Punto 1

Best of the week - 26 Febbraio 2012

2012-02-26T10:01:00.003+01:00

As always, security is one of the most hot topic in the press. Here's my list of the best security articles of this week.

Hope you enjoy it.

The Rusi Journal http://zite.to/yxxOhb - A very interesting article on "Cyber-Weapons"

@e_kaspersky Canadian Police: “We consume money. The bad guys make money. We’ll always be at a disadvantage” bit.ly/wo67Of

@suffert UK Government Cyber-Crime Report Shows That Technical Solutions Alone Are Not Enough flpbd.it/icmLn

@jkouns Breach of Nortel could give hackers "a persistent presence in the telecommunications network" is.gd/zeM6x4 & is.gd/LPS40v

@Jason_Healey Holding nations responsible for nations from their cyber soil: goo.gl/ecZzK including a 10-point scale of state responsibility

@publicintel U.S. Strategic Command Workshop Report: Deterring Violent Non-State Actors in Cyberspace bit.ly/xXoAjD

@moxie CloudCracker now supports a phone numbers dictionary for WPA jobs (cloudcracker.com/dictionaries.h…), which includes all phone numbers in US and Canada

Best of the week - 19 febbraio 2012

2012-02-19T09:53:00.001+01:00

Here we are with another best of the week post. My list of the best security articles of this week.

Hope you enjoy it!

@teamcymru interview with TeaMp0isoN's "TriCk". Seriously, you ought to read this one... http://bit.ly/wcf1Pg

@jeremiahg If you're into Advanced (Oracle) SQL Injection, this post is required reading: bit.ly/wyTUMb <@WhiteHatSec TRC hard at work

@ProfWoodward My feature piece this week on BBC: bbc.co.uk/news/technolog… Many thanks to @neirajones for her comments - much appreciated.

@assolini Have you uninstalled Java yet? Here are 14 new reasons... zd.net/zcbLvR

@mbenlakhoua RT @sectechno: The Secunia Yearly Report 2011 Released bit.ly/Ac0opk #security #infosec

@elie Attacking the Phishers: An Autopsy on Compromised Phishing Websites - ow.ly/93qwq #security #infosec

And now, just to end this post with some humour... two gems coming from the net:

@KevinScanlan "Rupert Murdoch is said to be deeply touched by the messages from family and friends left on whitney houston's phone."

@mikko Email spammers resort to extreme measures in order to bypass spam filters: twitpic.com/8kdig6 /screenshot by @ossij

Best of the week - 12 febbraio 2012

2012-02-12T12:22:00.001+01:00

Here in Rome, snow came for the second time in a week. A big branch fell on the telephone line near my house so today I am completely isolated.

There's only one solution... publish my list of the best security articles of the week, being away.

Hope you enjoy it!

@candolin2 Social Media to Be Included in 2012 Cyber Exercise - SIGNAL Magazine shar.es/flaEH #cyber #exercise

@websense Attackers using fake google analytics code to redirect users to black hole exploit kit ow.ly/8XdXo @threatpost

@jeremiahg "Creating Backdoors Using SQL Injection" bit.ly/ygWN34 < pen-testers should like this one.

@metalabasia Can Hackers Destroy The Internet? - Forbes onforb.es/yUeEjx

@arstechnica A Valentine's Day present for SCADA companies: new exploit tools: arstechnica.com/business/news/… by @thepacketrat

@e_kaspersky Comodo, Diginotar, Verisign, now Trustwave. The debates around trust in digital certificates heats up bit.ly/ydIBbH by @k_sec

Best of the week - 5 febbraio 2012

2012-02-05T09:11:00.001+01:00

Italy is frozen, in Rome the snow lays thick on the ground... but bad guys are relentless so, we need to stay informed.

Which are the best security news of the week? Here you can find my answer.

Hope you enjoy it!

@candolin2 FAQ about the VeriSign data breaches | Computerworld New Zealand computerworld.co.nz/news.nsf/secur… via @computerworldnz #verisign

@CiscoGGSG VeriSign hack: Reactions from the security community fb.me/1kSufkczk

@ProfWoodward New computer incident handling guidelines drafted for comment by NIST in the US: csrc.nist.gov/publications/d… See what you think.

@metalabasia Rare interview with Gulshan Rai, head of CERT-In livemint.com/2012/01/312300… via @livemint #india #malware

@CERTXMCO [Blog XMCO] La cybercriminalité made in France --> cert.xmco.fr/blog/index.php…

@cuoretoro US spy agencies look to cloud computing lnkd.in/vK22iS

This week, the last report is not a news but a very interesting initiative. A good friend, "Francesco Armando", has collected a lot of blogs devoted to security and created a page named "The security (B)log list", in which he put together all the links. Since I think this initiative could be of some help to have a complete view on the security scenario, if you like it, please, spread the link.

La minaccia cyber supererà il terrorismo

2012-02-02T11:45:00.001+01:00

(AP Photo/Jacquelyn Martin)

Parola del direttore dell'FBI!!

Il 31 gennaio scorso, Robert Mueller ha testimoniato davanti al Comitato senatoriale sull'intelligence e, in estrema sintesi, ha dichiarato che la minaccia terroristica è in declino mentre le minacce cyber sono ascesa e quindi nel medio periodo è probabile che l'importanza di queste ultime diventi prevalente su tutte le altre.

Rispetto all'usuale FUD (Paura, Incertezza e Dubbio) che viene normalmente speso a piene mani su questi temi da parte di amministrazioni pubbliche alla ricerca di finanziamenti, questa volta le notizie che sono trapelate mi sembrano frutto di ragionamenti condivisibili, ma vediamo più da vicino cosa è stato detto dal Direttore dell'FBI.

Ecco alcuni stralci presi da questa audizione.

"Non penso che le minacce di cyber-espionage, computer crime e di attacchi cyber alle infrastrutture critiche siano al momento le minacce numero uno, ma lo saranno domani. Ad oggi, la priorità numero uno dell'FBI è l'antiterrorismo. Nel prossimo futuro le minacce cyber, che impattano tutti i programmi dell'FBI, diventeranno la minaccia numero uno per il paese"

"La minaccia cyber è una delle più complesse con cui ci confrontiamo. Russia e Cina, tra gli attori statuali, sono quelli che ci preoccupano maggiormente in quanto conducono intrusioni nelle nostre reti al fine di rubare dati. Anche il crescente ruolo degli attori non-statuali è un grande esempio della facilità di accesso a tecnologie distruttive e potenzialmente letali da parte di questi gruppi."

"Posso dirvi che siamo eccezionalmente preoccupati da queste minacce"

"In modo analogo a come abbiamo cambiato la lotta al terrorismo dobbiamo cambiare la lotta al cybercrime. Dobbiamo costruire uno sforzo collettivo e globale per combattere questa minaccia nello stesso modo in cui abbiamo operato in conseguenza dell'11 settembre."

Bisogna anche ricordare che quest'audizione si pone nel mezzo del dibattito che porterà, nel prossimo mese, ad una decisione in merito a nuove competenze da affidare al Department of Homeland Security in materia di protezione delle reti collegate ad infrastrutture critiche.

Il mio pensiero, a questo punto, torna quindi all'Italia e alla grande mole di lavoro che ci aspetta. In questo mondo che cambia alla velocità della luce le lentezze del nostro paese rischiano proprio di lasciarci in un mare di guai.

Buona giornata a tutti.

Best of the week - 29 gennaio 2012

2012-01-29T09:27:00.001+01:00

Here you can find my list of the best security resources of the week.

Hope you enjoy it.

First of all, the cloud section...
@cuoretoro US spy agencies look to cloud computing lnkd.in/vK22iS

@georgevhulme The transition to cloud - an opportunity to get application security right: bit.ly/zprtEo #infosec

@slashdot New Privacy Laws Could Boost EU Cloud Industry bit.ly/zlQaM1

secondly, the general security section..
@DarkReading Zappos, Amazon sued over data breach: ow.ly/8Ewm4

@dsancho66 Cyberpower index: is.gd/pcjwr3 <- Spain is not even in the list

@KimZetter Mapping Tool Shows 10,000 Reasons to Worry about Critical Infrastructure - bit.ly/wNJciI

and to finish, the laughs section...
@mikko Only four more years to go until EU Copyright expires for 'Happy Birthday to You' and then we can all sing it for free! en.wikipedia.org/wiki/Happy_Bir…

Best of the week - 22 gennaio 2012

2012-01-22T08:45:00.001+01:00

A new week is just around the corner and a lot of security news are ready to be published, but which are the best security news of this week? Here you can find the answer!

Hope you enjoy it.

@RealSecurity Anonymous Changes DDoS Tactics in Megaupload Retaliation bit.ly/ypGYWB via @threatpost #security

@assolini Brazilian cybercriminals’ daily earnings – more than you’ll ever earn in a year! | Securelist bit.ly/xv85jy (by @dimitribest)

@InfosecNewsBot 74% believe mobile devices increase security incidents: The number of personal mobile devices connectin... bit.ly/x1uJX5 #infosec

@metalabasia Brian White, managing director of the Chertoff Group, Discusses Cyber Attack Against Amazon's Zappos washingtonpost.com/business/white…

@mikko Sophos blogs about phishing sites hosted on Google Docs: nakedsecurity.sophos.com/2012/01/16/goo… Our take on this, from last May: f-secure.com/weblog/archive…

@SecureEB #security Mourad: Google services for Handling and Cleaning Infected Websites dlvr.it/15jDkQ #infosec

Best of the week - 15 gennaio 2012

2012-01-15T09:34:00.001+01:00

This week I found a lot of interesting readings and here is the list of the best security resources.

Hope you enjoy it.

@eEye RT @hugsec: Trends in Security dlvr.it/159FtY #InfoSec #security #vulnerability

@CND_Ltd Microsoft Readying Real Time Hosted Threat Intelligence Feed bit.ly/wHQVIf via @threatpost

@dsancho66 Why Internet crime goes unpunished: is.gd/SrQXRT

@RonGula Very cool youtube video from Stratfor CEO about their recent attacks and compromises : youtu.be/ItreEs03A2k

@DrInfoSec A Practical Guide to Implementing SEC Guidance on Disclosure of Cybersecurity Risks jdsupra.com/post/documentV… [PDF is worth the quick read]

@suffert 4TB+ of rainbowtables to download freerainbowtables.com/en/tables2/ <= Distributed Rainbow Tables Project.. - (4TB??? It's a huge amount of data!!!!)

@e_kaspersky There is no winning party in #cyberwarfare. It's a boomerang as much as nuclear weapons. Great reading: bit.ly/wRSqIo

Cloud Incident Response: Detection and Declaration

2012-01-11T16:46:00.002+01:00

Modified from the original Wired's image

Here's another part of the series devoted to cloud incident response.
This time we will talk about incident detection and incident declaration. These topics are closely linked and well developed in classical environments but are still immature in cloud services, so let's begin to explore them.

Phase 1 - Incident Detection

This phase is common to every security incident and, in non-cloud environments, can be performed either by a final user who sees something strange in his/her service or by an operational team that becomes aware of the problem. In the first case, the user can warn the security that performs some checks with the operational teams in order to clear the exact nature of the reported event. In the second case, the activation of the security team is internal and, usually, the investigations will start almost immediately.

This approach is a little bit different in cloud services because the roles of the final user and the operational team are tailored in a different manner and, in some cases, the Cloud Service Provider (CSP) could have only a portion of the essential data. So, taking a closer look at the possibilities, we become immediately aware that the erogation models of the cloud services change the operational scenario. Infact, also in the simplest situation in which the service is erogated directly by only one CSP, the state changes radically if the service is a Software as a Service (saaS), or a Platform as a Service (PaaS), or an Infrastructure as a Service (IaaS).

In the SaaS case, the user has only access to some personal activity log without any access to system information. In this scenario, the CSP has to conduct all the incident detection activities and the Cloud Service Consumer (CSC) is totally dependent on the information items shared by the CSP.

IaaS represents the complementary situation; in this erogation model the CSP directly manages only the network security layer, on the contrary all the information regarding the inner layer, from the OS to the application, are a CSC matter.

PaaS is in the middle between the previous cases with a different involvement of the CSC varying the implementation.

The above reasons imply that, in order to have the right instruments to respond to incidents in cloud environments, the information sharing between CSP and CSC is essential.

Since clauses regulate every aspect of the cloud services, also these matters have to be clearly defined in the contract.

These clauses have to set at least the following features:

- the expected pieces of information that have to be exchanged

- the triggers for the information sharing

- the temporal SLA for the exchange of information

- the confidentiality level of any information shared.

Phase 2 - Declaration

In this phase, after the detection, someone has to declare the incident. This moment is crucial for the effective response of an incident; a bad move in this phase might affect all the following activities, compromising the final outcome. But, who is in charge of this activity? And, which is the best way to approach this critical phase? And finally, which cases have to go public?

These questions are pertaining to every CSP and it's nearly impossible to give indications or best practices...

except this one: "Every CSP has to be well prepared!"

A plan has to be prearranged, officially issued and shared between the operational teams.

Moreover, after every incident a review has to be performed to verify the effectiveness of the plan.

In conclusion, every CSC, while approaching a CSP, should verify the presence and the effectiveness of such a plan checking the compliance of this document with law, regulations and his requirements.

Well, for this post it is enough, in the following parts I'll share with you other thoughts on the Cloud Incident Response, so... stay tuned!

Best of the Week - 8 gennaio 2012

2012-01-08T09:22:00.001+01:00

Regular publications of the series "Best of the Week" are started again and here you can find my new selection of the best security resources of the week.

Hope you enjoy it.

@RIPE_NCC Vint Cerf: Internet Access is Not a Human Right nyti.ms/AmPQp1

@CERT_Polska_en Results of our long term analysis of the #ZeuS P2P+DGA trojan published, including the mapping out of it's network: cert.pl/news/4711/lang…

@mthorbruegge RT @ProjectHoneynet: There's a great series of malware analysis tutorials starting here: fumalwareanalysis.blogspot.com/2011/08/malwar… #malware

@VJirasek RT @PeterWoodx: Cracking 14 Character Complex Passwords in 5 Seconds bit.ly/yczo3q <- @miketmclaughlin

@CiscoGGSG 2012 Cybersecurity Trends to Watch in Government http://fb.me/1Bt5v0mpc

@suffert Allocating Security Resources to Protect Critical Infrastructure flpbd.it/QsLv

@kakroo Cloud SWAT teams - Cloud computing poses unique security challenges. Here's how cloud-specific 'security incident-re... ht.ly/1gvAjT

Thorwed: a conversation with the hacker

2012-01-05T21:20:00.000+01:00

Some days ago, I found that a governmental Italian site (qualitapa.gov.it) was hacked by an hacker named Thorwed. Thorwed owned the DB and then published all the usernames and passwords of the site (more than 9000 entries) on Pastebin. Since I work for a governmental CERT, I warned the people in charge of the security of this site and then, with the essential help of some friends, we sent an email to all the involved users asking them to change their passwords.

After few days, other two "events" occurred, the Joint Research Centre and the Rainews24 sites were hacked and, again, all data (usernames, passwords and emails) were published by Thorwed on Pastebin.

Same situation, same response.

The day after all has finished, but I was very intrigued by the actions of this hacker so I decided to leave a message on Pastebin, asking Thorwed to contact me.

This evening I found on my blog and on Pastebin this message left by Thorwed:

"# Thorwed
# I apologize in advance http://translate.google.com
# http://pastebin.com/F1VUczh2

Hi Matteo, I am Thorwed.
Let me explain about: (http://pastebin.com/uBMFL4R3).
The first laid the basis of (qualitapa.gov.it), which contained (login; pass; mail) a day later it was modified,
where I wrote the reasons for their actions:
"... I am very sad to look at the large site with such childish errors that are fixed for a few minutes.
This is especially true of government websites. In December, an error that could be eliminated within a few minutes was the diversion of 9000 + data.
I think you ask why I showed the entire database? but if I showed only a mistake nobody would have noticed.
When I put a base on pastebin.com it turns out there was already an analogy only it contained the names of the tables.
(http://pastebin.com/XLZ0iLZy) on October 10, ridiculous is not it? Nobody paid any attention to even and did not close the error."
I think the reasons for these large and important sites such as Rainews24 and others are not worth explaining.
I just want to add, in a world very vulnerable state sites.
Oh yeah I forgot to say that I stopped and I was left with a list of vulnerable sites of domain zones (. Gov.uk,. Gov.vi and others), but they will not leak.
Goodbye. Yours faithfully. Thorwed ..."

First of all, I want to thank Thorwed to have accepted my invitation.

Secondly, I want write a public answer to the Thorwed's message:

"Thorwed, I remember that you had a Twitter account in which you wrote "Con la esperanza de hacerlo mejor...".

Well, you do have the possibility to make it better... and this possibility is called "Responsible disclosure".

I don't want to bother you giving a definition of what responsible disclosure is or highlighting the importance of a such approach.

I just want to say that, if your goal is the improvement of the websites security, particularly the governmental ones, just send me your findings privately, I can forward them to the right people and then publish your discovery on my blog.

This way, you can achieve your goals and obtain the deserved visibility without harming anyone.

Think about it.

This makes the difference between an offence and a meritorious action.

Write me, this is my email address

Bye,
Matteo
-----------------------------------------------------------------------------------
Update to the post (January 13, 2012)

Some days ago Thorwed contacted me privately to submit some information regarding a couple of vulnerabilites found on many Italian sites. Most of these sites are registered by private citizens and companies but some of them are school websites within the "gov.it" domain.

In association with a friend, I performed some checks to verify the quality of these warnings then I sent a report to some of the owners of the vulnerable sites.

I want to publicly thank Thorwed for accepting my invitation to disclose this kind of information more responsibly.

In the next few days I will verify, if at least the gov.it domain will be fixed.

Tra Hacktivism e Cyberterrorism

2012-01-04T10:35:00.001+01:00

Il nuovo anno ha portato agli Israeliani un'amara sorpresa!

0xOmar del gruppo "group-xp", il più grande gruppo di hacker Wahabiti dell'Arabia Saudita, legato anche al movimento Anonymous, ha pubblicato su Pastebin e su Pastebay un comunicato in cui annuncia di aver reso disponibili i dati di 400.000 carte di credito appartenenti appunto a cittadini israeliani.

Questo gesto viene spiegato con una finalità che sta a metà tra la protesta e il "terrorismo", infatti viene chiaramente detto che questo è il primo passo di un'operazione che ha come obiettivo finale la compromissione di 1 milione di carte con i relativi dati di identità. In un paese come Israele che detiene complessivamente tra i 6 e i 7 milioni di carte, questa compromissione rappresenterebbe una quota decisamente rilevante. Se ciò si dovesse avverare comporterebbe certamente grandi problemi nel paese. Problemi che vengono anticipati nel comunicato stesso da parte degli hacker arabi:

"What's fun for us?

- Watching 400,000 people gathered in front of Israeli credit card companies and banks, complaining about cards and that they are stolen

- Watching Israeli banks shredding 400,000 credit cards and re-generate new cards (so costly, huh?)

- Watching people purchasing stuff for theirself using the cards and making Israeli credit cards untrustable in the world, like Nigerian credit cards

- and much more..."

Al di là dei numeri, che un comunicato di Isracard ridemensiona moltissimo, la cosa che trovo più rilevante in questa operazione è il cambio di strategia che vi è sotteso. Un cambio che punta alla creazione del caos attraverso l'utilizzo di informazioni e procedure che, di norma, sono appannaggio dei cybercriminali e che ora, invece, vengono usate con scopi di cyberprotesta al limite del cyberterrorismo.

Credo che questo tipo di evoluzione sia solo l'anticipazione di quanto potrà avvenire nel corso dell'anno appena iniziato.

E' infatti veramente troppo facile portare a termine questo tipo di operazioni e creare scompiglio senza dover affrontare i grandi rischi che un gruppo di terroristi che opera in maniera tradizionale è costretto a correre.

Best of the week - New Year Edition

2012-01-01T10:44:00.001+01:00

Well, a new year has come and, starting from today, we will be able to verify all the security prediction made these days.

Meanwhile, here you can find the best security resources of the last week of the year.

Hope you enjoy it.

Happy new year to all of you!!

@QatarCERT: Q-CERT Weekly Newsletter,01 January,2012 - http://eepurl.com/h_CWQ

@Security_FAQs Why Is Sand Boxing A Most Wanted Security Feature? http://bit.ly/vubIzd

@dimitribest Know the story about Stuxnet? For sure you didn't. This is the new story with the new malware platform “Tilded” https://www.securelist.com/en/analysis/...

@suffert Ideas about China’s Cyber Command - Council on Foreign Relations - http://on.cfr.org/v9amPv (cc: @taosecurity @jeffreycarr)

@hdmoore RT @effffn: are you also missing 28c3? watch the talks online http://bit.ly/vpwUec

Joint Research Centre hacked - Rainews24 hacked

2011-12-30T22:59:00.000+01:00

Ebbene si. Volevo evitare di scrivere sul blog fino al nuovo anno, ma non è stato possibile.

Oggi è stato tutto un susseguirsi di mail e telefonate e, tra veri e presunti attacchi, è uscito fuori un bel quadro.

Vi riporto solo gli incidenti più importanti... che, oltretutto sono legati allo stesso autore: il già noto Thorwed autore dell'attacco al sito qualitapa.gov.it.

Vediamo cosa ha combinato oggi...

Attacco 1 - un sito del Joint Research Centre, in particolare il sito del "Major Accident Hazards Bureau", un sito della Commissione Europea dedicato alla gestione delle politiche di controllo dei pericoli derivanti dallo stoccaggio di sostanze tossiche. Il solito Thorwed ha preso il DB degli amministratori e degli utenti registrati e lo ha pubblicato su Pastebin. La cosa che mi è saltata all'occhio è l'utente amministrativo "test"... chi vuole provare ad indovinare la password può postare nei commenti la sua proposta. Quando io l'ho provato dopo circa una ventina di ore dall'attacco era ancora tutto perfettamente funzionante, una vera meraviglia!

Ovviamente ho segnalato il tutto a chi di dovere, anche se so per certo che erano già stati informati tramite canali ufficiali.

