giovedì 30 giugno 2011

MUMBLE - Le cloud incontrano il Cybercrime

Ho scritto questo articolo quanche tempo fa e ora posso finalmente renderlo pubblico anche su Punto 1 poichè è stato pubblicato nella seconda uscita della rivista CyberCrime magazine.

----------------------------------------------
Le Cloud sono il futuro dell’ICT e stano aprendo nuovi scenari e nuove opportunità di crescita in tutto il mondo. Negli Stati Uniti, ad esempio, Vivek Kundra, Chief Information Officer (CIO) dell'amministrazione pubblica statunitense, ha prodotto la “Federal Cloud Strategy” in cui, tra le altre cose, viene ribadito che le nuove iniziative IT federali dovranno prendere in esame le soluzioni cloud based in via prioritaria rispetto ad ogni altra opzione.

In questo contesto così florido e ricco di investimenti, i criminali non stanno certo a guardare e hanno cominciato a sviluppare le proprie strategie su questo specifico tema. Al momento stiamo assistendo ad un inizio di interesse da parte dei cyber criminali verso le grandi cloud pubbliche secondo tre direttrici principali:
• come bersagli di valore
• come fonte di nuovi strumenti
• come modelli di business da emulare

Prendendo in esame il caso in cui le cloud fungono da bersaglio dei cyber criminali è facile capire che, data la natura di grandi accentratori di dati provenienti da molti clienti diversi, le cloud sono percepite come uno dei bersagli più appetibili per attacchi di tipo “massivo” che puntano al furto o alla compromissione di grandi quantità di dati. Inoltre, le cloud pubbliche presentano caratteristiche infrastrutturali per le quali una singola vulnerabilità o un singolo errore di configurazione possono comportare una grande superficie d’attacco. I cyber criminali hanno poi l’invidiabile possibilità di ripetere un identico attacco sui molti clienti di una stessa cloud.

Infine, i cyber criminali sono attratti dalle cloud poiché i rischi connessi con questo tipo di attacchi sono attualmente molto bassi, in quanto:

1. le indagini delle forze dell’ordine sono tecnicamente molto complesse
2. la natura transnazionale delle cloud pubbliche complica ulteriormente la scena del crimine
3. in caso di giudizio non ci sono ancora precedenti consolidati sulla presentazione delle prove a carico

Tutto ciò contribuisce alla creazione di un substrato particolarmente favorevole all’azione dei criminali che inizia a dare qualche preoccupazione al mercato, come peraltro dimostrato da alcuni recenti casi di cronaca quali, ad esempio, il “data breach” di Epsilon, un fornitore cloud di servizi marketing per grandi marchi dell’industria mondiale. In questo caso, infatti, milioni di indirizzi email, nomi ed altre informazioni di valore sono direttamente passati dal cloud provider alle poco raccomandabili mani dei criminali.

Passando poi al caso in cui le cloud fungono da strumento per realizzare crimini, la riflessione può partire dalla considerazione che una comune modalità di misura della robustezza di molti meccanismi di sicurezza è data dal tempo necessario per comprometterne il corretto funzionamento con i normali strumenti messi a disposizione dal mercato. Molti meccanismi di sicurezza sono dunque considerati sufficientemente robusti perché garantiscono di resistere a tentativi di compromissione per un tempo considerato adeguato.

Il cloud computing sta mettendo seriamente in discussione questo approccio poiché, con estrema facilità e velocità, i criminali hanno la possibilità di rendere operative infrastrutture ICT capaci di grandi performance computazionali. Da notare, inoltre, che queste infrastrutture possono essere dismesse con altrettanta semplicità complicando quindi la successiva attività investigativa.

A dimostrazione delle reali potenzialità di questo tipo di approccio può essere preso in esame un sito che offre a “penetration tester and network auditors” la possibilità di sfruttare un servizio cloud per l’ottimizzazione della procedura di individuazione delle password di reti WiFi protette con algoritmo WPA.

Come si può leggere nel testo proposto nella home page del sito, il tempo di calcolo richiesto per questa operazione passa da circa 5 giorni a 20 minuti ad un costo di soli 17 dollari.

Infine, come precedentemente anticipato, l’ultimo punto riguarda invece l’aspetto emulativo del cyber crime verso l’approccio cloud. E’ sempre più evidente che i criminali si stanno organizzando per commercializzare i loro “business” in modalità “as a Service”. Exploit pack, spam, attacchi DDoS, phishing, frodi bancarie e quant’altro sia nella mente dei cyber criminali viene messo sul mercato sotto forma di servizi.

Si stanno quindi formando gruppi specializzati nell’erogazione di servizi malevoli ad altri gruppi criminali che quindi usufruiscono degli stessi benefici di economicità e flessibilità riservati ai normali utenti delle cloud. A questo proposito è interessante notare che le botnet, le reti di computer infetti che vengono controllati remotamente da criminali, stanno diventando delle vere e proprie cloud pubbliche in grado di erogare varie tipologie di servizi.

