mercoledì 30 giugno 2010

E ora... la parola al Garante Italiano

Oggi è stata presentata la Relazione Annuale sull'attività svolta dall'Autorità Garante per la protezione dei dati personali nel corso del 2009, tredicesimo anno di attività.

L’attenzione del Garante italiano si è principalmente fissata su:
- la tutela dei minori
- il controllo dei lavoratori
- le nuove tecnologie a fini di sicurezza
- le banche dati del Dna
- il corretto rapporto tra diritto di cronaca e dignità delle persone
- il trasferimento dei dati all’estero
- il fenomeno dei Social network e dei nuovi servizi Internet
- le telefonate pubblicitarie indesiderate
- i sistemi di videosorveglianza.

L'Autorità ha ricordato che, nel 2009, ha adottato circa 600 provvedimenti collegiali, ha dato risposta a circa 4000 tra quesiti, reclami e segnalazioni, ha reso 18 pareri al Governo e al Parlamento e ha effettuato oltre 400 ispezioni.

Sono state infine approvate due importanti Linee guida sul Fascicolo sanitario elettronico e sui referti on line.

Mi sembra inoltre rilevante notare che l'Autorità ha svolto un'importante attività a livello internazionale nel Gruppo di lavoro comune delle Autorità di protezione dati europee (WP29) che si è occupato di Social network, di motori di ricerca, di nuove regole per le comunicazioni elettroniche e dell'utilizzo dei dati Swift sulle transazioni finanziarie effettuato negli Usa per fini di lotta al terrorismo.

Nel comunicato stampa si legge inoltre che il Garante italiano è stata l’unica Autorità di protezione dati presente alla Conferenza sul Cybercrime organizzata nel 2010 dal Consiglio di Europa.
E qui, su questa notazione, scatta una riflessione su quest'ennesima anomalia italiana. Infatti, nel nostro paese, la privacy ha avuto un ruolo di traino (meritorio, ma forse eccessivo) per la sicurezza dei dati che ha portato il Garante, nel tempo, a colmare un oggettivo "buco" istituzionale. 

Personalmente, mi auguro (e auguro anche al nostro paese) che questa anomalia sia presto "normalizzata" con la creazione di un'istituzione che abbia come scopo primario la sicurezza dei dati non personali e l'armonizzazione delle politiche italiane per la sicurezza in rete.

martedì 29 giugno 2010

Adobe Reader e Acrobat: ecco le patch

Dopo aver recentemente patchato Flash Player, Adobe prosegue il suo impegno nel migliorare i propri prodotti e annuncia di aver rilasciato anticipatamente una versione aggiornata di Reader e Acrobat. Diverse vulnerabilità critiche infatti erano state individuate in Adobe Reader 9.3.2 (e versioni precedenti) e Adobe Acrobat 9.3.2 (e versioni precedenti) per Windows, Macintosh e UNIX. Queste vulnerabilità, (tra cui l'ormai celebre CVE-2010-1297 discussa nel Security Advisory APSA10-01), potrebbero causare il blocco dell'applicazione e consentire ad eventuali attaccanti di prendere il controllo del sistema vulnerabile.

Adobe ha inoltre dichiarato di aver anticipato il rilascio previsto, allo scopo di fornire degli adeguati strumenti di protezione ai propri clienti. Per questa ragione, il 13 luglio 2010 data prevista per gli aggiornamenti periodici, Adobe non rilascerà altre patch per Adobe Reader e Adobe Acrobat. 
Il prossimo aggiornamento trimestrale è quindi regolarmente previsto per il 12 Ottobre 2010.

Ovviamente Adobe nel proprio bollettino di sicurezza consiglia tutti gli utenti di aggiornare i propri software all'ultima versione (Adobe Reader 9.3.3 e Adobe Acrobat 9.3.3) rilasciata oggi che risolve ben 17 vulnerabilità.

Nel post sul blog di Adobe in cui si commenta il rilascio odierno, si menziona inoltre il lavoro del ricercatore Didier Stevens che ha messo in evidenza una delle vulnerabilità più pericolose (PDF "/ Launch") che può essere utilizzata per attacchi di social engineering. 

Anche questa vulnerabilità è stata patchata in questo rilascio.

lunedì 28 giugno 2010

Il rapporto sull'attività del Garante Privacy svizzero

E' stato pubblicato oggi il 17° Rapporto Annuale delle attività svolte  dall’"Incaricato Federale della Protezione dei Dati e della Trasparenza" (IFPDT), il Garante Privacy svizzero. Come è possibile evincere dal documento di sintesi che è stato diffuso, l'IFPDT si è particolarmente concentrato sulla sensibilizzazione dei bambini e degli adolescenti nei confronti della protezione dei dati e si è occupato fra l’altro:
- di obbligatorietà della rilevazione sulle forze di lavoro in Svizzera (RIFOS), 
- delle richieste di pubblicazione online dei nomi dei pirati della strada, 
- della controversia sui servizi online come Google Street View,
- di accertamenti presso una società che offre esami genetici,
- della legalità delle riprese video con ricognitori telecomandati, 
- di esaminare la proporzionalità del trattamento dei dati sulla solvibilità, 
- della trasmissione di dati a terzi da parte delle associazioni a scopi di marketing. 

Mi è sembrata inoltre di particolare interesse la notizia che, dopo la revisione della legge sulla protezione dei dati, in vigore dal 2008, se le imprese nominano un responsabile per la protezione dei dati e ne informano l’Incaricato Federale, non debbano più notificare le loro collezioni di dati. I requisiti minimi in merito alla posizione e all’idoneità specialistica del responsabile sono definiti dall’IFPDT nelle spiegazioni sul responsabile aziendale per la protezione dei dati. In questo caso, in Italia, sono diverse legislature che si discute di istituire un albo relativo alla figura del Responsabile della Sicurezza Aziendale, senza peraltro riuscire ad approvare una norma in tal senso.

