Archivio mensile:aprile 2012

Una panoramica sulla Cloud Forensics

Trovate qui la traduzione italiana del mio articolo pubblicato sul numero 4 di Hakin9 Extra.

Introduzione

Il cloud computing è senza dubbio una delle grandi innovazioni dei nostri tempi. Introduce un nuovo modo per implementare architetture complesse che solo dieci anni fa sarebbero costate centinaia (se non migliaia) di volte tanto.

Questo è avvenuto sia per l’introduzione della virtualizzazione delle risorse, dovuta all’elevato potenziale dei moderni computer, sia per una nuova più scalabile e flessibile organizzazione dei servizi offerti, orientati più verso un modello di business orientato ai Servizi stessi e non al Software.

Tutto ciò, insieme ad un nuovo modo di usare le applicazioni (tramite un browser, e non con il vecchio paradigma client-server), ha introdotto ciò che il NIST descrive come:

Un modello per abilitare un accesso pratico, on-demand via rete ad un gruppo di risorse condivise e configurabili (ad es. reti, server, storage, applicazioni e servizi), che può essere rilasciato rapidamente, con una minima gestione o interazione col provider.

Ci sono tuttavia dei problemi portati da queste innovazioni. Il principale è che tutti i modelli tradizionali, non ideati in tempi di cloud, devono essere ripensati.

Uno di questi modelli è appunto la computer forensic. Come fare questo tipo di attività su sistemi in the cloud, e come interagire correttamente con i provider di servizi cloud.

In questo articolo cercheremo di fare una panoramica su quali sono le nuove sfide che un professionista della forensic deve superare per fare bene il proprio lavoro, e cosa chiunque usi un servizio cloud, o ne gestisca uno, deve tenere in mente per evitare questo tipo di problemi nel futuro.

Cosa è cambiato?

Perché ci sono queste nuove sfide? Vediamo cosa è cambiato nel cloud.

Il modello della forensic tradizionale è basato su:

  • Raccogliere le evidenze on-site.
  • Rispettare la legge, e garantire la catena di custodia.
  • Analizzare i dati per trovare evidenze, eindividuare le prove.

Questo, nel cloud, cambia completamente.

Non esiste un sito fisico. Già, avete letto bene. “Nel cloud” non c’è un posto dove si può andare e sequestrare un pc o un server per analizzarlo in seguito. Nel cloud ci sono numerosi CED che ospitano contemporaneamente i dati che state cercando.
Questo è veramente un incubo, anche perché siamo al primo passo e già sembra un ostacolo insormontabile.
Considerato che l’architettura cloud consiste nella condivisione dei dati, risorse e servizi su diversi CED, infrastrutture virtualizzate e servizi aperti a chiunque, non c’è modo di essere certi che i dati necessari siano stati raccolti completamente.

Non c’è una singola legge. Garantire la catena di custodia significa che bisogna rispettare leggi specifiche, di una nazione specifica (in genere la vostra). Ma nella prospettiva del cloud non c’è una singola nazione. Una rete diffusa di centri di elaborazione dati significa una rete diffusa di giurisdizioni. E questo significa che può essere molto complesso (in alcuni casi, volutamente, impossibile) interagire con nazioni che non hanno leggi moderne sulla criminalità informatica.

Non c’è un singolo provider. Analizzare i dati significa che tutto quello che è stato raccolto deve essere coerente e può essere usato come prova. Ma se i servizi cloud che state analizzando sono relativi ad un’altra infrastruttura, potete garantire di non aver perso nulla? E chi vi può fornire ulteriore assistenza?
Questo è un problema reale già ora, facciamo un esempio. C’è un servizio molto noto che permette di sincronizzare e condividere file su diversi computer e dispositivi. Basta inviare, o meglio “droppare” un file in una cartella, o un “box”, e sono disponibili ovunque. Ora questo servizio di cloud utilizza risorse di un altro servizio sempre di cloud, di più altro livello, gestito da una nota libreria online di una “femmina cavallerizza”… La domanda ora è chi comanda? Chi realmente gestisce questo sistema? Difficile rispondere.
La risposta è che, dopo aver affrontato diverse giurisdizioni, la sfida qui è capire cosa quei dati significano, e cosa le due entità coinvolte sanno di quei dati e possono darvi. E questo può essere molto difficile.

