lunedì 29 marzo 2010

IE bacato? No, patchato!

Oggi Microsoft ha rilasciato un advisory per far sapere che da domani sarà disponibile un aggiornamento per Internet Explorer 6 e 7 che risolve l'ormai celeberrima vulnerabilità 0day notificata tre settimane fa. A peggiorare la situazione e quindi consigliare a Microsoft di non attendere fino al 13 aprile, fatidico "secondo martedì del mese", c'è stata anche la situazione determinata dalla pubblicazione delle caratteristiche dell'exploit utilizzato per sfruttare la vulnerabilità. Il ricercatore israeliano Moshe Ben Abu (Trancer00t), basandosi sulle informazioni rilasciate da McAfee, aveva pubblicato lo scorso 11 marzo un exploit per la 0day di IE 6 e 7. Dopo qualche giorno si era registrato un incremento nel numero di attacchi che prima erano riservati principalmente a ben determinati targeted attacks.

Si chiude così il valzer delle patch dei browser che questo mese ha visto rilasciare software correttivo per Chrome, Firefox, Safari e ora Internet Explorer. Da mercoledì si ripartirà  con un altro giro... siete pronti?

sabato 27 marzo 2010

Gli advisory di sicurezza sono inutili?

Perché gli utenti non seguono quasi mai le regole che gli esperti di sicurezza porgono loro sotto forma di consigli o avvisi? L'utente medio è proprio così terribilmente irrazionale e insensibile da mettere a repentaglio la sua sicurezza e i suoi soldi? Oppure alla base di questi comportamenti ci sono delle ragioni che non sono ancora state completamente comprese?
Roger Halbheer, Chief Security Advisor Microsoft EMEA, suggerisce di far riferimento ad un interessante articolo pubblicato su Microsoft Research per tentare di darsi delle risposte.

Abbiamo raccolto il suo invito e le risposte sono arrivate. O per lo meno sono arrivate delle ipotesi plausibili, sgradevoli in parte, ma plausibili.

La tesi, un po' provocatoria, suggerita da Cormac Herley nel suo articolo è che il rifiuto degli utenti a seguire gli avvisi di sicurezza sia del tutto razionale da un punto di vista 'economico'. Gli avvisi di sicurezza li proteggono dai costi diretti degli attacchi, ma li obera di costi indiretti sotto forma di attività da svolgere. Infatti, guardando ai vari esempi di avvisi di sicurezza, si trova che la loro complessità è in crescita, ma i benefici sono in gran parte discutibili. Per esempio, gran parte dei consigli in materia di password non è aggiornato ed è poco efficace per affrontare le minacce attuali. Inoltre, quasi il 100% degli avvisi di errore sui certificati sembrano essere dei falsi positivi. Infine, se gli utenti non spendono nemmeno un minuto al giorno per leggere attentamente le URL per evitare il phishing, è perché il costo (in termini di tempo utente) è di due ordini di grandezza più grande di tutte le perdite dovute al phishing. La tesi di fondo dell'articolo è quindi che, normalmente, il trade-off costi-benefici per gli avvisi di sicurezza è semplicemente sfavorevole: agli utenti vengono offerti vantaggi troppo modesti ad un costo per loro troppo alto. 

Quindi, cosa si può fare? 

Primo, abbiamo bisogno di una migliore comprensione sui reali danni subiti dagli utenti. Non vi è stata sufficiente attenzione sul fatto che gli utenti rischiano di perdere soprattutto tempo, e non denaro se per caso sono vittime di un attacco. 
Secondo, bisogna prendere atto che l'educazione degli utenti è un costo a carico del complesso della popolazione e offre benefici solo alla frazione delle vittime. Così, il 'costo' di eventuali avvisi di sicurezza dovrebbe essere proporzionale al tasso di incidenza delle vittime. Quindi, la produzione di avvisi per minacce poco frequenti può essere difficile se non impossibile. 
Terzo, il ritiro degli avvisi obsoleti è necessario. 
Quarto, si devono dare gli avvisi di sicurezza con delle chiare indicazioni di priorità. Nel tentativo di difendere tutto si finisce per non difendere nulla. 
Quinto, dobbiamo valutare con rispetto il tempo degli utenti.

Basterà tutto questo per far aumentare la sensibilità dell'utente medio verso gli avvisi di sicurezza? Forse no. Ma sarà un primo passo.

giovedì 25 marzo 2010

Black Cloud 2 - I nuovi pericoli

Chi ha paura del lupo cattivo? 
Dato che avete compiuto tutti almeno 10 anni la risposta sarà: nessuno! 
Purtroppo, un po' di paura, il lupo ce la dovrebbe mettere. 
Se, infatti, la notizia (vedi il post "Nuvole nere e tempestose") che la potenza elaborativa e la banda a disposizione delle botnet ha raggiunto valori spaventosi non dovesse essere sufficiente, si aggiunge la valutazione di un ulteriore pericolo pubblicata da Franz- Stefan Gady su Foreign Policy e segnalata su Twitter da Arbornetworks
Questo studio si sofferma sulla nuova minaccia che viene dalla informatizzazione del continente africano. Infatti, i nuovi computer che si stanno attaccando in rete in Africa sono molto spesso preda di malware che li arruola in nuove e vecchie botnet. Infine, anche le connessioni ai backbone mondiali che da poco tempo collegano l'Africa, portano nuova banda anche a queste botnet che sono così in grado di scatenare attacchi su grande scala. Nell'articolo di Gady si legge: "Una botnet di un milione di host potrebbe prudenzialmente generare traffico sufficiente per mettere offline più aziende Fortune 500, scrive Jeffrey Carr nel suo libro Inside Cyber Warfare. "Una botnet di 10 milioni di host potrebbe paralizzare l'infrastruttura di rete di una grande nazione occidentale». Il continente africano, che ospita quasi 100 milioni di computer, sarebbe un obiettivo altamente appetibile per chi gestisce le botnet, con risultati devastanti."
Quasi quasi, il lupo fa un po' paura.