Insomma, dopo IaaS, PaaS e SaaS si sta consolidando anche il MaaS, il Malware as a Service.

E’ necessario quindi affrontare ed indirizzare il rapporto tra cloud computing e cyber crime con decisione, prima che le cloud siano utilizzate a livello globale nell’erogazione di servizi essenziali. Tra le varie indicazioni che possono essere date c’è la predisposizione di seri standard di sicurezza collegati a schemi di certificazione ufficialmente riconosciuti. Questi standard, tenendo conto delle peculiarità delle cloud, contribuiranno a limitare gli “effetti collaterali” della natura condivisa di questi ambienti. Inoltre dovrà essere fatto un grande sforzo a livello di standardizzazione delle procedure e degli strumenti di “forensic” nel mondo cloud in modo che le forze dell’ordine abbiano la possibilità di acquisire in modo efficiente, certo e affidabile le prove di quanto eventualmente accaduto. Infine dovranno essere elaborati dei codici di comportamento per i provider di servizi in modo che gli utilizzi consentiti per le cloud siano strettamente limitati e sottoposti ad adeguati controlli.

----------------------------------------------------------------------------------------------
Un piccolo aggiornamento che risale a qualche giorno dopo l'invio di questo articolo alla rivista. Kaspersky ha messo in evidenza un caso in cui l'infrastruttura di Amazon è stata utilizzata per servire malware agli utenti... la giostra è cominciata!!

martedì 28 giugno 2011

Olli-Pekka Niemi - Dealing with evasions

It's time for a new contribution to "Voci Amiche" section of the blog and I'm very happy to introduce Olli-Pekka Niemi, an expert on a very hot topic: the Advanced Evasion Techniques (AETs).

I met Olli during a workshop organized by Stonesoft and I admired his ability to explain hard concepts in a simple way. He is brilliant and has an amazing knowledge of network security topics.

As Head of the Stonesoft Vulnerability Analysis Goup (VAG) he delved into multiple evasion methods to bypass the detection of Intrusion Prevention Systems and break into the remote system. So, at the moment, his knowledge of AETs is pretty unique and I'm very proud that the "Punto 1" readers can approach this "advanced" topic through his contribution.

Thank you very much Olli, I hope that we will have other occasions to collaborate, now the floor is yours...
---------------------------------------------------------------------------------------------
The role of a network security device such as IPS/NGFW/UTM is to analyze and  pass through data that is allowed according to Security Policies, while preventing threatening data such as remote exploits against vulnerable clients and servers. Exploits can apply multiple evasion methods to bypass the detection and protection capabilities of the network security device and break into the remote host.

What's evasion?

TCP/IP implementations will follow a general principle of robustness: Be conservative in what you do, be liberal in what you accept from others. There are always multiple ways to do things, i.e. to encode and transmit data. The multitude of data encoding and transmission possibilities provide ample opportunity for the malicious to discover and apply evasions. Simply put, an evasion is just a method of transmitting data in a way that is not expected or understood properly by the network security device.

This also means that many of the evasion methods that can be applied to hide malicious data like exploits are not actually threatening or malicious by themselves. Only the payload is. An evasion happens when the security device misclassifies the transmitted data as legitimate, even though it is in fact malicious. Evasions are not just some protocol anomalies or violations, or malicious data that can be dropped by the security device, but simply alternative ways of encoding data.

Evasion research, nothing new under the sun?

Evasions have been researched before. A lot. One of the first comprehensive description of evasions is a research paper "Insertion, Evasion, and Denial of  Service: Eluding Network Intrusion Detection" written by Ptacek and Newsham in January 1998. This paper is kind of the founding stone of evasions, and in fact most of evasions are somewhat based on the research done. In 1998, an article in the Phrack Magazine also describes ways to bypass network intrusion detection. In 1999 http related evasions were studied in "Whisker evasion tactics" by Rain Forest Puppy. Later on Handley and Paxson suggested evasion prevention via normalization in 2001, Gorton and Champion suggested combinations of evasions in 2004, and finally Moore and Caswell discussed MSPRC evasions at Black Hat 2006. 
At Stonesoft we have followed the research of evasions ever since we started our own security gateway development over a decade ago, and started our own research into the topic back in 2007. In the summer of 2010 we announced the concept of Advanced Evasions Techniques (AET). In our release we combined evasion techniques to form new evasions. However, AETs are not just a single release of evasion techniques, but a new paradigm, where Network Security Devices are systematically tested with all possible ways of transmitting data between hosts.

Why do evasions still work?

Why do evasions still work, after all these years? Some vendors are actually saying that they do not. But they are mistaken: while their products may offer protection against some specific evasions, the claim that all evasions are handled properly is simply untrue. The problem is that evasion are not a single concept or item or technique, but the general inability to correctly understand the data being transmitted and analyzed.

