Mio articolo sui CAPTCHA su Hackin9

Posted on 7 febbraio 2012 by

Hackin9 issue 50 Cover

Segnalazione veloce “di servizio” per informare che sul numero di febbraio di Hackin9, nota rivista di sicurezza informatica, è stato pubblicato un mio articolo relativo a cosa sono i CAPTCHA, come implementarli bene per aumentare la sicurezza e l’accessibilità, e quali sono le attuali contromisure per eluderli.

L’articolo è in inglese, e questo è l’abstract:

You’ve of course always used them. They’re those strange letters and numbers below pretty every registration form that exist on the Internet. CAPTCHAs are everywhere, sure, but are they useful? Are they secure? Are they accessible? We’ll look at how they’re implemented, we’ll try to debunk some myth related to them and understand how you can use CAPTCHAs on you web application, and be safe and sound.

Se siete abbonati potete scaricare la rivista (se non lo siete allora abbonatevi! :-) ), in ogni caso nei prossimi giorni l’articolo sarà pubblicato in italiano su questo blog. Quindi rimanete sintonizzati su glamisonsecurity.com!

Bye!

Inserito in pubblicazioni | Etichette , , , , | Lascia un commento

Piccolo post di fine anno..

Posted on 27 dicembre 2011 by

Salve a tutti.

Sono passati un po’ di mesi dall’ultimo post, l’estate è diventata inverno e l’anno è quasi al termine.

Dalle ferie estive in poi ho avuto diversi impegni, lavorativi e non, che mi hanno allontanato un po’ dallo scrivere sul blog. Non ho comunque perso l’attenzione verso quello che succede in giro.

Insomma scrivevo poco, ma leggevo molto.

In ogni caso ho lavorato nel poco tempo libero su un progettino per una serie di articoli riguardanti il lato oscuro della rete. Non stiamo parlando di usare la Forza, ma dei servizi non accessibili direttamente da tutti gli utenti, ma solo passando per Tor.

Molti di voi sapranno già di cosa sto parlando, altri no, anche se ci sono stati degli avvenimenti recenti nel mondo dell’hacktivism che hanno portato alla luce questo micro-mondo. A grandi linee gli articoli parleranno di come si usa Tor, cosa sono gli hidden services e cosa offrono, come funziona e cos’è la moneta di scambio di quel micro-mondo: BitCoin.

Il progetto è un po’ lungo, ma spero di svilupparlo per bene da gennaio in poi.
Nel frattempo Buon anno a tutti, e che sia molto più sicuro di quanto sia stato il 2011

Bye!

P.S.: il video di cui avevo parlato tempo fa ora ha i sottotitoli in italiano, fatti dal sottoscritto con la collaborazione di Boaz Fischer di CommsNet.

P.P.S.: C’è anche un’altra cosetta, ma per quella bisogna aspettare. Fingers crossed!

Inserito in bloglife | Etichette | Lascia un commento

Piccoli hacker crescono…

Posted on 9 agosto 2011 by

Le ultime settimane sono state abbastanza turbolente nel mondo dell’InfoSec.

Oltre ai clamorosi attacchi dei mesi scorsi abbiamo assistito ad un proliferare di piccoli eventi che, stavolta in particolare, si sono svolti contro enti e aziende italiane di rilevanza nazionale.

Non voglio però parlare di questo, si è già detto molto, quanto focalizzarmi su due eventi minori che sono passati un po’ sotto traccia sui media mainstream.

Il primo è l’arresto in Gran Bretagna di Topiary. Topiary è il (presunto) portavoce del movimento Lulz Security, il “braccio armato spiritoso” di Anonymous e di tutto il movimento AntiSec. Per una panoramica più dettagliata su cosa vogliono dire questi movimenti vi rimando, oltre all’ottima Wikipedia, ad un articolo molto ben scritto da Matteo ‘lastknight‘ Flora.

Ora Topiary, al secolo Jack Davis, ha 18 anni.