Altro punto di stretta attualità mi è sembrato quello relativo all’ambito del progetto di revisione della legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni, in questo caso l’IFPDT ha criticato anche il trattamento non trasparente del diritto d’informazione e i dati insufficienti sull’efficacia dei programmi spyware che potrebbero essere installati sui computer degli "intercettati". Ha inoltre chiesto di circoscrivere chiaramente la cerchia di persone alla quale la legge si applica.

Il prossimo 30 giugno ci sarà la presentazione del Rapporto Annuale del Garante Privacy italiano... vedremo quali saranno i temi principali.

sabato 26 giugno 2010

Il CyberZar e le identità nel Cyberspazio

Ieri, Howard Schmidt, il Cyberzar americano, ha pubblicato un post sul blog della Casa Bianca per lanciare la National Strategy for Trusted Identities in Cyberspace (NSTIC) e pubblicizzare il sito su cui si può scaricare la bozza di questo documento e proporre idee e suggerimenti.

Prima di entrare nel merito della notizia, vorrei puntualizzare alcune "cosucce"... 1) la Casa Bianca ha un blog ufficiale, anzi no... ne ha 11, tematici, 2) negli Stati Uniti è stato nominato un Cyberzar, 3) questo signore (un po' discusso per la verità) si occupa, tra le altre cose, di strategie sulla gestione delle identità in rete, 4) per lanciare una bozza di strategia è stato realizzato un sito, 5) si cerca di coinvolgere tutti gli stakeholder attraverso un richiesta di idee e suggerimenti.

Non notate una certa distanza dalle "cosucce" nostrane in materia di rete??? io si! L'unica iniziativa paragonabile mi sembra la richiesta di idee e suggerimenti attuata dal Garante Privacy prima del varo della norma sugli amministratori di sistema. Per il resto, a me, sembra un altro mondo.

Bene veniamo allo specifico... Howard Schmidt parte dalla considerazione che il cyberspazio è diventato una componente indispensabile della vita quotidiana di tutti gli Americani (sic!) e che però non tutti i componenti di questa tecnologia hanno tenuto il passo con il vertiginoso ritmo di crescita dei servizi erogati. Privacy e sicurezza richiedono una maggiore attenzione e, per questo motivo, si deve compiere un passo in avanti attraverso il progetto NSTIC che è stato sviluppato in collaborazione con alcune agenzie governative chiave, il mondo dell'impresa e i sostenitori della privacy.

Il risultato è un progetto per ridurre le vulnerabilità e migliorare la tutela della privacy on-line attraverso l'utilizzo di identità digitali affidabili. Realizzando di questo progetto, non sarà più necessario ricordare un elenco (ormai troppo lungo) di nomi utente e password (sempre troppo poco robuste) per accedere ai vari servizi online, ma sarà possibile utilizzare una smart card di identità o un certificato digitale sul proprio telefono cellulare, erogati da una varietà di fornitori di servizi pubblici e privati. L'altro concetto chiave di questa strategia è che l'ecosistema delle identità sarà "user-centrico", il che significa che sarà l'utente ad avere un maggiore controllo delle informazioni private che utilizza per autenticarsi online, e, in generale, non dovrà rivelare più di quanto sia necessario allo specifico scopo.

Non ho ancora avuto modo di leggere il documento, ma dal lancio mi sembra decisamente interessante (anche se mi ricorda molto l'approccio U-Prove di Microsoft). 

Nei prossimi giorni vi farò sapere di più...

venerdì 25 giugno 2010

MUMBLE - Chi ha paura del DDoS?

Il MUMBLE di oggi parte da una serie di riflessioni su quelli che potrebbero essere gli scenari di attacco più temibili nel prossimo futuro.

Gli attacchi di Denial of Service distribuito (DDoS) sono attacchi che hanno radici abbastanza datate ma, recentemente (e, per quello che riesco ad immaginare, nel prossimo futuro ancora di più), sono tornati di grande attualità.

L'obiettivo di questi attacchi, come tutti sanno, è quello di negare un servizio Internet, quindi, ad esempio, far sì che un sito diventi irraggiungibile. La tecnica principale con la quale vengono portati a termine questi attacchi è quella di far partire una grande massa di richieste verso un determinato obiettivo, quindi, oltrepassata la capacità di risposta del server bersaglio, si otterrà il risultato di impedire l'accesso a quella determinata risorsa. Se poi le connessioni sono veramente molte si potrà anche saturare la banda trasmissiva che collega alla rete il target dell'attacco o addirittura il backbone del provider.

Questa, in estrema sintesi, la teoria. 

La pratica vede uno strumento in grande espansione a disposizione di chi vuole portare questo tipo di attacchi... le botnet. Queste reti di computer infetti, rispondendo ai comandi dei criminali che le governano, sono lo strumento ideale per portare questo tipo di attacchi. Infatti, sono costituite nella maggioranza dei casi da molte migliaia di computer (ci sono botnet che superano il milione di zombie) che sono, a volte, anche molto distribuiti dal punto di vista geografico e possono portare attacchi coordinati verso qualunque target.

E le possibilità di difendersi da questi attacchi sono abbastanza poche. 

Se i computer che fanno le richieste sono pochi (e non è il caso delle botnet) si possono bloccare gli indirizzi IP degli attaccanti, ma se l'attacco è fortemente distribuito o ci aiuta il provider (se è attrezzato per farlo e abbiamo precedentemente provveduto agli strumenti contrattuali e tecnici) oppure siamo quasi del tutto impotenti.

