domenica 27 novembre 2011

Best of the Week - 27 Novembre 2011

It's Sunday which means it's time for another "Best of the Week" post.

Here you can find the list of my favourite security resources of the week.

Hope you enojoy it.


@RealSecurity Best Practices for Keeping Your Home Network Secure - NSA [PDF] nsa.gov/ia/_files/fact… #security

@gcluley Graham RT @NakedSecurity: The Conficker worm, three years and counting bit.ly/sVG9kW

@RealSecurity DNS Cache Poisoning (excellent read) resources.infosecinstitute.com/dns-cache-pois… #security

@assolini now is time to Brazilian crooks to invite customers of local Banks to "update" their RSA tokens twitpic.com/7i0a8q

@CERTXMCO U.S. confirms it will use military force in response to cyber attacks thetechherald.com/article.php/20… via @thetechherald

@DoDRecruiterDC Top 7 cybersecurity predictions for 2012 bit.ly/sUI8tM #infosec #cybersecurity via @kanguru_news

@cyberwar Assessing India's Cyber Preparedness. scribd.com/doc/69726906/J… <== excellent article!

giovedì 24 novembre 2011

MUMBLE - A cosa serve un CERT Nazionale

Negli scorsi giorni una notizia ha dominato il mondo della cybersecurity: negli Stati Uniti, un ignoto hacker ha avuto accesso a un sistema di gestione dell'acqua potabile e, tramite l'invio di una serie di comandi, ha provocato la rottura di una pompa. 

La notizia è molto più articolata di così ma, per il mio obiettivo odierno, possiamo fermarci qui (se invece volete altri dettagli, potete agevolmente trovarli in rete).

Chiaramente questa notizia è estremamente preoccupante, se l'ignoto hacker è stato realmente in grado di rompere una pompa avrebbe anche potuto alterare dei parametri di funzionamento rendendo l'acqua imbevibile, oppure avrebbe potuto rompere tutte le pompe e mandare in tilt l'intero sistema. E se invece avesse preso di mira un fornitore di energia, o un impianto chimico? Insomma si aprono scenari da vera e propria cyberwar.

Bene, appena si è diffusa la notizia, sono immediatamente partite le indagini (che, al momento, tendono a minimizzare l'evento) dell'FBI e dello US-CERT. E proprio di questo voglio parlare oggi.

A cosa serve un CERT Nazionale? Ho avuto modo di fare una chiacchierata "tra amici" qualche giorno fa, e ho avuto conferma che, purtroppo, a differenza dei tecnici, i livelli decisionali italiani non hanno ancora messo a fuoco correttamente la missione di un CERT nazionale. Che sia questo il motivo del nostro immobilismo su questa delicatissima materia?

Proviamo a fare chiarezza con un esempio tratto, appunto, dalla recente cronaca.

Oggi, giovedì 24 novembre 2011, un ignoto hacker mette fuori uso le pompe di depurazione dell'acqua dell'ACEA (non me vogliano gli amici di ACEA, è solo un esempio). A Roma si diffonde il panico, l'acqua sarà ancora potabile? La magistratura apre un fascicolo contro ignoti e la Polizia delle Comunicazioni inizia le indagini. E, fino a qui ci siamo...

Ma chi supporta ACEA nelle proprie indagini interne? Chi supporta la gestione dell'incidente, garantendo che siano fatti gli interessi pubblici e non solo quelli dell'operatore coinvolto? Chi determina le contromisure che devono essere realizzate affinché un incidente di questa dimensione non succeda nuovamente? Chi contribuisce a diffondere le notizie ufficiali agli altri operatori di settore in modo che tutti mettano in atto le necessarie misure preventive? Chi si coordina con le altre strutture internazionali per avere un quadro più generale della situazione? Chi distribuisce informazioni ufficiali al pubblico tramite rapporti con i media garantendo che sia privilegiato l'interesse pubblico rispetto all'interesse privato dell'operatore? 

La risposta è semplice... NESSUNO! 

In Italia, nel 2011, queste attività vitali non sono di competenza di nessuno.

Ogni operatore deve cavarsela da sé e la Polizia, giustamente, si attiva solamente al fine di individuare i responsabili dell'eventuale atto criminoso (se dietro a tutto ci fosse un malware, come ad esempio Conficker, non succederebbe quasi niente) ed assicurarli alla giustizia.

