giovedì 29 luglio 2010

MUMBLE - Se telefonando...

Questo post è della serie MUMBLE, quindi è una riflessione su temi di sicurezza.

L'occasione per questa riflessione mi è venuta ieri quando mi sono imbattuto in due notizie interessanti sulla sicurezza degli smartphone.

Le notizie sono queste:
- Citigroup, una delle maggiori banche del mondo, ha messo in guardia i propri utenti su un baco nella loro applicazione per iPhone che poteva consentire ad eventuali attaccanti di accedere ai dati bancari degli utenti, comprese le credenziali di accesso
- Handy Light, una classica applicazione torcia per iPhone, in realtà nascondeva una funzionalità segreta, attivabile tramite codice, che consentiva all'utente di sfruttare lo smartphone come un modem internet per il PC, violando le policy contrattuali del provider.

A scanso di equivoci, dico subito che, anche se questi due esempi sono riferiti ad iPhone, non sono assolutamente interessato a farne una questione di piattaforma, ciò che mi interessa, invece, è di riflettere sugli smartphone in generale e sulle implicazioni di sicurezza che si portano appresso.

Detto ciò vediamo più da vicino cosa implicano queste due notizie.

La prima, si commenta da sé. Una banca invita i propri utenti ad accedere al conto tramite una propria applicazione che si rileva essere vulnerabile e che mette a repentaglio la sicurezza del conto degli utenti. La seconda, invece, è un filo più sottile e implica la presenza di funzionalità non note all'interno di applicazioni che dichiarano di svolgere altro. Questo ovviamente implica che sarebbe ad esempio possibile inserire un Trojan all'interno di un gioco che viene scaricato da ignari utenti che poi vedono compromessa la propria sicurezza.

Una situazione quindi abbastanza rischiosa, anche perché lo sviluppo di applicazioni per smartphone è un campo abbastanza giovane e il bacino di utenti e quindi di tester, pur essendo grande, non è comparabile a quello per PC. Inoltre, molti utenti di computer hanno imparato che, per usare i propri dati in sicurezza, è necessario aver installato un antivirus aggiornato, un personal firewall e un programma antispyware (tanto che ormai, molto spesso, queste componenti sono inserite in un unico prodotto). 

Quanti utenti di smartphone hanno almeno un antivirus installato? Quanti utenti sono attenti a ciò che installano sui propri telefoni? Ma, soprattutto, quanti utenti si rendono conto che stanno utilizzando i propri dati più preziosi (account di posta elettronica, password per accesso a siti e magari, come abbiamo appena visto, anche account di home banking) su una piattaforma che, oltre ad essere intrinsecamente più insicura del più insicuro computer, è nella stragrande maggioranza dei casi anche sprovvista degli strumenti minimi di garanzia della sicurezza?

La risposta, come peraltro avrete già intuito, è sconfortante.

Io, però, mi sono anche chiesto come mai stia avvenendo questo fenomeno. E la risposta che mi sono dato è che il problema è di tipo psicologico. Ovvero, noi siamo stati indotti a ritenere i telefonini degli oggetti ragionevolmente sicuri (anche se non è mai stato completamente vero), ma, date le funzioni che includevano (sms e fonia), ci si poteva fidare. Adesso, degli oggetti, solo apparentemente identici ai telefonini, hanno inglobato quelle funzionalità in strumenti ad elevata complessità (sono in realtà dei computer di ridotte dimensioni) che gestiscono tutte le nostre comunicazioni. La nostra percezione è che siano ancora dei telefonini e come tali li trattiamo.

Siamo decisamente tutti un po' miopi. Speriamo di non svegliarci di colpo e trovarci di fronte ad una situazione nella quale non possiamo più fidarci di oggetti che, ormai, sono quasi diventati delle estensioni del nostro corpo nonché nostro sistema di relazioni.

Visto che non possiamo fare come cantava Mina nel '66..
"Se telefonando 
io potessi dirti addio 
ti chiamerei...  "

martedì 27 luglio 2010

Cyberwar: l'Italia s'è desta

Finalmente una buona notizia!

Nei giorni scorsi il Copasir (Comitato Parlamentare per Sicurezza della Repubblica) ha pubblicato la "Relazione sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dall'uso dello spazio cibernetico." (il testo può essere scaricato qui)

Dopo aver passato diverso tempo a leggere e analizzare questo corposo documento (62 pagine) ho deciso di condividere alcune considerazioni. 

La prima riflessione è che, finalmente, dopo tanto silenzio, un autorevole organo dello Stato produce un documento ufficiale che tratta di sicurezza informatica. In quest'ottica, questo documento mi sembra un importante passo avanti nella definizione di ciò che viene considerato rilevante ai fini della sicurezza nazionale in ambito cyber. Infatti, in questo specifico campo l'Italia sconta un importante ritardo rispetto a tanti altri paesi, anche meno rilevanti dal punto di vista internazionale, che deve essere al più presto sanato. La relazione mette in evidenza le lacune esistenti e fornisce delle importanti indicazioni per il recupero di una situazione che non può (e non deve) essere lasciata ancora a languire. Tuttavia, la relazione, nel complesso, mi sembra un pochino immatura, soprattutto nella volontà di coprire l'intero scenario possibile: dal contrasto alla pedopornografia, alla difesa dalle minacce statuali. Infatti, in alcuni passaggi, si nota una forzatura evidente nel cercare di accorpare tematiche molto diverse tra loro. Infine, ma forse non era possibile aspettarsi qualcosa di diverso data la fonte del documento, viene enfatizzato in maniera eccessiva il ruolo, attuale e futuro, dei servizi di sicurezza in quest'ambito.

