venerdì 30 dicembre 2011

Joint Research Centre hacked - Rainews24 hacked

Ebbene si. Volevo evitare di scrivere sul blog fino al nuovo anno, ma non è stato possibile.

Oggi è stato tutto un susseguirsi di mail e telefonate e, tra veri e presunti attacchi, è uscito fuori un bel quadro.

Vi riporto solo gli incidenti più importanti... che, oltretutto sono legati allo stesso autore: il già noto Thorwed autore dell'attacco al sito qualitapa.gov.it.

Vediamo cosa ha combinato oggi...

Attacco 1 - un sito del Joint Research Centre, in particolare il sito del "Major Accident Hazards Bureau", un sito della Commissione Europea dedicato alla gestione delle politiche di controllo dei pericoli derivanti dallo stoccaggio di sostanze tossiche. Il solito Thorwed ha preso il DB degli amministratori e degli utenti registrati e lo ha pubblicato su Pastebin. La cosa che mi è saltata all'occhio è l'utente amministrativo "test"... chi vuole provare ad indovinare la password può postare nei commenti la sua proposta. Quando io l'ho provato dopo circa una ventina di ore dall'attacco era ancora tutto perfettamente funzionante, una vera meraviglia!
Ovviamente ho segnalato il tutto a chi di dovere, anche se so per certo che erano già stati informati tramite canali ufficiali.

Attacco 2 - Rainews24 stessa cosa. DB utenti e un secondo DB (probabilmente dedicato ai contributori di notizie "User Generated Content") pubblicati su Pastebin. La cosa divertente (si fa per dire) è che gli utenti in questo caso sono tutti i redattori e la struttura di rainews24. Anche qui una vera meraviglia.

Ah dimenticavo... buon anno a tutti!

------------------------------------------------------------------------------------------
Aggiornamento del 31 dicembre 2011 ore 12.

Sono stato appena informato che i gestori del sito del JRC hanno reso irragiungibile la pagina di amministrazione e che stanno gestendo l'incidente. Meno male.

ore 13
Al momento è stato messo off-line tutto il sito. Una misura un po' drastica ma probabilmente legata alla risoluzione della vulnerabilità sfruttata per l'attacco. Se volete vedere come si presentava il sito potete utilizzare la copia cache di Google.

giovedì 29 dicembre 2011

MUMBLE - Diginotar: l'attacco che cambiò Internet


Questo articolo è stato pubblicato sull'ultimo numero di Cybercrime ed è la mia riflessione di fine anno. 

L'appuntamento per il prossimo post è per il 2012 (se non succede niente di eclatante...). Tanti auguri a tutti!
------------------------------------------------

Nel corso di quest'anno, quasi ogni giorno abbiamo letto di criminali che hanno violato database di grandi aziende, di spie che sono entrate nelle reti di agenzie governative di tutto il mondo, di segreti industriali che sono stati rubati da agenti prezzolati e di pubblicazioni di materiale riservato trafugato da sedicenti attivisti di varia natura.

Il 2011, probabilmente, passerà alla storia come uno degli anni più neri per la sicurezza su Internet.

Per importanza e ripercussioni, però, un evento si discosta da tutti gli altri: l'attacco alla certification authority (CA) olandese Diginotar.

Prima di tutto, per capire la reale portata di questo attacco, conviene partire dallo scenario.
Una CA emette i certificati digitali utilizzati per garantire l'identità di un soggetto in rete, sia esso un privato che un sito Internet, consentendo nel contempo la cifratura del traffico tra l'utente e il sito stesso. In questo modo sono stati sviluppati tutti i servizi a valore aggiunto basati sull'utilizzo di reti pubbliche, dall'home banking alle VPN SSL. Diginotar, recentemente acquistata da una multinazionale di sicurezza, era una CA riconosciuta a livello internazionale i cui certificati venivano verificati e dichiarati affidabili direttamente all'interno dei browser web. Qualsiasi utente, con qualsiasi browser, nel collegarsi ad un sito che presentava un certificato emesso da Diginotar, avrebbe visto comparire una notifica sul browser a sancire la sicurezza del collegamento stesso.

Diginotar erogava due tipologie di servizi di certificazione: una destinata ai privati ed una ad uso del governo olandese per l'emissione di certificati a valenza legale.

Questo è lo scenario in cui è maturato l'attacco, ma cosa è successo esattamente a Diginotar?

Il 29 Agosto è stato reso noto che un attacco aveva compromesso la CA, evento preoccupante ma  già successo qualche mese prima anche alla CA Comodo. In quel caso, però, l'attacco si era risolto con poche e marginali conseguenze. Con il passare delle ore si viene a sapere che, in seguito all'attacco, era stato creato almeno un falso certificato digitale, a nome di google.com. Chiaramente questo fatto ha cominciato ad allarmare gli esperti e l'interesse per questa notizia si è innalzato notevolmente.

Anche il governo olandese è intervenuto, preoccupato del fatto che i propri certificati digitali fossero emessi proprio da un soggetto che era stato “bucato”.

La domanda che, a questo punto, ci si comincia a porre è: quanto è esteso e grave questo attacco?

Dopo pochi giorni arriva la risposta, ed è una risposta che lascia tutti gli osservatori basiti e angosciati: oltre 530 certificati falsi sono stati emessi a nome di soggetti che spaziano dai social network (FaceBook e Twitter) ai maggiori fornitori di software e servizi su Internet (Microsoft, Mozilla, Tor, Skype, LogMeIn, Wordpress e AOL), dai principali motori di ricerca (Google, Yahoo!) alle maggiori agenzie di spionaggio occidentali (Mossad, CIA e MI6).

La notizia è talmente grave che il governo olandese è stato costretto a intervenire direttamente comunicando di aver avocato la gestione della CA e di aver affidato ad una società indipendente l'analisi dell'accaduto. Il ministro degli interni ha dovuto indire in tutta fretta una conferenza stampa televisiva per dare conto delle misure intraprese. Il CERT governativo olandese infine ha cominciato ad emette una serie di bollettini ufficiali per informare degli sviluppi e delle decisioni adottate.

Ciò che emerge dalle indagini è che Diginotar aveva avuto delle indicazioni di attività malevole fin dalla metà di luglio e che aveva cercato di arginare la situazione senza successo ma che, soprattutto, aveva maldestramente cercato di coprire l'accaduto per evitare ripercussioni negative al proprio business e alla propria immagine. Emerge inoltre che il presunto hacker dietro all'attacco è lo stesso iraniano che qualche mese prima aveva attaccato Comodo, con risultati, però, decisamente più modesti. Infine, Trend Micro ed altri operatori internazionali di sicurezza pubblicano alcune ricerche che mostrano che il vero movente dell'attacco sia stata la volontà di monitorare i collegamenti Internet effettuati da cittadini iraniani verso siti considerati “sensibili” ai fini del contenimento della attività di protesta dei dissidenti.

Un vero disastro, che culmina a fine settembre con la presentazione di una formale istanza di fallimento.

La sciagurata avventura di Diginotar finisce così.

Tra le tante riflessioni che nascono da questo evento vale la pena di puntualizzarne alcune.

L'assenza di adeguate misure di sicurezza può cancellare anche una società affermata
Per la prima volta appare chiaro che nella mappa dei rischi che devono essere considerati in ambito aziendale si deve mettere in conto anche la cancellazione del proprio business a causa di un attacco informatico. Sino ad ora, gli attacchi informatici erano confinati tra quelli che potevano portare danni diretti (la cui entità poteva essere valutata in termini monetari) e danni indiretti, di natura principalmente legata alla perdita di immagine. Il caso Sony e, ancor più, il caso Diginotar, hanno mostrato che le conseguenze di attacchi informatici, in assenza di adeguate misure di sicurezza e di gestione degli stessi, possono portare conseguenze impreviste ed imprevedibili danni economici.

