Archivi categoria: IMHO

Mie considerazioni e pareri personali.

La sicurezza è un trade-off, anche in volo

scatola nera

Bureau d’Enquetes et d’Analyses, via Associated Press

Adoro la sicurezza aerea.

L’adoro perché la ritengo la massima espressione di metodologie e tecniche di sicurezza che l’umanità abbia (per ora) mai raggiunto.

Questo perché

  • lavora contro natura: volare è una delle poche cose che gli umani non possono fare, quindi farlo significa andare fondamentalmente contro la nostra natura,
  • salva realmente delle vite: se un aereo cade, muoiono tutti (non sempre,m ma chi vuole sfidare le probabilità?),
  • coinvolge tantissime persone: magari la sicurezza aerospaziale può essere migliore, ma di sicuro riguarda molte meno persone,
  • ha una capacità incredibile di trovare e applicare le lessons learned: gli investigatori di sicurezza aerea sono tra i migliori al mondo, sangue freddo, esperti reali e riconosciuti, e sempre mirati a trovare la causa del perché si è verificato un incidente,
  • è pragmatica: il focus è sempre risolvere il problema nel modo più rapido possibile, e trovare la soluzione migliore affinché l’incidente non si ripeta mai più,
  • ha conseguenze enormemente visibili: tutti odiano la sicurezza aeroportuale, no?

Ma, come tutte le metodologie di sicurezza nel mondo, implica sempre un trade-off.
Necessita sempre di trovare un equilibrio.

Continua a leggere

Vulnerabilità vere e presunte: un esempio

Una delle attività più complesse che un professionista della sicurezza informatica deve fare, soprattutto in un periodo come questo in cui siamo sommersi da informazioni e segnalazioni, è mantenere la capacità di ragionare.

Detta così sembra una banalità, e infatti lo è. Come tutte le cose banali però viene spesso accantonata, dimenticata e sacrificata in nome della fretta, del correre dietro all’ultima patch o di trovare una difesa appropriata all’ultima novità in campo hacker.

Purtroppo questa situazione è fin troppo spesso alimentata dai vendor, che approfittano dell’onda di emergenze, buzzword, articoli improvvisati ma con grande eco della stampa generalista, per vendere l’ultimo prodotto. Che spesso però non serve.

Facciamo un esempio di questa situazione, prendendo spunto da una notizia che si è sparsa parecchio negli ultimi giorni.

Si tratta di un nuova “vulnerabilità” di iOS, che permette di disabilitare il servizio Trova il mio iPhone. C’è anche un video che spiega bene come funziona

Detta così sembra ovviamente molto critica, visto che si tratta di una delle principali funzionalità di sicurezza fornite con iOS. E visto che la notizia ha avuto parecchia eco e grande diffusione sui social (come del resto tutte le notizie di sicurezza che riguardano prodotti Apple) è la tipica notizia che viene sfruttata per creare l’effetto FUD (avevo già parlato del rischio di questo effetto), e magari pubblicizzare il proprio prodotto di gestione di cellulari.

Perché dico sembra? Perché bisogna ragionare, e capire esattamente cosa abbiamo di fronte, e quali rischi reali stiamo correndo. Guardate il video. Come comincia?

Con un iPhone sbloccato.

Ora, ragionando con calma e lucidità (capacità che ogni esperto di sicurezza dovrebbe sviluppare e mantenere costantemente affilate), già questo punto annulla qualsiasi altra vulnerabilità.

Anche senza scomodare la gestione aziendale dei dispositivi mobili, il primo passo indispensabile per mettere in sicurezza il proprio cellulare è attivare il codice di sblocco. Tanto più che si tratta di un iPhone, dove c’è anche la comodità del Touch ID.

Già semplicemente vedendo il primo fotogramma del video abbiamo ridimensionato il tutto, visto che non ha senso parlare di altro, se un ladro che ruba il telefono può avere accesso a tutti i dati e impostazioni senza problema.

