venerdì 30 settembre 2011

Un consiglio di lettura: Ghost in the Wires

Cosa non ti aspetteresti mai da un autore famoso per aver scritto un libro dal titolo "The Art of Deception"? 

La sincerità. 

Ebbene, la sensazione che ho avuto leggendo questo libro è che sia un libro sincero, al limite del candore in alcuni punti. E questa è una dote molto rara e apprezzata, almeno da me.

Ma veniamo ai motivi per i quali ho scelto di consigliare questo libro. 

1 E' un libro davvero godibilissimo, si legge come un romanzo e quasi si è tentati di dimenticare che la trama ci è nota. Si arriva fino al punto di sperare che Kevin non venga arrestato, che riesca a far perdere le proprie tracce...

2 Fondamentalmente Kevin Mitnick ha deciso di mettersi a nudo in questa autobiografia che approfondisce diversi aspetti della sua personalità e del suo carattere. A questo proposito ho trovato molto interessante il rapporto che ha sviluppato nel tempo con le attività di hacking. Un rapporto quasi di dipendenza, tanto che scrive: "Hacking was my entertainment. You could almost say it was a way of escaping to an alternate reality - like playnig a video game. But to play my of choice, you had to stay alert at all times. One lapse in attention or sloppy mistake, and the Feds could show up at your door. Not the simulated G-men, not the black wizards of Dungeons and Dragons, but the real, honest-to-God, lock-you-up-and-throw-away-the-key Feds.". Molto intrigante è anche la descrizione del rapporto che ha con la madre e la nonna e con le altre persone importanti della sua vita (la sua ex moglie Bonnie ad esempio), che riflette un affetto profondo e una condizione di dipendenza dovuta principalmente alla sua debolezza psicologica e materiale connessa alla sua condizione di ricercato o indagato. Infine mi ha colpito molto anche il suo rapporto con gli amici e i suoi compagni di avventura, descritti senza mai insistere troppo sui loro lati negativi e con una naturale propensione al perdono per tutti coloro che, così di frequente, lo hanno tradito o messo in difficoltà.

3 La spiegazione delle sue motivazioni per l'hacking, così ben descritta, vale il libro. L'Hacking visto come ricerca, come sfida intellettuale spinta dalla pura sete di conoscenza e non da motivazioni normalmente più comprensibili, come il denaro o il potere. Questo atteggiamento mentale, che come ho detto in precedenza in alcuni punti sfiora il candore, è veramente molto interessante soprattutto in un momento storico come il nostro in cui il cyberspazio e la società stessa sono dominati da biechi interessi materiali. La sua sincerità nel sottolineare l'importanza del disinteresse verso i potenziali benefici materiali che avrebbe potuto ottenere mettendo "a frutto" le sue conquiste, è sottolineata anche dall'apprezzamento intellettuale che esprime verso figure che lo hanno affascinato (Poulsen e Shimomura ad esempio) a prescindere da ciò che è derivato dal loro rapporto con Kevin.

4 Le sue "magie" sono sempre un valore aggiunto, mai banali, a volte al confine con l'arte per il loro senso estetico intrinseco.

Insomma il libro mi è davvero piaciuto e l'ho divorato in pochi giorni. 

Complimenti!!


lunedì 26 settembre 2011

BEAST: un attacco contro SSL

Durante una recente conferenza sulla sicurezza che si è tenuta a Buenos Aires, è stata presentata una ricerca portata avanti da due ricercatori (Rizzo e Duong) su un'innovativa modalità di sfruttamento di una vulnerabilità negli algoritmi di cifratura utilizzati nei protocolli di sicurezza SSL e TLS 1.0.

Allora vediamo un po' di capirci qualcosa...

Innanzitutto il nome BEAST è un acronimo per Browser Exploit Against SSL/TLS. 

Poi bisogna capire che, anche se come tutti sanno il protocollo SSL serve a proteggere le comunicazioni a valore aggiunto su Internet, questa ricerca non significa che da oggi non sia possibile effettuare collegamenti sicuri usando questi protocolli.

Se volete avere un'idea di come funzioni l'attacco e di quali impatti ci siano potete fare riferimento agli ottimi contributi pubblicati sui blog di Paul Sparrows o del progetto TOR.  Ciò che interessa di più a me invece è fare qualche piccola riflessione a margine di questa notizia.

