domenica 29 maggio 2011

Best of the week - 29 maggio 2011


Hi all, that's my listing of the Best Security resources of this week.

Enjoy it!

@SophosLabs: Free tech paper: What is Zeus? Notorious malware under the microscope http://bit.ly/lpyj4l

@CloudSOC: Cyber war on hearts and minds - http://cloudsoc.net/1X

@ChetWisniewski: Apple continues policy of refusing to help infected customers, ZDNet estimates 60,000 or more http://bit.ly/kHeW2P

@TrendLabs: The objectives of highly targeted attacks can range from financial theft to corporate espionage http://bit.ly/mPNaGc

@Cenzic: Bank of America breach - a big, scary story http://fb.me/YNvPfmS6

@suffert Hardening OS X Using The NSA Guidelines http://flpbd.it/XghR

@InfosecurityMag: New England works to coordinate government-industry response to cyber attacks http://bit.ly/j4kZuG

giovedì 26 maggio 2011

Un nuovo "scam" per YouTube

I cattivi hanno una fantasia davvero sconfinata. Ecco uno scam che fa leva su una serie di pulsioni molto forti dell'animo umano: la curiosità e la vanità. Da una breve ricerca su google sembra che questo scam sia relativamente nuovo e in rapida espansione in Europa. Sul forum di YouTube è stata segnalato, con alcune varianti minori nel testo, dal 24 maggio.


Io ricevuto questa mail pochi minuti fa e devo dire che è molto ben realizzata nella sua semplicità. La mail fa leva su due umanissimi sentimenti per indurre l'utente a cliccare sulla URL proposta. Infatti, la tentazione di cliccare sul link è forte di fronte alla frase "Your video on the TOP of YouTube". 

Moltissime persone hanno un canale su YouTube e la prima pulsione che si avverte è legata alla curiosità:
- ma davvero un mio video ha avuto successo?
- e che video è?

Clic. Fregati.

La seconda pulsione è invece legata alla vanità:
- lo sapevo che prima o poi ci sarei riuscito...
- in effetti quel video che ho postato l'altro giorno era proprio fico...

Clic. Fregati.

Purtroppo l'appuntamento con i propri 15 minuti di notorietà deve essere rimandato, il reale link che era presente nella mia mail rimanda al solito sito che propone Viagra e affini. Se non serve anche malware vario. L'URL a cui era collegata la mia mail era ospitata sul sito di un provider asiatico, quotato in borsa... magari la sistemano velocemente.

Insomma, quando le cose sono troppo belle per essere vere, in genere, vuol dire che sono false!

Raccomandazioni finali:
Non cliccate su link che vi arrivano per posta, fermatevi a riflettere e, se siete ancora in dubbio, non fidatevi del link proposto, andate sul sito dichiarato (digitando la URL con le vostre manine) e verificate l'informazione.

mercoledì 25 maggio 2011

Quando la cyberwar incontra la cybersecurity

La notizia è di quelle grosse davvero (grazie dalybab per la segnalazione ;-)) ), il sito ufficiale della US Air Force ha annunciato che il Dipartimento della Difesa inizierà a condividere le proprie informazioni, capacità e competenze con l'Homeland Security Department.

Ebbene si, militari e civili americani hanno avviato una stretta collaborazione sui temi di cybersecurity. 

Di più, Robert J. Butler, vice assistente segretario alla Difesa per la cyber policy, nel corso di un'audizione con un gruppo di senatori americani ha dichiarato che il Dipartimento della Difesa (DOD) oltre a curare la sicurezza del proprio dominio .mil, collaborerà strettamente con i Department of Homeland Security (DHS) e della Giustizia (DOJ), per assicurare migliori livelli di sicurezza per il resto del cyberspace americano. Il contesto di questa dichiarazione vede un ragionamento che parte dalla constatazione della dipendenza estrema, anche della componente militare, dalle infrastrutture che si basano sull'uso dell'ICT. Tra queste Butler segnala la rete elettrica, le telecomunicazioni e i trasporti. Il ragionamento prosegue poi con la constatazione che gli attacchi informatici sono diventati così pervasivi da creare "una reale possibilità di un attacco su larga scala su una qualsiasi delle infrastrutture critiche del nostro paese", quindi "questo stato di cose non è più accettabile - non quando c'è così tanto in gioco," "We can, and we will, do better." ha concluso Butler.

Una vera e propria dichiarazione di guerra. 