Cosa ci insegna questo esempio? Che tutto il rumore fatto da una notizia del genere, si basa su una carenza di sicurezza molto più grande e rischiosa. La vulnerabilità c’è, senza dubbio, ed è anche grave ma non ha senso vedere solo quella, quando si lascia il proprio smartphone alla disponibilità del primo che passa.

Questo esempio è indicativo del modo di ragionare che bisogna sempre mantenere, quello di capire i rischi reali e valutare il contesto. In ambito personale è sempre buona cosa farlo, ma nella sicurezza informatica aziendale è indispensabile ragionare in questo modo.

Anche perché non solo applicheremo un po’ di spirito critico che non fa mai male, ma risparmieremo un bel po’ di soldi per prodotti inutili che, come un caso come questo insegna, non avrebbe comunque risolto il problema di base.

Piccoli hacker crescono…

Le ultime settimane sono state abbastanza turbolente nel mondo dell’InfoSec.

Oltre ai clamorosi attacchi dei mesi scorsi abbiamo assistito ad un proliferare di piccoli eventi che, stavolta in particolare, si sono svolti contro enti e aziende italiane di rilevanza nazionale.

Non voglio però parlare di questo, si è già detto molto, quanto focalizzarmi su due eventi minori che sono passati un po’ sotto traccia sui media mainstream.

Il primo è l’arresto in Gran Bretagna di Topiary. Topiary è il (presunto) portavoce del movimento Lulz Security, il “braccio armato spiritoso” di Anonymous e di tutto il movimento AntiSec. Per una panoramica più dettagliata su cosa vogliono dire questi movimenti vi rimando, oltre all’ottima Wikipedia, ad un articolo molto ben scritto da Matteo ‘lastknight‘ Flora.

Ora Topiary, al secolo Jack Davis, ha 18 anni.

La seconda notizia è che al DefCon si è svolto quest’anno, per la prima volta, l’evento DefCon Kids. Questo evento è già il segno di un grande apertura mentale ed attenzione nei confronti dell’avvicinamento dei nativi digitali alla scena hacker. Questa è una naturale conseguenza del fatto che le persone che sono nate quanto Internet già esisteva stanno crescendo e stanno comprendendo in pieno tutto ciò che il cyberspazio permette loro di fare, stanno iniziando ad imparare e, soprattutto, stanno agendo.

Durante il DefCon Kids una ragazzina, CyFi, ha mostrato una “vulnerabilità” di alcuni giochi per iOS e Android. In pratica spostando l’orologio è possibile far crescere le risorse dei farming games più velocemente, e quindi velocizzare lo svolgimento del gioco. CyFi ha in pratica cambiato e pensato fuori dallo schema. Poca cosa magari, ma c’è un piccolo particolare.

CyFi, che è anche co-fondatrice del DefCon Kids, ha 10 anni.

Questi due eventi apparentemente non collegati tra loro in realtà sono le facce di una stessa medaglia, che impareremo a conoscere nel prossimo futuro. Sono collegati perché più passerà il tempo più i nativi digitali cresceranno e cominceranno a capire cosa non gli piace del mondo. E cercheranno di cambiarlo, in meglio in peggio non importa. Perché a 18 anni è essenziale avere un ideale per cui combattere, in cui credere.

E, permettete una nota personale, in un mondo lobotomizzato dalla tv e dal consumismo estremo, vedere ragazzi che credono in qualcosa fa tornare indietro di 30/40 anni, quando l’unica cosa che importava era cercare di cambiare il mondo. A tutti i costi. E questa per me è una cosa molto positiva.

Si faranno errori e si subiranno le giuste punizioni, ma andranno avanti. Fa un po’ sorridere a tal proposito vedere la lettera degli hacker “storici” (2600, CCC, e compagnia) in cui si chiede al movimento di smettere e si condannano le loro azioni. Peccato che questi gruppi hanno sì fatto la storia del movimeto hacker, ma ora sono il passato. Un passato che, agli occhi dei giovani, sembra solo un gruppo di dinosauri che sta lì ad occupare posti di prestigio senza pensare di andare in pensione.

