lunedì 28 febbraio 2011

MUMBLE - L'Italia e Internet: un quadro sconfortante

In questi ultimi tempi ho raccolto alcune notizie che mi hanno fatto molto riflettere sulla (scarsa) attenzione istituzionale nei confronti di Internet e della sua strategicità per la crescita del nostro sistema paese.  La maggioranza degli altri paesi evoluti, europei e non, invece, stanno investendo moltissimo per creare le basi per la competizione dei prossimi anni. 

Da un punto di vista della sicurezza, poi, siamo proprio mal messi e il confronto con gli altri paesi si fa addirittura imbarazzante. 

Ma veniamo alle notizie...

Notizia 1
Un documento riservato dello US State Department pubblicato dal sito Public Intelligence (non si vive di solo WikiLeaks ;-)) ) riporta il giudizio del governo degli Stati Uniti sull'approccio ad Internet e sull'utilizzo dei social media da parte dell'Italia. Ecco un breve estratto dell'executive summary (il documento è lungo ma vale la pena leggerlo perché è molto interessante):
"- L'uso dei social media in Italia è sofisticato in confronto ad altri paesi europei
- La metà della popolazione in Italia è on-line e la maggioranza delle persone ha un accesso a Internet da casa
- L'italiano è la lingua più utilizzata per comunicare sulla rete, anche se l'inglese è utilizzato anche in circostanze specifiche
- Vi è un utilizzo molto limitato dei social media da parte del governo italiano e dei partiti politici in quanto, questi mezzi, sono percepiti come poco efficaci nei confronti degli elettori

L'utilizzo strategico dei social media da parte del governo italiano è minimo, ma vi è evidenza di un uso limitato da parte dei partiti politici, in particolare da parte dei politici che usano i propri profili Facebook per entrare in contatto con gli elettori."

Notizia 2
Il Commissario per la Società dell’Informazione della Commissione Europea, Neelie Kroes, considera la "Digital Agenda", ossia la strategia dell'Europa per consentire una fiorente crescita dell'economia digitale, come un elemento base della sostenibilità socieconomica per l'Europa. L'Italia è uno dei pochi paesi evoluti che non ha ancora deliberato una propria strategia digitale. E' nata quindi un'interessantissima iniziativa di sprone verso la politica perchè si superi al più presto questa empasse. 

"La sfida è quindi dare al Paese una strategia organica, una Agenda Digitale che ricomprenda almeno quattro aspetti:
- Infrastrutture tecnologiche: per massimizzare l’inclusione, restare allineati alle principali economie ed assicurare la continuità operativa dei servizi essenziali
- Servizi: sia servizi finali che infrastrutturali, includendo i necessari standard per l’e-business e per i beni digitali (o “neobeni puri”, secondo la definizione del CNEL)
- Alfabetizzazione: per far conoscere e sperimentare a cittadini, imprenditori, funzionari e classe dirigente i vantaggi della digitalizzazione
- Regolamentazione: le norme giuridiche e regolamentari da adottare riguardanti la cittadinanza digitale nonchè in materia di transazioni tra privati e con la PA, con una rilettura delle filiere in termini di ri-organizzazione  di rapporti tra le imprese e tra queste e i fornitori di servizi di supporto"

Notizia 3
Nelle ultime due settimane sono state rilasciate le strategie di sicurezza per il mondo cyber in Francia, Germania e Olanda che si affiancano  alla strategia della Gran Bretagna mentre negli Stati uniti si discute addirittura di Cyber strategy 3.0. Oltre a questi casi, che ho citato solo perchè recenti, ci sono molti paesi che hanno definito le proprie strategie di sicurezza in ambito Cyber. In Italia è stata prodotta dal Copasir una relazione che ribadisce la necessità di un approccio di questo tipo. Intanto continuiamo a restare indietro rispetto agli altri paesi.

Notizia 4
EuroStat ha rilevato da poco la situazione dei vari stati dell'Unione rispetto al malware e ai danni conseguenti. L'Italia si posiziona al quinto posto come numero di infezioni e al quint'ultimo posto come utilizzo di software di sicurezza (anti-virus, antispam, firewall, etc.). Peggio di noi fanno solo: Malta, la Bulgaria, la Slovacchia e l'Ungheria... che gioia eh?

Notizia 5
Come è stato più volte ribadito da me e da altri amici su Punto 1, l'Italia, a differenza di molti paesi europei e non, non ha un CERT nazionale. Nonostante ENISA, l'agenzia di sicurezza informatica europea, abbia più volte ribadito che la creazione di un CERT nazionale sia una misura di sicurezza da adottare al più presto in tutti gli Stati membri dell'Unione.