Sullo stesso piano si è espressa anche la controparte chiamata direttamente in causa, infatti, Philip Reitinger, del DHS sembrerebbe indicare che l'esercito potrebbe proprio avere un ruolo di guida nella difesa della sfera civile del  cyberspace americano, ha infatti dichiarato "DOD has unparalleled technical expertise and cyber expertise."

Questa notizia fa cambiare il punto di vista alle molte iniziative americane sul tema della cyber security, lo USCyberCom, ad esempio, la super struttura comandata dal Generale Alexander già a capo della NSA, assume tutt'altro spessore e significato. Anche le dichiarazioni dello stesso Alexander durante le audizioni al Senato precedenti alla sua nomina sono state completamente superate. Bisogna ricordare che proprio per una serie di perplessità dei senatori sul ruolo dei militari in questo campo, ad aprile 2010, vennero proposte delle domande scritte a cui il Generale dovette rispondere per iscritto. 

Subito dopo avere avuto queste risposte un Senatore ha posto il Generale di fronte a tre possibili scenari, uno di questi era...

Scenario 3 del Senatore Carl Levin:
"Supponiamo di essere in  tempo di pace. Improvvisamente siamo colpiti da un grande attacco cyber diretto contro i computer che gestiscono la distribuzione di energia elettrica negli Stati Uniti. Gli attacchi però sembrano provenire da computer al di fuori degli Stati Uniti, ma vengono instradati attraverso PC che appartengono a cittadini americani e che si trovano nel territorio degli Stati Uniti. Quale sarebbe la risposta della unità CYBERCOM a questa situazione e con quale autorità procederebbe? "
Risposta del Generale Alexander: La risposta da mettere in campo sarebbe di competenza e responsabilità del Department of Homeland Security (DHS) e dell'FBI". 

Adesso si dovrà capire meglio quale possa essere la reale portata di quest'annuncio e le reali iniziative di collaborazione che saranno messe in campo tra i vari Dipartimenti. Di certo questa è una notizia in grado di cambiare il corso degli eventi. L'entrata in gioco dei militari cambia radicalmente lo scenario. La militarizzazione della sicurezza è un passo che deve essere fatto solo qualora si siano valutate in maniera approfondita tutte le le implicazioni che si produrranno a cascata. 

Adesso è ancora presto per trarre delle valutazioni definitive e queste dichiarazioni non sono ancora sufficienti per capire.

domenica 22 maggio 2011

Data Breach Notification: la proposta americana

Qualche giorno fa l'amministrazione Obama ha proposto una regolamentazione delle iniziative che devono essere messe in campo dagli enti (privati e non) che subiscono un "Data breach", ossia un incidente di sicurezza che ha comportato la perdita o il furto di dati personali. Questa proposta ha suscitato alcune perplessità e, in generale, non é stata vista con favore da alcuni analisti.

Le maggiori critiche che sono state rivolte a questa proposta sono legate a una generale vaghezza che non aiuta a contestualizzare i termini e le prescrizioni ed ad alcuni punti poco convincenti tra cui:

- il tetto massimo ai risarcimenti é stato fissato nella modesta cifra di 1 milione di dollari (assolutamente ridolo per alcuni "Data Breach" che, come nel caso di Epsilon, possono contare milioni di dati rubati)
- gli indirizzi email non sono direttamente inclusi tra i dati tutelati da questa norma (ed anche in questo caso il data breach di Epsilon sarebbe escluso dall'applicazione di questa norma)
- i tempi previsti per la notificazione del Data Breach alla Federal Trade Commission e agli utenti sono fissati in 60 giorni che possono diventare 90 su richiesta dell'ente che ha subito il Data Breach (tempi decisamente lunghi che possono in alcuni casi rendere totalmente inutile la notifica agli interessati. L'Europa, ad esempio, sta pensando di attestarsi su un termine misurabile in alcuni giorni)
- l'utilizzo della cifratura sui dati rubati rende nullo il rischio e quindi implica la non applicabilità delle norme di garanzia (certamente è una posizione un po' forte che rende molto modesto l'impatto di questa proposta soprattutto in assenza di una norma molto chiara).

Questa situazione mi fa scattare alcune riflessioni legate al nostro paese.

Germania, Spagna, Inghilterra e Irlanda hanno già una legislazione che impone la notifica di eventi di Data Breach, l'Unione Europea ha già disposto che un norma di questa genere sia quanto prima introdotta nell'ambito della revisione della legislazione sulla privacy, ENISA a gennaio di quest'anno ha prodotto un bel report su questo argomento. 