Del resto, seppur da prendere in estrema considerazione la loro lettera e le loro raccomandazioni, loro agivano per tutt’altro scopo. Agivano per la conoscenza, per permettere a tutti di accedere alle risorse dell’informazione. Gesti nobili, che hanno anche gettato le basi dell’internet odierna. Ma non agivano per cambiare il mondo, e infatti non hanno cambiato granché.

I nativi digitali come Topiary, tutte le crew di AntiSec e persone come CyFi invece seguono questa idea. E non serve chiedere “ma capiscono quello che fanno?”, perché la risposta è si! Lo sanno benissimo, basta guardare un bambino di tre-quattro anni come maneggia un iPad, basta vedere come impara velocemente cosa fare e come funziona, basta vedere come impara lui a voi qualche trucco o scorciatoia.

Del resto non vi ricordate, se siete della mia generazione, di quando voi a 12/13 anni programmavate il videoregistratore per i vostri genitori?

Solo che ora non si tratta di registrare 90° minuto, si tratta di defacciare siti, sputtanare l’inettitudine di chi dovrebbe essere “esperto”, far capire al mondo che si lotta per un ideale. Che si lotta anche per cercare di cambiarlo, questo mondo.

E ideali forti e grandissima abilità sono una miscela devastante. Perché un’abilità superiore a quella di quasi tutti quelli che stanno dall’altra parte della barricata è un’arma vincente, ma se si unisce ad un ideale (l’ultimo tweet di @topiary dice “You cannot arrest an idea“, e sono parole da incorniciare), allora si crea una valanga che non si fermerà facilmente. Forse non si fermerà mai…

We are Anonymous. We are . . We do not forgive. We do not forget. Expect us.

Security is all about trust

Security is all about trust, and when trust is lost there is no security.
Bruce Schneier

Recentemente sono successi un po’ di eventi che hanno avuto molta eco nel mondo della sicurezza informatica. E la frase di Schneier qui sopra riassume il sentimento che gira, e che condivido appieno.

Si è iniziato qualche tempo fa con lo sputtanamento totale di HBGary ad opera di Anonymous. Quello che poteva essere un atto di vendetta, e che comunque ha praticamente fatto chiudere un’azienda, si sta però spargendo ad altre realtà in un modo abbastanza preoccupante.

Qualche giorno fa RSA ha comunicato ai propri clienti di aver subito un attacco mirato a colpire il proprio prodotto SecurID. Questo è stato senza dubbio un colpo molto forte, sia alla credibilità (leggi: fiducia) dell’azienda, sia a molti suoi clienti che pensavano di aver trovato la panacea di tutti i mali. L’azienda infatti, dopo qualche tentennamento tendente al FUD iniziale, ha inviato ai suoi clienti delle FAQ dettagliate sull’incidente. Incidente di cui comunque al momento si sa poco e, se non sono state colpite delle banche, si saprà ancora meno.

Questo attacco mira a distruggere il (falso) senso di sicurezza dato agli utenti insieme al loro piccolo token. Perché il pensare che l’OTP sia mettere in sicurezza il sistema è un mantra che ho sentito, diverse volte, da chi ritiene riteneva che inserire questo tipo di password dispositive sia garantire un adeguato livello di sicurezza. Magari fregandosene di password policy, fregandosene di fare hardening o di controllare i log di accesso… ma andiamo avanti.

Dopo RSA, è stata colpita un’altra azienda cardine nel mondo dell’industria InfoSec: Comodo. Passando apparentemente tramite server italiani, qualcuno è riuscito a violare la struttura di Registration Authority, arrivando addirittura a generare certificati validi da usare a suo piacimento su alcuni siti molto noti. Proprio di queste ore è la notizia che l’azione è stata compiuta da una persona sola, iraniana (e infatti l’IP segnalato da Comodo era in Iran, anche se ovviamente questa informazione da sola non vale nulla) e in grado di ultimare l’attacco facendo reverse engineering di una libreria messa a disposizione da Comodo ai suoi clienti.