Evasions work because many of the network security devices are too much throughput oriented by design, sacrificing the security analysis capabilities for performance. The security devices are lacking proper understanding and analysis of the networking protocols. Evasions work because implementing middle box TCP/IP stack and protocol normalization is difficult. Anomaly based evasion preventions lead to false positives. Simple and throughput-wise effective packet based pattern matching will miss attacks deploying evasions. Proper TCP/IP reassembly that is invulnerable to TCP evasions requires a lot of memory. And finally, testing evasions is difficult. It requires tools, but most of the tools available contain only a few evasions. Network security devices tend to detect some of those evasions that are required for certifications or can be tested in publicly available tools but they often miss attacks that contain evasions that are not implemented in available testing tools.

Dealing with evasions

Properly dealing with evasions requires a thorough understanding of the network protocols. For example, some Network Security Devices could be fooled by splitting a TCP stream into small segments. Some vendors protect themselves against this by having their product block small segments. However, small segments are a perfectly legitimate feature of TCP, and they risk blocking legitimate traffic.

To deal with TCP segmentation properly requires understanding that TCP is essentially a method of transmitting a data stream, so it is the data stream that should be investigated, not individual segments.

To properly deal with evasions and inspect the traffic, the Network Security Device must understand it thoroughly.
There is no substitute for an in-depth understanding of the networking protocols used. That understanding must not be limited to proper usage of the protocols, but must encompass also the behavior of typical endpoint systems when subjected to improper protocol usage. That understanding must also be dynamic and adaptable. The Internet is in a never-ending change process. Even though there are things that at least seem static, there are continuous changes even in the basic building blocks of the Net. The pace of change requires a lot of flexibility and updatability from the network security devices. Network security devices cannot be static appliances but they must be updated regularly and effortlessly.
-----------------------------------------------------------------------------------------------
Bio

Olli-Pekka Niemi has been working in the area of Internet security since 1996. Since 2000, he has worked at Stonesoft’s R&D department, developing Stonesoft's StoneGate network security solutions. His main areas of responsibility include the analysis of network based attacks and attack methods as well as the research of new detection and analysis methods that could be implemented into StoneGate network security solutions. Mr. Niemi is also the Head of the Stonesoft Vulnerability Analysis Goup (VAG). Before joining Stonesoft Mr. Niemi worked at KPMG Information Risk Management, where he mainly focused on penetration testing and security audits. He has also worked as a system administrator at the Helsinki University of Technology.

domenica 26 giugno 2011

Best of the Week - 26 Giugno 2011

Here is my new listing of the best security resources of the week.

Enjoy it

@CcureIT Cyber police stymied by hackers http://dlvr.it/WwtVd

@secuobsrevueus Attack Simulation and Threat Analysis of Banking Malware-Based Attacks  http://bit.ly/k3IOtA

@nigroeneveld Turning The iPad Into A Weapon http://bit.ly/iCLOwS

@regsecurity Google Chrome extension detects dangerous websites http://bit.ly/m3irqb

@europeanprivacy USA Today article discussing U.S. consumers and the cloud: http://usat.ly/kDI21H http://fb.me/BHtfGi0p

@mikkohypponen So, why on earth do people write malware? Well, here's 74 million reasons why: http://1.usa.gov/lnKnCB

domenica 19 giugno 2011

Best of the Week - 19 Giugno 2011

After my coming back home from Brussels (I partecipated in the "First Digital Agenda Assembly" as you can read in my recent posts), I can publish the weekly listing of my favorite security resources.

Hope you enjoy it.


@zmcki001: Good article and video from @CiscoSecurity on Social Engineering. goo.gl/h8AZm

@nigroeneveld Swiss: Defence minister ponders cyber-security http://bit.ly/jgNRDF

@CertSG Happy to announce the release of our 8th IRM (Incident Response Methodology) http://bit.ly/mxb82p

@marcoriccardi Italian honeynet chapter report for 2010 just published http://lnkd.in/WgYc_M

@iseclaborg Blog posting on Botmagnifier for locating Spambots: iSecLab blog: http://wp.me/p17xdu-7B

@_x4o Syria Uses Cyber Warfare to Attack Pro-Democracy Supporters - FoxNews.com http://ow.ly/5gY4p

venerdì 17 giugno 2011

Digital Agenda Assembly - Day 2

Eccoci arrivati al secondo giorno della Digital Agenda Assembly. Come ieri la mattina è stata gestita con workshop paralleli e il pomeriggio con una sessione plenaria. Io ho partecipato, questa volta come semplice uditore, al workshop dal titolo "Towards a Cloud Computing strategy for Europe: Matching supply and demand". Nel seguito trovate alcuni messaggi estratti dagli interventi che mi hanno colpito maggiormente.