Attacco 2 - Rainews24 stessa cosa. DB utenti e un secondo DB (probabilmente dedicato ai contributori di notizie "User Generated Content") pubblicati su Pastebin. La cosa divertente (si fa per dire) è che gli utenti in questo caso sono tutti i redattori e la struttura di rainews24. Anche qui una vera meraviglia.

Ah dimenticavo... buon anno a tutti!

------------------------------------------------------------------------------------------
Aggiornamento del 31 dicembre 2011 ore 12.

Sono stato appena informato che i gestori del sito del JRC hanno reso irragiungibile la pagina di amministrazione e che stanno gestendo l'incidente. Meno male.

ore 13
Al momento è stato messo off-line tutto il sito. Una misura un po' drastica ma probabilmente legata alla risoluzione della vulnerabilità sfruttata per l'attacco. Se volete vedere come si presentava il sito potete utilizzare la copia cache di Google.

MUMBLE - Diginotar: l'attacco che cambiò Internet

2011-12-29T16:33:00.000+01:00

Questo articolo è stato pubblicato sull'ultimo numero di Cybercrime ed è la mia riflessione di fine anno.

L'appuntamento per il prossimo post è per il 2012 (se non succede niente di eclatante...). Tanti auguri a tutti!

------------------------------------------------

Nel corso di quest'anno, quasi ogni giorno abbiamo letto di criminali che hanno violato database di grandi aziende, di spie che sono entrate nelle reti di agenzie governative di tutto il mondo, di segreti industriali che sono stati rubati da agenti prezzolati e di pubblicazioni di materiale riservato trafugato da sedicenti attivisti di varia natura.

Il 2011, probabilmente, passerà alla storia come uno degli anni più neri per la sicurezza su Internet.

Per importanza e ripercussioni, però, un evento si discosta da tutti gli altri: l'attacco alla certification authority (CA) olandese Diginotar.

Prima di tutto, per capire la reale portata di questo attacco, conviene partire dallo scenario.

Una CA emette i certificati digitali utilizzati per garantire l'identità di un soggetto in rete, sia esso un privato che un sito Internet, consentendo nel contempo la cifratura del traffico tra l'utente e il sito stesso. In questo modo sono stati sviluppati tutti i servizi a valore aggiunto basati sull'utilizzo di reti pubbliche, dall'home banking alle VPN SSL. Diginotar, recentemente acquistata da una multinazionale di sicurezza, era una CA riconosciuta a livello internazionale i cui certificati venivano verificati e dichiarati affidabili direttamente all'interno dei browser web. Qualsiasi utente, con qualsiasi browser, nel collegarsi ad un sito che presentava un certificato emesso da Diginotar, avrebbe visto comparire una notifica sul browser a sancire la sicurezza del collegamento stesso.

Diginotar erogava due tipologie di servizi di certificazione: una destinata ai privati ed una ad uso del governo olandese per l'emissione di certificati a valenza legale.

Questo è lo scenario in cui è maturato l'attacco, ma cosa è successo esattamente a Diginotar?

Il 29 Agosto è stato reso noto che un attacco aveva compromesso la CA, evento preoccupante ma già successo qualche mese prima anche alla CA Comodo. In quel caso, però, l'attacco si era risolto con poche e marginali conseguenze. Con il passare delle ore si viene a sapere che, in seguito all'attacco, era stato creato almeno un falso certificato digitale, a nome di google.com. Chiaramente questo fatto ha cominciato ad allarmare gli esperti e l'interesse per questa notizia si è innalzato notevolmente.

Anche il governo olandese è intervenuto, preoccupato del fatto che i propri certificati digitali fossero emessi proprio da un soggetto che era stato “bucato”.

La domanda che, a questo punto, ci si comincia a porre è: quanto è esteso e grave questo attacco?

Dopo pochi giorni arriva la risposta, ed è una risposta che lascia tutti gli osservatori basiti e angosciati: oltre 530 certificati falsi sono stati emessi a nome di soggetti che spaziano dai social network (FaceBook e Twitter) ai maggiori fornitori di software e servizi su Internet (Microsoft, Mozilla, Tor, Skype, LogMeIn, Wordpress e AOL), dai principali motori di ricerca (Google, Yahoo!) alle maggiori agenzie di spionaggio occidentali (Mossad, CIA e MI6).

La notizia è talmente grave che il governo olandese è stato costretto a intervenire direttamente comunicando di aver avocato la gestione della CA e di aver affidato ad una società indipendente l'analisi dell'accaduto. Il ministro degli interni ha dovuto indire in tutta fretta una conferenza stampa televisiva per dare conto delle misure intraprese. Il CERT governativo olandese infine ha cominciato ad emette una serie di bollettini ufficiali per informare degli sviluppi e delle decisioni adottate.

Ciò che emerge dalle indagini è che Diginotar aveva avuto delle indicazioni di attività malevole fin dalla metà di luglio e che aveva cercato di arginare la situazione senza successo ma che, soprattutto, aveva maldestramente cercato di coprire l'accaduto per evitare ripercussioni negative al proprio business e alla propria immagine. Emerge inoltre che il presunto hacker dietro all'attacco è lo stesso iraniano che qualche mese prima aveva attaccato Comodo, con risultati, però, decisamente più modesti. Infine, Trend Micro ed altri operatori internazionali di sicurezza pubblicano alcune ricerche che mostrano che il vero movente dell'attacco sia stata la volontà di monitorare i collegamenti Internet effettuati da cittadini iraniani verso siti considerati “sensibili” ai fini del contenimento della attività di protesta dei dissidenti.

Un vero disastro, che culmina a fine settembre con la presentazione di una formale istanza di fallimento.

La sciagurata avventura di Diginotar finisce così.

Tra le tante riflessioni che nascono da questo evento vale la pena di puntualizzarne alcune.

L'assenza di adeguate misure di sicurezza può cancellare anche una società affermata

Per la prima volta appare chiaro che nella mappa dei rischi che devono essere considerati in ambito aziendale si deve mettere in conto anche la cancellazione del proprio business a causa di un attacco informatico. Sino ad ora, gli attacchi informatici erano confinati tra quelli che potevano portare danni diretti (la cui entità poteva essere valutata in termini monetari) e danni indiretti, di natura principalmente legata alla perdita di immagine. Il caso Sony e, ancor più, il caso Diginotar, hanno mostrato che le conseguenze di attacchi informatici, in assenza di adeguate misure di sicurezza e di gestione degli stessi, possono portare conseguenze impreviste ed imprevedibili danni economici.

La sottovalutazione di questa tipologia di rischi non è più accettabile

Se ci si mette nei panni dei manager di Diginotar, vedremo che le scelte che li hanno portati a sottovalutare l'importanza dell'implementazione di un serio sistema di gestione della sicurezza delle informazioni sembravano pagare. Fino a luglio Diginotar, aveva un fiorente business, con costi di gestione ridotti. L'assenza di sicurezza probabilmente era percepita come un risparmio e non aveva dato particolari conseguenze negative. Peccato che, nel giro di qualche giorno, avrebbe condotto al fallimento. C'è sicuramente di che meditare, anche nell’ottica delle scelte che sta operando il nostro sistema paese.

L'incapacità nella gestione degli incidenti di sicurezza moltiplica gli effetti negativi

Questa vicenda mette in risalto come, nella società digitale, la capacità di difendere gli stakeholder dagli eventi relativi ad attacchi informatici sia data per acquisita. Mostrare di non essere in grado di gestire adeguatamente questo tipo di situazioni crea immediatamente un intorno di sospetto e di sfiducia che complica ulteriormente lo scenario dell'attacco. La reale capacità di reazione data dalla presenza ed efficienza di un team esperto, dedicato alla gestione degli incidenti, è un prerequisito essenziale per il contenimento delle conseguenze di un attacco.

La fiducia è un bene prezioso che deve essere tutelato adeguatamente

Tutti noi, soggetti individuali, società private e istituzioni pubbliche, abbiamo compiuto il grande passo della virtualizzazione dei rapporti. Questo passo si fonda sull'esperienza comune che, in questo modo, è possibile conseguire grandi vantaggi a fronte di rischi tutto sommato comparabili a quelli che si corrono nei rapporti “in person”. La fiducia però è un bene molto labile che deve essere costantemente difeso e tutelato. L'attacco a Diginotar ha mostrato in modo inequivocabile che la perdita di fiducia può rappresentare un moltiplicatore delle conseguenze negative di un attacco.

La domande da porsi a questo punto sono:

“Quante possibili Diginotar ci sono?” e, soprattutto, “Quante Diginotar ci saranno?”

Best of the Week - XMas Edition

2011-12-25T12:42:00.000+01:00

It's Christmas time and everybody wants to celebrate it. Also the bad guys...?

@jeromesegura Malware Fighters’ Dream Team bit.ly/t7YfJ3

@TrendLabs What botnets got taken down in 2011? Read the details at bit.ly/vny7UQ

@QatarCERT Q-CERT Weekly Newsletter,25 December,2011 - eepurl.com/h4-l2

@George_Kurtz Stolen Credit Cards Go for $3.50 at Amazon-like Online Bazaar. buswk.co/uMxVOI

@bobmcmillan US IPs are #1 source of electronic crimes in China, says Verizon; hacktivists & data breaches... bit.ly/skBBEX

@mikko Video: "Stuxnet 3.0 possible features and Hiding rootkits" bit.ly/sZkGMg By @nima_bagheri from Tehran, Iran.

And finally...
@e_kaspersky Our cyberthreat forecast for 2012 bit.ly/w3cZUG targeted attacks, hacktivism, mobile malware and cyber warfare

.... so, a happy new year to all of you!!! ;-))

Brandon Dixon - CVE-2011-2462 exploitation: a real case

2011-12-19T17:14:00.005+01:00

This summer I saw an interesting news item about a new online security tool: PDF X-RAY. This tool seemed to me so important that immediately I decided to write a post to describe its potentiality and use. I was also interested about the author of the tool, Brandon Dixon, a researcher from George Washington University, so I decided to write him an email.

Here, another nice find. Brandon is very helpful and informal. A guy with whom is a pleasure to interact.

Inviting him to write a guest post for "Punto 1" was the next step so Brandon and I agreed that whenever an occasion turns up he would write a post for my blog.

Then, two week ago I read that Brandon has published an analysis of the new 0day vulnerability of Adobe Reader I knew that the right time had arrived. Last Friday, Adobe released a patch for this vulnerability and knowing the reasons why it is important to organize the complex deployment of this piece of software is fundamental.

Brandon, thank you very much to accept my invitation. This is the moment to present your work to the "Punto 1" readers.

----------------------------------------------------------------------------------------------

On December 7th, 2011 a suspicious file was uploaded to PDF X-RAY containing references to U3D content. Normally this would not constitute more analysis, but Adobe had released an advisory documenting a new vulnerability within U3D content that was actively being exploited.

Using PDF X-RAY, I was able to identify both the trigger U3D object (located in object 10) and the heap spray (located in object 15). Reading through the specification revealed how the 3D content would be executed and what actions would be performed.

After the initial static analysis, the PDF was ran on a Windows XP SP3 machine running Adobe Reader 9.4.6 to identify any dropped files or command and control servers. Upon running the PDF file, Adobe Reader crashed and opened up a clean document that appeared to target employees of the defense contractor Mantech.

Not only was a clean file dropped, but there was also an executable named “pretty.exe” created and ran on the system. VirusTotal identified this file with generic signatures and a reference to “sykipot”. This Trojan had been analyzed before and public data revealed how it would operate. Knowing these details, Internet Explorer was started and the system was set to wait until data was sent back to the command and control server.

Sykipot injected a process into Internet Explorer and made a request to “https://prettylikeher.com” to get what appeared to be a key for encryption/decryption purposes. Matthew Wollenweber analyzed the Trojan using a debugger and disassembler to identify any other process injections and the commands used for the control servers.

After identifying the trojan being dropped and the command and control servers, focused was placed on the generation of the malicious file. Several strings within the generated document matched a proof-of-concept exploit from back in 2009. This proof-of-concept written by Felipe Manzano appeared to be the main generator used to create the malicious documents.

Shortly after the advisory was released, another variant of the exploit was seen being used in targeted attacks. These documents were encrypted with AESV3 and appeared to be generated using Adobe Lifecycle. While these documents exploited the same vulnerability, they were more successful in bypassing anti-virus because of the AESV3 encryption.

Performing analysis on the encrypted document also revealed a different Trojan being dropped on the system. Virustotal was not able to identify a particular trojan family associated with this executable, but HTTPS connections could be seen being made to 69.197.132.130. It is unclear what, if anything was sent to this command and control server, but it did appear offline.

It should be noted that the encrypted documents appeared to target defense contractor Lockheed Martin and farming company Monsanto. Given the extreme differences in document structure and trojan dropper, it is likely two different groups were involved in the use of these zero day exploits. Several signs point back to China as the creator of these documents, but this can not be confirmed.
---------------------------------------------------------------------------------------------
Bio

Beside being the Founder and CEO of 9b+, the company that owns PDF X-RAY, Brandon Dixon is also "Computer Forensics and Security Engineer with George Washington University". Moreover he is contributing to Hakin9 as Tester, Writer and Promoter.

Here you can find his LinkedIn profile

Bucato un sito del Ministero dell'Innovazione

2011-12-18T21:36:00.000+01:00

Oggi, un certo Thorwed ha pubblicato su pastebin una copia del DB utenti del sito qualitapa.gov.it appartenente al Ministero per la Pubblica Amministrazione e l'Innovazione.

Sulla pagina di pastebin si possono leggere userid, password e email dei circa 9000 utenti registrati del sito. Ho chiaramente fatto una delle solite "telefonatine" e mi hanno assicurato che la notizia era arrivata da circa un'ora attraverso una segnalazione internazionale.

Questo evento non è particolarmente diverso da altri che avvengono ogni giorno in molti siti istituzionali e privati in ogni parte del mondo. Ciò che lo rende diverso da molti altri, però, è la nostra situazione.

Come i lettori di Punto 1 sanno bene, l'Italia non si è ancora dotata di un CERT nazionale, ovvero di una struttura che si faccia carico delle attività di contenimento degli incidenti, che dia una direzione ufficiale e un coordinamento alle risorse che operativamente si faranno carico di "rimettere le cose a posto".

Quindi, ad esempio, ora sarebbe altamente necessario che gli ignari utenti i cui indirizzi mail e password sono stati pubblicati, vengano avvisati immediatamente per cercare di minimizzare il danno e dare modo a tutti loro di cambiare le password (soprattutto se hanno utilizzato la stessa anche in altri contesti).

Ebbene in questo momento nessuno sa chi ha il ruolo per farlo. E' un'attività che non è allocabile in nessuna struttura ufficiale ad oggi esistente.

Per cui con qualche amico stiamo ragionando su una iniziativa "volontaristica".

Insomma un gran pasticcio.

Speriamo che questa situazione serva a ribadire (se ancora ce ne fosse bisogno) che l'Italia ha bisogno di un CERT Nazionale.

Best of the Week - 18 Dicembre 2011

2011-12-18T10:21:00.001+01:00

This time I'm starting my list of the best security resources of the week with an "off topic" news item, but I'm sure it's really worth it! @Vendima Check this video out -- ONE OF THE GREATEST POSTS ON YOUTUBE SO FAR! youtube.com/watch?v=M8C-qI… via @MarcoBavazzano

And now it's the time of the "official" list...

Hope you enjoy it!

@e_kaspersky FAA allows airlines to replace paper books/charts with iPads zd.net/scpNhs <- one day we may regret our dependence on digital stuff

@teamcymru video of 'Yash's' (Red Force Labs) MITM POC attack against Citibank India bit.ly/vjhZWl

@Fortify Great blog post from Raf Los on the Ponemon study released yesterday--worth a read @ bit.ly/uBrXsa

@candolin2 Cybersecurity and Cyberpower: Concepts, Conditions and Capabilities for Action within the EU: oiip.ac.at/home/home-deta…

@FSecure “Social media isn’t a choice anymore; it’s a business transformation tool.” bit.ly/uRwYHm

@elie Google Docs Used in a Spam Campaign - bit.ly/sqsElC #security

Best of the Week - 11 Dicembre 2011

2011-12-11T08:55:00.001+01:00

This is my selection of the best security resources of the week.

Hope you enjoy it.

@VivianeRedingEU @mobileworldlive My speech on #privacy in the cloud – how to ensure #dataprotection in the #EU bit.ly/tcszlg

@jakeludington Great discussion with @Wh1t3Rabbit about how cloud computing is forcing us to rethink security ow.ly/1BvN56 #HPDiscover #cloud

@mthorbruegge Cyber Security: ENISA’s view on the way forward, new paper j.mp/svDult

@sansforensics Quick Malware Notes, Incident Response, and 00-outs - A while back after dealing with some heavily malware-infect... bit.ly/vRSFKa

@nigroeneveld The Most Notorious Cyber Crooks of 2011 – And How They Got Caught bit.ly/vT8iht #hacking #infosec

@SCADAhacker After seeing @SecurityTube, decided to add new Video Feeds section to How-To section of Resources - SCADAhacker - bit.ly/uZv6WE

Andrea Zapparoli Manzoni - Social Business Security & Risk Management Strategies

2011-12-09T19:41:00.001+01:00

As promised, Andrea is back with the second part of his contribution to Punto 1 and now it's the turn of the threats of "Computer aided social networking".

Those who have missed the Andrea's previous post can find it here.

As introduction to this post, I can say that sometimes I found a guest post that I feel very close to my vision and my approach to security... in this case I have a complete synthony with the Andrea's post.

Thank you again Andrea!

Punto 1 will be always open for your posts.

-----------------------------------------------------------------------------------------------

"Social Networking" is not new at all, in fact it is something that humans do since a half million years or so.

But "Computer Aided Social Networking" is *very* new, and it has so many far reaching consequences that even the terms of the problem are hard to define.

As of today, there are no laws, no institutions, no existing socio-economical nor philosophical tools that we can apply to this subject without a distinct feeling of inappropriateness. So, before we talk about risk management and security countermeasures of any kind, let me briefly introduce a couple of key concepts.

First (and hardest) concept: we are entering the uncharted waters of a new age, where computer & internet aided (some would say "augmented") human interactions become *prevalent*, both at the one-to-one and at the one-to-many level, re-shaping any other aspect of everybody's life.

This is why Social Business isn't something we already know but "with a different name", it's something completely new (like people developing all at once a new "sense", i.e. becoming able to see a different part of the spectrum, etc).

It is interesting to note here that those who do not directly participate in this new form of human interaction will be strongly affected by its consequences too, much like the invention of language did (I believe this is a much better metaphor than, for example, comparing SM to the invention of the press), since Computer Aided Social Networking is reshaping people's brains, perceptions, priorities and values, everywhere.

The second concept is also quite hard to grasp: while the Internet was mainly a technological breakthrough which generated some interesting socio-economic byproducts, Computer Aided Social Networking represents a geopolitical, socio-economical and, above all, mental phase-change for the human kind. We are going to become "Semantic Cyborgs", and because of this fact both individuals and societies will evolve in previously undreamed of directions.

This said, when talking about adopting Social Business, organizations must first realize the magnitude of the consequences, make a true intellectual effort in order to metabolize them, and change accordingly in order to survive. Reacting to these changes without a vision, on a day-by-day basis, only when and if problems arise, will most likely *not* work.

Today a company entering the Social Business arena is immediately exposing itself to a wide range of serious risks in terms of brand and reputation management, of responsibilities and liabilities towards users, customers and partners, and of open source intelligence on the part of competitors.

Of course, given that Social Media is an excellent vector for hacktivists' attacks, and cybercriminals preferred playground, its adoption will also seriously increase the probability for an organization of being damaged by having its computer systems breached, its most sensitive information / intellectual property stolen, etc...

As we described in our previous post, there are further threats that are becoming increasingly worrisome (terrorism, cyber-warfare activities, sabotage) but here let's just concentrate on the simplest and more diffuse ones. The following suggestions won't protect a company from targeted hostile cyber-warfare activities, but will certainly add resilience and protection against the most common threats.

What is required is a serious commitment from stakeholders and top management, and a continuous effort undertaken by a multidisciplinary team of highly skilled people in order to monitor, understand and anticipate trends so that it becomes possible to define, apply and enforce appropriate rules and policies dynamically, remembering that these phenomena evolve daily, almost in real time.

This is not something that the Marketing Department can handle alone, nor the IT, and not even the Security Team nor the HR or the Legal Department: all these otherwise perfectly capable professionals will fail if given the task of managing an organization's Social Business Strategy outside a multidisciplinary and truly integrated approach.

The marketing people will see all and only the advantages and the marvels of social networking, ignoring any other consideration; the IT will only see an increase in bandwidth usage and help desk calls, the Security guys will scream that shutting down the perimeter defenses would be less dangerous than opening access to SM sites to all employees (as Marketing demands), HR will only try to recruit the best resources with the lowest effort, end users themselves will happily find ways to bypass any policy and restriction, and so on. With Social Business, this is THE recipe for disaster.

There are also several main obstacles that work against the implementation of an effective Social Business Risk Management Strategy and that must be taken into account:

- Awareness of the problems is still very low at all levels (if non-existent);

- A growing number of threats is realized at the semantic level, impossible to monitor and manage with traditional security tools;

- Consumerization of Enterprise IT / BYOD are putting security workflows at risk (sometimes beyond any remedy);

- For various reasons, it is "forbidden to forbid" (especially in Italy);

- Legislation protects the privacy and freedoms of employees and users (and rightly so), complicating monitoring activities;

- Mitigation technologies are not yet up to date with the issues (nonetheless they're evolving at great speed);

- Policies and virtuous behaviors are always lagging years behind the technology (nowadays first we invent something, then we find how to make a profit out of it, then we see if there are contraindications);

In addition, recent researches showed that companies do not have adequate tools to monitor and measure data loss & leakage through Social Media, and that the phenomenon is simply out of control in 98% of cases.

So, let's go back to countermeasures. In order to find solutions applicable in the real world we must take into account strategic, educational, economic, organizational, technological and legal issues.

In a comprehensive Social Business Risk Management Strategy, there are seven areas to be simultaneously pursued:

- Create a Social Business Officer position, with a staff capable of managing risk across (at least) 5 different domains: Marketing, Legal, IT Security, HR and IT. These organizational changes are mandatory: without such a team, the organization will be blind, deaf and incapable of reacting quickly and appropriately in case of an incident or of an attack. And no, your Advertising Agency cannot supply you a Social Business Officer.