La sottovalutazione di questa tipologia di rischi non è più accettabile
Se ci si mette nei panni dei manager di Diginotar, vedremo che le scelte che li hanno portati a sottovalutare l'importanza dell'implementazione di un serio sistema di gestione della sicurezza delle informazioni sembravano pagare. Fino a luglio Diginotar, aveva un fiorente business, con costi di gestione ridotti. L'assenza di sicurezza probabilmente era percepita come un risparmio e non aveva dato particolari conseguenze negative. Peccato che, nel giro di qualche giorno, avrebbe condotto al fallimento. C'è sicuramente di che meditare, anche nell’ottica delle scelte che sta operando il nostro sistema paese.

L'incapacità nella gestione degli incidenti di sicurezza moltiplica gli effetti negativi
Questa vicenda mette in risalto come, nella società digitale, la capacità di difendere gli stakeholder dagli eventi relativi ad attacchi informatici sia data per acquisita. Mostrare di non essere in grado di gestire adeguatamente questo tipo di situazioni crea immediatamente un intorno di sospetto e di sfiducia che complica ulteriormente lo scenario dell'attacco. La reale capacità di reazione data dalla presenza ed efficienza di un team esperto, dedicato alla gestione degli incidenti, è un prerequisito essenziale per il contenimento delle conseguenze di un attacco.

La fiducia è un bene prezioso che deve essere tutelato adeguatamente
Tutti noi, soggetti individuali, società private e istituzioni pubbliche, abbiamo compiuto il grande passo della virtualizzazione dei rapporti. Questo passo si fonda sull'esperienza comune che, in questo modo, è possibile conseguire grandi vantaggi a fronte di rischi tutto sommato comparabili a quelli che si corrono nei rapporti “in person”. La fiducia però è un bene molto labile che deve essere costantemente difeso e tutelato. L'attacco a Diginotar ha mostrato in modo inequivocabile che la perdita di fiducia può rappresentare un moltiplicatore delle conseguenze negative di un attacco.

La domande da porsi a questo punto sono:
“Quante possibili Diginotar ci sono?” e, soprattutto, “Quante Diginotar ci saranno?”

domenica 25 dicembre 2011

Best of the Week - XMas Edition

It's Christmas time and everybody wants to celebrate it. Also the bad guys...?

@jeromesegura Malware Fighters’ Dream Team bit.ly/t7YfJ3

@TrendLabs What botnets got taken down in 2011? Read the details at bit.ly/vny7UQ

@QatarCERT Q-CERT Weekly Newsletter,25 December,2011 - eepurl.com/h4-l2

@George_Kurtz Stolen Credit Cards Go for $3.50 at Amazon-like Online Bazaar. buswk.co/uMxVOI

@bobmcmillan US IPs are #1 source of electronic crimes in China, says Verizon; hacktivists & data breaches... bit.ly/skBBEX

@mikko Video: "Stuxnet 3.0 possible features and Hiding rootkits" bit.ly/sZkGMg By @nima_bagheri from Tehran, Iran.


And finally...
@e_kaspersky Our cyberthreat forecast for 2012 bit.ly/w3cZUG targeted attacks, hacktivism, mobile malware and cyber warfare

.... so, a happy new year to all of you!!! ;-))

lunedì 19 dicembre 2011

Brandon Dixon - CVE-2011-2462 exploitation: a real case

This summer I saw an interesting news item about a new online security tool: PDF X-RAY. This tool seemed to me so important that immediately I decided to write a post to describe its potentiality and use. I was also interested about the author of the tool, Brandon Dixon, a researcher from George Washington University, so I decided to write him an email.

Here, another nice find. Brandon is very helpful and informal. A guy with whom is a pleasure to interact.

Inviting him to write a guest post for "Punto 1" was the next step so Brandon and I agreed that whenever an occasion turns up he would write a post for my blog.

Then, two week ago I read that Brandon has published an analysis of the new 0day vulnerability of Adobe Reader I knew that the right time had arrived. Last Friday, Adobe released a patch for this vulnerability and knowing the reasons why it is important to organize the complex deployment of this piece of software is fundamental.

Brandon, thank you very much to accept my invitation. This is the moment to present your work to the "Punto 1" readers.
----------------------------------------------------------------------------------------------

On December 7th, 2011 a suspicious file was uploaded to PDF X-RAY containing references to U3D content. Normally this would not constitute more analysis, but Adobe had released an advisory documenting a new vulnerability within U3D content that was actively being exploited.

Using PDF X-RAY, I was able to identify both the trigger U3D object (located in object 10) and the heap spray (located in object 15). Reading through the specification revealed how the 3D content would be executed and what actions would be performed.

After the initial static analysis, the PDF was ran on a Windows XP SP3 machine running Adobe Reader 9.4.6 to identify any dropped files or command and control servers. Upon running the PDF file, Adobe Reader crashed and opened up a clean document that appeared to target employees of the defense contractor Mantech.

Not only was a clean file dropped, but there was also an executable named “pretty.exe” created and ran on the system. VirusTotal identified this file with generic signatures and a reference to “sykipot”. This Trojan had been analyzed before and public data revealed how it would operate. Knowing these details, Internet Explorer was started and the system was set to wait until data was sent back to the command and control server.

Sykipot injected a process into Internet Explorer and made a request to “https://prettylikeher.com” to get what appeared to be a key for encryption/decryption purposes. Matthew Wollenweber analyzed the Trojan using a debugger and disassembler to identify any other process injections and the commands used for the control servers.

After identifying the trojan being dropped and the command and control servers, focused was placed on the generation of the malicious file. Several strings within the generated document matched a proof-of-concept exploit from back in 2009. This proof-of-concept written by Felipe Manzano appeared to be the main generator used to create the malicious documents.

Shortly after the advisory was released, another variant of the exploit was seen being used in targeted attacks. These documents were encrypted with AESV3 and appeared to be generated using Adobe Lifecycle. While these documents exploited the same vulnerability, they were more successful in bypassing anti-virus because of the AESV3 encryption.

Performing analysis on the encrypted document also revealed a different Trojan being dropped on the system. Virustotal was not able to identify a particular trojan family associated with this executable, but HTTPS connections could be seen being made to 69.197.132.130. It is unclear what, if anything was sent to this command and control server, but it did appear offline.

It should be noted that the encrypted documents appeared to target defense contractor Lockheed Martin and farming company Monsanto. Given the extreme differences in document structure and trojan dropper, it is likely two different groups were involved in the use of these zero day exploits. Several signs point back to China as the creator of these documents, but this can not be confirmed.
---------------------------------------------------------------------------------------------
Bio

Beside being the Founder and CEO of 9b+, the company that owns PDF X-RAY, Brandon Dixon is also "Computer Forensics and Security Engineer with George Washington University". Moreover he is contributing to Hakin9 as Tester, Writer and Promoter.

Here you can find his LinkedIn profile

domenica 18 dicembre 2011

Bucato un sito del Ministero dell'Innovazione

Oggi, un certo Thorwed ha pubblicato su pastebin una copia del DB utenti del sito qualitapa.gov.it appartenente al Ministero per la Pubblica Amministrazione e l'Innovazione.

Sulla pagina di pastebin si possono leggere userid, password e email dei circa 9000 utenti registrati del sito. Ho chiaramente fatto una delle solite "telefonatine" e mi hanno assicurato che la notizia era arrivata da circa un'ora attraverso una segnalazione internazionale. 

Questo evento non è particolarmente diverso da altri che avvengono ogni giorno in molti siti istituzionali e privati in ogni parte del mondo. Ciò che lo rende diverso da molti altri, però, è la nostra situazione.

Come i lettori di Punto 1 sanno bene, l'Italia non si è ancora dotata di un CERT nazionale, ovvero di una struttura che si faccia carico delle attività di contenimento degli incidenti, che dia una direzione ufficiale e un coordinamento alle risorse che operativamente si faranno carico di "rimettere le cose a posto".

Quindi, ad esempio, ora sarebbe altamente necessario che gli ignari utenti i cui indirizzi mail e password sono stati pubblicati, vengano avvisati immediatamente per cercare di minimizzare il danno e dare modo a tutti loro di cambiare le password (soprattutto se hanno utilizzato la stessa anche in altri contesti). 

