domenica 30 gennaio 2011

Bucato il sito dell'Istituto di Commercio Estero

Fig. 1 - Defacement appsrv.ice.gov.it

Ahi! Ahi! Ahi!

Questa volta è più grossa del solito... mi sono imbattuto in un brutto incidente.

Il sito dell'Istituto di Commercio Estero è stato bucato. C'è stato un defacement, pubblicato su Zone-h, in data 28 gennaio che è, purtroppo, ancora in linea mentre sto scrivendo.

Come potete vedere nella figura a fianco, il defacement è stato rivendicato dal gruppo 1923Turk, un gruppo di hacker molto attivi. La cosa grave, come si può notare dalla "R" a fianco della URL, è che non è la prima volta che questo sito viene defacciato. Era già successo, nel 2003 e 2004. 

Il forum che è stato bucato appartiene al Campus Formativo dell'ICE che ha in linea quattro forum con identica struttura. Questa a fianco è l'immagine di come dovrebbe essere la pagina (cache del forum presa da Google a fine novembre del 2010), purtroppo, invece, ora è come potete vedere in alto nella Figura 1.

A onor del vero, bisogna dire che questi forum, apparentemente, non sono mai stati usati e che hanno almeno cinque o sei anni.

Tant'è! Mi sembra grave lo stesso. Ho poi fatto qualche piccola ricerchina e, vi assicuro, che la situazione generale non è affatto  brillante. C'è molto da fare per mettere in sicurezza tutto il sito. Compresa la parte protetta dal servizio di autenticazione.

Come ho già avuto modo di dire per il mio precedente post dedicato ai siti gov.it in vendita, domani mattina dovrò fare qualche telefonata.

Se però qualcuno dell'ICE vuole avere qualche info in più, mi può contattare direttamente... a buon intenditor...
----------------------------------------------------------------------------------------------
Aggiornamento 1 febbraio 2011

Il defacement non è più online, stamattina è stato inserito un redirect che devia il traffico verso la Home page del sito dell'ICE.

giovedì 27 gennaio 2011

Al World Economic Forum si parla di Cyber Security

Ieri, a Davos, in Svizzera, è iniziato il Meeting Annuale del World Economic Forum (WEF) . Il WEF, come  descritto da Borsa Italiana, è un'organizzazione internazionale indipendente incorporata in una fondazione non-profit svizzera. La sede organizzativa è a Ginevra e lo slogan del forum è "fare impresa nell'interesse pubblico globale" in quanto tra i principi cardine dell'organizzazione vi è l'assunto secondo cui il progresso economico non è sostenibile senza lo sviluppo sociale mentre lo sviluppo sociale senza il progresso economico non è verosimile.

No, non avete sbagliato blog!!! E io non ho deciso di cambiare gli argomenti che tratto!

E' il mondo che sta cambiando!

Nel Rapporto 2011 sui Rischi Globali prodotto dal WEF, la Cyber Security è segnalata come uno dei principali rischi da tenere sotto controllo.

Il rapporto, a cui vale davvero la pena di dare un'occhiata, se non altro per l'innovativa veste multimediale, parte da un assunto di base: il mondo non è nelle condizioni di affrontare un'altra crisi globale, per cui devono essere affrontati con impegno e lungimiranza tutti i maggiori rischi della società.

Dopo aver elencato i tre principali rischi (squilibri macroeconomici, l'economia illegale e il problema acqua-cibo-energia) su cui si devono focalizzare gli sforzi internazionali, si sofferma sui cinque rischi da tenere sotto controllo.

La Cyber Security è il primo di questi ed è in compagnia delle sfide demografiche, dei problemi di sicurezza delle risorse, del ridimensionamento della globalizzazione e di niente meno che del problema delle armi di distruzione di massa.

Venendo, poi, a ciò che viene messo in evidenza sulla Cyber Security (da pagina 53 per chi volesse leggerlo), sono sottolineate quattro aree su cui deve crescere la consapevolezza e l'attenzione degli Stati e della società: Cyber Theft, Cyber Espionage, Cyber War, Cyber Terrorism.

Insomma, un approccio concreto e diretto che potrebbe realmente guidare le iniziative di molti Stati che devono realizzare le proprie strategie di Cyber Security e darsi degli obiettivi verosimili e sostenibili.

Chi ha pensato all'Italia, alzi la mano!

mercoledì 26 gennaio 2011

Honda "Hackura": un auto, cinque milioni di dati rubati

Ieri, ho letto un interessante articolo di eWeek che riporta una notizia un po' vecchia ma che qui da noi è passata quasi completamente sotto silenzio.

Il 28 dicembre scorso, la American Honda Motor ha fatto sapere che alcuni ignoti ladri hanno rubato una lista di dati personali di proprietari di autovetture Honda. Questi dati erano affidati a un fornitore esterno al fine di avviare una campagna di email di benvenuto.

