sabato 30 aprile 2011

Best of the Week - 7 maggio 2011

Here is my new list of the my favorite security articles of the past week.

Enjoy it

@yo9fah_ro: Password Chart: http://www.passwordchart.com/

@HostExploit: Exfiltration: How Hackers Get the Data Out - http://jart.me/mDYvia

@danchodanchev: Posted on @ZDNet - Commtouch: 71 percent increase in new zombies - http://zd.net/llntC3

@briankrebs: "Weyland-Yutani" crimeware kit targets Mac OS X systems for bots. I talk to the developer and feature a video http://bit.ly/lOSJy0
&
Advanced Persistent Tweets (APT): Zero-Day in 140 Characters ". The first in a series I'm writing on APT and RSA Advanced Persistent Tweets (APT): Zero-Day in 140 Characters ". The first in a series I'm writing on APT and RSA http://bit.ly/mxyjaa

@teamcymru: our latest paper:"A Criminal Perspective on Exploit Packs":installation, usage of 40 BEP's http://bit.ly/lyxGLm

@threatpost: Report: RSA Hack Part Of Larger Operation http://bit.ly/lqhSu6

and at the end... my favorite one... @ChronicAndroid: Breaking: due to inflation, a picture is now worth 2327 words


giovedì 28 aprile 2011

Jelle Niemantsverdriet - 2011 Verizon DBIR

I'm very happy to introduce this new contribution to Punto 1. This month, the guest post is written by a well known international expert, Jelle Niemantsverdriet, who works as Principal Consultant Forensics and Investigative Response at Verizon Business.

I met Jelle at the Cyber Crime Conference in Rome and, while I was talking to him, I immediately realized how brilliant and skilled he is. So I grabbed the chance to ask him to write something for Punto 1; for my pleasure - and for the pleasure of my readers - Jelle accepted my invitation.

Last week Verizon published the new Data Breach Investigation Report, with the collaboration of the US Secret Service and the Dutch High Tech Crime Unit and Jelle is one of the authors. Hence, having on Punto 1 an "inside view" of the Verizon Report is a very special occasion.

So thank you very much Jelle! Now, I leave the floor to you and to your analysis on Verizon DBIR.

-----------------------------------------------------------------------------------------------
2011 DBIR Blog post for Punto 1 weblog


“All you need are logs” as the /dev/random blogs likes us to sing along to. And yes, do we need them – but how seldom we use them…

In the dataset of Verizon and the United States Secret Service, which was used to compile the 2011 Data Breach Investigations Report, none of the breaches were discovered through log analysis. This staggering number came down from an already non-impressive 6 percent and 3 percent of the cases in the previous reports; the most positive interpretation we can give is that there is definitely room for improvement with regard to how organizations monitor their IT environments.

The latest release of the DBIR is the fourth annual report in the ongoing series, which now comprises seven years of analysis of confirmed data breaches. In 2010, the United States Secret Service started to share their breach statistics using the VERIS framework and in 2011 they were joined by the National High Tech Crime Unit of the Netherlands Policy Agency (KLPD). The inclusion of these two law-enforcement agencies clearly demonstrates that it is very well possible to share incident data in aggregate without breaching customer confidentiality; we would like to convince other organizations to follow suit and share information – in a secure way.

Let’s dive into some of the findings: at first glance, two of the most striking statistics are the seemingly paradoxical explosion in number of cases versus the decrease in number of stolen data records. The number of cases went up from 141 in 2009 to a staggering 761 confirmed breaches in 2010. The bad guys must have been busy, it seems… However, there is also a huge drop in number of stolen records: “only” 3.8 million stolen records in 2010, down from more than 143 million in 2009 and more than 360 million in 2008. What is going on here?

You could say that cybercrime seems to have had its “industrial revolution:” attackers are using scalable, (semi-)automated attack methods to successfully target tens of victims in one sweep. Combined with that, they appear to be aiming for smaller “loot:” rather than for example steal millions of credit card numbers from a single payment processor, they are spreading their risks by sticking to smaller numbers of stolen records – combined with the larger scale still sufficient to make a “decent” living.