La seconda notizia è che al DefCon si è svolto quest’anno, per la prima volta, l’evento DefCon Kids. Questo evento è già il segno di un grande apertura mentale ed attenzione nei confronti dell’avvicinamento dei nativi digitali alla scena hacker. Questa è una naturale conseguenza del fatto che le persone che sono nate quanto Internet già esisteva stanno crescendo e stanno comprendendo in pieno tutto ciò che il cyberspazio permette loro di fare, stanno iniziando ad imparare e, soprattutto, stanno agendo.

Durante il DefCon Kids una ragazzina, CyFi, ha mostrato una “vulnerabilità” di alcuni giochi per iOS e Android. In pratica spostando l’orologio è possibile far crescere le risorse dei farming games più velocemente, e quindi velocizzare lo svolgimento del gioco. CyFi ha in pratica cambiato e pensato fuori dallo schema. Poca cosa magari, ma c’è un piccolo particolare.

CyFi, che è anche co-fondatrice del DefCon Kids, ha 10 anni.

Questi due eventi apparentemente non collegati tra loro in realtà sono le facce di una stessa medaglia, che impareremo a conoscere nel prossimo futuro. Sono collegati perché più passerà il tempo più i nativi digitali cresceranno e cominceranno a capire cosa non gli piace del mondo. E cercheranno di cambiarlo, in meglio in peggio non importa. Perché a 18 anni è essenziale avere un ideale per cui combattere, in cui credere.

E, permettete una nota personale, in un mondo lobotomizzato dalla tv e dal consumismo estremo, vedere ragazzi che credono in qualcosa fa tornare indietro di 30/40 anni, quando l’unica cosa che importava era cercare di cambiare il mondo. A tutti i costi. E questa per me è una cosa molto positiva.

Si faranno errori e si subiranno le giuste punizioni, ma andranno avanti. Fa un po’ sorridere a tal proposito vedere la lettera degli hacker “storici” (2600, CCC, e compagnia) in cui si chiede al movimento di smettere e si condannano le loro azioni. Peccato che questi gruppi hanno sì fatto la storia del movimeto hacker, ma ora sono il passato. Un passato che, agli occhi dei giovani, sembra solo un gruppo di dinosauri che sta lì ad occupare posti di prestigio senza pensare di andare in pensione.

Del resto, seppur da prendere in estrema considerazione la loro lettera e le loro raccomandazioni, loro agivano per tutt’altro scopo. Agivano per la conoscenza, per permettere a tutti di accedere alle risorse dell’informazione. Gesti nobili, che hanno anche gettato le basi dell’internet odierna. Ma non agivano per cambiare il mondo, e infatti non hanno cambiato granché.

I nativi digitali come Topiary, tutte le crew di AntiSec e persone come CyFi invece seguono questa idea. E non serve chiedere “ma capiscono quello che fanno?”, perché la risposta è si! Lo sanno benissimo, basta guardare un bambino di tre-quattro anni come maneggia un iPad, basta vedere come impara velocemente cosa fare e come funziona, basta vedere come impara lui a voi qualche trucco o scorciatoia.

Del resto non vi ricordate, se siete della mia generazione, di quando voi a 12/13 anni programmavate il videoregistratore per i vostri genitori?

Solo che ora non si tratta di registrare 90° minuto, si tratta di defacciare siti, sputtanare l’inettitudine di chi dovrebbe essere “esperto”, far capire al mondo che si lotta per un ideale. Che si lotta anche per cercare di cambiarlo, questo mondo.

E ideali forti e grandissima abilità sono una miscela devastante. Perché un’abilità superiore a quella di quasi tutti quelli che stanno dall’altra parte della barricata è un’arma vincente, ma se si unisce ad un ideale (l’ultimo tweet di @topiary dice “You cannot arrest an idea“, e sono parole da incorniciare), allora si crea una valanga che non si fermerà facilmente. Forse non si fermerà mai…

We are Anonymous. We are . . We do not forgive. We do not forget. Expect us.

Inserito in IMHO, news | 3 commenti

Volete suicidarvi online?