mercoledì 24 marzo 2010

Nuvole nere e tempestose

Ho trovato una serie di riflessioni molto interessanti su una nuova frontiera del Cloud Computing... quello malevolo. 
In particolare, ho trovato un'attenta analisi sulle caratteristiche della Cloud di Conficker fatta da Rodney Joffe, Senior Vice President presso Neustar e Direttore del Conficker Working Group. In un'intervista pubblicata sul blog Microsoft Tech, Robert Mullins pone a Joffe un'apparentemente semplice e innocua domanda: "Chi governa la più grande Cloud del mondo? Google? Abbastanza grande, ma no. Amazon? Tantissimi server, ma nemmeno vicino. Microsoft ? Sono solo all'inizio.

Tutti grandi nomi - ribadisce Joffe - ma la loro capacità impallidisce di fronte a quella della più grande Cloud del pianeta, la rete di computer controllati dal worm Conficker. Conficker, infatti, controlla 6,4 milioni sistemi di computer in 230 domini di primo livello su scala mondiale, oltre 18 milioni di CPU e 28 terabit al secondo di banda.

La più grande Cloud del pianeta è controllata da una vasta impresa criminale che usa quella botnet per inviare spam, hackerare computer, diffondere malware e rubare dati personali e denaro. Inoltre, proprio come i fornitori legittimi di servizi basati sulle Cloud, Conficker è disponibile in affitto ed è fruibile ovunque nel mondo. Gli 'utenti' possono scegliere la quantità di banda che vogliono, il tipo di sistema operativo che desiderano utilizzare e molto altro. I 'clienti' infine dispongono di una grande varietà di scelta nei servizi da erogare, che vanno dai servizi di attacco di tipo dDOS, all'invio di spam o alla più sofisticata esfiltrazione di dati."

Queste riflessioni mostrano come la molla del denaro e del guadagno sia in grado di muovere interessi che sono difficilmente arginabili. In questo caso, la forma di Cloud Service Provider è talmente flessibile e capace di erogare servizi custom che è diventato un paradigma anche nel burrascoso mondo del cybercrime.  


lunedì 22 marzo 2010

La sicurezza dei Plugin

I plugin sono delle estensioni che possono essere aggiunte ad alcuni software per aumentarne le funzionalità o renderne più divertente la fruizione. Molto spesso, inoltre, i plugin vengono utilizzati per personalizzare l'aspetto grafico di software altrimenti un po' troppo 'standard'. 
Quasi mai, purtroppo, si pensa alla sicurezza di questi codici. 
Sul blog di Cisco Shiva Persaud ha pubblicato un post molto interessante sulla sicurezza dei plugin. Ho voluto riproporne un estratto perchè ritengo che l'argomento sia trattato veramente in modo molto efficace e che possa essere preso a paradigma delle riflessioni che dovrebbero essere fatte da tutti gli utenti quando operano sulle loro postazioni.

"Ho pensato di condividere alcune cose da tenere a mente quando si tratta di decidere se un plugin è sicuro per l'installazione:

  • Cerca sul web per vedere se ci sono notizie circa dei problemi di sicurezza con il plugin che stai valutando. 
  • Non usare i plugin se non sono necessari. Seriamente, se non ne hai bisogno, non installarlo.
  • Utilizza i plugin che hanno un'ampia base di utenti. Questo aumenta le probabilità che il plugin subisca un ampio controllo, che migliora la qualità del plugin.
  • Utilizza i plugin che hanno una storia di patching di sicurezza. Ciò dimostra che gli autori del plugin prendono sul serio la sicurezza. 
  • Guarda con attenzione gli accordi con l'utente e le licenze che accompagnano i plugin. In particolare, presta attenzione alle condizioni sulla privacy. 
  • Utilizza plugin a cui hanno contribuito autori rinomati. 
  • In breve,  sii prudente quando si tratta di installare dei plugin."
Queste riflessioni sono la dimostrazione dell'atteggiamento mentale che dovremmo tutti tenere nelle interazioni con "l'esterno".

Per non continuare ad essere "the weakest link" .


domenica 21 marzo 2010

Securecloud 2010: come è andata finire?

Sono ormai passati quattro giorni dalla fine dei lavori della conferenza e si comincia a trovare un po' di materiale e qualche commento.

Tra le risorse in italiano si distingue per completezza e precisione l'articolo di Daniele Vitali, senior consultant di Spyke Reply pubblicato su Computerworld. Daniele Vitali, che ha partecipato ai lavori, analizza i vari interventi e  si sofferma anche su alcuni pareri espressi da alcuni partecipanti italiani alla conferenza.

Altro ottimo racconto di chi era tra i presenti alla conferenza si trova nel blog di Joaquim Anguas che sintetizza i lavori della conferenza in due post molto interessanti dedicati al giorno 1 e al giorno 2. Nelle conclusioni Anguas mette in evidenza che, a suo parere, il modello non sia ancora sufficientemente maturo, ma i fornitori (e alcuni clienti) non siano disposti a trattenersi fino a quando il servizio offerto migliori ad un livello accettabile.

Infine, a testimonianza della enorme attenzione al tema devo segnalare due nuovi eventi assolutamente degni di nota:


Se nei prossimi giorni sarà pubblicato altro materiale interessante ci torneremo sopra.