Come sa chi è già un lettore di questo blog, ritengo che questa sia una situazione indegna di un paese evoluto  che, come il nostro, basa la propria vita sociale e finanziaria su infrastrutture informatiche. 

Questa situazione deve essere sanata quanto prima.

Ma ora sono stanco, vado a bere un bel bicchiere di acqua fresca... finché posso!


lunedì 21 novembre 2011

The CloudSIRT project


The Cloud Security Alliance Congress is just finished and many interesting news has been released, such as:
- CloudSIRT project

In the next days I will write a post to describe the major changes in the Security Guidance but today I'm going to write about CloudSIRT, a project in which I am participating. The big news is that the evaluation of the membership applications will start by the end of November; organizations that will join by February 20th will become Charter Members and will enjoy additional membership benefits.

CloudSIRT (or better, CloudCERT*, the real name of the initiative), as the name suggest,  is a project aimed to the development of Incident Response best practices and information sharing within cloud environments. In fact, the mission of this project is to "Enhance the capability of the cloud community to prepare for and respond to vulnerabilities, threats, and incidents in order to preserve trust in cloud computing"... and this is a very ambitious mission. 

In the last months, in order to create a framework to achieve the mission, our working group (led by John Howie and Jim Reavis), has stated the following principles:
- foster an open and collaborative environment among members that supports the goal of safe and secure cloud computing;
- seek to fill gaps in knowledge and capabilities specific to cloud computing security, while avoiding duplication of effort and conflict of ownership;
- be a responsible and responsive partner to governments, law enforcement and security organizations;
- provide real value with demonstrable positive effect in achieving our mission and goals;
- strive to build trust with constituent members, third-party security organizations, and cloud community at large so that information will flow freely to CloudSIRT;
- behave professionally and ethically within the membership and with any external contacts.

This project is an official CSA initiative that was conceived of at the same time as the CSA but was formally announced only one year ago. During this year, among other activities, we have been working on a bylaw that regulates the organization, relationships, memberships and activities of CloudSIRT. 

First of all, we established that no cost will be requested to join CloudSIRT and eligible members will be limited to qualified organizations in the following categories:
- Cloud Providers;
- Telecommunications providers;
- CERTs, CSIRTs and ISACs (and similar).
However, upon approval of a two-thirds majority of the Board, other organizations will be able to join CloudSIRT. 

More specifically, for Cloud Providers we intend organizations owning and managing the infrastructure used to provide service that offer Public, Private or Community clouds (with one or more of IaaS, PaaS or SaaS), maintaining a permanent, dedicated Incident Response team and holding a direct relationship with their customers.

The eligible Telco Providers must have a carrier-class backbone and/or long-haul network connections over which public IP traffic is routed, must have established peering relationships with other telecommunications provider and maintain a permanent, dedicated Incident Response team.

Finally, eligible CERTs CSIRTs and ISACs must be established by statute or regulation, or designated as a national or regional CERT/CSIRT by the national or regional government with jurisdiction or must be recognized by a national or regional CERT/CSIRT as an industry CERT or ISAC. 

Within CloudSIRT, the member organizations will share information regarding operational threats such as:
- attacks against infrastructure;
- malicious activity detected;
- evidence of compromise of another member;
- source of attacks, signatures and patterns, account names, etc.

Since these pieces of information are critical and may contain sensitive data (Personal data/PII, financial information, etc.), all members are requested to sign a multi-party NDA that protects the confidentiality of the information. We are also working on agreements, procedures and operational guides to ensure a legal handling and sharing of this data.

CloudSIRT will share information within three communication perimeters:
- among member organizations as part of routine operations;
- with the CSA and its Working Groups to enable further research;
- externally to the public, to governments, and to industry.

Actually, not all the information will be shared in all ways, nor simultaneously so, in order to regulate these flows of information, we decided to use a so called "Traffic Light Protocol" that puts in relation the information and the communication perimeters. 

CloudSIRT will publish all public information through its official communication channels (website, twitter account and mailing list) that soon will be set up.

Finally, as all the Cloud Security Alliance initiatives, CloudSIRT has a focus on research and will contribute to CSA WGs, in particular those linked to the Guidance “Domain 9: Incident Response” and “Domain 3: Legal and Electronic Discovery”. Moreover, CloudSIRT will contribute to external research specific to its focus and consistent with its Charter.