Altre notizie sparse
I cattivi non stanno certo con le mani in mano... 
- come l'ottimo Denis Frati mette quotidianamente in evidenza, le "fabbriche" del phishing verso le banche italiane sono in costante e fervente attività, 
- i nostri siti con estensioni .gov.it sono messi sotto pressione da  "buontemponi" di varia natura ed estrazione (siti governativi in vendita, defacement ICE)

Insomma un quadro sconfortante! 

L'Italia sta perdendo dei "treni" che non ci consentiranno di competere alla pari con gli altri Stati nel prossimo futuro. Non potremo certo competere sul piano manifatturiero perché i paesi emergenti sono imbattibili e inoltre non potremo competere sul piano dei servizi evoluti e sul piano dell'innovazione perché stiamo ignorando la pianificazione e la creazione delle precondizioni necessarie.

E se non fosse ancora abbastanza, secondo voi, quanto tempo ci vorrà prima che i cattivi comincino a sfruttare sistematicamente questa inadeguatezza italica?

sabato 26 febbraio 2011

Best of the Week - 26 febbraio 2011

Ecco la mia "Best of the Week" di questa settimana.

Se volete segnalarmi qualche risorsa sarò ben lieto di pubblicarla.

Saluti a tutti e... buona lettura!

@DarkReading
The bot population grew 600% in 2010, a new report says. http://twurl.nl/zxbiqj

@schneierblog
HBGary and the Future of the IT Security Industry: This is a really good piece by Paul Roberts on Anonymous vs. ... http://bit.ly/dSbLk0

@lostinsecurity
Cyber Security Strategy for Germany http://bit.ly/ecRLbA

@DCITA
Mobile users fight back with "TipSubmit" http://bit.ly/fwVHRQ ability to submit img & msg to Crime Stoppers. -- Mamma mia! mi piacerebbe proprio sapere che ne pensate voi di questa notizia!!

@AusCERT
Graham Ingram, AusCERT GM, said yesterday that "The day money became the focus of malware is the day the Internet changed" -- Lo so non è un articolo ma mi è sembrato sufficiente per una menzione sulla "Best of the Week.

@SCADAhacker
Langner – "Intercept, Infect, Infiltrate" ... maybe not the controllers but what about the USB-based license keys! http://bit.ly/fskGa7 -- mi sembra uno scenario credibile...

@jorgemieres
Cybercrime Outlook 2020 From Kaspersky Lab http://goo.gl/SjVjy -- 2020??? Ma è un sacco di tempo davvero!!

Buona lettura e buon fine settimana a tutti!!

giovedì 24 febbraio 2011

ID Security a Roma

Ieri si è tenuta la 1a Mostra Convegno specializzata sulla sicurezza della Identità Digitale a Roma, organizzata dalla Edisef, con diversi patrocini tra cui quelli di Aipsi, Anorc, GC-SEC e ISACA.

L'evento era molto particolare perché consentiva agli avvocati di ottenere dei crediti formativi necessari per l'iscrizione all'albo, insomma una sorta di CPE per il mantenimento delle certificazioni. Gli interventi erano quindi suddivisi tra tecnologi e giuristi con un mix abbastanza unico.

La giornata è stata un buon successo, sia dal punto di vista della partecipazione, sia dal punto di vista della riuscita; l'unica pecca è stata il programma, troppo affollato di interventi e impossibile da rispettare come tempi... il pranzo alle 14,30, senza neanche un coffee-break a spezzare la mattinata, è stato un vero incubo... ;-)))

Veniamo agli interventi, siccome erano moltissimi non li potrò citare tutti, mi limiterò a quelli che mi hanno colpito di più o che ho potuto seguire; soprattutto nel pomeriggio mi sono dedicato maggiormente al... "networking sociale".

Ha aperto il convegno l'amico Andrea Rigoni che ha illustrato i passi avanti della fondazione GC-SEC, da lui guidata, tra cui spiccano l'avvio di uno studio sulla sicurezza del DNS e alcune collaborazioni internazionali di altissimo livello. Andrea ha poi più volte sottolineato la centralità del DNS (concetto ribadito a più riprese anche da altri oratori nel corso della giornata) per la sicurezza e l'esistenza di Internet attuale e futura.

Domenico Vulpiani, consigliere del Ministro dell'Interno per la sicurezza informatica, oltre a fare alcune interessanti considerazioni sull'Information Warfare, ha fornito degli aggiornamenti su un recente caso di Cybercrime che ha visto un massiccio invio di mail, con allegati infetti, recapitate a molti dipendenti di Amministrazioni pubbliche centrali e locali. I malcapitati che hanno aperto il pdf allegato hanno in realtà installato un malware che registrava tutte le loro userid e password e poi le inviava ad un server remoto all'estero; i dati così carpiti sono stati venduti ad agenzie di investigazione o di recupero crediti che potevano così avere accesso ai numerosi DB gestiti dalla PA per ottenere informazioni riservate. L'azione della Poltel è culminata con l'arresto della mente dietro a questa operazione, un italiano che viveva in Romania. A corredo di questo arresto ci sono state anche 13 denunce e 24 perquisizioni tra l'Italia e la Romania.

