giovedì 31 marzo 2011

Lizamoon: un attacco di massa

Ieri, Websense ha pubblicato la notizia di un nuovo attacco di tipo SQL Injection di massa. Nella sostanza quello che sta succedendo è che un gran numero di sito vulnerabili in tutto il mondo vengono attaccati e viene inserito uno script che punta al dominio lizamoon.com (da qui il nome che è stato dato a questa campagna). 

Questa campagna appare una tra le più virulente di sempre. 

Ieri i siti colpiti (e indicizzati da Google) erano "solo" 28000, ora, nel momento in cui sto scrivendo, sono oltre 253000. Un gran bel salto visto che sono passate solo 24 ore.

Chiaramente mi sono incuriosito e ho voluto controllare quali siti italiani sono stati attaccati... ho avuto un'amara sorpresa...

Come potete vedere dalle immagini, nel momento in cui scrivo, ci sono oltre 12000 siti attaccati e  indicizzati. Tra questi ci sono anche siti istituzionali.

Giustizia.piemonte.it, procura.siracusa.it, giustizia.abruzzo.it, provincialavoro.roma.it. Oltre a questi anche il sito della fieg che è il sito della federazione della stampa. Solo rimanendo nelle prime due pagine dei risultati di Google.

Un vero problema...

Come al solito farò le mie solite telefonatine...

Per completezza di informazione bisogna dire che ci sono molte "vittime eccellenti" in questa campagna di attacchi. Anche il sito di iTunes è stato attaccato e compromesso; e Google riporta che oltre 2100 domini .gov in tutto il mondo sono stati compromessi.

Insomma un vero problema generalizzato. Ma quali sono i motivi di questo attacco di massa?

Stamattina, secondo ItWire dietro a tutto questo ci sarebbe il tentativo di spingere un falso antivirus (che però sarebbe già stato messo off-line).

Resta il fatto che questo attacco mostra che la sicurezza dei siti Web è veramente sottovalutata in tutto il mondo (che ne dici @wisewisec il tuo DOMintruder aiuterà un po' a far capire quanto tutto questo sia importante?)

sabato 26 marzo 2011

Best of the Week - 26 marzo 2011

As I told you last week, the series "Best of the Week" is read from people around the world so I decided to write the text and my comments in english.

Other posts will remain in Italian but you can translate them using the automatic translation button placed in the toolbar below.

So, here's my listing of the best security reading of the week.

enjoy it!

@fpietrosanti CIA Psychology of Intelligence Analysis free book cia.gov/library/center…

@SCADAhacker Congress told CERT needs more power - http://bit.ly/ib4CVg CERT needs to do better job of sharing timely info with private sector -- In Italy we don't have a National CERT and this a huge problem

@maximusimpact CSIS expert lists worst cyber security breaches since January 2010 - infosec http://lnkd.in/ybHpST  -- what a list!

@0xcharlie Short Black Hat Europe 2011 reviewhttp://dlvr.it/L0JY0 < dang, lots of cool sounding talks, sad I missed it 

@peterkruse AhnLab ASEC Security Report Vol.14 is out,http://bit.ly/iiXcGH (Good insight on threats in Asia)

@GovInfoSecurity RSA CTO Bret Hartman Speaks Out About Advanced Persistent Threat, Before the SecurID Attack. http://bit.ly/gX3Jl0

@mikkohypponen The Cutwail botnet/spam crew made somewhere between 1.7 million dollars to 4.2 million dollars a year: http://bit.ly/gjuJns -- if you follow the money, you'll understand the reasons behind the phenomenon

mercoledì 23 marzo 2011

Attacco RSA: i nuovi dettagli

Come anticipato nel post precedente cominciano ad emergere i primi dettagli su quanto è accaduto ad RSA in merito al furto di informazioni riservate sul sistema di autenticazione RSA SecurID.

RSA, nella giornata di ieri, ha inviato ai propri clienti un lettera con alcune informazioni più dettagliate e una lista di FAQ che possono aiutare a capire meglio la portata di quanto accaduto e a prendere alcune misure di contenimento del rischio.

Mi soffermerò sulle informazioni che mi sembrano maggiormente significative - sintetizzandole un po' e cercando di trarne alcune conclusioni -. La lettera e la lista completa è stata pubblicata da alcuni siti, come ad esempio Credit Union Infosecurity News.


"4. La mia soluzione RSA SecurID è più vulnerabile agli attacchi dopo questo evento?
La tecnologia RSA SecurID continua ad essere una soluzione di autenticazione efficace. Chi ha attaccato RSA ha ottenuto alcune informazioni riguardanti la soluzione RSA SecurID, ma non abbastanza per completare un attacco senza informazioni aggiuntive che sono solamente in possesso dei nostri clienti...
5. Cosa si intende per attacco diretto a un cliente RSA SecurID?
Al fine di compromettere una qualsiasi distribuzione RSA SecurID, un attaccante deve possedere diversi tipi di informazioni: sul token, sul cliente, sui singoli utenti e sui loro PIN. Alcune di queste informazioni non sono in alcun modo detenute da RSA ma sono sotto il controllo del cliente. Per portare un attacco diretto efficace, un attaccante avrebbe bisogno di essere in possesso di tutte queste informazioni.
6. Cosa si intende per un attacco più ampio verso un cliente RSA SecurID?
Con attacco più ampio si intende un attacco indiretto a un cliente mediante l'utilizzo di tecniche di attacco di tipo tecnologico e tecniche di social engineering per tentare di ottenere e quindi compromettere tutte le informazioni necessarie (token, cliente, singoli utenti e relativi PIN)...
8. RSA ha cessato la produzione e/o la distribuzione dei token RSA SecurID?
Come parte delle procedure operative standard, mentre RSA sta rinforzando ulteriormente il proprio ambiente alcune operazioni vengono interrotte. La distribuzione sarà ripresa non appena possibile e le relative informazioni saranno rese note."