La mia speranza è che questo documento sia il primo passo di una riflessione che deve essere svolta a livello governativo, sentendo i diversi pareri e i diversi approcci, per determinare quali siano le scelte migliori e gli investimenti giusti per recuperare il gap che abbiamo accumulato.

Allora, potremo realmente dire che... l'Italia s'è desta.

Mi sembra importante riportare integralmente alcuni passi che mi hanno particolarmente colpito all'interno delle conclusioni della relazione:
"In prospettiva, occorre una pianificazione strategica in materia di contrasto alla minaccia cibernetica, parte di una strategia nazionale di sicurezza che possa dettare le linee guida a tutti i soggetti interessati, coordinandone gli sforzi ed assumendosi, innanzitutto, l’onere di pianificare le azioni per la messa in sicurezza delle infrastrutture critiche di sicurezza nazionale."
ed inoltre
"... si ritiene di dover raccomandare al Governo di dotarsi di un impianto strategico-organizzativo che assicuri una leadership adeguata e predisponga chiare linee politiche per il contrasto alle minacce e il coordinamento tra gli attori interessati. Tale obiettivo potrebbe essere raggiunto assegnando questi compiti ad una struttura di coordinamento presso il Presidente del Consiglio dei ministri, o presso l’Autorità delegata, organizzata ridefinendo l’attività delle strutture esistenti, con una rimodulazione delle attuali competenze e responsabilità. Questa struttura, ferme restando le attribuzioni stabilite con provvedimenti normativi degli organi istituzionali, dovrebbe svolgere i seguenti compiti:
– definire compiutamente la minaccia e predisporre un documento di sicurezza nazionale dedicato alla protezione delle infrastrutture critiche materiali e immateriali;
– predisporre un piano d’intervento che definisca il perimetro della sicurezza cibernetica italiana, definendo i ruoli e le responsabilità di tutti i soggetti responsabili della sicurezza informatica nazionale;
– redigere, in stretto coordinamento con gli interlocutori istituzionali e privati, a cominciare dai nostri apparati di intelligence, le politiche strategiche di protezione, resilienza e sicurezza cibernetica;
– sviluppare la collaborazione pubblico-privato per migliorare l’azione di prevenzione e contrasto al cyber-crime;
– promuovere piani di formazione specialistica comuni tra i vari soggetti interessati a livello nazionale ed internazionale, anche favorendo campagne di informazione mirata verso soggetti di importanza strategica, per elevare il livello di consapevolezza dei rischi nel cyber-spazio;
– predisporre piani di disaster recovery per i dati di valore strategico per la sicurezza della Repubblica;
– coordinare la partecipazione di delegazioni italiane ai tavoli di cooperazione internazionale, in ambito bilaterale e multilaterale, UE e NATO."
ed infine e soprattutto
"L’assenza di una revisione strategica del perimetro di sicurezza nazionale comporta, direttamente e indirettamente, un investimento non ottimale in termini politici e di tutela degli interessi nazionali. Le caratteristiche, il rango e il posizionamento dell’Italia in uno scenario geopolitico e strategico in rapida e costante evoluzione richiedono l’elaborazione di una Strategia per la Sicurezza della Repubblica, che individui le priorità e le direttrici della politica estera, di sicurezza e difesa nazionale, rapportandone gli obiettivi alla consistenza delle risorse disponibili e avviando una pianificazione coerente con gli interessi di medio e lungo termine per il Paese."

venerdì 23 luglio 2010

Guide di sicurezza: i social network

Facebook, Twitter, LinkedIn e tutti gli altri siti di social network sono ormai diventati un'esperienza quotidiana, ma siamo veramente consapevoli dei rischi che si corrono e delle norme di prudenza che si dovrebbero utilizzare?

Questa guida cercherà di dare una risposta a queste domande. 

Come al solito, ho cercato di selezionare una serie di fonti affidabili da cui prendere la maggior parte delle informazioni, tra le tante, voglio citare: il sempre ottimo OnguardOnline, Microsoft Safety Online e lo US-CERT.

Siete pronti... ecco la guida!

I siti di social network sviluppano il concetto di rete sociale per consentirci di conoscere nuove persone attraverso persone che sono già di nostra conoscenza. In questi siti, lo scopo può essere puramente sociale, permettendo agli utenti di stabilire amicizie o relazioni sentimentali, oppure può concentrarsi sui legami di tipo lavorativo o commerciale. A prescindere dalle varie differenze, tutti questi siti consentono di fornire informazioni su di sé e offrono vari strumenti di comunicazione (forum, chat, email, instant messenger) per metterci in contatto con altri utenti. 