Innanzitutto è da notare come siano sempre più frequenti le notizie che mettono in evidenza come Internet sia stato concepito per assolvere a dei compiti molto diversi da quelli che abbiamo via via costruito e che soprattutto l'"ambiente" sia diventato molto diverso da quello iniziale. E' infatti utile ricordare che Internet è nato per collegare istituti di ricerca e governativi in un contesto in cui la banda e le capacità elaborative erano assolutamente scarsissime. Adesso, invece, abbiamo le cloud che forniscono capacità elaborative e di banda pressoché illimitate, siamo oltre 3 miliardi di utenti (di cui molti attraverso dispositivi mobili), facciamo "girare" fiumi di denaro e di business sulla rete e dobbiamo quotidianamente fare i conti con un sempre più incombente "dark side" (cybercrime, cyberwar e quant'altro).

Per riuscire a transitare dal contesto iniziale allo scenario attuale sono stati sviluppati nuovi "pezzi" (autenticazione forte, cifratura, solo per citarne alcuni) e sono state sviluppate "pezze" per alcuni elementi chiave (IPv6, DNSSEC, ecc.).

Ciò che sta succedendo sembra però indicare che le "debolezze strutturali" siano tali da richiedere un approccio innovativo che riparta proprio dalle fondamenta di Internet e che fornisca un "ambiente" qualitativamente e quantitativamente adeguato agli usi odierni della rete.

Un sogno? Forse, però pensare di riuscire a garantire lo sviluppo della società moderna per il tramite di mezzi tecnologici che con cadenza quotidiana mostrano la loro inadeguatezza è un azzardo che, a mio parere, non si può ulteriormente scegliere di correre.


domenica 25 settembre 2011

Best of the Week - 25 settembre 2011

Did you miss some security news? Here's the list of my favourite security resources of the week.

Hope you enjoy it.



@cyberwar Voice of Russia: Russia seeks equal cybersecurity for all http://english.ruvr.ru/2011/09/23/56634644.html <===Ya think? Really?

@SecurityWeek If You Missed It > The Evolution of Malware http://bit.ly/oN09jY

@quasidot 5 secrets to building a great security team - Computerworld http://tumblr.com/x8d4sndumu

@teamcymru Position Paper: Why are there so many vulnerabilities in web applications? (pdf) http://bit.ly/qwEdXu

@teamcymru On-line tools to test your DNS setup http://bit.ly/oNpoX7

@mtrojnar OWADE is an interesting tool to decrypt data encrypted with Syskey/DPAPI: http://t.co/ixpjMers

giovedì 22 settembre 2011

MUMBLE - Il fallimento di Diginotar cambierà Internet?

La notizia è grossa, Diginotar, la certification authority olandese attaccata a fine estate, ha dichiarato fallimento.

Anzi l'ha fatto Vasco, la società che recentemente aveva comprato Diginotar per cercare di estendere il proprio mercato e le proprie potenzialità nel campo dei sistemi di autenticazione.

Questa notizia mi ha fatto sorgere molti pensieri e quindi ho deciso di condividerne alcuni con voi.

Innanzitutto mi viene in mente un vecchio proverbio che si adatta bene alla situazione attuale: "Tanto tuonò che piovve".

Infatti, dopo un lungo periodo in cui si sono susseguiti attacchi  sempre più eclatanti a vari soggetti, civili e militari, si è giunti al punto che la vittima di un attacco ha dovuto fronteggiare una situazione talmente grave da trovarsi nell'impossibilità di proseguire il proprio business.

E tutto questo potrebbe portare alla...

Sindrome da paese pericoloso
Sul sito del Dipartimento di Stato americano c'è una sezione dedicata alla lista dei paesi considerati pericolosi nei quali si sconsiglia di viaggiare. Ecco ciò che viene detto a proposito dei criteri per la composizione di questa lista: "Il Dipartimento di Stato è portato a raccomandare ai cittadini americani di evitare o di considerare il rischio di un viaggio quando in un paese si riscontrano condizioni protratte e a lungo termine che rendono un paese pericoloso o instabile" (la traduzione è un po' libera ma altrimenti era complicato rendere il concetto).