Posted on 20 luglio 2011 by

No, no, tranquilli. Non pensavo ad un auto-esecuzione in diretta su YouTube, ma solo di come eliminare la vostra identità dai social network.

Ormai esistiamo (ed esisteremo per sempre…) solo se frequentiamo uno o più servizi online, lassù nel cloud. Ma come si fa ad uscirne?

E, soprattutto, si può uscire?

A semplificare le cose e a darci una mano nell’eutanasia del web, è nato il sito AccountKiller.

Il sito è una directory dei vari servizi disponibili, di diverso tipo: si va dal gaming ai social, alle piattaforme di blogging. Per ciascuno viene indicato come, e se, è possibile uscirne, quali sono le modalità e soprattutto dove andare. Il sito categorizza i servizi online in tre gruppi: Blacklist (impossibile uscire), Greylist (molto difficile trovare il modo, ma si può usicre), Whitelist (basta un paio di click e siete fuori.

Facciamo subito qualche esempio così si capisce meglio:

Se volete vedere il resto, qui trovate tutti i servizi recensiti.

La questione finale è sempre la stessa: le leggete le condizioni del servizio? Perché come al solito non sempre quello che è gratis non si paga in qualche modo.

Come in tutte le scelte tecnologiche il rischio di lock-in è sempre elevato, solo che qui in ballo ci sono i vostri dati. E i vostri dati sono la vostra vita.

Bye!

P.S. La questione del lock-in è fondamentale nello scegliere un provider ed una tecnologia cloud, ne riparlerò prossimamente…

Inserito in consigli | Etichette , , | Lascia un commento

La compliance, forza inarrestabile

Posted on 30 maggio 2011 by

Un recente articolo di Jeremiah Grossman mi ha fatto riflettere. Ne segnalo un passaggio:

In the aftermath of a breach, employee dismissal and business collapses are rare, more often than not security budgets are expanded. Few things free up security dollars faster than a compromise, except for maybe an auditor.

Voglio lasciar stare la parte relativa agli incidenti, ma mi focalizzerò sulla compliance. Gli audit (cosa molto anglosassone) o la compliance legislativa (cosa molto europea) sono gli argomenti che più possono spingere il top management ad attuare molto velocemente delle politiche e/o degli strumenti di enforcement di sicurezza informatica.

Ma questo perché succede? Perché persone a cui dobbiamo spiegare bene l’importanza della sicurezza informatica, all’improvviso diventano estremamente determinati ad ottenere il risultato? Semplice: perché rischiano in prima persona.

Quando un’azienda fallisce un audit, o non è compliant ad una norma di legge, sono i direttori, gli amministratori delegati, insomma i CxO a pagarne le spese. Anche penalmente in alcuni casi. È ovvio quindi che siano altamente determinati a raggiungere il risultato, spronino i propri responsabili della sicurezza e mettano in campo un numero di risorse e budget elevatissimo.

Questa situazione incontrollata, si potrebbe pensare, è un bene? Purtroppo no.

No perché il commitment che viene da questo tipo di necessità non è una forza positiva, non nasce da una volontà di crescere e migliorare i propri processi di sicurezza. Nasce invece dall’obbligo di rispondere ad una normativa che può danneggiare l’azienda, insomma è un fastidio. E un fastidio non fa crescere, non fa ragionare, fa solo pensare al modo più veloce ed meno costoso per levarselo di torno. E il fastidio non è solo dei dirigenti, ma anche (e soprattutto) delle persone su cui impatterà l’obbligo, magari cambiando il loro operato quotidiano.

Però sarebbe stupido non cercare di sfruttare comunque questa forza. Visto che comunque il risultato va portato a casa, allora sta al professionista della sicurezza guidare il progetto verso lo scenario migliore. Soprattutto, cosa molto importante a mio avviso, è necessaria un’adeguata analisi della normativa in questione: leggetela bene! Sembra scontato ma non lo è. Considerate che probabilmente i vostri dirigenti non l’hanno (giustamente) fatto. Il più delle volte avranno solamente ricevuto un rapporto da parte dell’ufficio legale che elencava i rischi per loro.