Grazie a queste informazioni, anche se in forma indiretta sono arrivato a concludere che:
- lo scenario peggiore, quello prospettato da Diffie (vedere il mio post precedente), è purtroppo molto verosimile, una chiave master è stata trafugata:
- in questa situazione, la robustezza dell'infrastruttura di autenticazione è quindi basata sulle informazioni in possesso dei clienti
- RSA sta lavorando alla risoluzione del problema (al minimo con la sostituzione della chiave master) e la produzione/distribuzione dei token sarà ripresa quando avranno una soluzione che riporta la robustezza della soluzione ai valori precedenti

Per poter completare la valutazione del rischio, adesso, sarebbe necessario un ultimo elemento, che però penso non sarà disponibile a breve: la motivazione dell'attacco. Mi spiego meglio, a mio modo di vedere, ci possono essere due scenari possibili dietro questo attacco:
1 Criminali che intendono sfruttare le informazioni per violare sistemi prevalentemente bancari e finanziari per rubare denaro sonante
2 Spie che intendono violare precisi e circoscritti sistemi che utilizzano RSA SecurID come sistema di autenticazione verso aree a valore aggiunto

Se questa valutazione è corretta, l'asse del rischio si sposta molto in funzione dello scenario reale. Infatti un utilizzo criminale porterebbe, nel breve/medio periodo, a numerosi attacchi a soggetti diversi con la divulgazione delle informazioni relative alla "master key" e un rapido deterioramento dei livelli di robustezza generali. L'utilizzo a fini spionistici, invece, essendo molto più limitato e circoscritto, avrebbe impatti meno generalizzati  e percepiti.

Come valutazione finale, mi sento di fare un plauso a RSA  per avere fatto "outing" in modo così rapido e completo. E' perfettamente comprensibile che questa scelta costerà molto, in termini economici, nel breve periodo. Mi auguro per RSA che, nel medio e lungo periodo, la valutazione in termini di affidabilità e di "trust", premi questa scelta coraggiosa.

lunedì 21 marzo 2011

RSA: un attacco epocale

Siete clienti di una banca che vi ha dato una chiavetta con display simile a quella nella foto (che però spero non mostri i teschi che ho aggiunto io)? Avete un sistema di One Time Password (OTP) per accedere alla vostra intranet aziendale? Bene se i sistemi sono prodotti da RSA, c'è un po' da preoccuparsi.

Art Coviello, il mitico presidente di RSA, in una lettera aperta alla propria clientela ha reso pubblico che la propria società è rimasta vittima di un sofisticato attacco finalizzato al furto di dati riservati. Nelle parole di Coviello si può leggere tutta la preoccupazione e la difficoltà che certamente dominano in queste ore in RSA: "Recentemente, i nostri sistemi di sicurezza hanno identificato un attacco informatico estremamente sofisticato diretto contro i nostri sistemi... La nostra indagine ci porta a ritenere che l'attacco sia del tipo  Advanced Persistent Threat (APT). La nostra indagine ha rivelato inoltre che l'attacco ha comportato l'esfiltrazione di informazioni riservate dai sistemi di RSA. Alcune di queste informazioni sono specificamente correlate ai prodotti di autenticazione "RSA SecurID". Mentre in questo momento siamo fiduciosi sul fatto che le informazioni trafugate non consentano un attacco diretto su una qualsiasi delle nostre RSA SecurID, queste informazioni potrebbero essere utilizzate, in un attacco di più ampia portata, per ridurre l'efficacia di una realizzazione basata sull'autenticazione a due fattori."

Intanto, la prima considerazione che deve essere fatta è che questo episodio dimostra ancora una volta che anche le realtà più evolute dal punto si vista della sicurezza non sono in grado di fronteggiare adeguatamente un nemico che, oggi, ha troppi vantaggi dalla sua parte. Per riuscire a fronteggiare questa minaccia, si dovranno imboccare strade nuove, basate sulla collaborazione internazionale tra soggetti diversi (società, ISP, forze dell'ordine, CERT, ecc.) con il forte appoggio dei vari governi nazionali.

Subito dopo però, dato che i token di autenticazione di RSA sono lo "standard de facto" in molti mercati mondiali tra cui quello bancario, diventa assolutamente vitale capire esattamente quali informazioni sono state sottratte ad RSA e quindi che tipo di impatto ci può essere in futuro. Il New York Times ha chiesto ad alcuni dei maggiori esperti di crittografia quale possa essere l'impatto di questo attacco. Le notizie riportate non sono però molto incoraggianti: "Nonostante la mancanza di dettaglio, alcuni specialisti di sicurezza hanno affermato che la violazione potrebbe rappresentare una minaccia reale per aziende ed enti pubblici che si affidano alle tecnologia RSA. Una possibilità, ha detto Whitfield Diffie, uno specialista di sicurezza informatica che ha inventato alcuni dei sistemi crittografici più utilizzati nell'ambito del commercio elettronico, è che possa essere stata rubata una "chiave master" ossia un numero segreto molto grande, utilizzato come parte integrante dell'algoritmo di crittografia. Il caso peggiore, ha detto Diffie, è che un attaccante riesca a produrre dei token che duplicano quelli forniti da RSA, rendendo possibile l'accesso alle reti aziendali e ai sistemi informatici protetti"

Proprio a causa della preoccupazione che le informazioni trafugate dalle reti di RSA possano essere utilizzate in attacchi ad altre infrastrutture, la Counter Threat Unit (CTU) di Dell ha prodotto un interessante documento di analisi che propone anche delle possibili azioni preventive tra cui:
- verificare il patching e l'hardening dei sistemi utilizzati per l'autenticazione con token RSA
- monitorare attivamente i log dei sistemi IPS/IDS 
- monitorare i log dei sistemi utilizzati per l'autenticazione con token RSA verificando con attenzione gli errori ripetuti di autenticazione e gli errori non seguiti da successo
- tenere sotto controllo i cambiamenti di IP sorgente nei tentativi di autenticazione e i login multipli verso account unici