E' quindi iniziata una serie di interventi di giuristi che hanno discusso del Codice dell'Amministrazione Digitale. Di particolare interesse l'intervento dell'avvocato Andrea Lisi che, con una vis polemica degna di una arringa, ha illustrato tutti i punti irrisolti della normativa italiana (e non) sulla documentazione digitale. L'amico Giovanni Manca, di cui ho sempre apprezzato la grande competenza e con cui ho condiviso tante esperienze sul campo nell'applicazione della firma digitale, ha cercato di riportare un po' di concreto ottimismo e ha dato alcune utili informazioni e precisazioni.

E' stato poi il turno di Gabriele Cicognani, altro caro amico nonché collega per oltre due anni al GovCERT.it (e anche una delle prime "Voci Amiche" di Punto 1). Gabriele ha raccontato di come gli utenti siano spesso messi in pericolo dai loro stessi comportamenti avventati. Molto interessanti i riferimenti a Torpig e la illustrazione di un attacco di tipo drive-by nel quale viene installato un malware senza che l'utente si accorga di nulla.

Ultimo amico e ultimo intervento prima di pranzo... Raoul Chiesa. Raoul ha raccontato di una sua ricerca fatta in collaborazione con la celebrità Jart Armin. L'intervento che doveva durare circa venti minuti è durato oltre un'ora e le informazioni che Raoul ci ha dato sono state talmente tante che valgono da sole un post... che ci sarà presto!!! Infatti sono d'accordo con Raoul che, a breve, pubblicherà qui su Punto 1, un articolo che tratta di questa ricerca. Questo articolo uscirà in contemporanea con la pubblicazione cartacea sul prossimo numero di  Information Security

Quindi, se siete interessati - e lo dovete essere - rimanete sintonizzati!!

lunedì 21 febbraio 2011

Swiss Cyber Storm III

Dal 12 al 15 maggio prossimo, in Svizzera, si terrà il Swiss Cyber Storm III un evento che ospiterà sessioni di "wargaming" e interventi di esperti internazionali.

L'evento si terrà a Rapperswil, vicino a Zurigo ed al suo splendido lago, e sarà la terza edizione di questo evento (SCS3) che si ripropone ogni due anni. Figure eminenti, provenienti dal mercato internazionale dell'Information Security, si incontreranno con i partecipanti e scambieranno pareri, opinioni e best practice nell'arco dei 4 giorni dell'evento.

La conferenza è organizzata in 3 track parallele e, come recita l'invito, sarà probabilmente uno dei modi migliori per aggiornarsi e fare formazione in modo divertente e interattivo, "nel secolo digitale odierno che ha appena visto Stuxnet, l'affaire Wikileaks e le APT (Advanced Persistent Threats)", prevedendo sessioni sia teoriche che pratiche. Swiss Cyber Storm III prevede inoltre momenti "sociali", quali la crociera VIP sul lago di Zurigo o la HackNight Party, due ottime occasioni per fare networking, conoscersi e confrontarsi con colleghi provenienti da tutta Europa.

In questo evento ci saranno, tra gli altri, tre speaker che voglio assolutamente citare: 
1 l'amico Raoul Chiesa che terrà alta la bandiera italiana ed interverrà in qualità di Key Note Speaker, 
2 a rafforzare la nostra presenza ci sarà anche un altro caro amico, Stefano Di Paola, di cui ho tante volte avuto modo di apprezzare e citare le qualità 
3 a svolgere le funzioni di padrone di casa, Marc Henauer, che è il capo della sezione MELANI, il CERT svizzero, di cui ho tante volte citato i lavori

E poi se ancora non vi basta... qui trovate i nomi degli altri speaker.

Infine, questo evento è organizzato da Ivan Butler, il CEO di Compass Security (azienda molto nota nel settore). Questo, forse, non a tutti dirà molto, mentre invece HackingLab, dovrebbe richiamare qualcosa nella mente e nella memoria di molti di voi e, forse, far scattare un piccolo sorriso :). Ivan è infatti il creatore della piattaforma hacking-lab, famosa per essere utilizzata nei "wargames" più belli e divertenti. Con "wargames" intendo quei laboratori online nei quali si devono utilizzare tecniche di hacking per violare i vari bersagli ed accedere ai livelli successivi di gioco. Un po' come il CAT - Cracca al Tesoro - che si terrà a Milano sabato 12 marzo e che sarà l'evento di lancio del Security Summit - edizione milanese. Ivan è riuscito a costruire un ambiente virtuale bellissimo, con punteggi in real-time e sfide che vanno dall'hacking lato OS sino alle Web Application, le quali ripropongono i "classici errori" compiuti da quei programmatori, sviluppatori web e sistemisti che, purtroppo, ancora non conoscono o non rispettano OWASP.