Ebbene in questo momento nessuno sa chi ha il ruolo per farlo. E' un'attività che non è allocabile in nessuna struttura ufficiale ad oggi esistente.

Per cui con qualche amico stiamo ragionando su una iniziativa "volontaristica".

Insomma un gran pasticcio.

Speriamo che questa situazione serva a ribadire (se ancora ce ne fosse bisogno) che l'Italia ha bisogno di un CERT Nazionale.


Best of the Week - 18 Dicembre 2011

This time I'm starting my list of the best security resources of the week with an "off topic" news item, but I'm sure it's really worth it! @Vendima Check this video out -- ONE OF THE GREATEST POSTS ON YOUTUBE SO FAR! youtube.com/watch?v=M8C-qI… via @MarcoBavazzano

And now it's the time of the "official" list...

Hope you enjoy it!

@e_kaspersky FAA allows airlines to replace paper books/charts with iPads zd.net/scpNhs <- one day we may regret our dependence on digital stuff

@teamcymru video of 'Yash's' (Red Force Labs) MITM POC attack against Citibank India bit.ly/vjhZWl

@Fortify Great blog post from Raf Los on the Ponemon study released yesterday--worth a read @ bit.ly/uBrXsa

@candolin2 Cybersecurity and Cyberpower: Concepts, Conditions and Capabilities for Action within the EU: oiip.ac.at/home/home-deta…

@FSecure “Social media isn’t a choice anymore; it’s a business transformation tool.” bit.ly/uRwYHm

@elie Google Docs Used in a Spam Campaign - bit.ly/sqsElC #security


domenica 11 dicembre 2011

Best of the Week - 11 Dicembre 2011

This is my selection of the best security resources of the week.

Hope you enjoy it.

@VivianeRedingEU @mobileworldlive My speech on #privacy in the cloud – how to ensure #dataprotection in the #EU bit.ly/tcszlg

@jakeludington Great discussion with @Wh1t3Rabbit about how cloud computing is forcing us to rethink security ow.ly/1BvN56 #HPDiscover #cloud

@mthorbruegge Cyber Security: ENISA’s view on the way forward, new paper j.mp/svDult

@sansforensics Quick Malware Notes, Incident Response, and 00-outs - A while back after dealing with some heavily malware-infect... bit.ly/vRSFKa

@nigroeneveld The Most Notorious Cyber Crooks of 2011 – And How They Got Caught bit.ly/vT8iht #hacking #infosec

@SCADAhacker After seeing @SecurityTube, decided to add new Video Feeds section to How-To section of Resources - SCADAhacker - bit.ly/uZv6WE


venerdì 9 dicembre 2011

Andrea Zapparoli Manzoni - Social Business Security & Risk Management Strategies

As promised, Andrea is back with the second part of his contribution to Punto 1 and now it's the turn of the threats of "Computer aided social networking".

Those who have missed the Andrea's previous post can find it here.

As introduction to this post,  I can say that sometimes I found a guest post that I feel very close to my vision and my approach to security... in this case I have a complete synthony with the Andrea's post.

Thank you again Andrea!

Punto 1 will be always open for your posts.

-----------------------------------------------------------------------------------------------

"Social Networking" is not new at all, in fact it is something that humans do since a half million years or so.

But "Computer Aided Social Networking" is *very* new, and it has so many far reaching consequences that even the terms of the problem are hard to define.
As of today, there are no laws, no institutions, no existing socio-economical nor philosophical tools that we can apply to this subject without a distinct feeling of inappropriateness. So, before we talk about risk management and security countermeasures of any kind, let me briefly introduce a couple of key concepts.

First (and hardest) concept: we are entering the uncharted waters of a new age, where computer & internet aided (some would say "augmented") human interactions become *prevalent*, both at the one-to-one and at the one-to-many level, re-shaping any other aspect of everybody's life.
This is why Social Business isn't something we already know but "with a different name", it's something completely new (like people developing all at once a new "sense", i.e. becoming able to see a different part of the spectrum, etc).
It is interesting to note here that those who do not directly participate in this new form of human interaction will be strongly affected by its consequences too, much like the invention of language did (I believe this is a much better metaphor than, for example, comparing SM to the invention of the press), since Computer Aided Social Networking is reshaping people's brains, perceptions, priorities and values, everywhere.
The second concept is also quite hard to grasp: while the Internet was mainly a technological breakthrough which generated some interesting socio-economic byproducts, Computer Aided Social Networking represents a geopolitical, socio-economical and, above all, mental phase-change for the human kind. We are going to become "Semantic Cyborgs", and because of this fact both individuals and societies will evolve in previously undreamed of directions.

This said, when talking about adopting Social Business, organizations must first realize the magnitude of the consequences, make a true intellectual effort in order to metabolize them, and change accordingly in order to survive. Reacting to these changes without a vision, on a day-by-day basis, only when and if problems arise, will most likely *not* work.

Today a company entering the Social Business arena is immediately exposing itself to a wide range of serious risks in terms of brand and reputation management, of responsibilities and liabilities towards users, customers and partners, and of open source intelligence on the part of competitors.
Of course, given that Social Media is an excellent vector for hacktivists' attacks, and cybercriminals preferred playground, its adoption will also seriously increase the probability for an organization of being damaged by having its computer systems breached, its most sensitive information / intellectual property stolen, etc...

As we described in our previous post, there are further threats that are becoming increasingly worrisome (terrorism, cyber-warfare activities, sabotage) but here let's just concentrate on the simplest and more diffuse ones. The following suggestions won't protect a company from targeted hostile cyber-warfare activities, but will certainly add resilience and protection against the most common threats.

What is required is a serious commitment from stakeholders and top management, and a continuous effort undertaken by a multidisciplinary team of highly skilled people in order to monitor, understand and anticipate trends so that it becomes possible to define, apply and enforce appropriate rules and policies dynamically, remembering that these phenomena evolve daily, almost in real time.
This is not something that the Marketing Department can handle alone, nor the IT, and not even the Security Team nor the HR or the Legal Department: all these otherwise perfectly capable professionals will fail if given the task of managing an organization's Social Business Strategy outside a multidisciplinary and truly integrated approach.
The marketing people will see all and only the advantages and the marvels of social networking, ignoring any other consideration; the IT will only see an increase in bandwidth usage and help desk calls, the Security guys will scream that shutting down the perimeter defenses would be less dangerous than opening access to SM sites to all employees (as Marketing demands), HR will only try to recruit the best resources with the lowest effort, end users themselves will happily find ways to bypass any policy and restriction, and so on. With Social Business, this is THE recipe for disaster.

There are also several main obstacles that work against the implementation of an effective Social Business Risk Management Strategy and that must be taken into account:
- Awareness of the problems is still very low at all levels (if non-existent);
- A growing number of threats is realized at the semantic level, impossible to monitor and manage with traditional security tools;
- Consumerization of Enterprise IT / BYOD are putting security workflows at risk (sometimes beyond any remedy);
- For various reasons, it is "forbidden to forbid" (especially in Italy);
- Legislation protects the privacy and freedoms of employees and users (and rightly so), complicating monitoring activities;
- Mitigation technologies are not yet up to date with the issues (nonetheless they're evolving at great speed);
- Policies and virtuous behaviors are always lagging years behind the technology (nowadays first we invent something, then we find how to make a profit out of it, then we see if there are contraindications);

In addition, recent researches showed that companies do not have adequate tools to monitor and measure data loss & leakage through Social Media, and that the phenomenon is simply out of control in 98% of cases.

