domenica 31 luglio 2011

Best of the week - 31 luglio 2011

It's Sunday morning and it's time for a new "Best of the week" post!

Hope you enjoy it.

@klightowler: FBI shares lessons of Zeus botnet ring takedown http://bit.ly/qvDOlG

@ChetWisniewski: Obama outlines strategy to combat transnational cybercrime http://bit.ly/pGJRoQ

@regsecurity: Crypto shocker: 'Perfect cipher' dates back to telegraphs http://bit.ly/mYo2Lj

@msftmmpc: Announcing the newest MMPC Research and Response Lab: http://t.co/ORvb9YY

@Canaudit: "The cost of cybercrime" - http://t.co/HUv1o2Z

@0xcharlie: That italian song in the pwnies is pretty good!  http://www.youtube.com/watch?v=aTwMZR1Vjg4 (with subtitles)

@securityshell: Open Web Application Security Project: Application Security Tutorial Videos http://t.co/5RFyMQu

lunedì 25 luglio 2011

Hanno bucato il CNAIPIC

Il primo tweet con cui è stata diffusa la notizia
C'era da aspettarselo, era questione di tempo, prima o poi qualcuno avrebbe raccolto le minacce che da tempo circolavano contro il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).

La notizia è, nella sua essenza, abbastanza banale, il CNAIPIC, fiore all'occhiello della Polizia Postale Italiana, è stato bucato da hacker legati al movimento Anonymous e LulzSec e sono stati trafugati circa 8 GB di dati. Alcuni di questi file trafugati sono stati pubblicati su diversi siti e si può trovare anche un comunicato "ufficiale" relativo a questa azione.

Perchè dico che c'era da aspettarselo? Bhe, per prima cosa per "ritorsione", per gli arresti effettuati alcuni giorni fa; inoltre, nella chat di AnonItaly se ne parlava da tempo, legando l'ipotetico attacco alla commemorazione per il decennale morte di Carlo Giuliani. Il secondo motivo l'ho illustrato qualche giorno fa in una riflessione intitolata "MUMBLE - San Sebastiano e la cybersecurity", nella quale sostanzialmente sostengo che, in questo momento storico non c'è nessuno che possa sperare di essere al sicuro, perchè violare i sistemi non è mai stato così semplice. Infine sempre in una recente riflessione (MUMBLE - Data Breach ecco perché andrà sempre peggio) avevo individuato in alcuni fattori, tra cui la grande notorietà che si riserva a questi episodi, la molla che spinge la situazione verso un futuro sempre più preoccupante. 

Cosa succederà adesso?

Probabilmente dipende dalla strategia che adotteranno gli attaccanti. Se adotteranno una strategia "responsabile" (ma non sembra proprio che siano di quest'avviso) e non divulgheranno notizie riservate (come è stato fatto per il recente attacco alle infrastrutture informatiche della NATO) probabilmente dopo un po' di polverone le cose si acqueteranno. Altrimenti, ci sarà uno stillicidio di informazioni che terrà alta l'attenzione dei media per qualche giorno in più.

Almeno fino alla prossima notizia di questo genere.

Sul fronte dell'analisi degli eventi voglio solo far notare che, il primo annuncio dell'attacco come si può vedere dalla figura ad inizio del post è stato dato attarverso l'account di "The Real Sabu" e cioè del supposto leader del gruppo LulzSec.

C'è da pensare...

domenica 24 luglio 2011

Best of the week - 24 luglio 2011

It's Sunday morning and it's time for a new listing of the best security resources the week.

Hope you enjoy it.

@CommonAssurance: Business Assurance for the 21st Century http://ht.ly/5Glsi #CAMM

@policeledintel: OSINT, Search Tools & Search Tip Roundup http://wp.me/p1mWTe-gv

@rsasecurity: Securing the Cloud: Cloud Computer Security Techniques and Tactics
http://rsa.im/mS7yZl

@CiscoSecurity: Malicious PDF attack targets defense http://t.co/R7HI2C2

@Fortinet: Check out Fortinet's newest whitepaper "“The Need for Secure Communications in a Distributed Environment” http://t.co/pnOmRYZ

@DarkReading: How to respond to a distributed denial-of-service (DDoS) attack: http://tinyurl.com/3jf2fel

venerdì 22 luglio 2011

Guide di sicurezza: evitare le intrusioni

Il NIST tre giorni fa ha rilasciato una interessante guida "tecnica" sulle contromisure che devono essere adottate per cercare di ridurre la superficie d'attacco offerta a possibili intrusioni. Il valore aggiunto di questa guida è fondamentalmente nell'ufficialità della fonte (grazie Domenico per la riflessione); non ci sono infatti indicazioni "rivoluzionarie" o particolarmente profonde, sono tutte indicazioni di buon senso che chi si occupa di sicurezza conosce da tempo. Provate però a chiedervi quante di queste pur essendo pienamente condivisibili sono correttamente implementate nella vostra realtà...