Sembra una notizia banale, no? Effettivamente lo sarebbe, se non fosse che la "lista" contiene circa 2,2 milioni di dati riferiti ai proprietari di autovetture Honda Acura. Inoltre la lista contiene, per ogni proprietario di auto, i seguenti dati:
nome e cognome, login al portale, indirizzo di posta elettronica e il numero univoco di identificazione del veicolo (VIN). Ad aggravare l'evento c'è stata anche la segnalazione del furto di una seconda lista separata che contiene 2,7 milioni di dati. Honda ha fatto sapere che questa seconda lista non contiene il VIN.

Ovviamente la Honda, nel comunicato stampa, si è scusata per "l'incoveniente": "Ci scusiamo per gli eventuali disagi che ciò può provocare", ha detto la Honda "Come società, siamo convinti che tutte le relazioni con i clienti debbano essere costruite sulla fiducia. Ecco perché crediamo che sia importante dare informazioni su questo incidente".

La preoccupazione, espressa anche da Graham Cluley di Sophos, è che, adesso, questi dati possano essere utilizzati da criminali per costruire delle campagne di phishing e di scam particolarmente attendibili in quanto basate su dati reali.

Quindi, oltre alla sua intrinseca gravità, questo caso risulta particolarmente interessante (oltre che preoccupante) per le sue implicazioni. 

Infatti, in tempi in cui non si parla d'altro che di cloud e di esternalizzazione dei servizi questa vicenda mette in evidenza alcuni rischi:
1 un incidente di sicurezza che impatta un fornitore, si riflette in modo significativo su chi ha appaltato il servizio e quindi si deve valutare attentamente l'effettiva convenienza di affidarsi a terzi (soprattutto nel caso di fornitori che erogano servizi cloud-based)
2 i dati, soprattutto se gestiti da terzi, devono essere attentamente classificati e gestiti di conseguenza (in questo caso il VIN forse non era necessario per la campagna di marketing)
3 è necessario avere una procedura di gestione degli incidenti che consenta di agire tempestivamente, in sinergia con il fornitore, affinché i danni siano minimizzati
4 è necessario valutare approfonditamente le garanzie contrattuali al fine di cautelarsi da questo tipo di eventi  

Insomma, Honda aveva dei clienti di auto di lusso, che voleva in qualche modo "coccolare" e fidelizzare e invece si trova a dover gestire qualche milione di utenti arrabbiati, a prescindere dalla qualità dell'auto venduta. 

Come si dice, a volte, il meglio è nemico del bene...

domenica 23 gennaio 2011

Siti governativi in vendita: ci siamo anche noi!!

Figura 1
Sono un paio di giorni che nelle community di sicurezza su Internet sta girando insistentemente la notizia dell'iniziativa di un hacker americano che ha deciso di pubblicare una lista dei siti governativi di cui è riuscito ad ottenere il controllo. L'iniziativa ha fatto molto scalpore perché la lista è pubblicata con tanto di prezzo a fianco ai siti "bucati", nel caso qualcuno fosse interessato a comprarli.

Alcuni si sono scandalizzati, altri sono inorriditi, altri ancora, come me, hanno letto la notizia e poi sono passati avanti. Devo dire che non mi sono appassionato e, anzi, mi sono un po' stupito per l'insistenza con cui si riproponeva la notizia. Non c'era nessun dominio "eclatante", certo c'erano domini governativi, militari anche, ma nessuno mi era sembrato davvero rilevante.

Per la prima volta, la notizia l'ho letta sul bellissimo blog di Brian Krebs che riportava anche un'immagine del sito che appunto proponeva la "vendita" dei siti bucati, ma come dicevo senza prestare troppa attenzione.

Stasera su Twitter, Martin Bos ha pubblicato l'indirizzo del sito (Figura 2) e ho deciso di dare un'occhiata e...
Figura 2
bum! 

Ci sono siti italiani!!!

Non ci avevo fatto caso prima e non ne avevo letto da nessuna parte!!

Ci sono 5 siti con domini .gov.it, come potete vedere dalla Figura 1. Sono siti di Istituti scolastici e questo spiega molte cose. Però, sono siti ufficiali e riportano il dominio gov.it che dovrebbe essere costituire una garanzia per tutti noi.
Figura 3

Facendo infine un giro sul sito di questo hacker americano ho trovato una pagina che mostra alcune immagini a comprova dell'effettiva violazione effettuata, ebbene anche qui siamo fortunati... una delle cinque immagini è di un sito italiano (Figura 3) e mostra, come potete vedere, l'interfaccia di amministrazione del sito.

Questa situazione mi fa pensare a quanti siti di scuole italiane sono vulnerabili e quanti sono stati effettivamente "bucati". Penso anche a chi ha incassato soldi pubblici per sviluppare questi siti.

