Inglese tratto da: questa pagina
Italiano tratto da:  questa pagina
Data documento: 06-09-2016

A proactive approach to ensuring long-term cybersecurity
Un approccio proattivo per garantire una sicurezza informatica a lungo termine

To address the evolving cybersecurity threat, the EU-funded SHARCS and PQCRYPTO projects are developing the security paradigms, architectures and software needed to ensure our ICT systems are secure and trustworthy.
Per affrontare la crescente minaccia della sicurezza informatica, i progetti SHARCS e PQCRYPTO, finanziati dall’UE, stanno sviluppando paradigmi, architetture e software di sicurezza necessari per garantire che i nostri sistemi TIC siano sicuri e affidabili.

In today’s connected world, more and more of our day-to-day activities are dependent on cybersecurity.
Nell’odierno mondo interconnesso, le nostre attività quotidiane dipendono sempre più spesso dalla sicurezza informatica.

From banking to online shopping, telemedicine, mobile communication, cloud computing and the Internet of Things – society continues to put an increasing amount of sensitive and private information online.
Spaziando dal settore bancario fino allo shopping online, la telemedicina, la comunicazione mobile, il cloud computing e l’internet delle cose, la società continua a mettere online una crescente quantità di informazioni riservate e private.

With the always evolving threat of hacking, it is essential that the public and private sectors take a proactive approach to cybersecurity.
Con la minaccia della pirateria informatica in continua evoluzione, è essenziale che il settore pubblico e quello privato adottino un approccio proattivo alla sicurezza informatica.

To help accomplish this, two EU-funded projects, SHARCS and PQCRYPTO, are working to develop new security paradigms, architectures and software to ensure our ICT systems are secure and trustworthy.
Per poterci riuscire, due progetti finanziati dall’UE, SHARCS e PQCRYPTO, stanno lavorando per sviluppare nuovi paradigmi, architetture e software di sicurezza per accertarsi che i nostri sistemi TIC siano sicuri e affidabili.

>>>  Updated encryption methods needed
Occorrono metodi di crittografia aggiornati

Today, most of our online information is protected via either public-key algorithms (RSA), discrete-logarithm in finite fields or elliptic curves.
Al giorno d’oggi, la maggior parte delle nostre informazioni in rete è protetta mediante algoritmi a chiave pubblica (RSA), logaritmi discreti su campi finiti o curve ellittiche.

In practice, these systems typically provide enough variation to ensure the security of our online communications.
In pratica, questi sistemi generalmente forniscono una variazione sufficiente a garantire la sicurezza delle nostre comunicazioni in rete.

But as society moves towards the use of large, quantum computers, the viability of these systems will become obsolete.
Ma visto che la società si sta avvicinando all’uso dei grandi computer quantistici, l’applicabilità di questi sistemi diventerà obsoleta.

For example, confidential information like health records and national security secrets must come with a guaranteed level of security.
Ad esempio, le informazioni riservate come i documenti sanitari e i segreti della sicurezza nazionale devono arrivare con un livello di sicurezza garantito.

However, when stored on a quantum computer, the use of RSA or elliptic curve based encryption will no longer provide protection against hacking.
Tuttavia, quando sono memorizzate su un computer quantistico, l’uso di RSA o della crittografia basata su curve ellittiche non fornirà più protezione dalla pirateria informatica.

With the EU and national governments investing heavily in the development of quantum computers, SHARCS and PQCRYPTO researchers warn that society must act now to prepare itself for the cybersecurity consequences of the quantum computing era.
Con l’UE e i governi nazionali che investono fortemente nello sviluppo dei computer quantistici, i ricercatori di SHARCS e PQCRYPTO avvertono che la società deve agire adesso per prepararsi alle conseguenze della sicurezza informatica legate all’era dell’informatica quantistica.

Flip Feng Shui demonstrates vulnerabilities
Flip Feng Shui dimostra i punti deboli

To put the severity of this threat into perspective, project-affiliated hacking experts used a new, non-software bug-based attack technique to alter the memory of cloud-hosted virtual machines.
Per mettere in prospettiva la gravità di questa minaccia, gli esperti di pirateria informatica che collaborano con il progetto hanno usato una nuova tecnica di attacco non-software basata su bug per alterare la memoria di macchine virtuali ospitate sul cloud.

