martedì 26 ottobre 2010

Bredolab: una nuova botnet KO

Mikko Hypponen di F-Secure ha ripreso il comunicato del "High Tech Crime Team" olandese che ha annunciato ieri una azione di contenimento della botnet Bredolab, una più pericolose in circolazione.

Bredolab è un trojan polimorfico molto complicato, innalzato agli onori della cronoca soprattutto per essere stato utilizzato in campagne di attacco contro gli utenti di Facebook e MySpace. In realtà Bredolab è stato  utilizzato per infettare gli utenti secondo quasi tutti gli schemi conosciuti, utilizzando tecniche che spaziano dagli attacchi di tipo drive-by, al più classico invio di e-mail fino a sofisticate tecniche di social engineering. La botnet di Bredolab è nota per essere collegata a campagne di spam e di diffusione di falsi software antivirus. Una volta installato, Bredolab prende il completo controllo del computer infetto e viene usato per ottenere informazioni sull'utente, tra cui le sue password e i suoi dati finanziari.

Tanto per quantificare un minimo l'estensione e la capacità di operare di questa botnet vi riporto i principali dati che sono stati raccolti nel corso delle indagini: la botnet era in grado di infettare 3 milioni di nuovi computer al mese e, quotidianamente, venivano inviate oltre 3,6 miliardi di e-mail contenenti il trojan.

La cronaca di ieri ci racconta che, a fine estate, dopo una serie di investigazioni del High Tech Crime Team, è emerso che questa botnet utilizzava numerosi server affittati da un rivenditore di LeaseWeb che è il più grande hosting provider in Olanda. LeaseWeb, informata dei fatti, ha pienamente collaborato alle indagini e alle successive fasi di contenimento della botnet. E' stato quindi costituito un team composto da LeaseWeb, dal Dutch Forensic Institute (NFI), da Fox-IT, una società di sicurezza  e dal GOVCERT.NL, il Computer Emergency Response Team olandese. Le attività di questo team si sono concluse ieri con il sequestro e la disconnessione da Internet di 143 server della rete di Comando e Controllo della botnet, rendendola di fatto inoffensiva.

Questa notizia va a supportare una nuova tendenza di contrasto alle botnet caratterizzata da un atteggiamento molto più offensivo rispetto al passato, infatti, dopo l'Operation B49 condotta da Microsoft e il "takedown" di Mariposa, si aggiunge un altro significativo tassello nella lotta contro le botnet. È però interessante notare che questa volta si farà un passo avanti rispetto alle altre operazioni di "takedown", infatti, è stato annunciato che sarà inviato un avviso agli utenti dei PC infetti che, al momento del login, riceveranno una informativa sullo stato di infezione del loro sistema. 

Probabilmente, per consentire l'invio di questo messaggio, sarà utilizzata l'infrastruttura stessa della botnet con una modalità di approccio che, appunto, non ha precedenti.

Insomma, un consistente passo avanti nella lotta alle botnet e una buona notizia per tutti noi.

sabato 23 ottobre 2010

Il Garante e la sicurezza della giustizia amministrativa

Qualche giorno fa è stata pubblicata la nuova newsletter del Garante Privacy in cui viene riportata, tra le altre notizie, una nota sull'esito di un ciclo di verifiche effettuate in collaborazione con il Consiglio di Stato e con il Tar del Lazio sullo stato di conformità alle regole privacy della giustizia amministrativa.

Nelle verifiche effettuate sono emerse alcune problematiche di "natura logistica":
- alcuni armadi, collocati nei corridoi delle segreterie e nei quali sono custoditi fascicoli processuali, sono privi di serratura
- alcuni faldoni, contenenti fascicoli processuali, si trovano nel corridoio di accesso all'archivio, al di fuori dei locali chiusi
- l'accesso alla sala server e alla sala ove sono collocati i gruppi di continuità, site presso la sede di Palazzo Spada in un'area separata dagli uffici, è possibile, rispettivamente, con badge non nominativo e con chiave fisica. Gli accessi non vengono registrati. E' istallata una telecamera che riprende l'area prospiciente l'ingresso ai locali

Inoltre sono emerse delle problematiche dal punto di vista della gestione informatica dei dati:
- le comunicazioni gestite da N.S.I.G.A. (Nuovo Sistema Informativo della Giustizia Amministrativa) fra le sedi della Giustizia amministrativa e gli accessi dei magistrati a N.S.I.G.A. da postazioni esterne agli uffici (cd. "scrivania del magistrato") avvengono attraverso il protocollo "http" non cifrato
- relativamente agli accessi a N.S.I.G.A. da parte degli utenti abilitati (magistrati e personale amministrativo), vengono tracciate le operazioni di scrittura, non gli accessi in sola lettura
- le password utilizzate dal personale per accedere a N.S.I.G.A. e al dominio della rete interna dell'amministrazione rispondono alle specifiche misure minime di sicurezza richieste dal Codice. Peraltro: 1) ogni password utilizzata per l'accesso a N.S.I.G.A. è composta da una parte del nome dell'utente che la utilizza; 2) relativamente alle password per l'accesso al dominio della rete interna dell'amministrazione, il sistema impedisce per ventiquattro volte agli utenti di ripetere una password già utilizzata;

Il Garante Privacy ha quindi stabilito che, nel termine di dodici mesi, oltre agli ovvi miglioramenti logistici, il sistema N.S.I.G.A. dovrà  implementare la cifratura delle comunicazioni telematiche provenienti dall’esterno (tramite l'adozione del protocollo "https"), la tracciatura di tutti gli accessi e di tutte le operazioni effettuate dagli utenti abilitati ed infine delle diverse policy per la gestione delle password. Tra le misure logistiche, risultano particolarmente interessanti quelle riguardanti la sala server e la sala dove sono collocati i gruppi di continuità che dovranno essere costantemente monitorati, eventualmente anche attraverso un impianto di videosorveglianza interno, e i cui accessi dovranno essere registrati (tramite log) e consentiti solo con badge nominativi.