Al Security Summit di Milano potrete trovare (finché non finiranno) i flyer del SCS3, con informazioni e dettagli.

sabato 19 febbraio 2011

Best of the Week - 19 febbraio 2011

Ecco la mia "Best of the Week" di questa settimana. Una settimana ricca e interessante di spunti.

Se volete segnalarmi qualche risorsa sarò ben lieto di pubblicarla.

Saluti a tutti e... buona lettura!

Six New Hacks That Will Make Your CSO Cringe - trovo particolarmente interessante lo scenario 2, si lega molto bene a uno scenario di Spyware 2.0 così come prospettato nelle previsioni di Kaspersky

Ignore the OWASP Top 10 in Favor of Mike's Top 10 - molto interessante e stimolante... anche se un po' polemico.

Anonymous speaks: the inside story of the HBGary hack - me lo ha segnalato Raoul Chiesa, l'ho trovato davvero bello. @Glamis, forse era quello che serviva... ;-))

@jorgemieres - Inside Carberp Botnet: http://bit.ly/egzWzl

@CERT_Polska_en  According to SecureWorks, Rustock is the biggest (250k bots) and most active spamming botnet currently. http://bit.ly/dZaTZO

@Sysinternals - Plan your response to malicious software BEFORE it happens - guide for Malware Response http://bit.ly/eBx4oP

@CiscoSecurity - The role of 0days in pentesting. Interesting read http://tinyurl.com/4d2jrg7

Buon fine settimana e buona lettura a tutti!

giovedì 17 febbraio 2011

Marco Pacchiardo - Il Cyberlaundering

Siamo arrivati a cinque!

Cinque post della serie "Voci Amiche"; cinque contributi esterni di persone che stimo e che hanno raccolto il mio invito a scrivere di ciò che li appassiona (nel campo della sicurezza... ovviamente ;-)) ). Questa volta ho il piacere di ospitare il contributo dell'amico Marco Pacchiardo; ricordo ancora quando ho sentito il suo intervento al Security Summit di Roma e quanto mi aveva colpito per la chiarezza e la semplicità con cui riusciva a illustrare concetti non semplici come quelli legati al riciclaggio di denaro su Internet.
E proprio di questo parlerà questo contributo di Marco. Argomento assolutamente centrale e da capire a fondo se, già negli anni '60, Robert W. Sarnoff affermava: "Finance is the art of passing money from hand to hand until it finally disappears"....

-----------------------------------------------------------------------------------------------
"Da qualche tempo sto collaborando per definire e comprendere in dettaglio argomenti come Cyberwar, cyberintelligence e cyberlaundering. La prima cosa interessante che salta all'occhio è che in realtà attacchi, metodi di attacco e bersagli sono identici a quelli di prima che esistesse il "cyber" (qualsiasi cosa voglia dire).

L'unica cosa che è cambiata è la tecnologia.

Perchè in realtà lo scopo di chi attacca è sempre lo stesso di sempre, così come è sempre lo stesso il bersaglio e la motivazione di un attacco. Cambia la tecnologia, che diventa cyber per eseguire azioni malevole ben note già ai nostri antenati.

Così il fenomeno del riciclaggio di denaro, caro agli italiani dai tempi della prima repubblica, non fa altro che avvalersi di tecnologie cyber per... far sparire denaro esattamente come è sempre stato.
Dov'è la differenza allora? Proprio la tecnologia che, utilizzata in modo appropriato, permette maggiore libertà e velocità di azione.

Come disse Kevin Mitnick: "come, la domanda è sempre come"; i metodi rimangono identici a se stessi, la tecnologia muta.

Tradizionalmente si individuano tre azioni fondamentali nel processo di riciclaggio elettronico: Placement, Layering e Integration.

Ne parlerò, ma credo che, in modo forse presuntuoso e innovatore, ci sia un principio differente alla base del cyberlaundering: il passaggio da denaro fisico a denaro virtuale (per poterne sfruttare i vantaggi cyber) e il sucessivo passaggio inverso: da denaro virtuale a denaro fisico, per poterlo spendere. Al giorno d'oggi siamo permeati di questo fenomeno: dal piccolo spacciatore che, chiede una ricarica in cambio di una dose, fino ai terroristi, a chi rivende armi, a chi vuole soltanto evadere le tasse.