Bisognerebbe proprio fare qualcosa... chi di voi avvisa il CERT italiano di questa situazione? Che sciocco... mi dimentico sempre che in Italia, non esiste un CERT nazionale... 

Io comunque, domani mattina, qualche telefonata la faccio...

giovedì 20 gennaio 2011

m28sx: un worm per Twitter

Mikko Hypponen, Chief Research Officer di F-Secure, ha dato notizia di un worm che si sta diffondendo attivamente su Twitter proprio in queste ore, come potete vedere dall'immagine qui a fianco.


Questo worm utilizza dei link brevi di tipo goo.gl e reindirizza ad una pagina html che si chiama m28swx (m28sx.html).

Un certo numero di utenti dicono di aver ricevuto messaggi di spam da amici che hanno incluso un link ad una pagina infetta di un sito web. Questi link sono prodotti utilizzando il servizio goo.gl di "URL shortening" di Google. Controllando il link "maligno" si rivela che conduce a un URL che termina indirizzando la pagina 'm28sx.html'.

Mi raccomando è assolutamente necessario che nessuno clicchi sul link.

La dinamica di diffusione vede una serie di messaggi che vengono inviati dal utenti infetti e che contengono appunto questa URL che, nel caso venga cliccata, porta all'infezione e quindi al successivo giro di invii. 

Nella figura sopra potete vedere alcuni messaggi tipo.

Non ci sono molte notizie per ora, sembra però che nell'infezione sia conivolto un server, il cui indirizzo IP è 91.200.240.228, che al momento sembra essere stato messo off-line.

La cosa interessante è che se si consulta Twittersphere (vedete la relativa figura) che riporta le i link top che vengono scambiati su Twitter, si nota che almeno 3 link appartengono a indirizzi .it.

Per cui, ribadisco... prestate la massima attenzione a questo tipo di messaggi e, mi raccomando...

NON CLICCATE!!

Appena ci saranno altre notizie cercherò di riportarle...

------------------------------------------------------------
Aggiornamento

Un approfondimento riportato sulla rubrica 0day di ZDNET aggiunge qualche particolare, emerge infatti che Nicolas Brulez, un ricercatore dei Kaspersky Lab, ha detto che le pagine "m28sx.html" reindirizzano ad un dominio statico ucraino.

Questo dominio reindirizza poi l'utente ad un altro indirizzo IP che, in passato, è stato implicato nella distribuzione di finti anti-virus. "Quest'ultimo indirizzo IP farà infine il lavoro finale di reindirizzamento, verso il sito che propone il fasullo AV", ha spiegato Brulez.

Le modalità, poi, sono le solite, un messaggio di "avviso" sostiene che sul computer sono in esecuzione delle applicazioni sospette e invita l'utente a eseguire una scansione che darà come risultato una serie di infezioni inducendo l'utente a scaricare un tool di disinfezione falso che invece costituisce il vettore dell'infezione "vera".

mercoledì 19 gennaio 2011

Gabriele Cicognani - Il tassello mancante

Questa volta è con una speciale emozione che ospito il nuovo guest-post della serie "Voci Amiche". Con Gabriele Cicognani, abbiamo condiviso una significativa esperienza di lavoro al CNIPA e con lui ho un rapporto di amicizia e stima davvero profondo. Grazie Gabriele, a te la parola...

"Conosco Matteo Cavallini da alcuni anni: insieme abbiamo condiviso una particolare esperienza professionale, durante la quale ho molto imparato (e molto ne ho ancora) da lui e dalla sua esperienza nel settore della sicurezza informatica; per queste ragioni è con piacere che raccolgo il suo invito a scrivere sul suo blog, per condividere alcune idee con la comunità di appassionati di sicurezza che quotidianamente consultano Punto 1.

L’argomento che ho deciso di presentare, peraltro, mi è particolarmente caro ed ha una certa continuità con quanto scritto da Paolo Colombo con il post che mi ha preceduto e che condivido.
Il tema è quello della National Cyber-security Strategy, l’espressione con la quale si vuole significare e ricomprendere tutte le iniziative, i piani e le politiche volte alla protezione dell’infrastruttura digitale di un paese, ovvero l’insieme distribuito delle componenti informatiche e di telecomunicazione da cui dipende il funzionamento (o la prosperità citando le parole del presidente degli Stati Uniti Barak Obama) di ogni paese occidentale.
Nonostante le cronache ci raccontino di sempre crescenti (per numero e livello di sofisticazione) azioni di attacco, intrusione e danneggiamento dei sistemi informatici di ogni ordine e grandezza, la situazione italiana evidenzia un ritardo di consapevolezza circa le caratteristiche e le dimensioni del fenomeno; l’assenza di una strategia nazionale in grado di definire ed affrontare le azioni di prevenzione e risposta contro iniziative ostili ovvero contro il diffondersi di minacce genericamente ed impropriamente riconducibili alla sola categoria dei virus informatici, è ormai un vuoto difficilmente giustificabile.