Quali sono i principali rischi legati all'utilizzo di questi siti?
L'accessibilità e la quantità di informazioni personali che sono disponibili su questi siti sono una manna per tutti coloro che hanno intenzioni "poco simpatiche". Infatti, le informazioni che noi stessi abbiamo fornito, possono essere sfruttate per sostituzioni di persona, attacchi di social engineering, truffe e, in alcuni casi, anche reati di natura violenta (aggressioni, furti e rapine).
Inoltre, l'ormai enorme popolarità di questi siti, ha fatto diventare i social network un'ottima piattaforma da cui distribuire codice malevolo.

Quali sono le principali norme di sicurezza da seguire?
Ecco alcune semplici regole che dovrebbero essere sempre seguite.
Limitate la quantità di informazioni personali - Ricordate che quando si pubblica un'informazione su Internet "è per sempre"... anche se poi la cancellate e se chiudete l'account, quell'informazione resterà da qualche parte e sarà sempre rintracciabile. Inoltre, molte informazioni dovrebbero restare private, valutate quindi con attenzione se pubblicare informazioni come: data e luogo di nascita, codice fiscale, indirizzo, numero di telefono e dati finanziari.
Utilizzate le impostazioni di privacy per limitare l'accesso - Anche se normalmente è abbastanza complesso riuscire a capire a fondo le norme di privacy che vigono nei siti di social network, è bene informarsi e scegliere un adeguato profilo. Se invece siete pigri, è meglio scegliere le impostazioni che consentono la pubblicazione più restrittiva.
Siate selettivi su chi accettate come amico - E' buona norma non accettare l'amicizia (o il collegamento) con chi non si conosce in modo diretto. In caso contrario, potremmo rendere molto più facile il furto di identità ed inoltre ci potremmo mettere in situazioni "imbarazzanti" in cui informazioni che consideriamo private sono accedute da persone che non conosciamo.
Siate scettici e diffidate delle informazioni - Non credete a tutto quello che leggete online, è molto facile creare falsi profili e chiunque potrebbe pubblicare informazioni false o fuorvianti su vari argomenti, compresa la propria identità. Prendete le opportune precauzioni, e cercate di verificare l'autenticità delle informazioni prima di intraprendere qualsiasi azione. 
Prestate attenzione quando cliccate su un link - E' ormai un fatto assodato che molto malware viene rilasciato attraverso i social network e l'utilizzo di link abbreviati rende molto difficile capire quale risorsa si stia per accedere. Siate quindi molto prudenti prima di seguire un link, soprattutto quando sembra fatto apposta per attirare la vostra attenzione. Trattate i link dei social network come fareste con i link inseriti nei messaggi di posta elettronica. 
Utilizzate una password forte - Anche in questo caso, la robustezza della password è importante e, altrettanto importante, è utilizzare una password diversa da quella che utilizzate per siti ad alto valore aggiunto come i siti di home banking
Fate attenzione a ciò che installate - Molti siti di social networking permettono di scaricare applicazioni di terze parti per migliorare l'esperienza di fruizione. I criminali a volte utilizzano queste applicazioni per rubare informazioni personali. Per scaricare e utilizzare applicazioni di terze parti in modo sicuro, prendere le stesse precauzioni di sicurezza che, normalmente, prendete con qualsiasi altro programma o file che scaricate dal web.
Altre precauzioni - Per evitare possibili attacchi di phishing, digitate l'indirizzo del sito di social network direttamente nel browser o utilizzate i segnalibri personali. Usate e mantenete aggiornato un software anti-virus in modo da essere in grado di rilevare e rimuovere i virus prima che possano fare dei danni.

Infine, se avete dei figli è bene sapere che...
E' fondamentale parlare di social networking con i propri figli per aiutarli a essere consapevoli delle possibili insidie che vi si possono trovare e far capire loro che, se si sentono minacciati da qualcuno o sono a disagio per qualcosa che è stato pubblicato su questi siti, devono confidarsi con voi. Dovete spiegare loro che dovrebbero inserire solo informazioni che potrebbero anche essere viste dai genitori. E' importante spiegare loro che ciò che inseriranno oggi sarà un'informazione con cui si dovranno confrontare domani, quando saranno adulti e magari saranno alla ricerca di un lavoro. Inoltre, è bene parlare ai propri figli di bullismo online facendo loro capire che questo fenomeno può assumere molte forme e che, ad esempio, la diffusione online di notizie, immagini e video su altre persone potrebbe essere fonte di grandi problemi per loro e per gli altri. Infine, si dovrebbe spiegare ai propri figli quanto sia importante evitare di parlare di sesso online.

Avete memorizzato tutto? Allora, mettetevi alla prova con questo divertente giochino (in inglese) che vi permetterà di scoprire se siete al riparo dai rischi dei social network.  



Non ne avete ancora abbastanza? Ecco qualche link per approfondire i vari argomenti
La vita privata dei ragazzi sempre più "in vetrina" su Internet
I divorzi e i social network
--------------------------10 Ottobre 2010
Andrea Zapparoli Manzoni mi ha segnalato la guida pubblicata su iDialoghi... l'ho letta e penso proprio che sia un'ottima guida molto esaustiva, chiara e completa, insomma... da leggere
La sicurezza dei social media

martedì 20 luglio 2010

Cyberwar... adesso arrivano le regole

Il New York Times e il Washington Post hanno riportato la notizia che quindici nazioni - tra cui Stati Uniti, Cina e Russia - hanno raggiunto un primo accordo di massima sull'impegno di ridurre la minaccia di attacchi sulle reti di computer. 
Venerdì scorso, un gruppo di specialisti di sicurezza informatica e di diplomatici, in rappresentanza di questi paesi, ha messo a punto delle raccomandazioni per il Segretario Generale delle Nazioni Unite per i negoziati su un trattato internazionale di sicurezza informatica.