One of the suspected contributing factors here is the successful arrest and contribution of some of the big players in cybercrime in the past years. Not only have they left the “field of play” but we think this has also made the more lucky, remaining criminals more risk-aware and has convinced them to switch to a large number of smaller scale but less-risky attacks. 

Another important thing to keep in mind is that in some cases the number of stolen records is not the most reliable measure of breach impact. This is especially the case in breaches that involve theft of intellectual property or classified information. The theft of one highly sensitive document could have a similar impact as the theft of thousands of credit card numbers. 

We explore some more hypotheses in the report – you are encouraged to read these as interpreting the numbers without reading the underlying factors leaves room for confusion.

If we look at the actions that are conducted by the attackers (which – small but important side note – are in the vast majority of the cases due to external attacks), we see that hacking and malware top the charts as a “dangerous duo of data loss.” Hacking is often used as the first “foot in the door” to get onto a victim’s network, after which malware is used to get further onto the network, find the data and send it back out.

This small paragraph does not do the detailed section in the report justice: there is a lot that can be learned from truly dissecting the attacks into their individual events leading up to the incident – not only for informational purposes but more importantly for improving detection and ideally prevention. 

Having said that: this is something we cannot stress enough… Please, refrain from using somewhat hollow and over-used terms that sound good in newspaper headlines but don’t make you any wiser on what exactly happened. “Advanced persistent threat” sounds pretty interesting and maybe even scary, but everybody seems to use a different definition of what it is. Quite quickly, these terms become some sort of “boogeyman threat” that you can almost not defend yourselves against, so sophisticated they seem… We think that using a common language to describe what you really see, is a great method of sharing information in such a way that others in the industry can benefit from it. 

And hopefully you’ll find, that while there are advanced methods out there, in the whole chain of a successful data breach there are often very easily recognizable and detectable factors at play. Not every cool new technique that you learn about at security conferences, is something you should immediately worry about – especially as there is still so much more to gain by looking at the more basic and more widely used attack methods. Or, as put in the report: “Defend against dragons if you must, but don’t watch the skies so much that common rogues slip inside the castle walls from below.”

In the majority of our cases, prevention could have been done by implementing inexpensive and simple or intermediate measures – difficult and expensive measures were required in only 3 percent of the cases. It’s mostly about using already available tools and techniques, but using them consistently throughout the whole organization – or even checking that the methods you think are in place, are actually in place and are more than a checked box in an audit form. 

All in all, this is nothing more than a tip of the iceberg of the information in the report. Everybody is highly encouraged to have a thorough read through it and hopefully apply the statistics and maybe even the VERIS framework within their own organization. Either way, don’t hesitate to get in touch with us, as we are always willing to clarify things or hear your feedback. 

-----------------------------------------------------------------------------------------------
Jelle Niemantsverdriet, MSc CISSP CISM QSA
Principal Consultant, Forensics and Investigative Response EMEA 
Verizon Business  Security Solutions

Jelle Niemantsverdriet is a Principal Consultant with the Forensic and Investigative Team for the EMEA region at Verizon Business. He is responsible for incident response and forensic investigations. Verizon Business helps customers prepare for incidents that may need digital evidence, and offers services that assist customers in fully carrying out an investigation. Examples of incidents covered include stolen information, hacked servers and applications, anonymous email threats and fraud. He is also one of the authors of the 2010 and 2011 editions of the Verizon Data Breach Investigations Report. 

Niemantsverdriet holds a Master of Science in Artificial Intelligence. In June 2010 he started an executive MBA at the University of Chicago - Booth School of Business.  

Twitter account @jelle_n

mercoledì 27 aprile 2011

MUMBLE - Siamo a rischio Russia?

In questi giorni ho fatto un po' di riflessioni sul cyber crime e sulla realtà italiana in particolare. Ne sono uscito abbastanza preoccupato e vorrei condividere con voi queste idee per vedere cosa ne pensate...

