venerdì 26 novembre 2010

Il DNS è una risorsa critica!!

Ieri la società di sicurezza Secunia, è stata vittima di un grave attacco informatico. Per oltre un'ora chi tentava di collegarsi al loro sito otteneva come risposta la pagina che vedete riportata a fianco.

Ciò che tutti hanno immediatamente pensato è che il sito di Secunia avesse subito un defacement... in realtà ciò che era realmente successo è che era stato attaccato il DNS autoritativo del loro sito. 
Quindi, il sito di Secunia era intatto ma chi cercava di collegarsi a www.secunia.com veniva in realtà indirizzato verso un sito diverso.

 Questo attacco è stato realizzato da TurkGuvenligi, che, come riporta The Register, è un hacker che ha già in precedenza utilizzato questo tipo di tecniche di reindirizzamento del sito in altri attacchi e sembra essere motivato da intenti non particolarmente malevoli.

Secunia ha pubblicato una nota ufficiale sull'accaduto nella quale si ribadisce che l'attacco non era indirizzato alla loro infrastruttura ma a quella del loro registrar, DirectNIC, e che ha impattato anche altri siti. Inoltre viene ribadito che i dati dei clienti non sono minimamente stati impattati.

Questi, i fatti. Ora, giusto un paio di riflessioni...

TurkGuvenligi, l'hacker che ha effettuato l'attacco, qualifica l'attacco stesso come un defacement, tanto che (come si può vedere dalla figura sottostante) lo pubblica su Zone-H come defacement di home page. 
Quindi, a mio modo di vedere, dato l'esito e le intenzioni dell'attaccante, diventa veramente poco importante se l'attacco ha o meno impattato direttamente l'infrastruttura del sito oppure delle componenti esterne... si è trattato di un defacement!

Seconda considerazione, e se il "buon" TurkGuvenligi invece di pubblicare un sito dove veniva glorificata la sua bravura avesse invece pubblicato un "clone" del sito di Secunia e avesse carpito le utenze degli ignari clienti? Oppure nel sito falso avesse pubblicato un falsa notizia circa un aggiornamento di una tecnologia molto diffusa, facendo magari scaricare del malware a diverrse migliaia di utenti?

E se il prossimo attacco avesse nel mirino una banca? O una Amministrazione dello Stato?

Scenari a dir poco agghiaccianti!

Insomma, tutto questo per ribadire che... il DNS è una risorsa critica!

Molto critica!!!

giovedì 25 novembre 2010

Cyber Shot 2010: l'esercitazione di Cyber Defence Nazionale

Finalmente posso parlarne!! Da quando è terminata l'esercitazione Cyber Shot 2010 avrei voluto fare dei commenti ma ho dovuto aspettare che uscisse il comunicato stampa ufficiale dello Stato Maggiore della Difesa.

In quest'occasione, contravverrò alla regola che mi sono dato di non scrivere di attività che mi vedono direttamente coinvolto, ma la notizia è troppo importante per non parlarne. Ma, veniamo ai fatti... nei giorni scorsi ho avuto l'onore di partecipare, presso il Comando C4 Difesa, all'esercitazione di "cyber defence" nazionale "Cyber Shot 2010", nella quale i CERT delle Forze Armate e di alcune istituzioni civili hanno simulato la reazione ad una crisi internazionale che sfociava in una serie di attacchi di Cyber Warfare. L'esercitazione era finalizzata a valutare le capacita' di risposta e cooperazione delle organizzazioni partecipanti e a perfezionare le procedure di scambio informativo in ambito nazionale. 

L'esercitazione, organizzata dal CERT-Difesa Technical Centre, è durata tre giorni (e le fasi preparatorie per i player altri 5) e, come accennavo prima, ha visto la partecipazione in veste di player (è il termine tecnico che si usa in queste occasioni) del personale dei CERT dell'Esercito, della Marina, dell'Aeronautica, dell'Arma dei Carabinieri, della ULS MEF/Consip (di cui ho la responsabilità) e dell'ENAV, hanno inoltre partecipato in veste di centri di coordinamento il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) e il CERT-SPC (il CERT della PA), infine, in qualità di osservatori erano presenti la Presidenza del Consiglio dei Ministri e alcune rappresentanze del mondo industriale.