Pilar del Castillo Vera (MEP, Member of the Commitee on Industry, Research and Energy)
La riflessione politica inizia con la presa di coscienza che, al momento, il cloud è dominato dalle sole forze economiche del mercato e quindi deve essere valutato un riequilibrio che preveda anche il contributo della visione strategica della politica. La sicurezza pone i maggiori problemi per una generale adozione delle cloud. I clienti devono avere ampie assicurazioni che i loro dati siano gestiti in maniera sicura. La mancanza di standard e la mancanza di interoperabilità sono dei limiti sui quali si dovrà lavorare molto per superare gli attuali limiti. Nella visione proposta da del Castillo Vera, i governi e la commissione devono avere la possibilità di regolare il mercato nel campo della Data Protection allo scopo di rendere maggiormente competitivo il mercato e per creare le condizioni per le quali sia possibile accedere a questi servizi in maniera ampia e sicura.

Thomas Endres (Senior VP Corporate Information Management and CIO Deutsche Lufthansa AG)
Tutti i benefici delle cloud, che sono stati ormai ben disegnati, sono raggiungibili solo se i rischi e i relativi controlli sono stati preventivamente e adeguatamente valutati. Solo poche grandi società europee sfruttano servizi cloud  a causa della mancanza di standard e di best practice. Deve essere costruita una fiducia maggiore su questi servizi. Servirebbe una legislazione simile a quella che regola gli spostamenti delle merci via mare che dia garanzia a clienti e fornitori sui rispettivi diritti e doveri. La presenza di subforniture dovrebbe essere resa esplicita e i clienti dovrebbero poter dare la propria approvazione su queste scelte.

Moises Navarro Martin (Director, Cloud Strategy & Services, Telefonica)
La grande importanza delle cloud è nei risparmi che possono essere realizzati. La seconda ragione per la quale può essere importante adottare servizi cloud è l'innovazione. Innovare attraverso l'utilizzo delle cloud è molto più semplice e diretto soprattutto per le piccole e medie imprese che possono così compensare la loro mancanza di strumenti IT. Anche il mondo accademico può godere di grandi benefici nel campo dell'innovazione attraverso l'utilizzo delle cloud. Una raccomandazione per l'Europa nell'approccio alle cloud: pragmatismo. I trend per il futuro prevedeono : elasticità, federazione e interoperabilità delle cloud e lo sviluppo di servizi di personal cloud (e Steve Jobs se la ride...)

Silvana Koch-Mehrin (MEP)
Come politico, inizia chiedendosi quale possa essere il ruolo della politica in un settore tecnologico dominato da dinamiche economiche. La risposta è nelle potenzialità nel campo dell'innovazione devono essere indirizzate e sfruttate al massimo delle loro possibilità con uno specifico ruolo per il legislatore e per la politica in generale proprio in questo campo. Da questo punto di vista le risposte che possono essere messe in campo dalla politica sono: 
- una generale semplificazione per l'acccesso e la fruizione dei servizi 
- lo stanziamento di fondi per le migliori idee e gli approcci più innovativi.

Daniele Catteddu (esperto di sicurezza e resilienza di ENISA... e buon amico)
Il corso delle cloud sarà come quello degli altri fenomeni che hanno caratterizzato l'IT in questi anni. Il periodo in cui daranno il massimo dei benefici sarà di circa 10-15 anni, quindi non possiamo aspettare molto per avere dei risultati è tempo di agire. L'interoperabilità è centrale per lo sviluppo delle cloud a livello di:
- policy
- tecnologie
- gestione delle identità
- sicurezza
- conformità legale e normativa.
La mancanza di interoperibilità si riflette in una serie di rischi che spaziano dalle problematiche di disponibilità dei servizi, al cosiddetto "lock-in". Da questo punto di vista, FedRAMP è un buon esempio per come realizzare un approccio agile ed efficace. 
Cosa si può fare? Standardizzare, standardizzare, standardizzare. Le interfacce, i formati dei log e degli audit, la gestione delle chiavi e i sistemi di gestione delle identità. 

Ci sono stati vari momenti di dibattito con il pubblico in cui sono emersi temi interessanti tra cui:
- una domanda importante a cui deve essere data una risposta è come sia possibile creare le conidizioni per le quali dati provenienti da tutto il mondo siano gestiti da cloud europee e non solo creare le condizioni perché i dati europei possano essere gestiti in cloud internazionali.
- al momento, l'Europa non è in grado di dare risposte legislative rapide che siano adottatate da tutti i paesi membri. Questa situazione rende molto difficile per le istituzioni europee dare un vero indirizzo nei temi tecnologici che invece sono caratterizzati da un'estrema rapidità di adozione.
- è importante stabilire se in futuro si procederà verso un'integrazione dei sistemi di gestione delle identità o se invece sarà adottato un sistema di gestione delle identità terzo rispetto ai Cloud Service Provider. 

Come commento finale vorrei aggiungere che il Workshop è stato  un buon successo e che ho sentito molte cose interessanti anche se in generale ho trovato un tasso di messaggi orientati al marketing superiore a quello che mi sarei aspettato.