Nel documento prodotto dalla CTU di Dell si consiglia inoltre di osservare le seguenti raccomandazioni:
- realizzare sistemi di autenticazione OTP solo con canali criptati
- monitorare attivamente gli schemi di phishing o gli attacchi finalizzati alla cattura di codici OTP
- educare i propri utenti contro i tentativi di phishing e di ingegneria sociale in genere

Con le poche informazioni disponibili questo è il quadro più esaustivo della situazione che si può effettuare. Infatti, sino ad ora, comprensibilmente, RSA è stata abbastanza reticente comunicando solo le informazioni essenziali, probabilmente per interferire il meno possibile con le indagini in corso. E' però certo che maggiori informazioni siano dovute e che, probabilmente, arriveranno nei prossimi giorni.
---------------------------------------------------------------------------------------
Aggiornamento 23 marzo 2011
Sono emerse nuove informazioni e quindi ho pubblicato un nuovo post, chi volesse approfondire l'argomento, può leggere "Attacco RSA: i nuovi dettagli".

sabato 19 marzo 2011

Best of the Week - 19 marzo 2011

Since I wrote the first post of the series "Best of the Week" I noticed that so many people around the world was coming to see it. So I decided to write text and comments in english.

Other posts will remain in Italian but you can translate them using the automatic translation button placed in the toolbar below.

So, this is my list of best articles of the week...

enjoy it!

@taosecurity Joanna Rutkowska demonstrates why security is difficult http://bit.ly/eBSwba Her model involves ONE PERSON only! http://bit.ly/fwstRX -- interesting reading!

@NetQin Mobile Security VS Mobile Threats http://blog.netqin.com/en/?p=495 -- good analysis

@Nextgov Cyber Command Chief: DoD Moving to the Cloud http://bit.ly/ewLwPy

@CERT_Polska_en CERT Polska report on security incidents affecting Polish networks in 2010 published! http://bit.ly/gKwzUs -- a good work!

@teamcymru "The Life of a Cybercrime Investigator", we made the front page of /. see http://bit.ly/gocG9p

@cyberwar Creating an effective cyber espionage operation: http://ur1.ca/3incg --WOW

venerdì 18 marzo 2011

Rustock takedown: un gigante KO!

Microsoft prosegue nell'applicazione del suo progetto MARS (Microsoft Active Response for Security) e dopo l'Operation b49 di febbraio dell'anno scorso è giunta la notizia della Operation b107, ossia della messa off-line di una delle più grandi botnet in circolazione - Rustock. Tanto per dare qualche informazione dimensionale, Rustock è accreditata di quasi 1 milione di bot e ogni giorno è responsabile dell'invio di miliardi mail di spam in tutto il globo.

Ecco cosa è successo...

La Microsoft Digital Crimes Unit ha agito in modo simile a come era stato fatto per il takedown di Waledac - precedentemente ricordato - presentando una denuncia contro gli anonimi gestori di Rustock e ottenendo dal tribunale un ordinanza che ha consentito di sequestrare, assieme al Marshals Service statunitense, alcuni dei server di Comando e Controllo della botnet. Questi sequestri sono stati portati a termine presso cinque hosting provider che operano in sette città degli Stati Uniti (Kansas City, Scranton, Denver, Dallas, Chicago, Seattle e Columbus) l'operazione è tuttora in corso e si sta procedendo all'analisi delle prove raccolte. 

Questo è infatti un momento particolarmente delicato per la riuscita dell'operazione. Precedenti esperienze hanno mostrato che in caso di un takedown solo parziale, i gestori della botnet sono in grado di recuperare in breve tempo il controllo dei computer infetti e, nel contempo, di aumentare anche la resilienza complessiva della botnet. Al momento, comunque, tutti i 26 server di Comando e Controllo della botnet sono irraggiungibili.

Questa operazione guidata da Microsoft, data la sua estrema complessità, ha visto la collaborazione di numerose altre organizzazioni tra cui la Pfizer (danneggiata dalla spam farmaceutico), la società di sicurezza FireEye, esperti di sicurezza presso l'Università di Washington, la High Tech Crime Unit della polizia olandese e il CERT nazionale cinese. 

Il prosieguo dell'operazione sarà caratterizzato dallo sforzo per eliminare il malware dai computer infetti e sarà un lavoro immane (quasi un milione di computer da bonificare non sono pochi!!) che vedrà necessariamente la collaborazione con gli ISP e i CERT di tutto il mondo (mi chiedo a chi si rivolgeranno in Italia, visto che non abbiamo un CERT nazionale e questa non è materia delle forze dell'ordine). 

Fonte M86 Security
Intanto, come si può vedere dal grafico prodotto da M86Security che stava monitorando lo spam inviato da Rustock, la quantità di spam prodotta da questa botnet è arrivata a zero nella giornata del 16 marzo.

Speriamo che resti così!!

Complimenti ancora a Microsoft e a tutti coloro che hanno contribuito a questo grande successo.

Stefano Mele - Di Internet, social media e sommosse popolari

Eccoci arrivati al consueto appuntamento mensile con la rubrica "Voci Amiche". Come sa bene chi segue Punto 1, questa rubrica mi consente di ospitare dei contributi esterni di persone che stimo e che apprezzo, che decidono di trattare un argomento che sta loro particolarmente a cuore.

Questo mese ho il piacere di ospitare il contributo dell'amico Stefano Mele, un  professionista che sa essere sempre il più aggiornato e il più attento alle tematiche di cyber warfare e cyber intelligence.

Grazie Stefano per aver raccolto il mio invito...  a te la parola!

-----------------------------------------------------------------------------------------------
"Ho accolto con enorme piacere l’invito di Matteo ad intervenire sul suo sito con alcune mie riflessioni “in libertà” sugli argomenti che più appassionano la mia vita professionale e di cittadino. 