Le attuali botnet sono potenzialmente  in grado di mettere in ginocchio qualsiasi risorsa Internet.

Fino ad oggi gli attacchi di dDOS che sono saliti alla ribalta delle cronoche sono essenzialmente di due tipi:
- le estorsioni verso soggetti privati
- le proteste contro alcuni governi.

I primi, sono stati portati da criminali che chiedono a società che hanno su Internet il proprio business, di pagare per evitare che le loro risorse rimangano irraggiungibili con gravi danni diretti e d'immagine.
I secondi, invece, rappresentano una casistica più sfumata, legata ad un fenomeno noto come "hacktivism", cioè la protesta attraverso strumenti di "hacking". I casi più noti (Estonia nel 2007 e Georgia nel 2008 che hanno causato la paralisi di quei paesi) sono però a cavallo tra l'azione di governo (la Russia era ai ferri corti con entrambe le nazioni e nel caso della Georgia la contrapposizione è sfociata addirittura in guerra aperta) e l'azione di singoli/gruppi di hacktivist tollerati dal governo stesso.
In tutti i casi, comunque, questi attacchi hanno dimostrato la loro efficacia.

Il fenomeno delle botnet, però, si sta spostando verso una sorta di Cloud Computing del male con l'affitto di risorse e servizi per attività illegali compresi, appunto, gli attacchi di dDOS.

Da qui la preoccupazione. E' molto probabile che, a fronte di "frizioni" tra Stati oppure a fronte di volontà eversive o terroristiche, ci sia la tentazione di rivolgersi a qualche gruppo criminale per affittare una botnet abbastanza grande per mettere in difficoltà un paese.
E' solo una questione di soldi.

Provate ad immaginare cosa succederebbe se, di colpo, per qualche ora, ci venissero a mancare completamente i servizi di banking on-line e poi ci venissero a mancare le risorse informative su Internet e a seguire, ancora, tutti i siti istituzionali. E poi, aprendo finalmente le nostre le caselle di posta, ci ritrovassimo, tutti, sommersi da messaggi di spam dai contenuti minacciosi. Infine, qualche attacco reale perché si inneschi il panico e... 

Non ci voglio pensare, però spero ardentemente che qualcuno ci pensi e che metta in campo soluzioni adeguate per  impedire che uno scenario del genere possa effettivamente accadere.

giovedì 24 giugno 2010

Privacy: per i piccoli ISP via alle soluzioni federate

Il Garante per la protezione dei dati personali nella sua ultima newsletter, pubblicata oggi, riporta che è stata accolta la proposta di Assoprovider che prevede soluzioni di tipo associativo per la messa in sicurezza dei dati di traffico telefonico e telematico conservati a fini di giustizia. 
I piccoli ISP, riuniti in gruppo, potranno affidare a uno di loro o a una società esterna la realizzazione e la gestione della piattaforma di conservazione dei dati di traffico.

Il garante privacy ricorda che, le caratteristiche essenziali di queste soluzioni "federate" dovranno prevedere:
- credenziali di accesso univoche
- memorizzazione dei dati su spazi di memoria dedicata
- utilizzo di meccanismi  di cifratura asimmetrica dei dati 
- creazioni di profili "ad hoc" per garantire che l’amministratore della piattaforma non acceda ai dati archiviati
- autonoma scelta del formato del file per la memorizzazione dei dati
- cancellazione automatica dei dati alla decorrenza dei termini di conservazione

La legge sulla privacy, pur con alterne vicende, negli ultimi dieci anni è stato l'unico motore reale, in Italia, per far passare determinati concetti di sicurezza e "controllo" sui dati. Reputo quindi importante che, in questo caso, si sia imboccata una soluzione di "buon senso" che costituisce una possibilità reale di semplificazione per l'attuazione di importanti adempimenti che, nel caso dei piccoli ISP, sono certamente onerosi e che, altrimenti, si potrebbero potenzialmente tradurre in una sostanziale non applicazione delle norme.

Queste precisazioni arrivano a pochi giorni dalla presentazione della Relazione annuale del Garante. I componenti dell'Autorità, infatti, il 30 giugno prossimo a Montecitorio, faranno il punto sullo stato di attuazione della legislazione sulla privacy e sulle prospettive di azione verso le quali intende muoversi il Garante.

Attendiamo fiduciosi.


Spam: l'Italia sempre più bersagliata

MessageLabs, ha rilasciato ieri il suo "Intelligence Report" per il mese di giugno 2010; molti dati interessanti emergono dalla lettura di questo rapporto.

Intanto si evince che, secondo i dati di MessageLabs per il mese di maggio, in Italia abbiamo una percentuale di mail di spam abbastanza più alta della media mondiale ed in particolare ci piazziamo al secondo posto al mondo con un livello di spam di quasi il 93%. Cioè meno di una mail su dieci che riceviamo si qualifica effettivamente come messaggio diretto a noi, il resto è la solita immondizia.

Ho trovato inoltre interessante, sempre dal punto di vista dei numeri, la valutazione della "potenza di fuoco" della botnet Rustock (la più grande botnet in attività per lo spam) che con i suoi 2 milioni di PC infetti riesce a "sparare" circa 30 milioni di mail al minuto.

Infine, dal punto di vista tecniche utilizzate dagli spammer, emerge chiaramente che l'inserimento alcune parole correlate alle notizie più importanti sia una modalità che paga dal punto di vista del tasso di evasione dai filtri antispam. 

In particolare, come ampiamente annunciato da tutte le fonti, il trend dell'utilizzo di testi correlati ai mondiali di calcio sta arrivando ai massimi livelli con percentuali che, a metà maggio, hanno sfiorato il 25% del totale dello spam.