Se nella sessione plenaria di oggi pomeriggio emergeranno argomenti interessanti dal punto di vista della sicurezza li troverete in un aggiornamento nei prossimi giorni.

giovedì 16 giugno 2011

Digital Agenda Assembly - Day 1

Riassunto grafico della conferenza disegnato durante la Plenaria
Oggi ho avuto il piacere e l'onore di partecipare alla prima Conferenza dedicata alla strategia digitale europea. 

L'organizzazione della conferenza prevedeva una serie di workshop paralleli nel corso della mattinata e poi una sessione plenaria nel pomeriggio.

Alla mattina ho partecipato al Workshop dedicato al tema "Cybersecurity: barriers and incentives" che era moderato da Eneken Tikk, Head of Legal and Policy Branch del CCDCOE (Cooperative Cyber Defence Centre of Exellence di Tallin). Il workshop prevedeva una prima sessione con tre presentazioni e una tavola rotonda dopo il coffee break.

Io ho aperto la sessione delle presentazioni con un intervento dal titolo: "Cybersecurity: State of the Art and Future Trends in Italy" che ha tratteggiato le varie iniziative che sono state avviate in Italia (se date un'occhiata alle slide appena le pubblicano, avrete delle piacevoli sorprese...). E, come è successo al Security Summit di Roma, il pubblico ha riservato una grande attenzione alla proposta di realizzazione di un AntiBotnet Center Italiano. A seguire è stata la volta di Karim Antonio Lesina, Executive Director EMEA Government Affairs di AT&T, che ha fatto una presentazione molto interessante ponendo una grande attenzione ai temi della collaborazione internazionale, della lotta alle botnet (abbiamo poi avuto un'amabile chiacchierata in proposito) e ell'evoluzione dell'approccio verso la cybersecurity. Fantastica la foto della loro sala operativa di sicurezza negli Stati Uniti (Global NOC); penso che neanche nei sogni più felici uno possa immaginare un posto così. Lavorare in un ambiente del genere deve essere davvero spettacolare! L'ultima presentazione è stata di Michel J.G. van Eeten, della  Delft University of Technology. In questa presentazione si è approcciato al tema della responsabilità nella sicurezza che hanno gli Internet Service Provider. L'analisi era basata su dati quantitativi e mostrava, tra l'altro che, anche normalizzando i dati per tenere conto della dimensione dei provider, la lista dei Top 50 ISP che contribuiscono maggiormente allo spam mondiale è quasi immutata da 4 anni. Infatti nei Top 50, ben 32 ISP sono stabilmente presenti ogni anno.

I temi che invece sono emersi nella Tavola Rotonda (i panelist erano: Kurt Erik Lindqvist, CEO di Netnod un provider svedese, Mika Lauhde di Nokia e Michel J.G. van Eeten della Delft University of Technology) sono stati:
- la cybersecurity non è solo una questione tecnologica ma passa attraverso le agende dei politici e anche delle persone del marketing
- le interdipendenze tra diversi settori e tra Stati sono sempre più significative
- è necessario una approccio internazionale alla lotta al cybercrime
- dal punto di vista nazionale non è strettamente necessaria l'adozione di nuove leggi ma bisognerebbe riuscire a proseguire con gli sforzi messi in campo sinora
- le Public-Private Partneships sono il futuro della cybersecurity
- il tema dell'Information Sharing è essenziale
- tutti devono sentirsi coinvolti perchè il tema della sicurezza in un mondo globale non può che avere un approccio globale.

Infine, la riunione plenaria. La Vice Presidente della Commissione Europea Neelie Kroes ha fatto un grande discorso, citando molti temi importanti e centrali per crescita digitale dell'Europa. La visione strategica che ha saputo rappresentare mi è sembrata molto vicina a quella espressa dal Presidente Obama in molti suoi discorsi sul tema della tecnologia. Inoltre ho avuto il piacere di verificare che una figura di così alto livello ha una sensibilità verso i temi della sicurezza davvero ammirevole. Nella visione della Kroes infatti la sicurezza è vista come un tema centrale per lo sviluppo armonico e strategico dell'economia digitale in Europa.

Domani il resoconto del giorno 2 (se non svengo prima per la stanchezza...)

PS una piccola nota di colore... nel corso della riunione plenaria c'era un servizio di traduzione per i non udenti con due bravissimi interpreti che, in tempo reale, trasformavano le parole pronunciate dagli speaker in altrettanti gesti ed espressioni. Ebbene, uno dei due era la copia di Umberto Bossi (forse un po' più giovane) e aveva però una mimica facciale e una gestualità degna del miglior Dario Fo. Non so se sono riuscito a rendere l'effetto, ma vi assicuro che per un italiano era veramente esilarante... 

domenica 12 giugno 2011

Best of the week - 12 giugno 2011

Another week is gone and now it's time to propose my listing of the best security resources of the week.

Hope you enojoy it.