Skipfish, da Google uno scanner per le web application



Google, sul proprio blog dedicato alla sicurezza, ha annunciato di aver reso disponibile un nuovo strumento per migliorare la sicurezza delle applicazioni web. Questo tool, che è uno scanner di vulnerabilità per applicazioni web, è liberamente scaricabile anche se è attualmente in versione beta (come da approccio standard per Google).

Nel post di Google si legge: "Pensiamo che il progetto Skipfish sia interessante per alcuni motivi:
  • Alta velocità: scritto in C, altamente ottimizzato per l'HTTP e con un impegno minimo della CPU, lo strumento raggiunge facilmente 2.000 richieste al secondo
  • Facilità d'uso: Skipfish è dotato di funzioni euristiche per supportare una grande varietà di framework web e di siti basati su tecnologie miste, è dotato inoltre anche di capacità di apprendimento automatico, creazione di wordlist on-the-fly e completamento automatico delle form
  • Efficace logica di sicurezza: abbiamo incorporato controlli di sicurezza differenziali di alta qualità, a basso tasso di falsi positivi, in grado di mettere in evidenza una serie di difetti fini, compresi i blind injection vectors
Per scaricare lo scanner, si prega di visitare questa pagina; la documentazione dettagliata del progetto è disponibile qui."

Resta da vedere se questo strumento sarà interpretato dagli altri grandi produttori come un tentativo di entrare nel ricco mercato degli strumenti per garantire la sicurezza delle applicazioni Web oppure se sarà visto come un complemento open source ad un set di strumenti professionali di cui comunque le aziende dovranno dotarsi.

venerdì 19 marzo 2010

La realtà supera la fantasia... anche nel phishing!!

Mikko H. HyppönenChief Research Officer di F-secure Corporation ha segnalato sul suo account di Twitter, un caso veramente interessante... dove si invertono i ruoli e, un sito legittimo copia un sito di phishing. Se infatti qualcuno vi dicesse... c'è un sito di una banca che chiede oltre al numero di carta anche il PIN del vostro bancomat... tutti pensereste che si tratta di un tentativo di phishing... e fate bene!! Peccato che la Citi banking non la pensi come voi e che abbia pubblicato una pagina proprio con queste caratteristiche!! Visto che penso che la pagina in questione sarà rimossa quanto prima ve la ripropongo a futura memoria.

Fantastico no?

Tempi duri per i browser!

Quasi ogni giorno vengono scoperte e pubblicate notizie circa vulnerabilità in grado di far eseguire codice sui browser degli utenti. Mozilla Foundation ha comunicato nel suo blog che la vulnerabilità di Firefox, scoperta da Secunia il 18 febbraio, sarà risolta con la nuova versione 3.6.2 che verrà pubblicata il 30 marzo prossimo.

Un paio di giorni fa invece è stata rilasciata la nuova versione di Chrome, il browser di Google, che risolve molteplici vulnerabilità. Adesso non rimane che aspettare la patch che risolve la 0day di IE 6 e 7 (di prossimo rilascio anch'essa), e saremo pronti per un altro giro di giostra!!!

giovedì 18 marzo 2010

Il futuro sarà "Nuvoloso"... sicuramente

Sul roseo futuro del Cloud Computing ormai scommettono tutti. C'è chi addirittura si sbilancia e paragona la rivoluzione del Cloud a quella dell'avvento di Internet. Più o meno tutti, però, si pongono il problema della sicurezza delle Cloud. Perché, fare riferimento ad una infrastruttura, magari gestita da terzi, dove non sai dove sono i dati, chi, cosa e come li accede, quali sono le policy e le garanzie... può essere considerato un grande azzardo anche se fa risparmiare molti soldi.

E quindi, come abbiamo ricordato qualche giorno fa, si organizzano convegni tematici e non passa giorno che qualche autorevole esperto non proponga la sua visione del problema.

Personalmente ho trovato molto interessante la posizione espressa da Art Coviello, presidente di RSA, nel suo keynote durante la RSA Security Conference appena conclusa. Coviello invita a riproporre anche nel mondo del Cloud Computing le stesse policy sull'identità, sulle informazioni, sulle infrastrutture che ci sono nel mondo fisico e cominciare a trattare il problema della sicurezza partendo dalle basi: le persone, i processi e la tecnologia. Coviello inoltre ipotizza un percorso virtuoso verso il Cloud Computing, composto da quattro fasi ben definite, che le aziende possono intraprendere, realizzando vantaggi tangibili ad ogni passo.
Il percorso inizia con la virtualizzazione di infrastrutture non mission-critical come le infrastrutture di test e sviluppo e di sistemi e applicazioni a basso rischio. I requisiti di sicurezza sono relativamente pochi per questa fase, data la natura "non-critical" delle applicazioni, ma è in questa fase che le organizzazioni cominiciano ad acquisire competenze e skill con gli strumenti di virtualizzazione e iniziano il processo di "hardening" dell'infrastruttura virtuale. 
Nella seconda fase le organizzazioni virtualizzano le applicazioni business-critical. Qui l'infrastruttura deve diventare molto più scalabile ed elastica, con i requisiti di sicurezza che scalano in proporzione. Ed è a questo punto che le organizzazioni devono a spingere la sicurezza all'interno degli strati virtuali. 
Nella terza fase del percorso le organizzazioni cominciano a sviluppare veri e propri sistemi di Cloud Computing interni e a gestire le loro infrastrutture sotto forma di servizio. Per raggiungere quest'obiettivo le organizzazioni devono disporre di processi di Governance, Risk e Compliance, molto più maturi e che si estendano fino alle loro infrastrutture virtuali. 
Infine, nella quarta fase, le organizzazioni iniziano a esternalizzare le loro infrastrutture a fornitori esterni. A patto che i fornitori siano in grado di dimostrare la loro capacità di applicare in modo efficace le policy anche nella condizioni di gestione multi-dominio. Per mantenere il controllo di ciò che avviene nelle Cloud, l'obiettivo è di dotarsi di opportuni strumenti per generare un insieme di dati circa i fatti rilevanti che si verificano nelle infrastrutture e alimentare direttamente in un cruscotto che visualizzi in tempo reale lo stato di conformità. 