Il piacere, inoltre, è ancora maggiore in considerazione del fatto che la stesura di questo intervento cade esattamente con i festeggiamenti dei 150 anni dell’Unità d’Italia: un evento che oggi più che mai evoca quella condivisione di esigenze e quel desiderio di cambiamento capaci di essere più forti anche della paura e dell’oppressione. 

Una storia di riscatto e di unità che parte dal basso.

Le stesse esigenze e gli stessi desideri di cambiamento che, negli ultimi mesi, devono aver avvertito anche i cittadini egiziani e tunisini. Sembrano essere cambiati oggi solo i mezzi e gli strumenti. Quella di Tunisi, infatti, è stata ribattezzata la “rivoluzione di Wikileaks”, perché alimentata dal cablogramma di un ambasciatore statunitense esplicativo dell’elevatissimo livello di corruzione del dittatore Ben Alì e della sua famiglia; quella avvenuta in Egitto, invece, è stata la “rivoluzione dei Social Network”, capaci di fare da strato organizzativo e da collante per la rivoluzione popolare dei giovani egiziani, ormai stanchi del malgoverno del Presidente Mubarack e del suo regime. 

La lista in realtà potrebbe essere ben più lunga, se si andasse a considerare che anche le rivoluzioni avvenute nel 2009 India, nel 2008 in Corea del Sud e nel 2006 in Cile sono tutte “passate” attraverso la Rete e i c.d. social media.

Internet e le tecnologie informatiche, insomma, sembrano essersi ritagliate nel recente quadro di avvenimenti geopolitici un ruolo rilevante, se non addirittura primario e imprescindibile. 

Un simile ragionamento però, più volte “urlato” anche dalla maggior parte delle testate giornalistiche internazionali, rischia di essere incompleto e miope di quelli che sono i ruoli reali che strumenti come i social media hanno avuto e probabilmente avranno in questo genere di avvenimenti. Difatti, se nessuno può (e deve) mettere in discussione che Facebook e Twitter abbiano certamente contribuito ad avvicinare e a formare il “gruppo di comando” della rivoluzione egiziana, tuttavia non è in questi termini che si può spiegare il coinvolgimento in massa del popolo e la sua presenza nelle strade del Cairo. Una delle principali osservazioni fatte nel merito, infatti, ha messo in evidenza la disomogeneità sociale, religiosa e generazionale dei cittadini coinvolti, tale da far desumere con ragionevole certezza che la stragrande maggioranza dei sovvertitori non abbia nemmeno mai usato Internet e né, tantomeno, abbia un suo profilo personale su un social network. Parimenti, questo genere di ragionamento non spiega e non può spiegare gli episodi di disobbedienza civile che stanno colpendo, in maniera ancora più cruenta che in Egitto, la Libia o per quelli che hanno colpito lo stato yemenita: entrambe nazioni con percentuali di utilizzo della rete Internet realmente bassissime.

La lente attraverso cui leggere l’ondata di proteste civili che sta colpendo in questi ultimi mesi il Nord Africa e il Medio Oriente, allora, non è da rilevarsi nell’uso politico dei social media o in un ipotetico ruolo di “ago della bilancia” degli equilibri politici internazionali inaspettatamente svolto da Internet, quanto piuttosto in quel concetto di condivisione di esigenze e in quel desiderio di cambiamento dei popoli oppressi di cui si è accennato precedentemente. Sono state la frustrazione generalizzata, gli alti livelli di corruzione, la disillusione e la disuguaglianza sociale il vero motore di queste rivolte. Successivamente, sono stati i canali televisivi ad iniettare la giusta dose di fiducia nelle altre popolazioni, facendo giungere l’informazione – in questo caso sì in maniera capillare – che un’altra nazione attraverso la protesta in piazza era riuscita a svincolarsi dalla tirannia. 

Sotto questo punto di vista, pertanto, occorre mettere in luce come i canali di notizie in lingua araba diffusi via satellite abbiano svolto un ruolo assolutamente più decisivo della stessa Internet o delle tecnologie informatiche.

Certamente, seppure la valutazione delle motivazioni che hanno spinto durante le sommosse il Governo egiziano prima e quello libico adesso ad ordinare – attraverso strategie diverse – lo “spegnimento” della rete Internet sui rispettivi territori, può portare a percepire come centrale il ruolo della Rete, non si può sottacere che il successo di queste rivolte sia da attribuire quasi totalmente alla mancanza di resistenza armata e di repressione sul territorio da parte degli eserciti, che hanno smesso di offrire il loro supporto militare ai rispettivi Governi.

La rete Internet e le possibilità da essa offerte in materia di libertà d’espressione e di democrazia informativa, nonché il suo ruolo di collante sociale e culturale, sono senza alcun dubbio elementi fondamentali da tutelare e coltivare, sia dentro la Rete che fuori. Dare, però, il giusto peso al ruolo che questa tecnologia oggi ha e ha avuto in avvenimenti politici così importanti per l’attuale quadro geopolitico internazionale è, a mio avviso, un’esigenza imprescindibile per comprendere appieno il sentimento di riscatto e di unità che lega in questo periodo storico popoli e popolazioni apparentemente così diversi tra loro."

-----------------------------------------------------------------------------------------------
Stefano Mele è un avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza ed Intelligence.
Dottore di ricerca presso l’Università degli Studi di Foggia.

Vive e lavora a Milano, presso lo Studio legale "Italy Legal Focus", dove svolge attività di consulenza per grandi aziende, anche multinazionali, sulle problematiche legali inerenti la Privacy e la protezione dei dati personali, Internet e computer crimes, e-commerce e digital marketing, web services 2.0 e servizi sanitari elettronici, open-source and free licenses.
E’ altresì esperto di Sicurezza, Cyber-terrorismo e Cyber-warfare.
E’ Senior Researcher del "Dipartimento di Studi d’Intelligence Strategica e Sicurezza" della Link Campus University di Roma, nonché docente del loro "Master in Studi d’Intelligence e Sicurezza Nazionale" per i moduli relativi al cyber-terrorismo e al cyber-warfare.