Se l’amministrazione della Difesa è stata in grado di adeguare le proprie capacità di difesa cibernetica (ma non di attacco) in adesione alle direttrici disegnate in ambito NATO e la Pubblica Amministrazione si è dotata di regole tecniche ed organizzative per garantire la sicurezza del patrimonio informativo - ormai interconnesso mediante il Sistema Pubblico di Connettività – si avverte, per contro, la mancanza di una politica complessiva di cyber-security per il sistema paese e di una struttura di riferimento per la prevenzione e la protezione di tutta l'utenza interna, cittadini ed imprese che costituiscono gli oltre trenta milioni di cittadini-utenti della rete Internet italiana.  Non è pensabile, infatti, rimettere la protezione di questi alla sola iniziativa privata, fatta di soluzioni tecnologiche di auto difesa, di prodotti software ovvero della sottoscrizione di servizi di sicurezza con il proprio Internet Service Provider.

La difesa del cyber-spazio nazionale, in altri paesi, è considerata, in prospettiva di difesa nazionale, un “dominio militare” (la Gran Bretagna ha recentemente annunciato di dedicare l’equivalente di 1 miliardo di dollari per un programma nazionale di cyber-security), non può essere demandata ai produttori software ed ai gestori proprietari dell’infrastruttura, ma deve essere una delle prerogative dello Stato, attraverso la creazione di un Centro di riferimento nazionale in grado – attraverso l’azione di indirizzo, prevenzione e coordinamento - di salvaguardare la crescita ed il benessere del Paese, anche a fronte di politiche sempre più indirizzate a favorire rapporti con la Pubblica Amministrazione attraverso la Rete ed alla promozione del commercio elettronico come strumento di competitività e di positivo impatto sociale.

Si pensi, infatti, ai danni cagionati quotidianamente all’utenza di Internet, dal dilagante fenomeno del furto di dati e delle credenziali personali di accesso a servizi finanziari o della pubblica amministrazione, realizzato mediante la diffusione di messaggi di phishing contenenti codice malevolo. A questo si aggiungano i rischi conseguenti alla presenza di vulnerabilità ed errori nel software e nelle applicazioni  sempre più complesse che vengono continuamente presentate sul mercato. 
Tali considerazioni sono state raccolte nella Relazione del COPASIR del 7 luglio 2010, dove si sottolinea “nell’assenza di una pianificazione coordinata e unitaria al livello del vertice politico” e si raccomanda al Governo “di dotarsi di un impianto strategico-organizzativo che assicuri una leadership adeguata ed abbia funzioni di coordinamento”
Allora, è proprio disegnando ruoli e responsabilità pubbliche e immaginando nuove forme di collaborazione tra Stato e privati, intesi come provider di servizi e produttori di tecnologia, che sarà possibile costruire un sistema di prevenzione e reazione a fronte di attacchi e danni derivanti dalla Rete o grazie alla Rete. 

Quali allora le possibili iniziative? Di primaria importanza e di evidente urgenza è la definizione di ruoli a livello nazionale e l’individuazione della leadership interna in materia di cyber-security, superando le attuali difficoltà nel dominare, contenere e conciliare le realtà e le esperienze ad oggi presenti in Italia e frammentate tra Enti diversi e Forze dell’ordine, tutti troppo impegnati nel cercare di consolidare il proprio ruolo nel panorama nazionale, in assenza di una strategia unitaria.
La Comunicazione della Commissione Europeo Parlamento, rivolta al  Consiglio, al Comitato economico e sociale europeo ed al Comitato delle regioni [COM(2009) 149], e ripresa dalla Risoluzione del Consiglio Europeo del 18.12.2009 ha raccomandato “a tutti i paesi - entro la fine del 2011 - la costituzione di gruppi nazionali o governativi di pronto intervento informatico ben rodati in tutti gli Stati membri”.
Alla creazione di questo ruolo deve seguire, inoltre, l’effettiva previsione di poteri operativi con l’attribuzione della necessaria “autorità” e potere decisionale. 
L’istituendo Centro nazionale di intervento informatico (nella nomenclatura internazionale definito come CERT, computer emregency response team) potrebbe, allora, svolgere compiti che vanno dalla definizione di una strategia nazionale in materia di sicurezza informatica e di risposta ad attacchi di tipo cibernetico, al supporto all’azione del Governo, delle Forze dell’ordine ed alla Autorità Giudiziaria per la comprensione degli scenari e dell’evoluzione delle nuove frontiere di attacco, fino a ricoprire quel ruolo necessario di riferimento nazionale per la raccolta delle segnalazioni degli utenti privati, raramente in grado di comprendere le conseguenze o la natura di “malfunzionamenti” dei propri computer. Il CERT nazionale, inoltre, dovrebbe essere in grado di pubblicare informazioni sulla sicurezza, generando consapevolezza per tutta l’utenza Internet nazionale e, soprattutto, dovrebbe essere dotata dell’autorità necessaria a responsabilizzare gli Internet Service Provider, anche indicando loro le azioni necessarie per prevenire il verificarsi di incidenti o il propagarsi di minacce già concretizzate ai danni dei loro utenti.