Queste raccomandazioni rappresentano il primo passo verso la fine di una situazione di stallo che dura da oltre un decennio tra Stati Uniti e Russia sul contrasto alle minacce di Internet. 

I russi, fin dal 1998, hanno cercato di costruire la base per un trattato di sicurezza informatica, ispirata agli accordi sul bando delle armi chimiche. Gli Stati Uniti, invece, hanno sempre ribadito che un simile trattato non era necessario, preferendo invece gli aspetti di supporto alla cooperazione fra le forze dell'ordine. A gennaio scorso, l'amministrazione Obama ha pubblicato un nuovo documento di sintesi delle varie esigenze che ha sbloccato la situazione di stallo. Robert K. Knake, un esperto di cyberwar del Council on Foreign Relations, ha detto che questo accordo rappresenta "un cambiamento significativo nella posizione degli Stati Uniti" ed è parte della strategia dell'amministrazione Obama di impegno diplomatico.

Da alcune indiscrezioni sembra che si sia discusso anche di indicazioni per indirizzare i pericoli legati alla corretta attribuzione di un attacco cyber anche in casi nei quali vi siano dei "soggetti terzi" che si interpongono nelle attività  malevole, ad esempio agendo per l'interesse di una nazione anche se sembrano operare per conto di un altro stato.

La relazione raccomanda cinque punti per migliorare la cooperazione internazionale in ambito cybersecurity: 
- incrementare il confronto sugli approcci nazionali alla protezione delle reti di computer, compreso Internet
- discutere l'utilizzo delle tecnologie informatiche e di comunicazione durante lo svolgimento di conflitti
- condividere le strategie nazionali in materia di legislazione sulla sicurezza informatica
- concordare il modo per migliorare la capacità di Internet nei paesi meno sviluppati
- negoziare per stabilire una terminologia comune per migliorare la comunicazione circa le reti di computer.

Di solito, a questo punto, i miei post finiscono con una frase che mette in evidenza quanto l'Italia sia lontana dal cuore di questi problemi. 
Ebbene questa volta no.

I firmatari sono: Stati Uniti, Russia, Cina, Italia, Bielorussia, Brasile, Gran Bretagna, Estonia, Francia, Germania, India, Israele, Qatar, Sud Africa e Sud Corea.

Dato che non ho trovato fonti italiane che hanno trattato l'argomento mi farebbe davvero piacere se qualcuno mi segnalasse qualche fonte o, meglio ancora, sarebbe bello conoscere i nomi della delegazione italiana e avere modo di conoscerne le loro opinioni al riguardo... ma forse sarebbe troppo, anche per questa bella notizia.

sabato 17 luglio 2010

Microsoft nel mirino

A pochi giorni dal rilascio mensile dei bollettini Microsoft, siamo già di nuovo in fibrillazione.

Ieri sera, il Microsoft Security Response Center (MSRC) ha confermato quello che ormai si sapeva da almeno 24 ore, una nuova vulnerabilità di tipo 0day (cioè senza nessuna patch disponibile) era stata scoperta e sfruttata.

Tutto questo accade dopo un mese di fuoco in cui Microsoft ha dovuto sviluppare in appena 33 giorni una patch (MS10-042) per la vulnerabilità, sempre di tipo 0day, che Tavis Ormandy aveva inopinatamente reso pubblica. 

Ma veniamo ai dettagli di questa nuova vulnerabilità.

Il MSRC ha rilasciato il Security Advisory 2286198, sulla vulnerabilità in Windows Shell, oggetto di molte segnalazioni su varie fonti pubbliche. Microsoft ha appurato che tutte le versioni di Windows sono vulnerabili e che questa vulnerabilità può essere sfruttata più semplicemente attraverso l'utilizzo di unità USB. Al momento, sono stati segnalati degli attacchi mirati che puntano allo sfruttamento di questa vulnerabilità; in particolare, questa vulnerabilità è stata sfruttata dal malware Stuxnet, come evidenziato anche dal Microsoft Malware Protection Center (MMPC) che ha pubblicato un'analisi più tecnica sul proprio blog (inoltre, anche F-Secure ha trattato l'argomento con un ottimo post).

Microsoft consiglia di seguire le indicazioni contenute nella Security Advisory, di implementare i workaround proposti e di seguire le prossime evoluzioni della vicenda.

Però, ad aumentare le preoccupazioni, se ce ne fosse bisogno, c'è anche il fatto che, da martedì scorso, tutte le versioni di Windows precedenti al SP3 di XP non sono più supportate, quindi non ci saranno patch per questi sistemi... davvero un bel problema.