Ha scritto numerosi articoli e approfondimenti giuridici e di strategia pubblicati su riviste e siti web specializzati. 

E’ Segretario Generale dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”.
E’ Sector Director “Intelligence e spionaggio elettronico” dell’Istituto Italiano per la Privacy. 

Il suo sito personale è: http://www.stefanomele.it

giovedì 17 marzo 2011

La Strategia di Sicurezza Nazionale per l'Italia

Ieri, presso la Link Campus University, si è tenuto il convegno "Verso una Strategia di Sicurezza Nazionale per l'Italia", organizzato dal prof. Luigi Germani e dal Prof. Umberto Gori.

Questo interessante evento ha avuto il merito di presentare la problematica sotto tutti i punti di vista possibili, visto che sono state chiamate a partecipare molte eminenti personalità provenienti da vari settori. Il problema della mancanza di una Strategia di Sicurezza Nazionale è stato infatti affrontato da esperti: di intelligence, di sicurezza economica e finanziaria, di gestione delle crisi, delle forze dell'ordine e della sicurezza del settore energetico.

Il convegno si è svolto a porte chiuse e con regole di Chatham House, ossia con la facoltà di utilizzare le informazioni ricevute, ma senza poter rivelare né l'identità né l'appartenenza degli speaker o degli altri partecipanti.

Cercherò quindi di raccontare quello che è stato presentato dando dei flash senza un preciso ordine temporale in modo da minimizzare le possibilità di collegamento tra opinione e speaker.

Intanto voglio dire che il convegno è stato un successo e che la quantità e la qualità delle presentazioni è stata davvero di alto livello. Il Prof. Germani ha fatto un gran lavoro organizzativo per riuscire a rappresentare la complessità della materia.

Veniamo agli argomenti che sono emersi...

Due temi sono stati menzionati più volte da molti oratori: il tema della cooperazione internazionale e il tema del multilateralismo.
Partiamo dalla cooperazione internazionale. E' stato sottolineato che, in molti campi, viene ritenuto un elemento essenziale per riuscire a migliorare lo stato attuale e riuscire a raggiungere migliori risultati, in particolare nelle varie forme di contrasto della criminalità (se ricordate questo argomento era emerso con forza anche nel convegno sulla lotta alle botnet).
Per quanto riguarda il multilateralismo è stato citato più volte come unico approccio efficace per la sopravvivenza di lungo periodo in un mondo come il nostro fatto di molti attori che competono per le stesse risorse.

Un altro argomento che è ricorso molte volte è stato proprio la necessità per l'Italia di dotarsi di una propria Strategia di Sicurezza Nazionale (SSN), lo so, sembra banale, ma lo è meno di quanto si potrebbe pensare... abbiate la pazienza di seguirmi...
Gli argomenti che sono stati portati a sostegno di questa tesi sono molteplici e, a mio parere, molto efficaci. In molti campi come ad esempio l'intelligence, la difesa, la cyber security e la sicurezza energetica, ci sono molte ragioni per pensare che la presenza di un documento che fissi obiettivi, priorità e criteri sia essenziale per garantire una maggiore efficacia e omogeneità delle scelte. Inoltre, in periodi di "vacche magre", quali quelli che stiamo vivendo, avere uno strumento che indirizzi le scelte e dia le priorità di spesa è ancora più determinante.

Tutto chiaro?
Purtroppo no.

Due oratori, molto vicini a quella figura di decisore politico che, unico, potrebbe mettere mano alla materia e produrre la tanto necessaria SSN, hanno rilasciato delle dichiarazioni quantomeno "inquietanti"... vediamole

Approccio banalizzante: "La SSN esiste già nei fatti, è nel DNA della nazione, deve solo essere messa nero su bianco in modo da distillare la piattaforma di condivisione. Bisogna evitare i rischi di vaso di Pandora e di maionese impazzita, in cui le varie esigenze diverse non riescono a fondersi e rimangono elementi distinti e distinguibili."
Approccio svilente: "Abbiamo già tutti gli elementi. Sulla cyber security, si è svolta una ricognizione nella PA (a me e agli altri nessuno ha chiesto niente, ma poco importa) e da quanto emerso c'è una sostanziale chiarezza di intenti. Non ci sono sovrapposizioni: il DIS (Dipartimento Informazioni e Sicurezza) si occupa di intelligence, gli Interni fanno sicurezza e contrasto della criminalità, la Difesa si occupa di difesa e coordinamento con la NATO, infine, il Ministero degli Affari Esteri rappresenta le posizioni italiane nei contesti internazionali (almeno in un caso eccellente non è vero, visto che, come affermato dal Pref. Piscitelli se ne è occupato l'UCSE)".
Apoteosi: "Si deve solo mettere il tutto a sistema e coordinarsi. Non sono necessarie nuove strutture ma deve solo funzionare meglio quello che già c'è. Dobbiamo fare squadra (Morandi a Sanremo ha fatto scuola!). Non serve mettere nero su bianco la SSN perchè è un'operazione che vincola troppo".

Devo dire che mi sono molto intristito per questa totale incapacità di leggere il mondo in cui si vive e per aver avuto, ancora una volta, la dimostrazione che ci vorrebbe veramente un ampio ricambio della classe dirigente.

Mi sono invece sentito confortato dai molti interventi che hanno messo in evidenza temi interessanti e, a volte, a me del tutto sconosciuti (ad esempio sicurezza finanziaria o energetica).

Sono così tornato a casa nella convinzione che siamo un paese strano e pieno di occasioni sprecate.
Una cosa, però, mi ha lasciato un sorriso. Nel corso del convegno si è serenamente discusso di temi di Politica, con la P maiuscola. Di futuro del paese. Di grandi idee e di grandi progetti. Di eccellenze e di merito.