Quindi è tutto così complicato? No, non tutto.

Poiché il modello cloud è una grande opportunità per tutti, può essere una grande opportunità anche per i professionisti della forensic. Questo però significa che anche i provider di servizi cloud devono essere pronti a confrontare i loro sistemi con le nuove sfide presentate dal nuovo modello.

Molti provider cloud non sanno cosa dire quando è il momento di parlare di cloud forensics, questo perchè fondamentalmente loro non conoscono il problema. Non se ne occupano perché il modello cloud è troppo veloce, scalabile e ampio per avere a che fare con questo tipo di problemi, strettamente legati al modello passato.

Ma questo è sbagliato in molti sensi. È sbagliato per il cliente, perché se succede qualcosa (e qualcosa prima o poi succederà) vi ritroverete in un gran guaio. È inoltre ancora più sbagliato per il cloud provider stesso, visto che è lui il responsabile di quello che succede sui suoi sistemi e sui servizi che offre. Questo quando le cose vanno bene, certo, ma ancora di più quando le cose andranno male.

Il cybercrime non sta a guardare

Finora abbiamo parlato di servizi regolare. Ma come è facile immaginare, il modello cloud non è un modo efficiente di fare business solo per le aziende normali, è un ottimo modello anche per i criminali.

Questo crea una notevole minaccia per chiunque gestisca un servizio cloud. E la minaccia è doppia.

Il primo problema è che potreste scoprire che il vostro servizio (lecito) è usato da cybercriminali per fare cose illegali. Ad esempio ci sono numerosi riscontri sul fato che qualche servizio online di malware scan è usato da chi scrive il malware per dimostrare la bontà del loro prodotto. È come se dicessero: vedete? Nessuno lo riconosce, comprate il mio malware!
Questo è un usonon proprio lecito di uno strumento perfettamente legale, ma magari tra qualche tempo i tizi vestiti di blu potrebbero fare un salto da voi e chiedervi “cosa sta succedendo?”.

L’altra minaccia è che anche i criminali stanno attivando i loro servizi nel cloud. Oggigiorno ci sono una quantità enorme di toolkit per produrre “malware fatto in casa”, e si possono acquistare per pochi dollari. La cosa interessante è che questi prodotti vengono venduti, supporto incluso (sì, c’è anche un helpdesk per usarli), su infrastrutture praticamente uguali a al modello diffuso di software-as-a-service (SaaS).
Ma quando un sistema come questo viene bloccato e, magari, sequestrato, come fa un professionista della computer forensic a capire cosa stava succedendo lì sopra? Come può estrarre i dati necessari a provare il crimine?

Questi sono casi reali, come reali sono le sfide che pongono.
E poi, pensateci, non è anche una botnet un “servizio cloud”? 🙂

Opportunità

L’abbiamo detto prima e lo diciamo ancora: siate pronti. Questo è un problema molto importante, e non deve essere sottovalutato.

Questo significa anche che molti professionisti della computer forensic possono realmente aiutare a implementare strumenti e strategie di cloud forensics nei nuovi servizi. Poiché questo è un problema che ogni cloud provider dovrà affrontare prima o poi, questa è un’eccellente opportunità per fornire supporto a definire una strategia della cloud forensics.

Il paradigma cloud è talmente versatile che è possibile, e infatti ci sono già dei progetti in tal senso, sviluppare una piattaforma di forensic-as-a-cloud-service, fatta specificatamente per il cloud.