Questa visione positiva è importante perché solo con un approccio propositivo sarà possibile uscire dall'attuale stato di promesse per entrare in un mondo fatto di opportunità... da sfruttare in sicurezza.

mercoledì 17 marzo 2010

Cyber War: un evento possibile?

Da qualche tempo negli Stati Uniti si parla moltissimo di Cyber War. Eric Chabrow nel suo blog "The Public Eye" sul sito GovInfoSecurity, ha pubblicato degli interessanti post sul tema della Cyberwar citando e commentando le posizioni di eminenti personaggi dell'Amministrazione americana. 

Le posizioni delineate al momento sembrano essere queste.

Richard Clarke, l'ex consigliere alla cybersecurity della Casa Bianca, crede che America dovrebbe mettere in conto significativi contraccolpi da una potenziale guerra cibernetica. Clarke infatti, nell'introduzione al suo prossimo libro "Cyber War: The Next Threat to National Security and What to Do About It", scrive: "In una eventuale Cyber War il Paese è più a rischio di quanto non sia qualsiasi altra nazione. ... Lungi dall'essere una alternativa alla guerra convenzionale, la guerra informatica può effettivamente aumentare la probabilità di combattere in modo tradizionale con esplosivi, pallottole e missili.". Le parole di Clarke si associano all'avvertimento al Congresso di Michael McConnell, ex National Intelligence Director, quando ha testimoniato:  "Se oggi fossimo in presenza di una Cyber War, gli Stati Uniti avrebbero perso. Questo non perché non abbiamo persone di talento o una tecnologia all'avanguardia, ma perché semplicemente siamo i più dipendenti dalla rete e dunque i più vulnerabili. Inoltre, a livello nazionale, non abbiamo compiuto i passi necessari per la comprensione e la protezione cyberspazio ". 

Di opposto parere invece ad esempio,  il Coordinatore della Casa Bianca sulla Cybersecurity Howard Schmidt, che in una recente intervista ha respinto il concetto di una guerra cibernetica, sostenendo che gli Stati Uniti possono difendersi: "Come possiamo fronteggiare una massiccia cyber intrusione o un attacco di quelle dimensioni? Siamo molto più preparati ora che in passato." Infine, è da notare la recente presa di posizione di James Lewis, uno dei maggiori esperti governativi di sicurezza, che vede la Cyber War come un evento non probabile in quanto le capacità degli Stati Uniti nell'individuazione degli attaccanti e nella adeguata ritorsione giocano un ruolo equivalente a quello svolto dal deterrente nucleare all'epoca dell'equilibrio del terrore di passata memoria.

Resta comunque memorabile la considerazione fatta da Bruce Schneier nel 2007 "La Cyber War non è certamente un mito. Ma voi non l'avete ancora vista, nonostante gli attacchi contro l'Estonia. La Cyber war è guerra nel cyberspazio. E la guerra implica la morte e la distruzione di massa. Quando la vedrete, non avrete dubbi ".

E noi, siamo pronti?

lunedì 15 marzo 2010

MUMBLE - La responsible disclosure è davvero responsabile?

Un ricercatore israeliano ha pubblicato qualche giorno fa un exploit per la vulnerabilità di tipo 0day per IE 6 e 7 scoperta martedì scorso. Questa notizia mi ha fatto riflettere un po' su come vengono tradotti in pratica i concetti di "responsible disclosure" e "full disclosure".

Gli argomenti sono stranoti. Chi propende per la full disclosure sostiene che, mettere pressione ai produttori rivelando a tutti le informazioni che si hanno circa una vulnerabilità, consentirà di ottenere un risultato migliore e più veloce. Inoltre, tutti coloro che possono essere bersaglio di un'attività malevola causata dalla vulnerabilità potranno difendersi meglio e più consapevolmente se avranno accesso a tutte le informazioni. 
Chi invece è fautore della responsible o limited disclosure (con alcune differenze che qui non approfondisco) sostiene che, prima di rendere pubblici i dati più importanti e potenzialmente dannosi di una vulnerabilità, si deve dare il tempo ai produttori di intervenire e produrre un correttivo per la vulnerabilità stessa.

Bene, questi, grossomodo, i termini in gioco. 
Vediamo di calarli nella realtà di quello che è successo la settimana scorsa. 

Martedì, viene diffusa la notizia che è stata scoperta una vulnerabilità di tipo 0day (cioè senza alcuna patch) per IE 6 e 7, già attivamente sfruttata in alcuni attacchi mirati. Nel blog di McAfee esce la notizia "sanitizzata", come dicono loro. Le informazioni che inseriscono, tuttavia, consentono ad un ricercatore israeliano di individuare una fonte dell'attacco ancora attiva e di carpirne il codice. Dopo pochi minuti (necessari per riportare in chiaro il codice dell'attacco) l'exploit viene reso di pubblico dominio. Sabato Microsoft rilascia un tool per arginare il problema.

Apparentemente McAfee ha sposato la filosofia della limited disclosure e il ricercatore solitario invece quella della full disclosure. Abbiamo quindi assistito ad una serie di reprimende sullo sconsiderato che ha messo a repentaglio la sicurezza di molti utenti. Ma le cose stanno proprio così? Può essere solo frutto di un errore l'inserimento di dati che indirettamente consentono di avere accesso proprio a ciò che si voleva nascondere. Evidentemente no. 