Non mi rimane altro, quindi, che aspettare di leggere, tra le tante notizie relative alle iniziative degli altri paesi, che anche l’Italia si è dotata finalmente di un vero CERT nazionale."

-----------------------------------------------------------------------------------------------
Gabriele Cicognani
Gabriele Cicognani, Maggiore della Guardia di Finanza in forza ai Reparti Speciali del Corpo, è in posizione di comando presso DigitPA (già Centro Nazionale per l’Informatica nella Pubblica Amministrazione), dove è responsabile del Computer Emergency Response Team del Sistema Pubblico di Connettività (CERT-SPC).
Laureato in Giurisprudenza, è nominato ufficiale del Corpo nel dicembre 1997; ha ricoperto incarichi presso il Comando Generale del Corpo e presso la Scuola Ispettori di L’Aquila; dal 2000 a 2004 ha istituito e comandato la 1^ sezione del Gruppo Anticrimine Tecnologico, da cui dipendeva anche la prima unità di computer forensic della GdF.  
Dalla fine del 2004 è al CNIPA, inizialmente per l’attività progettuale denominata GovCERT e successivamente come responsabile del CERT-SPC. 

martedì 18 gennaio 2011

Troppe vulnerabilità sui PC!

Secunia, una delle principali società che si occupa di sicurezza, ha rilasciato oggi il nuovo report annuale di analisi delle vulnerabilità informatiche che sono state censite nel 2010.

Dall'analisi di questo report emergono una serie di dati molto interessanti... vediamoli!

Intanto, Secunia, mettendo a punto un profilo tipo del PC di un utente medio (aziendale o casalingo che sia), ha scoperto che è composto da circa 66 programmi, prodotti da circa una ventina di vendor diversi.

Una situazione molto frammentata quindi.

Limitando le ulteriori analisi ai 50 programmi più installati è emersa la seguente situazione: 
- questi programmi sono prodotti in totale da 14 vendor diversi
- 26 programmi sono prodotti da Microsoft
- 24 programmi sono prodotti dagli altri 13 vendor

Figura 1
Le vulnerabilità di questi 50 programmi sono aumentate nel 2010 di circa il 70% rispetto al 2009, arrivando alla ragguardevole cifra di oltre 700 (indipendentemente dalla versione di sistema operativo installato). 
Inoltre, le attenzioni dei cacciatori di bachi si sono appuntate soprattutto sui prodotti di terze parti, come può essere facilmente desunto dalla Figura 1 qui a fianco.

Infine, a complicare questo già preoccupante scenario, c'è il fatto che le vulnerabilità in più che sono state scoperte nel 2010 sono quasi tutte considerate altamente critiche e sfruttabili da remoto per ottenere accessi al sistema attaccato (Figura 2).

Figura 2
Davvero un bel guaio, soprattutto tenendo conto che solo pochi vendor forniscono agli utenti gli strumenti automatici per l'aggiornamento dei propri prodotti.

Dato che un PC con delle vulnerabilità nel software non è difendibile efficacemente, questa situazione è ovviamente una manna per i cyber-criminali che vogliono infettare il maggior numero possibile di PC con il proprio malware. E' quindi evidente che, per aumentare i livelli medi di sicurezza su Internet, questo sarà un terreno sul quale si dovrà lavorare molto, perché non è più possibile scaricare sulle spalle degli utenti l'onere degli aggiornamenti, visto che questi sono ormai diventati "fisiologici". 
Gli utenti non sanno, non possono e non vogliono passare molto del loro tempo a mantenere le proprie macchine aggiornate (mia moglie mi maledice ogni volta che il PC si impalla per un aggiornamento fallito o è inutilizzabile perchè deve essere riavviato) per consentire alle software house di continuare nelle loro politiche commerciali poco assennate.

Occorrerà quindi che i vendor ripensino al proprio modello di aggiornamento del software, magari stimolati da report che mostrano quanto questo sia necessario


giovedì 13 gennaio 2011

ENISA e la lotta alle botnet

Le botnet, come ormai sanno bene i lettori di Punto 1, sono reti di computer infetti, governati da remoto da criminali per portare a termine le attività illegali quali ad esempio: spam, phishing e attacchi di dDOS. 

