Al via il Security Summit 2011

Logo Security SummitAnche nel 2011 si svolgerà a Milano il Security Summit.

Nato tre anni fa dalla volontà del Clusit di creare un evento nazionale che non sia legato a questo o quel vendor, il Summit offre la possibilità a tutti gli specialisti della sicurezza di trovarsi, discutere e ascoltare talk di eccellente livello.

E anche quest’anno sarò presente, dal 14 al 16 marzo, all’ATA Hotel ad ascoltare tutte le sessioni che spero (ma in fondo sono sicuro) saranno illuminanti come sempre.

In realtà vorrei approfittare di questo blog per offrire un resoconto giornaliero di quanto ascolterò nelle varie sessioni. Non so quanto riuscirò ad offrire una copertura in tempo reale qui, di solito gli articoli cerco di prepararli con calma. Vi garantisco però aggiornamenti in tempo reale dal mio account twitter (consultabile anche nella sidebar a destra). Sicuramente comunque riprenderò gli argomenti più interessanti in una serie di articoli dedicati, integrando gli spunti offerti dalle presentazioni con una ricerca su altri dati disponibili.

Voglio comunque riassumere qui le sessioni che ho trovato più interessanti e che seguirò:

Lunedì 14

  • Cyberstalking ai criminali digitali: il keynote di apertura del Summit è affidato a Jon Orbeton, della sicurezza di PayPal, che parlerà di come tentare di risolvere il problema alla radice, colpendo i criminali e non semplicemente reagendo ai loro attacchi.
  • Attacchi alle infrastrutture virtuali: Alessio “mayhem” Pennasilico e Gastone Nencini aiuteranno a districarsi nella sicurezza dei nuovi sistemi: cloud, virtuali e quant’altro. Per andare un po’ oltre la solita sicurezza perimetrale (tanto cara ai responsabili IT, purtroppo…)
  • Mobile Security: Rischi, Tecnologie, Mercato: tavola rotonda sullo stato dell’arte della sicurezza dei dispositivi mobili. Anche qui grande trend attuale, spesso sottovalutato in aziende grandi dove i dirigenti sfoggiano iCosi senza controllo.
  • Gli 11 Comandamenti della sicurezza per il 2011: altra tavola rotonda, stavolta tra il serio e il faceto su come stabilire le strategie per il prossimo anno.

Martedì 15

  • Il processo di Application security dal modello tradizionale al Cloud: il bravo (e lo dico con cognizione) Simone Riccetti e Alessandro Gai affronteranno il problema del secure engineering in ambito cloud.
  • Cloud, Security, SaaS, ed altre meraviglie. Come uscirne illesi!: ancora Pennasilico e Ieranò parleranno di nuove tecnologie (e molto, troppo di moda) e di come trattare la loro sicurezza.
  • Incontro con Bruce Schneier su Cyberwar and the Future of Cyber Conflict: c’è poco da dire, ma solo da cercare di stare più attenti possibili. C’è Bruce.
  • Lo stato dell’arte dei progetti OWASP ed i falsi miti sull’uso dei tool: l’amico Matteo Meucci, Paolo Perego e Giorgio Fedon faranno il punto sullo stato del progetto OWASP (che avanza anche grazie al loro impegno), e parleranno di come i tool siano circondati di un falso alone di miti e luoghi comuni.

Mercoledì 16

  • Security dynamics worldwide, why did we end up in this world? And what’s next?: l’ultimo keynote, affidato a Philippe Langlois, fornirà un’analisi delle dinamiche passate e future nel mercato della sicurezza.
  • Rischi ed opportunità nell’utilizzo degli Smartphones: Il duo Chiesa-Pennasilico analizzeranno i dispositivi mobili come vettori di attacco. Visti i precedenti e conoscendo i due, questa sessione è da non perdere…
  • Infrastrutture Critiche vs Cyberthreats: come proteggersi dallo Stuxnet di domani: ancora Chiesa, stavolta con Fabio Guasconi, parleranno degli attacchi alle infrastrutture critiche, una “moda” che preoccupa sempre di più.