Se siete un provider, può essere una grande opportunità anche per voi, perché definire una strategia e un’architettura per la cloud forensics significa implementare quegli strumenti e quelle procedure nei vostri servizi cloud, e questo è quello che va fatto ora. Questo significa sia una raccolta di dati proattiva, basata su strumenti di computer forensic (sì, anche quelli standard attuali!), sia una dettagliata procedura di incident response che includa la forensic, sia infine un addestramento per il vostro staff al fine di fargli comprendere meglio i rischi del nuovo modello (questo passo, sinceramente, è valido in ogni caso).

Tutto ciò significa anche comprendere le leggi delle nazioni dove sono i vostri CED. E questo è importante non solo per essere pronti in caso di incidente, ma anche per evitare possibili procedimenti legali nel caso le leggi siano troppo stringenti.

Negli Stati Uniti, ad esempio, molti tribunali e molti giudici stanno chiedendo sempre di più prove e dati provenienti dai sistemi informatici. E chiedono come le prove sono state raccolte, come sono state conservate ed analizzate.

E se siete voi l’azienda alla sbarra, e non sapete rispondere alla domande del giudice, potreste incorrere in sanzioni, o peggio.

Per concludere: non aspettate il vostro turno per finire nei guai, preparatevi.

Federico Filacchione
pubblicato originariamente come “An Overview on Cloud Forensics” su Hakin9 Extra numero 4/12© Software Press, Poland.

Una panoramica sulla Cloud Forensics – Articolo su Hakin9 Extra

Hakin9 Extra Cloud ForensicsÈ appena uscito Hakin9 Extra numero 4 totalmente dedicato alla Cloud Forensics, l’articolo di apertura della rivista è mio e si intitola  An Overview on Cloud Forensics.

Si tratta di una panoramica generale su quali sono le principali problematiche e criticità, ma anche quali sono le possibili opportunità, su come fare forensics su infrastrutture di cloud computing.

L’articolo è in inglese e questo l’abstract:

There’s not a single law. Preserving the chain of custody means that you’ve to comply with specific laws, regarding a specific country. But in a cloud perspective there’s no single country. A huge network of data centers means a huge network of jurisdictions. So could be very complex to interact with some countries that don’t have modern computer crime laws.

Il resto lo potete leggere abbonandovi e scaricando il numero, oppure tra qualche giorno su Glamis on Security!

Ma non era meglio pensarci prima?

Questo articolo fa parte della serie Spiegare la sicurezza, e analizza un case study interessante per capire come prevenire certi eventi.

Tutti penso sappiate dei pesantissimi attacchi subiti da Sony Computer Entertainment lo scorso anno. L’attacco principale ha portato alla chiusura del PlayStation Network, con il furto di dati di milioni di utenti, una figuraccia globale e danni quasi incalcolabili di immagine e soldi.

Dell’attacco in se si è parlato molto, ma di cosa succedeva all’interno di SCE si sapeva poco o nulla. Certo i rumori delle teste che venivano falciate si sentiva bene qui tra gli USA e il Giappone, ma poi cosa è successo davvero?

Ora un’esclusiva di SC Magazine Australia fa luce su come Sony ha reagito ai violentissimi e devastanti attacchi.

Vediamo cosa è successo, e cerchiamo di capire come questo può essere un esempio per implementare correttamente la sicurezza in un’azienda di queste dimensioni.

Prima di tutto, hanno chiamato Wolf a risolvere i problemi.
Chiamare Brett Wahlin a diventare il primo CSO di Sony Network Entertainment è stato sicuramente un gran colpo (che sarà costato molto…), ma cosa ci dice questo?

Ci dice che non c’era un Chief Security Officer.

Questa cosa è gravissima in qualsiasi azienda di quel livello, ma è allucinante se si pensa che Sony erogava servizi a milioni di clienti, su decine di piattaforme diverse e con una superficie d’attacco praticamente sconfinata.

Wahlin è un grande esperto del settore, in particolare di intelligence. Cosa ha fatto appena arrivato?