Questa serie di prescrizioni mi fa riflettere, ancora una volta, sul ruolo e sull'approccio adottato dal Garante privacy italiano. Mi chiedo infatti, se sia opportuno che il Garante esprima direttamente delle soluzioni vincolanti che devono essere adottate (come ad esempio l'adozione del protocollo https per gli accessi dall'esterno o l'adozione di badge nominativi), piuttosto che indicare le problematiche riscontrate associate ad una generica indicazione per la risoluzione. Insomma, trovo che sarebbe più appropriato un approccio più neutro, simile ad esempio a quello adottato dagli auditor nelle verifiche di certificazione che, in presenza di "non conformità", si limitano a darne una descrizione e a descrivere l'approccio da adottare per risolvere la problematica ma non entrano nella specifica indicazione della soluzione da adottare, anche perché, guardando le cose dall'esterno, a volte, si possono effettuare scelte che non sono le migliori.

A mio giudizio, invece, il dato positivo è che il Garante è riuscito a ricavarsi un ruolo che gli consente di interfacciarsi con altre autorità e sottoporre a valutazione critica le scelte effettuate da quelle autorità.

Insomma, abbiamo una risposta ad una delle più classiche domande... Qui custodiet custodes? (Chi controlla i controllori?)... ovvio... il Garante!!

mercoledì 20 ottobre 2010

Inghilterra - Italia 650milioni-0

"The security of our nation is the first duty of government. It is the foundation of our freedom and our prosperity." 

Queste parole sono l'inizio della "National Security Strategy" britannica presentata dal Primo Ministro al Parlamento. Chiunque di voi le legga è in grado di comprenderle profondamente e capire che sono una verità incontestabile. Chi potrebbe dirsi in disaccordo? 

Quanto mi piacerebbe che un documento sulla sicurezza prodotto dal nostro governo si aprisse con una frase come questa; sarebbe veramente il momento di pensare che abbiamo fatto un salto di qualità.

Scorrendo il testo si legge che al documento di strategia è collegato un secondo documento dal titolo "The Strategic Defense and Security Review" che descrive come saranno strutturate le Forze Armate, la polizia e le agenzie di intelligence al fine di contrastare le minacce presenti e future in modo efficace, al pari di come sono state fronteggiate quelle del passato. Ebbene in questo secondo documento si può trovare, al paragrafo 4.C.3, che il governo britannico introdurrà un programma nazionale di cyber security per colmare il divario tra le esigenze di una moderna economia digitale e la rapida crescita dei rischi associati al cyber spazio. Il National Cyber Security Programme sarà supportato da uno stanziamento di 650 milioni di sterline in quattro anni. Il successo di questo programma - prosegue il documento - dipende anche dal ruolo fondamentale che il settore privato è chiamato a svolgere e dalle partnership pubblico privato che si struttureranno a supporto del programma stesso

Ed infine l'apoteosi... Attraverso questo programma, noi (il governo britannico):
- revisioneremo l'approccio del Regno Unito nei confronti della criminalità informatica. Creeremo un unico punto dove il pubblico e le imprese possano segnalare i crimini informatici
- porremo rimedio alle carenze del Regno Unito nella rilevazione e nella difesa contro gli attacchi cyber provenienti da terroristi, stati o da altri soggetti ostili
- creeremo una nuova organizzazione, il UK Defence Cyber Operations Group, all'interno del Ministero della Difesa per garantire una coerente integrazione delle attività relative alla cyber security in tutto lo spettro delle operazioni di difesa
- porremo rimedio alle carenze della sicurezza informatica delle infrastrutture critiche da cui dipende il Regno Unito; la leadership strategica e la supervisione regolamentare saranno forniti da una nuova unità chiamata Cyber Infrastructure Team realizzata presso il Department for Business, Innovation and Skills
- sponsorizzeremo una ricerca di lungo periodo sulla cyber security, realizzata da strutture pubbliche e private, per costruire e mantenere l'eccellenza in questo settore
- introdurremo un nuovo programma di educazione e di sviluppo delle competenze al fine di promuovere un approccio più preventivo alla sicurezza informatica in tutto il Regno Unito 
- continueremo a costruire le nostre alleanze sulla cyber security, anche attraverso il rapporto già forte con gli Stati Uniti, con la creazione di nuove relazioni con le nazioni che hanno delle affinità di approccio

Se tutto questo non vi bastasse provate a leggere il resto del documento... c'è quasi tutto quello che ogni esperto del settore vorrebbe leggere...

E già, questa partita la stiamo perdendo 650 milioni di sterline a zero... speriamo che qui da noi qualcuno si svegli prima di diventare veramente... irrilevanti.

martedì 19 ottobre 2010

Matteo Meucci - Fiducia Cieca

Sono veramente lieto di ospitare il primo post della serie "Voci Amiche", ossia il primo post "esterno" che viene pubblicato sulle pagine di Punto 1. E' per me fonte di ulteriore piacere il fatto che la prima persona che si è voluta cimentare con questa iniziativa sia Matteo Meucci, fondatore e presidente del capitolo italiano di OWASP e CEO di Minded Security. In fondo al post trovate una breve biografia di Matteo.

Bene, bando alle ciance...

"Fiducia Cieca" di Matteo Meucci

Che direste di qualcuno che quando incontra una persona per la prima volta, le stringe la mano e, subito dopo, in seguito ad una semplice domanda, fornisce automaticamente tutti i suoi dati e le sue informazioni personali?

E’ uno sprovveduto? E’ vittima di un raggiro?