Cominciamo dalle analisi "oggettive":
- secondo l'ultimo rapporto di Symantec il nostro paese è al secondo posto nella classifica EMEA che misura il numero di bot presenti nei singoli paesi e al quarto nella classifica mondiale 
- secondo una recente analisi di TeamCymru effettuata su un periodo di 24 ore, l'Italia, a livello mondiale, si piazza all'ottavo posto per attività malevole e al secondo per attività legate alle botnet
- a febbraio 2011, Eurostat ha rilasciato un'analsi sulla presenza di PC infetti nei vari Stati europei secondo la quale l'Italia è al quinto posto come presenza di malware e al quint'ultimo per presenza di software di sicurezza

Nonostante la piccola discrepanza nei numeri (credo che parlerò di misurazioni nel mio prossimo MUMBLE) è evidente che siamo nella top 10 mondiale dei paesi più colpiti dal malware e, probabilmente, stiamo entrando nella top 5.

Insomma una situazione non proprio edificante. Se poi aggiungiamo il fatto che alcune nostre banche sono tra le più gettonate al mondo per i tentativi di phishing, diventa evidente che siamo di fronte ad un problema serio.

Probabilmente, nel corso dei prossimi due anni, se non si riesce ad invertire la tendenza, i danni derivanti dal cyber crime in Italia diventeranno davvero gravi e ci troveremo di fronte ad una situazione nella quale un consistente numero di italiani saranno oggetto di furti d'identità e di truffe con rilevanti danni economici. Inoltre, sempre più società saranno nel mirino di cyber ricatti che punteranno a riscuotere un vero e proprio "pizzo" per evitare di essere oggetto di "attenzioni particolari", primi tra tutti gli attacchi di DDoS.

Fino qui, ci siamo limitati a dati "oggettivi" e ad una piccola analisi di prospettiva... insomma nulla di realmente nuovo per gli addetti ai lavori. 

Bisogna però considerare che l'Italia non è un paese qualunque. Siamo la culla della civiltà occidentale, abbiamo un patrimonio culturale sconfinato, abbiamo il Vaticano e, purtroppo, abbiamo la MAFIA, in tutte le declinazioni possibili.

La nostra malavita organizzata, come tutti sanno, ha carattere internazionale, ramificazioni in tutti i settori della società e, soprattutto gestisce tutti i traffici illeciti italiani di una certa rilevanza. Prostituzione, droga, estorsioni e ogni altra nefandezza che vi può venire in mente, se ne vale la pena, è direttamente o indirettamente gestita dalla malavita organizzata.

A questo punto, quindi, mi chiedo e chiedo anche a voi: "Quanto tempo passerà prima che la mafia si accorga delle potenzialità del cyber crime in Italia e voglia trasformare questo "settore" in una vera e propria industria come ha fatto con tutto il resto?"

La mia risposta è che ci siamo veramente vicini. Il fatturato illegale si sta avvicinando a soglie interessanti e si riescono a portare a termine moltissime tipologie diverse di attività illegali con bassi rischi e alti profitti.

Ma facciamo un ulteriore passo in avanti. Esiste un altro paese che ha già operato la "fusione" tra criminalità organizzata e cyber crime? La risposta è sotto gli occhi di tutti... questo paese si chiama Russia (e tutto il blocco ex sovietico). In quei paesi si sono create le condizioni per cui una forte mafia ha incorporato i nascenti gruppi di cyber criminali e, in un breve lasso di breve tempo, si sono create sinergie incredibili tra le mail e le pistole.

Le uniche differenze che vedo tra quello scenario e il panorama italiano, sono legate alle migliori condizioni di vita che ci sono (per ora) in Italia e il baluardo democratico rappresentato dalle nostre istituzioni.

Ritengo però che, data la forza della nostra malavita e i guadagni che sono possibili con questo nuovo tipo di criminalità, senza un'adeguata risposta dello Stato, saremo presto alle prese con una nuova temibile frontiera del crimine.

Alla domanda "Siamo a rischio Russia?". Io, sentendomi un po' una Cassandra, rispondo... SI, purtroppo SI.

E voi, che ne pensate?

sabato 23 aprile 2011

Best of the week - 23 aprile 2011

Another week is gone and a lot of security events happened so it's time for my listing of the best security articles of the week.

Enjoy it... and have a happy Easter!