- Remedy the lack of standard procedures, organizational tools, plans and corporate culture in general by implementing continuous risk and security awareness programs, explaining and enforcing the new Social Business rules and policies to all parties involved (achieving understanding, acceptance and participation);

- Implement effective multi-layer technical tools to monitor and control in real time all the different kind of threats that flow within the Social conversation (from semantic threats to suspicious URLs to malware), whereas firewalls, proxies and antiviruses are becoming almost useless, being transparent for most of today's threats;

- Empower and responsibilize all users and corporate structures involved, for whatever reason, in the use of Social Media, and make them accountable for managing their own share of risks. Social Business is not just another IT problem and it's not only a "marketing thing". Since Social Network owners are not willing to do it, enforce strict identity and access management processes on your side;

- Reduce unnecessary risky behaviors and choose wisely the way you manage your IT Security: do not allow the marketing sirens of the Bring Your Own Device, or of Cloud based Whatever-as-a-service fool you. If somebody fries or steals your database, no cool marketing concept will bring it back;

- Measure your KSIs and your KPIs and monitor closely both progresses and failures. Ideally your security trend graph should have daily control points. If you are using more than one Social Network, measure and monitor them all, each one with its distinctive tools and parameters.

- Finally, increase your reaction speed. Nowadays the lag between the birth and growth of a risky trend and its impact on organizations has become merely weeks, not years or months like it used to be. Stay ahead of the pack and set up preventive measures, including education at all levels, an effective early warning system and contingency plans for handling incidents while they are happening, in real time, before they get out of control.

Social Business related problems are much more complex than they seem at first and there are no magic wands: the variables involved are so many, and the issues to be addressed have non-linear consequences at so many (apparently) unrelated levels, that we have no one-size-fits-all solutions yet... but we are learning fast.

I personally find it all extremely fascinating: let's talk about it!

-----------------------------------------------------------------------------------------------

Bio
Andrea Zapparoli Manzoni was born in Milan in 1968.
With a multidisciplinary background both in political science and in computer science, since 1997 he developed an active interest in ICT security, with particular reference to GRC (Governance, Risk and Compliance), cybercrime and cyber warfare issues.
Over the years he worked in the IDM, IAM, DLP, Anti Fraud, Security Intelligence, Forensics, Vulnerability Assessment & Management fields in Enterprise, Industrial, Central PA and Gov-Mil environments.
He writes articles and essays on InfoSec topics and follows very closely all developments in Cybersecurity, working as a trusted advisor with national and international organizations.
He partecipates to the activities of CLUSIT (Italian Association for Information Security) speaking at conferences, contributing papers (two ROSI patterns about IAM and DLP, seminars about SCADA Security and Social Media Security) and spreading the culture of IT Security in Italy.
In addition to collaborating with numerous Italian and foreign companies, he is the founder and CEO of iDialoghi, a consulting firm specializing in the design and implementation of advanced information security solutions, including the Social Business Security field.

Cloud Incident Response: a tangled scenario

2011-12-06T11:47:00.001+01:00

A detail from Constable's "Landscape with clouds"

This is the second post of the “Cloud Incident Response” series and, after the announcement of the CloudSIRT project, I want to begin our journey through this matter starting from the base... the scenario.

Infact, we need to investigate in detail the way in which the services are delivered in the cloud to better comprehend the reasons behind the necessity of a new and efficient approach to the Incident Response process.

Well, the majority of people think the world of cloud services is made by Consumers and Providers, but the reality is much more complicated. At the moment, mature cloud services are not a matter of you and your provider, instead, as the NIST highlights, at least three other major actors are involved in this business. These new actors (for a full definition of these roles see the “NIST Cloud Computing Reference Architecture”) are the following:

- Cloud Broker (the entity that manages the final services and the relationships between providers and consumers)

- Cloud Carrier (the intermediary that provides connectivity and transport of cloud services)

- Cloud Auditor (the independent examiner of cloud service controls to verify compliance).

To complicate matters further, a cloud provider can use subcontractors to deliver some specific features of his services (e.g. storage, computational resources, network, etc.).

So, in the real market, a consumer finds offerings for services that involve a combination of many players and each of these can contribute to the final service with a different weight and role. Finally, a consumer would not be completely aware of all the interactions amongst the providers of the service because, usually, he signs a contract with a front-end provider that, in some cases, could have an interest to hide the complexity behind the proposed service.

You can easily imagine that each of these players have to face general and specific threats (an interesting document on the cloud threats is the “Top Threats to Cloud Computing“ by Cloud Security Alliance) and security risks. The complex supply scenario multiply these threats and security risks combining them in various ways. As result, a security incident in the cloud involves many layers of the service with multiple mutual interactions and each layer involved could be managed by a different actor.

In one word, a mess!

So, incident response in the cloud is an activity that relies mostly on communication and information sharing among the various actors involved. A wise cloud consumer wants to be part of the incident response process but, often, a cautious cloud provider needs to maintain the whole process in his hands. Moreover, the provider has specific needs not to disclose some pieces of information belonging to other customers uninvolved by the incident. So, despite all the difficulties, the solution is to achieve a good balance between these diverging requirements and the only tools that can be used to regulate these information interchanges are contractual clauses and Service Level Agreements (SLA).

Hence, the first step in addressing an efficient incident response process is to set up specific contractual clauses regulating the information flows regarding incidents.

To achieve a good balance of these different needs, these clauses have to set, at least:

- a clear definition of an incident

- the incident declaration procedure

- the needs of cooperation between consumer and provider

- the expected information flows to/from the consumer in every phase of incident response

- the perimeter in which the incident related data can be used and shared

- the procedures and triggers to involve the law enforcement agencies

- all the involved parties along with their roles

In my opinion, this is the only way to lay the foundation stone for an effective incident response process within the cloud.

In the next parts I will focus on the ways to exchange data related to incidents and on the phases of the incident response process in the cloud… so, stay tuned!

Best of the Week - 4 Dicembre 2011

2011-12-04T08:47:00.001+01:00

This week, beside the articles, I found some interesting security reports. Here you can read my list of the best security resources of the week.

Hope you can enjoy it.

@RSA_Fraud Are you Smarter than a Fraudster? yfrog.com/ocb1clbj Take our quiz to see! rsa.im/tOiGQi

@fpietrosanti National Counterintelligence 2011 Executive Report to US Congress ncix.gov/publications/r…

@nientenomi Utility Cyber Security Report. Seven key smart grid security trends to watch in 2012 and beyond zite.to/t1iW27 by PikeResearch

@CiscoGGSG Military crypto modernization leads to applications like smartphones, tablet computers on the battle fb.me/V1GIDK5v

@cedricpernet A new #IRM ( #incidentresponse Methodology) is out, this time about #scam #fraud - on CERT SG's website: bit.ly/mxb82p - @nientenomi I suggest also these information security policy templates http://www.sans.org/security-resources/policies/

@SecureTheHuman Top ten tricks for successful security awareness presentations. How to engage and present with impact by @lspitzner. bit.ly/tp2aWv

Best of the Week - 27 Novembre 2011

2011-11-27T08:30:00.001+01:00

It's Sunday which means it's time for another "Best of the Week" post.

Here you can find the list of my favourite security resources of the week.

Hope you enojoy it.

@RealSecurity Best Practices for Keeping Your Home Network Secure - NSA [PDF] nsa.gov/ia/_files/fact… #security

@gcluley Graham RT @NakedSecurity: The Conficker worm, three years and counting bit.ly/sVG9kW

@RealSecurity DNS Cache Poisoning (excellent read) resources.infosecinstitute.com/dns-cache-pois… #security

@assolini now is time to Brazilian crooks to invite customers of local Banks to "update" their RSA tokens twitpic.com/7i0a8q

@CERTXMCO U.S. confirms it will use military force in response to cyber attacks thetechherald.com/article.php/20… via @thetechherald

@DoDRecruiterDC Top 7 cybersecurity predictions for 2012 bit.ly/sUI8tM #infosec #cybersecurity via @kanguru_news

@cyberwar Assessing India's Cyber Preparedness. scribd.com/doc/69726906/J… <== excellent article!

MUMBLE - A cosa serve un CERT Nazionale

2011-11-24T09:56:00.001+01:00

Negli scorsi giorni una notizia ha dominato il mondo della cybersecurity: negli Stati Uniti, un ignoto hacker ha avuto accesso a un sistema di gestione dell'acqua potabile e, tramite l'invio di una serie di comandi, ha provocato la rottura di una pompa.

La notizia è molto più articolata di così ma, per il mio obiettivo odierno, possiamo fermarci qui (se invece volete altri dettagli, potete agevolmente trovarli in rete).

Chiaramente questa notizia è estremamente preoccupante, se l'ignoto hacker è stato realmente in grado di rompere una pompa avrebbe anche potuto alterare dei parametri di funzionamento rendendo l'acqua imbevibile, oppure avrebbe potuto rompere tutte le pompe e mandare in tilt l'intero sistema. E se invece avesse preso di mira un fornitore di energia, o un impianto chimico? Insomma si aprono scenari da vera e propria cyberwar.

Bene, appena si è diffusa la notizia, sono immediatamente partite le indagini (che, al momento, tendono a minimizzare l'evento) dell'FBI e dello US-CERT. E proprio di questo voglio parlare oggi.

A cosa serve un CERT Nazionale? Ho avuto modo di fare una chiacchierata "tra amici" qualche giorno fa, e ho avuto conferma che, purtroppo, a differenza dei tecnici, i livelli decisionali italiani non hanno ancora messo a fuoco correttamente la missione di un CERT nazionale. Che sia questo il motivo del nostro immobilismo su questa delicatissima materia?

Proviamo a fare chiarezza con un esempio tratto, appunto, dalla recente cronaca.

Oggi, giovedì 24 novembre 2011, un ignoto hacker mette fuori uso le pompe di depurazione dell'acqua dell'ACEA (non me vogliano gli amici di ACEA, è solo un esempio). A Roma si diffonde il panico, l'acqua sarà ancora potabile? La magistratura apre un fascicolo contro ignoti e la Polizia delle Comunicazioni inizia le indagini. E, fino a qui ci siamo...

Ma chi supporta ACEA nelle proprie indagini interne? Chi supporta la gestione dell'incidente, garantendo che siano fatti gli interessi pubblici e non solo quelli dell'operatore coinvolto? Chi determina le contromisure che devono essere realizzate affinché un incidente di questa dimensione non succeda nuovamente? Chi contribuisce a diffondere le notizie ufficiali agli altri operatori di settore in modo che tutti mettano in atto le necessarie misure preventive? Chi si coordina con le altre strutture internazionali per avere un quadro più generale della situazione? Chi distribuisce informazioni ufficiali al pubblico tramite rapporti con i media garantendo che sia privilegiato l'interesse pubblico rispetto all'interesse privato dell'operatore?

La risposta è semplice... NESSUNO!

In Italia, nel 2011, queste attività vitali non sono di competenza di nessuno.

Ogni operatore deve cavarsela da sé e la Polizia, giustamente, si attiva solamente al fine di individuare i responsabili dell'eventuale atto criminoso (se dietro a tutto ci fosse un malware, come ad esempio Conficker, non succederebbe quasi niente) ed assicurarli alla giustizia.

Come sa chi è già un lettore di questo blog, ritengo che questa sia una situazione indegna di un paese evoluto che, come il nostro, basa la propria vita sociale e finanziaria su infrastrutture informatiche.

Questa situazione deve essere sanata quanto prima.

Ma ora sono stanco, vado a bere un bel bicchiere di acqua fresca... finché posso!

The CloudSIRT project

2011-11-21T09:27:00.001+01:00

The Cloud Security Alliance Congress is just finished and many interesting news has been released, such as:

- Security Guidance 3.0

- CloudSIRT project

In the next days I will write a post to describe the major changes in the Security Guidance but today I'm going to write about CloudSIRT, a project in which I am participating. The big news is that the evaluation of the membership applications will start by the end of November; organizations that will join by February 20th will become Charter Members and will enjoy additional membership benefits.

CloudSIRT (or better, CloudCERT*, the real name of the initiative), as the name suggest, is a project aimed to the development of Incident Response best practices and information sharing within cloud environments. In fact, the mission of this project is to "Enhance the capability of the cloud community to prepare for and respond to vulnerabilities, threats, and incidents in order to preserve trust in cloud computing"... and this is a very ambitious mission.

In the last months, in order to create a framework to achieve the mission, our working group (led by John Howie and Jim Reavis), has stated the following principles:

- foster an open and collaborative environment among members that supports the goal of safe and secure cloud computing;

- seek to fill gaps in knowledge and capabilities specific to cloud computing security, while avoiding duplication of effort and conflict of ownership;

- be a responsible and responsive partner to governments, law enforcement and security organizations;

- provide real value with demonstrable positive effect in achieving our mission and goals;

- strive to build trust with constituent members, third-party security organizations, and cloud community at large so that information will flow freely to CloudSIRT;
- behave professionally and ethically within the membership and with any external contacts.

This project is an official CSA initiative that was conceived of at the same time as the CSA but was formally announced only one year ago. During this year, among other activities, we have been working on a bylaw that regulates the organization, relationships, memberships and activities of CloudSIRT.

First of all, we established that no cost will be requested to join CloudSIRT and eligible members will be limited to qualified organizations in the following categories:

- Cloud Providers;

- Telecommunications providers;

- CERTs, CSIRTs and ISACs (and similar).

However, upon approval of a two-thirds majority of the Board, other organizations will be able to join CloudSIRT.

More specifically, for Cloud Providers we intend organizations owning and managing the infrastructure used to provide service that offer Public, Private or Community clouds (with one or more of IaaS, PaaS or SaaS), maintaining a permanent, dedicated Incident Response team and holding a direct relationship with their customers.

The eligible Telco Providers must have a carrier-class backbone and/or long-haul network connections over which public IP traffic is routed, must have established peering relationships with other telecommunications provider and maintain a permanent, dedicated Incident Response team.

Finally, eligible CERTs CSIRTs and ISACs must be established by statute or regulation, or designated as a national or regional CERT/CSIRT by the national or regional government with jurisdiction or must be recognized by a national or regional CERT/CSIRT as an industry CERT or ISAC.

Within CloudSIRT, the member organizations will share information regarding operational threats such as:

- attacks against infrastructure;

- malicious activity detected;

- evidence of compromise of another member;

- source of attacks, signatures and patterns, account names, etc.

Since these pieces of information are critical and may contain sensitive data (Personal data/PII, financial information, etc.), all members are requested to sign a multi-party NDA that protects the confidentiality of the information. We are also working on agreements, procedures and operational guides to ensure a legal handling and sharing of this data.

CloudSIRT will share information within three communication perimeters:

- among member organizations as part of routine operations;

- with the CSA and its Working Groups to enable further research;

- externally to the public, to governments, and to industry.

Actually, not all the information will be shared in all ways, nor simultaneously so, in order to regulate these flows of information, we decided to use a so called "Traffic Light Protocol" that puts in relation the information and the communication perimeters.

CloudSIRT will publish all public information through its official communication channels (website, twitter account and mailing list) that soon will be set up.

Finally, as all the Cloud Security Alliance initiatives, CloudSIRT has a focus on research and will contribute to CSA WGs, in particular those linked to the Guidance “Domain 9: Incident Response” and “Domain 3: Legal and Electronic Discovery”. Moreover, CloudSIRT will contribute to external research specific to its focus and consistent with its Charter.

In the next days, I will publish other posts regarding Cloud Incident Response and CloudSIRT in particular so, if you are interested in these subjects... stay tuned!

-----------------------------------------------------------------------------------------------

*In the US and other countries, Carnegie-Mellon University owns the right to the name ‘CERT’ so, we have begun the process of licensing CloudCERT with CMU and, at the moment, we have an agreement in principle to use CloudCERT but we are using the name CloudSIRT until we have ratified this formal agreement.

Best of the Week - 20 novembre 2011

2011-11-20T08:38:00.001+01:00

This week, many worrying details were published about water utilities and chemical industries as targets of sofisticated cyber attacks. I have selected the most interesting security articles of the week and now, as every weekend, I'm presenting you my "Best of the Week".

Hope you enjoy it.

@Cephurs RT@CNETNews: Hacker "pr0f" hacked into Houston water plant to demonstrate utility vulnerability to cyberattack cnet.co/txOByF

@sambowne Second water utility reportedly hit by hack attack bit.ly/ugFTuk

@CompuSecure Hackers attack Norway's oil, gas and defence businesses sns.mx/BVgXy5

@peterkruse More on the "Fawkes" virus. A video on Youtube (just uploaded) claims that Anonymous have unleased Fawkes on Facebook, youtube.com/watch?v=-fhF0t…

@ryanaraine Our Duqu FAQ has been updated with information on multiple easter eggs in the malware code securelist.com/en/blog/blog?w…

@mikko Hackers hacking hackers. German carder forums featured in e-zine "Owned and Exposed": bit.ly/sw0IbX #CC

La guida del CERT-EU sul malware

2011-11-13T19:05:00.001+01:00

Partiamo dall'inizio, da qualche tempo è stato attivato il Computer Emergency Response Team Europeo, il CERT-EU appunto. Un'iniziativa di grande valore e spessore per tutta l'Unione Europea che ci pone finalmente al livello degli americani che, con lo US-CERT, hanno proposto al mondo uno dei modelli più importanti per le strutture nazionali dedicate alla prevenzione e gestione degli incidenti.

Il neonato CERT-EU sta iniziando a popolare il proprio sito di informazioni utili e di guide per gli utenti. Da qualche giorno è stato pubblicato un documento dal titolo "Security White Paper 2011-003 - Windows Malware Detection (Incident Response Methodology)".

Prima di entrare nel vivo della descrizione di questo documento devo sottolineare, come mio solito, quanto sia grave la mancanza per l'Italia di un CERT nazionale e quanto questo metta tutti i cittadini e le imprese italiane in posizione di svantaggio rispetto ai nostri partner internazionali (in un momento di grave crisi economica un handicap ancora più sentito), distanziandoci sempre più dall'Unione Europea nel campo della tecnologia e dell'utilizzo del cyberspace.

Bene, ora veniamo alla guida.

Tra gli indizi che il CERT-EU indica come riferibili ad una possibile infezione ci sono:

- un comportamento anomalo dell'Antivirus (un allarme, l'impossibilità di aggiornarmento il DB delle firme, il fermo di uno o più servizi o l'impossibilità di eseguire scansioni anche se lanciate manualmente)

- un comportamento anomalo del disco rigido (il disco rigido "frulla" a lungo senza apparente legame con le attività correnti)

- un comportamento anomalo del computer (improvviso rallentamento, riavvi senza motivo, crash senza apparente motivo di alcune applicazioni o pop-up che si aprono in modo decontestualizzato rispetto all'uso)

- un comportamento anomalo della rete (connessione a Internet molto lenta per la maggior parte del tempo di navigazione (si vede che sono europei e non italiani... loro hanno la banda larga, noi il digitale terrestre, dove si riesce a vedere...))

- l'inserimento in una black-list del proprio indirizzo IP statico (per chi ce l'ha)

- un comportamento anomalo dei sistemi di comunicazione (email, IM, ecc).

Saltando tutti i passaggi intermedi, che potete leggere direttamente sulla guida, si giunge alle indicazioni per il ripristino:

- fare il reboot da un live CD e fare il backup, su un disco esterno, di tutti i file importanti

- rimuovere i binari del malware e tutte le configurazioni di registro (fare riferimento alle best-practice dei vendor antivirus)

- avviare una scansione antivirus online

- lanciare BartPE live CD con degli strumenti antivirus (in alternativa avviare un live CD prodotto da un vendor AV)

- se possibile reinstallare il Sistema operativo e le applicazioni e fare il restore dei dati da un backup affidabile

- recuperare i file eventualmente danneggiati dal malware, soprattutto se sono file di sistema

- fare il reboot della macchina e verificare se il sistema funziona correttamente e riavviare una scansione completa.

Relativamente ai passaggi di bonifica, vi ricordo che su Punto 1 potete trovare la guida dedicata al malware con molti link a risorse e procedure esterne.

Voglio chiudere questa breve analisi del white paper guida del CERT-EU ricordando che tra le azioni indicate a valle del contenimento viene suggerito di fare una valutazione dei costi dell'incidente. Questa attività renderà più semplice fare le giuste valutazioni per le allocazioni del budget da destinare alle contromisure per il malware.

Mi permetto di aggiungere, però, un ulteriore passaggio alla guida del CERT-EU e suggerisco di effettuare, a valle della bonifica, una scansione con Secunia On-line scanner per verificare gli aggiornamenti dei programmi installati. Questo permette di eliminare le eventuali vulnerabilità che sono state sfruttate per l'installazione del malware.

Best of the Week - 13 novembre 2011

2011-11-13T08:42:00.001+01:00

Many interesting news this week. This is my selection of the best security resources of the week.

Hope you enjoy it.

@mthorbruegge #CERT-EU is now #TI listed trusted-introducer.org/teams/teams-c.… #fb

@DebbieMahler Best Cloud Computing Security & Best Computer Forensics Tool: Throughout the day, SC Magazine will be announcing... bit.ly/vCYqka

@CND_Ltd Duqu Created to Spy Iranian Nuclear Program goo.gl/bA0Pt via @softpedia

@RSAConference @MishaGlenny writes about why you can’t trust the cyber crime stats. Do you agree? bit.ly/vBbNVs

@SCADAhacker NSS Labs releases Duqu Analysis & Detection Tool - bit.ly/sIgLNA

@RealSecurity Blogging Cybersecurity: Looking Back at the Best, Worst and Most Surprising shar.es/onols #security #cyber

Best of the Week - 6 Novembre 2011

2011-11-06T08:47:00.001+01:00

Here's my selection of the best security resources of the week.

Hope you enjoy it!

@mikko A collection of whitepapers and presentations on Russian cybercrime and online attacks 2000-2010: bit.ly/rTvbrz

@ArMyZ Read, keep and save it -The Immutable Laws of Security zite.to/sGhKG8

@cyberwar Interesting if corroborated.Cyber attack on key Nuclear facility in Mysore? asianage.com/india/cyber-at…

@mikko F-Secure's Questions & Answers on Duqu: bit.ly/DuquQA

@stiennon There is no cyber war the same way there is no nuclear war - Forbes onforb.es/tckxW1

@DrInfoSec E&Y: "An executive should know their CISO well and be in constant contact." banktech.com/risk-managemen… <- QOTD!!!