Ora, a meno che questa ipotetica persona non sia davanti ad un pubblico ufficiale, le domande che di norma si dovrebbe porre prima di fornire informazioni sono: come mai questa richiesta? Che uso verrà fatto dei miei dati?

L’esperienza ci ha insegnato che la fiducia è un legame che si crea e si consolida nel tempo, sulla base della conoscenza reciproca.

Se tutto questo è chiaro e pacifico nelle interazioni tra persone, questi criteri di prudenza sono incredibilmente trascurati nelle interazioni tra applicazioni. Infatti il punto di integrazione tra applicazioni web complesse risulta essere ad oggi una delle problematiche maggiormente sottovalutate. Per questo mi sembra utile approfondire e analizzare le conseguenze della facilità con cui i responsabili applicativi forniscono un “trust implicito” verso tutti i confini delle applicazioni che si stanno realizzando.
Nel mondo applicativo, durante la fase di design ed implementazione del software, purtroppo, si tende a fornire un trust implicito verso tutti i confini applicativi, ovvero ci si focalizza (quando lo si fa) solo sulla sicurezza del core dell'applicazione che si sta sviluppando senza pensare a tutte le possibili interazioni che il nostro software dovrà gestire.

Il primo aspetto di trust implicito è relativo al fatto che tutto quello che proviene dagli utenti dovrebbe essere correttamente validato prima di essere processato lato server; sappiamo che questo è il problema più annoso nel mondo delle applicazioni web ed è un problema conosciuto. 

Quello che viene di norma molto sottovalutato riguarda gli altri aspetti di trust implicito e cioè:
- la comunicazione tra applicazioni: quando è necessario inviare delle informazioni dall’applicazione verso un database o altre applicazioni, spesso si sottovaluta la necessità di autenticare la richiesta e mantenere riservati i dati in transito. Questa trascuratezza, tra l’altro, espone anche a problematiche di privacy. (Per un approfondimento si veda la OWASP Top 2010, paragrafo A9 – Insufficient Transport Layer Protection. )
- l'utilizzo di piattaforme o di librerie open source: molto spesso vengono utilizzate piattaforme liberamente disponibili o librerie open source dimenticandosi che anche queste fanno parte dell’applicazione e che dovrebbero essere verificate così come il codice custom sviluppato. Il fatto che una piattaforma sia open source non significa che siano state correttamente eseguite tutte le necessarie verifiche di sicurezza prima del rilascio.
- l'import di componenti da terze parti: questa è la nota più dolente. Ad oggi non c’è nessuna sensibilità su questo tema. La maggior parte delle applicazioni Internet importa componenti esterni (come ad esempio banner in flash) trattandoli come una parte separata, non pensando, invece, che una possibile vulnerabilità su questo componente si ripercuoterà negativamente sulla sicurezza di tutta l’applicazione. All’interno di questa problematica il caso Javascript è certamente il più allarmante: la maggior parte dei siti Internet carica Javascript da siti di terze parti fornendo ancora una volta un trust implicito verso domini esterni. 
Questo è disarmante! 
In caso di compromissione del dominio della terza parte anche la sicurezza del nostro sito potrebbe essere compromessa ed inoltre un attaccante potrebbe eseguire azioni malevole direttamente sui browser degli utenti che utilizzano il nostro sito semplicemente modificando il codice Javascript che, con tanta faciloneria, abbiamo portato all’interno del nostro dominio applicativo.

Facciamo un esempio pratico… avremo un utente, il nostro sito, lo script e il sito della terza parte. Il flusso tipo prevede che gli attori interagiscano secondo il seguente schema:
- il browser dell’utente si collega al nostro sito
- il nostro sito richiama uno script memorizzato sul dominio terzaparte.it
- il dominio terzaparte.it fornisce il codice al nostro sito

Supponiamo che il codice JavaScript comprenda la seguente linea di codice:
sendTrack("url="+location+"&cookies="+document.cookies)
dove sendTrack è una comune funzione che invia, così come è stata pensata, le informazioni degli utenti verso terzaparte.it che, come tanti siti, traccia gli utenti che si collegano. Ebbene, è sufficiente questo codice per compromettere la riservatezza del cookie di sessione dell’utente: tale funzione, infatti, invierà al sito terzaparte.it il contenuto dei cookie dell’utente. Questo significa che il dominio di terza parte avrà a disposizione tutti i cookie di sessione degli utenti autenticati sul nostro sito compromettendo di fatto la sicurezza dell’applicazione.  
Inoltre teniamo presente che il codice JavaScript che viene eseguito sul browser dell’utente ha accesso al Document Object Model (DOM). Nel caso in cui vi siauna mancanza di un controllo molto stretto sulle modalità di utilizzo di un insieme di funzioni Javascript e i flussi di dati sono controllati da un attaccante, si può configurare una situazione molto pericolosa nota come DOM Based Cross Site Scripting. (E’ possibile approfondire questa vulnerabilità su OWASP o sul DomXSS Wiki:  curato da Stefano Di Paola).

Questi, sono solo un paio di esempi reali di trust implicito che può causare problemi di sicurezza del software: e voi quale livello di fiducia date al codice sviluppato da una terza parte?


-----------------------------------------------------

Matteo Meucci:
Laureato in Ingegneria Informatica presso l’Università degli Studi di Bologna, è attualmente CEO di Minded Security con più di 9 anni di esperienza nel campo dell’Information Security. Precedentemente fa parte del team della Security Practice europea di BT-INS, con focus su attività di Ethical Hacking e Application Security; responsabile della divisione Application Security presso una realtà romana e Application Security Consultant presso CryptoNet.

Dal 2005 Fondatore e presidente del Chapter italiano del progetto OWASP (Open Web Application Security Project) è responsabile della metodologia OWASP per la verifica di sicurezza degli applicativi web (OWASP Testing Guide). Possiede la certificazione CISSP e CISA.