Se Internet fosse un paese fisico, cosa ne direbbe il Dipartimento di Stato americano ora che oltretutto c'è anche scappato il "morto"? Sono sicuro che la lista verrebbe aggiornata così:


E in un paese pericoloso cosa succede? Crollano gli investimenti, i traffici di beni e persone tendono a rallentare e soprattutto gli altri paesi si cautelano facendo due cose:
- avvisano i propri cittadini di stare alla larga
- predispongono delle cosiddette "Unità di crisi" che possano aiutare chi si trova nei guai.

E chi nonostante tutto si trova a dover viaggiare in quei posti cosa fa?
- stipula una polizza che lo copra da tutti i possibili rischi
- si fa accompagnare da una scorta armata
- cerca (direttamente o indirettamente) di ottenere dei salvacondotti

Se ci pensate è proprio quello che sta avvenendo su Internet, la maggior parte degli Stati (noi purtroppo facciamo parte della minoranza) hanno avviato programmi di "awareness" nei confronti dei cittadini e si è dotata di CERT nazionali in grado di fronteggiare le emergenze. I privati invece stanno cercando di trasferire parte dei rischi stipulando sempre più polizze assicurative e cercano soluzioni di sicurezza che li mettano almeno parzialmente al riparo dagli attacchi. Per quanto riguarda infine la ricerca di salvacondotti non posso citare casi specifici ma la situazione che si sta creando, ormai da tempo, è simile al pagamento del "pizzo", la formazione di accordi con gruppi malavitosi al fine di evitare spiacevoli "incidenti".

Dato che su Internet quasi tutto si basa sulla fiducia, i tempi non sono certo brillanti.

domenica 18 settembre 2011

Best of the Week - 18 settembre 2011

Here is my new list of the best security resources of the week.

Hope you enjoy it!

@chagall12 Privacy day on.fb.me/mYJYO2 #privacy

@eEye U.S., AUS to add cyber realm to defense pact dlvr.it/ldk8L

@RSAConference RT @PwC_LLP 43% of companies think they have an effective #info security strategy in place but few are security leaders pwc.to/q0zVpH

@cloudsa Seeking Safety in Clouds: CSA's Jim Reavis in the WSJ on benefits of cloud for SMBs http://me.lt/5g2se

@SecMash 10 Things CIOs Don't Know About Cyber Security - CIO Insight dlvr.it/lCbTS #InfoSec

@HP_AppSecurity Are your web apps vulnerable? New risks report is an #EnterpriseSecurity must-read. bit.ly/p0g8Jm #infosec #HP

domenica 11 settembre 2011

Best of the Week - 11 settembre 2011


Today it's a very special day, it's the tenth anniversary of the 9/11. My thoughts are for that tragedy and for all the people that lost their lives that day. I have been struck by a comment on the New York Times: "The #1 lesson was that our government failed; their #1 job is to protect us". 

My hope (and my work) is that this comment will never be written after a cyber attack. 

It's now the time to list the best security resources of the week.

Hope you enjoy it.

@suffert Did The September 11th Attacks Blind Us To A Digital Pearl Harbor? flpbd.it/kgaw < good piece by @threatpost

@teamcymru UK newspaper interview with Turkish Turkguvenligi high profile DNS #hackers bit.ly/pjOsdi

@danchodanchev Reading: Hacktivism: a Theoretical and Empirical Exploration of China’s Cyber Warriors - bit.ly/oJ6tyn [pdf] #cyberwar #China

@nigroeneveld Cybercrime Attribution: An Eastern European Case Study bit.ly/onmcRh Russian Hacking News linkd.in/kHEVhx #hacking #russia

@paulsparrows The latest cyberattacks reinforce the need to adopt #DNSSEC bit.ly/otdq1V #Infosec #Security

@cyberwar Ross Anderson on UK cyber spend. Too much offense, not enough defense. http://t.co/vTO73up

lunedì 5 settembre 2011

Diginotar: un nuovo passo verso la cyberwar

Un po' forte come titolo ma vediamo quali sono le ragioni che mi portano a questa riflessione.

Prima di tutto il punto della situazione.