Esistono vere e proprie organizzazioni che si occupano, per esempio, di spostare denaro in modo "informale" (informale nel senso che in Italia è illegale trattare denaro se non si è una banca). Si chiamano IVTS, ovvero "Informal Value Transfer System" e lavorano con un metodo semplicissimo.
Chi vuole dare del denaro a una persona che si trova in qualsiasi parte del mondo, deve soltanto chiamare una persona che fa parte dell'IVTS e consegnargli il denaro contante a mano. A questo punto la persona chiamerà la sua controparte nella nazione di destinazione, la quale preleverà il denaro e lo consegnerà al beneficiario. In questo modo il denaro non viene mai fisicamente spostato, mantenendo alto il meccanismo di sicurezza e rendendo complicato il tracciamento. L'informazione di consegna del denaro può anch'essa essere altrettanto irrintracciabile e Internet aiuta. Basta aprire un account di posta con dati fasulli, scrivere una mail con le informazioni e salvarla come bozza invece che spedirla. La controparte dovrà soltanto conoscere il nome dell'account e la password per avere le informazioni che occorrono, senza che la mail sia mai spedita. Se guardiamo nel nostro piccolo quotidiano, ciascuno di noi potrebbe conoscere qualcuno che sfrutta queste tecnologie per far "sparire il grano".

Per capire il fenomeno più nel dettaglio riprendiamo i tre principi alla base del riciclaggio. La prima operazione è il Placement. Significa piazzare il denaro sonante su Internet. Il contante, che pesa, che occupa spazio, che è difficile da occultare, deve diventare elettronico. I modi sono i più disparati, ma è chiaro che il suo volume diventa pari a uno o due campi di un database. Adesso che il denaro è elettronico, la cosa migliore da fare è sfruttare la caratteristica principale di una rete dati: la velocità. In pochi attimi è possibile trasferire piccole somme di denaro su banche differenti, in paesi differenti, compiendo la seconda operazione: il Layering, la stratificazione del capitale. Ultima operazione è ricomporre la somma (Integration), di solito su una banca off shore, in un paese non allineato alle regolamentazioni internazionali in materia bancaria (e così scopriamo anche uno dei valori di Basilea II). La cosa più importante da tenere in conto, è che tutta questa operazione è stata eseguita nell'arco di neppure mezza giornata, nei casi peggiori si parla di 2/3 giorni. L'altra cosa fondamentale è essere coscienti che le autorità, per ricosturire i passaggi di placement e layering, impiegheranno mesi se non anni. A questo punto il denaro arriva da altri conti correnti e non più da proventi di attività illecite o, quanto meno, non è direttamente riconducibile ad esse. Non resta che spenderlo per smaterializzare ancora di più il rapporto tra il denaro e l'attività che l'ha prodotto.

In pratica il denaro contante è stato preso, trasformato in denaro elettronico, spezzettato in giro per il mondo in cifre piccole (di solito in cifre più basse delle soglie definite dalle leggi anti riciclaggio), ricomposto su una banca off shore e quindi speso. Immaginate che sia possibile acquistare i dati di accesso al conto di qualcuno per poche decine di dollari, immaginate di avere del denaro "sporco", di trasferirlo su internet tramite intermediari (Exchange Maker: esistono!), di comperare oro on line e di trasferire il controlavlore dell'oro (realmente mai posseduto) su 20 banche estere, immaginate di prendere dalle banche tutte le somme e di trasferirle in una banca alle Cayman, vendere l'oro e convertirlo in denaro elettronico e immaginate di farvi una vacanza ai caraibi con quel capitale. Vacanza a parte, tutta l'operazione è stata eseguita nell'arco di circa 2 giorni. Immaginate anche che qualcuno abbia dei sospetti e decida di ricostruire il percorso del denaro: vorreste essere nei suoi panni?

Per complicare ancora di più le cose (io lo farei), introdurrei anche un principio, tutto mio, di meta-layering, che potremmo chiamare "diversificazione". Prima di suddividere il denaro su più banche, suddividerei anche i canali trasmissivi, utilizzando bonifici, compravendita di oro, investimenti e IVTS. Se già all'origine, durante l'operazione di placement, il denaro è suddiviso non soltanto su più banche, ma anche in "prodotti" differenti, allora la combinazione diventa ancora più complicata da ricostruire.

Giusto per completare questa breve analisi, consideriamo anche che: aprire un conto su una banca off shore e comprare oro on line, una volta trovati i canali giusti, richiede solo una mail e una password. Naturalmente avrete già immaginato che la mail non permetterà di risalire all'identità del possessore e che sarà di conseguenza impossibile ricomporre a ritroso il percorso del denaro.