Ha pubblicato diversi articoli sulla Web Application Security su riviste ed ezine quali Hackin9, ICT Security, La Repubblica, il Sole 24 Ore, ISACA Roma newsletter, Sistemi di Telecomunicazioni. È relatore presso EusecWest, Infosecurity, IDC European Banking Conference, OWASP Conferences in Milan, Rome, London, Boston, ABI Banche e sicurezza, Firenze Tecnologia, ISACA, SMAU e presso i Master
Universitari della Bocconi di Milano, La Sapienza Roma, Almaweb di Bologna.

Punto 100: considerazioni e novità

E siamo arrivati a cento post...

Un buon momento per fare alcune considerazioni e un primo bilancio. 

L'iniziativa di Punto 1 sinora mi ha dato più soddisfazioni di quante avrei immaginato, sia dal punto di vista della creazione di un network di persone che frequentano il blog e che commentano i post sia dal punto di vista degli scambi di opinioni che si sono generati "a lato" del blog stesso. Mi sembra perciò arrivato il momento giusto per chiedere a chi passa un po' del suo tempo a leggere ciò che scrivo, cosa vorrebbe cambiare di questo blog e cosa vorrebbe trovare che invece al momento non c'è... per cui fatevi sotto e scrivetemi la vostra proposta!

Per quanto mi riguarda, l'idea è di lanciare un paio di nuove iniziative...

la serie "Voci Amiche", ossia post scritti da persone che stimo e apprezzo e che proporranno degli argomenti nuovi o degli approfondimenti su tematiche specifiche
la pagina "Tweets", in favore della persistenza dei contenuti di valore, dove raccoglierò alcuni contenuti tratti da Twitter organizzandoli per argomento in modo che siano consultabili nel tempo e non vengano "bruciati" nel breve volgere di un'ora  come tutti i gli altri tweet

Nei prossimi giorni vedrete queste novità...

Infine, sta per iniziare una collaborazione con "Sicuramente", il blog del Clusit, sul quale pubblicherò alcuni post e metterò dei rimandi ai contenuti di Punto 1. La logica, per quanto possibile, sarà quella di evitare le duplicazioni dei contenuti e quindi gestire le pubblicazioni con dei link tra i due siti in modo da consentire ai lettori di avere comunque accesso a tutte le notizie.

Spero che queste novità vi possano interessare e che possiate continuare ad apprezzare Punto 1 e, se non lo apprezzate... ditemelo!!

lunedì 11 ottobre 2010

MUMBLE - Cloud vuol dire fiducia

Ebbene si, ho biecamente giocato con il noto slogan di un'industria alimentare. 
A mia scusante posso solo anticiparvi che i motivi ci sono e più avanti ve li esporrò.

Ma cominciamo con ordine... 

Ieri l'amico Feliciano Intini ha segnalato una notizia che mi ha fatto riflettere parecchio. In estrema sintesi la notizia è che Adam Swidler, un product marketing manager di Google, nel corso di un keynote tenuto al "Mass Technology Leadership Council Security Summit", ha affermato che i clienti dei servizi cloud di Google che si preoccupano della sicurezza faranno meglio ad abituarsi al fatto di non poter controllare direttamente la sicurezza dei loro dati. Infatti, il meglio che Google può fare è condividere i propri obiettivi di controllo e di sicurezza con chi ha preventivamente firmato un accordo di riservatezza.

Adam Swidler ha spiegato che molti clienti si preoccupano della sicurezza garantita dai fornitori di servizi di cloud computing ma non esiste un modo soddisfacente per consentire una valutazione diretta da parte loro. "Noi non consentiamo ai clienti di effettuare degli audit analoghi a quelli che potrebbero realizzare nella loro infrastruttura. Dovrete estendere un certo livello di fiducia nelle verifiche di terza parte."
Infatti, secondo Swidler, un fornitore di servizi cloud non avrebbe il tempo di lasciare che ogni cliente controlli la sicurezza dei propri dati ed inoltre non sarebbe possibile consentire che le misure di sicurezza adottate possano diventare di pubblico dominio in quanto gli attaccanti avrebbero degli enormi vantaggi.

Questa notizia, dunque, mi ha fatto riflettere. Non tanto perché sia un qualcosa che non ci si aspetta, ma piuttosto per la reazione che suscita... Ma come, non posso controllare come i miei dati e le mie applicazioni vengono gestiti? E allora quali strumenti ho? Se non si può fare audit, come farò a fidarmi?

E poi mi è venuto in mente che qualcosa di molto simile è parte della nostra vita quotidiana; proprio sui temi che ci stanno maggiormente a cuore. La nostra salute. A meno che non si appartenga a quella minoranza che mangia solo i frutti della terra che coltiva personalmente, abbiamo tutti firmato un'enorme cambiale in bianco con l'industria alimentare (ecco spiegato il titolo del post) che prepara i cibi che consumiamo e non consente certo delle ispezioni da parte dei consumatori. Quindi, l'affidarci a terzi per la gestione dei dati non dovrebbe essere un salto culturale così grande come invece viene percepito. E perché troviamo la cosa più preoccupante che mangiare delle cose di cui sappiamo solo ciò che viene dichiarato dal produttore?

Azzardo delle ipotesi.