Nei giorni scorsi si è scoperto che una certification authority olandese, Diginotar, era stata "bucata" e che era stato prodotto almeno un  certificato falso intestato a Google.com. Poi, pian piano, sono emersi altri particolari e si è capito che i certifcati erano senz'altro più di uno. Microsoft ha rilasciato un bolletino speciale e ha ritirato Diginotar dalla lista dei certificatori presenti in IE. Stessa cosa hanno fatto Google con Chrome e Mozilla con Firefox (aggiungendo che  Diginotar era bandita per sempre dai loro browser) ma non ancora, incredibilmente, Apple con Safari.

Ieri si è avuta la lista completa dei certificati falsi generati con l'utilizzo di della CA Diginotar. Leggendola vengono i brividi... una lista di oltre 530 certificati falsi che comprende di tutto: Facebook, Google, Microsoft, Yahoo!, Tor, Skype, Mossad, CIA, MI6, LogMeIn, Twitter, Mozilla, AOL e WordPress, solo per citarne alcuni dei più importanti.

Un disastro. Tanto che si è mosso addirittura il ministro olandese degli interni con una conferenza stampa in cui ha annunciato la revoca ufficiale della fiducia verso Diginotar come CA governativa.
Infatti, una delle due linee di servizi di Diginotar ("PKIoverheid") era focalizzata sui servizi di e-gov e le evidenze hanno mostrato che non si poteva più ritenere ancora affidabile questa CA.

Ieri sera quindi un interessantissimo post di Securelist metteva in evidenza questo episodio come più importante e grave di quanto non sia stato Stuxnet.

Ma perchè tutto questo clamore? Fondamentalmente perchè con questi certificati si possono effettuare attacchi del tipo "man in the middle" e ingannare gli utenti facendoli collegare a finti siti o intercettandone le comunicazioni senza che ne abbiano alcun sentore. Data la lista dei certificati falsi, che includono social network, software house e varie agenzie di intelligence la cosa diventa oltremodo preoccupante.

Oggi, dopo una serie di speculazioni, è arrivata una presa di posizione ufficiale di Trend Micro che, tramite l'analisi della propria rete di sensori, è arrivata a stabilire che il fine di questo attacco sia il monitoraggio delle attività Internet dei cittadini iraniani aggirando i sistemi anticensura che permettono ai dissidenti di collegarsi all'estero con relativa sicurezza.

Tenendo presente che i certificati falsi, oltre a consentire di ingannare i browser, potevano anche consentire di installare software malevolo con firme digitali apparentemente validate, il livello di attenzione per questo attacco è veramente altissimo.

Ecco perchè, dopo Stuxnet e la dimostrazione patente che con un codice informatico si poteva mettere fuori uso una infrastruttura critica altrimenti difficilmente attaccabile, questo nuovo attacco dimostra come sia possibile compromettere la sicurezza delle comunicazioni e degli approcci di e-gov basati sui certificati digitali.

Speriamo che questa rapida scalata verso le dimostrazioni di fattibilità degli attacchi militari nel cyber spazio abbia una pausa che permetta a chi di dovere di studiare il modo di gestire queste situazioni senza sfociare in un vero e proprio conflitto armato.

domenica 4 settembre 2011

Best of the week - 4 settembre 2011

Here we are at the usual publication of the "Best of the week" post. My personal list of the best security resources of the week is at your disposal.

Hope you enjoy it.

@Shadowserver Shadowserver releases new AV Test Suite Results: http://bit.ly/nbA3Az


@Raj_SamaniRaj Neelie Kroes, #cloud computing needs trust and security in the system for the technology to flourish: http://bit.ly/oSlHB9 #CAMM


@INFOSECSchool Vivek Kundra Makes the Case for Government Cloud @InfosecIsland http://goo.gl/DeYbZ


@DarkReading 1/3 of security pros aren't practicing what they preach & most not making changes in light of hi-profile attacks: http://tinyurl.com/3fkdta9


@BrianHonan France Introduces Data Security Breach Notification Requirement for Electronic Communication Service Providers http://bit.ly/rihfWk


@SecurityTube [Video] How to not get hired for a security job http://securitytube.net/video/2156 by J4vv4D
http://www.wikio.it