Nel corso di questi ultimi anni, a causa della loro dimensione e potenza, le botnet sono diventate un minaccia crescente per Internet e per la società stessa. Tanto per dare un ordine di grandezza, ENISA (l'Agenzia per la sicurezza informatica europea) nel suo comunicato ricorda che Finjan, ad inizio 2010, ha ipotizzato che il volume di denaro "movimentato" dal cybercrime sia comparabile a quello del traffico internazionale di stupefacenti. Per questi motivi recentemente sono state avviate alcune iniziative di "contrasto attivo" molto importanti. La prima risale all'anno scorso ed è stata condotta da un gruppo di soggetti guidati da Microsoft ed ha riguardato la famigerata botnet Waledac, poi, nel corso dell'anno, sono seguite le operazioni contro Mariposa, Pushdo/Cutwail e Bredolab

D'altra parte però, mette in evidenza ENISA, non esistono metriche comuni di misura della dimensione e pericolosità delle botnet e quindi si assiste a dei balletti di numeri che non aiutano certo la comprensione del fenomeno. 

Per contribuire a fare chiarezza e a gettare una luce ufficiale su questi problemi, ENISA ha condotto uno studio in collaborazione con il Fraunhofer FKIE e l'Università di Bonn con il obiettivo di produrre un report sullo stato dell'arte sulla misurazione, rilevamento, monitoraggio e contrasto delle botnet. Questo studio è stato condotto con incontri con oltre 70 esperti di domini diversi, provenienti da ISP, CERT, forze dell'ordine, mondo accademico e società di antivirus, che hanno risposto ad un set di 10 domande sulle botnet.
La relazione finale sarà pubblicata sul sito dell'ENISA entro questo mese.

ENISA ha quindi voluto dare un seguito a questa iniziativa e ha organizzato un workshop per  discutere delle questioni politiche, tecniche e giuridiche che sono emerse nello studio.

Il programma del workshop che si terrà a marzo a Colonia verterà su questi temi:
1) Policy di contrasto alle botnet
2) Problematiche legali e regolamentari, tra cui la nuova "EU Internal Security Strategy in Action"
3) Best practice tecniche sulla misura e sul contrasto alle botnet
4) Il punto di vista dell'industria sulla lotta alle botnet
5) Ricerca e Università nella lotta alle botnet
6) Cybercrime e forze dell'ordine
7) Responsabilità, ruoli e normativa a livello internazionale sulla valutazione della minaccia rappresentata dalle botnet

mercoledì 12 gennaio 2011

MUMBLE - La sicurezza di Android - 2

Come potete leggere nel mio precedente post uno dei maggiori problemi che gli smartphone Android devono fronteggiare è la frammentazione delle versioni del sistema operativo.

Giusto per riassumere, la situazione del versioning di Android è la seguente:
il 13 aprile 2009 esce la versione 1.5, nota come Cupcake
il 16 settembre 2009 viene rilasciata la 1.6, chiamata anche Donut
il 27 ottobre 2009 Google rilascia la versione 2.0, Eclair
il 12 gennaio 2010 arriva 2.1, sempre nota come Eclair
il 20 maggio 2010 esce la 2.2, nome in codice Froyo
il 6 dicembre 2010 è stata presentata la 2.3, Gingerbread
il prossimo rilascio atteso in primavera è la 3.0, Honeycomb

A complicare ulteriormente le cose c'è il fatto che questa serie di sistemi operativi sono stati inseriti su numerosi hardware diversi da produttori diversi che hanno scelto di aggiungere un layer di presentazione specifico. Tanto per chiarire le cose, HTC, ad esempio, con l'intento di personalizzare e arricchire l'esperienza utente, ha commercializzato una serie di telefoni, di varie versioni di Android, arricchiti dall'interfaccia proprietaria "Sense". Da un punto di vista commerciale questo è stato il modo per riuscire a competere efficacemente contro Apple; da un punto di vista della sicurezza, invece, è un incubo.

Già perché adesso, se qualcuno trova una vulnerabilità su una componente del sistema operativo, invece di produrre una patch, ne devono essere prodotte 6 (una per sistema operativo rilasciato) che poi devono essere passate ai fornitori di telefoni che, ne verificano la compatibilità con i vari hardware e con tutte le versioni dell'interfaccia di presentazione (ad esempio la Sense per HTC), eventualmente la modificano e alla fine mettono la patch in distribuzione. Il tutto si complica ancora per tutti i telefoni "brandizzati" cioè forniti con un marchio di un operatore telefonico che ha aggiunto funzionalità e codice proprietario; in questo caso sarà necessario un ulteriore passaggio.

Insomma un vero incubo... ma tutto questo è semplicemente una ipotesi, uno scenario possibile o invece è un qualcosa che si verifica nella realtà?

A fine novembre, Thomas Cannon, un esperto di sicurezza che lavora in Inghilterra, ha scoperto una grave vulnerabilità del browser di Android. Questa vulnerabilità può essere sfruttata creando delle pagine Web malevole che consentono di rubare i file contenuti nella scheda di memoria aggiuntiva inserita nel telefono!