Il problema però non è tanto che l’AD vada in galera, ma quanto la normativa impatta sull’operatività normale dell’azienda.

Prendiamo il recente provvedimento dell’Autorità Garante per la Protezione dei Dati Personali sui cosiddetti Amministratori di Sistema.

Prima di tutto, voi professionisti della sicurezza che sicuramente ne avete avuto a che fare (e magari l’avete maledetto) nei mesi passati: l’avete letto?

Dopo averlo letto, non correte subito a focalizzarvi sugli obblighi di legge, i rischi, le sanzioni, insomma tutte quelle cose che spaventano tanto i piani alti

Piuttosto in una normativa di questo tipo è fondamentale focalizzarsi sull’impatto che avrà sul lavoro quotidiano. In dettaglio il provvedimento del Garante come ha cambiato la vita dei vostri colleghi sistemisti? Quali cose sono diventate più complicate e burocratiche?
Rispondere a queste domande vuol dire fondamentalmente scrivere i requisiti che dovrà avere la soluzione da voi scelta. Perché solo in questo modo si riuscirà a trovare non solo un percorso che soddisfi la norma, ma anche che semplifichi procedure aziendali complesse.

Proprio così: semplificare. Perché applicare la professionalità di un esperto di sicurezza quando si tratta di rispondere ad una normativa di compliance vuol dire approfittare del regolamento per innalzare il livello di sicurezza della propria azienda, e allo stesso tempo risolvere tanti problemi quotidiani che magari erano lì fermi da anni.

Qui sta la vera sfida. È difficile e necessita di parecchio lavoro, studio e un’attentissima analisi di mercato. Ma soprattutto è necessario parlare con tutti i colleghi interessati, che siano i legali o l’ultimo degli installatori di Windows, ma dovete sentire tutte le loro esigenze.

Alla fine, se l’impresa avrà successo, con un unico progetto risolverete due problemi:

  1. i vostri capi saranno contenti perché la loro azienda è in regola;
  2. i vostri colleghi supereranno le paure e lavoreranno meglio e con maggior sicurezza.

Insomma, la compliance è inarrestabile, ma è domabile. Ed è anche un’occasione da non farsi scappare. Buon lavoro!

Bye!

Inserito in Spiegare la sicurezza | Etichette , | 2 commenti

Siete pronti?

Posted on 29 aprile 2011 by

Mi sono sempre particolarmente piaciuti i video informativi fatti in questo modo, sia perché sono molto efficaci, con qualche trucchetto, nel veicolare il messaggio sia perché forniscono dati e numeri reali (uno famosissimo è Socialnomics).

Ho scoperto di recente questo sulla storia della sicurezza informatica. Gustatevelo.

Il video è stato realizzato da CommsNet, ma voi, siete pronti?

P.S. Lo sapevate che YouTube consente di usare, come opzione di embedding di un video, una modalità privacy avanzata? Peccato che wordpress.com non sia aggiornatissimo…

Inserito in buzz | Etichette , , , | 4 commenti

In fondo è solo un RFC…

Posted on 26 aprile 2011 by

… e solo del 1981! Ma andiamo con ordine.

Qualche giorno fa, il (comatoso) mondo dei firewall è stato scosso dai risultati di un’analisi degli NSS Labs su un gruppo di prodotti recenti.

La storia in realtà è iniziata l’anno scorso, quando due ricercatori di Breaking Point hanno pubblicato un paper in cui, analizzando alcuni apparati, avevano scoperto che utilizzando una tecnica particolare di TCP handshake i firewall si comportavano in maniera strana.