Ho quindi pensato che fosse importante riprendere i contenuti della guida, riorganizzarli per argomento, arricchirli di alcune informazioni aggiuntive, togliere alcune informazioni che considero un po' obsolete e soprattutto offrirli in italiano. Ovviamente questa iniziativa si inserisce nella serie delle "Guide di Sicurezza" di Punto 1.

Ma veniamo ai contenuti, ecco cosa ci suggerisce lo US-CERT (ribadisco che i contenuti sono un po' rivisti e corretti, chi preferisce la guida originale può seguire il link proposto all'inizio del post)

Policy di sicurezza
- Emettere una "Acceptable Use Policy" che contenga elementi atti a limitare e regolamentare:
       - L'utilizzo di strumenti personali per l'accesso o l'elaborazione di dati o sistemi  ufficiali (ad esempio, tele-lavoro o utilizzo di dispositivi personali in ufficio)
      - L'utilizzo di tutti i dispositivi rimovibili, salvo che non vi sia una ben documentata necessità aziendale (in questo caso devono essere emesse anche delle specifiche linee guida)
     - L'uso dei servizi di social networking (Facebook, Twitter, applicazioni di instant messaging, ecc, ed anche la posta elettronica personale) sul posto di lavoro, salvo che non vi sia una necessità aziendale formalmente individuata
- Realizzare programmi di formazione degli utenti sull'Acceptable Use Policy e sui pericoli connessi all'uso della posta elettronica e della navigazione Web
- Emettere policy per la sicurezza degli accessi che prevedano l'uso di:
       - Sistemi di autenticazione forte per gli account con privilegi di root
       - Password di almeno 15 caratteri per gli account amministratore
       - Password di almeno 8 caratteri per gli utenti standard
       - Password a complessità elevata con caratteri alfanumerici e simboli
       - Strumenti che limitino il riutilizzo di password precedenti
       - Strumenti che  limitino l'uso di informazioni personali come password
       - Strumenti che richiedano il cambio password almeno ogni 60-90 giorni
       - Strumenti per la memorizzazione cifrata delle password
- Emettere una policy che preveda che in caso di compromissione di un account di amministratore si debba  immediatamente cambiare la password (da sistemi verificati e liberi da malware) 
Adottare le best practice per la sicurezza delle reti (info su CERT-CC Governing for Enterprise Security)

Web Server e applicazioni Web
- Utilizzare un proxy applicativo (o meglio un Web Application Firewall) di fronte ai server web per filtrare le richieste dannose
- Assicurarsi che la configurazione "allow URL_fopen" sia disattivata per cercare di limitare gli attacchi di tipo "remote file inclusion"
- Limitare l'uso di codice SQL dinamico attraverso l'uso di "prepared statements", query con parametri o stored procedure (info sugli attacchi di tipo SQL Injection sono disponibili sul sito dello US-CERT o sul sito dell'OWASP)
- Seguire le best practice per la codifica sicura e validazione dell'input (info su OWASP Top 10  e Build Security In)

Postazioni di lavoro e server
- Distribuire un sistema Host Intrusion Detection (HIDS) per bloccare e identificare gli attacchi comuni
- Garantire che tutti i sistemi siano aggiornati con patch provenienti da fonti attendibili

Mi sembra importante integrare questa breve guida con l'indicazione dei 5 tipi di log essenziali che devono essere implementati sui sistemi (la fonte in questo caso è il SANS Institute) che sono:

1) log dei tentativi di accesso tramite account esistenti
2) log dei tentativi non riusciti di accesso a file o a risorse
3) log delle modifiche non autorizzate ad utenti, gruppi e servizi
4) log dei sistemi più vulnerabili (per mancanza di aggiornamenti)
5) log dei pattern sospetti o non autorizzati del traffico di rete

Infine, per quanto riguarda le policy da emettere per garantire che i propri utenti mantengano dei comportamenti adeguati dal punto di vista della sicurezza, bisogna ricordarsi che normalmente queste iniziative tendono a proibire o a limitare molto alcuni comportamenti che gli utenti considerano legittimi, per cui è da preferire un approccio graduale e volto all'illustrazione della logica sottesa alle scelte. E' quindi preferibile adottare strumenti innovativi e divertenti per la formazione e la successiva verifica degli esiti della stessa.