Come ultima considerazione, ritengo importante segnalare che, a livello internazionale, esistono leggi per tentare di arginare il fenomeno, così come esistono enti che si occupano soltanto di capire come funziona e come si può fermare il cyberlaundering. In particolare l'ente più importante in questo senso è il FATF "Financial Action Task Force"."
-----------------------------------------------------------------------------------------------
Marco Pacchiardo si occupa di sicurezza informatica in qualità di consulente dal 1997. La sua attività l'ha portato spesso all'estero, dove, tra gli altri progetti, ha realizzato un SOC per un governo, attività di vulnerability assessment, ethical hacking e diverse analisi di compliance rispetto alle normative internazionali (ISO2700X, SOX, PCI). Ha da poco terminato la realizzazione e lo startup del suo secondo SOC e attualmente si occupa di aspetti di sicurezza più organizzativi, di business e procedurali. Collabora con enti internazionali per la realizzazione di framework e whitepaper di Cyber Intelligence e Cyber War. Pacchiardo ha al suo attivo la redazione di un libro, numerosi articoli e guide di sicurezza informatica e ha creato software e metodologie innovative nei campi del risk management, della secuirty awareness e della compliance normativa.

mercoledì 16 febbraio 2011

Schneier e i sette hacker

Bruce Schneier, uno dei più celebri guru nel mondo della sicurezza, ha scritto un post sul suo seguitissimo blog circa la classificazione degli hacker in base alle motivazioni che li muovono. Questo post, in realtà, riprende un articolo scritto da Roger Grimes e la tassonomia che in quel contesto viene proposta.

Vediamo la lista e proviamo e fare qualche considerazione..

1 Criminali informatici
Questi "professionisti" costituiscono il più grande gruppo di hacker, utilizzano malware ed exploit per rubare soldi. La loro motivazione è economica, vogliono fare molti soldi in maniera facile e veloce.

 2: Spammer e affini
L'obiettivo anche in questo caso sono i soldi, il metodo invece cambia, qui si usa la "pubblicità" illegale, promuovendo propri "prodotti" o lavorando conto terzi.

3: Advanced Persistent Threat (APT) agents
Questi "soggetti" fanno parte di gruppi ben organizzati e finanziati e spesso hanno la propria base in un paese che li "garantisce". I loro obiettivi sono strategici come ad esempio il furto di documenti e di proprietà intellettuale di un'azienda. Molto spesso, al culmine del loro lavoro, hanno il completo controllo della rete che hanno attaccato.

4: Spie Industriali
Niente di nuovo sotto il sole. Usano i moderni mezzi di comunicazione per rubare segreti industriali, differiscono dal gruppo precedente per la minore organizzazione e perchè, normalmente perseguono obiettivi immediati.

5: Hacktivists
Molti hacker sono motivati da convinzioni personali politiche, religiose, ambientali, o da quello che gli viene in mente. Le loro attività preferite sono il defacement e alcuni tipi di DDoS, a volte possono lanciarsi in imprese diverse come lo spionaggio ma solo se questo si può tradurre in un passo in avanti per la loro causa.

6: Cyber Warriors
I loro obiettivi sono militari e sono finalizzati a minare le capacità di un avversario statuale. Questi soggetti possono operare di  volta in volta come APT agents, come spie industriali, o anche come hacktivists, a seconda del loro specifico obiettivo militare. Stuxnet è un esempio lampante di questo metodo di attacco.

7: Rogue Hackers
Tutta quella massa di hacker che vuole semplicemente mettere alla prova la propria abilità, vantarsi con gli amici o provare il brivido di impegnarsi in attività non autorizzate.

Questa è la lista proposta, stamattina Jeremiah Grossmann, su Twitter, proponeva il seguente quesito... secondo voi gli Anonymous in quale categoria devono essere inseriti?

Io ho proposto la 5, e voi che ne pensate?

sabato 12 febbraio 2011

Best of the Week - 12 Febbraio 2011

Eccoci al secondo appuntamento con la rubrica Best of the Week in cui presento le notizie o gli articoli che mi hanno più colpito durante la settimana.

Come vi ho già detto ogni segnalazione (soprattutto per contenuti originali) è la benvenuta.

Allora, ecco la lista dei... "Best of the Week"!

@SCADAhacker Updated W32.Stuxnet Dossier is Available  http://www.symantec.com/connect/blogs/updated-w32stuxnet-dossier-available

@appsecurity Companies spend more on coffee than securing Web applications
http://dld.bz/Mn8T

@msftsecresponse We’ve released a special report on battling the Zbot malware threat
http://bit.ly/fVj0cb

@kaspersky Hackers selling $25 toolkit to create malicious Facebook apps (via @ZDNet)
http://zd.net/iit3iI

@teamcymru Who and Why: A look at the impact of Egyptian internet disconnection in terms of spam, bots, and more http://bit.ly/ieKn5Q

@abuse_ch Introducing: Palevo Tracker
http://www.abuse.ch/?p=3231

@hal_pomeranz Hoping to see more details on this criminal nexus -- Interesting/scary research from Craig Wright... http://bit.ly/hKiRX3

Saluti a tutti e... buona lettura!!

mercoledì 9 febbraio 2011

Anche la CIE svizzera nel mirino

Ieri, Stefano Zanero (che non ha bisogno di particolari presentazioni) ha pubblicato una notizia sulla lista sikurezza.org relativamente alla violazione della sicurezza della SuisseID, la carta di identità svizzera che consente, tra l'altro, di apporre firme digitali a valore legale.