L’agenda è insomma bella piena, cercherò ovviamente di assimilare quanto più possibile. Se passate da quelle parti fatemi un fischio, non vi offrirò una cassoeula, ma magari una birra sì.

Bye!

Spiegare la sicurezza al top mangement

Questo articolo fa parte della serie Spiegare la sicurezza.

Un articolo uscito sull’ultimo numero di (IN)SECURE Magazine, webzine gratuita e interessante, anche se con troppe pubblicità, mi offre lo spunto per parlare delle relazioni con gli alti dirigenti aziendali.

Ho sempre trovato l’argomento di elevato interesse, anche perché è uno dei cardini principali su cui gira l’efficacia delle attività di sicurezza informatica in azienda. La problematica è che molto spesso il cardine si ferma, per tutta una serie di incomprensioni, oppure accelera vorticosamente in seguito a un fortissimo commitment che viene dall’alto (e di questo ne riparlerò meglio in un prossimo post).

L’articolo in questione è Managers are from Mars, information security professionals are from Venus, scritto da Brian Honan. Brian è un esperto di sicurezza irlandese fondatore del primo CERT/CSIRT dell’isola di smeraldo. Avendo a che fare con rappresentanti governativi, immagino l’esperienza di Brian in termini di relazioni tra  strutture operative e dirigenza (e anche io ne so qualcosa). Il suo punto di vista mi sembra quindi sia da considerare.

Un passaggio chiave da cui iniziare è questo:

Senior Management does not care about technology. Their focus is on the core functions of the business to ensure the business survives, meets its goals and also on being accountable to the stakeholders.

Questo punto di vista spesso non è ben compreso da un esperto di sicurezza ICT, anzi è visto come un segno di ignoranza del manager, di scarsa considerazione del valore del proprio lavoro.

In realtà le cose non stanno così, il focus di un C-Level executive resta quello dell’erogazione del business, comunque vada. Questo va compreso da parte di chi si occupa della sicurezza, perché comprendendo questa necessità (non derogabile né modificabile) ci si può porre in modo diverso. Si dovrebbe offrire al top manager un prospetto sullo stato della sicurezza per quel determinato progetto e/o servizio, aiutandolo a capire come possono eventuali problemi influire sull’erogazione del servizio stesso. Nel frattempo, altra cosa fondamentale, bisogna fornire dati che servono al manager a riferire agli stakeholders. Perché, non dobbiamo scordarlo, tutti abbiamo un superiore.

Questo non succede perché spesso i tecnici della sicurezza si basano sul paradigma del “pezzo di ferro”, ovvero: tecnologia tecnologia tecnologia. Scrive sagge parole Honan:

Information security is not all about firewalls, Intrusion Detection Systems, anti-virus software or whatever the latest shiny gadget is. It is also about ensuring the proper policies and procedures are in place and that people are trained and educated properly to understand their role and responsibilities in securing the information they deal with on a daily basis.

Gli alti dirigenti non ne sanno nulla di tecnologia e non ne vogliono (né devono, non è il loro lavoro) saperne. Parlare solo di tecnologia, e costi a essa associata, confonde le acque e crea ostilità da entrambi i fronti. I dirigenti pensano che la sicurezza sia solo un costo e gli esperti di sicurezza tornano in ufficio frustrati, pensando di avere come capi una mandria di imbecilli che non comprendono quanto importante sia il loro lavoro.
Ma il problema è che si stanno semplicemente parlando due lingue diverse.