Un bel problema davvero!

Thomas Cannon ha quindi informato l'"Android Security Team" che nel giro di pochi minuti l'ha ricontattato e ha cominciato a lavorare sulla soluzione. Purtroppo però, quella complicazione che abbiamo visto prima è reale e la situazione ad oggi è la seguente:
la patch che risolverà il problema è attesa a breve (nel frattempo sono passati quasi due mesi...) ma, ovviamente non potrà essere distribuita direttamente agli utenti (se non a quelli che hanno un telefono cosiddetto Google Experience, senza cioè nessuno strato di personalizzzione, ad esempio il Nexus One), dovrà essere girata ai produttori di telefoni e fare tutto quel giro che abbiamo visto prima... fantastico, no?

La soluzione che viene suggerita da varie fonti (ad esempio Sophos) è, a questo punto, realistica ma un po' triste... affidarsi a applicazioni di terze parti che possono essere aggiornate dai produttori senza effettuare particolari procedure. Quindi, in questo caso, si suggerisce di affidarsi a browser di terze parti, anche se non c'è garanzia che siano immuni da questa vulnerabilità.

Per adesso mi sono soffermato solo su Android, ma la situazione degli altri vendor, anche se con problematiche diverse, non sembra essere migliore... come messo in evidenza di recente dal Wall Street Journal.

E pensando ai dati che teniamo sui nostri telefoni, non c'è da stare allegri...

Se ancora non siete preoccupati a sufficienza, qui trovate un video, prodotto da Cannon, che mostra la vulnerabilità in azione.

-----------------------------------------------------------------------------------------------
Aggiornamento 14 gennaio 2011
Un bel post (in francese) sul blog di Conix Security con un altro video che mostra la vulnerabilità in azione e alcune considerazioni che arricchiscono quanto detto sopra.

domenica 9 gennaio 2011

MUMBLE - La sicurezza di Android

Gli apparati mobili sono diventati i contenitori delle nostre informazioni più preziose, in ogni smartphone troviamo infatti: l'elenco e i riferimenti delle persone con cui siamo in contatto, tutta la storia delle nostre comunicazioni (telefonate, SMS ed email), una serie di account e password con i quali accediamo a vari servizi Internet ed inoltre le applicazioni che installiamo sono lo specchio di quello che ci piace e che ci appassiona.

Una vera miniera di informazioni personali altamente critiche

La sicurezza di questi apparati però non è certamente adeguata alla loro criticità. Come ricordava Fabio Pietrosanti in un intervento al SecuritySummit dell'anno scorso, ci sono una serie di motivi hardware, software e di sistema operativo che rendono la sicurezza degli smartphone più "labile" rispetto ad altri apparati quali i PC.

Ogni piattaforma mobile, poi, ha il proprio approccio alla sicurezza. Android, il sistema operativo mobile open source sviluppato da Google, ad esempio, fonda gran parte della propria sicurezza su due fattori:
- l'esplicita approvazione da parte degli utenti delle autorizzazioni per le applicazioni
- un ambiente di "esercizio" isolato (sandboxed environment).

Il primo, in particolare, è un aspetto che caratterizza in modo unico l'approccio di Google; in questo paradigma, infatti, l'unico soggetto titolato ad autorizzare un'applicazione a eseguire determinati task è l'utente. Questa grande libertà però deve essere però contemperata da una grande chiarezza nelle dichiarazioni di richiesta dei permessi e da una grande attenzione e sensibilità da parte degli utenti.

E qui entriamo nel vivo di questo post, nel quale volevo condividere alcune perplessità e stimolare una riflessione generale su questo tema.

Figura 1 - I permessi prima dell'installazione 
Possiedo, infatti, un telefono Android da circa un anno e sono stato sempre molto attento alle applicazioni che ho installato, privilegiando quelle che presentavano richieste di autorizzazione compatibili con le funzionalità applicative effettivamente erogate. Dal punto di vista della privacy, sono stato anche molto attento nel limitare l'installazione di applicazioni che richiedono il permesso di accedere alle telefonate ed in particolare allo "stato e identità del telefono" (numero di telefono, codice IMEI e versione del software, ecc.). Potrete quindi facilmente capire l'amara sorpresa che mi è capitata qualche giorno fa.

Veniamo ai fatti... volevo installare un'applicazione che consentisse di fare l'editing di file .txt (mi è utile per postare sul blog in mobilità). Dopo una rapida ricerca sul Market ufficiale di Android ho scelto un'applicazione gratuita che si chiama "TextEdit". Guardando ai permessi che richiede ero molto contento perché, come si vede dalla Fig. 1, la schermata riportava la consolante risposta: "L'applicazione non richiede autorizzazioni particolari".

Quindi era l'applicazione ideale per me. Fa quello che mi serve, non presenta rischi per la privacy ed è gratuita. 

La installo subito...