L'esercitazione è stata gestita, per la prima volta, realizzando dei veri e propri attacchi cyber verso dei sistemi simulati che erano sotto la responsabilità dei vari player riuniti in una grande sala operativa ospitata presso il Comando C4 Difesa. Nel corso dei tre giorni abbiamo avuto modo di confrontarci con diverse tipologie di attacchi, alcune delle quali abbastanza sofisticate e pensate per cercare di passare inosservate. Devo dire che è stato un momento di importante confronto con gli altri team e un modo per accrescere l'esperienza del personale coinvolto. 

Devo quindi fare un grande plauso a chi ha fortemente voluto e organizzato questo importante momento di crescita e verifica delle capacità di risposta ad attacchi cyber che possono essere messe in campo dal nostro paese.

Una volta tanto, possiamo quindi essere davvero fieri di un'iniziativa che ci pone all'avanguardia anche rispetto a quei paesi che sono normalmente più attenti verso questi argomenti.


mercoledì 24 novembre 2010

Le predizioni per il 2011 di M86 Security

M86 ha pubblicato un report con le predizioni delle minacce per il 2011. L'interessante documento riporta le 8 minacce che saranno, secondo M86, le più rilevanti nel corso del prossimo anno.

Di queste otto predizioni, quelle che mi hanno colpito maggiormente sono queste tre:

Aumenterà il malware firmato con certificati digitali rubati
Nel corso del 2010 si è avuta la certezza che i creatori di malware hanno deciso di imboccare la strada del "reperimento" di certificati digitali rubati per firmare alcune componenti del malware al fine di bypassare le protezioni introdotte dai sistemi operativi. Questa certezza è arrivata anche con scoperta che l'ormai celeberrimo worm Stuxnet risulta firmato con due diversi certificati digitali rubati e che anche una variante del Trojan Zeus è stata firmata digitalmente con un certificato rubato a Kaspersky. M86 prevede che questa tendenza aumenti nel prossimo anno, in quanto i cybercriminali puntano sempre alle modalità di evasione dei sistemi di rilevamento del malware che si dimostrano più efficaci.

L'HTML5 sarà un nuovo obiettivo per i criminali informatici
L'HTML5 è uno standard multi-piattaforma per la navigazione Web su cui i maggiori produttori mondiali di software e contenuti stanno fortemente puntando. HTML5, inoltre, è dotato di un supporto per lo scripting API (application programming interfaces) che potrebbe facilmente essere utilizzato da criminali informatici. Per cui, mentre gli sviluppatori stanno sperimentando l'HTML5 per scopi legittimi, i cybercriminali stanno cercando di trovare il modo di sfruttare questo standard per i loro loschi affari. M86 si aspetta che i primi risultati delle "ricerche" per sfruttare le eventuali vulnerabilità di questa nuova tecnologia, arriveranno nel prossimo anno.

L'offerta di  Malware-as-a-Service (Maas) aumenterà
Le ricerche di M86 indicano che gli sviluppatori di exploit kit hanno iniziato anche a fornire "servizi", affiancandoli alla più classica offerta di applicazioni. Ad esempio, il Neosploit e il Phoenix exploit kit offrono diversi servizi malware ai loro clienti. Così come il mondo dell'impresa sta imboccando la strada dei servizi cloud, i cybercriminali stanno sviluppando un approccio simile che consente loro di offrire una suite completa di servizi. M86 quindi prevede che nel prossimo anno crescerà in modo significativo l'offerta di questi servizi che si andrà ad affiancare all'offerta più "classica" di exploit kit. In questo modo, inoltre, è possibile che le architetture di comando e controllo delle botnet realizzate diventino sempre più stratificate e complesse, rendendo così la vita più difficile ai ricercatori di sicurezza e alle autorità

Che ne dite? Siete d'accordo con queste previsioni? L'appuntamento di verifica è per il 24 novembre 2011... non mancate!!

lunedì 22 novembre 2010

NATO: New Strategic Concept

Il 19 e 20 Novembre si è svolto a Lisbona il meeting dei Capi di Stato e di Governo della NATO. La discussione è stata centrata anche sui nuovi assetti dell'Alleanza e sui nuovi obiettivi che la caratterizzeranno.