@danchodanchev "Soon we will be facing cyber terrorism" is.gd/kUXG6z not at all, as cyber jihad is currently threat number one is.gd/sRjaSI

Information Warfare Conference Rome 2011

2011-11-02T14:01:00.003+01:00

Il 27 ottobre scorso si è tenuta la seconda edizione della Information Warfare Conference di Roma organizzata anche quest'anno da Maglan e promossa da CSSI, Link Campus University, ISPRI e dal Centro studi Gino Germani. Tra le novità di quest'anno, oltre ai numerosi patrocini da parte di enti pubblici, c'è stata l'assegnazione della "Medaglia del Presidente della Repubblica" a sottolineare l'importanza di questo evento nel panorama nazionale.

Il tema della conferenza era "La sfida della cyber-intelligence al sistema Italia" e, come lo scorso anno, l'agenda era particolarmente ricca di interventi. Riporterò quindi solo alcuni estratti delle numerose notizie ed analisi interessanti che sono state presentate nel corso della mattinata.

La Conferenza è stata aperta da Paolo Lezzi (CEO Maglan Europe) che ha presentato l'evento e ha quindi lasciato la parola al prof. Umberto Gori che ha sottolineato l'importanza del cyber-space per tutto il mondo dell'intelligence e della counter-intelligence. Tramite il cyebr-space, infatti si aprono scenari fino a pochi anni fa del tutto inaspettati e, entro certi limiti, ancora poco compresi (basti pensare alla facilità con cui Bradley Manning ha copiato le 250.000 pagine di cablo poi pubblicati di WikiLeaks. Se avesse dovuto fare delle copie fisiche, la situazione sarebbe stata ben diversa. NdA). L'intervento è proseguito poi:

- sottolineando la necessità di avvalersi delle PPP (Public-Private Partnership) per indirizzare correttamente queste nuove problematiche caratterizzate da elevate complessità multi-dimensionali

- invocando una concertazione internazionale per una gestione globale di queste problematiche

- sottolineando la necessità di definire metriche effettive per la misura degli impatti causati da incidenti informatici.

Infine, il professor Gori ha chiuso il suo intervento con una nota polemica sulle scelte effettuate dall'Italia nel campo della protezione delle infrastrutture critiche, che sono state tardive e non sempre improntate all'efficacia e tempestività che questi temi richiederebbero.

L'on. Vincenzo Scotti ha poi ripreso alcuni concetti mettendo in evidenza come il tema dell'intelligence, soprattutto di tipo economico, sia vitale per la difesa delle imprese in tempi di crisi come quelli che stiamo affrontando.

Il prof. Luigi Germani ha invece analizzato le varie tipologie di intelligence e di utilizzo del cyber-space come campo di confronto tra entità statuali e non. In particolare ha sottolineato come l'efficacia delle attività di influenza, ingerenza e disinformazione strategica sia moltiplicata dall'utilizzo dei media che si basano sui social network e sui nuovi mezzi di comunicazione.

Il Dott. Paolo Scotto di Castelbianco ha invece puntato sulle difficoltà create ai paesi maggiormente evoluti dalle vulnerabilità intrinseche al cyber-space, sia dal punto di vista delle possibili minacce statuali, sia dal punto di vista di minacce meno canoniche come quelle rappresentate dagli hacktivist. Questi ultimi, in particolare, seguendo motivazioni sempre più liquide e cangianti e creando una sfiducia diffusa nella sicurezza della rete, hanno un ruolo particolarmente rilevante nel panorama internazionale delle minacce.

Il C.F. Danilo Murciano ha individuato, nell'anonimato garantito dalla rete e dalla forte asimmetria tra chi attacca e chi si difende, i temi dominanti della intelligence nell'era cyber-space. Ha inoltre posto il dominio legato al cyber-space come trasversale agli altri domini (acqua, aria, terra e spazio), sottolineando quindi le interdipendenze che si vengono a creare tra le operazioni militari canoniche e quelle cyber e la conseguente crescente importanza della "Information Superiority" come obiettivo strategico. L'intervento si è chiuso con una riflessione sul bisogno di dotarsi di regole chiare in questo nuovo dominio, ad esempio per determinare quando un attacco cyber possa essere considerato un atto bellico, con tutte le conseguenze del caso.

Shai Blitzblau, citando gli "air-gap", ossia le separazioni tra le reti dedicate a sistemi critici e le reti connesse ad Internet, si è soffermato sull'inefficacia di queste tecniche di sicurezza, soffermandosi invece sull'importanza dell'approccio complessivo alla sicurezza e della costante attenzione ai fenomeni e ai segnali deboli. Dal punto di vista dell'intelligence ha poi citato due fenomeni "collaterali" all'utilizzo del cyber-space per questi fini:

- le difficoltà di mantenere la segretezza delle attività di preparazione di una operazione di intelligence dato che, a differenza ad esempio di una telecamera, i mezzi che devono essere sviluppati per fare sorveglianza di un bersaglio cyber sono molto specifici per ogni dato target

- la necessità di disporre di un ampio arsenale di cyber-weapon perché queste armi sono caratterizzate da una grande efficacia che però si viene a depauperare completamente a seguito del primo utilizzo, rendendole quindi inadatte a utilizzi successivi.

Andrea Rigoni, ha esordito con una provocazione dicendo che siamo già all'11 settembre della cyber security solo che non ce ne siamo ancora accorti. Il suo intervento è poi proseguito citando le varie problematiche del DNS che il GC-SEC sta contribuendo a mettere in luce. Il DNS, infatti, è una componente fondamentale delle reti che però è stata concepita nel '93 senza che, ovviamente, fosse possibile intuire le enormi evoluzioni negli utilizzi che sarebbero seguiti. Oggi il DNS soffre di una mancanza di sicurezza intrinseca e indotta, la prima è dovuta appunto alla sua vetustà, la secoda invece dipende dalla mancanza di una vera governance che ne possa indirizzare le evoluzioni.

Come avrete letto, quindi, questa conferenza è stata un evento molto interessante e, in un'Italia sempre più avvitata sui propri problemi e senza grandi slanci verso il futuro, svolge un ruolo importante nel mantenere alta l'attenzione su questi temi.

MELANI: il nuovo report del CERT svizzero

2011-11-01T21:48:00.000+01:00

Ieri, MELANI, il CERT svizzero, ha rilasciato il nuovo rapporto sullo stato della sicurezza informatica in Svizzera e nel resto del mondo.

Come sempre, gli esperti svizzeri hanno fatto un eccellente lavoro, riunendo in unico documento tutti i fatti ed i fenomeni salienti dei primi sei mesi del 2011.

Scorrendo il documento potrete trovare, ad esempio, alcuni dati relativi:

- all'aumento del fenomeno dello "skimming" (la clonazione di carte di pagamento) in Svizzera,

- agli attacchi degli Anonymous e di Lulzsec,

- all'aumento degli attacchi con finalità spionistiche

- agli attacchi contro Sony e RSA.

In particolare, voglio però ricordare qui 3 argomenti che mi hanno colpito particolarmente e che riporto brevemente.

Il primo riguarda l'approccio cauto delle banche svizzere verso lo sviluppo di applicazioni mobili per l'home banking. Nel rapporto si ricorda che, a parte qualche rara eccezione, le "apps" distribuite dalle banche svizzere sono finalizzate più alla diffusione di notizie utili sull'andamento dei mercati che alle transazioni bancarie vere e proprie. A questo proposito, viene analizzata la difficoltà di impostazione di un corretto approccio all'autenticazione forte in contesti come quelli degli smartphone. In questi device, infatti, l'invio di sms con credenziali di accesso di tipo one-time (mTAN) è una misura debole, visto che risiede sullo stesso apparato che ospita anche l'applicazione e gli altri tipi di distribuzione di credenziali (chiavette, token e tabelle) sono poco consoni all'uso mobile.

Il secondo punto che voglio riportare è l'impatto degli attacchi con finalità spionistiche nella vita quotidiana delle aziende svizzere ed internazionali. MELANI, infatti, ha voluto sottolineare la diffusione degli attacchi ad aziende, governi e istituzioni finanziarie finalizzati alla sottrazione di dati riservati. Nel rapporto viene analizzata una delle tecniche maggiormente utilizzate che è messa in atto attraverso l'invio di mail contenenti malware verso dipendenti dell'ente target. MELANI conclude questa riflessione con l'invito alla propria constituency ad attrezzarsi per fronteggiare un possibile attacco di questo genere perché la probabilità di accadimento è ormai piuttosto alta.

Il terzo ed ultimo aspetto su cui volevo soffermarmi è l'annuncio che il governo elvetico è in procinto di varare la propria strategia per la cyber security. La Svizzera sarà così annoverata tra i paesi europei ed occidentali che hanno già varato questo fondamentale strumento a garanzia della sicurezza delle proprie infrastrutture. Il rapporto ci ricorda che, tra gli altri, USA, Inghilterra, Germania, Olanda Francia, Repubblica Ceca e Spagna sono già dotate di una strategia di sicurezza e che altri paesi si stanno aggiungendo.

Questa notizia mi fa sentire ancora più forte la mancanza in Italia di una struttura che svolga le funzioni di un CERT nazionale. Il nostro paese, infatti, sta ormai rimanendo sempre più isolato in Europa e nei consessi internazionali non avendo né un CERT nazionale né, tantomeno, una strategia che detti le priorità di intervento. Tanto per dire, l'Europa ha disposto che entro il prossimo anno tutti i paesi membri siano dotati di un CERT nazionale e anche paesi meno tecnologici e dipendenti dalla rete come ad esempio il Ghana si sono dotati di un CERT.

Che dire di più... complimenti a MELANI per l'ottimo lavoro.

Best of the Week - 30 ottobre 2011

2011-10-30T08:36:00.000+01:00

That's the new post of the "Best of Week" series, in which you can find my personal selection of the best security resources of this week.

Hope you enjoy it.

@computersandlaw Cloud Legal Project have a recording of Dr Ian Walden's talk on law enforcement access to cloud data available at bit.ly/nqaChB

@FSecure How to Create a Fake Identity and (Try to) Stay Anonymous Online lifehac.kr/rULTcC

@CiscoSecurity Security Quiz - easier than the one we had at BlackHat, have you tried it yet? bit.ly/vsvQ3V

@nigroeneveld Using Pastebin Sites For Pen Testing Reconnaissance bit.ly/rddagj

@andreglenzer Further evidence of Certificate Authority break-ins: http://goo.gl/9SVtK

@paulsparrows XML Encryption Cracked! bit.ly/rd0RFU #Infosec

Andrea Zapparoli Manzoni - 2011, InfoSec’s “Annus Horribilis”

2011-10-25T17:00:00.000+02:00

The "Voci Amiche" section of Punto 1 starts again hosting contribution from other security experts.

I'm very happy to announce that we are beginning with a good friend of mine and a very capable expert: Andrea Zapparoli Manzoni.

His experience and passion in his work in the field of social media security make him a prominent figure among the Italian security experts.

I agreed with Andrea that his post will be divided in two parts so... stay tuned!!

Andrea, the floor is yours!

-----------------------------------------------------------------------------------------------

Social Business Insecurity: Espionage, Cyberwar and Trans-national Cybercrime

A 2008 report of the Center for Strategic and International Studies (CSIS) Commission on Cybersecurity for the 44th Presidency noted: ‘we began with one central finding: The United States must treat cybersecurity as one of most important national security challenges it faces’ (CSIS 2008).

Let's admit it: three years later things didn’t get any better, on the contrary, they seriously worsened. Without fear of being dubbed as scaremongers, we can say that 2011 was a real "annus horribilis" for InfoSec, probably the worst ever, and that, at least until now, both industry self-regulation and law enforcement oversight have almost completely failed in the cyber security space.

The same foundations of e-commerce, home banking and of any other sensitive online activity (including expressing dissent) have been shaken by the recent attacks on the Certification Authorities infrastructure (Comodo, DigiNotar and even RSA, in a sense), leaving us wondering whether we should completely rethink the trust model that is one of the cornerstones of the Internet today.

The prevailing compliance-focused security model is showing all its shortcomings too, and has clearly become obsolete when compared to the evolution of threats: not only diffuse cyber-hacktivism has fully demonstrated its potential with LulzSec and Anonymous (ask Sony!), but high tech skills are now available for rent on a global scale to a variety of customers, including nation states, corporations and other interest groups (i.e. criminal cartels and terrorists), changing the security game forever.

We're also witnessing the birth of trans-national cyber mercenary units and the unregulated proliferation of shadowy private contractors (the HBGary scandal being just a glimpse of what is brewing in the cyber-underworld, well beyond the reach of public scrutiny).

The feeling is that the situation is getting out of control, and that all the advantages that the new digital domain has brought to our everyday's lives are now at risk of being seriously hindered by the stupendous growth of cyber threats and of their intensity, if this trend isn’t somehow reversed.

Social Business Insecurity

While Social Business is touted as the new frontier of economic activity, attracting huge investments and creating a lot of expectations, associated risks are completely underestimated.

The marketing hype surrounding the steep rise of Social Networks adoption has masked the reality of a corresponding growth in espionage, cyber crime and cybewarfare activities performed through them.

The potential consequences of organized cybercrime, cyber-espionage and cyberwarfare activities coupled with Social Media platforms are, as of today, not well understood and mostly ignored.

With an estimated billion logged users per day, Social Media are the “place” where everything happens nowadays, almost in real time and without any serious monitoring capability in place. It is extremely hard, both economically and technically, to react to Social Media delivered threats in a timely and organized manner, which can then be amplified and spread to a world-wide audience in a few minutes.

Furthermore, it seems that the owners of Social Media platforms have no interest, or at least are not paying enough effort, into making their digital environments less prone to misuse.

Cyber-espionage (expecially from the far east) has reached never seen before levels of sophistication and is now the world's primary cause of intellectual property theft, becoming more aggressive by the day, while some analyst are already stating that we just entered a new “Cold Cyberwar” age.

With regards to cyberwar, many developed countries are loudly declaring that they are defining ad-hoc cyberwarfare doctrines and building up both offensive and defensive cyber capabilities, establishing military commands and special hybrid groups (military and civilian) for the purpose, while at the same time they are getting every day more vulnerable and susceptible to devastating cyber-attacks on their digital infrastructures, caught in a self fulfilling prophecy.

Meanwhile trans-national cybercrime is growing exponentially (+250% in 2011 compared to 2010), having reached an overall estimated 2011 turnover of 7Bn $ while inducing worldwide direct and indirect losses for 388Bn $ (a 55:1 ratio!), an amount of lost wealth that is bigger than Denmark’s GDP.

For their very nature, Social Media are not only affected by the usual Internet threats (frauds, scams, spam, phishing, whaling, identity theft, malvertising and infections hit tens of millions of users every year), but are also becoming the new tool of choice for OSInt and enemy groups infiltration, social engineering and PsyOps, unfair competition, surveillance and target acquisition (as was recently demonstrated in Lybia and during the “Arab Springs”). Social Media have now become not only the Arcadia of digital social interactions, but also the equivalent of a world-wide, free C4SIR for any antagonist group, a perfect cyberweapons delivery system and, of course, cybercrime’s preferred playground.

In this scenario it is clear how Social Media platforms themselves have become not only a major infection vector but at the same time a weapon, a battlefield and (therefore) a primary target, which makes them quite a dangerous environment for establishing large scale business operations.

Also, due to the fact that Social Media Security awareness is completely lacking, not only within the general population but also among law-makers and top managers, laws, policies and safe behaviours are also lagging years behind the adoption of the technology, in all environments.

This creates a huge, nearly untractable problem for nowadays security teams, because of the sheer number of users involved, and because

1) SN are intrinsically based upon a (mostly false) sense of trust between their members,

2) SN authentication methods are weak to say the least and identity is not verifiable (nor verified),

3) attacks are mostly performed at the semantic level, well above firewalls and antimalware defenses, and

4) mobile devices and the “consumerization” of Enterprise IT (which is spreading also among the military!) are making traditional defenses unworkable.

There are specific countermeasures that we can apply in order to mitigate Social Business related risks, but they require huge investments, a strong committment, diffuse education at all levels, organizational and technological radical changes, and the hard work of many skilled people (not only in the InfoSec field) in order to be effective. We’ll discuss them in the next article, stay tuned.

-------------------------------------------------------------------------------------------

Bio

Andrea Zapparoli Manzoni was born in Milan in 1968.

With a multidisciplinary background both in political science and in computer science, since 1997 he developed an active interest in ICT security, with particular reference to GRC (Governance, Risk and Compliance), cybercrime and cyber warfare issues.

Over the years he worked in the IDM, IAM, DLP, Anti Fraud, Security Intelligence, Forensics, Vulnerability Assessment & Management fields in Enterprise, Industrial, Central PA and Gov-Mil environments.

He writes articles and essays on InfoSec topics and follows very closely all developments in Cybersecurity, working as a trusted advisor with national and international organizations.

He partecipates to the activities of CLUSIT (Italian Association for Information Security) speaking at conferences, contributing papers (two ROSI patterns about IAM and DLP, seminars about SCADA Security and Social Media Security) and spreading the culture of IT Security in Italy.

In addition to collaborating with numerous Italian and foreign companies, he is the founder and CEO of iDialoghi, a consulting firm specializing in the design and implementation of advanced information security solutions, including the Social Business Security field.

Best of the week - 23 ottobre 2011

2011-10-23T09:50:00.000+02:00

Duqu, the son of Stuxnet, has attracted many attentions this week. I has my own opinion on this topic and I'm trying to obtain some confirmations. Next week, probably, I will publish something on this subject.

Here's my list of the best security resources of the week.

Hope you enjoy it.

@marcomorana "@WebSecurityNews: Hackers Spied on Board Directors After Nasdaq Breach - Enterprise Security Today ow.ly/1fgaFv"

@AdobeSecurity Note: The next quarterly #AdobeReader, #Adobe #Acrobat #security updates have been rescheduled for Jan 10, 2012. adobe.ly/oAyZ0u

@josephmenn FBI official says secure, alternate Internet is needed to protect critical systems - wapo.st/qqRWk3

@marcoriccardi The Biggest Security Breaches Of All Time bit.ly/oNvZF7

@FSecure Who gets your Internet passwords when you die? on.msnbc.com/nJIWlX

@nigroeneveld Using Pastebin Sites For Pen Testing Reconnaissance bit.ly/rddagj

Best of the Week - 16 ottobre 2011

2011-10-16T09:38:00.001+02:00

Here's my list of the best security resources of this week.

And this week we serve... many videos!

Hope you enjoy!

@mthorbruegge Cyber Security: Thousands of video lectures from the world's top scholars j.mp/npsKK9

@jduck1337 Check out @0xcharlie 's @PaulDotCom interview on Pwn2Own and more - ustream.tv/recorded/17719…

@taosecurity Honker Union of China reorganizing for defense, plans to avoid cybercrime on.wsj.com/o2wYaI Probably true; want to make less risky money?

@gianlucaSB Public/Private Collaboration to Fight Botnet Plague ow.ly/6U0mL

@josephmenn Where are countries most vulnerable to cyber attacks? Do we need an "Internet 2"? More stories are up at ft.com/intl/indepth/c…

@DoDRecruiterDC How to Secure Federal Data in the #Cloud soc.li/WZ53M9E #bigdata #infosec #cybersecurity via @spinzo

@0xcharlie Why you shouldn't report bugs (i.haymarket.net.au/News/201110140…) Especially web bugs!

MUMBLE - Di droni, malware e SCADA

2011-10-14T14:29:00.000+02:00

Questa riflessione nasce da una serie di notizie che hanno catturato l'attenzione dei media in questi giorni.

La prima è sicuramente la più nota: è stata scoperta un'infezione, causata da un malware, sui sistemi di controllo degli aerei senza pilota americani (i droni appunto) che vengono utilizzati per le missioni di eliminazione mirata dei militanti di Al-Qaeda in Pakistan.

E qui sorge la prima serie di riflessioni e domande. Ma è possibile che questi sistemi, così critici da un punto di vista tattico e strategico, in grado di lanciare attacchi cinetici che causano la morte di esseri umani, siano così poco protetti da cadere vittime di un malware qualunque?

Se la risposta è si, vuol dire che gli americani sono tutto fumo e niente arrosto.

Se la risposta è no, allora vuol dire che non è proprio un malware qualunque quello che li ha infettati. E quindi, se si prosegue su questa linea di pensiero, ci dobbiamo chiedere: "Ma come si infetta un sistema d'arma come quello?". Non credo che ci siano allegati da aprire o link malevoli da cliccare. Restano quindi: l'accesso fisico alle macchine (tipo chiavetta USB o dischi vari), gli accessi diretti via rete o, peggio ancora, le "logic bomb" installate su qualche componente software o hardware. Insomma scenari che prevedono un pesante impegno di intelligence, risorse professionali e tecnologie d'avanguardia. In ogni caso scenari da brividi.

Non bastasse questo, la seconda notizia è che i tecnici che hanno scoperto il malware hanno cercato di bonificare le macchine infette senza coinvolgere i gruppi che si occupano di cybersecurity per l'aviazione americana. Come dire... "Do it yourself". Un fatto gravissimo se fosse vero.

La terza notizia è che un comunicato ufficiale minimizza l'accaduto e asserisce che si è trattato di un banale keylogger destinato a rubare credenziali di giochi on line ad infettare il sistema. Il vettore d'infezione? Un disco USB infetto. Tutto fumo e niente arrosto dunque? Non ci giurerei.

Il mio commento a questo punto è: Stavolta è andata bene ma se qualcuno decidesse di organizzare un attacco, vista la situazione, potrebbe certamente fare dei gran bei danni, senza dover necessariamente ricorrere a scenari da "Mission Impossible". Come Stuxnet ha d'altronde insegnato a tutto il mondo.

L'ultima notizia che mi ha colpito è che i sistemi di funzionamento dei motori dei 747, anche quando sono in volo, possono essere acceduti da remoto dai tecnici dalle compagnie aeree per modificarne la configurazione dei parametri. E che la sicurezza non è certamente il punto forte dell'operazione.