Il problema per me è diverso.

Lo scenario attuale, dove molti soggetti si contendono il pubblico a suon di notizie e dettagli sempre più puntuali, inevitabilmente porta a situazioni come queste. Forse, sarebbe meglio mettersi tutti d'accordo prima su cosa si deve intendere per responsible disclosure. In questo senso ci dovrebbe essere un punto fermo a fine 2010 con il rilascio dello standard ISO/IEC 29147 che fissa appunto i termini della responsible disclosure. Certo è che, proseguire secondo uno schema che ha consentito un accesso ad informazioni ritenute critiche solo da parte di chi ha le conoscenze e le motivazioni necessarie, tipicamente un "cattivo", è un modo per mettere seriamente a repentaglio la sicurezza degli utenti, perché i vendor, apparentemente al sicuro sotto l'ombra della responsible disclosure, possono prendersela comoda, e i cattivi hanno tutte le informazioni necessarie.

Urge una riflessione perché, in questo frangente, credo che la full disclosure sia stata più responsabile della responsible. O no?

PS E' interessante notare che tutto questo sia avvenuto negli stessi giorni in cui il CISO dello stato della Pennsylvania è stato licenziato su due piedi per aver parlato di un incidente minore nel corso di un intervento alla RSA Conference. Senza peraltro rivelare nulla di compromettente.

Securecloud 2010: un evento dedicato alla sicurezza nel Cloud Computing

E' universalmente accettato che il Cloud Computing sia un fenomeno con cui fare i conti sempre più da vicino, questo approccio tuttavia anche se ci apre enormi possibilità, ci pone di fronte a grandi sfide soprattutto nel campo della sicurezza. Domani e dopodomani si terrà a Barcellona il SecureCloud 2010 che è un evento di approfondimento sulla Cloud Security organizzato da: ENISA (L'Agenzia di sicurezza informatica europes), Cloud Seucirty Alliance,  ISACA e IEEE. SecureCloud 2010 è il primo evento focalizzato in particolare sulle best practices allo stato dell'arte per promuovere la sicurezza, la privacy e la fiducia nel cloud computing.

SecureCloud 2010 sarà caratterizzato da presentazioni da parte di guru a livello mondiale provenienti dal mondo  dell'industria, del mondo accademico e da strutture governative. Tra i principali interventi spiccano i contributi di:
  • Pamela Jones Harbour, Commissario, US Federal Trade Commission, 
  • Dave Cullinane, CISO a eBay, Inc., e il presidente del consiglio del CSA, 
  • Udo Helmbrecht, direttore esecutivo di ENISA.
Nei prossimi giorni pubblicherò il materiale più interessante che verrà messo a disposizione in rete. Intanto chi volesse approfondire l'argomento può fare riferimento alla pagina "Report e Withe Paper" e scaricare il documento "Top Threats to Cloud Computing v1.0"

sabato 13 marzo 2010

"Microsoft Fix it": un workaround per la zeroday di IE

Microsoft, oltre a consigliare a tutti di migrare il prima possibile a IE 8 (versione non affetta dalla vulnerabilità CVE-2010-0806) ha ribadito che sta lavorando ad una patch per le precedenti versioni di IE che invece risultano vulnerabili. Nel frattempo, per non lasciare gli utenti in balia di possibili (e già constatati attacchi) ha rilasciato un workaround per limitare lo sfruttamento della vulnerabilità di tipo 0day su IE 6 e IE7. 


Il workaround, sotto forma di database di compatibilità delle applicazioni, si chiama "Fix it" ed è pubblicato su una apposita pagina del supporto Microsoft.


Microsoft a proposito del workaround fa sapere che: 
                                          

Fonte Microsoft Fix it - Punto 1-

"È stato creato un database di compatibilità delle applicazioni che consentirà di attivare la funzione Protezione esecuzione programmi per tutte le versioni di Internet Explorer. Questo database non è necessario se si utilizza Internet Explorer 8 su Windows XP Service Pack 3 (SP3) o su Windows Vista SP1 o versioni successive in quanto, per impostazione predefinita, Internet Explorer 8 attiva la funzione Protezione esecuzione programmi su queste piattaforme.".

venerdì 12 marzo 2010

Una rete di Proxypot per conoscere il nemico

Il Web Application Security Consortium (Webappsec) ha pubblicato ieri un aggiornamento sull'interessante progetto "Distributed Open Proxy Honeypots". Il progetto parte dalla considerazione che, dal punto di vista del reperimento di informazioni le honeypot standard e le tecnologie honeynet finora non hanno dato molti frutti per quanto riguarda gli attacchi alle applicazioni web. Le Web-honeypot non sono state un successo come quelle per i sistemi operativi o quelle per SMTP, a causa della loro scarsa appetibilità per gli attaccanti. La distribuzione di un sito web honeypot che sia in qualche modo interessante per degli attaccanti è un processo molto lungo e complicato. E non ha mai portato a molti risultati utili.

Gli autori di questo progetto hanno scelto di combattere gli attaccanti con uno degli strumenti più amati dagli attaccanti stessi - l'Open Proxy. Invece di essere il bersaglio degli attacchi, la scelta è caduta sull'essere un mezzo trasmissivo per i dati di attacco al fine di raccogliere importanti informazioni. 
Realizzando quindi una rete di Open Proxy appositamente configurati (anche detti proxypot), si perseguirà l'obiettivo di ottenere uno scenario attendibile del traffico malevolo che attraversa questi sistemi. I sistemi honeypot condurranno un'analisi in tempo reale sul traffico HTTP per classificare e catalogare le richieste nelle classifiche d'attacco definite dal Web Security Threat Classification e segnalare tutti i dati registrati in un unico repository centralizzato.