Insomma, va bene che il calcio interessa quasi tutti, ma quando riceviamo una mail che ci "tenta" con un titolo sui mondiali, buttiamola via perché la probabilità che sia spam o phishing è così alta che davvero non ne vale la pena.

lunedì 21 giugno 2010

Guide di sicurezza: lo shopping online

Continua la serie delle Guide di sicurezza. Questa volta ho deciso di trattare un tema di cui tutti pensiamo di sapere proprio tutto. Peccato che le frodi siano in aumento e che in moltissimi paesi esistano delle guide ufficiali per indirizzare gli utenti verso un utilizzo sicuro degli strumenti di acquisto online.

Le fonti a cui ho attinto per scrivere questa guida sono: l'onnipresente ed efficacissimo Online OnGuard, il sito australiano Stay Smart Online con la guida pubblicata dalla Australian Competition & Consumer Commission e il sito Microsoft Online Safety.

Veniamo alla guida...

Quando entriamo in un negozio fisico, la maggior parte di noi è in grado di riconoscere alcuni segnali che ci fanno "stare in campana"; lo stesso deve valere per lo shopping online.

Quando volete comprare qualcosa online cercate sempre di:
Usare il buon senso
Siate cauti se il sito vi insospettisce o presenta un look non professionale
Conoscere il venditore
E' buona norma avere l'indirizzo fisico del venditore ed un numero di telefono da utilizzare in caso di domande o problemi. 
Conoscere la policy sulla privacy
Verificate quali informazioni personali vengono raccolte e come saranno trattate.
Sapere esattamente cosa si sta comprando
Leggete sempre attentamente la descrizione del prodotto con particolare attenzione alle clausole contrattuali (spedizione, rimborso, foro competente, ecc.) verificando scrupolosamente la dichiarazione di "stato" (nuovo,  ricondizionato, usato, ecc.) ed evitando le offerte che, dietro prezzi stracciati, potrebbero nascondere contraffazioni o merci di dubbia provenienza.
Conoscere esattamente il prezzo finale
Valutare con attenzione gli eventuali costi accessori quali spedizione, imballaggio..., controllare la valuta e gli eventuali ulteriori costi aggiuntivi quali ad esempio le tasse in caso di acquisti extraUE.
Utilizzare un metodo di pagamento sicuro
Effettuando un pagamento con carta di credito o con analoghi sistemi, sarà possibile gestire le eventuali controversie in maniera più agevole, sospendere il pagamento e, in taluni casi, ottenere un rimborso. 
Tenere un registro cartaceo
Stampare e salvare i record delle transazioni online, tra cui la descrizione del prodotto e del prezzo, la ricevuta, le copie delle e-mail inviate o ricevute dal venditore.

Ulteriori precauzioni utili da adottare potrebbero essere:
- verificare le recensioni di altri compratori circa il venditore e circa l'oggetto che state acquistando
- verificare l'eventuale presenza di certificazioni di terze parti sul sito del venditore

In ogni caso, evitare accuratamente di:
- inviare via mail informazioni finanziarie (numero di carta di credito, numero di conto, ecc.)
- effettuare pagamenti tramite trasferimenti diretti di denaro o sistemi di addebito diretto, in quanto non offrono garanzie adeguate ai pagamenti di transazioni online
- utilizzare siti che richiedono dati finanziari senza aver attivato la cifratura della pagina (https nell'indirizzo e icona con lucchetto chiuso nel browser)

Dopo tante indicazioni, ecco due giochini (in inglese) per testare il proprio buon senso nel valutare le offerte online.


E mi raccomando... Siate diffidenti... Sempre!

giovedì 17 giugno 2010

Lo US-CERT deve migliorare ancora

L'Ufficio dell'Ispettore generale del Dipartimento per la sicurezza interna (Department of Homeland Security -DHS) ha pubblicato ieri un report (OIG-10-94) sui progressi effettuati dallo US-CERT (Computer Emergency Readiness Team) nello svolgimento dei propri compiti istituzionali. 

In particolare sono state sottoposte a verifica le attività di coordinamento delle iniziative di cybersecurity nel campo:

- dell'analisi delle minacce
- della diffusione di notizie e allarmi
- della risposta ad attacchi alla sicurezza del cyberspazio.

Il report ha messo in evidenza che lo US-CERT ha compiuto progressi nell'attuazione del programma di cybersecurity a supporto delle agenzie federali per la protezione dei sistemi federali dalle minacce informatiche. In particolare, lo US-CERT ha facilitato la condivisione delle informazioni sicurezza informatica con i settori pubblico e privato attraverso la costituzione di vari gruppi di lavoro, l'emissione avvisi, bollettini, relazioni, e messaggi web. Inoltre, al fine di aumentare la capacità e le competenze del proprio personale, lo US-CERT, ha sviluppato un programma tecnico di mentoring e di formazione sulla sicurezza informatica. 

Fin qui le buone notizie, poi si precisa che, lo US-CERT può/deve ulteriormente migliorare le sue capacità di analisi e il suo programma di distribuzione di avvisi e bollettini. Ad esempio, lo US-CERT deve stabilire una modalità di misura delle proprie performance e mettere in atto politiche e procedure a garanzia dell'efficacia dei suoi programmi di avviso. Deve essere inoltre garantita la capacità di disporre di personale sufficiente a svolgere la sua missione. Infine, la struttura deve migliorare la sua efficacia nella condivisione delle informazioni con il pubblico e negli sforzi di coordinamento della comunicazione. 