@InfosecurityMag: Cybersecurity: The Road Ahead http://bit.ly/fboDip

@arbornetworks: DDoS hacker who left his wife for a fictitious online lover jailed for two years | Naked Security http://t.co/Zy5e3RU

@felicianointini: RT @markrussinovich: Admiral the Lord West: al Queda cyber-terrorist threat real http://bit.ly/gOvoxZ

@briankrebs: Threatpost has a good podcast interview with Verizon's Alex Hutton on today's breach report http://bit.ly/gadqnj

@HostExploit: EU Carbon Emission Trading System Registries Return to Normal Following Security Review - http://jart.me/gtTOVy

@mikkohypponen: Great first-hand account from somebody recovering from the Amazon EC2 Judgement Day outage: http://bit.ly/eact4O

And then about the iPhone tracking issue... @FrankConniff: iPhone is tracking my every move. Retrieved the data: "Couch, Refrigerator, Bathroom" over and over again.

martedì 19 aprile 2011

MELANI: ecco il nuovo rapporto

MELANI, la Centrale d’Annuncio e d’Analisi per la Sicurezza dell’Informazione, ovverosia il CERT Svizzero, ha pubblicato oggi il nuovo rapporto semestrale

Come sempre, questo rapporto ha una qualità e una completezza davvero rare, e consiglio veramente a tutti di leggerlo. 

Questo dodicesimo rapporto semestrale è suddiviso in tre sezioni dedicate rispettivamente: alla situazione nazionale svizzera, alla situazione internazionale e alle tendenze per il futuro.

Un'analisi che verte sui dati svizzeri risulta molto interessante anche da un punto di vista più generale, infatti, la tendenza ad infettare gli utenti Internet attraverso l'inserimento di codice malevolo in siti Web legittimi, colpisce la Svizzera come moltissimi altri paesi e quindi le valutazioni svolte da MELANI si prestano bene alle generalizzazioni. Su questo tema viene confermata la tendenza all'incremento di questi attacchi sia dal punto di vista numero degli attacchi sia dal punto di vista dell'importanza dei siti attaccati. A tal proposito viene citato il caso di un noto quotidiano svizzero che è stato attaccato sfruttando una vulnerabilità non patchata della piattaforma open source di gestione della pubblicità online, con l'inserimento di una serie di redirect a server che, appunto, tentavano di installare malware sui PC dei visitatori.

Inoltre, nell'ambito della lotta a questo fenomeno, risulta molto valida l'iniziativa messa in campo da MELANI e SWITCH, il servizio svizzero di registrazione dei nomi di dominio. SWITCH, infatti, a partire dalla fine dello scorso anno, verifica le segnalazioni di siti Web che diffondono malware e contatta referenti e provider interessati, invitandoli a risolvere il problema. In caso di mancata reazione nel corso del primo giorno lavorativo dalla segnalazione, SWITCH blocca l’indirizzo Internet al sito in questione per un periodo massimo di cinque giorni feriali, informando della situazione anche MELANI. A questo punto, se il codice nocivo non viene rimosso, MELANI può chiedere la proroga di questa misura per ulteriori 30 giorni.
Nel rapporto viene evidenziato che questa procedura ha portato a un'innalzamento dell'attenzione verso queste problematiche e quindi ad una conseguente generale diminuzione dei tempi di bonifica dei siti.

Infine, nella sezione dedicata alla tendenze per il futuro, si trovano argomenti particolarmente interessanti, tra cui:
- un'analisi della sicurezza dei sistemi SCADA attraverso la complessa vicenda di Stuxnet
- un'analisi del fenomeno e delle motivazioni degli attacchi DDoS con un focus sulle tendenze in Svizzera ed a livello globale
- una analisi molto completa del quadro relativo alla sicurezza degli apparati mobili
- un cenno alla sicurezza nel mondo cloud
- un'analisi dei possibili rischi alla sicurezza legati ai grandi player multinazionali che giocano un ruolo di primo piano nello sviluppo e nell'indirizzo evolutivo della rete.

A proposito di quest'ultimo punto, viene scritto: "Sorgono quindi diverse domande in seguito alla nascita dei grandi giganti della rete: domande legate alla sicurezza dei dati e degli utenti ma anche domande legate alla trasformazione della morfologia di Internet, in mano sempre più a gruppi che producono miliardi di dollari e di cui si sa poco o niente."

Il rapporto MELANI si chiude così e mi sembra che, per stimolare qualche seria riflessione su questi temi, una conclusione migliore non si possa trovare.