Insomma ci sono le condizioni ideali per avviare una riflessione seria sul da farsi. 

Il Garante italiano è, da sempre, un soggetto molto attivo che ha proposto diverse norme a tutela dei dati personali, su questo argomento dovrebbe fare un'azione molto forte perché anche nel nostro paese venga approvata una norma di questo tipo. Possibilmente migliore di quella americana ed in linea con le prescrizioni europee. 

Ce ne sarebbero davvero tutte le ragioni, e poi, con il cloud che avanza, questo tipo di norme sono uno dei necessari complementi per la effettiva fruizione dei servizi di trattamento di personali con relativa fiducia.

In conclusione, la norma americana sicuramente presenta delle lacune ed è migliorabile sotto molti aspetti ma dal nostro punto di vista è sicuramente una fonte di ispirazione che dovrebbe essere colta.

Best of the week - 22 maggio 2011

Here is my new listing of the best security resources of the week.

Hope you enjoy it.

@cyberwar Obama pushes cybersecurity plan. http://bit.ly/jyO78l

@2gg Studying Spamming #Botnets Using Botlab (John P. John & Alexander Moshchuk & Steven D. Gribble..., 2009) http://bit.ly/lUpRYJ

@briankrebs Something old is new again: Mac RATs, CrimePacks, Sunspots and Zeus leaks http://bit.ly/jv06Uc

@InfoSecPinoy Role of Hacking in Stealing and Selling Credit Cards! http://zite.to/izJPV9

@InfosecurityMag Cybercrime Knows No Borders http://bit.ly/iMpMWa

@SophosLabs Free tech paper: What is Zeus? Notorious malware under the microscope http://bit.ly/lpyj4l

giovedì 19 maggio 2011

Idan Aharoni - The woes of the extended organization

Today I'm honored to leave the floor to a blogger star: Idan Aharoni.

Idan, in fact, is one of the authors of the official RSA Blog and also writes for "SecurityWeek" online magazine. Despite his success in this field, blogging isn't his main activity; Idan is Head of Cyber Intelligence at RSA, a position from which he can explore the world of digital underground, understand the security trends and discover new threats.

So I'm very pleased to host his post. Thank you very much Idan! 

-----------------------------------------------------------------------------------------------
In this modern world where information is one of the most, if not the most important assets an organization can have, CISOs are tasked with preventing attackers from coming into their networks and stealing sensitive data. In order to do that, they arm themselves with an assortment of security tools, products and services used to secure these networks, protect information and mitigate the various threats to it. However, while these solutions grow more sophisticated, so do the challenges of the modern world CISOs face.

In a time when organizations’ infrastructure soars to the clouds and many customer-facing tasks are outsourced to third party companies in developing countries, the boundaries of organizations become blurry. Add to these recent trends the fact that organizations never worked in a vacuum - having strategic partners, suppliers, vendors, consultants and customers, each potentially having in their possession sensitive information of the organization and you get the feeling that the task of protecting an organization’s data is quite daunting. How can you protect an organization’s information when so much of it is outside of the network?

The recent Epsilon breach is a great example of such a case, where millions of e-mail addresses and names of consumers fell into the wrong hands. Epsilon, an e-mail campaign vendor, stored this information for multiple leading companies, who contracted the company to manage e-mail campaigns on their behalf. TiVo, Verizon, Victoria’s Secret and Best Buy are just a few of the companies that were affected. Their own networks may be quite secure, but once the data has been provided to a third party vendor, it has left to an area of the extended organization out of the CISOs’ control. In the Epsilon breach, the information was e-mail addresses and names. In many cases, much more sensitive information leaves the organizational network, such as customers’ credit card information, manufacturing plans, strategic planning documents and more. And with cybercriminals’ ever-growing tenacity in gaining access into highly secure networks, a review of a third party’s infrastructure before establishing working relationship may be inadequate to ensure the safety of the data.

Information doesn’t only leak from an attacker gaining access to an organization’s system. Malware, a relatively recent tool in the cybercriminal arsenal of obtaining highly sensitive information, is also a potential threat. We’ve encountered multiple cases at RSA in which sensitive e-mail correspondence of customers has leaked out – not because their own machines were infected by malware, but instead it was the machines of third parties they corresponded with. The employees of these third parties, which were customers or suppliers, wrote back. The Trojan horse, capturing every form filled on the machine, including e-mails, captured the correspondence and sent the information to the criminal’s drop server. Considering that the sensitive data was important for the normal course of business and that some of these third parties were half a world away, it was impossible for the CISOs of the affected organizations to prevent the data from leaking.