@klightowler Pentagon Has Secret List of Cyberweapons - FoxNews.com http://fxn.ws/kGGFMt

@stefan_frei Six ways sensitive data finds its way to personal email accounts <- good list http://bit.ly/iIUwwh

@suffert Powerful forensic tool for Android devices released http://flpbd.it/qM5m by @viaforensics

@DarkReading RSA breach "a direct contributing factor" in Lockheed's breach, but the devil's in the details: http://tinyurl.com/3ekdp7s

@regsecurity Microsoft goes botherder hunting in streets of Russia http://bit.ly/mAuefD

@StopBlackMarket Bitcoin, la moneta degli hacker che spaventa Cia e banche http://bit.ly/ko7k2V

venerdì 10 giugno 2011

Security Summit 2011 - Day 2

Eccoci arrivati al resoconto della seconda giornata del Security Summit 2011 di Roma.

La mia seconda giornata al Summit è iniziata molto bene... ho partecipato ad un interessantissimo talk di Gabriele Faggioli  dal titolo: "I servizi “cloud”: problemi legali e contrattuali". Faggioli è partito con una puntuale analisi dei contratti tipici delle forniture IT classiche per poi passare in rassegna gli aspetti più rilevanti dei contratti di outsourcing e arrivare infine ai contratti tipici del mondo cloud.

Tra le notazioni che mi hanno più colpito c'è il riferimento all'utilizzo del contratto di licenza d'uso in alcuni contratti per servizi cloud che (giustamente) Faggioli inquadra come non adatto. Secondo Faggioli, la tipologia che si adatta meglio ai servizi cloud (ovviamente dal punto di vista del Cloud Service Consumer) è quella relativa ai contratti d'appalto di servizi con obbligazione di risultato.

L'intervento di Faggioli si è concluso con una lista di verifiche che dovrebbero essere sempre effettuate prima di accettare un contratto di servizi cloud:
- Qual'è la qualifica del fornitore (Responsabile privacy)?
- Quali tipologie di dati vengono trasferite "on the cloud"?
- Quali sono gli eventuali subfornitori?
- Dove sono le infrastrutture?
- Quali misure di sicurezza hanno i provider e i loro subfornitori?
- Come si effettua la nomina del provider e dei suoi subfornitori?
- Quali sono le previsioni contrattuali?
- Quali sistemi di controllo devo prevedere?
- Ci sono impatti in termini di 231/01?

Dopo questo intervento mi sono incontrato con Claudio Guarnieri e Feliciano Intini e abbiamo concordato la nostra presentazione pomeridiana dedicata alla lotta alle botnet. Non ho potuto quindi seguire altri interventi.

Nel primo pomeriggio, invece sono riuscito a vedere una parte del seminario di Marco Morana (altra guest star di questa edizione del Summit) e oltre alla gioia di rincontrarlo (avevo avuto il piacere di ospitarlo nella prima edizione dell'OWASP Day per la PA), ho avuto modo di avere alcuni flash sulla nuova metodologia per la simulazione degli attacchi e per l’analisi delle minacce che si chiama PASTA (Process for Attack Simulation e Threat Analysis). Molto interessante!!

Infine, in un auditorium che poteva essere più ricco di presenze... (abbiamo iniziato con poco meno di trenta persone) Feliciano, Claudio ed io abbiamo presentato il workshop dal titolo "Botnet Delenda Est" dedicato agli iscritti al gruppo linkedin "Italian Security Professional".

Ho personalemente trovato i lavori di Claudio e Feliciano estremamente interessanti. Claudio ha presentato un lavoro di investigazione su KoobFace (@drego85 ecco la tua risposta! ;-)) ), veramente aggiornato e completo. Nella migliore tradizione dei lavori di questo tipo c'erano una serie di slide che non saranno pubblicate perchè il contenuto è, diciamo così, "sensibile".
Feliciano, dal canto suo, ha portato una serie di informazioni che venivano direttamente dalla Microsoft Digital Crime Unit, sui take down di Rustock e Coreflood. Avevo visto una precedente versione di questa presentazione (in un consesso chiuso e altamente qualificato) e, in tutta onestà, posso affermare che Felicaino è riuscito a valorizzarla con dati e informazioni nuove facendola diventare ancor più interessante e ricca.
Per quanto mi riguarda, ho fatto un inquadramento generale del tema botnet esponendo i motivi per i quali siamo convinti che questi strumenti in mano ai cybercriminali debbano essere "distrutti", per poi concludere parlando della situazione italiana e presentare la proposta della creazione di un AntiBotnet Center Italiano (ABC-I). Il prezi della mia presentazione è già online, per le altre presentazioni dovrete attendere la pubblicazione degli atti del convegno.

Ancora grazie agli organizzatori e... ci vediamo il prossimo anno!


giovedì 9 giugno 2011

Security Summit 2011 - Day 1

Anche quest'anno siamo arrivati al fatidico appuntamento con il Security Summit di Roma che si conferma come una delle iniziative più interessanti nel campo della security in Italia. Il programma ha proposto un ventaglio di talk di alto livello che hanno coperto le maggiori problematiche di sicurezza. Inoltre la valenza di quest'evento per fare network e rivedere o conoscere persone che si occupano di sicurezza è davvero impagabile.