Un esempio potrebbe essere questo simpatico giochino (in inglese) tratto da Onguardonline che permette di verificare la propria conoscenza di  alcune problematiche di base sulla sicurezza informatica.

lunedì 18 luglio 2011

Matthew Holt - Earthquake vs. Data Breach: Which can hurt you more?

I met Matthew some months ago and immediately recognized his exceptional analysing capabilities. He is brilliant, with a deep knowledge of the risk analisys and solid international experience. As Senior Associate with Booz & Co based in Rome, he leads the firm’s Cyber Security & ICT Resilience service offering, so he has a privileged point of view that allows him to view, process and analyse issues and concerns of big players in the market. 

With him, some months ago, I had one of the most interesting conversation on cybersecurity topics I ever had. During this conversation he asked me this very intriguing question: "If you had to present three cybersecurity topics at a G8 meeting in 15 minutes, which subjects would you choose? And why?". After thinking about it for a while I gave my answer.

And, if Matthew had asked you this question what answer would you have given him?

Now it's a pleasure to me to leave the floor to Matthew.


-----------------------------------------------------------------------------------------------
Digital transformation can have a profoundly negative impact on a company when its risks are not managed properly. Consider the PlayStation Network (PSN) data breach disclosed by Sony Corporation in April 2011, and the events that have unfolded since. Described in the press as a “debacle,” “fiasco,” and “humiliation,” the breach clearly inflicted serious damage on Sony, especially in combination with the generally poor economic conditions globally and the other major crisis already under way in Japan at the time of the breach, resulting from the earthquake of March 11, 2011.

That earthquake was the most powerful ever to hit Japan, and the fourth most powerful in the world since modern record keeping began in 1900. The overall cost is estimated to exceed US$200 billion, making it the most expensive natural disaster on record.

Just over a month later, on April 20, 2011, a 14-year-old boy returned to his Chicago home after school expecting to join three friends online and play Might & Magic: Clash of Heroes (a fantasy adventure in which young people from different cultures band together to stop demons from taking over the world) on his Sony PlayStation 3. But the PSN service was down. Several days later, Sony explained that it had taken the network offline on purpose because of a massive data breach that eventually involved more than 100 million customer accounts.

Though the Japanese earthquake and Sony’s data breach are certainly not comparable in terms of societal impact and suffering, they do provide a useful lesson in risk management and mitigation for companies with major positions in digital services and valuable information assets.

In late April, Sony announced that the 10th and final plant affected by the earthquake would resume production by the end of May. The cost of the earthquake, according to Sony, was $475 million in fiscal 2011 and will approach $1.8 billion in fiscal 2012. 

In contrast, Sony has not yet been able to calculate the full cost of the data breach. The company initially estimated the cost at $171 million in fiscal 2012, including lost business and response costs such as identifying and repairing the breach and notifying subscribers. But Sony hastened to add that this figure did not account for costs related to class action lawsuits by customers (at least two of which are already under way), customer identity theft, and credit card theft. External estimates, which include these potential future costs and losses in market capitalization, are much higher. For example, the most widely recognized industry standard for evaluating such events, the Ponemon Institute’s annual “Cost of a Data Breach” report, estimates that the PSN breach could eventually cost Sony as much as $24.5 billion. The actual cost will likely lie somewhere between the two estimates. 

Another way to effectively measure and compare the potential impacts of these two crises is to analyze their effects on Sony’s share price on the Tokyo Stock Exchange (see Exhibit 1).

Exhibit 1

This analysis reveals a significant difference in the impacts of the two crises on the company’s market valuation. The immediate impact of the earthquake on Sony’s share price (-19 percent) was generally perceived by capital markets to be about the same as the impact to the general economy (-18 percent), but both recovered about 50 percent of the loss by March 27. After that, Sony’s share price slowly dropped in comparison to the Nikkei index, probably due to the actual impact of the earthquake on its operations. The data breach, on the other hand, caused a sustained 12 percent loss in Sony’s share price—the equivalent of $3.6 billion in market capitalization. And recent events suggest that this could worsen, because more security weaknesses have been revealed as Sony has restored service, and the recovery phase is not yet fully complete.

Evaluating events based on share price is admittedly imperfect, but the key message is clear: The PSN data breach knocked Sony off the post-tsunami economic recovery path in Japan. 

This raises a critical question: Could risk management have prevented or mitigated Sony’s back-to-back crises?

In a crisis of the magnitude and consequence of the Japanese earthquake, the answer is probably not. It was clearly a Black Swan—an event with extremely low probability and devastating impact. A risk manager who predicted that an earthquake such as this would occur, and requested the budget necessary to protect the company against it, would most likely have been ignored.