Di questi tempi è già un grandissimo risultato!

sabato 12 marzo 2011

Best of the Week - 12 marzo 2011

Ecco la mia lista delle letture per il fine settimana. Spero che la troviate interessante.

Un saluto e buona lettura a tutti!

@winsec Botnet, Trojan Activity Increased in February: Trojans were the most prolific malware threat in... http://cybr.tk/JKgnr

@nigroeneveld Fighting botnets: Malware has 'exploded,' says security manager http://bit.ly/dXrcyg

@ChetWisniewski The Case of the Malicious Autostart http://myso.ph/hAcHaY Russinovich explains autostart troubleshooting on Windows

@danchodanchev Iran on hacktivism "We welcome the presence of hackers who are willing to work for the goals of the Islamic Republic" http://bit.ly/gzi7cF

@Menandmice If you have an open DNS resolver with no security, please close it. See "DNS DDos of the Day" http://goo.gl/jeiQo for what can happen

@honlinenews Pwn2Own 2011: Day 2 - iPhone and Blackberry hacked http://h-online.com/-1206254

@Jipe_ Pwn2Own 2011, for the third time in a row, Google's browser remained unhacked 

Buon fine settimana.
Matteo

venerdì 11 marzo 2011

Workshop on Botnet - Cologne

Il direttore di ENISA durante una pausa del Workshop
Worshop on Botnet - Detection, Measurement, Disinfection & Defence: due intensi ed interessantissimi giorni di full-immersion sulle botnet nel convegno organizzato a Colonia da ENISA e da altri partner tedeschi ed europei, a cui ho avuto il piacere di partecipare.

Ma veniamo subito al resoconto... devo dire che il livello generale dell'evento è stato molto elevato, i contenuti discussi sono stati tanti ed il fenomeno delle botnet è stato analizzato sotto molti punti di vista. 
E' quindi veramente impossibile rendere onore a tutti gli oratori e a tutti gli argomenti, darò quindi solo dei flash citando alcune cose che mi hanno colpito più delle altre.

L'assunto di partenza del Workshop è legato alla crescente pericolosità delle botnet che sono usate da criminali di tutto il mondo come mezzo per portare a termine operazioni illecite, sempre più grandi e sofisticate, che spaziano dall'estorsione (attraverso il DDoS), allo spam, al furto di identità, all'esfiltrazione di documenti riservati e alle minacce alla sicurezza nazionale. 

Nel corso del convegno, come era facile immaginare sono emerse numerose novità molto interessanti, tra queste, spicca senza ombra di dubbio l'iniziativa tedesca di realizzazione di un Centro di supporto rivolto agli utenti  i cui PC sono stati infettati da malware che li ha aggregati a delle botnet. 

Alcuni interventi - come quello di Udo Helmbrecht, Direttore Esecutivo di ENISA - hanno puntualizzato, tra l'altro, che la diffusione delle botnet è in costante aumento ed i motivi alla base di questa espansione sono che: 
- le modalità di infezione e di diffusione sono estremamente convenienti
- gli utenti non sono particolarmente consapevoli del fenomeno e quindi sono poco responsabilizzati 
- i criminali, attraverso le botnet, possono realizzare grandi guadagni correndo dei rischi molto bassi di essere scoperti e puniti.

Altri interventi, poi, come ad esempio quelli di Daniel Plohmann (Fraunhofer FKIE) e Giles Hogben (ENISA, responsabile dell'iniziativa), hanno fornito degli approfondimenti sui documenti pubblicati da ENISA prima del convegno, mettendo in evidenza che le possibili contromisure per contrastare il fenomeno delle botnet sono:
- di natura tecnica
            - Blacklisting
            - distribuzione di false credenziali
            - BGP blackholing
            - DNS - based method
            - Takedown dei sistemi di C&C
            - Packet filtering
            - Walled Gardens
            - P2P Countermeasures
            - Remote disifection
- di natura "sociale"
            - Legislazione "ad hoc"
            - User awareness
            - Central Incidents Help Desk
            - Enhanced cooperation tra tutti gli attori coinvolti

Peter Kruse (CSIS) e Michael Sandee (Fox IT) hanno puntato rispettivamente l'attenzione:
- sulla botnet nota come "Patcher" che flagella le banche nord-europee e americane 
- sui cambiamenti in atto nel blackmarket che è sempre più service-oriented (i criminali studiano e si aggiornano).

Tilmann Werner (Kaspersky) ha raccontato la storia e l'evoluzione di una "famiglia" di botnet che è partita nel 2007 con il famigerato Storm Worm e adesso, dopo una serie di cambiamenti, è ancora operativa con la nuovissima botnet Hlux.

Damian Menscher (Google) ha insistito sull'asimmetria di questo tipo di attacchi e sul fatto che, al momento, non ci sia una strategia di contrasto alle botnet che risulti esente da critiche o da inconvenienti e che quindi è necessario che si adottino dei mix di misure di contenimento di volta in volta diversi e puntati al caso specifico. 

Tutti hanno però insistito sul fatto che la legislazione attuale è stata costruita per adattarsi ad un mondo reale dove esistono, ad esempio, delle frontiere reali e dove cose e persone possono fermate e controllate, mentre, nel mondo cyber, dove sono invece nate le botnet, tutto è diverso, non esistono frontiere,  tutto è  immateriale. E' quindi di fondamentale importanza che le legislazioni nazionali vengano aggiornate e armonizzate tra loro e che siano adottate delle misure orientate alla cooperazione internazionale che migliorino, in maniera netta, l'efficienza nello scambio di informazioni e nell'esecuzione delle operazioni. 

Infine, a mio modo di vedere, un intervento si è distinto rispetto agli altri per qualità, contenuti e capacità oratorie dello speaker... quello di Mikko Hypponen, che è riuscito a spaziare tra argomenti diversi e a dare un quadro della sicurezza sulla rete  tra passato, presente e futuro.

