Security is all about trust

Security is all about trust, and when trust is lost there is no security.
Bruce Schneier

Recentemente sono successi un po’ di eventi che hanno avuto molta eco nel mondo della sicurezza informatica. E la frase di Schneier qui sopra riassume il sentimento che gira, e che condivido appieno.

Si è iniziato qualche tempo fa con lo sputtanamento totale di HBGary ad opera di Anonymous. Quello che poteva essere un atto di vendetta, e che comunque ha praticamente fatto chiudere un’azienda, si sta però spargendo ad altre realtà in un modo abbastanza preoccupante.

Qualche giorno fa RSA ha comunicato ai propri clienti di aver subito un attacco mirato a colpire il proprio prodotto SecurID. Questo è stato senza dubbio un colpo molto forte, sia alla credibilità (leggi: fiducia) dell’azienda, sia a molti suoi clienti che pensavano di aver trovato la panacea di tutti i mali. L’azienda infatti, dopo qualche tentennamento tendente al FUD iniziale, ha inviato ai suoi clienti delle FAQ dettagliate sull’incidente. Incidente di cui comunque al momento si sa poco e, se non sono state colpite delle banche, si saprà ancora meno.

Questo attacco mira a distruggere il (falso) senso di sicurezza dato agli utenti insieme al loro piccolo token. Perché il pensare che l’OTP sia mettere in sicurezza il sistema è un mantra che ho sentito, diverse volte, da chi ritiene riteneva che inserire questo tipo di password dispositive sia garantire un adeguato livello di sicurezza. Magari fregandosene di password policy, fregandosene di fare hardening o di controllare i log di accesso… ma andiamo avanti.

Dopo RSA, è stata colpita un’altra azienda cardine nel mondo dell’industria InfoSec: Comodo. Passando apparentemente tramite server italiani, qualcuno è riuscito a violare la struttura di Registration Authority, arrivando addirittura a generare certificati validi da usare a suo piacimento su alcuni siti molto noti. Proprio di queste ore è la notizia che l’azione è stata compiuta da una persona sola, iraniana (e infatti l’IP segnalato da Comodo era in Iran, anche se ovviamente questa informazione da sola non vale nulla) e in grado di ultimare l’attacco facendo reverse engineering di una libreria messa a disposizione da Comodo ai suoi clienti.

Questo evento è forse il più grave di quelli successi recentemente, anzi direi che un attacco con un impatto così grande non si sentiva da tempo. Attaccare la generazione dei certificati infatti mira direttamente a rompere la fiducia tra utente ed erogatore del servizio. Perché se lucchettino lì sotto mi dice che è tutto ok, che sto parlando con Google, o PayPal o la mia banca, e in realtà c’è di mezzo qualcun altro, allora tutto crolla. L’identità è uno dei punti chiave su cui si basa la fiducia in rete, e senza quella chiunque eroghi un servizio non farà mai più affari. E mentre gli attacchi MitM erano già pericolosi, ma si potevano in qualche modo bloccare, generare un certificato valido, da una RA ufficiale, vuol dire essere Google o PayPal.

Ciliegina sulla torta degli incidenti di questi giorni: MySQL.com (ma anche Sun.com) è vulnerabile ad attacchi di tipo SQL injection. Più che un rischio vero e proprio, questo evento è soprattutto un esempio.

Esempio che mi permette di riassumere tutti gli eventi discussi finora. Già perché una domanda mi sembra fondamentale: ma queste società come gestiscono la propria sicurezza? Possibile che realmente una persona, per quanto brava sia, riesca ad arrivare fino all’RA di uno dei più importanti certificatori di Internet, senza che nessuno si sia accorto di cosa c’era in quella DLL? Possibile che un attacco persistente permetta di mettere le mani su segreti e brevetti sui cui risiede la vita stessa dell’azienda, senza che nessuno controlli cosa sta succedendo? Perché quelli sono i bersagli a cui i criminali (e non gli hacker) stanno puntando: i segreti.

Parliamoci chiaro, RSA e Comodo non saranno mai più trusted come prima. Soprattutto in un mondo pieno di produttori di OTP o emettitori di certificati. Perché la fiducia è passata, perché hanno dimostrato di non sapere difendere i propri asset più importanti.

Ma la medaglia ha due lati, l’altro è cercare di analizzare quello che è successo per impararne qualcosa, quindi mi pongo un’altra domanda: sono gli asset più importanti difendibili?

Perché la domanda che un responsabile della sicurezza si deve fare è questa. E una risposta possibile ritengo sia la classica (un po’ abusata e spesso fraintesa): trust no one. Non fidarsi di nessuno non vuol dire entrare in paranoia o, peggio, scivolare nella sindrome di Fort Apache.

Vuol dire invece porsi domande, avere sempre dubbi, non fidarsi di questo o quel vendor per “metterci una pezza”, ma capire cosa si sta facendo per proteggere le proprie informazioni. Vuol dire calcolare quanto più possibile i rischi e cercare di avere delle contromisure adatte, cercare di prevedere uno scenario di incidente possibile (verifico *sempre* le CRL? (ehh….)? Uso solo il token OTP senza una forte password policy? Ho delle procedure di blocco in caso di incidente? Faccio penetration test periodici per verificare la sicurezza delle mie applicazioni web?). E poi, ultimo ma non per importanza, so (ri)guadagnarmi la fiducia dei miei clienti? So comunicare correttamente quello che è successo? Perché molte banche usano un token RSA ad esempio, quante hanno informato i loro clienti dei rischi, o preso contromisure tipo far cambiare le credenziali? A me non risulta molto…

Insomma, non fidarsi vuol dire soprattutto fare bene il proprio mestiere. Perché alla fine di quello si dovrà rendere conto, quando le cose andranno male. Ed è molto probabile che ci vadano, quindi chissà cosa stanno raccontando ora ai loro capi i responsabili della sicurezza di RSA, Comodo e Oracle… Avranno fatto bene il loro mestiere?