La problematica è nota ed è stata messa in evidenza anche per altre smart-card. A ottobre, ad esempio, la CIE tedesca era stata hackerata in un modo simile dal Chaos Computer Club, addirittura in diretta televisiva.

Come dicevo, il problema è annoso e non riguarda tanto la tecnologia in sé della carta quanto piuttosto l'utilizzo che ne viene proposto. Mi spiego meglio... le carte di firma (compresa quella italiana) sfruttano meccanismi di sicurezza molto robusti e certificati, però si appoggiano, per l'inserimento del PIN, sul computer dell'utente finale che rappresenta quindi l'anello vulnerabile della catena.

Ciò che è stato fatto in questo caso è stato compromettere la sicurezza del PC sul quale veniva inserito il lettore della carta e quindi, dopo una serie di passaggi, è stato possibile catturarne il PIN. Successivamente, tramite altro software inserito fraudolentemente nel PC dell'utente, è stato possibile firmare con valore legale dei documenti, in nome e per conto  dell'utente, utilizzando la carta inserita nel lettore sul PC dell'utente. Senza quindi che l'utente abbia perso "fisicamente" il controllo sulla sua carta.

Nel filmato è possibile vedere tutti i passaggi effettuati...


USB Smartcard (SuisseID) Takeover from Max Moser on Vimeo.

Pur non volendo fare del terrorismo, è indubbio che questa situazione, che ripeto, non è isolata e limitata alla SuisseID, meriti attenzione e che, forse, dovrebbe essere affrontata seriamente.

Basta infatti chiedere agli attuali titolari di smart-card di firma digitale se sono a conoscenza di questa problematica o se hanno idea di quali "attenzioni" dovrebbero essere usate per evitare che questo tipo di "incidenti" succedano.

Per quanto riguarda la PA io la risposta ce l'ho ed è negativa, non so dire in ambito privato, ma secondo me non è molto diversa.

Voi che ne pensate?

sabato 5 febbraio 2011

Best of the Week - 5 febbraio 2011

Questo post è il primo di una serie dedicata a presentare le notizie o gli articoli che mi hanno più colpito durante la settimana. Ogni sabato (o la domenica, al massimo ;-)) ), pubblicherò una raccolta di link riferiti alla settimana appena passata. Se la fonte è Twitter trovate l'account che prodotto la notizia e il post stesso. 

Fatemi sapere se è un'iniziativa che ritenete utile e, come sempre, sono aperto a recepire i vostri contributi, per cui, se avete letto (o ancora meglio, scritto) qualcosa di interessante e volete vederlo pubblicato, mandatemi una mail a:


E adesso veniamo alla lista della settimana (29 gennaio - 5 febbraio):

Amazon has stored passwords using weak mechanism: http://bit.ly/geHyk6. We recommend updating your password.

Sherlock Holmes and body language: http://bit.ly/b0CdZ1 Video (2 min)

Banking malware Carpeb gets more sophisticated: http://bit.ly/emev5U

Cyber Warfare: A Review Of Theories, Law, Policies, Actual Incidents - and the dilemma of anonymity http://is.gd/TsxR5f

How the psychological Scarcity Principle is used in on-line scams for persuasion: http://goo.gl/2uruM

Cyber warfare rules of engagement discussed - http://bit.ly/fIZm2M Here's what to consider: http://zd.net/em7jdm

venerdì 4 febbraio 2011

Garante privacy: ecco il piano ispettivo

Logo del sito del Garante
Il Garante Privacy ha appena rilasciato la nuova newsletter informativa nella quale vengono rilasciate alcune informazioni circa il nuovo piano ispettivo per il primo semestre 2011.

Sotto la lente del Garante finiranno in particolare: gli investigatori privati, i fornitori di servizi informatici (in particolare quelli forniti mediante servizi cloud), gli istituti bancari e i gestori delle carte di credito, le società di marketing (che svolgono la propria attività anche via sms ed e-mail) e gli enti previdenziali. 

Il comunicato del Garante specifica che: "Su questi delicati settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani si concentrerà l'attività di accertamento del Garante per la privacy nei primi sei mesi dell'anno. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo alle informazioni da fornire ai cittadini sull’uso dei loro dati personali, all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, al consenso da richiedere nei casi previsti dalla legge, all’obbligo di notificazione al Garante. Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati come di consueto anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati."