Al termine dei lavori è stato pubblicato un documento dal titolo "Strategic Concept For the Defence and Security of The Members of the North Atlantic Treaty Organisation" che definisce una NATO evoluta: più agile, più capace e più efficace ed in grado di  difendere i suoi membri contro le moderne minacce.
"La NATO è una comunità di libertà, di pace, di sicurezza e di valori condivisi", ha detto il Segretario Generale. "Ma il mondo sta cambiando. Siamo di fronte a nuove minacce e sfide nuove. E questo approccio strategico dovrà garantire che la NATO rimanga efficace come sempre nella difesa della nostra pace, della nostra sicurezza e della nostra prosperità. "
Il nuovo Strategic Concept, quindi, esorta gli alleati ad investire nelle capacità chiave per affrontare le minacce emergenti sviluppando in seno alla NATO le capacità necessarie per difendersi contro attacchi di missili balistici e attacchi informatici. 

E qui arrivano le cose interessanti per chi si occupa di Cyber Warfare e Cyber Security...
Infatti, nella sezione "The Security Environment" al punto 12 si trova un'analisi dello scenario relativo agli attacchi cyber:
"gli attacchi informatici sono sempre più frequenti, più organizzati e più costosi dal punto di vista dei danni che infliggono ai governi, alle imprese, alle economie e, potenzialmente, alle reti di trasporto e approvvigionamento e alle altre infrastrutture critiche; questi attacchi possono raggiungere una soglia che minaccia la prosperità, la sicurezza e la stabilità delle nazioni e dell'Alleanza. Eserciti stranieri, servizi di intelligence, criminalità organizzata, terroristi e/o gruppi estremistici possono essere la fonte di tali attacchi."

Per quanto riguarda invece le decisioni strategiche in merito a questi problemi, al punto 19, viene detto:
"Faremo in modo che la NATO abbia l'intera gamma delle capacità necessarie per dissuadere e difendere contro ogni minaccia all'incolumità e alla sicurezza delle nostre popolazioni. Pertanto, noi:
svilupperemo ulteriormente la nostra capacità di prevenire, rilevare, difenderci e recuperare i danni causati dagli attacchi informatici, anche attraverso l'uso dei processi di programmazione della NATO finalizzati al rafforzamento e alla coordinamento delle capacità nazionali di cyber-defence, portando tutti gli enti della NATO sotto un sistema di protezione centralizzato e migliorando l'integrazione dei programmi di awareness della NATO, e i programmi di allarme e risposta dei paesi membri.".

Insomma, una dichiarazione forte e chiara che è stata sottoscritta da tutti i Capi di Stato e di Governo... chissà che non cada nel vuoto anche questa occasione...


sabato 20 novembre 2010

Feliciano Intini – Sicurezza su Internet, non solo Quarantena

Eccoci al secondo appuntamento con le "Voci Amiche", la rubrica nella quale ospito i contributi di amici che stimo e apprezzo e che vogliono dire la loro utilizzando le pagine di Punto 1.

Con mia grande gioia, l'amico Feliciano Intini, Responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia, ha raccolto il mio invito a scrivere un post per la rubrica "Voci Amiche" e quindi... eccomi a pubblicare il suo post "Sicurezza su Internet, non solo Quarantena". Grazie Feliciano!