The PSN data breach, however, is another story. According to Shinji Hasejima, Sony’s CIO, the breach occurred in PSN’s Web application service platform. “The vulnerability was a known vulnerability,” he said during a press conference on May 1, 2011. Further, in the current threat environment, IT security and risk managers feel that it is almost certain that adversaries will try to access their information. 

If you had asked Sony’s senior leaders a year ago to identify 10 events that could potentially erase 12 percent of their market capitalization in a matter of days, “unauthorized access to a list of online gamers” probably would not have made the list. If you had asked the same executives after the earthquake to identify 10 events that might keep Sony from recovering at the same rate as the overall economy in Japan, the result would likely have been the same. Yet that is exactly what happened.

No one held Sony’s management responsible for failing to predict an unimaginable natural catastrophe, but the PSN data breach is sure to be a different story. Sony will recover from the earthquake at a substantially slower rate than other Japanese companies because an as-yet-unidentified culprit (probably Anonymous) exploited a known software vulnerability. Why that happened is something Sony management is having a hard time explaining  to its board of directors, to judges and juries in class action lawsuits, and, most important, to its customers and shareholders.
-------------------------------------------------------------------------------------------
Profile:
Matthew W. Holt, MBA, CISSP, CISM, is a Senior Associate with Booz & Co based in Rome, Italy, and he leads the firm’s Cyber Security & ICT Resilience service offering.  This includes development of national / corporate policy and governance models, risk management, integrated security, incident management, and business continuity planning.  Mr. Holt’s background encompasses 22 years of international experience for both government and private sector clients including the United States Department of Defense and multiple Fortune 500 companies.


domenica 17 luglio 2011

Best of the week - 17 luglio 2011


As every Sunday morning here is my listing of the best security resources of the week.

Hope you enjoy it.

@fpietrosanti: Very well writen, non Technical, article How Hackers Stole 24000 Files From The Pentagon  http://t.co/f2PSqiS

@rmack: Corrected link: Academic paper on re-establishment of borders in cyberspace http://1.usa.gov/pGDrZ7 (pdf)

@suffert: A Futures Market for Computer Security - MIT Technology Review http://flpbd.it/jDdY by @briankrebs

@TheHackersNews: Chrome Extensions for #Security Professionals http://t.co/tp9bpmX

@BrianHonan: Does your org comply with the Data Protection Act?  This free self assessment checklist from the DPC is a good start http://bit.ly/qIP6op

@eduinfosec: Use discretion when installing smartphone apps. Once again, malicious apps found in Android Market. http://bit.ly/q1NJpC

venerdì 15 luglio 2011

MUMBLE - San Sebastiano e la cybersecurity

Luca Signorelli - 1498
Ma che c'entra San Sebastiano con la cybersecurity?

Purtroppo c'entra eccome. 

Come vedete in questo bellissimo olio su legno di fine Quattrocento, San Sebastiano fu martirizzato con le frecce. Nel dipinto è possibile vedere una moltitudine di individui armati di balestre lanciare dardi all'indirizzo di un inerme Sebastiano legato ad un palo.

E' da un po' di tempo che penso a questo quadro come a una ottima metafora per descrivere l'attuale situazione della sicurezza su Internet. Siamo infatti diventati tutti dei Sebastiano; alla mercé di aggressori, più o meno motivati e più o meno efficaci, che portano continuamente attacchi alle infrastrutture informatiche di tutte le organizzazioni del mondo.

Se si sommano le varie notizie di attacchi andati a buon fine, in una prima e sommaria analisi, negli ultimi 12 mesi otteniamo:
- attacchi di tipo statuale con finalità spionistiche e/o di immagine
- furti di dati con finalità economiche dirette e/o indirette
- furti di dati con finalità di protesta o di immagine
- attacchi di DDoS con finalità di protesta
- furti di dati con finalità spionistiche

Insomma, ciò che emerge è che la minaccia sta cambiando rapidamente (se volete approfondire ho fatto una presentazione su questo argomento, usare i tasti freccia per cambiare slide) e che l'asserzione che "avendo a disposizione tempo, risorse e skill in quantità adeguata si riesce a compromettere la sicurezza di qualunque sistema" non è mai stata così vera come in questa fase storica. Non si sta salvando nessuno. Perché nessuno è attualmente in grado di salvarsi, almeno con una buona dose di certezza.

Ciò che si riesce a fare (e non è cosa da poco) è limitare i danni. Il che non significa assolutamente che non bisogna fare il possibile per ridurre la superficie d'attacco e rendere il più possibile la vita difficile agli attaccanti. Semplicemente non ci si può aspettare che questo sia sufficiente a fermare tutti i possibili attacchi.