1 Problema di  percezione
Nel mondo dell'industria alimentare ci si illude che l'approccio non sia tecnologico. Nelle cloud lo strato tecnologico non essendo compreso (o in alcuni casi non essendo comprensibile a causa di ciò che non dicono i fornitori) provoca grandi perplessità negli utenti

2 Problema di maturità
Le tecnologie alimentari sono diventate ormai un dato di fatto quotidiano, le cloud sono una grande rivoluzione "in fieri" e non siamo mai particolarmente favorevoli alle novità

3 Problema di regole
Nel mondo dell'industria alimentare ci sono regole codificate da tempo e precise responsabilità anche penali. Nel mondo delle cloud gli unici riferimenti, ancora acerbi per molti aspetti, sono le linee guida prodotte dalla Cloud Security Alliance, che peraltro non raggruppa neanche tutti i "grandi" (Amazon ad esempio è fuori) e il documento di valutazione del rischio prodotto da ENISA

4 Problema dei controlli
Nell'industria alimentare i controlli sono demandati alle forze dell'ordine che effettuano la necessaria vigilanza e deterrenza nei confronti dei produttori. Nel mondo cloud, al momento, esistono solo le autodichiarazioni, visto che approfonditi controlli di terza parte non sono/saranno consentiti

Proseguendo nel ragionamento, alcune risposte (parziali) potrebbero arrivare proprio dal modello alimentare... ad esempio, demandare ad un'autorità riconosciuta dalle parti (visto che la transnazionalità delle cloud è di impedimento all'azione di una specifica autorità nazionale) l'attività di auditing rispetto a standard riconosciuti e approvati potrebbe essere un approccio utile. E poi, se provate a fare una ricerca su Google sullo slogan che fornisce il titolo a questo post troverete che molte pagine sono dedicate ad un fatto di cronaca legato proprio alla presunta violazione di quelle regole di produzione che ha caratterizzato l'azienda dello slogan. Allora, una possibile fonte di riequilibrio per il mercato delle cloud che certamente non si sta evolvendo nel senso delle garanzie per gli utenti, potrebbe venire proprio dalla federazione degli utenti e dalle pressioni che queste federazioni possono portare.

Queste certamente non sono le Soluzioni però mi piacerebbe confrontarmi con voi... che ne pensate?


venerdì 8 ottobre 2010

IWC Rome 2010: gli interventi

Ebbene si! 
Ogni promessa è debito! 

Eccomi quindi a raccontare gli interventi che mi hanno maggiormente colpito della Prima Conferenza Annuale sull'Information Warfare" svoltasi ieri a Roma. 
Per un resoconto generale e per le impressioni sull'evento potete leggere il mio post di ieri.

Dato che, nel corso della giornata si sono tenuti ben 23 interventi, mi limiterò a menzionare gli interventi che a mio parere hanno lasciato un segno nella giornata. 

Adesso bando alle ciance e sotto con gli interventi...

On. Prof. Vincenzo Scotti - Classe '33, politico di lungo corso, più volte ministro e attualmente sottosegretario agli Esteri, ha tenuto un intervento istituzionale e di introduzione alla tematica. 
La Cyberwar è una sfida per tutti compreso il mondo accademico che deve saper esprimere le competenze per aiutare a valutare meglio gli impatti e le implicazioni. Purtroppo non abbiamo ancora compreso a fondo la minaccia e viviamo in una situazione simile a quella dei primi anni del dopoguerra in cui non c'era ancora una piena consapevolezza di cosa fosse realmente la minaccia nucleare. Una grande differenza è però che, nel campo della Cyberwar, non è possibile applicare il concetto di deterrenza a causa della difficoltà nell'attribuzione di un attacco. Un controllo e una regolamentazione internazionale degli "armamenti cyber" risulta quindi assolutamente necessaria. Purtroppo nel mondo odierno le cose esistono solo se sono comunicate e la nostra nazione è poco attenta e poco informata; si occupa di cose futili invece che delle sfide globali. Questa conferenza è importante anche per questo.

Ho trovato che per essere un intervento di un politico (quindi non un addetto ai lavori) è riuscito a cogliere molti più messaggi di quanti i cosiddetti esperti siano in grado di raccontare.

Prefetto Pasquale Piscitelli (Vice Direttore Generale Vicario, Dipartimento Informazioni per la Sicurezza - DIS) ha tenuto un intervento di alto profilo in cui ha dato alcune importanti notizie.
La Cyber Threat è al primo posto delle minacce statuali e gli impatti potenziali sono assimilabili a quelli delle minacce reali. Le difficoltà di attribuzione rendono questa minaccia ancora più pericolosa. Tra i vari attacchi che, nel tempo, sono stati portati, (Estonia, Georgia, ecc.) è bene ricordare l'attacco del 2008 al Segretariato Generale della UE sulla rete che tratta informazioni non riservate (questa, a mia memoria, era un'informazione classificata e non ricordo sia stata precedentemente divulgata, posso però sbagliare). Dal punto di vista del terrorismo, la minaccia cyber è, al momento, riservata al proselitismo e alla gestione degli aspetti logistici. All'interno del DIS opera l'Ufficio Centrale per la Segretezza - UCSE che è presente nel gruppo ONU che ha  redatto il documento di intesa (firmato da 15 paesi tra cui l'Italia) sulla riduzione della minaccia derivante da attacchi sulle reti di computer. Inoltre l'UCSE è molto attivo nella certificazione di sicurezza dei prodotti Hw e Sw. AISI e AISE hanno delle specifiche articolazioni che, all'interno del loro mandato, si occupano di contrasto delle minacce cyber.