Da parte mia posso solo dire che, forse, Charlie Miller, il noto ricercatore di falle di sicurezza e vincitore di due edizioni del Pwn2own, ha proprio ragione. Recentemente, interrogato sulle differenze di approccio alla sicurezza tra Microsoft e Apple, ha risposto: "Avere un sistema Apple è come abitare in una casa di campagna in un posto tranquillo dove si lasciano le chiavi appese alla porta, mentre avere un sistema Microsoft è come abitare in una casa con le sbarre alla porta e alle finestre che però si trova nel quartiere più malfamato della città".

Bravo Charlie, secondo me hai proprio ragione... e secondo voi?

-------------------------------------------------------------------------------------------
Aggiornamento del 19 luglio

Stamattina, Feliciano Intini ha pubblicato un post relativo a questa vulnerabilità sul suo blog di sicurezza Microsoft. Potete fare riferimento a questo post per tutti i futuri aggiornamenti e approfondimenti

lunedì 12 luglio 2010

2010 - l'anno degli attacchi al Web

Purtroppo non è un film di fantascienza quello che emerge dall'ultimo report di MessageLabs "Web Threats 2010: The Risks Ramp Up" pubblicato lo scorso 8 luglio. 
Piuttosto assomiglia a un brutto film dell'orrore.

Il report, molto ben fatto, riporta molti dati, quasi tutti preoccupanti, ma ciò che mi ha colpito di più è che, nel 2010:
- quasi il 90% dei siti Web dannosi sono siti legittimi che sono stati compromessi, all'insaputa dei loro proprietari, con l'inserimento di malware
- si è consolidata la tendenza ad utilizzare più volte gli stessi virus e spyware in numerosi siti malevoli diversi. Una sorta di policy di riuso del software malevolo.

Il primo dato mostra chiaramente che i cyber-criminali, allo scopo di infettare il maggior numero possibile di PC, tendono ad inserire codice malevolo all'interno di siti legittimi piuttosto che creare dei siti malevoli ad-hoc. Ciò è dovuto, in parte, alla crescente semplicità con cui si possono attaccare i siti Web (le vulnerabilità applicative sono massicciamente presenti e facilmente exploitabili attraverso l'uso di tool automatici che setacciano costantemente Internet alla ricerca di siti vulnerabili), ed in parte per il fatto che il tempo di sopravvivenza di questo tipo di siti infetti è decisamente superiore a quello di siti creati apposta. 
Come dimostrato anche da alcuni casi recenti, i tempi per la messa in sicurezza di un sito in cui è stato inserito del malware non sono brevissimi e, nel frattempo, i "cattivi" usufruiscono della buona fama del sito che attira un pubblico numeroso e fiducioso.

Il secondo dato mostra invece che, attualmente, è molto più semplice riuscire a bucare un sito che scrivere un efficace codice malevolo. 

Questa indicazione è confermata anche da un'altra recente tendenza del cybercrime, e cioè la tendenza a "bucare" siti Web che godono di grande reputazione inserendovi all'interno link e testi di spam. In questo modo il ranking calcolato dai motori di ricerca per questi siti di spam (ad esempio di tipo farmaceutico) ne beneficia enormemente perché le loro URL sono presenti in siti ritenuti molto affidabili. Di conseguenza, quando vengono effettuate delle ricerche, questi siti di spam compaiono ai primi posti delle risorse indicizzate nei risultati.

Tutti questi indicatori contribuiscono a mostrare una situazione decisamente preoccupante per chi vuole investire in un "business" basato su Internet. Dovrebbe far pensare che forse, oltre a ridurre al minimo il "time to market", si dovrebbero curare con la necessaria attenzione anche gli aspetti di sicurezza. 

Perché, trovarsi nella sgradevole situazione di chiedere ai nostri utenti di fidarsi di noi anche se il nostro sito è stato bucato, potrebbe tradursi in una consistente perdita di danaro... e in tempi di crisi...

venerdì 9 luglio 2010

MUMBLE - Cyberwar: trucco o realtà?

In questi giorni stiamo assistendo ad un dibattito molto acceso tra chi sostiene che la cyberwar sia una questione fortemente esagerata (se non proprio una panzana) e chi invece sostiene che sia una problematica da affrontare in modo risoluto e con investimenti specifici.

Come ogni questione che spacca l'opinione pubblica ci sono esponenti di primo piano in entrambi gli schieramenti.
Tra i detrattori spiccano per notorietà Bruce Schneier e Marcus Ranum che si sono più volte esposti (ad esempio qui e qui) sulla inesistenza del problema. Tra i fautori della posizione che vede la cyberwar come un problema sempre più rilevante, escludendo i militari, spiccano Richard ClarkeJonathan Zittrain

Il dibattito, spesso, verte sulla connotazione di "guerra" che si attribuisce al termine cyberwar. Molti detrattori infatti negano la possibilità che una guerra possa essere "cyber". Alcune ragioni possono essere riassunte da un pensiero di Schneier: "Il cyberspazio presenta tutti i tipi di minacce: la criminalità informatica (frodi, estorsione, ecc.), che è di gran lunga il problema maggiore, il cyber-spionaggio (sia nella versione governativa che nella versione "civile"), anche l'hacking senza fini di lucro è ancora una minaccia così come lo è l'hacktivism (soggetti che attaccano siti e risorse Internet per fini politici). Queste minacce coprono una grande varietà di autori, di motivazioni, di tattiche, e obiettivi. Potete vedere questa varietà in quello che i media hanno erroneamente etichettato come cyberwar".