In the next days, I will publish other posts regarding Cloud Incident Response and CloudSIRT in particular so, if you are interested in these subjects... stay tuned!

-----------------------------------------------------------------------------------------------
*In the US and other countries, Carnegie-Mellon University owns the right to the name ‘CERT’ so, we have begun the process of licensing CloudCERT with CMU and, at the moment, we have an agreement in principle to use CloudCERT but we are using the name CloudSIRT until we have ratified this formal agreement.

domenica 20 novembre 2011

Best of the Week - 20 novembre 2011

This week, many worrying details were published about water utilities and chemical industries as targets of sofisticated cyber attacks. I have selected the most interesting security articles of the week and now, as every weekend, I'm presenting you my "Best of the Week".

Hope you enjoy it.

@Cephurs RT@CNETNews: Hacker "pr0f" hacked into Houston water plant to demonstrate utility vulnerability to cyberattack cnet.co/txOByF

@sambowne Second water utility reportedly hit by hack attack bit.ly/ugFTuk

@CompuSecure Hackers attack Norway's oil, gas and defence businesses sns.mx/BVgXy5

@peterkruse More on the "Fawkes" virus. A video on Youtube (just uploaded) claims that Anonymous have unleased Fawkes on Facebook, youtube.com/watch?v=-fhF0t…

@ryanaraine Our Duqu FAQ has been updated with information on multiple easter eggs in the malware code securelist.com/en/blog/blog?w…

@mikko Hackers hacking hackers. German carder forums featured in e-zine "Owned and Exposed": bit.ly/sw0IbX #CC

domenica 13 novembre 2011

La guida del CERT-EU sul malware

Partiamo dall'inizio, da qualche tempo è stato attivato il Computer Emergency Response Team Europeo, il CERT-EU appunto. Un'iniziativa di grande valore e spessore per tutta l'Unione Europea che ci pone finalmente al livello degli americani che, con lo US-CERT, hanno proposto al mondo uno dei modelli più importanti per le strutture nazionali dedicate alla prevenzione e gestione degli incidenti.

Il neonato CERT-EU sta iniziando a popolare il proprio sito di informazioni utili e di guide per gli utenti. Da qualche giorno è stato pubblicato un documento dal titolo "Security White Paper 2011-003 - Windows Malware Detection (Incident Response Methodology)".

Prima di entrare nel vivo della descrizione di questo documento devo sottolineare, come mio solito, quanto sia grave la mancanza per l'Italia di un CERT nazionale e quanto questo metta tutti i cittadini e le imprese italiane in posizione di svantaggio rispetto ai nostri partner internazionali (in un momento di grave crisi economica un handicap ancora più sentito), distanziandoci sempre più dall'Unione Europea nel campo della tecnologia e dell'utilizzo del cyberspace.

Bene, ora veniamo alla guida.

Tra gli indizi che il CERT-EU indica come riferibili ad una possibile infezione ci sono:
- un comportamento anomalo dell'Antivirus (un allarme, l'impossibilità di aggiornarmento il DB delle firme, il fermo di uno o più servizi o l'impossibilità di eseguire scansioni anche se lanciate manualmente)
- un comportamento anomalo del disco rigido (il disco rigido "frulla" a lungo senza apparente legame con le attività correnti)
- un comportamento anomalo del computer (improvviso rallentamento, riavvi senza motivo, crash senza apparente motivo di alcune applicazioni o pop-up che si aprono in modo decontestualizzato rispetto all'uso)
- un comportamento anomalo della rete (connessione a Internet molto lenta per la maggior parte del tempo di navigazione (si vede che sono europei e non italiani... loro hanno la banda larga, noi il digitale terrestre, dove si riesce a vedere...))
- l'inserimento in una black-list del proprio indirizzo IP statico (per chi ce l'ha)
- un comportamento anomalo dei sistemi di comunicazione (email, IM, ecc).