Fermatevi un attimo. Respiro. E adesso rileggete la frase. Se non vi siete spaventati vuol davvero dire che avete un'incrollabile fiducia nel prossimo e nella tecnologia.

Io no. Io sono spaventato da queste notizie. Se provate a unire tutte queste notizie la sensazione è che ci siano in giro degli apprendisti stregoni che mettono tutti quanti a rischio con scelte che non garantiscono un pieno controllo della situazione. E credo quindi che un ripensamento nell'uso di questo tipo di tecnologie sia necessario.

Auspicabilmente prima che qualche evento ci metta tutti davanti all'evidenza dei fatti.

Best of the Week - 9 ottobre 2011

2011-10-09T15:09:00.000+02:00

This is the week in which Steve Jobs has passed away. My thoughts are for his family and his friends. I'm convinced that the world is a poorer place without him.

Here my list of best security news of the week.

Hope you enjoy it.

@GovInfoSecurity #NIST Issues Continuous Monitoring Guidance. bit.ly/mS5YMQ #infosec #ITsecurity #cybersecurity

@jduck1337 Check out @0xcharlie 's @PaulDotCom interview on Pwn2Own and more - ustream.tv/recorded/17719…

@lastknight Online Penetration Testing Tools bit.ly/pYW0pg

@CompuSecure Chrome extension enables remote computer control sns.mx/Bzfuy6

@CERT_Polska_en #Malware (probably a #keylogger) hits Predator and Reaper US military drones! Security specialists can't remove it... wired.com/dangerroom/201…

@nicfab Disegno di legge canadese sull'obbligatorietà della data breach notification bit.ly/osXESA (The proposal for a Canadian data breach notification law)

@RealSecurity [Updated] Malware Removal Guide for Windows - added #malware symptoms selectrealsecurity.com/malware-remova… #security #virus

Ottobre 2011: il mese della...

2011-10-04T12:56:00.001+02:00

Non ho resistito. L'occasione era troppo ghiotta. Due iniziative che occupano il mese di ottobre, due Stati alle prese con problemi diversi e sensibilità diverse, due modi di interpretare il futuro e la tanto agognata crescita, due modi di coinvolgere i cittadini in un'iniziativa pubblica con risvolti sociali.

Ma quali paesi? E quali iniziative?

1 - Stati Uniti - Ottobre 2011 il mese della cybersecurity

2 - Italia - Ottobre 2011 il mese del riciclo

Fermi! Non banalizziamo, non lasciamoci subito andare a grida di dolore. Superiamo il momento di tristezza immediata e proviamo a ragionare.

Sarà solo la nostra miopia a farci occupare di "monnezza" invece che di cybersecurity? Probabilmente no, probabilmente queste differenti scelte nascono da differenti visioni del proprio futuro come paese e da differenti contingenze nei problemi percepiti dalla popolazione.

Entrambe le iniziative partono dalla constatazione che la consapevolezza e l'educazione sono componenti essenziali per riuscire a modificare i comportamenti dei cittadini. E' però certo che se oggi si lanciasse in Italia un'iniziativa come quella statunitense, visto che non c'è una sensibilità diffusa su questo tema, sicuramente qualcuno storcerebbe il naso e penserebbe che l'iniziativa nasce per far "contento" qualcuno.

Abbiamo sicuramente ancora tanta strada da fare... speriamo almeno che non sia invasa da cumuli di "monnezza"

Best of the Week - 1 ottobre 2011

2011-10-02T09:30:00.001+02:00

Many interesting things have happened this week: a dangerous botnet was neutralized and an interesting report was released.

Here you can find my list of the best security resources of the week.

Hope you enjoy it.

@teamcymru Microsoft Neutralizes Kelihos Botnet, Names Defendant in Case bit.ly/pD5rEx

@CiscoSecurity Cisco SIO: Preparing for DNSSEC- Best Practices, Recommendations, Tips and Traps bit.ly/nPltXg

@FSecure The dangers of online crime: Q&A with Mikko Hypponen bit.ly/qwaf7q

@SCADAhacker October is Cyber Security Awareness Month: DHS Eval Tool - bit.ly/qNLNJl SH: Make your #ics community aware of your security policy.

@stefan_frei RT @dsancho66: Infographic: If You Get Hacked, What Do You Stand to Lose?: bit.ly/oH5fwA

@ibmxforce We just published our 2011 Mid-Year Trend and Risk Report: http://ow.ly/6I66W #security #ibm

Un consiglio di lettura: Ghost in the Wires

2011-09-30T17:17:00.000+02:00

Cosa non ti aspetteresti mai da un autore famoso per aver scritto un libro dal titolo "The Art of Deception"?

La sincerità.

Ebbene, la sensazione che ho avuto leggendo questo libro è che sia un libro sincero, al limite del candore in alcuni punti. E questa è una dote molto rara e apprezzata, almeno da me.

Ma veniamo ai motivi per i quali ho scelto di consigliare questo libro.

1 E' un libro davvero godibilissimo, si legge come un romanzo e quasi si è tentati di dimenticare che la trama ci è nota. Si arriva fino al punto di sperare che Kevin non venga arrestato, che riesca a far perdere le proprie tracce...

2 Fondamentalmente Kevin Mitnick ha deciso di mettersi a nudo in questa autobiografia che approfondisce diversi aspetti della sua personalità e del suo carattere. A questo proposito ho trovato molto interessante il rapporto che ha sviluppato nel tempo con le attività di hacking. Un rapporto quasi di dipendenza, tanto che scrive: "Hacking was my entertainment. You could almost say it was a way of escaping to an alternate reality - like playnig a video game. But to play my of choice, you had to stay alert at all times. One lapse in attention or sloppy mistake, and the Feds could show up at your door. Not the simulated G-men, not the black wizards of Dungeons and Dragons, but the real, honest-to-God, lock-you-up-and-throw-away-the-key Feds.". Molto intrigante è anche la descrizione del rapporto che ha con la madre e la nonna e con le altre persone importanti della sua vita (la sua ex moglie Bonnie ad esempio), che riflette un affetto profondo e una condizione di dipendenza dovuta principalmente alla sua debolezza psicologica e materiale connessa alla sua condizione di ricercato o indagato. Infine mi ha colpito molto anche il suo rapporto con gli amici e i suoi compagni di avventura, descritti senza mai insistere troppo sui loro lati negativi e con una naturale propensione al perdono per tutti coloro che, così di frequente, lo hanno tradito o messo in difficoltà.

3 La spiegazione delle sue motivazioni per l'hacking, così ben descritta, vale il libro. L'Hacking visto come ricerca, come sfida intellettuale spinta dalla pura sete di conoscenza e non da motivazioni normalmente più comprensibili, come il denaro o il potere. Questo atteggiamento mentale, che come ho detto in precedenza in alcuni punti sfiora il candore, è veramente molto interessante soprattutto in un momento storico come il nostro in cui il cyberspazio e la società stessa sono dominati da biechi interessi materiali. La sua sincerità nel sottolineare l'importanza del disinteresse verso i potenziali benefici materiali che avrebbe potuto ottenere mettendo "a frutto" le sue conquiste, è sottolineata anche dall'apprezzamento intellettuale che esprime verso figure che lo hanno affascinato (Poulsen e Shimomura ad esempio) a prescindere da ciò che è derivato dal loro rapporto con Kevin.

4 Le sue "magie" sono sempre un valore aggiunto, mai banali, a volte al confine con l'arte per il loro senso estetico intrinseco.

Insomma il libro mi è davvero piaciuto e l'ho divorato in pochi giorni.

Complimenti!!

BEAST: un attacco contro SSL

2011-09-26T15:43:00.001+02:00

Durante una recente conferenza sulla sicurezza che si è tenuta a Buenos Aires, è stata presentata una ricerca portata avanti da due ricercatori (Rizzo e Duong) su un'innovativa modalità di sfruttamento di una vulnerabilità negli algoritmi di cifratura utilizzati nei protocolli di sicurezza SSL e TLS 1.0.

Allora vediamo un po' di capirci qualcosa...

Innanzitutto il nome BEAST è un acronimo per Browser Exploit Against SSL/TLS.

Poi bisogna capire che, anche se come tutti sanno il protocollo SSL serve a proteggere le comunicazioni a valore aggiunto su Internet, questa ricerca non significa che da oggi non sia possibile effettuare collegamenti sicuri usando questi protocolli.

Se volete avere un'idea di come funzioni l'attacco e di quali impatti ci siano potete fare riferimento agli ottimi contributi pubblicati sui blog di Paul Sparrows o del progetto TOR. Ciò che interessa di più a me invece è fare qualche piccola riflessione a margine di questa notizia.

Innanzitutto è da notare come siano sempre più frequenti le notizie che mettono in evidenza come Internet sia stato concepito per assolvere a dei compiti molto diversi da quelli che abbiamo via via costruito e che soprattutto l'"ambiente" sia diventato molto diverso da quello iniziale. E' infatti utile ricordare che Internet è nato per collegare istituti di ricerca e governativi in un contesto in cui la banda e le capacità elaborative erano assolutamente scarsissime. Adesso, invece, abbiamo le cloud che forniscono capacità elaborative e di banda pressoché illimitate, siamo oltre 3 miliardi di utenti (di cui molti attraverso dispositivi mobili), facciamo "girare" fiumi di denaro e di business sulla rete e dobbiamo quotidianamente fare i conti con un sempre più incombente "dark side" (cybercrime, cyberwar e quant'altro).

Per riuscire a transitare dal contesto iniziale allo scenario attuale sono stati sviluppati nuovi "pezzi" (autenticazione forte, cifratura, solo per citarne alcuni) e sono state sviluppate "pezze" per alcuni elementi chiave (IPv6, DNSSEC, ecc.).

Ciò che sta succedendo sembra però indicare che le "debolezze strutturali" siano tali da richiedere un approccio innovativo che riparta proprio dalle fondamenta di Internet e che fornisca un "ambiente" qualitativamente e quantitativamente adeguato agli usi odierni della rete.

Un sogno? Forse, però pensare di riuscire a garantire lo sviluppo della società moderna per il tramite di mezzi tecnologici che con cadenza quotidiana mostrano la loro inadeguatezza è un azzardo che, a mio parere, non si può ulteriormente scegliere di correre.

Best of the Week - 25 settembre 2011

2011-09-25T10:35:00.000+02:00

Did you miss some security news? Here's the list of my favourite security resources of the week.

Hope you enjoy it.

@cyberwar Voice of Russia: Russia seeks equal cybersecurity for all http://english.ruvr.ru/2011/09/23/56634644.html <===Ya think? Really?

@SecurityWeek If You Missed It > The Evolution of Malware http://bit.ly/oN09jY

@quasidot 5 secrets to building a great security team - Computerworld http://tumblr.com/x8d4sndumu

@teamcymru Position Paper: Why are there so many vulnerabilities in web applications? (pdf) http://bit.ly/qwEdXu

@teamcymru On-line tools to test your DNS setup http://bit.ly/oNpoX7

@mtrojnar OWADE is an interesting tool to decrypt data encrypted with Syskey/DPAPI: http://t.co/ixpjMers

MUMBLE - Il fallimento di Diginotar cambierà Internet?

2011-09-22T11:47:00.001+02:00

La notizia è grossa, Diginotar, la certification authority olandese attaccata a fine estate, ha dichiarato fallimento.

Anzi l'ha fatto Vasco, la società che recentemente aveva comprato Diginotar per cercare di estendere il proprio mercato e le proprie potenzialità nel campo dei sistemi di autenticazione.

Questa notizia mi ha fatto sorgere molti pensieri e quindi ho deciso di condividerne alcuni con voi.

Innanzitutto mi viene in mente un vecchio proverbio che si adatta bene alla situazione attuale: "Tanto tuonò che piovve".

Infatti, dopo un lungo periodo in cui si sono susseguiti attacchi sempre più eclatanti a vari soggetti, civili e militari, si è giunti al punto che la vittima di un attacco ha dovuto fronteggiare una situazione talmente grave da trovarsi nell'impossibilità di proseguire il proprio business.

E tutto questo potrebbe portare alla...

Sindrome da paese pericoloso

Sul sito del Dipartimento di Stato americano c'è una sezione dedicata alla lista dei paesi considerati pericolosi nei quali si sconsiglia di viaggiare. Ecco ciò che viene detto a proposito dei criteri per la composizione di questa lista: "Il Dipartimento di Stato è portato a raccomandare ai cittadini americani di evitare o di considerare il rischio di un viaggio quando in un paese si riscontrano condizioni protratte e a lungo termine che rendono un paese pericoloso o instabile" (la traduzione è un po' libera ma altrimenti era complicato rendere il concetto).

Se Internet fosse un paese fisico, cosa ne direbbe il Dipartimento di Stato americano ora che oltretutto c'è anche scappato il "morto"? Sono sicuro che la lista verrebbe aggiornata così:

E in un paese pericoloso cosa succede? Crollano gli investimenti, i traffici di beni e persone tendono a rallentare e soprattutto gli altri paesi si cautelano facendo due cose:

- avvisano i propri cittadini di stare alla larga

- predispongono delle cosiddette "Unità di crisi" che possano aiutare chi si trova nei guai.

E chi nonostante tutto si trova a dover viaggiare in quei posti cosa fa?

- stipula una polizza che lo copra da tutti i possibili rischi

- si fa accompagnare da una scorta armata

- cerca (direttamente o indirettamente) di ottenere dei salvacondotti

Se ci pensate è proprio quello che sta avvenendo su Internet, la maggior parte degli Stati (noi purtroppo facciamo parte della minoranza) hanno avviato programmi di "awareness" nei confronti dei cittadini e si è dotata di CERT nazionali in grado di fronteggiare le emergenze. I privati invece stanno cercando di trasferire parte dei rischi stipulando sempre più polizze assicurative e cercano soluzioni di sicurezza che li mettano almeno parzialmente al riparo dagli attacchi. Per quanto riguarda infine la ricerca di salvacondotti non posso citare casi specifici ma la situazione che si sta creando, ormai da tempo, è simile al pagamento del "pizzo", la formazione di accordi con gruppi malavitosi al fine di evitare spiacevoli "incidenti".

Dato che su Internet quasi tutto si basa sulla fiducia, i tempi non sono certo brillanti.

Best of the Week - 18 settembre 2011

2011-09-18T10:03:00.000+02:00

Here is my new list of the best security resources of the week.

Hope you enjoy it!

@chagall12 Privacy day on.fb.me/mYJYO2 #privacy

@eEye U.S., AUS to add cyber realm to defense pact dlvr.it/ldk8L

@RSAConference RT @PwC_LLP 43% of companies think they have an effective #info security strategy in place but few are security leaders pwc.to/q0zVpH

@cloudsa Seeking Safety in Clouds: CSA's Jim Reavis in the WSJ on benefits of cloud for SMBs http://me.lt/5g2se

@SecMash 10 Things CIOs Don't Know About Cyber Security - CIO Insight dlvr.it/lCbTS #InfoSec

@HP_AppSecurity Are your web apps vulnerable? New risks report is an #EnterpriseSecurity must-read. bit.ly/p0g8Jm #infosec #HP

Best of the Week - 11 settembre 2011

2011-09-11T12:19:00.001+02:00

Today it's a very special day, it's the tenth anniversary of the 9/11. My thoughts are for that tragedy and for all the people that lost their lives that day. I have been struck by a comment on the New York Times: "The #1 lesson was that our government failed; their #1 job is to protect us".

My hope (and my work) is that this comment will never be written after a cyber attack.

It's now the time to list the best security resources of the week.

Hope you enjoy it.

@suffert Did The September 11th Attacks Blind Us To A Digital Pearl Harbor? flpbd.it/kgaw < good piece by @threatpost

@teamcymru UK newspaper interview with Turkish Turkguvenligi high profile DNS #hackers bit.ly/pjOsdi

@danchodanchev Reading: Hacktivism: a Theoretical and Empirical Exploration of China’s Cyber Warriors - bit.ly/oJ6tyn [pdf] #cyberwar #China

@nigroeneveld Cybercrime Attribution: An Eastern European Case Study bit.ly/onmcRh Russian Hacking News linkd.in/kHEVhx #hacking #russia

@paulsparrows The latest cyberattacks reinforce the need to adopt #DNSSEC bit.ly/otdq1V #Infosec #Security

@cyberwar Ross Anderson on UK cyber spend. Too much offense, not enough defense. http://t.co/vTO73up

Diginotar: un nuovo passo verso la cyberwar

2011-09-05T16:56:00.002+02:00

Un po' forte come titolo ma vediamo quali sono le ragioni che mi portano a questa riflessione.

Prima di tutto il punto della situazione.

Nei giorni scorsi si è scoperto che una certification authority olandese, Diginotar, era stata "bucata" e che era stato prodotto almeno un certificato falso intestato a Google.com. Poi, pian piano, sono emersi altri particolari e si è capito che i certifcati erano senz'altro più di uno. Microsoft ha rilasciato un bolletino speciale e ha ritirato Diginotar dalla lista dei certificatori presenti in IE. Stessa cosa hanno fatto Google con Chrome e Mozilla con Firefox (aggiungendo che Diginotar era bandita per sempre dai loro browser) ma non ancora, incredibilmente, Apple con Safari.

Ieri si è avuta la lista completa dei certificati falsi generati con l'utilizzo di della CA Diginotar. Leggendola vengono i brividi... una lista di oltre 530 certificati falsi che comprende di tutto: Facebook, Google, Microsoft, Yahoo!, Tor, Skype, Mossad, CIA, MI6, LogMeIn, Twitter, Mozilla, AOL e WordPress, solo per citarne alcuni dei più importanti.

Un disastro. Tanto che si è mosso addirittura il ministro olandese degli interni con una conferenza stampa in cui ha annunciato la revoca ufficiale della fiducia verso Diginotar come CA governativa.

Infatti, una delle due linee di servizi di Diginotar ("PKIoverheid") era focalizzata sui servizi di e-gov e le evidenze hanno mostrato che non si poteva più ritenere ancora affidabile questa CA.

Ieri sera quindi un interessantissimo post di Securelist metteva in evidenza questo episodio come più importante e grave di quanto non sia stato Stuxnet.

Ma perchè tutto questo clamore? Fondamentalmente perchè con questi certificati si possono effettuare attacchi del tipo "man in the middle" e ingannare gli utenti facendoli collegare a finti siti o intercettandone le comunicazioni senza che ne abbiano alcun sentore. Data la lista dei certificati falsi, che includono social network, software house e varie agenzie di intelligence la cosa diventa oltremodo preoccupante.

Oggi, dopo una serie di speculazioni, è arrivata una presa di posizione ufficiale di Trend Micro che, tramite l'analisi della propria rete di sensori, è arrivata a stabilire che il fine di questo attacco sia il monitoraggio delle attività Internet dei cittadini iraniani aggirando i sistemi anticensura che permettono ai dissidenti di collegarsi all'estero con relativa sicurezza.

Tenendo presente che i certificati falsi, oltre a consentire di ingannare i browser, potevano anche consentire di installare software malevolo con firme digitali apparentemente validate, il livello di attenzione per questo attacco è veramente altissimo.

Ecco perchè, dopo Stuxnet e la dimostrazione patente che con un codice informatico si poteva mettere fuori uso una infrastruttura critica altrimenti difficilmente attaccabile, questo nuovo attacco dimostra come sia possibile compromettere la sicurezza delle comunicazioni e degli approcci di e-gov basati sui certificati digitali.

Speriamo che questa rapida scalata verso le dimostrazioni di fattibilità degli attacchi militari nel cyber spazio abbia una pausa che permetta a chi di dovere di studiare il modo di gestire queste situazioni senza sfociare in un vero e proprio conflitto armato.

Best of the week - 4 settembre 2011

2011-09-04T10:20:00.000+02:00

Here we are at the usual publication of the "Best of the week" post. My personal list of the best security resources of the week is at your disposal.

Hope you enjoy it.

@Shadowserver Shadowserver releases new AV Test Suite Results: http://bit.ly/nbA3Az

@Raj_SamaniRaj Neelie Kroes, #cloud computing needs trust and security in the system for the technology to flourish: http://bit.ly/oSlHB9 #CAMM

@INFOSECSchool Vivek Kundra Makes the Case for Government Cloud @InfosecIsland http://goo.gl/DeYbZ

@DarkReading 1/3 of security pros aren't practicing what they preach & most not making changes in light of hi-profile attacks: http://tinyurl.com/3fkdta9

@BrianHonan France Introduces Data Security Breach Notification Requirement for Electronic Communication Service Providers http://bit.ly/rihfWk

@SecurityTube [Video] How to not get hired for a security job http://securitytube.net/video/2156 by J4vv4D

PDF X-RAY: un utile strumento per la sicurezza

2011-08-30T15:30:00.000+02:00

Ho pensato molto al modo migliore per riprendere la pubblicazione dei post dopo la pausa estiva e, alla fine, ho deciso che avrei ricominciato con una buona notizia... compito arduo di questi tempi!

Alla fine ho deciso di parlare di PDF X-RAY, uno strumento rilasciato ad inizio ad agosto in concomitanza del BlackHat e del DEFCON; il momento migliore a detta di Brandon Dixon, autore del tool.

Ma veniamo al sodo, cos'è PDF X-RAY?

E' uno strumento molto efficace e di semplice utilizzo per aiutare a determinare se un file PDF sia o meno vettore di un possibile attacco. PDF X-RAY, in combinazione con altri strumenti quali gli strumenti di analisi che ognuno di noi ha sul proprio computer o con altre risorse disponibili in rete (come ad esempio VirusTotal) può condurre all'effettuazione di analisi molto affidabili.

L'utilizzo è veramente molto semplice, si procede con il caricamento del file sospetto attraverso un'interfaccia Web (sono disponibili anche delle API) e quindi si ottiene un report davvero molto completo.

Il PDF inviato viene infatti ad essere confrontato con migliaia di altri PDF noti per contenere malware cercandone eventuali affinità. Viene inoltre svolta un'approfondita analisi degli eventuali oggetti contenuti all'interno del file evidenziandone la natura, la dimensione e il potenziale sfruttamento di vulnerabilità note.

