in this case, a fault can be catastrophic. Risk Management should be performed, in order to assess those assets that must be hardened, to mitigate the risk of loss or deterioration of the assets, and to monitor the risk in accordance with a particular metric in order to keep it to an “acceptable level”. Even if the flying operations and the Air Traffic Control are those fields where Aviation Safety focus more often, the IT department of an airport must be seriously taken in consideration. Even if applying effective countermeasures and contingency plans can cost a lot, underestimate the damage that can be inflicted by a poorly maintained Local Area Network or Hardware Component could lead to a disaster. A few examples: On Apr. 20, 2002 a power supply problem makes the Rome Fiumicino Tower mute betweek 4.40 and 5.20 LT. On Mar 16, 2003, a network failure causes a radar black out at Rome ACC based in Ciampino around 22.00LT: all intercontinental flights to Fiumicino are diverted to Malpensa, Rome Radar switches to procedural control and take off are blocked until midnight. On Aug. 2007 a malfunctioning NIC (Network Interface Card), which allowed computer to interconnect to the LAN (Local Area Network), on a single desktop computer of the immigration control in the Tom Bradley International Terminal at LAX, experiences a failure. A total system failure affecting other computer of the same immigration system occurs at 14.00LT and lasts some 9 hours. All international flights are delayed by some hours. Thousands passengers have to wait for hours at the airport. A second outage on the Customs systems is caused by a power supply failure. Customs computers with a life of about 4 years were at their four-year phase and had to be replaced. In July 2008, a failure of the Dublin airport radar system causes fear and many grouned flights. Tracks vanish from the controllers’ radar screens. The first failure lasts 10 minutes, the second time the controllers have to close the airport to all inbound flights. As a consequence, 200 flights are delayed, diverted or cancelled. Ryanair, that is the main airport’s user, claims that more than 13.000 passengers are affected with a cost to the airline of about 1 million GBP. The shutdown was caused by a faulty network interface card (once again) but was actually a double fault, since the LAN recovery failed too. The following is an excerpt of an interesting article on the Dublin event published by the Irish Times (http://www.irishtimes.com/newspaper/ireland/2008/0920/1221835128140.html):

……
When it subsequently emerged that there had been a series of faults in the radar system since June 2nd, Ryanair called on the Department of Transport “and Ireland’s useless aviation regulator” to explain why there was no contingency plan for the repeated IAA computer system failures at Dublin airport.

Aer Lingus chief executive Dermot Mannion suggested that a back-up system may be needed if the upheaval was not to repeat itself, but industry sources said a back-up system would cost as much to install as an initial system.

However, yesterday’s Report of the Irish Aviation Authority into the ATM System Malfunction at Dublin Airport maintained that while “worldwide, air navigation service providers cannot rule out the possibility of failures” the IAA was “confident that the measures recommended by the system supplier Thales ATM and now being implemented will minimise the effect of a recurrence of like or similar failures of its ATM system in the future”.

The report revealed that the root cause of the failures at Dublin airport was a faulty network interface card and that all of the Dublin failures had the same root cause.

It concluded that the failure was not “a single point of failure” but was caused by a double failure – a hardware failure of the network interface card and a failure of the local area network recovery mechanism.

The IAA said the system had been “stable” since July 9th and added: “IAA engineering, air traffic control, safety, support and management staff worked around the clock to resolve the issues as quickly as possible.”

Recommendations

Thales ATM, suppliers of the radar system at Dublin airport, recommended:

• That additional network monitoring be undertaken. Monitoring tools and a “passive analyser” should be installed for the early identification of any similar malfunctions. This work has been completed.

• That a software programme to protect the local area network recovery mechanism be developed. This programme is currently being tested.

• That changes in procedures in relation to hardware testing be made before insertion in the operational system. These changes have been implemented.

• Thales ATM is also studying other potential improvements in the network design to prevent a recurrence.

• A spokeswoman for the IAA said it and Thales ATM had jointly supplied engineers to work on the problem. While it did not expect to have its costs refunded by Thales ATM, neither did it expect a bill from the company for its time.