Questo evento è forse il più grave di quelli successi recentemente, anzi direi che un attacco con un impatto così grande non si sentiva da tempo. Attaccare la generazione dei certificati infatti mira direttamente a rompere la fiducia tra utente ed erogatore del servizio. Perché se lucchettino lì sotto mi dice che è tutto ok, che sto parlando con Google, o PayPal o la mia banca, e in realtà c’è di mezzo qualcun altro, allora tutto crolla. L’identità è uno dei punti chiave su cui si basa la fiducia in rete, e senza quella chiunque eroghi un servizio non farà mai più affari. E mentre gli attacchi MitM erano già pericolosi, ma si potevano in qualche modo bloccare, generare un certificato valido, da una RA ufficiale, vuol dire essere Google o PayPal.

Ciliegina sulla torta degli incidenti di questi giorni: MySQL.com (ma anche Sun.com) è vulnerabile ad attacchi di tipo SQL injection. Più che un rischio vero e proprio, questo evento è soprattutto un esempio.

Esempio che mi permette di riassumere tutti gli eventi discussi finora. Già perché una domanda mi sembra fondamentale: ma queste società come gestiscono la propria sicurezza? Possibile che realmente una persona, per quanto brava sia, riesca ad arrivare fino all’RA di uno dei più importanti certificatori di Internet, senza che nessuno si sia accorto di cosa c’era in quella DLL? Possibile che un attacco persistente permetta di mettere le mani su segreti e brevetti sui cui risiede la vita stessa dell’azienda, senza che nessuno controlli cosa sta succedendo? Perché quelli sono i bersagli a cui i criminali (e non gli hacker) stanno puntando: i segreti.

Parliamoci chiaro, RSA e Comodo non saranno mai più trusted come prima. Soprattutto in un mondo pieno di produttori di OTP o emettitori di certificati. Perché la fiducia è passata, perché hanno dimostrato di non sapere difendere i propri asset più importanti.

Ma la medaglia ha due lati, l’altro è cercare di analizzare quello che è successo per impararne qualcosa, quindi mi pongo un’altra domanda: sono gli asset più importanti difendibili?

Perché la domanda che un responsabile della sicurezza si deve fare è questa. E una risposta possibile ritengo sia la classica (un po’ abusata e spesso fraintesa): trust no one. Non fidarsi di nessuno non vuol dire entrare in paranoia o, peggio, scivolare nella sindrome di Fort Apache.

Vuol dire invece porsi domande, avere sempre dubbi, non fidarsi di questo o quel vendor per “metterci una pezza”, ma capire cosa si sta facendo per proteggere le proprie informazioni. Vuol dire calcolare quanto più possibile i rischi e cercare di avere delle contromisure adatte, cercare di prevedere uno scenario di incidente possibile (verifico *sempre* le CRL? (ehh….)? Uso solo il token OTP senza una forte password policy? Ho delle procedure di blocco in caso di incidente? Faccio penetration test periodici per verificare la sicurezza delle mie applicazioni web?). E poi, ultimo ma non per importanza, so (ri)guadagnarmi la fiducia dei miei clienti? So comunicare correttamente quello che è successo? Perché molte banche usano un token RSA ad esempio, quante hanno informato i loro clienti dei rischi, o preso contromisure tipo far cambiare le credenziali? A me non risulta molto…

Insomma, non fidarsi vuol dire soprattutto fare bene il proprio mestiere. Perché alla fine di quello si dovrà rendere conto, quando le cose andranno male. Ed è molto probabile che ci vadano, quindi chissà cosa stanno raccontando ora ai loro capi i responsabili della sicurezza di RSA, Comodo e Oracle… Avranno fatto bene il loro mestiere?

Bye!

P.S.: Ah, ovviamente nel frattempo ci sono stati anche un pesantissimo DDOS a WordPress.com (forse per colpire un singolo sito) e un furto di email di utenti di Play.com da una società di servizi, tra gli altri… la storia avanza…