Buona lettura a tutti.

sabato 16 aprile 2011

Best of the week - 16 Aprile 2011

It's Saturday morning so it's time for my listing of the best security articles of the week.

Enjoy it.

@AppSecInc: 5 Tips for Managing the Data Breach Risk http://bit.ly/dL0z2C

@InfosecIsland A Better Defense in Depth Implementation - As malicious actors proven time and time again, our current security... http://ow.ly/1cb0Nt

@sucuri_security Ask Sucuri: What is the most common type of malware out there? http://bit.ly/eXBf7S

@peterkruse Another nice gadget for the pentesters: Wi-Fi USB hardware keylogger released, http://bit.ly/dM7ddh

@HDEE804 Brilliant Piece! RT @CiscoSecurity: SQL Injection attacks - how do they work? http://bit.ly/dXqUkV - Cisco technical paper

@mikkohypponen Reuters Special report: In cyberspy vs. cyberspy, China has the edge: http://reut.rs/dKzuaa

giovedì 14 aprile 2011

Coreflood: un passo avanti nella lotta alle botnet

Oggi è giunta una bella notizia per tutti quelli che si occupano di sicurezza. 

Dopo una lunga serie di notizie di attacchi, finalmente una novità che può tirarci un po' su il morale. 

Il Dipartimento di Giustizia americano e l'FBI hanno fatto sapere che hanno portato a termine un altro takedown di una botnet. La botnet in questione è Coreflood, una vecchia conoscenza in giro ormai da diversi anni e che dal 2002 ha infettato oltre 2 milioni di PC.

La particolarità di questa notizia però è nel metodo che è stato utilizzato per effettuare questo takedown. 

Per la prima volta, infatti, i procuratori federali degli Stati Uniti hanno ottenuto un ordine dal tribunale che ha consentito loro di realizzare un'infrastruttura di Comando e Controllo che si è sostituita a quella che serviva ai cattivi per governare la botnet. Il risultato è che i bot, i PC infetti di Coreflood, hanno cominciato a prendere ordini dalle macchine sotto il controllo dell'FBI. In questo modo è stato impartito un comando di "stop" di tutte le attività malevole. Inoltre, questa struttura di C&C "benevola" ha cominciato a registrare gli indirizzi IP di tutte le machine infette che l'hanno contattata ponendo quindi le basi per una futura bonifica generalizzata attraverso l'azione dei vari ISP.

Shawn Henry, Executive Assistant Director della sezione "Criminal, Cyber, Response and Service" dell'FBI ha dichiarato che: "Le botnet e i criminali informatici che le governano compromettono la sicurezza economica degli Stati Uniti e l'affidabilità dell'infrastruttura informativa nazionale. Queste azioni per mitigare la minaccia rappresentata dalla botnet Coreflood sono le prime del loro genere negli Stati Uniti e riflettono il nostro impegno ad essere creativi e proattivi al fine di rendere Internet più sicura".

Insomma, veramente un bel successo... se poi si riuscirà anche a capire chi c'è dietro a tutto questo (per questa botnet ci sono 13 denunce contro ignoti) e magari a metterne dentro qualcuno, si riuscirà finalmente a rompere quel senso di impunità che caratterizza tutte le attività malevole su Internet e quindi, forse, qualcuno comincerà a pensare che non ne vale la pena.

Speriamo, speriamo...

martedì 12 aprile 2011

Attacco a Barracuda Networks: la sicurezza nel mirino

Davvero un brutto periodo sul fronte degli attacchi a società che, a vario titolo, si occupano di sicurezza. Dopo RSA e Comodo, ora è il turno di Barracuda Networks che, per ironia della sorte, si occupa proprio della commercializzazione di apparati di protezione da attacchi a livello delle applicazioni Web.

Barracuda Networks è stata vittima di un attacco SQL injection sul ​​suo sito Web aziendale; questo attacco è stato poi finalizzato con il furto di dati personali relativi ai partner della società. 

Barracuda, in un post pubblicato stanotte, fa sapere che la compromissione sui dati si è limitata ai nomi e agli indirizzi email di partner e che nessuna informazione finanziaria è stata trafugata in quanto questi dati non sono memorizzati sui database compromessi. 