Saltando tutti i passaggi intermedi, che potete leggere direttamente sulla guida, si giunge alle indicazioni per il ripristino:
- fare il reboot da un live CD e fare il backup, su un disco esterno, di tutti i file importanti 
- rimuovere i binari del malware e tutte le configurazioni di registro (fare riferimento alle best-practice dei vendor antivirus)
- avviare una scansione antivirus online
- lanciare BartPE live CD con degli strumenti antivirus (in alternativa avviare un live CD prodotto da un vendor AV)
- se possibile reinstallare il Sistema operativo e le applicazioni e fare il restore dei dati da un backup affidabile
- recuperare i file eventualmente danneggiati dal malware, soprattutto se sono file di sistema
- fare il reboot della macchina e verificare se il sistema funziona correttamente e riavviare una scansione completa.

Relativamente ai passaggi di bonifica, vi ricordo che su Punto 1 potete trovare la guida dedicata al malware con molti link a risorse e procedure esterne.

Voglio chiudere questa breve analisi del white paper guida del CERT-EU ricordando che tra le azioni indicate a valle del contenimento viene suggerito di fare una valutazione dei costi dell'incidente. Questa attività renderà più semplice fare le giuste valutazioni per le allocazioni del budget da destinare alle contromisure per il malware.

Mi permetto di aggiungere, però, un ulteriore passaggio alla guida del CERT-EU e suggerisco di effettuare, a valle della bonifica, una scansione con Secunia On-line scanner per verificare gli aggiornamenti dei programmi installati. Questo permette di eliminare le eventuali vulnerabilità che sono state sfruttate per l'installazione del malware.

Best of the Week - 13 novembre 2011

Many interesting news this week. This is my selection of the best security resources of the week.

Hope you enjoy it.


@DebbieMahler Best Cloud Computing Security & Best Computer Forensics Tool: Throughout the day, SC Magazine will be announcing... bit.ly/vCYqka

@CND_Ltd Duqu Created to Spy Iranian Nuclear Program goo.gl/bA0Pt via @softpedia

@RSAConference @MishaGlenny writes about why you can’t trust the cyber crime stats. Do you agree? bit.ly/vBbNVs

@SCADAhacker NSS Labs releases Duqu Analysis & Detection Tool - bit.ly/sIgLNA

@RealSecurity Blogging Cybersecurity: Looking Back at the Best, Worst and Most Surprising shar.es/onols #security #cyber

domenica 6 novembre 2011

Best of the Week - 6 Novembre 2011

Here's my selection of the best security resources of the week.

Hope you enjoy it!

@mikko A collection of whitepapers and presentations on Russian cybercrime and online attacks 2000-2010: bit.ly/rTvbrz

@ArMyZ Read, keep and save it -The Immutable Laws of Security zite.to/sGhKG8

@cyberwar Interesting if corroborated.Cyber attack on key Nuclear facility in Mysore? asianage.com/india/cyber-at…

@mikko F-Secure's Questions & Answers on Duqu: bit.ly/DuquQA

@stiennon There is no cyber war the same way there is no nuclear war - Forbes onforb.es/tckxW1

@DrInfoSec E&Y: "An executive should know their CISO well and be in constant contact." banktech.com/risk-managemen… <- QOTD!!!

@danchodanchev "Soon we will be facing cyber terrorism" is.gd/kUXG6z not at all, as cyber jihad is currently threat number one is.gd/sRjaSI

mercoledì 2 novembre 2011

Information Warfare Conference Rome 2011

Il 27 ottobre scorso si è tenuta la seconda edizione della Information Warfare Conference di Roma organizzata anche quest'anno da Maglan e promossa da CSSI, Link Campus University, ISPRI e dal Centro studi Gino Germani. Tra le novità di quest'anno, oltre ai numerosi patrocini da parte di enti pubblici, c'è stata l'assegnazione della "Medaglia del Presidente della Repubblica" a sottolineare l'importanza di questo evento nel panorama nazionale.

Il tema della conferenza era "La sfida della cyber-intelligence al sistema Italia" e, come lo scorso anno, l'agenda era particolarmente ricca di interventi. Riporterò quindi solo alcuni estratti delle numerose notizie ed analisi interessanti che sono state presentate nel corso della mattinata.

