Archivi categoria: news

Notizie dal mondo dell’ICT security.

È tornato il ransomware

Leggevo sul blog del laboratorio di ricerca di F-Secure un’analisi su un recente malware di tipo ransomware. E la trovo molto interessante per parlare questo particolare tipo di software malevolo. Qui di seguito trovate il video in cui il grande Mikko Hyppönen spiega cosa hanno analizzato. Aggiungo solo che questo tipo di malware mi piace parecchio,  perché rende bene l’idea di come ormai ci sia una vera e propria industria criminale dietro questi programmi. Che fa anche un sacco di soldi.

Questi programmi sostanzialmente bloccano o l’intera postazione (come nel caso esposto da F-Secure) oppure criptano alcuni file di sistema e/o documenti dell’utente, come la cartella Documents&Settings ad esempio. Poi ti chiedono un riscatto e, visto che la cifratura è anche a 1024bit, hai da paga’… Potrebbero essere considerati la versione “cattiva” dei Rogue AV. Anzi, nel particolare il caso presentato da F-Secure è davvero un ibrido, visto che non c’è traccia di esplicito ricatto.

Diciamo che i ransomware non sono una novità dell’ultima ora, anzi. I Kaspersky Labs, sempre molto attenti a questo argomento, avevano previsto una nuova ondata per la fine dell’anno scorso, mostrando anche un tipo di malware che addirittura arrivava a rapire il master boot record.

La cosa interessante è che, come dicevo all’inizio, viene dimostrato chiaramente che stiamo di fronte ad atti di criminalità organizzata vera e propria. Perché per preparare una cosa del genere non ci vuole solo un cyber-criminale qualsiasi, ci vogliono: chi programma il software (e deve essere bravo, guardate la grafica..), chi si occupa di affittare i PRN, chi gestisce la botnet per spammare il malware e/o spargerlo in giro… Insomma la situazione è molto complessa.

Ormai da anni, sia nei convegni che negli spazi online, tra i professionisti dell’infosec si parla di questa industria sotterranea, con bilanci da capogiro che hanno poco da invidiare ai traffici criminali considerati normali.

Solo che se sei membro di una botnet non lo sai e non lo vedi, se ti rapiscono i tuoi dati e ti chiedono il pizzo sì. Sarà forse per questo che i ransomware non sono poi così diffusi?

Bye!

E alla fine caddero entrambi…

… ma Safari per primo.

Avevo parlato qualche giorno fa del pwn2own e della strategia di Microsoft, ora a evento concluso si possono analizzare i risultati, con un occhio di riguardo ad Apple.

Sì perché anche stavolta il primo a cadere è stato il browser della mela, non sotto i colpi della coppia Miller/Dai Zovi, ma da parte del team di Vupen Security. Nonostante i disperati tentativi di Apple di inviare un gran numero di patch, Vupen scriveva sul suo Twitter:

Apple has just released Safari 5.0.4 and iOS 4.3 a few minutes before the pwn2own contest. This breaks some exploits but not all !!

Chiarisco una cosa. I browser vengono “freezati” qualche giorno prima della gara, questo per permettere ai partecipanti di avere una piattaforma certa su cui fare i test. Ora i rilasci massivi di patch non servono ovviamente ad impedire il pwn, ma piuttosto a far dire al produttore “ah, vedi, quello 0day l’ho già risolto ieri!“. Questa è ovviamente un’utopia, poiché un ricercatore ha diverse vulnerabilità nel caricatore, quindi alla fine riuscirà lo stesso a bucare il sistema. Magari ci metterà solo più tempo (o magari no, se usa subito quella buona). Quindi anche qui la corsa al fix è totalmente inutile, se non dannosa per l’immagine.

Per quanto riguarda la sicurezza infatti, Apple non è mai stata molto attenta aperta. Questo nasce principalmente dal fatto che fino a OS X, MacOS è stato un sistema molto chiuso e particolarmente sicuro. Anche perché non c’era molto hype attorno all’azienda di Cupertino.