So, let's go back to countermeasures. In order to find solutions applicable in the real world we must take into account strategic, educational, economic, organizational, technological and legal issues.
In a comprehensive Social Business Risk Management Strategy, there are seven areas to be simultaneously pursued:
- Create a Social Business Officer position, with a staff capable of managing risk across (at least) 5 different domains: Marketing, Legal, IT Security, HR and IT. These organizational changes are mandatory: without such a team, the organization will be blind, deaf and incapable of reacting quickly and appropriately in case of an incident or of an attack. And no, your Advertising Agency cannot supply you a Social Business Officer.
- Remedy the lack of standard procedures, organizational tools, plans and corporate culture in general by implementing continuous risk and security awareness programs, explaining and enforcing the new Social Business rules and policies to all parties involved (achieving understanding, acceptance and participation);
- Implement effective multi-layer technical tools to monitor and control in real time all the different kind of threats that flow within the Social conversation (from semantic threats to suspicious URLs to malware), whereas firewalls, proxies and antiviruses are becoming almost useless, being transparent for most of today's threats;
- Empower and responsibilize all users and corporate structures involved, for whatever reason, in the use of Social Media, and make them accountable for managing their own share of risks. Social Business is not just another IT problem and it's not only a "marketing thing". Since Social Network owners are not willing to do it, enforce strict identity and access management processes on your side;
- Reduce unnecessary risky behaviors and choose wisely the way you manage your IT Security: do not allow the marketing sirens of the Bring Your Own Device, or of Cloud based Whatever-as-a-service fool you. If somebody fries or steals your database, no cool marketing concept will bring it back;
- Measure your KSIs and your KPIs and monitor closely both progresses and failures. Ideally your security trend graph should have daily control points. If you are using more than one Social Network, measure and monitor them all, each one with its distinctive tools and parameters.
- Finally, increase your reaction speed. Nowadays the lag between the birth and growth of a risky trend and its impact on organizations has become merely weeks, not years or months like it used to be. Stay ahead of the pack and set up preventive measures, including education at all levels, an effective early warning system and contingency plans for handling incidents while they are happening, in real time, before they get out of control.

Social Business related problems are much more complex than they seem at first and there are no magic wands: the variables involved are so many, and the issues to be addressed have non-linear consequences at so many (apparently) unrelated levels, that we have no one-size-fits-all solutions yet... but we are learning fast. 

I personally find it all extremely fascinating: let's talk about it!

-----------------------------------------------------------------------------------------------
Bio
Andrea Zapparoli Manzoni was born in Milan in 1968.
With a multidisciplinary background both in political science and in computer science, since 1997 he developed an active interest in ICT security, with particular reference to GRC (Governance, Risk and Compliance), cybercrime and cyber warfare issues.
Over the years he worked in the IDM, IAM, DLP, Anti Fraud, Security Intelligence, Forensics, Vulnerability Assessment & Management fields in Enterprise, Industrial, Central PA and Gov-Mil environments.
He writes articles and essays on InfoSec topics and follows very closely all developments in Cybersecurity, working as a trusted advisor with national and international organizations.
He partecipates to the activities of CLUSIT (Italian Association for Information Security) speaking at conferences, contributing papers (two ROSI patterns about IAM and DLP, seminars about SCADA Security and Social Media Security) and spreading the culture of IT Security in Italy.
In addition to collaborating with numerous Italian and foreign companies, he is the founder and CEO of iDialoghi, a consulting firm specializing in the design and implementation of advanced information security solutions, including the Social Business Security field.

martedì 6 dicembre 2011

Cloud Incident Response: a tangled scenario

A detail from Constable's "Landscape with clouds"
This is the second post of the “Cloud Incident Response” series and, after the announcement of the CloudSIRT project, I want to begin our journey through this matter starting from the base... the scenario.

Infact, we need to investigate in detail the way in which the services are delivered in the cloud to better comprehend the reasons behind the necessity of a new and efficient approach to the Incident Response process.

Well, the majority of people think the world of cloud services is made by Consumers and Providers, but the reality is much more complicated. At the moment, mature cloud services are not a matter of you and your provider, instead, as the NIST highlights, at least three other major actors are involved in this business. These new actors (for a full definition of these roles see the “NIST Cloud Computing Reference Architecture”) are the following:

- Cloud Broker (the entity that manages the final services and the relationships between providers and consumers)
- Cloud Carrier (the intermediary that provides connectivity and transport of cloud services)
- Cloud Auditor (the independent examiner of cloud service controls to verify compliance).

To complicate matters further, a cloud provider can use subcontractors to deliver some specific features of his services (e.g. storage, computational resources, network, etc.).

So, in the real market, a consumer finds offerings for services that involve a combination of many players and each of these can contribute to the final service with a different weight and role. Finally, a consumer would not be completely aware of all the interactions amongst the providers of the service because, usually, he signs a contract with a front-end provider that, in some cases, could have an interest to hide the complexity behind the proposed service.
You can easily imagine that each of these players have to face general and specific threats (an interesting document on the cloud threats is the “Top Threats to Cloud Computing“ by Cloud Security Alliance) and security risks. The complex supply scenario multiply these threats and security risks combining them in various ways. As result, a security incident in the cloud involves many layers of the service with multiple mutual interactions and each layer involved could be managed by a different actor.

In one word, a mess!

So, incident response in the cloud is an activity that relies mostly on communication and information sharing among the various actors involved. A wise cloud consumer wants to be part of the incident response process but, often, a cautious cloud provider needs to maintain the whole process in his hands. Moreover, the provider has specific needs not to disclose some pieces of information belonging to other customers uninvolved by the incident. So, despite all the difficulties, the solution is to achieve a good balance between these diverging requirements and the only tools that can be used to regulate these information interchanges are contractual clauses and Service Level Agreements (SLA).

Hence, the first step in addressing an efficient incident response process is to set up specific contractual clauses regulating the information flows regarding incidents.

To achieve a good balance of these different needs, these clauses have to set, at least:

- a clear definition of an incident
- the incident declaration procedure
- the needs of cooperation between consumer and provider
- the expected information flows to/from the consumer in every phase of incident response
- the perimeter in which the incident related data can be used and shared
- the procedures and triggers to involve the law enforcement agencies
- all the involved parties along with their roles

In my opinion, this is the only way to lay the foundation stone for an effective incident response process within the cloud.

In the next parts I will focus on the ways to exchange data related to incidents and on the phases of the incident response process in the cloud… so, stay tuned!

domenica 4 dicembre 2011

Best of the Week - 4 Dicembre 2011

This week, beside the articles, I found some interesting security reports. Here you can read my list of the best security resources of the week.

Hope you can enjoy it.

@RSA_Fraud Are you Smarter than a Fraudster? yfrog.com/ocb1clbj Take our quiz to see! rsa.im/tOiGQi

@fpietrosanti National Counterintelligence 2011 Executive Report to US Congress ncix.gov/publications/r…

@nientenomi Utility Cyber Security Report. Seven key smart grid security trends to watch in 2012 and beyond zite.to/t1iW27 by PikeResearch

@CiscoGGSG Military crypto modernization leads to applications like smartphones, tablet computers on the battle fb.me/V1GIDK5v

@cedricpernet A new #IRM ( #incidentresponse Methodology) is out, this time about #scam #fraud - on CERT SG's website: bit.ly/mxb82p - @nientenomi I suggest also these information security policy templates http://www.sans.org/security-resources/policies/

@SecureTheHuman Top ten tricks for successful security awareness presentations. How to engage and present with impact by @lspitzner. bit.ly/tp2aWv


domenica 27 novembre 2011

Best of the Week - 27 Novembre 2011

It's Sunday which means it's time for another "Best of the Week" post.

Here you can find the list of my favourite security resources of the week.

Hope you enojoy it.


@RealSecurity Best Practices for Keeping Your Home Network Secure - NSA [PDF] nsa.gov/ia/_files/fact… #security

@gcluley Graham RT @NakedSecurity: The Conficker worm, three years and counting bit.ly/sVG9kW

@RealSecurity DNS Cache Poisoning (excellent read) resources.infosecinstitute.com/dns-cache-pois… #security

@assolini now is time to Brazilian crooks to invite customers of local Banks to "update" their RSA tokens twitpic.com/7i0a8q

@CERTXMCO U.S. confirms it will use military force in response to cyber attacks thetechherald.com/article.php/20… via @thetechherald

@DoDRecruiterDC Top 7 cybersecurity predictions for 2012 bit.ly/sUI8tM #infosec #cybersecurity via @kanguru_news

@cyberwar Assessing India's Cyber Preparedness. scribd.com/doc/69726906/J… <== excellent article!

giovedì 24 novembre 2011

MUMBLE - A cosa serve un CERT Nazionale

Negli scorsi giorni una notizia ha dominato il mondo della cybersecurity: negli Stati Uniti, un ignoto hacker ha avuto accesso a un sistema di gestione dell'acqua potabile e, tramite l'invio di una serie di comandi, ha provocato la rottura di una pompa. 