The technique, called Flip Feng Shui (FFS), lets the attacker rent a virtual machine on the same host as the victim, allowing them to crack the virtual machine’s keys or install malware without being noticed.
Questa tecnica, chiamata Flip Feng Shui (FFS), consente all’aggressore di noleggiare una macchina virtuale sullo stesso host della vittima, permettendogli di decodificare le chiavi della macchina virtuale o di installare un malware senza essere notato.

With this attack, not only can the hacker view and leak data, they can also modify it by using a hardware glitch.
Con questo attacco, i pirati informatici possono non solo vedere e far trapelare dei dati, ma possono anche modificare i dati usando un errore nell’hardware.

As a result, the server can be ordered to install malicious and unwanted software and allow logins by unauthorised users.
Di conseguenza, al server può essere ordinato di installare un software maligno e indesiderato e di consentire l’accesso a utenti non autorizzati.

In one FFS attack, researchers gained access to the host’s virtual machines by weakening OpenSSH public keys with just one bit.
In un attacco FFS, i ricercatori hanno ottenuto l’accesso alle macchine virtuali dell’host indebolendo le chiavi pubbliche OpenSSH con un solo bit.

In another attack, researchers adjusted the settings of the software management application apt by making minor changes to the URL where an apt downloads software.
In un altro attacco, i ricercatori hanno modificato le impostazioni dell’applicazione di gestione software apt apportando dei cambiamenti marginali all’URL dove una apt scarica il software.

From here, the server could install malware that was presented as a software update.
Da qui, il server potrebbe installare un malware che è stato presentato come un aggiornamento del software.

Mitigating tomorrow’s threats today
Mitigare oggi le minacce di domani

Clearly, more work needs to be done to ensure the security of our online information.
Chiaramente, si deve lavorare ancora per garantire la sicurezza delle nostre informazioni online.

In just this one test, researchers disproved the common belief that hardware bit flips have limited practical power.
Mediante questo unico test, i ricercatori hanno confutato l’opinione comune che i capovolgimenti dei bit dell’hardware abbiano un limitato potere pratico.

Armed with FFS primitives, researchers were able to mount a devastatingly powerful end-to-end attack – even in the complete absence of software vulnerabilities.
Armati con primitive di comunicazione FFS, i ricercatori sono stati in grado di lanciare un attacco end-to-end incredibilmente potente, persino nella completa assenza di punti deboli nel software.

To mitigate threats such as FFS and others, there is an ongoing need for new testing methods, hardware certification and adaptations of software needs.
Per mitigare le minacce come ad esempio FFS e altre, vi è una continua necessità di nuovi metodi di verifica, certificazione dell’hardware e adattamenti delle esigenze software.

For these reasons, the SHARCS project is designing, building and demonstrating secure-by-design applications and services capable of achieving end-to-end security for users.
Per queste ragioni, il progetto SHARCS sta progettando, costruendo e dimostrando delle applicazioni e dei servizi progettati per essere sicuri capaci di realizzare la sicurezza end-to-end per gli utenti.

At the same time, the PQCRYPTO project is working on cryptographic systems that are secure not only for today’s needs, but also against the long-term attacks presented by quantum computers.
Allo stesso tempo, il progetto PQCRYPTO sta lavorando a dei sistemi crittografici che sono sicuri non solo per le esigenze di oggi, ma anche contro gli attacchi a lungo termine presentati dai computer quantistici.

Together, these projects will provide a portfolio of high-security systems capable of answering the evolving cybersecurity needs of mobile devices, cloud computing and the Internet of Things.
Assieme, questi progetti forniranno una serie di sistemi ad alta sicurezza in grado di rispondere alle necessità in evoluzione della sicurezza informatica di dispositivi mobili, cloud computing e Internet delle cose.

For more information please see:
Per maggiori informazioni, consultare:

SHARCS project website
Sito web del progetto SHARCS

PQCRYPTO project website
Sito web del progetto PQCRYPTO

Source: Based on information from the projects and media reports
Fonte: Sulla base di informazioni diffuse dal progetto e segnalazioni dei media