USAF vs Information Leakage

The USAF decided to deny the access some websites, the ones containing the word “blog” (and a few others according to the information provided on some forums and websites on the Internet), to its personnel in order to prevent some important information to be disclosed without control. Even if the majority of its users, especially those deployed abroad, used the blogs to provide information to their relatives, some witnessed things that could not be unveiled and shared their thoughs in a way that was considered dangerous. Information Leakage is one of the major threats to the military secrets even if restricting users’ web access is only a minor solution. First of all, some of the most important information are stored on sites that are not correctly protected or hardened and are consequently ofter hacked by both internal and external visitors. Then, it must be considered that if a military wants to disclose secrets, in both an intentional or unintentional way, he could do that with alternative means or from his home laptop or smartphone.
The blocks on the navigation were implemented using Blue Coat proxying technology. This kind of system use an internal policy that is matched on the destination URL requested by an internal user. If the destination IP address is matched against the list of blocked sites, the user is redirected elsewhere, to a blank page or to a default page. Otherwise he can surf. The black list (the list containing those sites that can not be accessed) can be category-based (hence automatic) and/or custom. Since categories and subcategories on these systems are wide, adding a category to the black list could lead to false positives, that is to say that a user could be denied from accessing a permitted website. In this case a manual exclusion is required (with effort needed to track exclusion requests and to analyse them).
According to what some important magazines reported, all the URLs containing “blog” are currently banned but it is still unclear if other domains, like wordpress.com or pages.google.com, where blogs can be hosted but don’t contain the explicit word “blog”, are among the denied destinations (for instance I still don’t know if this site can be accessed by Air Force bases). Actually, not only Blogspot was cut off the “white list” containing the “good sites” but also some social networking websites have been restricted on military network for various reasons. Youtube, Photobucket and MySpace have been banned because of bandwidth they eat while reputable media should be still available to everyone. Even if, officially, the problem is tied to the Information Leakage, someone speculated the risk is that the military could use the social networks (without disclosing classified information) to share opinions against their commanders or to convince troops that the war it’s not worth fighting. There are also productivity explainations: watching videos, uploading pictures and blogging is wasteful Internet usage. However there’s not much consistence in blocking blogs and permitting ESPN, News and commercial email. Using Gmail, people can still send and receive email, and chat. Using a commercial email address, a military can still upload its pictures to Photobucket by sending them to the configured email address and can still post its thoughs on a blog by forwarding the text to his wife or friends that are not blocked by any Firewall or Proxy. So there are only two options: leaving free access (but evangelise personnel on the risks of Information Leakage for their own safety) or blocking everything but those sites needed for their specific activities or work. Since the second options would have a deep impact on the morale, the first one its smarter to me.

GPS logger

Recentemente ho avuto l’opportunità di testare in volo un GPS logger commerciale che mi ha consigliato Roberto Petagna di Aviopress, il quale ha avviato una vera e propria sperimentazione su questo tipo di apparati. Il GPS logger è un device del tutto simile ad un’antenna GPS utilizzata via bluetooth (BT) dagli smartphone dotati di software di navigazione (tipo Tom Tom o Route66). A differenza delle antenne tradizionali però, il logger è dotato di una memoria interna che permette di registrare una certa quantità di dati: oltre a fornire le coordinate al navigatore ricevendo i segnali dalla costellazione di satelliti, il device è in grado di memorizzare log per 15 ore consecutive (io l’ho testato fino ad un massimo di 13 ore e 46 minuti in modalità duale antenna-logger anche se i dati di targa sono di addirittura 18 ore con il BT spento). Il device può anche essere alimentato via USB o mediante l’adattatore per accendisigari). I log memorizzati (il device ha memoria per 130000 “punti” complessivi e quindi la durata massima del log dipende dall’algoritmo utilizzato per il salvataggio delle coordinate; qualora si decidesse di utilizzare il più “costoso” in termini di memoria, 1 punto al secondo, il log massimo sarebbe superiore alle 36 ore, qualora invece si decidesse un intervallo di campionamento più “lasco”, si possono raggiungere anche log di 7 giorni e mezzo)sono successioni di coordinate geografiche associate alla velocità istantanea, alla quota rilevata e al timestamp, e possono essere scaricati sul PC mediante cavo USB o trasmessi via bluetooth. Il software a corredo del logger permette di estrarre i log e generare delle tracce che possono successivamente essere elaborate e convertite in un formato compatibile con alcuni dei più diffusi programmi “cartografici”, come Google Earth/Maps, Microsoft Visual Earth e altre applicazioni professionali di GPS. E’ possibile creare dei file (ad esempio) in formato .kmz per Google Earth e uploadarli su alcuni siti specializzati per generare dei file “customizzati”, molto più dettagliati di quelli, già utili ma spartani, che è possibile generare con il sw a corredo del GPS logger. I file .kmz creati in questa maniera permettono di visualizzare in Google Earth dei pulsanti nuovi che permettono di ri-volare la missione a diverse velocità.
Contenendo i dati grezzi dotati di coordinate geografiche e temporali, è possibile, mediante l’EXIF delle fotografie, associare uno scatto ad una posizione sulla mappa (il cosiddetto “Geotagging”), una pratica che, oltre agli scopi amatoriali, potrebbe, previa sperimentazione, risultare utile anche in scenari operativi reali. Basti pensare ad un velivolo leggero o ad un elicottero non dotato di sofisticate piattaforme di navigazione GPS in grado di registrare i dati salienti della missione durante un volo di ricognizione. Per mezzo di un GPS logger è possibile registrare l’intero percorso, associando le foto degli “obiettivi”, a specifici punti sulla mappa. Si pensi anche a missioni SAR condotte su territori molto vasti con l’impiego di velivoli leggeri, come quelli utilizzati dalla Civil Air Patrol americana nei quali un GPS logger risulterebbe fondamentale per l’analisi del territorio esplorato. Come mi ha spiegato Roberto Petagna, è anche possibile attraverso il GPS logger eseguire dei veri e propri tracciamenti in real time. Il modo più utilizzato è quello che sfrutta la funzionalità del logger di operare come antenna: i dati ricevuti dal logger vengono trasmessi via BT ad un cellulare (o ad un portatile) sul quale è stato precedentemente installato un programma in grado di inoltrare i log verso un apposito gateway; questo server correla le informazioni ad una mappa rendendo disponibile il tracking su Internet (o su uno spazio Web accedibile previa autenticazione, a seconda delle esigenze). Ovviamente, questa soluzione presuppone l’utilizzo di una scheda di rete (nel caso di un portatile) o di una SIM (nel caso di un cellulare) che consentano l’accesso a Internet.
Come spiega ancora Petagna:

Le prime prove si possono fare con GpsGate.com (http://www.gpsgate.com/) http://www.gpsgate.com/index.php?id=39 (questo è il link per individuare la
situazione in cui ti trovi, ad esempio Mobile phone). Questo sito oltre a mettere a disposizione un programmino JAVA per cellulari (quelli che lo supportano), rende disponibile un BuddyTracker che consente di avere una mappa mondiale su cui puoi seguire i tuoi contatti (ti devi registrare, è gratis).

La cosa realmente stupefacente è che i GPS logger hanno una sensibilità superiore rispetto ad una normale antenna GPS apparsa sul mercato 2 o 3 anni fa, riuscendo a ricevere i satelliti anche a 2 o 3 metri di distanza da una finestra o da dentro la tasca di un giubbotto o dall’interno di una borsa!
Il prodotto che ho testato nei mesi scorsi, si chiama Wintec WBT-201, ed ha un costo piuttosto limitato (intorno ai 70 Euro). I dettagli tecnici salienti sono disponibili sulla pagina di uno dei distributori italiani a questo indirizzo: http://www.alange.biz/wbt-201gpsbluetooth
Assolutamente di rilievo il fatto che il software di gestione del WBT-201 consente di impostare i dettagli di campionamento della posizione: è quindi possibile loggare la posizione ogni tot secondi, ogni tot miglia (o metri, o chilometri, tanto anche le unità di misura sono configurabili), ogni variazione di prua di tot gradi, ecc. E’ anche possibile indicare come il processore interno deve elaborare i dati per meglio adattarsi al tipo di “spostamento” che si intende effettuare. E’ infatti possibile scegliere tra:
* Stationary
* Pedastrian
* Automotive
* Sea
* Airbone under 1G
* Airbone under 2G
* Airbone under 3G
* Airbone under 4G

Quelle che seguono sono le foto di un volo notturno a bordo dell’AB.212ICO “Tiger 04” impegnato in una SAR mare nel Golfo di Napoli, una missione addestrativa cui ho potuto prendere parte nell’ambito di un servizio giornalistico che verrà pubblicato nel numero di marzo di RID. Ho creato un .kmz fittizio con un’ipotetica rotta seguita dal velivolo al solo scopo di “agganciare” una foto ad uno degli ipotetici punti del percorso e dimostrare le notevoli opportunità offerte dal GPS logger in termini di Geotagging (prima immagine, screenshot da Google Earth).