La notizia è molto più articolata di così ma, per il mio obiettivo odierno, possiamo fermarci qui (se invece volete altri dettagli, potete agevolmente trovarli in rete).

Chiaramente questa notizia è estremamente preoccupante, se l'ignoto hacker è stato realmente in grado di rompere una pompa avrebbe anche potuto alterare dei parametri di funzionamento rendendo l'acqua imbevibile, oppure avrebbe potuto rompere tutte le pompe e mandare in tilt l'intero sistema. E se invece avesse preso di mira un fornitore di energia, o un impianto chimico? Insomma si aprono scenari da vera e propria cyberwar.

Bene, appena si è diffusa la notizia, sono immediatamente partite le indagini (che, al momento, tendono a minimizzare l'evento) dell'FBI e dello US-CERT. E proprio di questo voglio parlare oggi.

A cosa serve un CERT Nazionale? Ho avuto modo di fare una chiacchierata "tra amici" qualche giorno fa, e ho avuto conferma che, purtroppo, a differenza dei tecnici, i livelli decisionali italiani non hanno ancora messo a fuoco correttamente la missione di un CERT nazionale. Che sia questo il motivo del nostro immobilismo su questa delicatissima materia?

Proviamo a fare chiarezza con un esempio tratto, appunto, dalla recente cronaca.

Oggi, giovedì 24 novembre 2011, un ignoto hacker mette fuori uso le pompe di depurazione dell'acqua dell'ACEA (non me vogliano gli amici di ACEA, è solo un esempio). A Roma si diffonde il panico, l'acqua sarà ancora potabile? La magistratura apre un fascicolo contro ignoti e la Polizia delle Comunicazioni inizia le indagini. E, fino a qui ci siamo...

Ma chi supporta ACEA nelle proprie indagini interne? Chi supporta la gestione dell'incidente, garantendo che siano fatti gli interessi pubblici e non solo quelli dell'operatore coinvolto? Chi determina le contromisure che devono essere realizzate affinché un incidente di questa dimensione non succeda nuovamente? Chi contribuisce a diffondere le notizie ufficiali agli altri operatori di settore in modo che tutti mettano in atto le necessarie misure preventive? Chi si coordina con le altre strutture internazionali per avere un quadro più generale della situazione? Chi distribuisce informazioni ufficiali al pubblico tramite rapporti con i media garantendo che sia privilegiato l'interesse pubblico rispetto all'interesse privato dell'operatore? 

La risposta è semplice... NESSUNO! 

In Italia, nel 2011, queste attività vitali non sono di competenza di nessuno.

Ogni operatore deve cavarsela da sé e la Polizia, giustamente, si attiva solamente al fine di individuare i responsabili dell'eventuale atto criminoso (se dietro a tutto ci fosse un malware, come ad esempio Conficker, non succederebbe quasi niente) ed assicurarli alla giustizia.

Come sa chi è già un lettore di questo blog, ritengo che questa sia una situazione indegna di un paese evoluto  che, come il nostro, basa la propria vita sociale e finanziaria su infrastrutture informatiche. 

Questa situazione deve essere sanata quanto prima.

Ma ora sono stanco, vado a bere un bel bicchiere di acqua fresca... finché posso!


lunedì 21 novembre 2011

The CloudSIRT project


The Cloud Security Alliance Congress is just finished and many interesting news has been released, such as:
- CloudSIRT project

In the next days I will write a post to describe the major changes in the Security Guidance but today I'm going to write about CloudSIRT, a project in which I am participating. The big news is that the evaluation of the membership applications will start by the end of November; organizations that will join by February 20th will become Charter Members and will enjoy additional membership benefits.

CloudSIRT (or better, CloudCERT*, the real name of the initiative), as the name suggest,  is a project aimed to the development of Incident Response best practices and information sharing within cloud environments. In fact, the mission of this project is to "Enhance the capability of the cloud community to prepare for and respond to vulnerabilities, threats, and incidents in order to preserve trust in cloud computing"... and this is a very ambitious mission. 

In the last months, in order to create a framework to achieve the mission, our working group (led by John Howie and Jim Reavis), has stated the following principles:
- foster an open and collaborative environment among members that supports the goal of safe and secure cloud computing;
- seek to fill gaps in knowledge and capabilities specific to cloud computing security, while avoiding duplication of effort and conflict of ownership;
- be a responsible and responsive partner to governments, law enforcement and security organizations;
- provide real value with demonstrable positive effect in achieving our mission and goals;
- strive to build trust with constituent members, third-party security organizations, and cloud community at large so that information will flow freely to CloudSIRT;
- behave professionally and ethically within the membership and with any external contacts.

This project is an official CSA initiative that was conceived of at the same time as the CSA but was formally announced only one year ago. During this year, among other activities, we have been working on a bylaw that regulates the organization, relationships, memberships and activities of CloudSIRT. 

First of all, we established that no cost will be requested to join CloudSIRT and eligible members will be limited to qualified organizations in the following categories:
- Cloud Providers;
- Telecommunications providers;
- CERTs, CSIRTs and ISACs (and similar).
However, upon approval of a two-thirds majority of the Board, other organizations will be able to join CloudSIRT. 

More specifically, for Cloud Providers we intend organizations owning and managing the infrastructure used to provide service that offer Public, Private or Community clouds (with one or more of IaaS, PaaS or SaaS), maintaining a permanent, dedicated Incident Response team and holding a direct relationship with their customers.

The eligible Telco Providers must have a carrier-class backbone and/or long-haul network connections over which public IP traffic is routed, must have established peering relationships with other telecommunications provider and maintain a permanent, dedicated Incident Response team.

Finally, eligible CERTs CSIRTs and ISACs must be established by statute or regulation, or designated as a national or regional CERT/CSIRT by the national or regional government with jurisdiction or must be recognized by a national or regional CERT/CSIRT as an industry CERT or ISAC. 

Within CloudSIRT, the member organizations will share information regarding operational threats such as:
- attacks against infrastructure;
- malicious activity detected;
- evidence of compromise of another member;
- source of attacks, signatures and patterns, account names, etc.

Since these pieces of information are critical and may contain sensitive data (Personal data/PII, financial information, etc.), all members are requested to sign a multi-party NDA that protects the confidentiality of the information. We are also working on agreements, procedures and operational guides to ensure a legal handling and sharing of this data.

CloudSIRT will share information within three communication perimeters:
- among member organizations as part of routine operations;
- with the CSA and its Working Groups to enable further research;
- externally to the public, to governments, and to industry.

Actually, not all the information will be shared in all ways, nor simultaneously so, in order to regulate these flows of information, we decided to use a so called "Traffic Light Protocol" that puts in relation the information and the communication perimeters. 

CloudSIRT will publish all public information through its official communication channels (website, twitter account and mailing list) that soon will be set up.

Finally, as all the Cloud Security Alliance initiatives, CloudSIRT has a focus on research and will contribute to CSA WGs, in particular those linked to the Guidance “Domain 9: Incident Response” and “Domain 3: Legal and Electronic Discovery”. Moreover, CloudSIRT will contribute to external research specific to its focus and consistent with its Charter.

In the next days, I will publish other posts regarding Cloud Incident Response and CloudSIRT in particular so, if you are interested in these subjects... stay tuned!

-----------------------------------------------------------------------------------------------
*In the US and other countries, Carnegie-Mellon University owns the right to the name ‘CERT’ so, we have begun the process of licensing CloudCERT with CMU and, at the moment, we have an agreement in principle to use CloudCERT but we are using the name CloudSIRT until we have ratified this formal agreement.

domenica 20 novembre 2011

Best of the Week - 20 novembre 2011

This week, many worrying details were published about water utilities and chemical industries as targets of sofisticated cyber attacks. I have selected the most interesting security articles of the week and now, as every weekend, I'm presenting you my "Best of the Week".