The new department, Wahlin says, is the “connective tissue” that ties Sony’s electronics and computer divisions together and is the company’s biggest investment in information security.

Ha subito riattivato l’unità di sicurezza interna e, soprattutto, ha creato un centro di coordinamento di tutte le strutture di sicurezza interna, cosa che prima evidentemente non c’era e che:

[Will] analyse feeds from all corners of SonyEntertainment Network, including information security and CCTV feeds. The centre’s goal is to automate security prevention capabilities so staff may work on enhanced detection and response.

In pratica il nuovo SOC farà da concentratore di tutti gli eventi di sicurezza, sia fisica che logica, in modo da avere una visione globale di tutto quello che succede. Allo stesso tempo automatizzare alcuni controlli significa liberare risorse umane per una migliore analisi e risposta agli eventi più complessi.

Considerato poi che uno dei vettori di attacco più usati contro Sony è stato lo spear phishing, l’esperienza di Wahlin nel controspionaggio militare ha puntato su due ambiti di azione ben definiti:

  • Locking down: ovvero blindare quanto più possibile la rete Sony da possibili attacchi esterni, convogliare gli eventi di sicurezza nell’unico SOC. Questo comprende il monitoraggio degli accessi fisici, delle telefonate, e anche i sistemi antifrode del PlayStation Network, precedentemente lasciati isolati dalla gestione della sicurezza, che non aveva pensato a correlare eventi che provenissero da tutti gli ambienti. Dimenticando appunto che sono tutti collegati, e che un attaccante può colpire con molti vettori in contemporanea.
  • Educazione: altro fattore fondamentale è la formazione di tutti i dipendenti, soprattutto i tecnici chiave che possono essere più soggetti ad attacchi, ad un livello di consapevolezza adeguato. Quindi corsi, procedure, best practice e quant’altro serva per far comprendere che i rischi sono molto più diffusi di quanto si pensi.

Come dice giustamente Wahlin:

Put simply, be safe if you don’t want to go to hospital.

Questa è sicuramente un’implementazione da manuale della sicurezza in un’azienda di queste proporzioni e con questi servizi. Sicuramente non la renderà invincibile, ma di certo dovrà essere presa come esempio.

Vediamo però cos’altro ci insegna questa vicenda.
Torno al titolo: non era meglio fare tutto prima?

La situazione prima dell’arrivo di “only four security staff remained at the company in October last year“. Ora non so se è perché sono stati cacciati o se ne sono andati volontariamente, fatto sta che i danni subiti da Sony erano incredibilmente alti.

Ma proprio perché la reazione della società è stata da manuale, dovrebbe essere altrettanto da manuale comprendere che bisognava pensarci prima.

Sono abbastanza sicuro che molte volte all’interno di Sony si è parlato di creare un CSO, lo dico perché chi lavora nella sicurezza di aziende come quella non è di certo l’ultimo arrivato, e sa cosa sta facendo (almeno, lo spero). Non è stato però capace di trasmettere al top management il messaggio corretto, cioè che serviva un coordinamento centrale, serviva analizzare meglio tutte le fonti. Perché solo così si riesce ad avere una visione complessiva delle possibili minacce e degli eventi in corso. Eventi e attacchi che impattano su più linee operative per raggiungere lo scopo.

Quello che è successo è esattamente la stessa situazione che ho affrontato parlando di compliance. Quando c’è una pressione, in quel caso legale in questo caso economica e di immagine, il commitment arriva alla velocità della luce. Ma arriva come un bombardamento a tappeto, non con perizia e precisione chirurgica.

Quindi il mio consiglio è quello sì di prendere la vicenda Sony come case study su come organizzare la sicurezza di un’azienda. Ma soprattutto di prenderlo ad esempio su come non dover aspettare il dramma per agire. Perché al di la di chiamare il super esperto, cosa che ovviamente non tutti possono permettersi, le azioni decise da Wahlin sono assolutamente in linea e fattibili in qualunque posto.

