Al via il Security Summit 2011

Logo Security SummitAnche nel 2011 si svolgerà a Milano il Security Summit.

Nato tre anni fa dalla volontà del Clusit di creare un evento nazionale che non sia legato a questo o quel vendor, il Summit offre la possibilità a tutti gli specialisti della sicurezza di trovarsi, discutere e ascoltare talk di eccellente livello.

E anche quest’anno sarò presente, dal 14 al 16 marzo, all’ATA Hotel ad ascoltare tutte le sessioni che spero (ma in fondo sono sicuro) saranno illuminanti come sempre.

In realtà vorrei approfittare di questo blog per offrire un resoconto giornaliero di quanto ascolterò nelle varie sessioni. Non so quanto riuscirò ad offrire una copertura in tempo reale qui, di solito gli articoli cerco di prepararli con calma. Vi garantisco però aggiornamenti in tempo reale dal mio account twitter (consultabile anche nella sidebar a destra). Sicuramente comunque riprenderò gli argomenti più interessanti in una serie di articoli dedicati, integrando gli spunti offerti dalle presentazioni con una ricerca su altri dati disponibili.

Voglio comunque riassumere qui le sessioni che ho trovato più interessanti e che seguirò:

Lunedì 14

  • Cyberstalking ai criminali digitali: il keynote di apertura del Summit è affidato a Jon Orbeton, della sicurezza di PayPal, che parlerà di come tentare di risolvere il problema alla radice, colpendo i criminali e non semplicemente reagendo ai loro attacchi.
  • Attacchi alle infrastrutture virtuali: Alessio “mayhem” Pennasilico e Gastone Nencini aiuteranno a districarsi nella sicurezza dei nuovi sistemi: cloud, virtuali e quant’altro. Per andare un po’ oltre la solita sicurezza perimetrale (tanto cara ai responsabili IT, purtroppo…)
  • Mobile Security: Rischi, Tecnologie, Mercato: tavola rotonda sullo stato dell’arte della sicurezza dei dispositivi mobili. Anche qui grande trend attuale, spesso sottovalutato in aziende grandi dove i dirigenti sfoggiano iCosi senza controllo.
  • Gli 11 Comandamenti della sicurezza per il 2011: altra tavola rotonda, stavolta tra il serio e il faceto su come stabilire le strategie per il prossimo anno.

Martedì 15

  • Il processo di Application security dal modello tradizionale al Cloud: il bravo (e lo dico con cognizione) Simone Riccetti e Alessandro Gai affronteranno il problema del secure engineering in ambito cloud.
  • Cloud, Security, SaaS, ed altre meraviglie. Come uscirne illesi!: ancora Pennasilico e Ieranò parleranno di nuove tecnologie (e molto, troppo di moda) e di come trattare la loro sicurezza.
  • Incontro con Bruce Schneier su Cyberwar and the Future of Cyber Conflict: c’è poco da dire, ma solo da cercare di stare più attenti possibili. C’è Bruce.
  • Lo stato dell’arte dei progetti OWASP ed i falsi miti sull’uso dei tool: l’amico Matteo Meucci, Paolo Perego e Giorgio Fedon faranno il punto sullo stato del progetto OWASP (che avanza anche grazie al loro impegno), e parleranno di come i tool siano circondati di un falso alone di miti e luoghi comuni.

Mercoledì 16

  • Security dynamics worldwide, why did we end up in this world? And what’s next?: l’ultimo keynote, affidato a Philippe Langlois, fornirà un’analisi delle dinamiche passate e future nel mercato della sicurezza.
  • Rischi ed opportunità nell’utilizzo degli Smartphones: Il duo Chiesa-Pennasilico analizzeranno i dispositivi mobili come vettori di attacco. Visti i precedenti e conoscendo i due, questa sessione è da non perdere…
  • Infrastrutture Critiche vs Cyberthreats: come proteggersi dallo Stuxnet di domani: ancora Chiesa, stavolta con Fabio Guasconi, parleranno degli attacchi alle infrastrutture critiche, una “moda” che preoccupa sempre di più.

L’agenda è insomma bella piena, cercherò ovviamente di assimilare quanto più possibile. Se passate da quelle parti fatemi un fischio, non vi offrirò una cassoeula, ma magari una birra sì.

Bye!

Il pwn2own non spaventa Microsoft (forse…)

Stavo leggendo stamattina che Microsoft non rilascerà delle patch straordinarie per Internet Explorer prima del pwn2own.

Il pwn2own, per chi non lo sapesse, è un evento che si svolge tra qualche giorno durante il CanSecWest a Vancouver, sponsorizzato dai DVLabs di Tipping Point.
L’evento ha una grande eco mediatica perché organizzato molto “furbescamente“.

In pratica si mettono ad disposizione dei dispositivi, tipicamente portatili e smartphone, con relativi browser ed il primo che riesce a bucare i sistemi si porta a casa sia l’hardware che un po’ di soldini. Per bucare si intende prendere il possesso del dispositivo (pwn) facendo navigare il browser in un sito web appositamente creato per sfruttare una vulnerabilità. L’eco mediatica viene generata dalla classifica di cracking dei diversi browser (IE, Firefox, Safari e Chrome), e la stampa generalista fa a gara nel dire che un sistema è più vulnerabile di altri.

La cosa non è vera ovviamente, perché il pwn2own è vinto da ricercatori che tirano fuori al momento giusto il loro zero-day, bucando il sistema in pochi secondi. L’evento quindi non può essere usato per valutare la sicurezza di questo o quel sistema, ma solo la bravura (o la furbizia, boh…) di alcuni ricercatori.

Fatta questa premessa e considerata appunto la risonanza che ha sulla stampa, i produttori di browser si affrettano, nelle settimane che precedono l’evento, a tappare quanti più buchi possibili, per cercare di spuntare le armi in mano ai concorrenti del pwn2own.
Microsoft ha invece deciso di non includere nulla relativo a IE nel suo patch tuesday, rispettando la sua decisione di aggiornare il browser solo nei mesi pari (infatti aveva rilasciato a febbraio un elevato numero di fix).

Trovo la scelta particolarmente azzeccata e ulteriore segno di maturità da parte dell’azienda di Redmond nel campo dell’infosec. Sia perché indica una volontà di non seguire l’evento del momento solo per comodità mediatiche, ma di rimanere coerenti con la propria politica di sicurezza informatica (che in effetti ha portato frutti su diversi fronti). Inoltre, come correttamente analizzato da Computer World, evitando di rilasciare patch all’ultimo secondo Microsoft può concentrare i suoi sforzi sul rilasciare il fix della vulnerabilità trovata al pwn2own il prima possibile.

Perché comunque sa che IE verrà bucato. E forse ne uscirà meglio di Apple, o Google o Mozilla, che pur avendo rilasciato tonnellate di fix verranno sconfitti comunque, e magari anche in meno tempo…

Per chi volesse seguire il pwn2own in diretta può leggere i tweet della Zero Day Initiative o di Aaron Portnoy dei DVLabs.

Dopo l’evento analizzerò meglio i risultati.

Bye!