Hope you enjoy it.

@Cephurs RT@CNETNews: Hacker "pr0f" hacked into Houston water plant to demonstrate utility vulnerability to cyberattack cnet.co/txOByF

@sambowne Second water utility reportedly hit by hack attack bit.ly/ugFTuk

@CompuSecure Hackers attack Norway's oil, gas and defence businesses sns.mx/BVgXy5

@peterkruse More on the "Fawkes" virus. A video on Youtube (just uploaded) claims that Anonymous have unleased Fawkes on Facebook, youtube.com/watch?v=-fhF0t…

@ryanaraine Our Duqu FAQ has been updated with information on multiple easter eggs in the malware code securelist.com/en/blog/blog?w…

@mikko Hackers hacking hackers. German carder forums featured in e-zine "Owned and Exposed": bit.ly/sw0IbX #CC

domenica 13 novembre 2011

La guida del CERT-EU sul malware

Partiamo dall'inizio, da qualche tempo è stato attivato il Computer Emergency Response Team Europeo, il CERT-EU appunto. Un'iniziativa di grande valore e spessore per tutta l'Unione Europea che ci pone finalmente al livello degli americani che, con lo US-CERT, hanno proposto al mondo uno dei modelli più importanti per le strutture nazionali dedicate alla prevenzione e gestione degli incidenti.

Il neonato CERT-EU sta iniziando a popolare il proprio sito di informazioni utili e di guide per gli utenti. Da qualche giorno è stato pubblicato un documento dal titolo "Security White Paper 2011-003 - Windows Malware Detection (Incident Response Methodology)".

Prima di entrare nel vivo della descrizione di questo documento devo sottolineare, come mio solito, quanto sia grave la mancanza per l'Italia di un CERT nazionale e quanto questo metta tutti i cittadini e le imprese italiane in posizione di svantaggio rispetto ai nostri partner internazionali (in un momento di grave crisi economica un handicap ancora più sentito), distanziandoci sempre più dall'Unione Europea nel campo della tecnologia e dell'utilizzo del cyberspace.

Bene, ora veniamo alla guida.

Tra gli indizi che il CERT-EU indica come riferibili ad una possibile infezione ci sono:
- un comportamento anomalo dell'Antivirus (un allarme, l'impossibilità di aggiornarmento il DB delle firme, il fermo di uno o più servizi o l'impossibilità di eseguire scansioni anche se lanciate manualmente)
- un comportamento anomalo del disco rigido (il disco rigido "frulla" a lungo senza apparente legame con le attività correnti)
- un comportamento anomalo del computer (improvviso rallentamento, riavvi senza motivo, crash senza apparente motivo di alcune applicazioni o pop-up che si aprono in modo decontestualizzato rispetto all'uso)
- un comportamento anomalo della rete (connessione a Internet molto lenta per la maggior parte del tempo di navigazione (si vede che sono europei e non italiani... loro hanno la banda larga, noi il digitale terrestre, dove si riesce a vedere...))
- l'inserimento in una black-list del proprio indirizzo IP statico (per chi ce l'ha)
- un comportamento anomalo dei sistemi di comunicazione (email, IM, ecc).

Saltando tutti i passaggi intermedi, che potete leggere direttamente sulla guida, si giunge alle indicazioni per il ripristino:
- fare il reboot da un live CD e fare il backup, su un disco esterno, di tutti i file importanti 
- rimuovere i binari del malware e tutte le configurazioni di registro (fare riferimento alle best-practice dei vendor antivirus)
- avviare una scansione antivirus online
- lanciare BartPE live CD con degli strumenti antivirus (in alternativa avviare un live CD prodotto da un vendor AV)
- se possibile reinstallare il Sistema operativo e le applicazioni e fare il restore dei dati da un backup affidabile
- recuperare i file eventualmente danneggiati dal malware, soprattutto se sono file di sistema
- fare il reboot della macchina e verificare se il sistema funziona correttamente e riavviare una scansione completa.

Relativamente ai passaggi di bonifica, vi ricordo che su Punto 1 potete trovare la guida dedicata al malware con molti link a risorse e procedure esterne.

Voglio chiudere questa breve analisi del white paper guida del CERT-EU ricordando che tra le azioni indicate a valle del contenimento viene suggerito di fare una valutazione dei costi dell'incidente. Questa attività renderà più semplice fare le giuste valutazioni per le allocazioni del budget da destinare alle contromisure per il malware.

Mi permetto di aggiungere, però, un ulteriore passaggio alla guida del CERT-EU e suggerisco di effettuare, a valle della bonifica, una scansione con Secunia On-line scanner per verificare gli aggiornamenti dei programmi installati. Questo permette di eliminare le eventuali vulnerabilità che sono state sfruttate per l'installazione del malware.

Best of the Week - 13 novembre 2011

Many interesting news this week. This is my selection of the best security resources of the week.

Hope you enjoy it.


@DebbieMahler Best Cloud Computing Security & Best Computer Forensics Tool: Throughout the day, SC Magazine will be announcing... bit.ly/vCYqka

@CND_Ltd Duqu Created to Spy Iranian Nuclear Program goo.gl/bA0Pt via @softpedia

@RSAConference @MishaGlenny writes about why you can’t trust the cyber crime stats. Do you agree? bit.ly/vBbNVs

@SCADAhacker NSS Labs releases Duqu Analysis & Detection Tool - bit.ly/sIgLNA

@RealSecurity Blogging Cybersecurity: Looking Back at the Best, Worst and Most Surprising shar.es/onols #security #cyber

domenica 6 novembre 2011

Best of the Week - 6 Novembre 2011

Here's my selection of the best security resources of the week.

Hope you enjoy it!

@mikko A collection of whitepapers and presentations on Russian cybercrime and online attacks 2000-2010: bit.ly/rTvbrz

@ArMyZ Read, keep and save it -The Immutable Laws of Security zite.to/sGhKG8

@cyberwar Interesting if corroborated.Cyber attack on key Nuclear facility in Mysore? asianage.com/india/cyber-at…

@mikko F-Secure's Questions & Answers on Duqu: bit.ly/DuquQA

@stiennon There is no cyber war the same way there is no nuclear war - Forbes onforb.es/tckxW1

@DrInfoSec E&Y: "An executive should know their CISO well and be in constant contact." banktech.com/risk-managemen… <- QOTD!!!

@danchodanchev "Soon we will be facing cyber terrorism" is.gd/kUXG6z not at all, as cyber jihad is currently threat number one is.gd/sRjaSI

mercoledì 2 novembre 2011

Information Warfare Conference Rome 2011

Il 27 ottobre scorso si è tenuta la seconda edizione della Information Warfare Conference di Roma organizzata anche quest'anno da Maglan e promossa da CSSI, Link Campus University, ISPRI e dal Centro studi Gino Germani. Tra le novità di quest'anno, oltre ai numerosi patrocini da parte di enti pubblici, c'è stata l'assegnazione della "Medaglia del Presidente della Repubblica" a sottolineare l'importanza di questo evento nel panorama nazionale.

Il tema della conferenza era "La sfida della cyber-intelligence al sistema Italia" e, come lo scorso anno, l'agenda era particolarmente ricca di interventi. Riporterò quindi solo alcuni estratti delle numerose notizie ed analisi interessanti che sono state presentate nel corso della mattinata.

La Conferenza è stata aperta da Paolo Lezzi (CEO Maglan Europe) che ha presentato l'evento e ha quindi lasciato la parola al prof. Umberto Gori che ha sottolineato l'importanza del cyber-space per tutto il mondo dell'intelligence e della counter-intelligence. Tramite il cyebr-space, infatti si aprono scenari fino a pochi anni fa del tutto inaspettati e, entro certi limiti, ancora poco compresi (basti pensare alla facilità con cui Bradley Manning ha copiato le 250.000 pagine di cablo poi pubblicati di WikiLeaks. Se avesse dovuto fare delle copie fisiche, la situazione sarebbe stata ben diversa. NdA). L'intervento è proseguito poi:
- sottolineando la necessità di avvalersi delle PPP (Public-Private Partnership) per indirizzare correttamente queste nuove problematiche caratterizzate da elevate complessità multi-dimensionali
- invocando una concertazione internazionale per una gestione globale di queste problematiche
- sottolineando la necessità di definire metriche effettive per la misura degli impatti causati da incidenti informatici.