Altri, come Richard Bejtlich, rifacendosi alla definizione stessa di guerra - "Nella sua essenza, la guerra è un violento scontro di volontà. La guerra è un complesso, un'impresa umana che non risponde a regole deterministiche. Clausewitz ha descritto la guerra come la continuazione della politica con altri mezzi" - arrivano a concludere che, pur non riuscendo ad immaginare una guerra combattuta solo in maniera "cyber", riescono ad immaginare la cyberwar come la quinta dimensione (dopo la terra, l'acqua, l'aria e lo spazio) su cui un confronto armato può risolversi.

In tutto questo poi, ci sono i militari che, in alcuni paesi, primi fra tutti gli Stati Uniti, stanno investendo enormi risorse su iniziative di offesa e difesa e la NATO che sta pensando di inserire alcune tipologie di attacco tra le cause per invocare l'art.5 del patto (reazione anche militare di tutti i paesi aderenti).

Certamente, a mio modo di vedere, la cyberwar offre diversi vantaggi per chi la pratica e principalmente:
- la possibilità di negare ogni addebito per gli atti perpetrati, dato che è pressoché impossibile trovare la "pistola fumante" 
- la possibilità di portare attacchi efficaci con risorse modeste e, contestualmente, la necessità di disporre di enormi risorse per la predisposizione di efficaci misure di difesa
- la sinergia che si ottiene combinando attacchi cyber ad attacchi fisici (come l'attacco aereo del 2007 al reattore nucleare siriano di Deir-az-Zur oppure durante la guerra in Georgia del 2008)
- la possibilità di portare attacchi a nazioni non realmente vulnerabili sotto l'aspetto strettamente militare.

Quindi, come ha detto il Prefetto Giovanni De Gennaro, Direttore Generale del Dipartimento Informazione e Sicurezza, in una lezione tenuta il 29 gennaio 2010 alla Link Campus University of Malta: "È ormai opinione condivisa, tanto per fare un esempio, che il principale campo di sfida per l'intelligence del terzo millennio sarà quello della cybersecurity; e sarà lì che si confronteranno gli organismi informativi delle Nazioni più sviluppate, nella piena consapevolezza della vulnerabilità dei rispettivi sistemi-paese, allorché il mondo del web avrà totalmente permeato costumi e modelli comportamentali dei loro cittadini, delle loro aziende, delle loro infrastrutture critiche, dei loro sistemi di comunicazione, dei loro assetti economici e finanziari. La cybersecurity avrà allora la stessa valenza della difesa dal "nucleare" e forse anche di più, se si considerano i danni incalcolabili di un attacco informatico su larga scala."

Ottimo, e quindi che si fa?... Niente, siamo occupati in altre cose.

mercoledì 7 luglio 2010

Chi vuole andare a letto con Robin Sage?

Tutti! E' questa la risposta che emerge dall'esperimento condotto sull'uso (improprio) dei social network nella Difesa americana.

Ma procediamo con ordine... su Dark Reading, ieri, è stata pubblicata un'interessantissima notizia circa un esperimento di social engineering condotto in ambienti militari americani. Thomas Ryan, la mente dietro l'esperimento, dopo esere stato scoperto da un collega, ha dichiarato di aver creato sui maggiori social network (Facebook, LinkedIn e Twitter) un falso profilo di una bella ragazza, impiegata presso il Naval Network Warfare Command americano. Tramite questo profilo ha chiesto l'amicizia di molti presunti colleghi, militari e contractors, ottenendo un enorme successo. Nella trappola sono infatti caduti un totale di circa 300 colleghi, contando quelli che andavano e venivano. Ad oggi tutti e tre gli account di social networking della donna sono ancora attivi - il profilo di LinkedIn conta attualmente 147 connessioni, il profilo Facebook ne ha 110, e l'account Twitter ha 141 followers. Ryan ha portato avanti  ufficialmente l'esperimento per 28 giorni a partire dalla fine di dicembre e fino al gennaio di quest'anno.

Dal punto di vista dei "successi" della bella Robin ci sono i collegamenti con le persone del "Joint Chiefs of Staff", il CIO della NSA, un direttore della sezione "intelligence" dei marines, un capo dello staff della Camera dei Rappresentanti, parecchi impiegati del Pentagono e del Dipartimento della Difesa e diversi appaltatori della difesa, come la Northrop Grumman, la Booz Allen Hamilton e la Lockheed Martin. Questi ultimi, hanno fatto a Robin anche delle offerte di lavoro, comprensive di inviti "a cena" per discutere dei dettagli dell'impiego. 

Una delle cose più preoccupanti che sono emerse da questo studio è che Robin ha ingannato anche molti militari che hanno condiviso con lei molti dettagli di operazioni a cui stavano partecipando, alcuni violando le procedure OPSEC, alcuni in modo inconsapevole, come ad esempio un ranger dell'Esercito che ha condiviso delle foto sulla missione che stava svolgendo che contenevano le sue coordinate in Afghanistan.