Facendo un piccolo esercizio di matematica spicciola... 250/22*6, e cioè dividendo il numero di controlli pianificati per il numero dei giorni lavorativi del semestre, otteniamo la rispettabile cifra di un paio di ispezioni al giorno! Tenendo presente che, su alcuni soggetti, le ispezioni possono essere anche decisamente complesse e che a questo numero si devono sommare tutte le ispezioni non pianificate... davvero una considerevole mole di lavoro.

Sarebbe auspicabile che la tanta attenzione che lo Stato riserva ai dati personali fosse estesa anche al mondo della cyber security che, al momento invece, è piuttosto trascurato.

giovedì 3 febbraio 2011

MUMBLE - DNS Exfiltration

Come funziona la DNS Exfiltration secondo il DOE
Il 25 gennaio scorso, il Dipartimento dell'Energia americano (DOE) ha pubblicato un interessante documento dal titolo "DNS as a Covert Channel Within Protected Networks" che analizza le tecniche di esfiltrazione di dati attraverso l'utilizzo del DNS.

La tecnica non è affatto nuova ma trovo molto interessante il documento prodotto dal DOE, per almeno tre ragioni:
1 è fantastico che un ente governativo produca un documento che tratta un argomento così tecnico e che lo metta a disposizione del pubblico
2 il documento non si limita a descrivere la problematica, ma contiene un'analisi dello scenario attuale evidenziando il fatto che questa tecnica comincia ad essere molto sfruttata negli attacchi reali
3 il documento fornisce una serie di suggerimenti pratici che vedremo nel seguito del post

Intanto, una breve descrizione della problematica che serve a inquadrare meglio il tutto...

Come si possono far uscire dati riservati utilizzando il DNS? Dato che la tecnica è nota sarò molto succinto, se volete approfondire basta "googlare" un po'.

E' molto semplice, si deve utilizzare un malware che, una volta ottenuto il contenuto da far esfiltrare, cifra il tutto e comincia a fare delle query DNS del tipo contenuto.da.esfiltrare.sitodelcattivo.cn. Queste query, come si può intuire dalla figura sopra, dopo una serie di passaggi intermedi arriveranno al DNS autoritativo (gestito appunto dal cattivo) per il dominio sitodelcattivo.cn, trasportando l'informazione "contenuto.da.esfiltrare". In questo modo l'informazione arriva nelle mani del cattivo, che può anche far tornare indietro degli ordini alla macchina infetta sotto forma di risposta del DNS. In questo caso, il malware avrà una tabella di conversione che associa delle azioni per ogni indirizzo IP ricevuto dal DNS autoritativo per il dominio sitodelcattivo.cn.

Allora come è possibile difendersi? Ecco i suggerimenti del DOE...

Dato che gli attuali attacchi conosciuti includono una o più delle seguenti caratteristiche, si devono cercare questi segnali all'interno del traffico DNS:
- query DNS composte da molti livelli (a.b.c... n.domain.com ..) dove a, b, c... n sono formati da stringhe esadecimali (ad esempio, e04fdbe587a1.f6c7.example.com) che, spesso, superano i 40 byte
- ripetute ricerche DNS per domini strani (ad esempio, 4c7a.obscure.com, 1a6d.some.site.cn) effettuate in un breve lasso di tempo o in momenti non usuali (al di fuori del normale orario lavorativo o nel fine settimana)
- risposte DNS che includono indirizzi di reti private (del tipo 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12 o 192.168/16) in quanto potrebbero indicare una attività di invio di comandi alla macchina infetta
- query DNS che non sono seguite da una successiva connessione (HTTP, FTP o di eventuali altri protocolli)

Questo, in sintesi, quanto emerge dal documento del DOE, chi pensa di sapere già tutto su questi argomenti e non ha trovato spunti nuovi può cimentarsi con qualcosa più all'avanguardia e leggere, ad esempio, questo bellissimo lavoro presentato da Kenton Born allo scorso Blackhat USA.

La cosa che mi interessa di più, però, è mettere in evidenza, ancora una volta, come un paese che ha una grande attenzione al tema della sicurezza e alla difesa della propria leadership in campo tecnologico, investa ingenti risorse per mettere a disposizione del pubblico una serie di strumenti di conoscenza e di collaborazione. Il documento, infatti, si chiude con questa frase: "la National Electric Sector Cybersecurity Organization è qui per aiutarti: se la tua organizzazione ha bisogno di assistenza per interpretare i log del DNS o per mettersi in contatto con altre organizzazioni di risposta agli incidenti, potete contattarci. I nostri riferimenti sono elencati di seguito.".

Provate ad immaginare quanto siamo lontani da questo approccio, concentratevi sugli anni che dovranno passare prima che sul sito del Ministero per le Infrastrutture ci possa essere una frase come questa. 

Questo, più di tante speculazioni, ci fornisce la misura di quanto siamo lontani dalla meta.

http://www.wikio.it