Infine, il professor Gori ha chiuso il suo intervento con una nota polemica sulle scelte effettuate dall'Italia nel campo della protezione delle infrastrutture critiche, che sono state tardive e non sempre improntate all'efficacia e tempestività che questi temi richiederebbero.

L'on. Vincenzo Scotti ha poi ripreso alcuni concetti mettendo in evidenza come il tema dell'intelligence, soprattutto di tipo economico, sia vitale per la difesa delle imprese in tempi di crisi come quelli che stiamo affrontando.

Il prof. Luigi Germani ha invece analizzato le varie tipologie di intelligence e di utilizzo del cyber-space come campo di confronto tra entità statuali e non. In particolare ha sottolineato come l'efficacia delle attività di influenza, ingerenza e disinformazione strategica sia moltiplicata dall'utilizzo dei media che si basano sui social network e sui nuovi mezzi di comunicazione.

Il Dott. Paolo Scotto di Castelbianco ha invece puntato sulle difficoltà create ai paesi maggiormente evoluti dalle vulnerabilità intrinseche al cyber-space, sia dal punto di vista delle possibili minacce statuali, sia dal punto di vista di minacce meno canoniche come quelle rappresentate dagli hacktivist. Questi ultimi, in particolare, seguendo motivazioni sempre più liquide e cangianti e creando una sfiducia diffusa nella sicurezza della rete, hanno un ruolo particolarmente rilevante nel panorama internazionale delle minacce.

Il C.F. Danilo Murciano ha individuato, nell'anonimato garantito dalla rete e dalla forte asimmetria tra chi attacca e chi si difende, i temi dominanti della intelligence nell'era cyber-space. Ha inoltre posto il dominio legato al cyber-space come trasversale agli altri domini (acqua, aria, terra e spazio), sottolineando quindi le interdipendenze che si vengono a creare tra le operazioni militari canoniche e quelle cyber e la conseguente crescente importanza della "Information Superiority" come obiettivo strategico. L'intervento si è chiuso con una riflessione sul bisogno di dotarsi di regole chiare in questo nuovo dominio, ad esempio per determinare quando un attacco cyber possa essere considerato un atto bellico, con tutte le conseguenze del caso.

Shai Blitzblau, citando gli "air-gap", ossia le separazioni tra le reti dedicate a sistemi critici e le reti connesse ad Internet, si è soffermato sull'inefficacia di queste tecniche di sicurezza, soffermandosi invece sull'importanza dell'approccio complessivo alla sicurezza e della costante attenzione ai fenomeni e ai segnali deboli. Dal punto di vista dell'intelligence ha poi citato due fenomeni "collaterali" all'utilizzo del cyber-space per questi fini:
- le difficoltà di mantenere la segretezza delle attività di preparazione di una operazione di intelligence dato che, a differenza ad esempio di una telecamera, i mezzi che devono essere sviluppati per fare sorveglianza di un bersaglio cyber sono molto specifici per ogni dato target 
- la necessità di disporre di un ampio arsenale di cyber-weapon perché queste armi sono caratterizzate da una grande efficacia che però si viene a depauperare completamente a seguito del primo utilizzo, rendendole quindi inadatte a utilizzi successivi.

Andrea Rigoni, ha esordito con una provocazione dicendo che siamo già all'11 settembre della cyber security solo che non ce ne siamo ancora accorti. Il suo intervento è poi proseguito citando le varie problematiche del DNS che il GC-SEC sta contribuendo a mettere in luce. Il DNS, infatti, è una componente fondamentale delle reti che però è stata concepita nel '93 senza che, ovviamente, fosse possibile intuire le enormi evoluzioni negli utilizzi che sarebbero seguiti. Oggi il DNS soffre di una mancanza di sicurezza intrinseca e indotta, la prima è dovuta appunto alla sua vetustà, la secoda invece dipende dalla mancanza di una vera governance che ne possa indirizzare le evoluzioni.

Come avrete letto, quindi, questa conferenza è stata un evento molto interessante e, in un'Italia sempre più avvitata sui propri problemi e senza grandi slanci verso il futuro, svolge un ruolo importante nel mantenere alta l'attenzione su questi temi.

martedì 1 novembre 2011

MELANI: il nuovo report del CERT svizzero

Ieri, MELANI, il CERT svizzero, ha rilasciato il nuovo rapporto sullo stato della sicurezza informatica in Svizzera e nel resto del mondo. 

Come sempre, gli esperti svizzeri hanno fatto un eccellente lavoro, riunendo in unico documento tutti i fatti ed i fenomeni salienti dei primi sei mesi del 2011. 

Scorrendo il documento potrete trovare, ad esempio, alcuni dati relativi:
- all'aumento del fenomeno dello "skimming" (la clonazione di carte di pagamento) in Svizzera, 
- agli attacchi degli Anonymous e di Lulzsec,
- all'aumento degli attacchi con finalità spionistiche
- agli attacchi contro Sony e RSA.

In particolare, voglio però ricordare qui 3 argomenti che mi hanno colpito particolarmente e che riporto brevemente.

Il primo riguarda l'approccio cauto delle banche svizzere verso lo sviluppo di applicazioni mobili per l'home banking. Nel rapporto si ricorda che, a parte qualche rara eccezione, le "apps" distribuite dalle banche svizzere sono finalizzate più alla diffusione di notizie utili sull'andamento dei mercati che alle transazioni bancarie vere e proprie. A questo proposito, viene analizzata la difficoltà di impostazione di un corretto approccio all'autenticazione forte in contesti come quelli degli smartphone. In questi device, infatti, l'invio di sms con credenziali di accesso di tipo one-time (mTAN) è una misura debole, visto che risiede sullo stesso apparato che ospita anche l'applicazione e gli altri tipi di distribuzione di credenziali (chiavette, token e tabelle) sono poco consoni all'uso mobile.

Il secondo punto che voglio riportare è l'impatto degli attacchi con finalità spionistiche nella vita quotidiana delle aziende svizzere ed internazionali. MELANI, infatti, ha voluto sottolineare la diffusione degli attacchi ad aziende, governi e istituzioni finanziarie finalizzati alla sottrazione di dati riservati. Nel rapporto viene analizzata una delle tecniche maggiormente utilizzate che è messa in atto attraverso l'invio di mail contenenti malware verso dipendenti dell'ente target. MELANI conclude questa riflessione con l'invito alla propria constituency ad attrezzarsi per fronteggiare un possibile attacco di questo genere perché la probabilità di accadimento è ormai piuttosto alta.

Il terzo ed ultimo aspetto su cui volevo soffermarmi è l'annuncio che il governo elvetico è in procinto di varare la propria strategia per la cyber security. La Svizzera sarà così annoverata tra i paesi europei ed occidentali che hanno già varato questo fondamentale strumento a garanzia della sicurezza delle proprie infrastrutture. Il rapporto ci ricorda che, tra gli altri, USA, Inghilterra, Germania, Olanda Francia, Repubblica Ceca e Spagna sono già dotate di una strategia di sicurezza e che altri paesi  si stanno aggiungendo.

Questa notizia mi fa sentire ancora più forte la mancanza in Italia di una struttura che svolga le funzioni di un CERT nazionale. Il nostro paese, infatti, sta ormai rimanendo sempre più isolato in Europa e nei consessi internazionali non avendo né un CERT nazionale né, tantomeno, una strategia che detti le priorità di intervento. Tanto per dire, l'Europa ha disposto che entro il prossimo anno tutti i paesi membri siano dotati di un CERT nazionale e anche paesi meno tecnologici e dipendenti dalla rete come ad esempio il Ghana si sono dotati di un CERT.