Il rapporto si chiude con sette raccomandazioni di cui sei sono già in fase di attuazione. Tra le raccomandazioni proposte spicca, a mio avviso, la numero 4 che sostiene la necessità di realizzare un portale che possa essere acceduto dai responsabili delle agenzie federali al fine di ottenere informazioni e report real-time sulla risposta agli incidenti.

Per quanto riguarda l'Italia... semplicemente non abbiamo un CERT nazionale. Punto.


martedì 15 giugno 2010

Il sito della A.S. Roma è infetto

Sul blog di SophosLabs è apparsa oggi la notizia che il sito della Roma calcio è stato attaccato da ignoti che hanno inserito del codice che contiene due script malevoli. 

Come si può vedere dalle immagini pubblicate, l'attacco e il conseguente codice è lo stesso che sempre Sophos ha segnalato anche nel recente caso del sito del giornale israeliano Jerusalem Post.
Graham Cluley riporta anche la notizia che quando l'ufficio italiano di Sophos ha tentato di avvisare la società di calcio della capitale si sono sentiti rispondere che il loro fornitore di servizi Internet aveva garantito che il sito era perfettamente funzionante e che quindi Sophos era pregata di non contattarli più.

Speriamo che la AS Roma ci ripensi, faccia le opportune verifiche e provveda rapidamente alla bonifica del sito eliminando anche le vulnerabilità che hanno consentito che l'attacco andasse a buon fine.

Devo dire che questo episodio mi ha ricordato molto da vicino la mia recente esperienza con i defacement ad opera del Romanian National Security. In quel caso, uno dei siti attaccati era nel dominio corriere.it (utilizzato dai quotidiani del gruppo RCS). Ebbene, avendo approfondito la notizia e avendo verificato che il sito defacciato non era stato neanche messo off-line ho personalmente provveduto ad avvisare sia il responsabile tecnico che il responsabile amministrativo del dominio.
La risposta è stata: "Senta... guardi... mi mandi una mail... adesso non ho tempo". Risultato: il sito è rimasto on-line per oltre un mese con la home page defacciata.

Eppure sono convinto che se lo zerbino della sede della AS Roma fosse stato rovinato o se l'ultima sede del gruppo RCS avesse una scritta offensiva sul portone, si sarebbero tutti mossi con una ben diversa rapidità.

Guardare ad Internet come ad un business significa avere attenzione anche a tutti gli aspetti che potrebbero minare la nostra credibilità e distruggere la fiducia dei nostri utenti. 

Speriamo che l'approccio italiano (e non solo) a queste cose possa maturare  in fretta.

giovedì 10 giugno 2010

Security Summit 2010 - Giorno 2


Eccomi al secondo giorno di Security Summit 2010 e, per raccontarvi questa giornata, ho deciso di violare, per una volta, la regola per la quale questo blog si chiama Punto 1... voglio cioè cominciare dalla fine.


La conclusione può essere riassunta in un semplice "WOW!" Mi è capitato di rado di imbattermi in una giornata di convegno (gratuito per giunta) con tre sessioni di questo livello. Voglio proprio approfittare di questa occasione per fare i complimenti a tutti gli organizzatori per aver saputo mettere assieme questo evento.

Passando al resoconto della mia giornata, le sessioni a cui ho partecipato sono state: "Web Application Security: a 2.0 attacker's perspective", "Mobile security, il telefono una naturale estensione della propria vita digitale" e "Approfondimento e discussione sul CyberCrime".

La prima sessione sulla Web application security è stata tenuta da Alessandro Gai e Simone Riccetti. Tra le cose che mi sono segnato ci sono: le considerazioni relative alla permanenza delle vulnerabilità del Web 1.0 anche nel paradigma 2.0, la presenza di vulnerabilità di tipo XSS in un sito Web su tre, il ruolo dei social network negli attacchi portati ai contesti aziendali e la possibilità di tracciare i browser attraverso un insieme di informazioni che vengono rese pubbliche e che, se raccolte, creano dei pattern che rendono un browser distinguibile da ogni altro.
Molto interessanti anche le demo (anche se quella di un tool di exploiting di vulnerabilità XSS non è andata completamente a buon fine), in particolare quella sugli attacchi di tipo Tabnabbing.

La sessione sulla Mobile security, invece, è stata tenuta da Fabio "naif" Pietrosanti e Paolo Colombo. Questa sessione è stata veramente notevole e densissima di informazioni. Oltre al piacere personale di aver scoperto che non sono proprio l'unico matto ad aver installato sul mio smartphone un antivirus e un programma antitheft, mi sono segnato che, in ambito mobile, c'è ancora troppa fiducia (verso la robustezza degli apparati, verso gli operatori, dagli operatori verso gli utenti e anche tra operatore e operatore) soprattutto causata dalla bassa consapevolezza sulle vulnerabilità dell'"environment". Inoltre ho appreso che presto saranno disponibili tool per il cracking del GSM e che, con un po' di sforzo organizzativo e un po' di risorse finanziarie, è possibile creare degli operatori mobili fasulli a cui far attaccare i cellulari in roaming e quindi poter fare quasi tutto l'immaginabile. Infine si sta effetivamente (purtroppo) realizzando quello che gli analisti dicono da tempo e cioè che il mondo dei "cattivi" si sta per dedicare a tempo pieno al mondo mobile, infatti si è passati da 10 minacce individuate nel 2004 ad oltre 5000 nel 2009 e questo trend si è mantenuto  in crescita esponenziale.