Dal punto di vista della dinamica di attacco, Barracuda ha reso noto che l'attacco si è svolto secondo queste modalità:
- il Web Application Firewall (di loro produzione) posto a protezione del sito Web aziendale è stato messo, per errore, in modalità di monitoraggio passivo
- lo stato di disattivazione è stato configurato per una sessione di manutenzione iniziata Venerdì sera (8 aprile 2011)
- gli attacchi sono iniziati Sabato notte, verso le 5:00 ora del Pacifico, attraverso uno script automatico
- dopo circa due ore di tentativi, è stata scoperta una vulnerabilità SQL injection in uno script PHP
- il database SQL collegato all'applicazione conteneva nomi e gli indirizzi e-mail di contatti, partner di canale e alcuni dipendenti Barracuda Networks
- l'attacco si è concluso circa tre ore più tardi
- Barracuda è in possesso di tutti i log di attacco
- Barracuda è al lavoro per informare tutti coloro i cui indirizzi email sono stati rubati

Davvero un pessimo periodo!!

Al di là delle considerazioni che Barracuda ha tratto da questa vicenda (e che potete leggere nel loro post) mi sento di aggiungere che questo episodio dimostra quanto sia fondamentale impegnare le opportune risorse sulla sicurezza delle applicazioni Web. 

La mitigazione delle vulnerabilità attraverso strumenti terzi (il cosiddetto "virtual patching") è una pratica che pur portando a risultati immediati ed essendo in questo senso estremamente utile, non può e non deve essere vista come una alternativa alla bonifica del codice applicativo. Se si persegue questa via infatti, ci si trova esposti a rischi di difficile valutazione e si rischia di sottovalutare la situazione essendo preda di un falso senso di sicurezza creato appunto dalla presenza degli apparati di sicurezza.

Ben vengano quindi tutti i Web Application Firewall, a patto che siano uno strumento sinergico e non alternativo ai piani di securizzazione delle applicazioni Web.

Come diceva Bruce Schneier ormai tanti anni fa: "La sicurezza è un processo, non un prodotto".

sabato 9 aprile 2011

Best of the Week - 9 Aprile 2011

Saturday morning is arrived so it's time to give you my selection of the best security articles of the week.

Here's my listing. Enjoy it.

Greetings, Matteo

@SCADAhacker Ralph Langner on Cracking Stuxnet - http://bit.ly/f6sZse

@peterkruse Gangsterware presentation,http://bit.ly/igFCBy (nice intro to crimekit investigations)

@danchodanchev Going through the Secunia Security Factsheets for Q1 2011 - http://bit.ly/hCximj

@TheNextWeb Toyota begins advertising on Cydia, targets members of jailbreak scene http://tnw.co/fSRHSt

@briankrebs Update to the Epsilon breach story: Epsilon Breach Raises Specter of Spear Phishing (includes updated victim list) http://bit.ly/gPXm2D

@DCITA Insider Attacks: Identify the Anomaly http://goo.gl/ZJStH

@mikkohypponen Russia’s Federal Security Service is pushing for banning Skype, Gmail and Hotmail in Russia http://bit.ly/ifBxoO hat tip to @petterijarvinen

giovedì 7 aprile 2011

Cyber Crime Conference a Roma

Ieri si è tenuta la prima Cyber Crime Conference organizzata a Roma. Devo dire che è stato proprio un bell'evento. Un successo di pubblico e molti oratori che hanno portato punti di vista interessanti e diversi su questo fenomeno così attuale.

Gli organizzatori mi hanno chiesto di fare l'intervento di apertura e di moderare la sessione mattutina, per cui ho avuto modo di apprezzare appieno tutti gli interventi e di notare come la sala sia rimasta stracolma fino alla fine della (lunghissima e avvincente) presentazione di Raoul Chiesa.

Ma veniamo ai contenuti... 23 presentazioni sono davvero troppe per essere riassunte e citate correttamente, mi limiterò quindi a parlare solo di alcuni aspetti che mi hanno colpito di più. Spero di non urtare le sensibilità di nessuno ;-))

Fabrizio Monaco di Stonesoft ha parlato di tecniche di evasione evoluta e ha messo in evidenza come alcune tecniche che erano conosciute da anni, se opportunamente combinate e ingegnerizzate, possono diventare un problema che affligge, in vario modo e con impatti diversi, tutte le attuali piattaforme di mercato. Stonesoft ha realizzato un portale per trattare della tematica e cercare di creare una community su questo tema.