Volendo citare un grande della sicurezza informatica, Bruce Schneier, "You can't defend. You can't prevent. The only thing you can do is DETECT and RESPOND.". 

E' molto importante imparare questa lezione perché in questo modo è possibile cominciare a ragionare in maniera proattiva orientando i propri investimenti e le proprie priorità in modo da privilegiare le capacità davvero utili. Inoltre, proprio per riuscire a migliorare le proprie capacità di "rilevazione e risposta" bisogna imparare a conoscere bene la propria realtà: le proprie vulnerabilità, i propri nemici e propri punti di forza. 

E, purtroppo in Italia questi aspetti sono sempre stati abbastanza sottovalutati.

Insomma, dovremo abituarci a sentire sempre più spesso parlare di data breach. 

Senza che questo ci condizioni più di tanto. 

Perché sono convinto che la notizia di un data breach, di per sè, non dia un metro di giudizio sulla sicurezza di una realtà, ciò che davvero fa la differenza sono i tempi e le capacità di reazione e di gestione dell'incidente.

domenica 10 luglio 2011

Best of the week - 10 Luglio 2011

Here is my weekly listing of the best security resources.

Hope you enjoy it


 ZeroAccess updated now kills security software Technical paper updated at this link:
 
  Clickjacking Attacks Unresolved
 
780 Online Documentaries
 
  [Video] Hacking NZ Government SQL Injection -Nerv    by Nerv
 

venerdì 8 luglio 2011

Cloud Security: una sfida per il futuro

E' con piacere e con un pizzico di orgoglio che scrivo questo post.

Dopo un lungo lavoro di scrittura è stato pubblicato il Quaderno Consip "Cloud Security: una sfida per il futuro" e, finalmente, il 6 luglio scorso in Consip, si è tenuto il workshop dedicato alla presentazione del Quaderno.

Consip, per evitare spiacevoli esclusioni nella distribuzione degli inviti, ha ritenuto di invitare solamente persone provenienti dalla PA; nonostante questa limitazione l'evento ha visto la partecipazione di oltre 90 persone.

L'agenda prevedeva:
- Apertura dei lavori a cura di Domenico Casalino (AD Consip)
- Introduzione di Gaetano Santucci (Resp. Competence Center Consip)
e, a seguire, gli interventi:
- Cloud Security: una sfida per il futuro di Matteo Cavallini (Resp. SO Unità Locale Sicurezza MEF/Consip)
- Governance e Cloud Security di Igor Nai Fovino (Dir. Scientifico GCSEC)
- Analisi legale di rischi, criticità e opportunità relative al cloud computing di Paolo Balboni (Dir. Esecutivo European Privacy Association)
- L’iniziativa cloud del Dipartimento del Tesoro di Francesco Castanò (Resp. Sistemi Informativi Dip. del Tesoro, MEF)
- Il cloud computing nella visione del Ministero della Giustizia di Stefano Aprile (Resp. Sistemi Informativi Ministero della Giustizia)

Il Quaderno è liberamente scaricabile dal sito Consip. Le slide degli interventi sono state pubblicate al seguente link.

Prima di chiudere il post voglio ringraziare di cuore le persone che hanno contribuito alla stesura di questo Quaderno, oltre ai miei colleghi (che trovate citati nei ringraziamenti), voglio citare Paolo Balboni e Daniele Catteddu che hanno dato un contributo decisivo alla maturazione dei concetti espressi nel Quaderno.

Grazie, grazie, grazie.

Tutti i commenti sono benvenuti e graditi.

domenica 3 luglio 2011

Best of the Week - 3 luglio 2011

Here is the new listing of best security resources of the week.

Enjoy it.

@mikkohypponen This is why you should enable two-factor authentication on your GMail account: http://bit.ly/l6F86n

@mgeist OECD Internet Policy Principles could create incentives to delete or block content, adopt 3 strikes http://is.gd/TKWoI6

@BullGuard DNS cache poisoning: still works and still makes lots of damage, (Mon, Jun 27th) http://ow.ly/5rLXM

@InfosecurityMag Symantec: Google Android has a number of security strengths http://bit.ly/k9br6C

@ToolsWatch The #OpNewblood Super Secret Security Handbook: Guys from #OpNewblood has spread out a good guidelines showing... http://twurl.nl/1md7d8

@mikkohypponen Kenneth Geers of NATO CCD COE in Estonia has published a book called "Strategic Cyber Security". Free, 169 Pages: http://bit.ly/j6IevS [PDF]
http://www.wikio.it