Ryan, infatti, ha dichiarato: "Si potrebbe vederli parlare di dove stavano andando e dove erano in Afghanistan e in Iraq... alcuni hanno caricato immagini con informazioni di geolocalizzazione, e siamo stati in grado di vederli sul campo... Se Robin fosse stata un terrorista, avrebbe avuto modo di capire la dislocazione delle truppe in tempo reale". Ryan infine ha promesso che tutti i dettagli saranno svelati in un intervento che terrà al prossimo Black Hat USA 2010, di fine luglio.

Attraverso questo esperimento di 28 giorni, appare evidente che la diffusione di una falsa identità attraverso i siti web di social networking è veramente semplice, come dimostra anche il recente caso reale di Anna Chapman, la spia russa infiltrata in Gran Bretagna e Stati Uniti. Risulta anche evidente che il fatto di essere di sesso femminile, giovane e attraente, gioca un ruolo determinante nella generazione della fiducia e nello scatenare il desiderio delle persone di "connettersi" con qualcuno. Robin era bella, brava e con competenze di primo piano, veramente difficile resistere al suo fascino.

Ma è sempre bene ricordare che quando le cose sembrano troppo belle per essere vere, spesso sono... false!!!

domenica 4 luglio 2010

YouTube è vulnerabile ad attacchi XSS

Nelle ultime ore diverse fonti (tra cui: The Next Web, Techie Buzz, Mikko Hypponen) riportano la notizia che YouTube sia vulnerabile ad attacchi di tipo cross-site scripting (XSS). 
I dettagli sono ancora scarsi perché la notizia è ancora molto fresca tuttavia, secondo le prime informazioni disponibili, sembra che il problema renda possibile inserire codice nei commenti ai video.

Le prime pagine prese di mira sembrano essere legate a video del cantante Justin Bieber (che, siccome sono ormai diventato vecchio, non ho idea di chi sia ;-))) )

Secondo Mikko Hypponen il problema sembra che sia legato alla possibilità di inserire codice javascript nei commenti; la modalità utilizzata per evadere i controlli operati dal sito sarebbe quella di inserire due tag "script" consecutivi. In questo modo, il primo sarebbe scartato mentre il secondo consentirebbe di inserire commenti che contengono codice javascript.

Sembra infine che YouTube abbia bloccato la funzionalità di inserimento di nuovi commenti e abbia cancellato molti commenti che contenevano del codice inserito ma pare che la vulnerabilità non sia stata ancora risolta.

Non appena ci saranno altre notizie cercherò di pubblicarle.

----------------------------------------------------------------------------------------------
Intorno alle ore 20,30, The Next Web ha riportato che Google ha fornito loro la seguente risposta:


"Abbiamo preso una rapida azione per fissare una vulnerabilità di tipo cross-site scripting (XSS) su youtube.com che è stata scoperta diverse ore fa. I commenti sono stati temporaneamente nascosti per default nel giro di un'ora, e abbiamo rilasciato una correzione completa per il problema in circa due ore. Stiamo continuando a studiare la vulnerabilità per evitare problemi simili in futuro."

----------------------------------------------------------------------------------------------
Stopthehacker ha segnalato la pagina sulla quale sono state postate le prime segnalazioni e gli "script" utilizzati

http://www.google.com/support/forum/p/youtube/thread?tid=2059b45a2a699910&hl=en


giovedì 1 luglio 2010

Pronti o no, il DNSSEC sta arrivando!

Ieri ed oggi si è tenuto a Roma il convegno sul DNSSEC organizzato dal Global Cyber Security Center (GC-SEC) che è un'organizzazione senza fini di lucro recentemente creata per promuovere la sicurezza informatica. Il Centro è finanziato da Poste Italiane e da altre aziende ed ha sede a Roma. Il suo Direttore Generale è Andrea Rigoni, che conosco e stimo da diversi anni.

Prima di entrare nel merito delle informazioni che mi hanno più colpito, voglio fermarmi e sottolineare il grande lavoro svolto dall'organizzazione. 
Per una volta, pur essendo in Italia, ci si poteva sentire nell'"ombelico del mondo", infatti gli speaker* di questo convegno erano tutti i principali attori internazionali della materia e si respirava un'atmosfera di reale consapevolezza che, in questo convegno, le discussioni erano davvero allo stato dell'arte. 

Ma veniamo al tema, il DNSSEC, ovvero una serie di estensioni per garantire la sicurezza e affidabilità delle informazioni fornite dai sistemi DNS (il protocollo che consente di utilizzare le risorse di Internet richiamandole attraverso l'uso di nomi e non di indirizzi numerici).

Un paio di informazioni di contesto solo per inquadrare lo scenario...
Dopo l'annuncio di una grave vulnerabilità del protocollo DNS (Dan Kaminsky, a luglio 2008, ha annunciato di aver scoperto una vulnerabilità che consente di portare attacchi di "cache poisoning" sui nameserver) è apparso chiaro che, per eliminare il problema, era necessario migrare al DNS sicuro, il DNSSEC appunto. Affinché si possa raggiungere l'obiettivo di mantenere una ragionevole sicurezza su Internet, questa migrazione deve essere globale e deve riguardare tutte le tipologie di dominio (quelli nazionali, quelli commerciali, quelli tematici, ecc.). Come è facile comprendere questo immane lavoro richiede, a livello globale, grandi capacità, grandi risorse e un importante livello di coordinamento. La strada imboccata sembra quella giusta e infatti il 15 luglio prossimo si terrà la seconda e ultima cerimonia di generazione delle "chiavi di root", ovvero le chiavi delle chiavi, passo fondamentale nel deployment della soluzione globale.