"Accolgo con vero piacere l’invito dell’amico Matteo ad essere ospitato nel suo blog, e approfitto di questa occasione per estendere ai lettori che lo seguono, che immagino dei veri appassionati di sicurezza, una importante discussione relativa ad un tema che è allo stesso tempo molto ambizioso ma non per questo meno urgente da trattare: è possibile ipotizzare un modello ed una architettura sostenibili che rendano Internet una realtà strutturalmente più sicura di quanto non lo sia oggi?

Lo so, messa così sembra la classica domanda “...da un milione di dollari”, ma spero che le considerazioni che mi appresto a condividere siano in grado di farvi riflettere sul fatto che un modello possibile forse esiste, o perlomeno vi aiutino a trovare interessanti obiezioni contro di esso, in modo da stimolare una costruttiva discussione. 

Scott Charney, Corporate Vice President della divisione Trustworthy Computing di Microsoft, ha lanciato questa stessa provocazione poco più di un mese fa nell’ambito di una keynote all’ISSE 2010 di Berlino: ho prestato particolare attenzione alle riprese di questa notizia da parte di giornalisti e blogger, nella speranza di veder nascere un bel dibattito su questo tema che credo ci tocchi particolarmente da vicino, non solo quali professionisti di sicurezza ma anche come semplici "netizens" sempre più coinvolti nell’uso di Internet come strumento nativo della nostra vita sociale, ma ho solo assistito ad articoli che hanno approfittato del concetto di “quarantena” dei PC per provocare il classico sensazionalismo mediatico. 
Permettetemi allora di fare un passo indietro e di riproporvi in breve questa proposta per sottolineare quegli aspetti che credo meritino una valutazione più attenta e delle considerazioni meno frettolose.

L’idea di fondo è davvero semplice quanto disarmante e parte da un assunto che mi ritrovo spesso a riproporre perché sento particolarmente vero: Internet non è un mondo parallelo alla nostra vita reale, quanto una potentissima estensione della stessa vita fisica, che accelera e amplifica situazioni e relazioni che viviamo ogni giorno, certo aggiungendo in questo modo una notevole complessità. Con questa chiave di lettura, non è astruso prendere spunto da modelli che si sono rivelati efficaci nella nostra vita fisica per provare ad applicarli alla nostra vita “virtuale” adattandoli alla nuova complessità. E questo è stato fatto nel proporre le dinamiche che normalmente usiamo per tutelare la salute pubblica a livello internazionale come base per un modello applicabile alla sicurezza dei device (non solo PC, ma qualsiasi dispositivo in grado di connettersi in rete) che intendano connettersi ad Internet.
Non vorrei banalizzare il concetto a causa della brevità dello spazio a mia disposizione (e per questo vi invito a leggere le sette paginette nette del relativo paper “Collective Defense: Applying Public Health Models to the Internet”) ma, in estrema sintesi, non si tratta semplicemente di forzare la quarantena per i PC che risultassero non conformi alle policy da prevedere per autorizzare l’accesso incondizionato ad Internet, quanto di iniziare collettivamente a concordare su un paio di principi di fondo per poi darsi da fare, e in fretta, alla ricerca di soluzioni pratiche condivise.

Primo, la necessità di una reazione collettiva e partecipata a questo problema del miglioramento della sicurezza su Internet: è il tempo di investire tempo e risorse per uno sforzo internazionale sul tema, con un impegno trasversale da parte di tutti i più importanti vendor di tecnologia e in grado di coinvolgere i dovuti interlocutori socio-politico-economici, perché la scala del problema e l’importanza della sua risoluzione richiede di superare i particolarismi nazionali o commerciali. Il cosiddetto “cyber crimine” ha già ampiamente dimostrato come possa essere efficace organizzarsi in modo strutturato, mentre la cosiddetta “società civile”, a vari livelli, mi sembra ancora abbastanza disunita se non litigiosa (c’è poi anche chi ancora ritiene che si possa produrre sistemi software invulnerabili e a prova di hacker, e fa di questo un tema cardine della propria politica commerciale...ma questo è un altro tema che non abbiamo modo di sviscerare in questa sede).