There are even more threats to an organization’s information when it comes to the extended organization. Without the ability to review and control policies of third parties, there’s a chance some of the data will leak out accidentally. In a presentation by Keith Tagliaferri, Director of Operation at Tiversa, a Pennsylvania-based information security company which monitors Peer-to-Peer (P2P) networks, he showed multiple censored examples of sensitive documents leaked from government agencies and large private enterprise which the company was able to recover. According to Tagliaferri, none of these documents have leaked from the actual agencies, but from vendors working for them. The documents leak to the P2P networks when the employees of such companies install P2P clients on their office or home machines and accidentally share their entire hard drive (which happens more often than you may think).

If sensitive information flows in and out of organizations to many destinations, how can they mitigate the multiple threats which target their data outside their sphere of control?

Only a few CISOs have the luxury of actually reviewing the infrastructure of the third parties they work with, and even that is far from a security guarantee. One arrow in the CISO’s quiver is threat intelligence – security services that provide intelligence across multiple organizations. Unlike security products designed to secure a specific network, these services monitor certain areas of the internet where sensitive information leaks out to, regardless of the source. In such a way, they’re able to recover leaked information of organizations even if they leak out of third parties. Such threat intelligence services may analyze credentials stolen by malware, searching for e-mail correspondences with customer organizations, regardless from which machine these correspondences were stolen from. Other services may provide open source intelligence, P2P monitoring and more.

As organizations lower their borders and move to the cloud, outsourcing and opening up to third parties, their data traverses to areas outside of their control. In such a modern world, it is no longer enough to just keep track of what’s happening in your own backyard – but in your friend’s and neighbor’s backyards as well.
---------------------------------------------------------------------------------------------
 Idan Aharoni is the Head of the Cyber Intelligence at RSA where he is responsible for gathering, analyzing and reporting intelligence findings on cybercrime and fraud activity.

Mr. Aharoni contributes articles to RSA’s Speaking of Security blog, as well as Security Week, and participates in international law enforcement task forces focused on online fraud investigations. He maintains direct relationships with leading Cybercrime law enforcement agencies worldwide.

Mr. Aharoni joined Cyota (later acquired by RSA) in February 2005 as an analyst at the Anti-Fraud Command Center. During his service, he founded the FraudAction Intelligence team, which he leads today. Through years of individual intelligence gathering, as well as analyzing intelligence findings made by his team, Idan developed a unique insight on the fraud community, mindset and methods of operation.
Follow Idan on Twitter: http://twitter.com/IdanAharoni

domenica 15 maggio 2011

Best of the Week - 15 maggio 2011

I'm writing my listing of the best security resources of the week on Sunday because yesterday I was on vacation.

I hope you enjoy it.

@fpietrosanti Man in The Middle Interception Proxy with SSL interception & on-the-fly certificate generation mitmproxy.org

@revskills Open Source code for Windows Forensic Analysis and Incident Response http://bit.ly/gwx1Mu

@navarrotells Questions from the TV show, "Lie to Me" | Psychology Today http://www.psychologytoday.com/blog/spycatcher/201104/questions-the-tv-show-lie-me

@lennyzeltser: 6 free tools for analyzing malicious PDF files: http://goo.gl/uDZ5I

@radware According to new survey, 92% of IT pros are using #cloud in the business and the main concern is security http://zd.net/je4ZZw

@CoreSecurity Mac Malware Becoming a Serious Threat | Darknet http://ht.ly/4TZCl

sabato 7 maggio 2011

Best of the Week - 7 Maggio 2011

Here is my new list of the my favorite security articles of the past week.

Enjoy it


@HostExploit: Exfiltration: How Hackers Get the Data Out -http://jart.me/mDYvia

@danchodanchev: Posted on @ZDNet - Commtouch: 71 percent increase in new zombies - http://zd.net/llntC3

@briankrebs: "Weyland-Yutani" crimeware kit targets Mac OS X systems for bots. I talk to the developer and feature a video http://bit.ly/lOSJy0
&
Advanced Persistent Tweets (APT): Zero-Day in 140 Characters ". The first in a series I'm writing on APT and RSA Advanced Persistent Tweets (APT): Zero-Day in 140 Characters ". The first in a series I'm writing on APT and RSA http://bit.ly/mxyjaa

@teamcymru: our latest paper:"A Criminal Perspective on Exploit Packs":installation, usage of 40 BEP's http://bit.ly/lyxGLm

@threatpost: Report: RSA Hack Part Of Larger Operation http://bit.ly/lqhSu6

and at the end... my favorite one... @ChronicAndroid: Breaking: due to inflation, a picture is now worth 2327 words

giovedì 5 maggio 2011

Un consiglio di lettura: Zero Day

Oggi ho deciso di scrivere qualcosa di leggermente diverso dal solito. 