Guide di sicurezza: le reti wireless

Lo US-CERT pubblica una serie di Secuirty Tip al fine sensibilizzare gli utenti e far comprendere il corretto utilizzo delle tecnologie informatiche. Sul sito del CERT americano si trova l'archivio con tutti i suggerimenti già pubblicati. Mi è da sempre sembrata un'iniziativa veramente importante per cui ho deciso di riprendere alcuni dei contenuti pubblicati di volta in volta e farne una versione in italiano. Ovviamente senza alcuna pretesa di ufficialità. Inoltre, sempre in America, la Federal Trade Commission, in collaborazione con altri, ha realizzato il sito OnGuard Online che ha molti contenuti interessanti.

Questa guida è basata sui contenuti della Cyber Security Tip ST05-003 - Securing Wireless Network e della Wireless Security di OnGuard Online

"Le reti wireless stanno diventando sempre più popolari, ma introducono rischi per la sicurezza aggiuntivi. Se si dispone di una rete wireless, bisogna assicurarsi di aver adottato le opportune precauzioni per proteggere le proprie informazioni.


Cosa si può fare per ridurre al minimo i rischi per la vostra rete wireless?

Cambio della password di default - La maggior parte dei dispositivi di rete, compresi gli hotspot wireless sono pre-configurati con password di amministratore di default per semplificare le attività  di installazione. Queste password predefinite sono facilmente reperibili online, perciò non forniscono alcuna protezione. Cambiare le password di default rende più difficile per gli eventuali attaccanti di ottenere il controllo del dispositivo
Limitare l'accesso - solo agli utenti autorizzati deve essere consentito accedere alla rete. Ogni scheda di rete ha un indirizzo MAC (Media Access Control). È possibile limitare o consentire l'accesso alla rete filtrando gli indirizzi MAC. Bisogna consultare la documentazione utente degli apparati per ottenere specifiche informazioni su come attivare queste funzionalità. Esistono anche diverse tecnologie che richiedono agli utenti wireless di autenticarsi prima di accedere alla rete.
Crittografare i dati sulla vostra rete - La cifratura impedisce che qualcuno all'interno della copertura della rete possa avere accesso ai dati. WEP (Wired Equivalent Privacy) e WPA (Wi-Fi Protected Access), sono protocolli di crittografia supportati dai dispositivi wireless. Tuttavia, WEP ha una serie di problemi di sicurezza che lo rendono meno efficace di WPA, sono quindi da privilegiare i dispositivi che supportano lo standard WPA. 
Proteggete il vostro SSID - Per evitare che estranei possano facilmente accedere alla rete, si deve evitare di rendere pubblico il proprio SSID. Consultare la documentazione utente per vedere se è possibile modificare il proprio SSID per renderlo più difficile da indovinare.
Installare un firewall - Anche se è una buona pratica di sicurezza installare un firewall sulla vostra rete, si dovrebbe installare anche un firewall direttamente sui dispositivi connessi alla rete wireless (Host based firewall). Eventuali attaccanti che possono accedere alla vostra rete wireless potrebbero essere in grado di aggirare il firewall di rete ", un "host based firewall" aggiungerà uno strato di protezione per i dati sul computer.
Aggiornare il software anti-virus - È possibile ridurre il danno che eventuali attaccanti possono essere in grado di infliggere ai compute connessi alla rete wireless installando e aggiornando un software anti-virus.Molti antivirus hanno anche funzioni aggiuntive che possono proteggere dai Trojan."


Spegnere il router wireless quando non serve - E' una buona pratica ricordarsi di non tenere sempre acceso il proprio router wireless, perché dare la possibilità di avere tempo a disposizione per pianificare e tentare tutti gli attacchi possibili?


Dopo tante chiacchiere, ecco un divertente giochino (in inglese) per verificare la nostra capacità di evitare gli attacchi alla nostra rete wireless.




Invasion of the Wireless Haunters

Alla prossima.

giovedì 11 marzo 2010

Un caro saluto a SecurityFocus

Un pezzo della nostra conoscenza se ne va...


Unsafebits riporta la notizia di un annuncio di Symantec. La maggior parte dei contenuti di SecurityFocus il sito che per anni ha distribuito informazioni di sicurezza diventerà accessibile solo attraverso i servizi a pagamento di Symantec. Direttamente tramite SecurityFocus rimarranno accessibili solo Bugtraq e il DB delle vulnerabilità.


Ecco il comunicato apparso sul sito di Symantec...

"Beginning March 15, 2010 SecurityFocus will begin a transition of its content to Symantec Connect. As part of its continued commitment to the community, all of SecurityFocus’ mailing lists including Bugtraq and its Vulnerability Database will remain online at www.securityfocus.com There will not be any changes to any of the list charters or policies and the same teams who have moderated list traffic will continue to do so. The vulnerability database will continue to be updated and made available as it is currently. DeepSight and other security intelligence related offerings will remain unchanged while Infocus articles, whitepapers, and other SecurityFocus content will be available off of the main Symantec website in the coming months."

Attacchi ai siti Web: le motivazioni e le tecniche

BarracudaLabs ha pubblicato ieri un interessante report sulle tendenze della criminalità informatica nel 2009. Da questo report si possono estrapolare alcune riflessioni e alcuni dati che aiutano a capire meglio fenomeni altrimenti poco comprensibili.