Secondo, il fenomeno delle Botnet e l’analisi delle minacce più recenti hanno dimostrato che la sicurezza complessiva di Internet non è scorrelata al livello di sicurezza dei nostri singoli PC, anzi è profondamente connessa, e quindi non si può pensare di risolvere il primo aspetto se non si governa il secondo. Non è la quarantena il cuore di tale modello, quanto la necessità di una infrastruttura di remediation efficace ed efficiente che riesca ad individuare e sanare (con aggiornamenti di tutte le componenti applicative presenti sui device) i dispositivi che per diversi motivi fossero in uno stato di rischio, per sé e quindi per tutti.
Da qui la logica proposta di presentare un modello che, mutuando i meccanismi da una architettura esistente in un ambito aziendale (mi sto riferendo alla tecnologia di Network Access Protection), provi ad indicare un percorso fattibile di soluzione del problema dal punto di vista tecnico. Queste tecnologie sono già ben funzionanti e già predisposte all’interoperabilità tra piattoforme eterogenee, quindi stanno già di fatto dimostrando la fattibilità tecnica di tale modello e la sua applicabilità non esclusiva a specifiche piattaforme.
Certo non sono banali i problemi posti dalle complessità non tecniche, costi, responsabilità, normativa, tutela della privacy (anche se quest’ultimo punto, di nuovo, la tecnologia sta già dimostrando di poter dare soluzioni fino ad ora inimmaginabili, penso a U-Prove...), ma questi bastano a fermare questo percorso che è urgente intraprendere in modo collettivo?

Conto sul vostro contributo per procedere nella discussione, voi cosa ne pensate?"

venerdì 5 novembre 2010

Il nuovo report del CERT svizzero

Da qualche giorno MELANI, il CERT svizzero, ha pubblicato l'undicesimo rapporto semestrale sulla sicurezza informatica. Come ormai ci hanno abituato i bravissimi esperti svizzeri il rapporto è davvero una preziosa risorsa per tutti coloro che lavorano nel campo della prevenzione e gestione degli incidenti informatici.

Ciò che rilevano al CERT svizzero è che nel primo semestre del 2010 è stato registrato a livello mondiale un aumento dei casi di spionaggio e di furto di dati informatici, inoltre molti siti web e reti informatiche vengono manomessi da criminali allo scopo di infettare gli ignari utenti ed infine si registra una significativa presenza di attacchi che hanno scopi politici.

Tra le molte riflessioni degne di nota, ho trovato molto interessante la considerazione in merito agli impatti della rapida proliferazione degli smartphone e degli accessi mobili a Internet. MELANI infatti si sofferma sulla opportunità di tenere conto del fatto che i provider di telefonia mobile utilizzano la Network-Address-Port-Translation (NAPT), ovvero, quella tecnica che consente a migliaia di utenti di utilizzare il medesimo indirizzo IP con porte diverse. Ciò ha un grande impatto sulle modalità con le quali sono registrati le attività degli utenti su Internet, infatti, di norma, per identificare un collegamento e il suo utente sono necessari l’indirizzo IP, la data e l’ora. Questi dati sono peraltro memorizzati regolarmente nei file di log dei servizi Web. Però per identificare un utente mobile dovrebbe essere noto anche il numero della porta. Questo dato viene però registrato raramente. MELANI afferma quindi che si terrà conto di questa circostanza nel quadro della revisione in corso della legge federale del 6 ottobre 2000 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) e nella struttura delle relative disposizioni di esecuzione. Molto interessante...

Infine MELANI riporta i risultati dell'attività di verifica sui siti svizzeri alla ricerca di possibili infezioni di malware. I dati pubblicati sono confortanti, infatti nei mesi da giugno ad agosto 2010 su 237.000 pagine web esaminate solo 148 sono risultate infette.

Insomma un gran bel lavoro... e il CERT italiano che cosa ha pubblicato in merito al primo semestre 2010?

Che sbadato, dimenticavo... in Italia non abbiamo un CERT nazionale.

Consoliamoci leggendo il rapporto svizzero!

http://www.wikio.it