Ma veniamo al racconto delle giornate, che quest'anno sarà parziale perché, avendo una presentazione da fare, non potuto seguire tutti gli interventi che avrei voluto.

Convegno di apertura - Tavola rotonda "Le nuove frontiere dell'ICT Security"
Come già successo nelle precedenti edizioni la tavola rotonda è stata moderata dal'effervescente Gigi Tagliapietra che ha messo subito in chiaro quanto senta limitante per lui il ruolo di moderatore al quale certamente preferisce quello di "provocatore". Questa attitudine, oltre alla sua consueta capacità di analisi, ha fatto salire il livello generale della tavola rotonda che è così stata sempre stimolante e divertente.

La "guest star" di questa edizione era Udo Helmbrecht, Direttore esecutivo di ENISA, l'agenzia europea  per la sicurezza delle reti. Assieme a Helmbrecht erano presenti Rita Forsi, direttore generale dell'Istituto Superiore delle Comunicazioni, J.P. Ballerini di IBM, Alessandro Vallega di Oracle e Gastone Nencini di TrendMicro.

Helmbrecht, ha presentato ENISA e le attività che ha svolto in questi anni evidenziando gli attuali limiti entro i quali ENISA opera, lavorando per progetti che vengono decisi su base annuale e non potendo sovrapporsi al ruolo dei "decision maker" nazionali. In particolare è stato evidenziato come in Europa manchi un ente che abbia invece un ruolo operativo sulla security e come ENISA stia collaborando con la Commissione per riuscire a sanare questa situazione, tenendo conto degli ambiziosi progetti che sono legati alla visione europea per il futuro (nel 2020 il punto di arrivo è Every European Digital).

Helmbrecht ha poi ricordato le iniziative di ENISA nel campo della cybersecurity, del cloud computing, dei social network e della mobile security. In generale è stato un intervento ricco di spunti e di riflessioni sul futuro che ci attende e sulla reali capacità di inserire "correttivi" in tecnologie o contesti dove il driver del mercato  è fortissimo. Un esempio per tutti: la mancanza di regole per la portabilità dei dati e l'interoperabilità nel cloud computing o, peggio ancora, nei social network.

Nella successiva discussione i relatori hanno trovato modo di approfondire e dare un taglio personale ai vari argomenti, arricchendo con sfumature interessanti i vari aspetti che Gigi Tagliapietra, di volta in volta, sottolineava o proponeva. Tra i temi che sono emersi con maggior forza ci sono:
- Internet è un elemento in grado di cambiare i comportamenti umani con maggiore incisività rispetto a leggi e regolamenti;
- le Public-Private Partnership rappresentano il futuro della sicurezza perché consentono di affrontare ostacoli altrimenti insuperabili;
- nessun soggetto pubblico o privato è in grado di affrontare con efficacia le maggiori problematiche di sicurezza attraverso un approccio "solitario";
- la cultura della sicurezza deve crescere raggiungendo i cittadini.

A proposito di quest'ultimo punto, Rita Forsi ha ribadito che l'Italia, anche per rispondere alle sempre più pressanti richieste provenienti dalla Unione Europea, sta lavorando per dotarsi di un CERT governativo/nazionale che dovrebbe vedere la luce nei prossimi mesi. Notizia che già da sola vale la partecipazione a quest'evento.

Nel pomeriggio ho poi visto la presentazione di Alessio Pennasilico e Gastone Nencini sulla protezione delle infrastrutture virtuali. Come al solito gli standard di presentazione di Alessio sono molto alti e ci sono stati numerosi spunti per un corretto approccio alla sicurezza nella predisposizione di un ambiente virtuale. Sono stati inoltre messi in evidenza gli errori più frequenti e le più tipiche sottovalutazioni che vengono purtroppo fatte quando si passa da una infrastruttura composta da elementi reali a una invece basata sulla virtualizzazione.

L'ultimo talk della giornata è stato... il mio. E visto che è impossibile parlare di se stessi con un minimo di obiettività... non lo farò! Vi dico solo che ho affrontato il tema della Cloud Security e che nel corso della presentazione ho annunciato di aver scritto un whitepaper sull'argomento che sarà pubblicato a breve come Quaderno Consip. Il Quaderno dal titolo "Cloud Security: una sfida per il futuro" sarà presentato ufficialmente nel corso di un evento che si terrà il prossimo 6 luglio in Consip. Nei prossimi giorni, scriverò più diffusamente di questo evento e vi darò maggiori dettagli.

Le altre sessioni della giornata erano dedicate al ROSI Return On Security Investement), alla gestione federata delle identità nel cloud, al rischio informatico nelle piccole imprese e alla Data Leakage Prevention.