Come esempio si cita il caso dell'attacco, finalizzato all'inserimento di malware sul sito Web dell'università dell'Arkansas. In questo caso i visitatori di una specifica pagina non indicizzata del sito venivano fatti bersaglio dell'attività di un falso antivirus che faceva loro credere il loro PC era infetto; dopo averli convinti a scaricare questo fantomatico AV, il gioco era fatto. Il computer era veramente infetto.


La chiave di questo attacco era triplice:

  • l'attacco al sito, che ha portato alla creazione della pagina con incorporato il malware;
  • l'utilizzo di sofisticate tecniche di posizionamento e ranking della pagina nei motori di ricerca (vedi figura sottostante)
  • lo sfruttamento della credibilità del sito al fine di portare a termine l'attacco di social engineering ai poveri malcapitati.


Come si vede un attacco ben orchestrato, ben condotto e ricco di competenze. 


Questo rappresenta un esempio classico di come i siti Web istituzionali, come ad esempio il sito di un'università americana costituiscano dei bersagli preferenziali proprio a causa della loro grande credibilità che induce gli utenti ad "abbassare la guardia". Cioè un sito Web di per sé non molto particolarmente appetibile diventa un bersaglio privilegiato in quanto funzionale ad un secondo attacco verso gli utenti.

Una variante di questo attacco vede l'inserimento di piccole porzioni di codice all'interno di siti altrimenti legittimi. Queste porzioni di codice tentano di sfruttare, nella totale inconsapevolezza dell'utente, alcune vulnerabilità presenti nella sua macchina. BarracudaLabs stila una classifica delle vulnerabilità più gettonate da questi kit d'attacco:

1. Adobe Malicious PDF 
2.Microsoft Internet Explorer Memory Corruption
3.Adobe Flash Player Integer Overflow
4.Microsoft Video DirectShow ActiveX Control Vulnerability
5.Microsoft Office Web Components ActiveX control Heap Spray


Questo è l'inquietante scenario alla base dell'ondata di attacchi di tipo SQL-Injecion che ha caratterizzato il 2009.

mercoledì 10 marzo 2010

Advanced Persistent Threat: che fare?

Dopo il famigerato "Aurora attack" che ha colpito Google ad inizio anno, si fa un gran parlare di Advanced Persistent Threat (APT). La maggior parte delle volte a sproposito e con fini puramente di marketing. Oggi invece ho trovato un bellissimo articolo nel blog di Sourcefire che tratta proprio di questo tema. 

Provo a sintetizzare alcuni concetti che mi hanno colpito.

Matt Onley nel suo post propone innanzitutto una definizione abbastanza innovativa di APT: " Ci sono delle persone più brave di te, che hanno più risorse di te, e stanno arrivando proprio per te. Buona fortuna."


I punti che vengono messi in evidenza per attuare una strategia mitigante per questo tipo di attacchi sono, partendo dalle basi:
  • Il patching, prima sono deployati gli aggiornamenti e meglio è
  • La conoscenza dell'ambiente operativo, più è approfondita e meglio è
  • Le policy di utilizzo delle risorse, più sono restrittive e fatte rispettare e meglio è
  • L'aggiornamento delle conoscenze, più ci si tiene allo stato dell'arte e meglio è
  • La costruzione di un team, più è focalizzato, determinato e competente e meglio è
...... e ricordarsi sempre che... la tecnologia non ci salverà. Lo faranno le persone.

MUMBLE - Mala tempora currunt

Con questo post, inizio una serie di riflessioni su tematiche di sicurezza che hanno stimolato la mia curiosità.

Alcune notizie, infatti, si prestano a essere prese a paradigma di certi fenomeni e quindi scatenano la necessità di fermarsi a riflettere per capirle meglio.
D'ora in poi quindi tutti i post che inizio con il fatidico MUMBLE indicheranno una mia riflessione. Benvenuti, ovviamente, tutti i commenti.

Veniamo al sodo.

Ieri, alcune notizie mi hanno colpito particolarmente, perchè messe una di fila all'altra prendono un sapore ed un significato del tutto diverso.
Le tre notizie sono:
Queste tre notizie, fanno capire che siamo alla soglia di alcuni cambiamenti, per noi italiani, epocali. Siamo un paese relativamente giovane e immaturo dal punto di vista informatico, le iniziative di e-gov, e-commerce e tutto quanto comincia con "e-" sono ancora poco diffuse tra la popolazione e stiamo faticosamente imboccando un percorso di cambiamento delle nostre abitudini. Dal punto di vista informatico ciò che negli Stati Uniti, ad esempio, è avvenuto cinque o sei anni fa, sta succedendo ora da noi. Eppure dovremo confrontarci con una criminalità su Internet che sta diventando estremamente aggressiva e pervasiva.
Al momento in Italia, non solo i singoli, sono lasciati soli e senza strumenti ma anche molte istituzioni pubbliche e private hanno armi assolutamente spuntate per fare fronte a questi fenomeni.

Negli Stati Uniti ci sono almeno una decina di istituzioni pubbliche che hanno come compito specifico quello di occuparsi della sicurezza informatica dei cittadini e del sistema paese in generale. Noi abbiamo molto poco.
Però i nostri soldi sono ugualmente apprezzati da chi vuole vivere di criminalità informatica.

Speriamo di non diventare una riserva di caccia per i "cattivi".

martedì 9 marzo 2010

Zeroday su Internet Explorer 6 e 7

Secunia e Vupen hanno pubblicato dei report circa una nuova vulnerabilità di tipo 0day in Internet Explorer 6 e 7.

CVE: CVE-2010-0806 Gravità: Estremamente critica

Descrizione
Una vulnerabilità è stata identificata in MS IE, che può essere sfruttata da attaccanti remoti per compromettere sistemi vulnerabili. Questo problema è causato un errore di tipo "user-after-free" nel modulo "iepeers.dll" quando processa alcuni tipi di dati. Un attaccante può far eseguire codice arbitrario sul sitema di un utente solamente facendogli visitare una pagina web appositamente predisposta.