Information Warfare per la lotta al terrorismo

Nel novembre 2001 scrissi un articolo per Aeronautica & Difesa dal titolo “La Guerra Parallela” (a questo indirizzo è disponibile la versione integrale: http://cencio4.wordpress.com/works/la-guerra-parallela/), in cui descrivevo anche altre forme di Information Warfare oltre a quelle già introdotte nel post http://cencio4.wordpress.com/2007/10/11/information-warfare/, che prevedono azioni di oscuramento delle informazioni (se non proprio di  disinformazione), di intercettazione delle comunicazioni e di guerra psicologica mediante trasmissione di messaggi espliciti e/o subliminali:

A proposito di Internet va detto che il Department of Defence, principale riferimento per la stampa specializzata di tutto il mondo, che durante l’Allied Force sul suo sito rendeva disponibili le immagini dal satellite pre e post-strike, è stato sottoposto ad una sorta di censura che ha portato alla pubblicazione di poche, scarne, informazioni. Sono stati inoltre disabilitati, per motivi di sicurezza, i siti che permettevano di visualizzare la posizione delle portaerei della Navy e delle portaeromobili dei Marines, mentre auto-censura è stata quella che si è imposta la Federation of American Scientists (FAS). La Federazione, che gestisce uno dei siti più autorevoli di analisi politico-militare, in passato è stata protagonista di alcuni “scoop” sensazionali come la pubblicazione dell’Orbat (Order of Battle, Ordine di Battaglia) delle forze impegnate nell’Allied Force o le foto dal satellite delle basi nucleari israeliane, delle basi aeree cinesi e dell’Area 51. Le ragioni di questo cambio di tendenza nella gestione delle informazioni sono da ricercare nel fatto che l’obiettivo, per la prima volta dalla 2a Guerra Mondiale, non era quello di “mostrare i muscoli” all’avversario nella speranza di evitare il confitto armato.

……

E’ interessante notare che gli U-2 nel nuovo scenario strategico siano utilizzati in missioni SIGINT più che di ricognizione fotografica vera e propria, per intercettare le comunicazioni telefoniche dei telefoni GSM dei membri di al-Qaeda. Nel campo dell’intercettazione telefonica vengono usati dei voice-recognition scanner che servono per identificare e localizzare le voci di Bin Laden e dei suoi più stretti collaboratori.

……
 

…sono stati inviati nel teatro di operazioni, probabilmente operanti da Incirlik (in Turchia), un imprecisato numero di EC-130E “Commando Solo”, dei velivoli che fungono da vere e proprie stazioni radio e TV volanti, che grazie a potentissime antenne VHF, UHF e HF, prima “jammano” o oscurano del tutto le trasmissioni dei media locali, e poi le sostituiscono con quelle americane, emesse in banda AM, FM, HF e televisiva contenenti messaggi, espliciti o subliminali, a ribellarsi al regime talebano, a non supportare i terroristi, a fornire informazioni utili su al-Qaeda, a consegnarsi agli americani ecc.

Information Warfare

Che l’Information Warfare sia entrato a far parte delle operazioni militari è ormai un dato di fatto. Come ebbi modo di scrivere descrivendo il servizio di controllo del traffico aereo militare operativo durante la guerra nella Ex-Jugoslavia (http://cencio4.wordpress.com/2007/03/26/military-atcc-during-allied-force/), già nel 1999 la NATO fu costretta a sospendere il normale flusso di emissione degli Air Tasking Orders (e dei relativi FPL ad essi associati), vedendosi addirittura obbligata a far decollare le missioni senza piano di volo, perché i Serbi erano riusciti ad averne visibilità. Per non parlare poi degli impatti avuti dal proliferare di Internet e delle email sull’Intelligence. Il problema in realtà non si limita alla perdita di riservatezza delle informazioni: cosa potrebbe accadere qualora un attacco fosse portato al cuore stesso della rete, laddove il sensor fusion si concretizza e le informazioni vengono raccolte e propagate verso aerei, navi, sommergibili, centri di controllo, truppe a terra, satelliti, ecc? Un Denial Of Service voluto o no (eventualità da non escludere) potrebbe rendere anche la forza armata più dotata e preparata, uno strumento incapace di agire e quindi inutile, se disconessa nelle sue componenti tattiche (ad esempio “fuori area”) da un sistema net-centrico.

Un interessante articolo di A. Nativi pubblicato da Il Giornale del 09.09.07 dal titolo “La Cina sta preparando un attacco informatico contro le portaerei Usa” (http://www.ilgiornale.it/a.pic1?ID=204736) è stato lo spunto per uno scambio di opinioni sull’Information Warfare con Maddler, un esperto (anche se lui preferisce definirsi “uno che si diletta”) di sicurezza, crittografia, hacking, Linux ed Open Source.

Prima di tutto credo sia necessario fare una distinzione di base tra cosa effettivamente possa essere accaduto e cosa potrebbe accadere. Il confine tra le due cose e` quantomeno labile, visto che essenzialmente solo i diretti interessati possono sapere cosa effettivamente e` accaduto, cosa sta accadendo e cosa potrebbe accadere.