Che dire di più... complimenti a MELANI per l'ottimo lavoro.

domenica 30 ottobre 2011

Best of the Week - 30 ottobre 2011

That's the new post of the "Best of Week" series, in which you can find my personal selection of the best security resources of this week.

Hope you enjoy it.

@computersandlaw Cloud Legal Project have a recording of Dr Ian Walden's talk on law enforcement access to cloud data available at bit.ly/nqaChB

@FSecure How to Create a Fake Identity and (Try to) Stay Anonymous Online lifehac.kr/rULTcC

@CiscoSecurity Security Quiz - easier than the one we had at BlackHat, have you tried it yet? bit.ly/vsvQ3V

@nigroeneveld Using Pastebin Sites For Pen Testing Reconnaissance bit.ly/rddagj

@andreglenzer Further evidence of Certificate Authority break-ins: http://goo.gl/9SVtK

@paulsparrows XML Encryption Cracked! bit.ly/rd0RFU #Infosec

martedì 25 ottobre 2011

Andrea Zapparoli Manzoni - 2011, InfoSec’s “Annus Horribilis”


The "Voci Amiche" section of Punto 1 starts again hosting contribution from other security experts.

I'm very happy to announce that we are beginning with a good friend of mine and a very capable expert: Andrea Zapparoli Manzoni.

His experience and passion in his work in the field of social media security make him a prominent figure among the Italian security experts.

I agreed with Andrea that his post will be divided in two parts so... stay tuned!!

Andrea, the floor is yours!

-----------------------------------------------------------------------------------------------
Social Business Insecurity: Espionage, Cyberwar and Trans-national Cybercrime

A 2008 report of the Center for Strategic and International Studies (CSIS) Commission on Cybersecurity for the 44th Presidency noted: ‘we began with one central finding: The United States must treat cybersecurity as one of most important national security challenges it faces’ (CSIS 2008). 
Let's admit it: three years later things didn’t get any better, on the contrary, they seriously worsened. Without fear of being dubbed as scaremongers, we can say that 2011 was a real "annus horribilis" for InfoSec, probably the worst ever, and that, at least until now, both industry self-regulation and law enforcement oversight have almost completely failed in the cyber security space. 
The same foundations of e-commerce, home banking and of any other sensitive online activity (including expressing dissent) have been shaken by the recent attacks on the Certification Authorities infrastructure (Comodo, DigiNotar and even RSA, in a sense), leaving us wondering whether we should completely rethink the trust model that is one of the cornerstones of the Internet today.  
The prevailing compliance-focused security model is showing all its shortcomings too, and has clearly become obsolete when compared to the evolution of threats: not only diffuse cyber-hacktivism has fully demonstrated its potential with LulzSec and Anonymous (ask Sony!), but high tech skills are now available for rent on a global scale to a variety of customers, including nation states, corporations and other interest groups (i.e. criminal cartels and terrorists), changing the security game forever. 
We're also witnessing the birth of trans-national cyber mercenary units and the unregulated proliferation of shadowy private contractors (the HBGary scandal being just a glimpse of what is brewing in the cyber-underworld, well beyond the reach of public scrutiny).
The feeling is that the situation is getting out of control, and that all the advantages that the new digital domain has brought to our everyday's lives are now at risk of being seriously hindered by the stupendous growth of cyber threats and of their intensity, if this trend isn’t somehow reversed.

Social Business Insecurity 

While Social Business is touted as the new frontier of economic activity, attracting huge investments and creating a lot of expectations, associated risks are completely underestimated.
The marketing hype surrounding the steep rise of Social Networks adoption has masked the reality of a corresponding growth in espionage, cyber crime and cybewarfare activities performed through them. 
The potential consequences of organized cybercrime, cyber-espionage and cyberwarfare activities coupled with Social Media platforms are, as of today, not well understood and mostly ignored.
With an estimated billion logged users per day, Social Media are the “place” where everything happens nowadays, almost in real time and without any serious monitoring capability in place. It is extremely hard, both economically and technically, to react to Social Media delivered threats in a timely and organized manner, which can then be amplified and spread to a world-wide audience in a few minutes.
Furthermore, it seems that the owners of Social Media platforms have no interest, or at least are not paying enough effort, into making their digital environments less prone to misuse.

Cyber-espionage (expecially from the far east) has reached never seen before levels of sophistication and is now the world's primary cause of intellectual property theft, becoming more aggressive by the day, while some analyst are already stating that we just entered a new “Cold Cyberwar” age.
With regards to cyberwar, many developed countries are loudly declaring that they are defining ad-hoc cyberwarfare doctrines and building up both offensive and defensive cyber capabilities, establishing military commands and special hybrid groups (military and civilian) for the purpose, while at the same time they are getting every day more vulnerable and susceptible to devastating cyber-attacks on their digital infrastructures, caught in a self fulfilling prophecy.

Meanwhile trans-national cybercrime is growing exponentially (+250% in 2011 compared to 2010), having reached an overall estimated 2011 turnover of 7Bn $ while inducing worldwide direct and indirect losses for 388Bn $ (a 55:1 ratio!), an amount of lost wealth that is bigger than Denmark’s GDP.
For their very nature, Social Media are not only affected by the usual Internet threats (frauds, scams, spam, phishing, whaling, identity theft, malvertising and infections hit tens of millions of users every year), but are also becoming the new tool of choice for OSInt and enemy groups infiltration, social engineering and PsyOps, unfair competition, surveillance and target acquisition (as was recently demonstrated in Lybia and during the “Arab Springs”). Social Media have now become not only the Arcadia of digital social interactions, but also the equivalent of a world-wide, free C4SIR for any antagonist group, a perfect cyberweapons delivery system and, of course, cybercrime’s preferred playground.
In this scenario it is clear how Social Media platforms themselves have become not only a major infection vector but at the same time a weapon, a battlefield and (therefore) a primary target, which makes them quite a dangerous environment for establishing large scale business operations.
Also, due to the fact that Social Media Security awareness is completely lacking, not only within the general population but also among law-makers and top managers, laws, policies and safe behaviours are also lagging years behind the adoption of the technology, in all environments. 
This creates a huge, nearly untractable problem for nowadays security teams, because of the sheer number of users involved, and because 
1) SN are intrinsically based upon a (mostly false) sense of trust between their members, 
2) SN authentication methods are weak to say the least and identity is not verifiable (nor verified), 
3) attacks are mostly performed at the semantic level, well above firewalls and antimalware defenses, and 
4) mobile devices and the “consumerization” of Enterprise IT (which is spreading also among the military!) are making traditional defenses unworkable. 
There are specific countermeasures that we can apply in order to mitigate Social Business related risks, but they require huge investments, a strong committment, diffuse education at all levels, organizational and technological radical changes, and the hard work of many skilled people (not only in the InfoSec field) in order to be effective. We’ll discuss them in the next article, stay tuned.
-------------------------------------------------------------------------------------------
Bio
Andrea Zapparoli Manzoni was born in Milan in 1968.
With a multidisciplinary background both in political science and in computer science, since 1997 he developed an active interest in ICT security, with particular reference to GRC (Governance, Risk and Compliance), cybercrime and cyber warfare issues.
Over the years he worked in the IDM, IAM, DLP, Anti Fraud, Security Intelligence, Forensics, Vulnerability Assessment & Management fields in Enterprise, Industrial, Central PA and Gov-Mil environments.
He writes articles and essays on InfoSec topics and follows very closely all developments in Cybersecurity, working as a trusted advisor with national and international organizations.
He partecipates to the activities of CLUSIT (Italian Association for Information Security) speaking at conferences, contributing papers (two ROSI patterns about IAM and DLP, seminars about SCADA Security and Social Media Security) and spreading the culture of IT Security in Italy.
In addition to collaborating with numerous Italian and foreign companies, he is the founder and CEO of iDialoghi, a consulting firm specializing in the design and implementation of advanced information security solutions, including the Social Business Security field.
http://www.wikio.it