Isabella Corradini, in un interessante intervento, ha trattato delle dinamiche psicologiche e della vittimizzazione nel furto di identità. Isabella ha messo in evidenza come in Italia non ci sia una piena consapevolezza su questi temi e come uno dei fattori che contribuiscono maggiormente alla creazione dei presupposti per il furto di identità sia proprio la sottostima del rischio. 

Alessio Pennasilico, brillante come sempre, ha raccontato delle problematiche di sicurezza sui sistemi SCADA. Con una avvincente e preoccupante carrellata di incidenti ad impianti industriali o energetici occorsi negli ultimi anni, ha illustrato i motivi per i quali è arrivato il momento di affrontare questi temi con maggiore energia e determinazione.

La sessione mattutina si è conclusa sull'intervento di Idan Aharoni, leader del Fraud Intelligence Team di RSA che ha mostrato le dinamiche del cosiddetto black market, ovverosia delle modalità messe in piedi dai vari gruppi criminali mondiali per riuscire a monetizzare i loro traffici illeciti. Idan ha mostrato una serie di immagini tratte da forum in cui si comprano e vendono enormi quantità di carte di credito e ha dato modo di far "toccare con mano" questo mondo in cui si muovono incredibili quantità di denaro illecito.

Per le sessioni pomeridiane voglio segnalare gli interventi di Jelle Niemantsverdriet che si occupa di Forensic and Investigative Response per Verizon e (non potrebbe mancare) Raoul Chiesa.

Jelle ha parlato del Data Breach Report 2011 che Verizon sta per rilasciare a breve (siamo già d'accordo che appena sarà disponibile mi avvisano così scriverò un post dedicato). Questo report si annuncia molto interessante, infatti Verizon, dopo aver coinvolto lo US Secret Service, è riuscita a portare a bordo anche la High Tech Crime Unit della polizia olandese che è un team di grandissime professionalità che si è occupato di grandi operazioni internazionali come il takedown di Rustock e di Bredolab. Tra i dati che Jelle ha anticipato, mi sembra molto interessante quello relativo ai tempi necessari per portare a termine l'esfiltrazione dei dati oggetto del Data Breach. La loro analisi ha evidenziato che, in quasi la metà dei casi segnalati, sono stati necessari giorni se non addirittura settimane ai criminali per riuscire a portare fuori i dati. Questo dato mostra come effettivamente, si dovrebbe lavorare molto sulle capacità di "detection" che dovrebbero essere assolutamente potenziate e rese maggiormente efficaci.

Infine Raoul, ha parlato per un'ora e quaranta, partendo alle 5 del pomeriggio, riuscendo a tenere la sala piena di persone. Un'impresa che può riuscire solo a lui! Ha spaziato su talmente tante informazioni che è quasi impossibile provare a dare qualche indicazione. Si è parlato di Hackers Profiling Project e poi di RBN, di IMU, di Chao, di Redeye e i molti altri "signori" del Cyber Crime. Ce ne è stato davvero per tutti i gusti.

Per chiudere voglio segnalare che Cyber Crime è anche una rivista nel cui primo numero ci sono gli articoli tratti dagli interventi della giornata.

sabato 2 aprile 2011

Best of the Week - 2 Aprile 2011

Here we are, another listing of my favorite security articles of the week.

I hope you enjoy this selection.

@markrussinovich Difference between nation state cyber warefare and cyber terrorism CSO: What a Cyberwar with China Might Look Like: http://bit.ly/hJmvhN

@helpnetsecurity Cybercriminals and their favorite baits - http://bit.ly/h8zvE2

@Shadowserver Interview with the Comodo Hacker: http://bit.ly/hpy7Bx

@BarrettLyon Amazon Cloud Drive, great.. except you give them access and rights to all your files (also why I do not use gmail) - http://blyon.com/?93f

@sinergi How Much Money Do Spammers Rake In? A team of computer scientists hijacked a botnet to find out. http://bit.ly/eUhu5T

@santosomar Cisco CSIRT on Advanced Persistent Threat http://t.co/Sueqd3L
http://www.wikio.it