Gen. D.Nicola Gelao (Capo del II Reparto - Informazioni e Sicurezza, Stato Maggiore della Difesa) ha tenuto un intervento di alto profilo contenente delle linee strategiche chiare e dirette.
I conflitti del futuro saranno svolti in paesi fragili, lontani dalle reali nazioni in conflitto, portati avanti da soggetti anche non statuali ed effettuati con tutti gli armamenti possibili, cinetici e non cinetici. Le popolazioni svolgeranno un ruolo fondamentale (come hanno dimostrato i teatri operativi in Iraq e Afghanistan), gli ambienti operativi saranno congestionati, contesi, complessi, caotici e popolati da minacce ibride. La soluzione deve essere integrata con un approccio non lineare. La Cyberwar si configura come un'arma tattica e sinergica ai tradizionali armamenti in questi difficili ambienti operativi. L'ICT nei paesi avanzati è un'arma ma è anche e soprattutto una vulnerabilità che può essere sfruttata da paesi meno evoluti per portare attacchi potenzialmente molto pericolosi. Anche se, al momento, l'assegnazione di una reale valenza militare a questo tipo di attacchi è di difficile valutazione e le implicazioni "legali" sono tutte da valutare. L'obiettivo è quindi la cosiddetta Information Superiority e il presupposto per arrivare a questo traguardo è l'essere dotati di una strategia nazionale che venga realizzata da un'apposita struttura operativa nazionale. Infine la resilienza dei sistemi e delle reti è fondamentale. L'Italia, quindi, per raggiungere questi obiettivi sfidanti deve riuscire a fare sistema, integrando strutture militari, civili e private.

E adesso alcune frasi raccolte dagli altri interventi...

La combinazione tra HUMINT e gli attacchi cyber è tutta da esplorare e capire. Stuxnet è un esempio di come si possano integrare queste due dimensioni per portare attacchi fino a ieri impensabili. 

La awareness nazionale è fondamentale. 
(Paolo Scotto di Castelbianco - AISE)
--------------------
Ci manca lo skipper.
(Domenico Vulpiani - Cons. per la sicurezza informatica e la protezione delle IC - Ministero degli Interni)
-------------------
Il Rwanda è uno dei paesi al mondo più evoluti dal punto di vista della Cyberwar. Fanno grandi investimenti in uomini e mezzi. 

Il digital soldier è una realizzazione di Information Warfare sul campo.

Se, normalmente, si pensa che la Information Warfare sia sinergica agli attacchi cinetici statuali bisogna anche capire che lo stesso vale per il terrorismo. 

I punti nei quali le organizzazioni terroristiche stanno incrementando le loro attività cyber sono: la gestione delle cellule e la "Intelligence Collection". Al contrario il reclutamento su Internet sta diventando meno rilevante. Ciò che infine è ancora il terrenno cyber preferito dai terroristi è la propaganda.
(Shai Blitzblau - Technical Director Maglan Information Defence Tech.)
 -------------------

Una esperienza che abbiamo portato in ambito NATO è la capacità di svolgere esercitazioni veramente evolute in ambito cyber. A partire dal 2008, con la Cybershot08 e ancor più con la prossima CS10, stiamo veramente raggiungendo dei livelli di eccellenza. Oltre alla Forze Armate hanno partecipato alla CS08 e parteciperanno alla CS10 anche degli enti civili quali quelli di coordinamento (CERT-SPC e CNAIPIC), i CERT di alcuni ministeri (ULS MEF/Consip) e l'ENAV.
(C.F. Catello Somma II Reparto SMD)
--------------------
Ovviamente molte altre cose mi hanno colpito, favorevolmente e sfavorevolmente, in questa lunga conferenza ma per ovvie esigenze di sintesi non sono riuscito a trattarle. In sintesi, questa conferenza mi ha colpito, ma  sono convinto che il prossimo anno sarà anche meglio...

giovedì 7 ottobre 2010

Information Warfare Conference Rome 2010

Come avevo promesso questa mattina su Twitter, eccomi (anche se un po' provato) a raccontare la "Prima Conferenza Annuale sull'Information Warfare" che si è tenuta oggi a Roma.

Data la numerosità degli interventi che ci sono stati (23 in un'unica giornata di lavoro) ho pensato di organizzare gli argomenti in questo modo. Stasera faccio un bilancio generale dell'evento e rimando a domani le considerazioni sugli specifici interventi che più mi hanno colpito.

Allora, prima di tutto, un grande plauso agli organizzatori che hanno realizzato un evento che, nella poca attenzione che normalmente viene data in Italia a questi argomenti, è certamente una grande sfida che è stata vinta. La capacità è stata quella di arrivare in un momento assolutamente propizio (dopo che in estate è stato pubblicato il documento del COPASIR sulle minacce alla sicurezza nazionale derivanti dall'uso dello spazio cibernetico) in cui l'attenzione mediatica e le aspettative generali sull'argomento sono molto alte. La sala piena per l'intero arco della mattinata e un buon numero di persone che sono rimaste fino alla fine mi fanno dire che l'intera operazione è stata un successo per gli organizzatori.

Per quanto riguarda i contenuti, direi che sono allineati a quella che è la realtà italiana. Cioè alcuni (pochi) interventi che riflettono una reale consapevolezza delle problematiche legate alla Cyberwar e altri interventi (molti) che si concentrano su tutto ciò che di malevolo ci può essere in un ambiente cyber. In fondo siamo un paese che non ha ancora affrontato un pieno spostamento dei propri processi vitali su Internet e quindi anche le consapevolezze profonde delle implicazioni che un attacco cyber potrebbe portare alla cittadinanza e al sistema paese nel suo complesso non sono ancora diffuse.

In generale, gli interventi più focalizzati al tema della giornata si sono concentrati sulle conclusioni del documento del COPASIR. E quindi: una richiesta forte verso i "decision makers" di varare una strategia complessiva sulla sicurezza e di istituire una struttura nazionale che abbia il compito di attuarla e di armonizzare gli approcci che fino ad oggi sono stati messi in campo in maniera poco organica (e quindi poco efficace). Inoltre è emerso, come forse era prevedibile per chi è un minimo addentro a queste cose, che quelli che sono più avanti nella comprensione delle tematiche sono gli alti gradi militari che hanno saputo esprimere, forse meglio degli altri settori della società civile, un lungimiranza ed una visione veramente degne di considerazione.