Venendo alla due giorni del convegno, la qualità degli oratori ha consentito spesso di rimanere talmente alti, da prescindere la sfera strettamente tecnologica. Ho quindi deciso di approfittarne e riportare solo questi aspetti, per evitare di avvitarmi in aspetti incomprensibili ai più. Gli atti inoltre saranno pubblicati quanto prima sul sito del GC-SEC e quindi, chi vuole, potrà approfondire gli aspetti più tecnici direttamente sul materiale prodotto dagli speaker.

Ecco quindi una serie di notizie e analisi estratte dai vari interventi:
- è in atto la creazione del dominio .post (dedicato agli operatori postali) che supporterà nativamente il DNSSEC
- gli Stati Uniti hanno in cantiere il deployment del DNSSEC per i domini .gov (a seguire i .edu)
- il NIST ha pubblicato la guida "Secure DNS Deploy Guide" e ha sviluppato un tool open source "Zone Integrity Checker"
- in Italia il Registro .IT non ha ancora iniziato le attività di analisi preliminari per il deployment del DNSSEC
- Telecom Italia ha iniziato la fase di analisi e di test per integrare il DNSSEC nella propria infrastruttura DNS
- in Repubblica Ceca il Registry .CZ è operativo e ha oltre 100.000 domini firmati, i Registrars che supportano il DNSSEC coprono circa l'80% del mercato, è stato sviluppato un plug-in per Firefox che permette di verificare visivamente se un sito su cui ci si connette usa il DNSSEC
- nel Regno Unito il Registry .UK ha collaborato allo sviluppo di OpenDNSSEC, un tool open source per la gestione del DNSSEC, le attività di deployment inizieranno a marzo 2011
- in svizzera il Registry .CH attualmente supporta parzialmente il DNSSEC, ci sono circa 60 domini firmati
- TeliaSonera in Svezia da circa tre anni supporta la validazione dei domini firmati senza particolari impatti negativi sull'infrastruttura
- in Svezia il Registry .SE lavora da circa 5 anni al deployment del DNSSEC e hanno diversi domini firmati, sono pronti per il deployment di massa
- ComCast negli Stati Uniti sta adeguando l'infrastruttura per la gestione del DNSSEC
- ENISA ha prodotto diversi studi sui costi e sulle risorse da impegnare per il deployment del DNSSEC.

Tutti hanno concordato sul fatto che le maggiori difficoltà sono negli adeguamenti organizzativi (modalità più complesse, procedure più importanti, troubleshooting più complesso) piuttosto che negli investimenti in "pezzi di ferro".

Tra le domande aperte a cui si è cercato di dare delle risposte ci sono:
Chi sosterrà i costi di adeguamento? Il mercato è in grado dare risposte e risorse sufficienti? E' sufficiente ragionare in termini di gestione del rischio per trovare le risorse necessarie? Si genererà un "effetto valanga", per il quale, dopo le prime esperienze, sarà impossibile per gli altri rimanere "fuori dal giro"?

Voglio chiudere con una frase di Jim Galvin, uno dei più accesi sostenitori del DNSSEC.
"Il DNSSEC cambierà il volto di Internet così come lo ha cambiato il Web"

Pronti o no, il DNSSEC sta arrivando.

-----------------------------------------------------------------------------------------------
* Ecco l'elenco degli oratori del convegno, vista la caratura dei personaggi vale la pena ricordarli.
Marco Bavazzano (Director Global IT, Telecom Italia), Gregory Crabb (Assistant Inspector in Charge, Cyber Intelligence, US Postal Service), Steve Crocker (uno dei padri di Internet, attualmente CEO di Shinkuro), Edouard Dayan (Director Generale of Universal Postal Union), Paul Donohoe (Head of Programme e-commerce, UPU), Mats Dufberg (Senior System Expert, Telia Sonera), Urs Eppenberg (Head of Internet domain, Switch .CH Registry), Anne-Marie Eklnd-Lowinder (Quality and Secuirty Manager, IIF .SE Registry), Jim Galvin (Director of Strategic Partnership, Afilias), Chris Griffiths (Manager of HIS Engineering, ComCast), Olaf Kolkman (Head of NLnet Labs), Domenico Laforenza (Managerof .IT Registry), Doug Maughan (Program Manager, Department of Homeland Security), Simon McCalla (Director of IT, Nominet .UK Registry), Sara Monteiro (FCCN, .PT Registry), Doug Montgomery (Manager Internet Tech. Research Group, NIST), Russ Mundy (Manager of research in Internet Security, Sparta), Agostino Ragosa (CISO, Poste Italiane), Andrea Rigoni (Director General, GC-SEC), Panagiotis Saragiotis (Seconded National Expert, ENISA), Massimo Sarmi (CEO, Poste Italiane), Stefano Trumpy (Italian Delegate in ICANN), Pavel Tuma (Director of Marketing, CZ.NIC .CZ Registry)

http://www.wikio.it