Security is all about trust, and when trust is lost there is no security.
Bruce Schneier

Recentemente sono successi un po’ di eventi che hanno avuto molta eco nel mondo della sicurezza informatica. E la frase di Schneier qui sopra riassume il sentimento che gira, e che condivido appieno.

Si è iniziato qualche tempo fa con lo sputtanamento totale di HBGary ad opera di Anonymous. Quello che poteva essere un atto di vendetta, e che comunque ha praticamente fatto chiudere un’azienda, si sta però spargendo ad altre realtà in un modo abbastanza preoccupante.

Qualche giorno fa RSA ha comunicato ai propri clienti di aver subito un attacco mirato a colpire il proprio prodotto SecurID. Questo è stato senza dubbio un colpo molto forte, sia alla credibilità (leggi: fiducia) dell’azienda, sia a molti suoi clienti che pensavano di aver trovato la panacea di tutti i mali. L’azienda infatti, dopo qualche tentennamento tendente al FUD iniziale, ha inviato ai suoi clienti delle FAQ dettagliate sull’incidente. Incidente di cui comunque al momento si sa poco e, se non sono state colpite delle banche, si saprà ancora meno.

Questo attacco mira a distruggere il (falso) senso di sicurezza dato agli utenti insieme al loro piccolo token. Perché il pensare che l’OTP sia mettere in sicurezza il sistema è un mantra che ho sentito, diverse volte, da chi ritiene riteneva che inserire questo tipo di password dispositive sia garantire un adeguato livello di sicurezza. Magari fregandosene di password policy, fregandosene di fare hardening o di controllare i log di accesso… ma andiamo avanti.

Dopo RSA, è stata colpita un’altra azienda cardine nel mondo dell’industria InfoSec: Comodo. Passando apparentemente tramite server italiani, qualcuno è riuscito a violare la struttura di Registration Authority, arrivando addirittura a generare certificati validi da usare a suo piacimento su alcuni siti molto noti. Proprio di queste ore è la notizia che l’azione è stata compiuta da una persona sola, iraniana (e infatti l’IP segnalato da Comodo era in Iran, anche se ovviamente questa informazione da sola non vale nulla) e in grado di ultimare l’attacco facendo reverse engineering di una libreria messa a disposizione da Comodo ai suoi clienti.

Questo evento è forse il più grave di quelli successi recentemente, anzi direi che un attacco con un impatto così grande non si sentiva da tempo. Attaccare la generazione dei certificati infatti mira direttamente a rompere la fiducia tra utente ed erogatore del servizio. Perché se lucchettino lì sotto mi dice che è tutto ok, che sto parlando con Google, o PayPal o la mia banca, e in realtà c’è di mezzo qualcun altro, allora tutto crolla. L’identità è uno dei punti chiave su cui si basa la fiducia in rete, e senza quella chiunque eroghi un servizio non farà mai più affari. E mentre gli attacchi MitM erano già pericolosi, ma si potevano in qualche modo bloccare, generare un certificato valido, da una RA ufficiale, vuol dire essere Google o PayPal.

Ciliegina sulla torta degli incidenti di questi giorni: MySQL.com (ma anche Sun.com) è vulnerabile ad attacchi di tipo SQL injection. Più che un rischio vero e proprio, questo evento è soprattutto un esempio.

Esempio che mi permette di riassumere tutti gli eventi discussi finora. Già perché una domanda mi sembra fondamentale: ma queste società come gestiscono la propria sicurezza? Possibile che realmente una persona, per quanto brava sia, riesca ad arrivare fino all’RA di uno dei più importanti certificatori di Internet, senza che nessuno si sia accorto di cosa c’era in quella DLL? Possibile che un attacco persistente permetta di mettere le mani su segreti e brevetti sui cui risiede la vita stessa dell’azienda, senza che nessuno controlli cosa sta succedendo? Perché quelli sono i bersagli a cui i criminali (e non gli hacker) stanno puntando: i segreti.

Parliamoci chiaro, RSA e Comodo non saranno mai più trusted come prima. Soprattutto in un mondo pieno di produttori di OTP o emettitori di certificati. Perché la fiducia è passata, perché hanno dimostrato di non sapere difendere i propri asset più importanti.

Ma la medaglia ha due lati, l’altro è cercare di analizzare quello che è successo per impararne qualcosa, quindi mi pongo un’altra domanda: sono gli asset più importanti difendibili?

Perché la domanda che un responsabile della sicurezza si deve fare è questa. E una risposta possibile ritengo sia la classica (un po’ abusata e spesso fraintesa): trust no one. Non fidarsi di nessuno non vuol dire entrare in paranoia o, peggio, scivolare nella sindrome di Fort Apache.

Vuol dire invece porsi domande, avere sempre dubbi, non fidarsi di questo o quel vendor per “metterci una pezza”, ma capire cosa si sta facendo per proteggere le proprie informazioni. Vuol dire calcolare quanto più possibile i rischi e cercare di avere delle contromisure adatte, cercare di prevedere uno scenario di incidente possibile (verifico *sempre* le CRL? (ehh….)? Uso solo il token OTP senza una forte password policy? Ho delle procedure di blocco in caso di incidente? Faccio penetration test periodici per verificare la sicurezza delle mie applicazioni web?). E poi, ultimo ma non per importanza, so (ri)guadagnarmi la fiducia dei miei clienti? So comunicare correttamente quello che è successo? Perché molte banche usano un token RSA ad esempio, quante hanno informato i loro clienti dei rischi, o preso contromisure tipo far cambiare le credenziali? A me non risulta molto…

Insomma, non fidarsi vuol dire soprattutto fare bene il proprio mestiere. Perché alla fine di quello si dovrà rendere conto, quando le cose andranno male. Ed è molto probabile che ci vadano, quindi chissà cosa stanno raccontando ora ai loro capi i responsabili della sicurezza di RSA, Comodo e Oracle… Avranno fatto bene il loro mestiere?

Bye!

P.S.: Ah, ovviamente nel frattempo ci sono stati anche un pesantissimo DDOS a WordPress.com (forse per colpire un singolo sito) e un furto di email di utenti di Play.com da una società di servizi, tra gli altri… la storia avanza…