Necessitano di investimenti e devono essere adeguatamente progettate e motivate, ma sono le azioni base su cui costruire tutto.

Centralizzazione di tutti gli eventi in un SOC (da dare in outsourcing ad esperti se non si ha il know-how adeguato), analisi dei rischi a cui i propri servizi possono andare incontro, controllare le minacce interne ed educare il personale per comprendere che le azioni fatte con eccessiva leggerezza possono mettere a rischio la stabilità dell’azienda.

Questa non è fantascienza, e tutti i responsabili della sicurezza devono, se non l’hanno già fatto, inserire quanto prima questi passi nella propria agenda. Devono anche analizzare bene il caso Sony, e presentarlo ai propri capi per far comprendere che non è necessario fare il botto per risolvere i problemi.

Ma per farlo dovrete avere una proposta ben strutturata, che non sia quella di fondi e persone illimitate ma che sia basata sulle reali necessità di sicurezza dell’azienda. E che ne comprenda le dinamiche e risolva i problemi quanto più possibile con una migliore organizzazione. Ed è molto più facile di quanto pensiate.

Siete in grado di farlo?

Perché se non lo siete, quando succederà qualcosa (e qualcosa succederà sempre), i vostri capi chiameranno Wolf.

Sono Wolf. Risolvo problemi.

“Sono Wolf. Risolvo problemi.”

Non voi.

Bye!

P.S. Un po’ scomodo che SC Magazine richieda la registrazione per vedere articoli più vecchi di sette giorni, però non è proprio carino che una rivista di sicurezza permetta poi di bypassare questo controllo semplicemente inserendo l’ID dell’articolo nella funzione di print. 🙂

Proteggi la tua privacy online con Tor

Trovate qui la traduzione italiana del mio articolo pubblicato sul numero 26 di ClubHACK Magazine.

Tor logo

Che cos’è Tor?

Iniziamo con spiegare cosa significa Tor: è un acronimo che sta per The Onion Router (Il Router Cipolla).
Un router è un dispositivo che gestisce e smista il traffico su una rete di computer. Quando scrivere una URL nel vostro browser, come http://chmag.in e date invio, inviate questa richiesta al router del vostro ISP, che la rigirerà ad un altro router esterno e così via, finché non raggiungete il router dell’ISP di CHmag, che vi invierà la pagina del sito. Ognuno di questi passaggi è chiamato tecnicamente un hop.

Tor funziona esattamente come questo sistema di router, però poi c’è la cipolla. Beh, la cipolla è… una cipolla! 🙂
La ragione per cui gli sviluppatori di Tor hanno usato questa metafora è che quando si usa il sistema di routing di Tor, i dati vengono inviati all’interno di diversi livelli di cifratura, esattamente come passare tutti gli strati di una cipolla!

La pagina di Wikipedia di Tor ha un’eccellente immagine che spiega il funzionamento.

TOR The Onion Network

Electronic Frontier Foundation “How Tor Works” – licensed CC Attribution 3.0

Ma c’è un sacco di gente lì dentro! Non dovrebbe difendere la mia privacy?

Può sembrare strano ma così si difende la privacy.

Prima di tutto, quando si usa il tradizionale sistema di router, la richiesta passa lo stesso attraverso un numero di hop, ma in più può essere intercettata, letta e modificata. Questo perché chi controlla quell’hop può vedere la richiesta inviata, e sapere cosa stava cercando chi l’ha inviata.

All’interno del network tor questo non può succedere. Poiché il percorso è scelto in maniera casuale ogni hop può solamente decifrare il piccolo livello cipolla di cifratura che gli compete, e poi passare al seguente salto.