Volendo sintetizzare il messaggio di fondo che è venuto fuori dalla conferenza si può citare il passaggio di chiusura di Domenico Vulpiani che, avendo proiettato una diapositiva di Alinghi, metteva in evidenza come in Italia ci siano molte competenze ed alcune eccellenze ma manca un piccolo particolare... lo skipper.

A domani per i dettagli degli interventi a mio parere più interessanti...  

mercoledì 6 ottobre 2010

Un hacker, Cryptome e Wired

La notizia è che il sito di Cryptome, una sorta di Wikileaks ante litteram (le prime pubblicazioni di documenti riservati risalgono addirittura al 1996), è stato attaccato, defacciato e messo off-line lo scorso fine settimana da un gruppo di hacker che ha messo a segno una serie di azioni abbastanza complesse per riuscire in questo intento. Ovviamente molte di queste azioni si configurano come reati, anche abbastanza gravi.

Wired, la ultranota rivista on-line, è stata contattata dagli hacker autori di questo attacco e ieri notte (ora italiana), tramite una giornalista di nome Kim Zetter, ha pubblicato un pezzo molto dettagliato.

John Young, patron e fondatore di Cryptome non l'ha presa molto bene, per una serie di ragioni non del tutto sbagliate.

Ecco una breve sintesi di ciò che dice Kim Zetter nel suo articolo su Wired.  

Un hacker ha contattato Wired.com e ha rivendicato la responsabilità per la violazione del sito Cryptome dicendo che due esponenti del gruppo di hacker noto come Kryogeniks hanno avuto accesso a un archivio di documenti segreti e alla posta elettronica di Young. Per consentire una verifica delle sue affermazioni, l'hacker ha mostrato degli screenshot della casella di posta di John Young su Earthlink e della directory Cryptome. L'hacker ha infine affermato che per portare a termine l'attacco a Cryptome è stata utilizzata una password rubata della casella di posta appartenente a Young che è stata quindi violata per reimpostare la password per l'account di hosting del suo sito. L'hacker sostiene che sono stati copiati 6,8 terabyte di dati da Cryptome, anche se "nessun file è stato cancellato o modificato."

La replica di Young non si è fatta attendere e, su Cryptome, ha scritto che era stato informato circa l'articolo che Zetter stava per pubblicare ma che l'autrice dello stesso, avendo avuto accesso ad alcune informazioni (gli screenshot ed altro materiale) tra cui quelle della sua casella di posta di privata, era stata non solo testimone di un reato ma complice dello stesso. 

Infatti John Young ha afferma che il materiale di Cryptome è tutto open source e quindi non ha alcuna obiezione a che venga frugato e analizzato, ma è assolutamente determinato a perseguire i crimini di accesso alla sua casella di posta privata, all'account del provider di servizi Internet e al proprio computer. La comunicazione di Cryptome si chiude con un messaggio che non lascia spazio a dubbi...
"Noi bruceremo il culo di quell'hacker per questo"

Questa vicenda mostra come sia molto difficile rimanere sul filo di ciò che è possibile considerare accettabile o meno nelle vicende in cui si pubblicano notizie che sono frutto di "violazioni". Young, a mio parere a ragione, lamenta che la giornalista di Wired sia in qualche modo corresponsabile, almeno se non fornisce accesso a tutte le informazioni che ha sugli ignoti hacker, di quanto accaduto. Ma siti come Cryptome e Wikileaks probabilmente hanno, più o meno deliberatamente, pubblicato documenti tirati fuori illecitamente dai contesti, anche privati, nei quali erano memorizzati. Senza ovviamente fornire alcun indizio su chi ha eventualmente compiuto quegli illeciti.

Insomma, un gioco di specchi nel quale perdersi è facile... l'unica forse è restarne fuori.

lunedì 4 ottobre 2010

Incontro con Melissa Hathaway e John Stewart

Fonte GCSEC
Venerdì scorso si è tenuto un fantastico evento organizzato da Andrea Rigoni direttore generale del Global Cyber Security Center (GCSEC)... una tavola rotonda con Melissa Hathaway e John Stewart.


Melissa Hathaway, tra gli altri innumerevoli incarichi di prestigio, ha servito l'amministrazione americana sotto la presidenza Bush come Cyber Coordinator Executive e Director of Joint Interagency Cyber Task Force e successivamente, nel 2009, sotto la presidenza Obama è stata nominata Acting Senior Director for Cyberspace in the National Security Council.

John Stewart, dopo oltre vent'anni di carriera nella sicurezza, è attualmente Vice President e Chief Security Officer di Cisco ed è anche componente dei technical advisory board di Core Security Technologies, Panorama Capital, RedSeal Networks, Signacert ed è standing member della CSIS Commission on Cyber Security.

Nel corso di questo incontro dedicato alla cyber security e alle partnership Pubblico/Privato, anche grazie alla disponibilità dei relatori, si è da subito creata un'atmosfera di grande collaborazione e di autentico scambio. 

Mi sono appuntato un po' di argomenti che ho il piacere di condividere con i lettori di Punto 1. Eccone una lista più o meno ragionata.

- La situazione è grave
L'attuale infrastruttura di Internet è molto fragile a causa della complessità dei sistemi e della natura asimmetrica degli attacchi. Inoltre l'utilizzo degli attacchi su Internet come possibile arma da usare nei conflitti tra Stati è estremamente preoccupante ed è quindi in agenda su molti tavoli tra cui quello di ridisegno della NATO. Al momento la quantità di attacchi che viaggiano su Internet è enorme, a titolo di esempio si può citare il caso di Cisco che, anche eliminando il rumore di fondo dovuto a malware ed eventi poco significativi, è bersagliata da oltre 2 milioni di tentativi di attacco ogni ora. 