Qualche giorno dopo, smanettando nel menu "Gestione applicazioni" del telefono, ho trovato un'amara sorpresa...
Fig. 2 - I permessi
dopo l'installazione

Come si vede dalla Fig. 2, i permessi che l'applicazione realmente utilizza infatti sono due: il primo consente all'applicazione di accedere alla memoria SD, e fin qui ci posso anche stare, il secondo, invece, è il famigerato "Telefonate" quello che consente di accedere allo stato e all'identità del telefono (numero di telefono, codice IMEI e versione del software). 

Questa situazione mi ha molto colpito, se avessi saputo fin dall'inizio che l'applicazione richiedeva il permesso "Telefonate" avrei valutato molto approfonditamente se installarla o meno. Inoltre, mi chiedo se questa sorta di giochino delle tre carte dove non vengono richiesti permessi prima dell'installazione e poi invece si ritrovano accordati dopo l'installazione sia effettivamente compatibile con l'approccio alla sicurezza "consapevole" di Android.

A mio modo di vedere questa situazione è inaccettabile! E penso che ci siano solo due tipi di letture per questo comportamento:
1 l'applicazione sfrutta un qualche "baco" di sicurezza per cui riesce ad aggirare la presentazione della richiesta dei permessi
2 il sistema di presentazione delle richieste dei permessi presenta delle lacune dal punto di vista della comunicazione ed induce anche un utente attento a installare applicazioni che accedono a dati importanti in modo inconsapevole.

Io non sono in grado di determinare quale delle due letture sia quella giusta, anzi invito chiunque a postare dei commenti in tal senso (Fabio Pietrosanti, illuminaci tu...), in ogni caso mi sembra che la situazione sia inaccettabile e vada sanata al più presto.

Voi cosa ne pensate...
-----------------------------------------------------------------------------------------------
Aggiornamento 11 gennaio 2011

Quando ho scritto questo post ero consapevole che la risposta più probabile fosse semplicemente che c'era qualche "feature" che consentiva questo comportamento. Ho preferito comunque scrivere il post con un atteggiamento mentale da utente. Quello che volevo mettere in evidenza è che, per un utente, anche attento e informato, era praticamente impossibile capire se si era imbattuto in qualche applicazione che aveva intenti malevoli o se invece era tutto normale.
Al fine di chiarire in modo completo la situazione mi sono rivolto al supporto di Lookout, una applicazione di sicurezza per smartphone che ho installato da tempo (e che consiglio a tutti di considerare...). Nel giro di un giorno ho ottenuto una risposta... eccola:
"Ciao Matteo,
il Market non esplicita all'utente tutte le autorizzazioni effettivamente concesse alle applicazioni, menziona solo le autorizzazioni che richiedono un espresso consenso da parte dell'utente stesso. Se un'applicazione è stata costruita per una versione del sistema operativo che non ha bisogno di un permesso (quei 2 permessi non esistono in Android 1.5) Google, piuttosto che trovarsi nella condizione di avere applicazioni che non funzionano nelle versioni successive di Android, ha deciso di aggiungere automaticamente i permessi a TUTTE le applicazioni che sono state costruite per Android 1.5. Proprio per questo motivo ci sono così tante applicazioni nella sezione "Read Identity Info" del nostro Privacy Advisor.

Grazie per utilizzare Lookout!"

Proviamo quindi a fare il punto... il versioning di Android è il seguente:
il 13 aprile 2009 esce la versione 1.5, nota come Cupcake
il 16 settembre 2009 viene rilasciata la 1.6, chiamata anche Donut
il 27 ottobre 2009 Google rilascia la versione 2.0, Eclair
il 12 gennaio 2010 arriva 2.1, sempre nota come Eclair
il 20 maggio 2010 esce la 2.2, nome in codice Froyo
il 6 dicembre 2010 è stata presentata la 2.3, Gingerbread
il prossimo rilascio atteso in primavera è la 3.0, Honeycomb

Quindi, per garantire che un'applicazione possa girare su un telefono di due anni fa e 5 versioni indietro di sistema operativo, Google ha scelto di autorizzare di default alcuni permessi, che in tutte le versioni successive sono invece espressamente richiesti agli utenti. E di questa scelta non c'è nessuna traccia visibile per l'utente... lasciandolo quindi alla mercè degli sviluppatori che possono scegliere di bypassare uno dei punti fermi del sistema di sicurezza di Android

Mi chiedo quali sarebbero stati i commenti se una situazione del genere fosse stata adottata sui sistemi operativi per PC da qualche altro colosso dell'informatica come Microsoft, Apple o Oracle, avremmo tutti gridato allo scandalo e ci saremmo indignati per l'indifferenza mostrata nei confronti della privacy degli utenti.

Credo quindi di poter ribadire la conclusione del mio post...

A mio modo di vedere questa situazione è inaccettabile!

http://www.wikio.it