La terza ed ultima sessione è stata quella organizzata dall'Italian Security Professional Group (di cui anche io faccio parte) e devo dire che è stato veramente un finale col botto. I relatori erano: Raoul Chiesa, Claudio Guarnieri, Marco Pacchiardo e Paolo Colombo.
In questa sessione dedicata al CyberCrime è stato analizzato il fenomeno nel suo complesso con degli interessantissimi focus sulle botnet e sul CyberLaundering (il riciclaggio di denaro effettuato in rete). A solo beneficio dei presenti sono stati presentati materiali, diciamo così, coperti da segreto e che non compariranno nelle slide pubblicate negli atti ufficiali. Avendolo rimarcato più volte non svelerò nulla di quello che è emerso ma devo proprio dire che è stato estremamente interessante e invito comunque tutti quelli che sono arrivati in fondo a questo post a scaricare tutti gli atti di questa sessione non appena saranno pubblicati.

Una volta tanto, posso dire di essere davvero soddisfatto. Anzi no, la prossima volta mettete qualche bottiglia di acqua in più... sono morto di sete!! ;-)))

mercoledì 9 giugno 2010

Security Summit 2010 - Giorno 1

Oggi è iniziato il Security Summit 2010. Ho partecipato a due sessioni: il convegno di apertura e la tavola rotonda "Cybersecurity vs Infrastrutture Critiche Nazionali: come difendersi e prevenire i possibili impatti".

Ecco il mio resoconto della giornata.

Convegno di Apertura
I partecipanti erano: Gigi Tagliapietra del Clusit (Moderatore), Steve Purser di ENISA, Tim Dunn di CA, Kristin Lovejoy di IBM, Rita Forsi dell'ISCOM, Alessandro Vallega di Oracle e Marco Bresciani di Accenture. 
Dopo una breve introduzione sono iniziati i lavori portati avanti da un panel veramente di prim'ordine e condotti con lo stile e l'autorevolezza che si riconoscono in Tagliapietra.

Tra le cose che mi hanno più colpito ci sono:
  • le valutazioni circa i problemi le opportunità, in campo sicurezza (e non solo), per la massa di oltre tre miliardi di esseri umani che si stanno affacciando sul mondo digitale nei cosiddetti "paesi emergenti";
  • l'accento sulla necessità di instaurare delle modalità di reale collaborazione tra gli "stakeholder" della sicurezza al fine di raggiungere gli obiettivi necessari alla crescita dell'ICT;
  • la valutazione sull'importanza delle certificazioni come garanzia della sicurezza e delle best practices;
  • la situazione in cui, in un mondo sempre più interconnesso come il nostro, quasi ogni componente, a causa dell'effetto domino, può diventare critica per il sistema stesso;
  • la considerazione che, molto spesso, anche ai fini della sicurezza, sono più importanti le buone pratiche come ITIL piuttosto che puntare all'ultimo ritrovato tecnologico;
  • la considerazione che un buon CISO deve saper parlare a soggetti diversi usando linguaggi diversi e quindi saper integrare compentenze e mondi vicini nella loro diversità;
  • la valutazione sulla capacità di reazione agli eventi come fattore chiave per il mantenimento dei livelli di sicurezza.

Tavola Rotonda "Cybersecurity vs Infrastrutture Critiche Nazionali: come difendersi e prevenire i possibili impatti".
    I partecipanti erano: Marco Bianchi di Accenture, Raoul Chiesa del Clusit, Luisa Franchina della Protezione  Civile, Damiano Toselli di Telecom, Gerardo Costabile di Poste.

    Una nota di colore riguarda la sala dove si è svolta la tavola rotonda. Sembrava essere stata allestita dalla troupe di "Scherzi a parte". Nell'ordine... il proiettore funzionava ad intermittenza, il proiettore d'emergenza aveva prima una dominante viola e poi una verde, il microfono ha esaurito le batterie e il condizionamento era per lo meno "approssimativo", insomma si moriva di caldo.
    Detto questo l'evento è stato interessante soprattutto per la capacità di Raoul Chiesa e di Luisa Franchina di fare degli interventi interessanti e gradevoli allo stesso tempo.
    Nella fase finale Chiesa ha lanciato una serie di domande provocatorie all'audience tra cui: "Ma secondo voi, in Italia, gliene frega qualcosa a qualcuno di queste cose..."
    La risposta quasi unanime è stata... No! Purtroppo No.

    Dovremo, come al solito, aspettare un evento disastroso per dedicare la necessaria attenzione a questo delicatissimo tema? Incrociamo le dita.


    martedì 8 giugno 2010

    Se mi attacchi... ti sparo!!


    Non sono certo tra coloro che banalizzano le problematiche legate alla cosiddetta Cyberwar, però devo dire che la notizia, rilanciata dal  Times online, che la NATO sta valutando eventuali misure di ritorsione, compreso l'uso della forza militare, contro stati ostili in caso di attacchi informatici verso gli Stati membri mi sembra veramente una grossa forzatura.


    La notizia è che un team di esperti della Nato guidato da Madeleine Albright, ex segretario di stato americano, ha prodotto uno studio in cui si mette in evidenza che il prossimo attacco ad un paese Nato "potrebbe arrivare attraverso un cavo in fibra ottica" e che, nel caso questo attacco avesse come "target" delle infrastrutture critiche quali la struttura di comando e controllo o le reti elettriche di un paese NATO, sarebbe applicabile il celebre art.5 che prevede le misure di difesa collettiva.*
    L'articolo 5 è la pietra angolare del "Trattato Nord Atlantico", che stabilisce che un attacco armato contro uno o più paesi della Nato è da considerarsi come un attacco contro tutti. 

     capi di governo dei paesi aderenti alla NATO dovrebbero discutere di questi temi a Novembre nel summit di Lisbona sul futuro dell'alleanza.

    Al di là delle numerose forzature che si leggono nell'articolo del Times online, mi sembra davvero poco auspicabile che si mettano in campo questo tipo di argomenti senza circostanziarli e contestualizzarli in modo strettissimo. La risposta ad un attacco informatico di grande portata è una misura che DEVE essere messa in cantiere ma, data la portata e le implicazioni, sia dell'attacco che dell'eventuale risposta, si deve procedere in modo assolutamente pacato e rigoroso.