Alcune considerazioni di base essenziali.
Della scena “hacker” cinese si sa ben boco, cosa comprensibile vista la scarsa salubrita` dell’ambiente quando si parla di liberta` di informazione (e per quanto concerne l’hacking, nella sua accezione principale, riguarda la liberta` di informazione e comunicazione molto da vicino), ma diciamo che c’e` una discreta fiducia nei confronti degli smanettoni made in China.

Il presunto (i motivi per dubitare che l’attacco ci sia stato credo siano buoni tanto quanto quelli per esserne certi) attacco, da quanto diffuso da varie fonti, arriverebbe comunque non da un gruppetto “indipendente” ma nientepopodimenoche`, rullino i tamburi, dall’Esercito Cinese in persona.

Capitolo risorse potenziali: e` assolutamente piu` che plausibile che la Cina abbia risorse a sufficienza per portare un attacco informatico contro gli Stati Uniti. Tenendo anche conto che la crescita esponenziale dal punto di vista economico sta conferendo alla Cina anche un considerevole potere politico (basti pensare ai prossimi giochi olimpici, che si terranno in un paese in cui le liberta` fondamentali sono tutt’altro che garantite e che ha promesso di fare il bravo), prendendo, da un certo punto di vista, quello che era il posto della ex URSS.

Attacco si, attacco no.
Come detto prima, le possibilita` a mio parere sono alla pari. Attacco si`: che nelle guerre del prossimo futuro siano destinate ad avere come campi di battaglia anche campi “virtuali” (che poi tanto virtuali non sono) e` un dato di fatto, e mi viene da dire che tutto sommato se si limitassero a quelli non sarebbe poi un gran male.
Acquisire il controllo o anche solo il rendere “inefficaci” le infrastrutture di telecomunicazione del nemico, in fin dei conti e` sempre stato uno degli obiettivi chiave di molte battaglie. Poter intercettare le comunicazioni del nemico ha consentito di ribaltare il risultato di tante battaglie e di dare la vittoria ad uno dei contendenti (mi viene in mente la storia del Codice Enigma/Betchely Park nel corso della Seconda Guerra Mondiale). Oggi piu` che una stazione radio clandestina, nascosta in un granaio, conta un server contenente informazioni strategiche o, ancora peggio (o meglio, dipende da dove si guarda), che che consenta di accedere ai sistemi di controllo di una portaerei. A voler essere ottimisti, si potrebbe anche pensare alla sola volonta` di ottenere una copia illegale del software di gestione di sistemi tattici (difficilmente acquistabili al solito banchetto sotto casa), da poter utilizzare sui propri armamenti. Di motivi per sferrare un attacco, insomma, ce ne sarebbero a sufficienza. Quante sono le possibilita` che un attacco del genere vada a buon fine? Certo non tantissime, ma neanche un numero del tutto trascurabile. Le notizie che riguardano intrusioni andate a buon fine su vari sistemi del
DoD americano, del Pentagono, CIA, FBI, Esercito, Marina ed Aeronautica non sono cosi` rare, anche se (ovviamente) tutti ci tengono a precisare che quasi sempre (ho paura di quel “quasi”) le informazioni “rubate” sono poco significative (sara` la mia paranoia congenita, ma continuo a dubitare di queste rassicurazioni).
Altra utilissima fonte di informazioni sono i portatili rubati (nelle migliori delle ipotesi) o dimenticati(?!) in aeroporto da un agente segreto troppo impegnato a studiare le importanti notizie contenute nel paginone centrale dell’ultimo numero di Playboy! Sarebbe interessante fare una stima del numero di portatili “smarriti” qua e la per il mondo dalle diverse agenzie/enti governativi. In breve, la possibilita` che un attacco informatico sia stato sferrato e che sia andato a buon fine ci sono.

Ed ora, per par condicio, le ragioni del “no”.
La notizia data, di un tentativo di attacco, potrebbe essere essenzialmente pura e semplice propaganda. Non sarebbe la prima volta,anzi. Il motivo? Potrebbero essercene tanti, provo a buttare giu` le prime cose che mi vengono in mente. La necessita` dell’ammiraglio di turno di richiedere nuovi finanziamenti multimiliardari per allestire nuovi e piu` potenti sistemi di difesa digitale? Un incontro del presidente G.W. Bush nel quale serviva alzare il livello di rischio/attenzione sull’argomento? Certo, sono speculazioni, ma saranno poi tanto lontane dalla realta? Anche in questo caso solo i diretti interessati potrebbero darci (forse) una risposta.