Nel prossimo post il resoconto del Day 2.

A presto!





domenica 5 giugno 2011

Best of the week - 5 giugno 2011

Another week is passed so it's time to propose my listing of the best security resources of the week.

Hope you enjoy it.

@tofinosecurity "Son of #Stuxnet" - Coming Soon to a #SCADA or PLC System Near You? - http://bit.ly/jFzbI3

@ECIOForum Surviving Security Breaches, the Bleak Outlook, and Hope http://ow.ly/54GUd #enterprisesecurity

@SCADAhacker Pesca 0.75 Local Stealer - Download ! http://goo.gl/fb/bSXte RT @TheHackersNews SH: great add to your security

@RKHilbertSpace: Chinese hackers use the same backdoor required by US law to eavesdrop on Gmail accts. http://j.mp/m98tYR U.S. enables Chinese hacking of Google

@stefan_frei: Video of my SwissCyberStorm talk and malware demo online http://bit.ly/lVlhY0

@mikkohypponen Sean from our Labs recommends using Bing for image searches. Here's why: http://bit.ly/j73hXl [youtube, 7 mins]

@Imperva Anatomy of PDF Attack http://bit.ly/mq3EFx

sabato 4 giugno 2011

MUMBLE - Data Breach ecco perché andrà sempre peggio

Ciao a tutti, oggi torno alla serie delle riflessioni sui temi della sicurezza con un argomento che arriva direttamente dalla cronaca di questi ultimi tempi: i data breach. Come avrete certamente avuto modo di notare, in questi ultimi due o tre mesi si sono concentrati una serie di episodi di una certa gravità (alcuni molto gravi per la verità) di violazioni di servizi Web che hanno portato al furto di una mole impressionante di dati personali.

Come mai questa concentrazione? E cosa succederà nei prossimi tempi?

Per chi non ha la voglia o il tempo di leggere il resto del post la mia conclusione è nel titolo... "andrà sempre peggio". Come sono arrivato a questa conclusione? Seguitemi e ve lo spiegherò.

L'analisi che faccio parte da considerazioni tecniche per arrivare a conclusioni di tipo "sociale". 

Partiamo dalle considerazioni tecniche. Come abbiamo più volte sottolineato su Punto 1, il Web è pieno di siti che non hanno in alcuna considerazione le tematiche di sicurezza. Molto spesso, questi siti pieni di vulnerabilità sono anche molto popolari e, a volte, hanno anche delle transazioni a valore aggiunto (monetario e non) su grandi basi dati di utenti.

Questa situazione rappresenta il perfetto "humus" sul quale prolifera la mala pianta del cybercrime e delle pratiche affini. Abbiamo quindi il primo pezzo per la nostra indagine "l'occasione".

Rimaniamo nel campo della tecnica. Trovare script e tool per portare attacchi è ormai quasi più semplice che trovare un antivirus gratuito. Questi mezzi non presuppongono nessuna conoscenza tecnica reale e quindi consentono praticamente a chiunque di portare attacchi di grande impatto su siti vulnerabili (cioè quasi tutti i siti). Ed ecco che qui si profila il secondo pezzo del nostro puzzle il "mezzo".

Possiamo ora passare alla parte più "sociale"... i media stanno dando una grande copertura a questi eventi. Proprio ieri, parlando con una amica che non ha nessun interesse nella cybersecurity, mi veniva fatto notare come negli ultimi tempi questi temi siano saliti alla ribalta della stampa generalista di tutto il mondo e abbiano dunque acquisito una notorietà prima sconosciuta al grande pubblico. Inoltre, sui tempi brevi, è molto raro che le forze dell'ordine abbiano modo di concludere un'indagine. Si ha così una generale impressione di totale impunità legata ad una grande notorietà. Se poi passiamo alla copertura e al taglio che molti giornali hanno riservato ad esempio alle notizie relative alle imprese degli "Anonymous" arriviamo alla costruzione di un'immagine da vero e proprio moderno "Robin Hood". Tutto ciò contribuisce a creare una fortissima voglia di emulazione che spinge molti a tentare la sorte per trovare il proprio quarto d'ora di notorietà. I reiterati episodi di hacking sui siti della Sony sono un esempio di questo fenomeno (e anche un esempio di come non si dovrebbero gestire i servizi Web di una grande corporation ;-)) ). E finalmente siamo arrivati a raccogliere il terzo e ultimo pezzo della nostra indagine... il "movente".

Non bisogna certo essere Ellery Queen per sapere che quando ci sono l'occasione, il mezzo e soprattutto il movente siamo nelle condizioni ideali per la commissione di un reato.

Quindi, andrà sempre peggio.

Fino a quando non si interromperà questa catena in qualche punto, ma per farlo bisogna che tutti quelli che si occupano a vario titolo di sicurezza lavorino duramente per cambiare uno scenario che, al momento, resta davvero fosco.

Buona domenica a tutti. 
http://www.wikio.it