    Infatti, in uno scenario in cui la stragrande maggioranza degli attacchi sono distribuiti e fanno leva su "tempo macchina" rubato da PC sparsi in tutto il mondo e asserviti in "botnet", mi chiedo seriamente che senso possa avere fare anche solo un riferimento ad una risposta armata, anche semplicemente come ipotesi di deterrenza.

    E poi chi potrebbe realmente garantire che dietro all'attacco ci sia uno specifico governo?

    Voi che ne pensate?

    *A scanso di equivoci ecco l'estratto "incriminato" dello studio "NATO 2020: Assured Security; Dynamic Engagement - Analysis and Recommendations of the Group of Experts on a New Strategic Concept for NATO".

    "Cyber defence capabilities. The next significant attack on the Alliance may well come down a fibre optic cable. Already, cyber attacks against NATO systems occur frequently, but most often below the threshold of political concern. However, the risk of a large-scale attack on NATO’s command and control systems or energy grids could readily warrant consultations under Article 4 and could possibly lead to collective defence measures under Article 5. Effective cyber defence requires the means to prevent, detect, respond to, and recover from attacks. NATO has taken steps to develop these capabilities through creation of a Cyber Defence Management Authority, a Cooperative Cyber Defence Centre of Excellence, and a Computer Incident Response Capability. Nonetheless, there persist serious gaps in NATO’s cyber defence capabilities. The Strategic Concept should place a high priority on addressing these vulnerabilities, which are both unacceptable and increasingly dangerous.."

    sabato 5 giugno 2010

    Nuova vulnerabilità su Adobe

    Adobe ha rilasciato un Security Advisory per notificare una nuova vulnerabilità critica (CVE-2010-1297) di tipo 0day su Adobe Reader, Acrobat e Flash Player 10.0.45.2 e precedenti. La vulnerabilità è presente nella componente authplay.dll che viene rilasciata assieme ad Adobe Reader e Acrobat 9.x per Windows, Macintosh e UNIX. Questa vulnerabilità può causare crash e potenzialmente consentire ad un attaccante di prendere il controllo di sistemi vulnerabili.

    Ci sono segnalazioni che questa vulnerabilità è già attivamente sfruttata in alcuni attacchi diretti sia contro Flash Player che contro Adobe Reader.

    Flash Player 10.1 Release Candidate disponibile su http://labs.adobe.com/technologies/flashplayer10/ sembrerebbe non essere vulnerabile,

    Adobe Reader e Acrobat 8.x sono confermate come versioni non vulnerabili.
    Ulteriori informazioni ed evoluzioni di questa notizia possono essere seguite sul sito Adobe Product Security Incident Response Team blog alla seguente URL: http://blogs.adobe.com/psirt.

    --------------------------------------------------------------------------------------------

    Stese Jobs pare che abbia stappato una bottiglia del suo miglior champagne.
    ;-))))))

    --------------------------------------------------------------------------------------------
    Aggiornamento di domenica 6 giugno

    Sul blog di Symantec è uscita una prima analisi degli attacchi che sono stati portati per sfruttare questa vulnerabilità. In questa analisi, le tipologie di attacchi sinora evidenziati presentano le seguenti caratteristiche:
    - una email con in allegato un file PDF malevolo;
    - una e-mail con un link ad un file PDF malevolo o verso un sito web con un file SWF dannoso inserito nel codice HTML;
    - un file  PDF (o un file SWF) malevolo sul web.

    L'attacco è portato dal malware Trojan.Pidief.J (secondo la nomenclatura Symantec), un file PDF che rilascia un trojan con una backdoor, sul computer che esegue il file malevolo tramite un prodotto vulnerabile. Symantec ha anche rilevato un attacco che viene protato attraverso un file SWF malevolo (rilevato come trojan), assieme ad un file HTML (rilevato come downloader) che serve per scaricare altro malware (rilevato come Backdoor.Trojan) dal web.

    Symantec conferma che gli attacchi, al momento, sembrano ancora poco frequenti.

    Mikko Hypponen di F-Secure ha poi pubblicato uno screenshot di un PDF malevolo (W32/Pidief.CPT secondo la nomenclatura F-Secure) che mostra come, per un utente, la visione di uno di questi PDF sia rappresentata semplicemente da una pagina quasi totalmente bianca.




    --------------------------------------------------------------------------------------------
    Aggiornamento di venerdì 11 giugno

    Adobe ha rilasciato un "Security Bulletin" per annuciare che è pronta al rilascio al versione aggiornata di Flash 10.1.53.64 utilizzando il propio download center o accettando la proposta di autoaggiornamento del prodotto stesso.
    Il bollettino di sicurezza può essere consultato alla URL

    venerdì 4 giugno 2010

    Attacchi ai siti israeliani

    L'attacco israeliano alle navi delle ONG che portavano aiuti a Gaza ha avuto delle ripercussioni anche sull'attività degli hacker. 

    Una delle maggiori comunità hacker dedita al defacement di siti web con finalità politiche è da sempre quella turca e, in seguito all'attacco israeliano alle navi della "Freedom Flotilla", ha avviato una massiccia campagna di attacchi contro i siti web israeliani.

    Consultando infatti i database degli attacchi di defacement (ad esempio zone-H), si può notare una fortissima impennata degli sfregi portati a siti Web israeliani. Gli attacchi sono infatti passati da una media di circa una decina al giorno fino al 30 maggio, fino ad un incredibile media di oltre 230 al giorno dal 31 maggio, giorno successivo all'attacco alla nave turca.