Quei furbacchioni (in senso positivo ovviamente) di NSS hanno pensato bene di inserire questo tipo di test all’interno dei loro report periodici, e hanno scoperto che di questi prodotti analizzati:

  •     Check Point Power-1 11065
  •     Cisco ASA 5585
  •     Fortinet Fortigate 3950
  •     Juniper SRX 5800
  •     Palo Alto Networks PA-4020
  •     SonicWALL NSA E8500

Soltanto uno comprendeva correttamente l’handshake e lo rifiutava, gli altri erano potenzialmente a rischio. Ma, sarebbe da chiedersi, a rischio perché?

Il problema nasce dal fatto che l’RFC prevede, invece che un classico handshake in tre fasi (SYN-SYN/ACK-ACK) uno a quattro fasi, così composto:

    1) A --> B  SYN my sequence number is X
    2) A <-- B  ACK your sequence number is X
    3) A <-- B  SYN my sequence number is Y
    4) A --> B  ACK your sequence number is Y

Iniziare una sessione in questo modo è assolutamente lecito, ma di fatto mai implementato nella realtà. Cosa succede quindi ad un firewall se ha a che fare con questo tipo di handshake? Succede che, come scoperto da NSS, il firewall si “confonde” sullo stato della sessione, e comincia a comportarsi in modo stateless. Questo potrebbe portare il firewall a non applicare i controlli di sicurezza e a non controllare il flusso della sessione. Per esempio un potenziale attaccante potrebbe, una volta fatto collegare ad un proprio server un client di una rete aziendale, eseguire questo attacco e invertire il senso della connessione, avendo potenzialmente accesso alla rete del client. Gli scenari possibili sono facili da prevedere poi…

Vorrei premettere una cosa però, questo tipo di test vale per il solo prodotto firewall, se c’è di mezzo anche un IPS, reale o funzionalità che sia, un handshake a quattro fasi viene bloccato come attacco… a meno che l’IPS non sia in grado di capire il verso della connessione. Molti apparati di intrusion prevention infatti bloccano le possibili minacce analizzando il verso (da fuori a dentro ad esempio). Qualora un attaccante riuscisse, tramite handshake a quattro fasi a confondere il firewall e ad invertire il verso, sarebbe possibile evadere i controlli e inviare il proprio payload a destinazione.

Tornando all’industria, NSS ha pubblicato subito un bel remediation report ma, ovviamente, nel frattempo è successo un casino.

Tutti i produttori si sono sbrigati a dire che o sono immuni (però con quel settaggio…. però con quella funzionalità…) o che ci stanno lavorando: Fortinet, Palo Alto (che dice che l’hanno passato mentre NSS dice che rilasceranno una patch.. mah), SonicWALL e anche StoneSoft, che non era tra quelli testati da NSS per vari motivi… di Juniper ho trovato poco.

In particolare vorrei segnalare che il PSIRT di Cisco ha dimostrato anche qui serietà e prontezza, come nel caso AntiEvasion. Hanno infatti dichiarato che analizzando nel laboratorio la questione non sono riusciti a riprodurla, qui il loro bollettino. Devo fare i complimenti per la chiarezza e la trasparenza.

In conclusione è stato un piccolo fuoco in un settore dell’industria infosec ormai comatoso appunto, perché c’è poco da fare ormai sul prodotto firewall. Lasciando perdere le sparate next/new-gen che sanno molto di marketing e poco di innovazione reale.

Chissà, forse per innovare bisogna tornarsi a leggere le RFC, visto che questo problema, di fatto, non è nemmeno una vulnerabilità!

Per avere ulteriori spiegazioni sul topic vi rimando Breaking Point che in effetti spinge a riflettere sul modo in cui vengono testati i firewall, forse troppo lontani dalla realtà. Ulteriori articoli interessanti sono anche quelli di WatchGuard, che suggerisce di farsi da se il test con lo script riportato nella ricerca, e di Technicolor.

Bye!

P.S.: se non avete capito chi sia stato l’unico a passare il test ve lo dico io: Check Point. Per gli addetti al troubleshooting non penso ci sia da stupirsi, visto quanto FW-1 rompe le scatole con il TCP-out-of-state

Inserito in news | Etichette , , , | 1 commento