La Conferenza è stata aperta da Paolo Lezzi (CEO Maglan Europe) che ha presentato l'evento e ha quindi lasciato la parola al prof. Umberto Gori che ha sottolineato l'importanza del cyber-space per tutto il mondo dell'intelligence e della counter-intelligence. Tramite il cyebr-space, infatti si aprono scenari fino a pochi anni fa del tutto inaspettati e, entro certi limiti, ancora poco compresi (basti pensare alla facilità con cui Bradley Manning ha copiato le 250.000 pagine di cablo poi pubblicati di WikiLeaks. Se avesse dovuto fare delle copie fisiche, la situazione sarebbe stata ben diversa. NdA). L'intervento è proseguito poi:
- sottolineando la necessità di avvalersi delle PPP (Public-Private Partnership) per indirizzare correttamente queste nuove problematiche caratterizzate da elevate complessità multi-dimensionali
- invocando una concertazione internazionale per una gestione globale di queste problematiche
- sottolineando la necessità di definire metriche effettive per la misura degli impatti causati da incidenti informatici.

Infine, il professor Gori ha chiuso il suo intervento con una nota polemica sulle scelte effettuate dall'Italia nel campo della protezione delle infrastrutture critiche, che sono state tardive e non sempre improntate all'efficacia e tempestività che questi temi richiederebbero.

L'on. Vincenzo Scotti ha poi ripreso alcuni concetti mettendo in evidenza come il tema dell'intelligence, soprattutto di tipo economico, sia vitale per la difesa delle imprese in tempi di crisi come quelli che stiamo affrontando.

Il prof. Luigi Germani ha invece analizzato le varie tipologie di intelligence e di utilizzo del cyber-space come campo di confronto tra entità statuali e non. In particolare ha sottolineato come l'efficacia delle attività di influenza, ingerenza e disinformazione strategica sia moltiplicata dall'utilizzo dei media che si basano sui social network e sui nuovi mezzi di comunicazione.

Il Dott. Paolo Scotto di Castelbianco ha invece puntato sulle difficoltà create ai paesi maggiormente evoluti dalle vulnerabilità intrinseche al cyber-space, sia dal punto di vista delle possibili minacce statuali, sia dal punto di vista di minacce meno canoniche come quelle rappresentate dagli hacktivist. Questi ultimi, in particolare, seguendo motivazioni sempre più liquide e cangianti e creando una sfiducia diffusa nella sicurezza della rete, hanno un ruolo particolarmente rilevante nel panorama internazionale delle minacce.

Il C.F. Danilo Murciano ha individuato, nell'anonimato garantito dalla rete e dalla forte asimmetria tra chi attacca e chi si difende, i temi dominanti della intelligence nell'era cyber-space. Ha inoltre posto il dominio legato al cyber-space come trasversale agli altri domini (acqua, aria, terra e spazio), sottolineando quindi le interdipendenze che si vengono a creare tra le operazioni militari canoniche e quelle cyber e la conseguente crescente importanza della "Information Superiority" come obiettivo strategico. L'intervento si è chiuso con una riflessione sul bisogno di dotarsi di regole chiare in questo nuovo dominio, ad esempio per determinare quando un attacco cyber possa essere considerato un atto bellico, con tutte le conseguenze del caso.

Shai Blitzblau, citando gli "air-gap", ossia le separazioni tra le reti dedicate a sistemi critici e le reti connesse ad Internet, si è soffermato sull'inefficacia di queste tecniche di sicurezza, soffermandosi invece sull'importanza dell'approccio complessivo alla sicurezza e della costante attenzione ai fenomeni e ai segnali deboli. Dal punto di vista dell'intelligence ha poi citato due fenomeni "collaterali" all'utilizzo del cyber-space per questi fini:
- le difficoltà di mantenere la segretezza delle attività di preparazione di una operazione di intelligence dato che, a differenza ad esempio di una telecamera, i mezzi che devono essere sviluppati per fare sorveglianza di un bersaglio cyber sono molto specifici per ogni dato target 
- la necessità di disporre di un ampio arsenale di cyber-weapon perché queste armi sono caratterizzate da una grande efficacia che però si viene a depauperare completamente a seguito del primo utilizzo, rendendole quindi inadatte a utilizzi successivi.