Software vulnerabile
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
VUPEN ha confermato che la vulnerabilità è sfruttabile anche su sistemi XP SP3 pienamente patchati che utilizzano IE 7.

Nota: Questa vulnerabilità è stata sfruttata in alcuni "targeted attacks".

Soluzione
Al momento non sono state rilasciate patch da parte di Microsoft
Come workaround si può configurare il livello di sicurezza della zona Intranet di IE pari a "Alto" al fine di bloccare i controlli gli ActiveX e gli Script.

Rilasciate le patch di Microsoft

Come ogni secondo martedì del mese, Microsoft ha rilasciato i consueti aggiornamenti di sicurezza mensili. Tutto il mondo ne parla e, per adesso, non ho informazioni particolari o esclusive per cui mi limito a citare i bollettini prodotti.

MS10-016
Vulnerability in Windows Movie Maker Could Allow Remote Code Execution (975561)

MS10-017
Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (980150)

Entrambi gli aggiornamenti sono stati classificati da Microsoft come "Importanti".

Domani ci saranno sicuramente più notizie.

Costruire una Botnet... non ha prezzo!!

SC Magazine riporta la notizia che, secondo una ricerca di Cisco presentata alla conferenza RSA 2010, bastano un po 'di knowhow e po' di soldi per costruire una botnet pienamente funzionale.
Infatti una botnet che esegue il malware ZeuS potrebbe essere costruita per poco più di $ 2.500.

Facendo un pochino il verso ad una nota pubblicità di un circuito di carte di credito si può dire:
  • una versione aggiornata di Zeus, $ 700
  • l'exploit per installare il malware, $ 800
  • ottenere il controllo di un server, $ 300
  • assumere e mantenere affiliati per indirizzare il traffico verso i siti di attacco, $ 700
  • utilizzare dei "muli" per tramutare le informazioni in denaro sonante, solo una piccola percentuale...
realizzare una botnet con Zeus... non ha prezzo!

Tornando seri, Stern e Peterson, i ricercatori di Cisco che hanno presentato lo studio, ritengono che questo approccio sia stato recentemente usato per rubare $ 415.000 dalla Bullitt County treasury in Kentucky. Infatti, un attaccante ha installato Zeus sul PC del tesoriere ed ha avuto accesso ai conti che la contea utilizza per gli stipendi. I fondi rubati sono stati poi trasferiti attraverso 43 diversi conti correnti appartenenti a dei "muli"e inviati in Ucraina.

Per prevenire simili attacchi, secondo i ricercatori, si possono utilizzare comuni misure di sicurezza quali il monitoraggio del traffico, il costante aggiornamento dei sistemi e l'educazione degli utenti sugli attacchi basati sul social engineering.

Nuova versione di Apache





Il CERT-SPC ha rilasciato un nuovo bollettino di sicurezza relativo ad Apache.
"Apache ha rilasciato la versione 2.2.15 del proprio HTTP Server che correggere molteplici vulnerabilità. In particolare la nuova versione implementa la versione aggiornata (0.9.8m) di OpenSSL library precedentemente interessata dalla vulnerabilità CVE-2009-3555. Al momento non è disponibile l'elenco completo degli aggiornamenti di sicurezza e delle migliorie introdotte con la nuova versione di HTTP Server. Si raccomanda, tuttavia, gli utenti di aggiornare appena possibile alla nuova versione. Inoltre, risulta disponibile in Rete un exploit allo stato Proof-of-Concept (PoF) che interessa il modulo mod_isap della versione 2.2.14 di Apache HTTP Server. Tale vulnerabilità è corretta nella versione 2.2.15."
Le vulnerabilità corrette possono essere approfondite alla URL http://httpd.apache.org/security/vulnerabilities_22.html
Altre informazioni, invece possono essere trovate su: http://secunia.com/advisories/38776/ e http://www.vupen.com/english/advisories/2010/0554


Si comincia!!

Domanda: Perché il blog si chiama "Punto 1"?
Risposta: Dipende dal mio bisogno di sistemare i pensieri e le informazioni in modo razionale per poi poter prendere delle decisioni anche sulla base dell'istinto. Sento sempre forte la necessità di ordinare la mia conoscenza e quindi spesso comincio un discorso con il fatidico Punto 1.

D: Perchè un blog sulla sicurezza informatica?
R: Punto 1 ;-))), perché, per lavoro, vengo in contatto con moltissime informazioni sulla sicurezza che, a volte, riesco ad utilizzare compiutamente mentre la maggior parte rimangono appese a delle intenzioni o semplicemente non si traducono in comunicazioni istituzionali all'interno del nostro CERT. Creare un blog con queste informazioni mi sembrava un modo utile per ordinare (per me e per altri) questo insieme di notizie e farlo diventare una base di conoscenza condivisa. E poi perché, in fondo, tutto questo mi diverte.

D: Che temi tratterà Punto 1?
R: Come accennavo prima, tratterà di tematiche legate alla sicurezza informatica, soprattutto legata ai temi della prevenzione e gestione degli incidenti informatici che rappresentano la grande parte del mio lavoro. Poi mano mano che il blog crescerà... vedremo.

D: Che rapporto vorresti con chi legge questo blog?
R: Mi piacerebbe davvero tanto che questo blog diventi un luogo di scambio di idee e di opinioni. E' per questo che ho scelto di chiamarlo "Conversazioni sulla sicurezza informatica"... perché spero che, con il tempo, si aggiungano altre voci e altri pensieri.

http://www.wikio.it