Poi torna Jobs, c’è l’esplosione nel mercato consumer e tutti iniziano a sfoggiare il logo della mela argentata. E tutti iniziano ad interessarsi ai sistemi Apple, che nel frattempo sono diventati Unix-like, quindi più aperti, più a rischio…

Proprio i due ricercatori citati sopra, Charlie Miller e Dino Dai Zovi, vincitori dei tre precedenti pwn2own contro i sistemi Apple, hanno recentemente rilasciato una lunga e dettagliatissima intervista al sito The H Security, in cui partono subito dicendo:

From a targeted attack, however, it has been my experience that finding and exploiting vulnerabilities in Mac OS X is significantly easier than doing so in modern Windows systems (Vista and 7).

E questo è il primo problema. Perché magari è più “sicuro” Mac OS relativamente allo share di mercato inferiore a Windows, ma Microsoft ha fatto sicuramente più passi avanti nella sicurezza dei suoi software.

Parliamoci chiaro Apple dettaglia bene le falle di sicurezza coperte da un aggiornamento, però nel contempo, puntando come sempre a lanci di marketing, non riesce a trasmettere un immagine trasparente agli utenti. Non ci sono bollettini, non ci sono blog e comunità.
Questo porta spesso a pensare di essere più sicuri di quanto in realtà non sia, se poi aggiungiamo qualche passo falso dovuto a mancanza di strategia, appunto, la situazione non è delle migliori.

Il vivere di rendita spesso può provocare molti più danni di quanto non sembri, sia perché se si espongono troppe superfici di attacco prima o poi si viene bucati, sia perché cullarsi sugli allori spesso fa scordare che bisogna lavorare sempre duro.

La chiusura totale può tuttavia anche portare dei vantaggi. Penso all’AppStore ad esempio. Per accedere alla vetrina delle applicazioni per iOS bisogna sottoporre l’applicazione al vaglio di Apple, che ne certifica la bontà. Questa, parliamoci chiaro, è una feature di sicurezza, vedi quello che è successo all’Android Market. Certo, come al solito la chiusura di Apple ha portato numerosi problemi in passato (e molti malumori tra gli sviluppatori anche oggi), però come dicono gli stessi Miller/Dai Zovi:

Having a central location for applications that is monitored in some way by Apple makes it harder for malware authors to get their code out if users start only using the Mac App Store for downloads.

Certo, se poi andiamo di jailbreak e programmi craccati, allora fatti vostri… perché alla fine l’utente è sempre la minaccia più grave.

Quello che mi auguro di vedere da Apple è una maggiore apertura sui temi di sicurezza, perché l’obscurity, ha i suoi vantaggi, ma secondo me continua a dimostrare un timore di fondo nell’affrontare la materia. E questo è indice di scarsa maturità.

Bye!

Gli amici non lasciano altri amici usare IE6 (e qualche considerazione sui problemi di sicurezza)

Altra notizia che riguarda Microsoft (non me ne volete, ma le news queste sono…).

Dopo averci provato per diverso tempo, Microsoft ritorna all’attacco sulla questione dell’abbandono di Internet Explorer 6. Nonostante quest’anno si compia il decimo anniversario della nascita, il browser è tuttora utilizzato in gran parte del mondo.

Feliciano Intini, Chief Security Advisor di Microsoft Italia e prolifico blogger, parla in un suo articolo di ben il 12% di utenti mondiali di IE6, con un 3,3% in Italia.

Microsoft ha lanciato quindi una campagna volta a far scendere la percentuale globale all’1%. Potete verificare lo stato sul sito Internet Explorer 6 Countdown.

La cosa che trovo interessante è che uno dei principali problemi della sicurezza del software, ovvero l’obsolescenza dei prodotti e il loro mancato aggiornamento, trova nel caso di IE6 un case history incredibile. Questo anche per colpa di Microsoft ovviamente. Sicuramente non hanno fatto bene i cinque anni passati tra le versioni 6 e 7 di IE, che hanno lasciato ben sedimentare il software, sia per le difficoltà nel rilasciare patch di sicurezza di un prodotto che forse non era stato pensato come security-driven. Già nel 2004 parlavano di ben 234 versioni su cui fare i test prima di una fix di sicurezza.

Diciamo che era stato pensato prima della svolta imposta da Bill Gates sulla sicurezza del software, svolta necessaria e che ritengo sia ancora un esempio su come le cose possono cambiare, anche se è difficile debellare il pregiudizio anti-Microsoft che ancora impera…

Fatto sta che ora uno dei prodotti più pericolosi per la navigazione web è ancora molto utilizzato, e le percentuali asiatiche sono preoccupanti. In effetti stando in Giappone mi sono accorto di come IE6 fosse diffuso nei chioschi internet a pagamento.