- Delitto e castigo
Purtroppo, in Europa, pochissimi cyber criminali sono stati arrestati e perseguiti ed anche negli Stati Uniti la situazione non è molto diversa. Questa situazione crea i presupposti perché si percepisca un diffuso senso di impunità che è il substrato ideale per la proliferazione delle attività criminali. L'Operation B49, in cui Microsoft e altri hanno "decapitato" la botnet Waledac è un esempio di un nuovo approccio più "offensivo" nella lotta alla criminalità  su Internet che è certamente promettente.

- Internet e le regole
Il problema della reale attribuzione di un evento su Internet è centrale, non ci sono altri esempi di domini nei quali possa essere portata a termine un'azione criminale con un egual grado di anonimato. L'evoluzione della rete è adesso ad un punto di svolta nel quale si dovranno fare i conti tra la attuale libertà della rete e le reali necessità di garantire sicurezza e protezione agli utenti e alle infrastrutture. Quale autorità potrà indicare a tutto il mondo cosa è accettabile e cosa invece rappresenta un danno o una minaccia che non può essere sottaciuta? Nel Regno Unito, ad esempio, se una persona è sospettata di terrorismo e vengono trovati supporti cifrati, il sospettato è obbligato a fornire la chiave per decifrarli altrimenti commette un reato. In altre realtà europee, tra cui l'Italia, non vige certamente questo tipo di normativa.

- Bello, ma chi paga?
La realizzazione di maggiori livelli di sicurezza comporta rilevanti investimenti che, in prima battuta, è difficile capire chi dovrà sostenere. Un tipo di approccio è quello portato avanti da alcuni ISP che aspettano che sia il mercato a chiedere gli incrementi di sicurezza per poi trasformarli in servizi a valore aggiunto che possono essere proposti come soluzioni. Un altro approccio potrebbe essere quello di ipotizzare una nuova rete sulla quale vengano costruiti livelli di sicurezza diversi a costi crescenti. Infine un ultimo approccio potrebbe essere rappresentato dalla condivisione delle responsabilità e dei costi, come ad esempio quello che sta avviando Comcast (uno dei maggiori provider americani) che quando verifica che un proprio utente è affetto da malware richiede all'utente la bonifica, fornendo un supporto, e nel caso di mancata risoluzione arriva a distaccare l'utente dalla rete.

- Le Partnership Pubblico/Privato sono una risposta?
Le sfide globali richiedono risposte globali e le partnership Pubblico/Privato hanno dato ottimi risultati in queste situazioni. Un ottimo esempio è rappresentato dal Center for Disease Control (CDC) di Atlanta che, tra le altre cose, coordina le azioni preventive e di contenimento per le malattie, mettendo assieme enti pubblici nazionali e internazionali e soggetti privati. L'obiettivo per il prossimo periodo sarà quello di riuscire a creare delle realtà nel campo della Cyber Security che possano svolgere il necessario ruolo di raccordo e armonizzazione degli sforzi tra i diversi attori coinvolti nell'ardua sfida di rendere Internet un "posto" migliore.

sabato 2 ottobre 2010

La CIE tedesca scatena il Chaos

Fonte Deutsche Welle
La Carta d'Identità Elettronica (CIE) tedesca che deve (o forse sarebbe meglio dire "doveva") essere distribuita da novembre è stata violata dagli hacker del "Chaos Computer Club" (CCC), una delle più grandi e autorevoli comunità hacker del mondo.

Ma veniamo ai dettagli della notizia...

Infosecurity ha pubblicato un articolo (citando una notizia di Deutsche Welle) nel quale si riporta che la nuova carta di identità elettronica multifunzione tedesca in grado di memorizzare anche i dati biometrici è stata pubblicamente "craccata" in TV da alcuni hacker del CCC.

Gli hacker hanno violato il PIN di sistema sulle carte e quindi hanno potuto utilizzare le nuove carte impersonando il titolare della carta. Ovviamente questa pubblica dimostrazione ha creato molto imbarazzo negli ambienti governativi che avevano puntato (e investito...) molto sulla distribuzione di queste nuove carte.

L'Ufficio Federale per la Sicurezza Informatica tedesco (BSI), ha ammesso che il PIN della carta può essere carpito utilizzando un Trojan, ha però anche fatto notare che la tecnica utilizzata (keylogging) è simile a quella utilizzata dagli hacker di tutto il mondo per rubare le credenziali degli utenti.

Questa notizia deve far riflettere sull'approccio adottato in questo tipo di situazioni in cui vengono utilizzati strati di sicurezza molto robusti (le carte multifunzione) appoggiandosi però su componenti del tutto insicuri quali i PC degli utenti. Problematiche analoghe, anche se non del tutto simili, si sono presentate anche da noi in Italia con l'utilizzo delle carte per la firma digitale. E' del tutto evidente che l'anello debole di tutta la catena è il PC sul quale si utilizza la carta sul quale appunto è possibile caricare un malware in grado di memorizzare il PIN e di metterlo quindi a disposizione di terzi. 

Tim Griese, portavoce del BSI ha comunque fatto sapere che la robustezza di questi dispositivi di autenticazione è superiore a quella che si avrebbe con il semplice utilizzo di user-id e password e che, al momento, non ci sono progetti di adozione per nuove misure di sicurezza aggiuntive per le carte.

Di certo, una carta che racchiude un grande insieme di informazioni critiche per il titolare, compresi i dati biometrici meriterebbe un livello di sicurezza al di sopra di ogni possibile illazione perché... come diceva l'Uomo Ragno: "Da un grande potere derivano grandi responsabilità!".

E se ci sono arrivati gli autori dei fumetti...

http://www.wikio.it