Procediamo con ordine tra le tante cose che ha detto... 

L'intervento è iniziato con l'esibizione di un floppy disk (quelli da quelli 5 pollici, ve li ricordate?) sul quale era memorizzato il primo malware della storia: Brain. Mikko ne ha fatto un interessante parallelo con Stuxnet - entrambi hanno delle ottime capacità di nascondersi ed entrambi si propagano attraverso dei device fisici che devono essere materialmente inseriti nel computer (floppy e chiavetta USB, le strategie buone non cambiano mai!). Ha poi aggiunto che sono passati esattamente 25 anni da quando Brain è stato scritto e che, per ricordare adeguatamente questa ricorrenza, ha voluto provare a trovare gli autori per poterli intervistare. Ebbene, all'interno del codice di Brain c'era scritto un indirizzo di Lahore in Pakistan; Hypponen è partito e, allo stesso indirizzo dopo 25 anni, c'era ancora uno degli autori di Brain!! Foto dell'incontro e momento di nostalgia (oggi è stato pubblicato il video dell'intervista). 

Mikko ha quindi puntato la sua analisi sull'evoluzione del malware e delle strategie che sono alla base di questo mondo. Il malware, infatti, è partito con degli "hobbisti" per poi passare a criminali sempre più organizzati e collegati alla criminalità tradizionale, fino ad arrivare all'attuale coinvolgimento diretto degli Stati sovrani che richiedono malware sempre più raffinato. Qui Mikko ha citato un episodio molto interessante. Nel corso della rivolta in Egitto dei giorni scorsi è stata attaccata la sede della polizia segreta egiziana che è stata data alle fiamme e molta della documentazione che era archiviata al suo interno è stata trafugata. Tra questi documenti (e anche qui Mikko ha mostrato le foto) c'erano delle offerte tecnico-economiche di una società tedesca specializzata nella realizzazione di trojan per l'intrusione ed il controllo remoto di PC. Questo episodio mette in evidenza, se ancora ce ne fosse bisogno, come ormai questo tipo di operazioni di spionaggio e intrusione siano diventate una sorta di routine per molti Stati e che non stiamo parlando di futuro ma di presente.

Infine, guardando al presente e al prossimo futuro, Mikko ha rivelato (anche qui con le foto) un particolare nuovissimo sulla notizia del malware per Android e cioè che il programma realizzato da Google per bonificare gli smartphone infettati (Android Market Security) è stato modificato da ignoti e ridistribuito su martket di terze parti ovviamente con l'aggiunta di un trojan all'interno. La conclusione è che ormai siamo all'alba di una nuova era dove le botnet saranno estese anche agli smartphone, che finora erano, bene o male, scampati alle morbose attenzioni dei criminali. Anche perché, dal punto di vista dei criminali, gli smartphone hanno un grande vantaggio rispetto ai PC: consentono di avere degli introiti diretti attraverso le telefonate e gli SMS verso numerazioni a tariffazione elevata.

Un bel futuro ci attende, non c'è che dire!

-----------------------------------------------------------------------------------------------
Aggiornamento 18 marzo 2011
ENISA ha pubblicato le slide degli interventi. Dategli un'occhiata, sono molto interessanti!

martedì 8 marzo 2011

Lotta alle botnet: l'approccio di ENISA

Immagine tratta dai documenti ENISA
ENISA ha rilasciato oggi due documenti sulle botnet.

Il primo si intitola "Botnets: 10 tough Questions" ed il secondo invece "Botnets: Detection, Measurement, Disinfection & Defence". Questi due documenti rientrano nella strategia messa in atto da ENISA per dare maggiore enfasi ed efficacia alla lotta alla criminalità su Internet.


Il primo documento, come riferisce il comunicato stampa di ENISA, è un distillato dei risultati di una ricerca condotta da ENISA con i massimi esperti della lotta contro le botnet, inclusi gli Internet Service Provider, i ricercatori di sicurezza, le forze dell'ordine, i Computer Emergency Response Team (CERT) e i produttori di anti-virus. Le analisi di ENISA vertono su domande che investono temi generali e a cui è molto spesso difficile dare delle risposte. Infatti, ripensare alla affidabilità dei dati sulle botnet, al ruolo dei governi, alle necessità di aggiornamento delle norme o agli investimenti che si rendono necessari è certamente un modo per affrontare i nodi alla radice e cercare di trovare delle soluzioni che possano essere direttamente applicate sul campo.

Il secondo documento, invece, affronta il tema della valutazione delle minacce portate dalle botnet.  "Le dimensioni non sono tutto - il numero di macchine infette, da solo, è un modo inadeguato per misurare la minaccia" dice il Dott. Hogben, editor del rapporto. 

Questo documento, inoltre, cerca di comparare le modalità di risposta da mettere in campo contro le botnet ed infatti riporta un set di 25 best-practice per attaccare le botnet seguendo tutti i possibili approcci, neutralizzandole, prevenendo nuove infezioni e riducendo al minimo la redditività del cybercrime che le utilizza. 

La relazione sottolinea infine la necessità di una stretta cooperazione internazionale tra governi e istituzioni. "La cooperazione globale è indispensabile per raggiungere il successo nella lotta contro le botnet", dice il Prof. Udo Helmbrecht, il direttore esecutivo di ENISA. 

Entrambe le relazioni saranno discusse in una conferenza che si terrà a Colonia domani e dopodomani. 

Io sarò alla conferenza e, nei prossimi giorni, ne scriverò sul blog... rimanete collegati!!

PS 
Se qualcuno dei lettori di Punto 1 sarà a Colonia, venga a salutarmi, mi farà molto piacere.


lunedì 7 marzo 2011

Malware su Android: il punto

In questi giorni è successo quello che ormai da tempo sembrava sempre più probabile... un malware ha colpito alcune applicazioni di Android distribuite dal market di Google. Dopo una serie di avvisaglie, con app "ufficiali" modificate con l'inserimento di trojan prima di distribuirle attraverso market non ufficiali, siamo arrivati alla "madre di tutti i malware per Android"... il malware in casa del market ufficiale.