Sicuramente uno dei motivi principali del mancato upgrade è la compatibilità. Ci sono ancora un sacco di siti in giro e la stessa Microsoft ha previsto una funzione di retro-compatibilità per chi usa IE8.

Questo è il secondo punto di interesse di questa storia, perché è un esempio di un altro dei principali problemi della sicurezza del software, ovvero le errate strategie aziendali. Trovo molto pericoloso infatti anteporre il costo dell’aggiornamento di un’applicazione web (soprattutto se intranet) al rischio che si può correre continuando ad usare software pericolosi e con vulnerabilità utilizzabili anche da script kiddie
Va detto per completezza che, ragionando da CEO e guardando al rapporto costi/benefici, può essere comprensibile non intraprendere certe strade. Gartner stesso (fin troppo ascoltato ai piani alti) dice che i costi della migrazione sono troppo costosi, e che la stessa Microsoft non offre dei piani di rientro facili, e economici, da percorrere. E questo chiunque lavori in una azienda di grandi dimensioni lo deve sapere, che sia esperto di sicurezza o dirigente.

In conclusione la situazione è molto più complessa di quanto si possa pensare, e non si risolve con un semplice Windows Update… Sono sicuro che prossimamente avrò modo di trattare queste problematiche di sicurezza in modo più approfondito.

Bye!

Il pwn2own non spaventa Microsoft (forse…)

Stavo leggendo stamattina che Microsoft non rilascerà delle patch straordinarie per Internet Explorer prima del pwn2own.

Il pwn2own, per chi non lo sapesse, è un evento che si svolge tra qualche giorno durante il CanSecWest a Vancouver, sponsorizzato dai DVLabs di Tipping Point.
L’evento ha una grande eco mediatica perché organizzato molto “furbescamente“.

In pratica si mettono ad disposizione dei dispositivi, tipicamente portatili e smartphone, con relativi browser ed il primo che riesce a bucare i sistemi si porta a casa sia l’hardware che un po’ di soldini. Per bucare si intende prendere il possesso del dispositivo (pwn) facendo navigare il browser in un sito web appositamente creato per sfruttare una vulnerabilità. L’eco mediatica viene generata dalla classifica di cracking dei diversi browser (IE, Firefox, Safari e Chrome), e la stampa generalista fa a gara nel dire che un sistema è più vulnerabile di altri.

La cosa non è vera ovviamente, perché il pwn2own è vinto da ricercatori che tirano fuori al momento giusto il loro zero-day, bucando il sistema in pochi secondi. L’evento quindi non può essere usato per valutare la sicurezza di questo o quel sistema, ma solo la bravura (o la furbizia, boh…) di alcuni ricercatori.

Fatta questa premessa e considerata appunto la risonanza che ha sulla stampa, i produttori di browser si affrettano, nelle settimane che precedono l’evento, a tappare quanti più buchi possibili, per cercare di spuntare le armi in mano ai concorrenti del pwn2own.
Microsoft ha invece deciso di non includere nulla relativo a IE nel suo patch tuesday, rispettando la sua decisione di aggiornare il browser solo nei mesi pari (infatti aveva rilasciato a febbraio un elevato numero di fix).

Trovo la scelta particolarmente azzeccata e ulteriore segno di maturità da parte dell’azienda di Redmond nel campo dell’infosec. Sia perché indica una volontà di non seguire l’evento del momento solo per comodità mediatiche, ma di rimanere coerenti con la propria politica di sicurezza informatica (che in effetti ha portato frutti su diversi fronti). Inoltre, come correttamente analizzato da Computer World, evitando di rilasciare patch all’ultimo secondo Microsoft può concentrare i suoi sforzi sul rilasciare il fix della vulnerabilità trovata al pwn2own il prima possibile.

Perché comunque sa che IE verrà bucato. E forse ne uscirà meglio di Apple, o Google o Mozilla, che pur avendo rilasciato tonnellate di fix verranno sconfitti comunque, e magari anche in meno tempo…

Per chi volesse seguire il pwn2own in diretta può leggere i tweet della Zero Day Initiative o di Aaron Portnoy dei DVLabs.

Dopo l’evento analizzerò meglio i risultati.

Bye!