Ma come facciamo noi che lavoriamo nella sicurezza ICT a portare correttamente il nostro messaggio ai vertici aziendali? Dobbiamo studiare come funziona l’azienda. Dobbiamo capire quali sono le priorità del top management e proporre contributi e soluzioni (procedure, policy, rischi reali). È inutile fornire parole complicate (zero-day, SQL injection, ecc.) ma bisogna parlare di analisi dei rischi, di governance, proporre piani di rientro e fornire numeri e dati verificabili. Questo perché

Management understands and speaks about issues relating to the business in terms of risk. Learning to understand risk and how to present it to the management will enable them to appreciate and better understand what you are trying to achieve.

Loro necessitano di informazioni, numeri, analisi su come ridurre i costi (fa sempre effetto) e di come ottenere un ROI anche sulla sicurezza. La finalità deve essere far comprendere i rischi riguardo l’erogazione del servizio, ed eventuali conseguenze che l’azienda potrebbe subire nel caso insorga un problema di sicurezza. Bisogna essere propositivi, portare all’attenzione dei dirigenti le analisi, i rischi e le contromisure. Ma va fatto tutto prima che succeda qualcosa, non andarsi a lamentare di aver fatto la Cassandra e tutto è andato male.

Perché potreste essere incolpati voi di non aver fatto qualcosa…

Questo vuol dire anche evitare assolutamente di ricorrere al terrorismo (fear, uncertainty and doubt), perché questo può essere sì un modo per ottenere subito ascolto, soprattutto se il dirigente è realmente un imbecille, ma poi, quando si faranno i conti e si scoprirà che era tutta fuffa, chi pagherà non sarà certo il manager…

When the dreaded event you warned the business about never happens you then become the “boy who cried wolf”.

E allora poi, davvero, non vi ascolterà più nessuno…

Gli amici non lasciano altri amici usare IE6 (e qualche considerazione sui problemi di sicurezza)

Altra notizia che riguarda Microsoft (non me ne volete, ma le news queste sono…).

Dopo averci provato per diverso tempo, Microsoft ritorna all’attacco sulla questione dell’abbandono di Internet Explorer 6. Nonostante quest’anno si compia il decimo anniversario della nascita, il browser è tuttora utilizzato in gran parte del mondo.

Feliciano Intini, Chief Security Advisor di Microsoft Italia e prolifico blogger, parla in un suo articolo di ben il 12% di utenti mondiali di IE6, con un 3,3% in Italia.

Microsoft ha lanciato quindi una campagna volta a far scendere la percentuale globale all’1%. Potete verificare lo stato sul sito Internet Explorer 6 Countdown.

La cosa che trovo interessante è che uno dei principali problemi della sicurezza del software, ovvero l’obsolescenza dei prodotti e il loro mancato aggiornamento, trova nel caso di IE6 un case history incredibile. Questo anche per colpa di Microsoft ovviamente. Sicuramente non hanno fatto bene i cinque anni passati tra le versioni 6 e 7 di IE, che hanno lasciato ben sedimentare il software, sia per le difficoltà nel rilasciare patch di sicurezza di un prodotto che forse non era stato pensato come security-driven. Già nel 2004 parlavano di ben 234 versioni su cui fare i test prima di una fix di sicurezza.

Diciamo che era stato pensato prima della svolta imposta da Bill Gates sulla sicurezza del software, svolta necessaria e che ritengo sia ancora un esempio su come le cose possono cambiare, anche se è difficile debellare il pregiudizio anti-Microsoft che ancora impera…

Fatto sta che ora uno dei prodotti più pericolosi per la navigazione web è ancora molto utilizzato, e le percentuali asiatiche sono preoccupanti. In effetti stando in Giappone mi sono accorto di come IE6 fosse diffuso nei chioschi internet a pagamento.

Sicuramente uno dei motivi principali del mancato upgrade è la compatibilità. Ci sono ancora un sacco di siti in giro e la stessa Microsoft ha previsto una funzione di retro-compatibilità per chi usa IE8.