Sulla destra del report viene proposta un'immagine della prima pagina del file che, spesso, può essere di aiuto nella determinazione della natura malevola del file (e qui un piccolo appunto devo però farlo... nel database dei report, pubblicamente consultabile, è contenuta anche questa informazione. Quindi, se fate l'upload di un documento legittimo aspettatevi che la prima pagina diventi automaticamente pubblica con tutte le possibili implicazioni del caso. Per questioni di privacy, si potrebbe limitare la pubblicazione dell'immagine ai soli PDF individuati come malevoli).

Infine è possibile generare un report molto completo che consente di effettuare molti tipi di "drill-down" sui dati generati.

Se a questo punto siete diventati curiosi e volete avere altre informazioni, potete andare sulla home del sito dedicato dove è pubblicato un video esplicativo molto chiaro.

Insomma, un'ottima idea che ha dato vita ad un bello strumento di analisi.

Complimenti!

Best of the week - 28 agosto 2011

2011-08-28T10:47:00.000+02:00

My summer vacations are ending, so next week the blog publication will start again at usual rate. Also the "Voci Amiche" blog posts will resume in September with an important contribution by a very well known security expert.

But, at the moment, it's time for the list of best security resources of the week.

Hope you enjoy it.

@cyberwar The Next New Cyberdefense Strategy: Monitor Everything - Laura Mather @SilverTailSyst http://t.co/R9ouJUC

@josephmenn -- @MishaGlenny recommends 5 #cybersecurity books via @TheBrowser, including Fatal System Error: bit.ly/r1z0PY

@marcomorana OWASP Application Security Guide For CISO, updated tinyurl.com/43xhskr

@nigroeneveld When botnets try to break in, do you know which doors should be locked? bit.ly/oqTxuN #botnet #infosec #malware

@RiaHyman RT @ibmcloud: Crafting a #cloud security policy ibm.co/qe0M2O #IBMcloud

@Bruce_Schneier How Microsoft Develops Security Patches http://to.ly/aZMv

@stefan_frei Aus DOD: "Strategies to Mitigate Cyber Intrusions": Top 4 strategies would have prevented 85% of intrusions in 2010 bit.ly/r0nUGa

Best of the Week - 21 Agosto 2011

2011-08-21T14:43:00.000+02:00

In this hot Italian summer, here are some refreshing security resources... my "Best of the week" listing!

Hope you enjoy it!

@nigroeneveld Sailing the Sea of OSINT in the Information Age (Studies in Intelligence) 1.usa.gov/cweng6

@nigroeneveld Who Should Handle Serious Internal Investigations? (Infosec Island) bit.ly/olKLzO

@ibmxforce New #ibmxforce blog: Our Presentation on Secure Open Wireless Networking bit.ly/rscCBr

@HenkvanRoest Samsung Hires Android Hacker, Steve "Cyanogen" Kondick bit.ly/rnrwWa

@markrussinovich More scary cybersecurity news: GAO finds that FDIC cybersecurity is lacking. Wonder what other departments look like. bit.ly/nMURSb

@paulcsfi Alarm Sounded as Cyber Attacks on U.S. Defense Base Multiply lnkd.in/_gVxTc

Best of the week - 14 agosto 2011

2011-08-14T16:38:00.000+02:00

It's August and it's time for vacation... but for me a Sunday is not a Sunday without my listing of the best security resources of the week.

Hope you enjoy it.

@0xcharlie One of my kids not practicing good password security. Like father like son. http://t.co/Ald4eDe

@nigroeneveld NIST Computer Security Division: Special Publications http://1.usa.gov/8Lc6GL SANS Information Security Reading Room http://bit.ly/aePxP Checklists and Step-by-Step Guides http://bit.ly/or4p0Q

@xme Don't forget your MS patches! "IE, Windows server bugs likely to be exploited soon" (source: http://bit.ly/opMknk)

@suffert Man-In-The-Middle Attacks http://flpbd.it/N34Z < great overview..

@pauldotcom Top 10 Things I Learned at #Blackhat 2011 #Defcon 19 & Ten Reasons You Know You've Been In Vegas Too Long http://bit.ly/rfm5bY

@RonGula More Cyber-War Rhetoric from Marcus Ranum via IANS : http://bit.ly/rracx2

Best of the week - 7 agosto 2011

2011-08-07T12:04:00.000+02:00

Here is my weekly listing of the best security resources.

Hope you enjoy it.

@mikkohypponen Fake Flash player malware for Mac OS X changes your Google search results on the fly: http://bit.ly/pd4S2Q from F-Secure blog

@markrussinovich This is leadership? US cybersecurity is a revolving door of exiting officials http://t.co/V0LgAk3 via @BetaNews

@helpnetsecurity Testing the cloud - http://bit.ly/pYAyZH

@JANETCSIRT Using Google as a security incident detectorhttp://bit.ly/rgvEtj harness the search power of Google to identify security breaches -- A very interesting approach!!

@SecMash Study: Cybercrime costs on the rise from last year http://dlvr.it/dZrqt

@McAfeeNews Blog: Revealed: Operation Shady RAT: Download the PDF version of Operation Shady RAT report For the last few yea... http://bit.ly/qOCSGP

Best of the week - 31 luglio 2011

2011-07-31T10:24:00.001+02:00

It's Sunday morning and it's time for a new "Best of the week" post!

Hope you enjoy it.

@klightowler: FBI shares lessons of Zeus botnet ring takedown http://bit.ly/qvDOlG

@ChetWisniewski: Obama outlines strategy to combat transnational cybercrime http://bit.ly/pGJRoQ

@regsecurity: Crypto shocker: 'Perfect cipher' dates back to telegraphs http://bit.ly/mYo2Lj

@msftmmpc: Announcing the newest MMPC Research and Response Lab: http://t.co/ORvb9YY

@Canaudit: "The cost of cybercrime" - http://t.co/HUv1o2Z

@0xcharlie: That italian song in the pwnies is pretty good! http://www.youtube.com/watch?v=aTwMZR1Vjg4 (with subtitles)

@securityshell: Open Web Application Security Project: Application Security Tutorial Videos http://t.co/5RFyMQu

Hanno bucato il CNAIPIC

2011-07-25T15:44:00.005+02:00

Il primo tweet con cui è stata diffusa la notizia

C'era da aspettarselo, era questione di tempo, prima o poi qualcuno avrebbe raccolto le minacce che da tempo circolavano contro il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).

La notizia è, nella sua essenza, abbastanza banale, il CNAIPIC, fiore all'occhiello della Polizia Postale Italiana, è stato bucato da hacker legati al movimento Anonymous e LulzSec e sono stati trafugati circa 8 GB di dati. Alcuni di questi file trafugati sono stati pubblicati su diversi siti e si può trovare anche un comunicato "ufficiale" relativo a questa azione.

Perchè dico che c'era da aspettarselo? Bhe, per prima cosa per "ritorsione", per gli arresti effettuati alcuni giorni fa; inoltre, nella chat di AnonItaly se ne parlava da tempo, legando l'ipotetico attacco alla commemorazione per il decennale morte di Carlo Giuliani. Il secondo motivo l'ho illustrato qualche giorno fa in una riflessione intitolata "MUMBLE - San Sebastiano e la cybersecurity", nella quale sostanzialmente sostengo che, in questo momento storico non c'è nessuno che possa sperare di essere al sicuro, perchè violare i sistemi non è mai stato così semplice. Infine sempre in una recente riflessione (MUMBLE - Data Breach ecco perché andrà sempre peggio) avevo individuato in alcuni fattori, tra cui la grande notorietà che si riserva a questi episodi, la molla che spinge la situazione verso un futuro sempre più preoccupante.

Cosa succederà adesso?

Probabilmente dipende dalla strategia che adotteranno gli attaccanti. Se adotteranno una strategia "responsabile" (ma non sembra proprio che siano di quest'avviso) e non divulgheranno notizie riservate (come è stato fatto per il recente attacco alle infrastrutture informatiche della NATO) probabilmente dopo un po' di polverone le cose si acqueteranno. Altrimenti, ci sarà uno stillicidio di informazioni che terrà alta l'attenzione dei media per qualche giorno in più.

Almeno fino alla prossima notizia di questo genere.

Sul fronte dell'analisi degli eventi voglio solo far notare che, il primo annuncio dell'attacco come si può vedere dalla figura ad inizio del post è stato dato attarverso l'account di "The Real Sabu" e cioè del supposto leader del gruppo LulzSec.

C'è da pensare...

Best of the week - 24 luglio 2011

2011-07-24T10:20:00.000+02:00

It's Sunday morning and it's time for a new listing of the best security resources the week.

Hope you enjoy it.

@CommonAssurance: Business Assurance for the 21st Century http://ht.ly/5Glsi #CAMM

@policeledintel: OSINT, Search Tools & Search Tip Roundup http://wp.me/p1mWTe-gv

@rsasecurity: Securing the Cloud: Cloud Computer Security Techniques and Tactics
http://rsa.im/mS7yZl

@CiscoSecurity: Malicious PDF attack targets defense http://t.co/R7HI2C2

@Fortinet: Check out Fortinet's newest whitepaper "“The Need for Secure Communications in a Distributed Environment” http://t.co/pnOmRYZ

@DarkReading: How to respond to a distributed denial-of-service (DDoS) attack: http://tinyurl.com/3jf2fel

Guide di sicurezza: evitare le intrusioni

2011-07-22T15:27:00.004+02:00

Il NIST tre giorni fa ha rilasciato una interessante guida "tecnica" sulle contromisure che devono essere adottate per cercare di ridurre la superficie d'attacco offerta a possibili intrusioni. Il valore aggiunto di questa guida è fondamentalmente nell'ufficialità della fonte (grazie Domenico per la riflessione); non ci sono infatti indicazioni "rivoluzionarie" o particolarmente profonde, sono tutte indicazioni di buon senso che chi si occupa di sicurezza conosce da tempo. Provate però a chiedervi quante di queste pur essendo pienamente condivisibili sono correttamente implementate nella vostra realtà...

Ho quindi pensato che fosse importante riprendere i contenuti della guida, riorganizzarli per argomento, arricchirli di alcune informazioni aggiuntive, togliere alcune informazioni che considero un po' obsolete e soprattutto offrirli in italiano. Ovviamente questa iniziativa si inserisce nella serie delle "Guide di Sicurezza" di Punto 1.

Ma veniamo ai contenuti, ecco cosa ci suggerisce lo US-CERT (ribadisco che i contenuti sono un po' rivisti e corretti, chi preferisce la guida originale può seguire il link proposto all'inizio del post)

Policy di sicurezza

- Emettere una "Acceptable Use Policy" che contenga elementi atti a limitare e regolamentare:

- L'utilizzo di strumenti personali per l'accesso o l'elaborazione di dati o sistemi ufficiali (ad esempio, tele-lavoro o utilizzo di dispositivi personali in ufficio)

- L'utilizzo di tutti i dispositivi rimovibili, salvo che non vi sia una ben documentata necessità aziendale (in questo caso devono essere emesse anche delle specifiche linee guida)
- L'uso dei servizi di social networking (Facebook, Twitter, applicazioni di instant messaging, ecc, ed anche la posta elettronica personale) sul posto di lavoro, salvo che non vi sia una necessità aziendale formalmente individuata

- Realizzare programmi di formazione degli utenti sull'Acceptable Use Policy e sui pericoli connessi all'uso della posta elettronica e della navigazione Web

- Emettere policy per la sicurezza degli accessi che prevedano l'uso di:

- Sistemi di autenticazione forte per gli account con privilegi di root

- Password di almeno 15 caratteri per gli account amministratore

- Password di almeno 8 caratteri per gli utenti standard

- Password a complessità elevata con caratteri alfanumerici e simboli

- Strumenti che limitino il riutilizzo di password precedenti

- Strumenti che limitino l'uso di informazioni personali come password

- Strumenti che richiedano il cambio password almeno ogni 60-90 giorni

- Strumenti per la memorizzazione cifrata delle password

- Emettere una policy che preveda che in caso di compromissione di un account di amministratore si debba immediatamente cambiare la password (da sistemi verificati e liberi da malware)

- Adottare le best practice per la sicurezza delle reti (info su CERT-CC Governing for Enterprise Security)

Web Server e applicazioni Web

- Utilizzare un proxy applicativo (o meglio un Web Application Firewall) di fronte ai server web per filtrare le richieste dannose

- Assicurarsi che la configurazione "allow URL_fopen" sia disattivata per cercare di limitare gli attacchi di tipo "remote file inclusion"

- Limitare l'uso di codice SQL dinamico attraverso l'uso di "prepared statements", query con parametri o stored procedure (info sugli attacchi di tipo SQL Injection sono disponibili sul sito dello US-CERT o sul sito dell'OWASP)

- Seguire le best practice per la codifica sicura e validazione dell'input (info su OWASP Top 10 e Build Security In)

Postazioni di lavoro e server

- Distribuire un sistema Host Intrusion Detection (HIDS) per bloccare e identificare gli attacchi comuni

- Garantire che tutti i sistemi siano aggiornati con patch provenienti da fonti attendibili

Mi sembra importante integrare questa breve guida con l'indicazione dei 5 tipi di log essenziali che devono essere implementati sui sistemi (la fonte in questo caso è il SANS Institute) che sono:

1) log dei tentativi di accesso tramite account esistenti
2) log dei tentativi non riusciti di accesso a file o a risorse
3) log delle modifiche non autorizzate ad utenti, gruppi e servizi
4) log dei sistemi più vulnerabili (per mancanza di aggiornamenti)
5) log dei pattern sospetti o non autorizzati del traffico di rete

Infine, per quanto riguarda le policy da emettere per garantire che i propri utenti mantengano dei comportamenti adeguati dal punto di vista della sicurezza, bisogna ricordarsi che normalmente queste iniziative tendono a proibire o a limitare molto alcuni comportamenti che gli utenti considerano legittimi, per cui è da preferire un approccio graduale e volto all'illustrazione della logica sottesa alle scelte. E' quindi preferibile adottare strumenti innovativi e divertenti per la formazione e la successiva verifica degli esiti della stessa.

Un esempio potrebbe essere questo simpatico giochino (in inglese) tratto da Onguardonline che permette di verificare la propria conoscenza di alcune problematiche di base sulla sicurezza informatica.

Matthew Holt - Earthquake vs. Data Breach: Which can hurt you more?

2011-07-18T08:58:00.001+02:00

I met Matthew some months ago and immediately recognized his exceptional analysing capabilities. He is brilliant, with a deep knowledge of the risk analisys and solid international experience. As Senior Associate with Booz & Co based in Rome, he leads the firm’s Cyber Security & ICT Resilience service offering, so he has a privileged point of view that allows him to view, process and analyse issues and concerns of big players in the market.

With him, some months ago, I had one of the most interesting conversation on cybersecurity topics I ever had. During this conversation he asked me this very intriguing question: "If you had to present three cybersecurity topics at a G8 meeting in 15 minutes, which subjects would you choose? And why?". After thinking about it for a while I gave my answer.

And, if Matthew had asked you this question what answer would you have given him?

Now it's a pleasure to me to leave the floor to Matthew.

-----------------------------------------------------------------------------------------------

Digital transformation can have a profoundly negative impact on a company when its risks are not managed properly. Consider the PlayStation Network (PSN) data breach disclosed by Sony Corporation in April 2011, and the events that have unfolded since. Described in the press as a “debacle,” “fiasco,” and “humiliation,” the breach clearly inflicted serious damage on Sony, especially in combination with the generally poor economic conditions globally and the other major crisis already under way in Japan at the time of the breach, resulting from the earthquake of March 11, 2011.

That earthquake was the most powerful ever to hit Japan, and the fourth most powerful in the world since modern record keeping began in 1900. The overall cost is estimated to exceed US$200 billion, making it the most expensive natural disaster on record.

Just over a month later, on April 20, 2011, a 14-year-old boy returned to his Chicago home after school expecting to join three friends online and play Might & Magic: Clash of Heroes (a fantasy adventure in which young people from different cultures band together to stop demons from taking over the world) on his Sony PlayStation 3. But the PSN service was down. Several days later, Sony explained that it had taken the network offline on purpose because of a massive data breach that eventually involved more than 100 million customer accounts.

Though the Japanese earthquake and Sony’s data breach are certainly not comparable in terms of societal impact and suffering, they do provide a useful lesson in risk management and mitigation for companies with major positions in digital services and valuable information assets.

In late April, Sony announced that the 10th and final plant affected by the earthquake would resume production by the end of May. The cost of the earthquake, according to Sony, was $475 million in fiscal 2011 and will approach $1.8 billion in fiscal 2012.

In contrast, Sony has not yet been able to calculate the full cost of the data breach. The company initially estimated the cost at $171 million in fiscal 2012, including lost business and response costs such as identifying and repairing the breach and notifying subscribers. But Sony hastened to add that this figure did not account for costs related to class action lawsuits by customers (at least two of which are already under way), customer identity theft, and credit card theft. External estimates, which include these potential future costs and losses in market capitalization, are much higher. For example, the most widely recognized industry standard for evaluating such events, the Ponemon Institute’s annual “Cost of a Data Breach” report, estimates that the PSN breach could eventually cost Sony as much as $24.5 billion. The actual cost will likely lie somewhere between the two estimates.

Another way to effectively measure and compare the potential impacts of these two crises is to analyze their effects on Sony’s share price on the Tokyo Stock Exchange (see Exhibit 1).

Exhibit 1

This analysis reveals a significant difference in the impacts of the two crises on the company’s market valuation. The immediate impact of the earthquake on Sony’s share price (-19 percent) was generally perceived by capital markets to be about the same as the impact to the general economy (-18 percent), but both recovered about 50 percent of the loss by March 27. After that, Sony’s share price slowly dropped in comparison to the Nikkei index, probably due to the actual impact of the earthquake on its operations. The data breach, on the other hand, caused a sustained 12 percent loss in Sony’s share price—the equivalent of $3.6 billion in market capitalization. And recent events suggest that this could worsen, because more security weaknesses have been revealed as Sony has restored service, and the recovery phase is not yet fully complete.

Evaluating events based on share price is admittedly imperfect, but the key message is clear: The PSN data breach knocked Sony off the post-tsunami economic recovery path in Japan.

This raises a critical question: Could risk management have prevented or mitigated Sony’s back-to-back crises?

In a crisis of the magnitude and consequence of the Japanese earthquake, the answer is probably not. It was clearly a Black Swan—an event with extremely low probability and devastating impact. A risk manager who predicted that an earthquake such as this would occur, and requested the budget necessary to protect the company against it, would most likely have been ignored.

The PSN data breach, however, is another story. According to Shinji Hasejima, Sony’s CIO, the breach occurred in PSN’s Web application service platform. “The vulnerability was a known vulnerability,” he said during a press conference on May 1, 2011. Further, in the current threat environment, IT security and risk managers feel that it is almost certain that adversaries will try to access their information.

If you had asked Sony’s senior leaders a year ago to identify 10 events that could potentially erase 12 percent of their market capitalization in a matter of days, “unauthorized access to a list of online gamers” probably would not have made the list. If you had asked the same executives after the earthquake to identify 10 events that might keep Sony from recovering at the same rate as the overall economy in Japan, the result would likely have been the same. Yet that is exactly what happened.

No one held Sony’s management responsible for failing to predict an unimaginable natural catastrophe, but the PSN data breach is sure to be a different story. Sony will recover from the earthquake at a substantially slower rate than other Japanese companies because an as-yet-unidentified culprit (probably Anonymous) exploited a known software vulnerability. Why that happened is something Sony management is having a hard time explaining to its board of directors, to judges and juries in class action lawsuits, and, most important, to its customers and shareholders.

-------------------------------------------------------------------------------------------

Profile:

Matthew W. Holt, MBA, CISSP, CISM, is a Senior Associate with Booz & Co based in Rome, Italy, and he leads the firm’s Cyber Security & ICT Resilience service offering. This includes development of national / corporate policy and governance models, risk management, integrated security, incident management, and business continuity planning. Mr. Holt’s background encompasses 22 years of international experience for both government and private sector clients including the United States Department of Defense and multiple Fortune 500 companies.

Best of the week - 17 luglio 2011

2011-07-17T10:09:00.000+02:00

As every Sunday morning here is my listing of the best security resources of the week.

Hope you enjoy it.

@fpietrosanti: Very well writen, non Technical, article How Hackers Stole 24000 Files From The Pentagon http://t.co/f2PSqiS

@rmack: Corrected link: Academic paper on re-establishment of borders in cyberspace http://1.usa.gov/pGDrZ7 (pdf)

@suffert: A Futures Market for Computer Security - MIT Technology Review http://flpbd.it/jDdY by @briankrebs

@TheHackersNews: Chrome Extensions for #Security Professionals http://t.co/tp9bpmX

@BrianHonan: Does your org comply with the Data Protection Act? This free self assessment checklist from the DPC is a good start http://bit.ly/qIP6op

@eduinfosec: Use discretion when installing smartphone apps. Once again, malicious apps found in Android Market. http://bit.ly/q1NJpC

MUMBLE - San Sebastiano e la cybersecurity

2011-07-15T12:37:00.002+02:00

Luca Signorelli - 1498

Ma che c'entra San Sebastiano con la cybersecurity?

Purtroppo c'entra eccome.

Come vedete in questo bellissimo olio su legno di fine Quattrocento, San Sebastiano fu martirizzato con le frecce. Nel dipinto è possibile vedere una moltitudine di individui armati di balestre lanciare dardi all'indirizzo di un inerme Sebastiano legato ad un palo.

E' da un po' di tempo che penso a questo quadro come a una ottima metafora per descrivere l'attuale situazione della sicurezza su Internet. Siamo infatti diventati tutti dei Sebastiano; alla mercé di aggressori, più o meno motivati e più o meno efficaci, che portano continuamente attacchi alle infrastrutture informatiche di tutte le organizzazioni del mondo.

Se si sommano le varie notizie di attacchi andati a buon fine, in una prima e sommaria analisi, negli ultimi 12 mesi otteniamo:

- attacchi di tipo statuale con finalità spionistiche e/o di immagine

- furti di dati con finalità economiche dirette e/o indirette

- furti di dati con finalità di protesta o di immagine

- attacchi di DDoS con finalità di protesta

- furti di dati con finalità spionistiche

Insomma, ciò che emerge è che la minaccia sta cambiando rapidamente (se volete approfondire ho fatto una presentazione su questo argomento, usare i tasti freccia per cambiare slide) e che l'asserzione che "avendo a disposizione tempo, risorse e skill in quantità adeguata si riesce a compromettere la sicurezza di qualunque sistema" non è mai stata così vera come in questa fase storica. Non si sta salvando nessuno. Perché nessuno è attualmente in grado di salvarsi, almeno con una buona dose di certezza.