Oggi scriverò di un bel libro che ho letto in questi giorni: Zero Day di Mark Russinovich.

Mark Russinovich, per chi non lo conoscesse, attualmente lavora in Microsoft e si occupa di Windows Azure come Technical Fellow (la posizione tecnica con la seniority più elevata), inoltre è il papà di Sysinternal, uno strumento di diagnostica e amministrazione per sistemi Windows. Un supertecnico insomma. Quindi, penserete voi, Zero Day sarà un libro tecnicissimo sulle vulnerabilità del kernel di Windows... sbagliato è un romanzo! Anzi, un bel romanzo.

E già, evidentemente Mark Russinovich aveva voglia di sperimentare qualcosa di nuovo. 

Ma perché parlare di Zero Day su Punto 1? 

Beh, perché questo libro nasce dall'esigenza di far capire anche alle persone non tecniche quali sono i rischi che stiamo correndo in questo momento storico. L'escamotage è quindi quello di passare attraverso una storia, assolutamente plausibile dal punto di vista tecnico, che faccia confrontare il lettore con uno scenario che potrebbe verificarsi realmente.

L'inizio del libro riporta una serie di casi di gravi malfunzionamenti di computer in varie situazioni, da un aereo di linea ad una fabbrica di auto a... insomma tante situazioni a cui raramente si pensa quando si pensa al malware. Il protagonista del libro, attraverso varie peripezie, riesce a capire che tutti questi episodi sono legati e che una minaccia informatica incombe sul mondo intero; lotta così con tutte le sue forze e le sue risorse per riuscire a impedire che questa catastrofe possa realizzarsi. La trama, come vedete, non è proprio originalissima, ma la forza di questo libro è diversa. A differenza dei vari 007 o di altri eroi che lottano per salvare il mondo, qui la storia è realistica e Mark Russinovich è pienamente riuscito nell'intento di far percepire un senso di inquietudine per la vulnerabilità del nostro mondo e del nostro stile di vita.

Ho poi personalmente trovato un passo molto significativo. Non posso entrare più di tanto nel racconto per non rovinarvi la lettura ma mi sono ritrovato moltissimo nella descrizione del senso di impotenza che sente il protagonista quando non viene creduto. Penso che questo senso di impotenza sia un sentimento che, con diverse intensità, molti di noi che lavorano nella sicurezza hanno provato. Mark Russinovich prova anche a dare un risposta a questa impotenza ed è una risposta che mi è piaciuta molto. La risposta è: se ne vale la pena non ti sedere ad aspettare che qualcuno creda a ciò che hai scoperto... datti da fare!

Voglio chiudere questo post con una citazione dalla prefazione: "The strength of the Internet and Internet technologies is that we are so connected. However, this strength is also a weakness - these systems are vulnerable to attack from anywhere by anyone, and with little capital investement." La prefazione è di Howard Smith, White House Cyber Security Coordinator, e a leggerla così, mi spaventa un po', e a voi?.

Buona lettura a tutti!

Best of the Week - 30 Aprile 2011

This is my listing of the best security resources of the past week.

Enjoy it

@hackernewsbot Amazon’s problem isn’t the outage, it’s the communication  http://bit.ly/fFe2p0

@tsudo Google Account Security Best Practices [Security] http://pulsene.ws/1obnD

@peterkruse: Its running now. "ExploitHub is the first legitimate marketplace for validated non-zero-day exploits", http://www.exploithub.com/

@publicintel: Swiss Authorities Investigate Money Laundering Linked to Russian Tax Fraud Scheme http://bit.ly/fIjWJm

@EliLake: Here is a story I wrote on the snoop malware industry http://bit.ly/gjME0c it regards #Egypt and the Gamma Intl Corp.

@teamcymru: researcher Dillon Beresford claims China's domestic #cybersecurity laughable, interview http://bit.ly/kuTzqZ

@CiscoSecurity: NSTIC and Identify Intermediaries http://bit.ly/iNN3P4
http://www.wikio.it