Vediamo in breve cosa è successo, e quali sono state le mosse di BigG per cercare di reagire nel miglior modo possibile.

Un utente è casualmente incappato in una delle applicazioni infette notando che l'autore non era quello originale; ha quindi scaricato due delle applicazioni, le ha analizzate e ha scoperto che contenevano codice per ottenere i diritti di root. Pur non avendo idea di cosa realmente facessero queste applicazioni ha capito che non poteva essere niente di buono. Dopo qualche altra analisi, ha visto che le applicazioni inviavano i codici IMEI e IMSI ad un sito remoto in California. Definitivamente convinto che la cosa fosse grave, ha così contattato i responsabili di un blog che si occupa di Android  che hanno fatto un altro passo nell'analisi e hanno finalmente capito che oltre al root del dispositivo dell'utente e all'invio dei codici IMEI e IMSI veniva messo in atto un vero e proprio furto di tutti i dati possibili: ID dello smartphone, modello, partner (provider?), lingua, paese e userID. Veniva inoltre data la possibilità di scaricare ulteriore codice malevolo, proprio come nelle migliori infezioni per computer.

Avvisati i responsabili di Google, nel giro di minuti le applicazioni segnalate sono state rimosse dal market. Si è quindi operata una ricognizione di tutte le applicazioni coinvolte (con l'ausilio anche di Lookout) ed infine, sul blog ufficiale di Android è stato pubblicato un post che elenca tutte le azioni intraprese:

- Google ha rimosso le applicazioni dannose dal Market ufficiale, ha sospeso l'account dello sviluppatore e ha contattato le forze dell'ordine
- è stata attivata la procedura di rimozione da remoto delle applicazioni dannose dai dispositivi interessati
- un aggiornamento del market di Android è in distribuzione su tutti i dispositivi interessati che annulla le operazioni malevole effettuate. Quindi, su ogni dispositivo colpito verrà inviato un avviso via mail entro 72 ore
- tutte le necessarie azioni di miglioramento per impedire il ripetersi di questi episodi sono già in atto

Al di là della cronaca (che è comunque molto interessante), secondo me è importante fare alcune riflessioni.

1- un ambiente aperto e in rapida evoluzione come quello di Android, è un catalizzatore per il crimeware come pochi altri.

2- alcuni "errori di gioventù", come abbiamo già avuto modo di notare, stanno complicando il percorso di crescita in sicurezza di Android.

3- Google ha deciso di usare il proprio potere di "Kill Switch" - ovvero la possibilità di entrare nei dispositivi e andare a installare e disinstallare codice - per eliminare le minacce legate a questi malware. Cosa certamente buona e giusta, ma quanti di voi sapevano dell'esistenza di questa possibilità? Forse un po' di chiarezza in più non guasterebbe...

4- una maggiore attenzione alla sicurezza degli smartphone è assolutamente necessaria per evitare problemi che potrebbero potenzialmente essere maggiori di quelli della sicurezza su PC.

Intanto consoliamoci con gli eccellenti tempi di risposta. E speriamo che in futuro ci siano procedure che possano anticipare i problemi e non solo andarli a risolvere.




domenica 6 marzo 2011

TweetViewer: curiosity killed the tweet

TechCrunch ha riportato che un nuovo worm si sta diffondendo su Twitter facendo leva su una della maggiori pulsioni umane... la curiosità! 

Chi ha visto il mio profilo? Quanti di noi si sono posti questa domanda? 

Prima o poi, quasi tutti. 

E a quanto pare, questa curiosità ha spinto moltissimi utenti a cliccare su uno short link che punta ad un'applicazione che chiede di collegarsi all'account di Twitter. Tutti quelli che hanno acconsentito, da quel momento in poi, sono diventati un altro distributore del link malevolo.

Al momento non ho trovato nessuna risorsa che spieghi compiutamente, il fine ultimo di questo "scam", oltre, ovviamente, a puntare al controllo di molti account di Twitter.

Bit.ly ha chiuso l'accesso a questo link e quindi al momento non dovrebbe più diffondersi attraverso questo link, ma ovviamente, ai cattivi basterà cambiare un pochino lo schema e utilizzare un altro abbreviatore di URL per continuare nel loro "lavoro".

Intanto stanno proliferando anche le varianti, questa l'ho trovata molto divertente... 

Come dire, l'oste (un po' sgrammaticato!) dice sempre che il vino è ottimo!!

Anche se io non ci credo quasi mai... e voi?

sabato 5 marzo 2011

Best of the Week - 5 marzo 2011

Ciao a tutti, eccoci arrivati al consueto appuntamento con la rassegna dei link che mi hanno più colpito durante la settimana. Devo confessare che questa settimana ho davvero avuto poco tempo... questo è quello che ho trovato.

Saluti a tutti e... buona lettura!

@mikkohypponen "As cyber-weapons pose an unsolvable problem of sourcing, war could evolve into something more and more like terror": http://bit.ly/hYZvFR

@nigroeneveld Fighting botnets: Malware has 'exploded,' says security manager http://bit.ly/dXrcyg  -- Mercoledì e Giovedì sarò a Colonia al convegno organizzato da ENISA sulla lotta alle botnet... vi farò sapere!!!

@McAfeeNews Blog: Write once, Mobile Malware anywhere: The Zeus (Zbot) crimeware is sold to criminals as a complete toolkit ... http://bit.ly/htgQji

@mikkohypponen Site londonstockexchange dot com has been hit and is currently spreading malware. More info from @paulmutton: http://is.gd/jFoGdE

@CERT_Polska_en If you haven't yet, check out FIRE (FInding RoguE Networks): http://j.mp/bzrCJ - an up to date ranking of malicious networks

Buon fine settimana a tutti.
http://www.wikio.it