Ciò che si riesce a fare (e non è cosa da poco) è limitare i danni. Il che non significa assolutamente che non bisogna fare il possibile per ridurre la superficie d'attacco e rendere il più possibile la vita difficile agli attaccanti. Semplicemente non ci si può aspettare che questo sia sufficiente a fermare tutti i possibili attacchi.

Volendo citare un grande della sicurezza informatica, Bruce Schneier, "You can't defend. You can't prevent. The only thing you can do is DETECT and RESPOND.".

E' molto importante imparare questa lezione perché in questo modo è possibile cominciare a ragionare in maniera proattiva orientando i propri investimenti e le proprie priorità in modo da privilegiare le capacità davvero utili. Inoltre, proprio per riuscire a migliorare le proprie capacità di "rilevazione e risposta" bisogna imparare a conoscere bene la propria realtà: le proprie vulnerabilità, i propri nemici e propri punti di forza.

E, purtroppo in Italia questi aspetti sono sempre stati abbastanza sottovalutati.

Insomma, dovremo abituarci a sentire sempre più spesso parlare di data breach.

Senza che questo ci condizioni più di tanto.

Perché sono convinto che la notizia di un data breach, di per sè, non dia un metro di giudizio sulla sicurezza di una realtà, ciò che davvero fa la differenza sono i tempi e le capacità di reazione e di gestione dell'incidente.

Best of the week - 10 Luglio 2011

2011-07-10T15:13:00.000+02:00

Here is my weekly listing of the best security resources.

Hope you enjoy it

@eraserhw ZeroAccess updated now kills security software goo.gl/8YpcP Technical paper updated at this link: goo.gl/fVesZ

@Nientenomi Clickjacking Attacks Unresolved http://zite.to/pSi7Gs

@nigroeneveld 780 Online Documentaries http://slidesha.re/bds4sj

@SecurityTube [Video] Hacking NZ Government SQL Injection -Nerv http://securitytube.net/video/2012 http://securitytube.net/video/2014 by Nerv

@ccdcoe Why are the bad guys winning the InfoSec war? To find out watch @0xcharlie keynote at #3iccc: ccdcoe.org/282.html

Cloud Security: una sfida per il futuro

2011-07-08T19:24:00.003+02:00

E' con piacere e con un pizzico di orgoglio che scrivo questo post.

Dopo un lungo lavoro di scrittura è stato pubblicato il Quaderno Consip "Cloud Security: una sfida per il futuro" e, finalmente, il 6 luglio scorso in Consip, si è tenuto il workshop dedicato alla presentazione del Quaderno.

Consip, per evitare spiacevoli esclusioni nella distribuzione degli inviti, ha ritenuto di invitare solamente persone provenienti dalla PA; nonostante questa limitazione l'evento ha visto la partecipazione di oltre 90 persone.

L'agenda prevedeva:

- Apertura dei lavori a cura di Domenico Casalino (AD Consip)

- Introduzione di Gaetano Santucci (Resp. Competence Center Consip)

e, a seguire, gli interventi:

- Cloud Security: una sfida per il futuro di Matteo Cavallini (Resp. SO Unità Locale Sicurezza MEF/Consip)

- Governance e Cloud Security di Igor Nai Fovino (Dir. Scientifico GCSEC)

- Analisi legale di rischi, criticità e opportunità relative al cloud computing di Paolo Balboni (Dir. Esecutivo European Privacy Association)

- L’iniziativa cloud del Dipartimento del Tesoro di Francesco Castanò (Resp. Sistemi Informativi Dip. del Tesoro, MEF)

- Il cloud computing nella visione del Ministero della Giustizia di Stefano Aprile (Resp. Sistemi Informativi Ministero della Giustizia)

Il Quaderno è liberamente scaricabile dal sito Consip. Le slide degli interventi sono state pubblicate al seguente link.

Prima di chiudere il post voglio ringraziare di cuore le persone che hanno contribuito alla stesura di questo Quaderno, oltre ai miei colleghi (che trovate citati nei ringraziamenti), voglio citare Paolo Balboni e Daniele Catteddu che hanno dato un contributo decisivo alla maturazione dei concetti espressi nel Quaderno.

Grazie, grazie, grazie.

Tutti i commenti sono benvenuti e graditi.

Best of the Week - 3 luglio 2011

2011-07-03T14:20:00.000+02:00

Here is the new listing of best security resources of the week.

Enjoy it.

@mikkohypponen This is why you should enable two-factor authentication on your GMail account: http://bit.ly/l6F86n

@mgeist OECD Internet Policy Principles could create incentives to delete or block content, adopt 3 strikes http://is.gd/TKWoI6

@BullGuard DNS cache poisoning: still works and still makes lots of damage, (Mon, Jun 27th) http://ow.ly/5rLXM

@InfosecurityMag Symantec: Google Android has a number of security strengths http://bit.ly/k9br6C

@ToolsWatch The #OpNewblood Super Secret Security Handbook: Guys from #OpNewblood has spread out a good guidelines showing... http://twurl.nl/1md7d8

@mikkohypponen Kenneth Geers of NATO CCD COE in Estonia has published a book called "Strategic Cyber Security". Free, 169 Pages: http://bit.ly/j6IevS [PDF]

MUMBLE - Le cloud incontrano il Cybercrime

2011-06-30T12:23:00.007+02:00

Ho scritto questo articolo quanche tempo fa e ora posso finalmente renderlo pubblico anche su Punto 1 poichè è stato pubblicato nella seconda uscita della rivista CyberCrime magazine.

----------------------------------------------
Le Cloud sono il futuro dell’ICT e stano aprendo nuovi scenari e nuove opportunità di crescita in tutto il mondo. Negli Stati Uniti, ad esempio, Vivek Kundra, Chief Information Officer (CIO) dell'amministrazione pubblica statunitense, ha prodotto la “Federal Cloud Strategy” in cui, tra le altre cose, viene ribadito che le nuove iniziative IT federali dovranno prendere in esame le soluzioni cloud based in via prioritaria rispetto ad ogni altra opzione.

In questo contesto così florido e ricco di investimenti, i criminali non stanno certo a guardare e hanno cominciato a sviluppare le proprie strategie su questo specifico tema. Al momento stiamo assistendo ad un inizio di interesse da parte dei cyber criminali verso le grandi cloud pubbliche secondo tre direttrici principali:

• come bersagli di valore

• come fonte di nuovi strumenti

• come modelli di business da emulare

Prendendo in esame il caso in cui le cloud fungono da bersaglio dei cyber criminali è facile capire che, data la natura di grandi accentratori di dati provenienti da molti clienti diversi, le cloud sono percepite come uno dei bersagli più appetibili per attacchi di tipo “massivo” che puntano al furto o alla compromissione di grandi quantità di dati. Inoltre, le cloud pubbliche presentano caratteristiche infrastrutturali per le quali una singola vulnerabilità o un singolo errore di configurazione possono comportare una grande superficie d’attacco. I cyber criminali hanno poi l’invidiabile possibilità di ripetere un identico attacco sui molti clienti di una stessa cloud.

Infine, i cyber criminali sono attratti dalle cloud poiché i rischi connessi con questo tipo di attacchi sono attualmente molto bassi, in quanto:

1. le indagini delle forze dell’ordine sono tecnicamente molto complesse

2. la natura transnazionale delle cloud pubbliche complica ulteriormente la scena del crimine

3. in caso di giudizio non ci sono ancora precedenti consolidati sulla presentazione delle prove a carico

Tutto ciò contribuisce alla creazione di un substrato particolarmente favorevole all’azione dei criminali che inizia a dare qualche preoccupazione al mercato, come peraltro dimostrato da alcuni recenti casi di cronaca quali, ad esempio, il “data breach” di Epsilon, un fornitore cloud di servizi marketing per grandi marchi dell’industria mondiale. In questo caso, infatti, milioni di indirizzi email, nomi ed altre informazioni di valore sono direttamente passati dal cloud provider alle poco raccomandabili mani dei criminali.

Passando poi al caso in cui le cloud fungono da strumento per realizzare crimini, la riflessione può partire dalla considerazione che una comune modalità di misura della robustezza di molti meccanismi di sicurezza è data dal tempo necessario per comprometterne il corretto funzionamento con i normali strumenti messi a disposizione dal mercato. Molti meccanismi di sicurezza sono dunque considerati sufficientemente robusti perché garantiscono di resistere a tentativi di compromissione per un tempo considerato adeguato.

Il cloud computing sta mettendo seriamente in discussione questo approccio poiché, con estrema facilità e velocità, i criminali hanno la possibilità di rendere operative infrastrutture ICT capaci di grandi performance computazionali. Da notare, inoltre, che queste infrastrutture possono essere dismesse con altrettanta semplicità complicando quindi la successiva attività investigativa.

A dimostrazione delle reali potenzialità di questo tipo di approccio può essere preso in esame un sito che offre a “penetration tester and network auditors” la possibilità di sfruttare un servizio cloud per l’ottimizzazione della procedura di individuazione delle password di reti WiFi protette con algoritmo WPA.

Come si può leggere nel testo proposto nella home page del sito, il tempo di calcolo richiesto per questa operazione passa da circa 5 giorni a 20 minuti ad un costo di soli 17 dollari.

Infine, come precedentemente anticipato, l’ultimo punto riguarda invece l’aspetto emulativo del cyber crime verso l’approccio cloud. E’ sempre più evidente che i criminali si stanno organizzando per commercializzare i loro “business” in modalità “as a Service”. Exploit pack, spam, attacchi DDoS, phishing, frodi bancarie e quant’altro sia nella mente dei cyber criminali viene messo sul mercato sotto forma di servizi.

Si stanno quindi formando gruppi specializzati nell’erogazione di servizi malevoli ad altri gruppi criminali che quindi usufruiscono degli stessi benefici di economicità e flessibilità riservati ai normali utenti delle cloud. A questo proposito è interessante notare che le botnet, le reti di computer infetti che vengono controllati remotamente da criminali, stanno diventando delle vere e proprie cloud pubbliche in grado di erogare varie tipologie di servizi.

Insomma, dopo IaaS, PaaS e SaaS si sta consolidando anche il MaaS, il Malware as a Service.

E’ necessario quindi affrontare ed indirizzare il rapporto tra cloud computing e cyber crime con decisione, prima che le cloud siano utilizzate a livello globale nell’erogazione di servizi essenziali. Tra le varie indicazioni che possono essere date c’è la predisposizione di seri standard di sicurezza collegati a schemi di certificazione ufficialmente riconosciuti. Questi standard, tenendo conto delle peculiarità delle cloud, contribuiranno a limitare gli “effetti collaterali” della natura condivisa di questi ambienti. Inoltre dovrà essere fatto un grande sforzo a livello di standardizzazione delle procedure e degli strumenti di “forensic” nel mondo cloud in modo che le forze dell’ordine abbiano la possibilità di acquisire in modo efficiente, certo e affidabile le prove di quanto eventualmente accaduto. Infine dovranno essere elaborati dei codici di comportamento per i provider di servizi in modo che gli utilizzi consentiti per le cloud siano strettamente limitati e sottoposti ad adeguati controlli.

----------------------------------------------------------------------------------------------

Un piccolo aggiornamento che risale a qualche giorno dopo l'invio di questo articolo alla rivista. Kaspersky ha messo in evidenza un caso in cui l'infrastruttura di Amazon è stata utilizzata per servire malware agli utenti... la giostra è cominciata!!

Olli-Pekka Niemi - Dealing with evasions

2011-06-28T14:35:00.005+02:00

It's time for a new contribution to "Voci Amiche" section of the blog and I'm very happy to introduce Olli-Pekka Niemi, an expert on a very hot topic: the Advanced Evasion Techniques (AETs).

I met Olli during a workshop organized by Stonesoft and I admired his ability to explain hard concepts in a simple way. He is brilliant and has an amazing knowledge of network security topics.

As Head of the Stonesoft Vulnerability Analysis Goup (VAG) he delved into multiple evasion methods to bypass the detection of Intrusion Prevention Systems and break into the remote system. So, at the moment, his knowledge of AETs is pretty unique and I'm very proud that the "Punto 1" readers can approach this "advanced" topic through his contribution.

Thank you very much Olli, I hope that we will have other occasions to collaborate, now the floor is yours...
---------------------------------------------------------------------------------------------

The role of a network security device such as IPS/NGFW/UTM is to analyze and pass through data that is allowed according to Security Policies, while preventing threatening data such as remote exploits against vulnerable clients and servers. Exploits can apply multiple evasion methods to bypass the detection and protection capabilities of the network security device and break into the remote host.

What's evasion?

TCP/IP implementations will follow a general principle of robustness: Be conservative in what you do, be liberal in what you accept from others. There are always multiple ways to do things, i.e. to encode and transmit data. The multitude of data encoding and transmission possibilities provide ample opportunity for the malicious to discover and apply evasions. Simply put, an evasion is just a method of transmitting data in a way that is not expected or understood properly by the network security device.

This also means that many of the evasion methods that can be applied to hide malicious data like exploits are not actually threatening or malicious by themselves. Only the payload is. An evasion happens when the security device misclassifies the transmitted data as legitimate, even though it is in fact malicious. Evasions are not just some protocol anomalies or violations, or malicious data that can be dropped by the security device, but simply alternative ways of encoding data.

Evasion research, nothing new under the sun?

Evasions have been researched before. A lot. One of the first comprehensive description of evasions is a research paper "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection" written by Ptacek and Newsham in January 1998. This paper is kind of the founding stone of evasions, and in fact most of evasions are somewhat based on the research done. In 1998, an article in the Phrack Magazine also describes ways to bypass network intrusion detection. In 1999 http related evasions were studied in "Whisker evasion tactics" by Rain Forest Puppy. Later on Handley and Paxson suggested evasion prevention via normalization in 2001, Gorton and Champion suggested combinations of evasions in 2004, and finally Moore and Caswell discussed MSPRC evasions at Black Hat 2006.

At Stonesoft we have followed the research of evasions ever since we started our own security gateway development over a decade ago, and started our own research into the topic back in 2007. In the summer of 2010 we announced the concept of Advanced Evasions Techniques (AET). In our release we combined evasion techniques to form new evasions. However, AETs are not just a single release of evasion techniques, but a new paradigm, where Network Security Devices are systematically tested with all possible ways of transmitting data between hosts.

Why do evasions still work?

Why do evasions still work, after all these years? Some vendors are actually saying that they do not. But they are mistaken: while their products may offer protection against some specific evasions, the claim that all evasions are handled properly is simply untrue. The problem is that evasion are not a single concept or item or technique, but the general inability to correctly understand the data being transmitted and analyzed.

Evasions work because many of the network security devices are too much throughput oriented by design, sacrificing the security analysis capabilities for performance. The security devices are lacking proper understanding and analysis of the networking protocols. Evasions work because implementing middle box TCP/IP stack and protocol normalization is difficult. Anomaly based evasion preventions lead to false positives. Simple and throughput-wise effective packet based pattern matching will miss attacks deploying evasions. Proper TCP/IP reassembly that is invulnerable to TCP evasions requires a lot of memory. And finally, testing evasions is difficult. It requires tools, but most of the tools available contain only a few evasions. Network security devices tend to detect some of those evasions that are required for certifications or can be tested in publicly available tools but they often miss attacks that contain evasions that are not implemented in available testing tools.

Dealing with evasions

Properly dealing with evasions requires a thorough understanding of the network protocols. For example, some Network Security Devices could be fooled by splitting a TCP stream into small segments. Some vendors protect themselves against this by having their product block small segments. However, small segments are a perfectly legitimate feature of TCP, and they risk blocking legitimate traffic.

To deal with TCP segmentation properly requires understanding that TCP is essentially a method of transmitting a data stream, so it is the data stream that should be investigated, not individual segments.

To properly deal with evasions and inspect the traffic, the Network Security Device must understand it thoroughly.

There is no substitute for an in-depth understanding of the networking protocols used. That understanding must not be limited to proper usage of the protocols, but must encompass also the behavior of typical endpoint systems when subjected to improper protocol usage. That understanding must also be dynamic and adaptable. The Internet is in a never-ending change process. Even though there are things that at least seem static, there are continuous changes even in the basic building blocks of the Net. The pace of change requires a lot of flexibility and updatability from the network security devices. Network security devices cannot be static appliances but they must be updated regularly and effortlessly.

-----------------------------------------------------------------------------------------------

Bio

Olli-Pekka Niemi has been working in the area of Internet security since 1996. Since 2000, he has worked at Stonesoft’s R&D department, developing Stonesoft's StoneGate network security solutions. His main areas of responsibility include the analysis of network based attacks and attack methods as well as the research of new detection and analysis methods that could be implemented into StoneGate network security solutions. Mr. Niemi is also the Head of the Stonesoft Vulnerability Analysis Goup (VAG). Before joining Stonesoft Mr. Niemi worked at KPMG Information Risk Management, where he mainly focused on penetration testing and security audits. He has also worked as a system administrator at the Helsinki University of Technology.

Best of the Week - 26 Giugno 2011

2011-06-26T13:09:00.000+02:00

Here is my new listing of the best security resources of the week.

Enjoy it

@CcureIT Cyber police stymied by hackers http://dlvr.it/WwtVd

@secuobsrevueus Attack Simulation and Threat Analysis of Banking Malware-Based Attacks http://bit.ly/k3IOtA

@nigroeneveld Turning The iPad Into A Weapon http://bit.ly/iCLOwS

@regsecurity Google Chrome extension detects dangerous websites http://bit.ly/m3irqb

@europeanprivacy USA Today article discussing U.S. consumers and the cloud: http://usat.ly/kDI21H http://fb.me/BHtfGi0p

@mikkohypponen So, why on earth do people write malware? Well, here's 74 million reasons why: http://1.usa.gov/lnKnCB

Best of the Week - 19 Giugno 2011

2011-06-19T10:53:00.000+02:00

After my coming back home from Brussels (I partecipated in the "First Digital Agenda Assembly" as you can read in my recent posts), I can publish the weekly listing of my favorite security resources.

Hope you enjoy it.

@zmcki001: Good article and video from @CiscoSecurity on Social Engineering. goo.gl/h8AZm

@nigroeneveld Swiss: Defence minister ponders cyber-security http://bit.ly/jgNRDF

@CertSG Happy to announce the release of our 8th IRM (Incident Response Methodology) http://bit.ly/mxb82p

@marcoriccardi Italian honeynet chapter report for 2010 just published http://lnkd.in/WgYc_M

@iseclaborg Blog posting on Botmagnifier for locating Spambots: iSecLab blog: http://wp.me/p17xdu-7B

@_x4o Syria Uses Cyber Warfare to Attack Pro-Democracy Supporters - FoxNews.com http://ow.ly/5gY4p

Digital Agenda Assembly - Day 2

2011-06-17T15:19:00.000+02:00

Eccoci arrivati al secondo giorno della Digital Agenda Assembly. Come ieri la mattina è stata gestita con workshop paralleli e il pomeriggio con una sessione plenaria. Io ho partecipato, questa volta come semplice uditore, al workshop dal titolo "Towards a Cloud Computing strategy for Europe: Matching supply and demand". Nel seguito trovate alcuni messaggi estratti dagli interventi che mi hanno colpito maggiormente.

Pilar del Castillo Vera (MEP, Member of the Commitee on Industry, Research and Energy)

La riflessione politica inizia con la presa di coscienza che, al momento, il cloud è dominato dalle sole forze economiche del mercato e quindi deve essere valutato un riequilibrio che preveda anche il contributo della visione strategica della politica. La sicurezza pone i maggiori problemi per una generale adozione delle cloud. I clienti devono avere ampie assicurazioni che i loro dati siano gestiti in maniera sicura. La mancanza di standard e la mancanza di interoperabilità sono dei limiti sui quali si dovrà lavorare molto per superare gli attuali limiti. Nella visione proposta da del Castillo Vera, i governi e la commissione devono avere la possibilità di regolare il mercato nel campo della Data Protection allo scopo di rendere maggiormente competitivo il mercato e per creare le condizioni per le quali sia possibile accedere a questi servizi in maniera ampia e sicura.

Thomas Endres (Senior VP Corporate Information Management and CIO Deutsche Lufthansa AG)

Tutti i benefici delle cloud, che sono stati ormai ben disegnati, sono raggiungibili solo se i rischi e i relativi controlli sono stati preventivamente e adeguatamente valutati. Solo poche grandi società europee sfruttano servizi cloud a causa della mancanza di standard e di best practice. Deve essere costruita una fiducia maggiore su questi servizi. Servirebbe una legislazione simile a quella che regola gli spostamenti delle merci via mare che dia garanzia a clienti e fornitori sui rispettivi diritti e doveri. La presenza di subforniture dovrebbe essere resa esplicita e i clienti dovrebbero poter dare la propria approvazione su queste scelte.

Moises Navarro Martin (Director, Cloud Strategy & Services, Telefonica)

La grande importanza delle cloud è nei risparmi che possono essere realizzati. La seconda ragione per la quale può essere importante adottare servizi cloud è l'innovazione. Innovare attraverso l'utilizzo delle cloud è molto più semplice e diretto soprattutto per le piccole e medie imprese che possono così compensare la loro mancanza di strumenti IT. Anche il mondo accademico può godere di grandi benefici nel campo dell'innovazione attraverso l'utilizzo delle cloud. Una raccomandazione per l'Europa nell'approccio alle cloud: pragmatismo. I trend per il futuro prevedeono : elasticità, federazione e interoperabilità delle cloud e lo sviluppo di servizi di personal cloud (e Steve Jobs se la ride...)

Silvana Koch-Mehrin (MEP)

Come politico, inizia chiedendosi quale possa essere il ruolo della politica in un settore tecnologico dominato da dinamiche economiche. La risposta è nelle potenzialità nel campo dell'innovazione devono essere indirizzate e sfruttate al massimo delle loro possibilità con uno specifico ruolo per il legislatore e per la politica in generale proprio in questo campo. Da questo punto di vista le risposte che possono essere messe in campo dalla politica sono:

- una generale semplificazione per l'acccesso e la fruizione dei servizi

- lo stanziamento di fondi per le migliori idee e gli approcci più innovativi.