Questo è il secondo punto di interesse di questa storia, perché è un esempio di un altro dei principali problemi della sicurezza del software, ovvero le errate strategie aziendali. Trovo molto pericoloso infatti anteporre il costo dell’aggiornamento di un’applicazione web (soprattutto se intranet) al rischio che si può correre continuando ad usare software pericolosi e con vulnerabilità utilizzabili anche da script kiddie
Va detto per completezza che, ragionando da CEO e guardando al rapporto costi/benefici, può essere comprensibile non intraprendere certe strade. Gartner stesso (fin troppo ascoltato ai piani alti) dice che i costi della migrazione sono troppo costosi, e che la stessa Microsoft non offre dei piani di rientro facili, e economici, da percorrere. E questo chiunque lavori in una azienda di grandi dimensioni lo deve sapere, che sia esperto di sicurezza o dirigente.

In conclusione la situazione è molto più complessa di quanto si possa pensare, e non si risolve con un semplice Windows Update… Sono sicuro che prossimamente avrò modo di trattare queste problematiche di sicurezza in modo più approfondito.

Bye!

Il pwn2own non spaventa Microsoft (forse…)

Stavo leggendo stamattina che Microsoft non rilascerà delle patch straordinarie per Internet Explorer prima del pwn2own.

Il pwn2own, per chi non lo sapesse, è un evento che si svolge tra qualche giorno durante il CanSecWest a Vancouver, sponsorizzato dai DVLabs di Tipping Point.
L’evento ha una grande eco mediatica perché organizzato molto “furbescamente“.

In pratica si mettono ad disposizione dei dispositivi, tipicamente portatili e smartphone, con relativi browser ed il primo che riesce a bucare i sistemi si porta a casa sia l’hardware che un po’ di soldini. Per bucare si intende prendere il possesso del dispositivo (pwn) facendo navigare il browser in un sito web appositamente creato per sfruttare una vulnerabilità. L’eco mediatica viene generata dalla classifica di cracking dei diversi browser (IE, Firefox, Safari e Chrome), e la stampa generalista fa a gara nel dire che un sistema è più vulnerabile di altri.

La cosa non è vera ovviamente, perché il pwn2own è vinto da ricercatori che tirano fuori al momento giusto il loro zero-day, bucando il sistema in pochi secondi. L’evento quindi non può essere usato per valutare la sicurezza di questo o quel sistema, ma solo la bravura (o la furbizia, boh…) di alcuni ricercatori.

Fatta questa premessa e considerata appunto la risonanza che ha sulla stampa, i produttori di browser si affrettano, nelle settimane che precedono l’evento, a tappare quanti più buchi possibili, per cercare di spuntare le armi in mano ai concorrenti del pwn2own.
Microsoft ha invece deciso di non includere nulla relativo a IE nel suo patch tuesday, rispettando la sua decisione di aggiornare il browser solo nei mesi pari (infatti aveva rilasciato a febbraio un elevato numero di fix).

Trovo la scelta particolarmente azzeccata e ulteriore segno di maturità da parte dell’azienda di Redmond nel campo dell’infosec. Sia perché indica una volontà di non seguire l’evento del momento solo per comodità mediatiche, ma di rimanere coerenti con la propria politica di sicurezza informatica (che in effetti ha portato frutti su diversi fronti). Inoltre, come correttamente analizzato da Computer World, evitando di rilasciare patch all’ultimo secondo Microsoft può concentrare i suoi sforzi sul rilasciare il fix della vulnerabilità trovata al pwn2own il prima possibile.

Perché comunque sa che IE verrà bucato. E forse ne uscirà meglio di Apple, o Google o Mozilla, che pur avendo rilasciato tonnellate di fix verranno sconfitti comunque, e magari anche in meno tempo…

Per chi volesse seguire il pwn2own in diretta può leggere i tweet della Zero Day Initiative o di Aaron Portnoy dei DVLabs.

Dopo l’evento analizzerò meglio i risultati.

Bye!