    Tra i siti presi di mira ci sono un migliaio di siti con dominio di tipo "commerciale" .co.il (compreso un sito non ufficiale del likud) e due siti governativi con dominio .gov.il (www2.tel-aviv.gov.il e edu.tel-aviv.gov.il).

    Se ce ne fosse ancora bisogno questa è l'ennesima dimostrazione che il web è la naturale estensione della vita reale e che, in quanto tale, accoglie (nel bene e nel male) gli atteggiamenti propri di ognuno di noi.

    Questa impennata di attacchi è inoltre la conferma che le analisi sull'utilizzo del Web come arma di sono per ora corrette.

    La CyberWar è limitata alle attività messe in campo da Stati sovrani, i defacement e gli attacchi non coordinati sono propri delle proteste anche di gruppi al limite del "terrorismo".

    Il futuro però ci può riservare grandi sorprese (e non tutte piacevoli) in quanto, attraverso l'uso delle botnet, è sempre più facile portare attacchi di dDOS per mettere KO delle risorse Internet. E' quindi assolutamente probabile che si possa creare una saldatura tra il cybercrime che gestisce le botnet e il cyberterrorismo che ha risorse e motivazioni.

    E allora saranno guai per tutti.


    mercoledì 2 giugno 2010

    Tequila: una botnet messa a nudo

    TrendMicro ha oggi pubblicato un interessantissimo post su una nuova botnet che hanno individuato. Indagando su un nuovo attacco di phishing sono venuti a contatto con questa nuova botnet che si chiama Tequila ed è diffusa soprattutto in Messico. L'aspetto particolarmente interessante di questo articolo è che Ranieri Romera, il ricercatore di TrendMicro che ha scritto l'articolo, è riuscito ad entrare nel sistema di comando e controllo di questa botnet e ne ha potuto analizzare le principali funzionalità.

    Ecco alcune schermate dell'interfaccia di C&C della botnet Tequila.



    Da questa interfaccia è possibile accedere alle varie funzionalità messe a disposizione dal sistema di comando e controllo della botnet e, come si può vedere dalla barra, ci sono alcune funzionalità interessanti quali ad esempio:
    - l'attivazione delle funzionalità di pharming;
    - il lancio di attacchi di "Denial of Service distribuito";
    - la propagazione attraverso chiavette USB e MSN.

    Per quanto riguarda il pharming, come si vede dalla schermata, sono già attive alterazioni degli indirizzi dei siti di PayPal e di Bamcomer (primo gruppo bancario messicano, acquisito nel 2004 dal gruppo spagnolo BBVA).

    Infine, dalla schermata relativa alla propagazione attraverso MSN è possibile notare quanto sia semplice per il gestore della botnet riuscire a personalizzare i messaggi per "agganciare" gli utenti sul sistema di messaggistica di Microsoft.

    Adesso, ci aggiornano dal blog TrendMicro, il sistema di C&C della botnet non è più raggiungibile, però bisognerà aspettare qualche tempo per capire quanto questa nuova botnet sarà in grado di diffondersi e diventare pericolosa.

    Questo sguardo all'interno di un sofisticato sistema di cybercrime è molto interessante e permette di capire quanto sarà semplice nel futuro predisporre attacchi e tentare di truffare gli utenti.

    In ogni caso, per buona misura, siate diffidenti. Sempre.

    martedì 1 giugno 2010

    La storia del Hacking

    Questa volta devo fare veramente poco sforzo per pubblicare un nuovo post, sul blog di Imperva è stato segnalato che sul sito OnlineMBA è stato realizzato un grafico che riassume la storia del fenomeno hacking dagli esordi sino ai giorni nostri.

    Ho trovato questo grafico veramente bello e istruttivo e così ho pensato di metterlo sul mio blog.

    E così senza fatica è uscito un nuovo post.

    Grazie a tutti.
    The History of Hacking
    Via: Online MBA

    National Security Strategy: tutto il mondo è paese

    Un paio di giorni fa è stato pubblicato il documento di strategia sulla sicurezza nazionale della presidenza Obama. Un documento molto articolato che affronta tematiche "di peso" come l'uso della forza, la cooperazione o gli investimenti in sicurezza.

    Com'era lecito aspettarsi, dato che questa amministrazione sta investendo enormi risorse nel campo della cyber security, un paragrafo è anche dedicato al tema della sicurezza informatica.

    Però, come potete leggere qui di fianco, con mia grande sorpresa, ho trovato un ben poco incoraggiante approccio.
    Il tema, pur ribadendone la delicatezza e importanza, è trattato con una sorprendente superficialità e liquidato con un paio di indicazioni "da buon padre di famiglia".
    In estrema sintesi ciò che viene detto è:
    si deve investire in persone e tecnologiebisogna rafforzare le partnership

    Nel primo punto si ribadisce che è necessario un lavoro finalizzato al miglioramento delle tecnologie di sicurezza e all'avvio di una campagna di sensibilizzazione sul tema; nel secondo punto si ragiona circa la necessità di lavorare assieme per raggiungere quegli obiettivi che altrimenti sarebbero fuori portata.

    Se teniamo conto che questa amministrazione ha avviato una campagna di militarizzazione della sicurezza informatica e che sono stati investiti enormi fondi per la creazione di apparati difensivi e offensivi dedicati alla cyber war, la paginetta di questo documento mi sembra francamente un po' scarna.

    Questo approccio mi sembra più in linea con le scelte di un paese come il nostro che non ha ancora avviato in maniera coordinata e coerente il tema della sicurezza informatica. Ma forse in fondo è proprio vero... 
    tutto il mondo è paese.

    http://www.wikio.it