Daniele Catteddu (esperto di sicurezza e resilienza di ENISA... e buon amico)

Il corso delle cloud sarà come quello degli altri fenomeni che hanno caratterizzato l'IT in questi anni. Il periodo in cui daranno il massimo dei benefici sarà di circa 10-15 anni, quindi non possiamo aspettare molto per avere dei risultati è tempo di agire. L'interoperabilità è centrale per lo sviluppo delle cloud a livello di:

- policy

- tecnologie

- gestione delle identità

- sicurezza

- conformità legale e normativa.

La mancanza di interoperibilità si riflette in una serie di rischi che spaziano dalle problematiche di disponibilità dei servizi, al cosiddetto "lock-in". Da questo punto di vista, FedRAMP è un buon esempio per come realizzare un approccio agile ed efficace.

Cosa si può fare? Standardizzare, standardizzare, standardizzare. Le interfacce, i formati dei log e degli audit, la gestione delle chiavi e i sistemi di gestione delle identità.

Ci sono stati vari momenti di dibattito con il pubblico in cui sono emersi temi interessanti tra cui:

- una domanda importante a cui deve essere data una risposta è come sia possibile creare le conidizioni per le quali dati provenienti da tutto il mondo siano gestiti da cloud europee e non solo creare le condizioni perché i dati europei possano essere gestiti in cloud internazionali.

- al momento, l'Europa non è in grado di dare risposte legislative rapide che siano adottatate da tutti i paesi membri. Questa situazione rende molto difficile per le istituzioni europee dare un vero indirizzo nei temi tecnologici che invece sono caratterizzati da un'estrema rapidità di adozione.

- è importante stabilire se in futuro si procederà verso un'integrazione dei sistemi di gestione delle identità o se invece sarà adottato un sistema di gestione delle identità terzo rispetto ai Cloud Service Provider.

Come commento finale vorrei aggiungere che il Workshop è stato un buon successo e che ho sentito molte cose interessanti anche se in generale ho trovato un tasso di messaggi orientati al marketing superiore a quello che mi sarei aspettato.

Se nella sessione plenaria di oggi pomeriggio emergeranno argomenti interessanti dal punto di vista della sicurezza li troverete in un aggiornamento nei prossimi giorni.

Digital Agenda Assembly - Day 1

2011-06-16T21:52:00.002+02:00

Riassunto grafico della conferenza disegnato durante la Plenaria

Oggi ho avuto il piacere e l'onore di partecipare alla prima Conferenza dedicata alla strategia digitale europea.

L'organizzazione della conferenza prevedeva una serie di workshop paralleli nel corso della mattinata e poi una sessione plenaria nel pomeriggio.

Alla mattina ho partecipato al Workshop dedicato al tema "Cybersecurity: barriers and incentives" che era moderato da Eneken Tikk, Head of Legal and Policy Branch del CCDCOE (Cooperative Cyber Defence Centre of Exellence di Tallin). Il workshop prevedeva una prima sessione con tre presentazioni e una tavola rotonda dopo il coffee break.

Io ho aperto la sessione delle presentazioni con un intervento dal titolo: "Cybersecurity: State of the Art and Future Trends in Italy" che ha tratteggiato le varie iniziative che sono state avviate in Italia (se date un'occhiata alle slide appena le pubblicano, avrete delle piacevoli sorprese...). E, come è successo al Security Summit di Roma, il pubblico ha riservato una grande attenzione alla proposta di realizzazione di un AntiBotnet Center Italiano. A seguire è stata la volta di Karim Antonio Lesina, Executive Director EMEA Government Affairs di AT&T, che ha fatto una presentazione molto interessante ponendo una grande attenzione ai temi della collaborazione internazionale, della lotta alle botnet (abbiamo poi avuto un'amabile chiacchierata in proposito) e ell'evoluzione dell'approccio verso la cybersecurity. Fantastica la foto della loro sala operativa di sicurezza negli Stati Uniti (Global NOC); penso che neanche nei sogni più felici uno possa immaginare un posto così. Lavorare in un ambiente del genere deve essere davvero spettacolare! L'ultima presentazione è stata di Michel J.G. van Eeten, della Delft University of Technology. In questa presentazione si è approcciato al tema della responsabilità nella sicurezza che hanno gli Internet Service Provider. L'analisi era basata su dati quantitativi e mostrava, tra l'altro che, anche normalizzando i dati per tenere conto della dimensione dei provider, la lista dei Top 50 ISP che contribuiscono maggiormente allo spam mondiale è quasi immutata da 4 anni. Infatti nei Top 50, ben 32 ISP sono stabilmente presenti ogni anno.

I temi che invece sono emersi nella Tavola Rotonda (i panelist erano: Kurt Erik Lindqvist, CEO di Netnod un provider svedese, Mika Lauhde di Nokia e Michel J.G. van Eeten della Delft University of Technology) sono stati:

- la cybersecurity non è solo una questione tecnologica ma passa attraverso le agende dei politici e anche delle persone del marketing

- le interdipendenze tra diversi settori e tra Stati sono sempre più significative

- è necessario una approccio internazionale alla lotta al cybercrime

- dal punto di vista nazionale non è strettamente necessaria l'adozione di nuove leggi ma bisognerebbe riuscire a proseguire con gli sforzi messi in campo sinora

- le Public-Private Partneships sono il futuro della cybersecurity

- il tema dell'Information Sharing è essenziale

- tutti devono sentirsi coinvolti perchè il tema della sicurezza in un mondo globale non può che avere un approccio globale.

Infine, la riunione plenaria. La Vice Presidente della Commissione Europea Neelie Kroes ha fatto un grande discorso, citando molti temi importanti e centrali per crescita digitale dell'Europa. La visione strategica che ha saputo rappresentare mi è sembrata molto vicina a quella espressa dal Presidente Obama in molti suoi discorsi sul tema della tecnologia. Inoltre ho avuto il piacere di verificare che una figura di così alto livello ha una sensibilità verso i temi della sicurezza davvero ammirevole. Nella visione della Kroes infatti la sicurezza è vista come un tema centrale per lo sviluppo armonico e strategico dell'economia digitale in Europa.

Domani il resoconto del giorno 2 (se non svengo prima per la stanchezza...)

PS una piccola nota di colore... nel corso della riunione plenaria c'era un servizio di traduzione per i non udenti con due bravissimi interpreti che, in tempo reale, trasformavano le parole pronunciate dagli speaker in altrettanti gesti ed espressioni. Ebbene, uno dei due era la copia di Umberto Bossi (forse un po' più giovane) e aveva però una mimica facciale e una gestualità degna del miglior Dario Fo. Non so se sono riuscito a rendere l'effetto, ma vi assicuro che per un italiano era veramente esilarante...

Best of the week - 12 giugno 2011

2011-06-12T15:36:00.000+02:00

Another week is gone and now it's time to propose my listing of the best security resources of the week.

Hope you enojoy it.

@klightowler Pentagon Has Secret List of Cyberweapons - FoxNews.com http://fxn.ws/kGGFMt

@stefan_frei Six ways sensitive data finds its way to personal email accounts <- good list http://bit.ly/iIUwwh

@suffert Powerful forensic tool for Android devices released http://flpbd.it/qM5m by @viaforensics

@DarkReading RSA breach "a direct contributing factor" in Lockheed's breach, but the devil's in the details: http://tinyurl.com/3ekdp7s

@regsecurity Microsoft goes botherder hunting in streets of Russia http://bit.ly/mAuefD

@StopBlackMarket Bitcoin, la moneta degli hacker che spaventa Cia e banche http://bit.ly/ko7k2V

Security Summit 2011 - Day 2

2011-06-10T17:17:00.002+02:00

Eccoci arrivati al resoconto della seconda giornata del Security Summit 2011 di Roma.

La mia seconda giornata al Summit è iniziata molto bene... ho partecipato ad un interessantissimo talk di Gabriele Faggioli dal titolo: "I servizi “cloud”: problemi legali e contrattuali". Faggioli è partito con una puntuale analisi dei contratti tipici delle forniture IT classiche per poi passare in rassegna gli aspetti più rilevanti dei contratti di outsourcing e arrivare infine ai contratti tipici del mondo cloud.

Tra le notazioni che mi hanno più colpito c'è il riferimento all'utilizzo del contratto di licenza d'uso in alcuni contratti per servizi cloud che (giustamente) Faggioli inquadra come non adatto. Secondo Faggioli, la tipologia che si adatta meglio ai servizi cloud (ovviamente dal punto di vista del Cloud Service Consumer) è quella relativa ai contratti d'appalto di servizi con obbligazione di risultato.

L'intervento di Faggioli si è concluso con una lista di verifiche che dovrebbero essere sempre effettuate prima di accettare un contratto di servizi cloud:

- Qual'è la qualifica del fornitore (Responsabile privacy)?

- Quali tipologie di dati vengono trasferite "on the cloud"?

- Quali sono gli eventuali subfornitori?

- Dove sono le infrastrutture?

- Quali misure di sicurezza hanno i provider e i loro subfornitori?

- Come si effettua la nomina del provider e dei suoi subfornitori?

- Quali sono le previsioni contrattuali?

- Quali sistemi di controllo devo prevedere?

- Ci sono impatti in termini di 231/01?

Dopo questo intervento mi sono incontrato con Claudio Guarnieri e Feliciano Intini e abbiamo concordato la nostra presentazione pomeridiana dedicata alla lotta alle botnet. Non ho potuto quindi seguire altri interventi.

Nel primo pomeriggio, invece sono riuscito a vedere una parte del seminario di Marco Morana (altra guest star di questa edizione del Summit) e oltre alla gioia di rincontrarlo (avevo avuto il piacere di ospitarlo nella prima edizione dell'OWASP Day per la PA), ho avuto modo di avere alcuni flash sulla nuova metodologia per la simulazione degli attacchi e per l’analisi delle minacce che si chiama PASTA (Process for Attack Simulation e Threat Analysis). Molto interessante!!

Infine, in un auditorium che poteva essere più ricco di presenze... (abbiamo iniziato con poco meno di trenta persone) Feliciano, Claudio ed io abbiamo presentato il workshop dal titolo "Botnet Delenda Est" dedicato agli iscritti al gruppo linkedin "Italian Security Professional".

Ho personalemente trovato i lavori di Claudio e Feliciano estremamente interessanti. Claudio ha presentato un lavoro di investigazione su KoobFace (@drego85 ecco la tua risposta! ;-)) ), veramente aggiornato e completo. Nella migliore tradizione dei lavori di questo tipo c'erano una serie di slide che non saranno pubblicate perchè il contenuto è, diciamo così, "sensibile".

Feliciano, dal canto suo, ha portato una serie di informazioni che venivano direttamente dalla Microsoft Digital Crime Unit, sui take down di Rustock e Coreflood. Avevo visto una precedente versione di questa presentazione (in un consesso chiuso e altamente qualificato) e, in tutta onestà, posso affermare che Felicaino è riuscito a valorizzarla con dati e informazioni nuove facendola diventare ancor più interessante e ricca.

Per quanto mi riguarda, ho fatto un inquadramento generale del tema botnet esponendo i motivi per i quali siamo convinti che questi strumenti in mano ai cybercriminali debbano essere "distrutti", per poi concludere parlando della situazione italiana e presentare la proposta della creazione di un AntiBotnet Center Italiano (ABC-I). Il prezi della mia presentazione è già online, per le altre presentazioni dovrete attendere la pubblicazione degli atti del convegno.

Ancora grazie agli organizzatori e... ci vediamo il prossimo anno!

Security Summit 2011 - Day 1

2011-06-09T13:36:00.001+02:00

Anche quest'anno siamo arrivati al fatidico appuntamento con il Security Summit di Roma che si conferma come una delle iniziative più interessanti nel campo della security in Italia. Il programma ha proposto un ventaglio di talk di alto livello che hanno coperto le maggiori problematiche di sicurezza. Inoltre la valenza di quest'evento per fare network e rivedere o conoscere persone che si occupano di sicurezza è davvero impagabile.

Ma veniamo al racconto delle giornate, che quest'anno sarà parziale perché, avendo una presentazione da fare, non potuto seguire tutti gli interventi che avrei voluto.

Convegno di apertura - Tavola rotonda "Le nuove frontiere dell'ICT Security"

Come già successo nelle precedenti edizioni la tavola rotonda è stata moderata dal'effervescente Gigi Tagliapietra che ha messo subito in chiaro quanto senta limitante per lui il ruolo di moderatore al quale certamente preferisce quello di "provocatore". Questa attitudine, oltre alla sua consueta capacità di analisi, ha fatto salire il livello generale della tavola rotonda che è così stata sempre stimolante e divertente.

La "guest star" di questa edizione era Udo Helmbrecht, Direttore esecutivo di ENISA, l'agenzia europea per la sicurezza delle reti. Assieme a Helmbrecht erano presenti Rita Forsi, direttore generale dell'Istituto Superiore delle Comunicazioni, J.P. Ballerini di IBM, Alessandro Vallega di Oracle e Gastone Nencini di TrendMicro.

Helmbrecht, ha presentato ENISA e le attività che ha svolto in questi anni evidenziando gli attuali limiti entro i quali ENISA opera, lavorando per progetti che vengono decisi su base annuale e non potendo sovrapporsi al ruolo dei "decision maker" nazionali. In particolare è stato evidenziato come in Europa manchi un ente che abbia invece un ruolo operativo sulla security e come ENISA stia collaborando con la Commissione per riuscire a sanare questa situazione, tenendo conto degli ambiziosi progetti che sono legati alla visione europea per il futuro (nel 2020 il punto di arrivo è Every European Digital).

Helmbrecht ha poi ricordato le iniziative di ENISA nel campo della cybersecurity, del cloud computing, dei social network e della mobile security. In generale è stato un intervento ricco di spunti e di riflessioni sul futuro che ci attende e sulla reali capacità di inserire "correttivi" in tecnologie o contesti dove il driver del mercato è fortissimo. Un esempio per tutti: la mancanza di regole per la portabilità dei dati e l'interoperabilità nel cloud computing o, peggio ancora, nei social network.

Nella successiva discussione i relatori hanno trovato modo di approfondire e dare un taglio personale ai vari argomenti, arricchendo con sfumature interessanti i vari aspetti che Gigi Tagliapietra, di volta in volta, sottolineava o proponeva. Tra i temi che sono emersi con maggior forza ci sono:

- Internet è un elemento in grado di cambiare i comportamenti umani con maggiore incisività rispetto a leggi e regolamenti;

- le Public-Private Partnership rappresentano il futuro della sicurezza perché consentono di affrontare ostacoli altrimenti insuperabili;

- nessun soggetto pubblico o privato è in grado di affrontare con efficacia le maggiori problematiche di sicurezza attraverso un approccio "solitario";

- la cultura della sicurezza deve crescere raggiungendo i cittadini.

A proposito di quest'ultimo punto, Rita Forsi ha ribadito che l'Italia, anche per rispondere alle sempre più pressanti richieste provenienti dalla Unione Europea, sta lavorando per dotarsi di un CERT governativo/nazionale che dovrebbe vedere la luce nei prossimi mesi. Notizia che già da sola vale la partecipazione a quest'evento.

Nel pomeriggio ho poi visto la presentazione di Alessio Pennasilico e Gastone Nencini sulla protezione delle infrastrutture virtuali. Come al solito gli standard di presentazione di Alessio sono molto alti e ci sono stati numerosi spunti per un corretto approccio alla sicurezza nella predisposizione di un ambiente virtuale. Sono stati inoltre messi in evidenza gli errori più frequenti e le più tipiche sottovalutazioni che vengono purtroppo fatte quando si passa da una infrastruttura composta da elementi reali a una invece basata sulla virtualizzazione.

L'ultimo talk della giornata è stato... il mio. E visto che è impossibile parlare di se stessi con un minimo di obiettività... non lo farò! Vi dico solo che ho affrontato il tema della Cloud Security e che nel corso della presentazione ho annunciato di aver scritto un whitepaper sull'argomento che sarà pubblicato a breve come Quaderno Consip. Il Quaderno dal titolo "Cloud Security: una sfida per il futuro" sarà presentato ufficialmente nel corso di un evento che si terrà il prossimo 6 luglio in Consip. Nei prossimi giorni, scriverò più diffusamente di questo evento e vi darò maggiori dettagli.

Le altre sessioni della giornata erano dedicate al ROSI Return On Security Investement), alla gestione federata delle identità nel cloud, al rischio informatico nelle piccole imprese e alla Data Leakage Prevention.

Nel prossimo post il resoconto del Day 2.

A presto!

Best of the week - 5 giugno 2011

2011-06-05T09:03:00.001+02:00

Another week is passed so it's time to propose my listing of the best security resources of the week.

Hope you enjoy it.

@tofinosecurity "Son of #Stuxnet" - Coming Soon to a #SCADA or PLC System Near You? - http://bit.ly/jFzbI3

@ECIOForum Surviving Security Breaches, the Bleak Outlook, and Hope http://ow.ly/54GUd #enterprisesecurity

@SCADAhacker Pesca 0.75 Local Stealer - Download ! http://goo.gl/fb/bSXte RT @TheHackersNews SH: great add to your security

@RKHilbertSpace: Chinese hackers use the same backdoor required by US law to eavesdrop on Gmail accts. http://j.mp/m98tYR U.S. enables Chinese hacking of Google

@stefan_frei: Video of my SwissCyberStorm talk and malware demo online http://bit.ly/lVlhY0

@mikkohypponen Sean from our Labs recommends using Bing for image searches. Here's why: http://bit.ly/j73hXl [youtube, 7 mins]

@Imperva Anatomy of PDF Attack http://bit.ly/mq3EFx

MUMBLE - Data Breach ecco perché andrà sempre peggio

2011-06-04T18:16:00.000+02:00

Ciao a tutti, oggi torno alla serie delle riflessioni sui temi della sicurezza con un argomento che arriva direttamente dalla cronaca di questi ultimi tempi: i data breach. Come avrete certamente avuto modo di notare, in questi ultimi due o tre mesi si sono concentrati una serie di episodi di una certa gravità (alcuni molto gravi per la verità) di violazioni di servizi Web che hanno portato al furto di una mole impressionante di dati personali.

Come mai questa concentrazione? E cosa succederà nei prossimi tempi?

Per chi non ha la voglia o il tempo di leggere il resto del post la mia conclusione è nel titolo... "andrà sempre peggio". Come sono arrivato a questa conclusione? Seguitemi e ve lo spiegherò.

L'analisi che faccio parte da considerazioni tecniche per arrivare a conclusioni di tipo "sociale".

Partiamo dalle considerazioni tecniche. Come abbiamo più volte sottolineato su Punto 1, il Web è pieno di siti che non hanno in alcuna considerazione le tematiche di sicurezza. Molto spesso, questi siti pieni di vulnerabilità sono anche molto popolari e, a volte, hanno anche delle transazioni a valore aggiunto (monetario e non) su grandi basi dati di utenti.

Questa situazione rappresenta il perfetto "humus" sul quale prolifera la mala pianta del cybercrime e delle pratiche affini. Abbiamo quindi il primo pezzo per la nostra indagine "l'occasione".

Rimaniamo nel campo della tecnica. Trovare script e tool per portare attacchi è ormai quasi più semplice che trovare un antivirus gratuito. Questi mezzi non presuppongono nessuna conoscenza tecnica reale e quindi consentono praticamente a chiunque di portare attacchi di grande impatto su siti vulnerabili (cioè quasi tutti i siti). Ed ecco che qui si profila il secondo pezzo del nostro puzzle il "mezzo".

Possiamo ora passare alla parte più "sociale"... i media stanno dando una grande copertura a questi eventi. Proprio ieri, parlando con una amica che non ha nessun interesse nella cybersecurity, mi veniva fatto notare come negli ultimi tempi questi temi siano saliti alla ribalta della stampa generalista di tutto il mondo e abbiano dunque acquisito una notorietà prima sconosciuta al grande pubblico. Inoltre, sui tempi brevi, è molto raro che le forze dell'ordine abbiano modo di concludere un'indagine. Si ha così una generale impressione di totale impunità legata ad una grande notorietà. Se poi passiamo alla copertura e al taglio che molti giornali hanno riservato ad esempio alle notizie relative alle imprese degli "Anonymous" arriviamo alla costruzione di un'immagine da vero e proprio moderno "Robin Hood". Tutto ciò contribuisce a creare una fortissima voglia di emulazione che spinge molti a tentare la sorte per trovare il proprio quarto d'ora di notorietà. I reiterati episodi di hacking sui siti della Sony sono un esempio di questo fenomeno (e anche un esempio di come non si dovrebbero gestire i servizi Web di una grande corporation ;-)) ). E finalmente siamo arrivati a raccogliere il terzo e ultimo pezzo della nostra indagine... il "movente".

Non bisogna certo essere Ellery Queen per sapere che quando ci sono l'occasione, il mezzo e soprattutto il movente siamo nelle condizioni ideali per la commissione di un reato.

Quindi, andrà sempre peggio.

Fino a quando non si interromperà questa catena in qualche punto, ma per farlo bisogna che tutti quelli che si occupano a vario titolo di sicurezza lavorino duramente per cambiare uno scenario che, al momento, resta davvero fosco.

Buona domenica a tutti.

Best of the week - 29 maggio 2011

2011-05-29T09:07:00.000+02:00

Hi all, that's my listing of the Best Security resources of this week.

Enjoy it!

@SophosLabs: Free tech paper: What is Zeus? Notorious malware under the microscope http://bit.ly/lpyj4l

@CloudSOC: Cyber war on hearts and minds - http://cloudsoc.net/1X

@ChetWisniewski: Apple continues policy of refusing to help infected customers, ZDNet estimates 60,000 or more http://bit.ly/kHeW2P

@TrendLabs: The objectives of highly targeted attacks can range from financial theft to corporate espionage http://bit.ly/mPNaGc

@Cenzic: Bank of America breach - a big, scary story http://fb.me/YNvPfmS6

@suffert Hardening OS X Using The NSA Guidelines http://flpbd.it/XghR

@InfosecurityMag: New England works to coordinate government-industry response to cyber attacks http://bit.ly/j4kZuG