Andrea Rigoni, ha esordito con una provocazione dicendo che siamo già all'11 settembre della cyber security solo che non ce ne siamo ancora accorti. Il suo intervento è poi proseguito citando le varie problematiche del DNS che il GC-SEC sta contribuendo a mettere in luce. Il DNS, infatti, è una componente fondamentale delle reti che però è stata concepita nel '93 senza che, ovviamente, fosse possibile intuire le enormi evoluzioni negli utilizzi che sarebbero seguiti. Oggi il DNS soffre di una mancanza di sicurezza intrinseca e indotta, la prima è dovuta appunto alla sua vetustà, la secoda invece dipende dalla mancanza di una vera governance che ne possa indirizzare le evoluzioni.

Come avrete letto, quindi, questa conferenza è stata un evento molto interessante e, in un'Italia sempre più avvitata sui propri problemi e senza grandi slanci verso il futuro, svolge un ruolo importante nel mantenere alta l'attenzione su questi temi.

martedì 1 novembre 2011

MELANI: il nuovo report del CERT svizzero

Ieri, MELANI, il CERT svizzero, ha rilasciato il nuovo rapporto sullo stato della sicurezza informatica in Svizzera e nel resto del mondo. 

Come sempre, gli esperti svizzeri hanno fatto un eccellente lavoro, riunendo in unico documento tutti i fatti ed i fenomeni salienti dei primi sei mesi del 2011. 

Scorrendo il documento potrete trovare, ad esempio, alcuni dati relativi:
- all'aumento del fenomeno dello "skimming" (la clonazione di carte di pagamento) in Svizzera, 
- agli attacchi degli Anonymous e di Lulzsec,
- all'aumento degli attacchi con finalità spionistiche
- agli attacchi contro Sony e RSA.

In particolare, voglio però ricordare qui 3 argomenti che mi hanno colpito particolarmente e che riporto brevemente.

Il primo riguarda l'approccio cauto delle banche svizzere verso lo sviluppo di applicazioni mobili per l'home banking. Nel rapporto si ricorda che, a parte qualche rara eccezione, le "apps" distribuite dalle banche svizzere sono finalizzate più alla diffusione di notizie utili sull'andamento dei mercati che alle transazioni bancarie vere e proprie. A questo proposito, viene analizzata la difficoltà di impostazione di un corretto approccio all'autenticazione forte in contesti come quelli degli smartphone. In questi device, infatti, l'invio di sms con credenziali di accesso di tipo one-time (mTAN) è una misura debole, visto che risiede sullo stesso apparato che ospita anche l'applicazione e gli altri tipi di distribuzione di credenziali (chiavette, token e tabelle) sono poco consoni all'uso mobile.

Il secondo punto che voglio riportare è l'impatto degli attacchi con finalità spionistiche nella vita quotidiana delle aziende svizzere ed internazionali. MELANI, infatti, ha voluto sottolineare la diffusione degli attacchi ad aziende, governi e istituzioni finanziarie finalizzati alla sottrazione di dati riservati. Nel rapporto viene analizzata una delle tecniche maggiormente utilizzate che è messa in atto attraverso l'invio di mail contenenti malware verso dipendenti dell'ente target. MELANI conclude questa riflessione con l'invito alla propria constituency ad attrezzarsi per fronteggiare un possibile attacco di questo genere perché la probabilità di accadimento è ormai piuttosto alta.

Il terzo ed ultimo aspetto su cui volevo soffermarmi è l'annuncio che il governo elvetico è in procinto di varare la propria strategia per la cyber security. La Svizzera sarà così annoverata tra i paesi europei ed occidentali che hanno già varato questo fondamentale strumento a garanzia della sicurezza delle proprie infrastrutture. Il rapporto ci ricorda che, tra gli altri, USA, Inghilterra, Germania, Olanda Francia, Repubblica Ceca e Spagna sono già dotate di una strategia di sicurezza e che altri paesi  si stanno aggiungendo.

Questa notizia mi fa sentire ancora più forte la mancanza in Italia di una struttura che svolga le funzioni di un CERT nazionale. Il nostro paese, infatti, sta ormai rimanendo sempre più isolato in Europa e nei consessi internazionali non avendo né un CERT nazionale né, tantomeno, una strategia che detti le priorità di intervento. Tanto per dire, l'Europa ha disposto che entro il prossimo anno tutti i paesi membri siano dotati di un CERT nazionale e anche paesi meno tecnologici e dipendenti dalla rete come ad esempio il Ghana si sono dotati di un CERT.

Che dire di più... complimenti a MELANI per l'ottimo lavoro.
http://www.wikio.it