Come si può vedere dall’immagine sopra solo l’ultimo passaggio è in chiaro, dal cosiddetto nodo di uscita fino al web server di destinazione. Questo è necessario perché l’ultimo nodo deve necessariamente conoscere il destinatario della richiesta e cosa chiedere. Ma la privacy di chi ha fatto la richiesta è comunque protetta, visto che anche sniffando (cioè intercettando i dati inviati sulla rete), il nodo di uscita non può sapere chi ha fatto la richiesta, quindi nessuno può identificarvi. Il server di destinazione vedrà solo l’indirizzo IP, che identifica univocamente ogni dispositivo sulla rete, del nodo di uscita.
Il funzionamento è molto più semplice di quanto sembri, lo vedremo tra poco.

Poiché l’uso di Tor è assolutamente gratuito, ogni utente che si connette diventa un membro della rete e contribuisce a passare “cipolle” su e giù di continuo. Ma non c’è da preoccuparsi, nessuno è obbligato a funzionare da nodo di uscita, è possibile farlo ovviamente, ma questa opzione deve essere abilitata volontariamente.

Sembra molto complicato… non sono un hacker! Non posso usarlo!

In effetti sì, il progetto Tor è veramente molto complesso nel suo funzionamento. Gli sviluppatori hanno tuttavia fatto, e continuano a fare, un lavoro eccellente di semplificazione nell’utilizzo dello strumento, e lo hanno reso accessibile a chiunque, in modo estremamente semplice.

Tor ha infatti un sotto-progetto chiamato Tor Browser Bundle. Il software non richiede installazione e permette di navigare in sicurezza con un semplice clic. Non essendo necessario installarlo è semplice da trasportare su una chiavetta USB, in modo da averlo disponibile su ogni sistema che utilizzate, sia il proprio pc, un hotel, un internet cafè o il computer dell’ufficio.

L’unica cosa da fare è scaricarlo dalla pagina del progetto, è disponibile anche una versione italiana e c’è per Windows, Mac OS X o Linux.

Una volta scaricato e scompattato l’archivio .exe avrete questa serie di icone

Tor Browser Bundle

A questo punto manca solo un clic dal navigare sicuro. Basta far partire “Start Tor Browser.exe” e Tor inizierà a connettersi alla rete protetta.

Nel giro di pochi secondi vedrete questa finestra:

Vidalia Control Panel

Non dovete preoccuparvi di tutti i bottoni e le funzioni all’interno del pannello di controllo di Vidalia, l’unica cosa che conta è la cipolla verde e le parole “Connesso alla rete Tor!“. Questo significa che ora siete protetti.

Ma la magia di questo strumento non finisce qui. Non appena stabilita la connessione con la rete Tor una versione speciale di Firefox, inclusa nel pacchetto, si aprirà automaticamente con questa schermata:

Firefox Tor Portable

Questo vuol dire che è tutto finito! Usando questo Firefox navigherete automaticamente all’interno della rete Tor, in modo del tutto anonimo e sicuro. Volete provare? Andate su http://whatsmyip.net sia dal Firefox incluso nel Tor Bundle sia dal vostro brower classico, e vedrete che gli indirizzi IP sono diversi. Questo significa che state usando l’IP del nodo di uscita, come spiegato in precedenza. Quando non vorrete più usare Tor, basta chiudere la finestra di Firefox, si chiuderà anche il pannello di controllo di Vidalia e la connessione alla rete Tor terminerà.

In conclusione, avete visto che è molto semplice usare Tor. D’ora in poi, se volete proteggere la vostra privacy online, non dimenticatevi di usare Tor Browser, e portatelo sempre con voi, specialmente su postazioni che non conoscete.

Proteggersi non è così complicato come sembra, anzi non è complicato per nulla! Basta seguire dei semplici passaggi ed è fatta. Questo è solo l’inizio di molti altri servizi che sono disponibili all’interno del progetto Tor, ma questo passo è quello che vi serve per navigare protetti.

Buona privacy e navigazione tranquilla a tutti!

Federico Filacchione
pubblicato originariamente come “Protect your privacy online with ’TOR” su ClubHACK Magazine numero 26.