Bye!

P.S.: Ah, ovviamente nel frattempo ci sono stati anche un pesantissimo DDOS a WordPress.com (forse per colpire un singolo sito) e un furto di email di utenti di Play.com da una società di servizi, tra gli altri… la storia avanza…

Security Summit 2011 – I keynote

Logo Security SummitTerminato il Security Summit di cui avevo già parlato, si possono trarre le conseguenze e riflettere su quanto discusso nei tre, intensi, giorni del convegno.

Premetto che questa terza edizione ha confermato la qualità di questo evento. Grande partecipazione di pubblico, e un’agenda davvero ricca di percorsi adatti alla professionalità di molti.

Detto questo vorrei discutere dei tre keynote del Summit, con ospiti internazionali portati come al solito da nobody.

Aggiornamento: il Security Summit ha pubblicato i propri atti, ho aggiunto le slide dei keynote, cliccate sui nomi degli speakers.

Jon Orbeton

Uno degli esperti del team anticrimine di PayPal ha aperto il Summit con quello che ritengo essere il keynote più interessante. Orbeton ha presentato i metodi e gli strumenti con cui eBay/PayPal proteggono i propri interessi e i propri clienti. Quella che potrebbe essere una cosa inventata, alla Penelope Garcia per intendersi, è in realtà un’attività quotidiana e molto, molto interessante. Orbeton ha illustrato le principali tecniche di OSINT, mostrando il loro utilizzo in casi reali, che molto spesso hanno portato ad arresti da parte delle forze dell’ordine.

Questo è stato uno dei punti chiave del suo intervento: la collaborazione con le forze dell’ordine. Negli Stati Uniti tale tipo di collaborazione è molto diffusa, sia perché strutture come FBI sono molto ricettive in tal senso, sia perché le società hanno una forte spinta a sopperire alle scarse risorse delle polizie, e raggiungere più velocemente l’obiettivo di fermare il truffatore/spammer/cyber-criminale che sia.

Questo tipo di interventi avviene molto più spesso di quanto non possiamo pensare noi, nemmeno a farlo apposta proprio in questi giorni è uscita la notizia che l’anticrimine di Microsoft, in collaborazione ovviamente con le forze dell’ordine USA, ha pesantemente colpito la botnet Rustock. Quindi non stiamo parlando di fantascienza, ma di mondo reale.

Le tecniche presentate, che vanno dal reverse engineering all’analisi di dati presenti e soprattutto passati su forum, domini, informazioni su società e molto altro, non sono in sé complesse da padroneggiare, ma prevedono soprattutto una forma mentis molto avanzata.

Questa è infatti la nota dolente, sia che le società IT italiane (europee?) non hanno un team che si occupa di questo ( per lo meno non lo fanno in modo palese, e la collaborazione in questo senso, come detto da Orbeton, è essenziale), e comunque le polizie nazionali non sono così reattive. Come fatto emergere da Chiesa stesso, quando ha chiesto se c’erano esponenti delle forze dell’ordine in sala. Nessuno ovviamente.

Bruce Schneier

L’intervento della Security Rockstar era sicuramente quello più atteso del Summit, e quello con più affluenza (erano state unite più sale). E, amaramente, è stato quello che mi ha deluso di più.

L’intervento di Schneier è stato poco più di un’intervista o, peggio, una conversazione. Focalizzato sullo stato del Cyber Warfare o guerra cibernetica, Bruce non ha illuminato così tanto la platea come ci si sarebbe atteso da una personalità di tale livello. Certo non chi segue quotidianamente il suo blog. Ma forse il punto è proprio questo, l’intervento era destinato ad ascoltatori di un livello un po’ troppo alto.

Allo stesso tempo non hanno aiutato la mancanza di interazione (ha parlato da solo) e soprattutto la mancanza di slide, che avrebbero aiutato a fissare meglio certi concetti. Anche lo spazio dato alle domande non è stato molto ampio, tanto che l’intervento è terminato con qualche minuto di anticipo (!!).

Veniamo comunque ai contenuti. Uno dei punti chiave presentati è stato senza dubbio il fatto che, a differenza delle guerre tradizionali, la cyber war può (ed è) essere portata avanti non solo da nazioni. Questo perché necessita di relativamente pochi mezzi, ma di molte conoscenze e molta determinazione. Non necessita invece di centinaia di migliaia di soldati, aerei, carri e munizioni.

L’effetto però non è tanto diverso, per lo meno in un’ottica di prevenzione di altre attività, ovvero se si vuole bloccare una nazione, o impresa, da fare una determinata azione.

Prendiamo ad esempio quello che è successo in Estonia qualche anno fa. Un’azione di questo tipo, fatta ad esempio da un gruppo di hacktivist, può realmente cambiare la rotta politica di una nazione. E questo può essere molto più efficace di una guerra “tradizionale”.

La cosa grave, ovviamente, è che azioni di questo tipo possono essere effettuate sia da nazioni, ovviamente, ma anche da grosse corporation. Magari per influenzare un governo a fare certi contratti… La situazione è abbastanza grave.

Il paragone infatti è proprio con le classiche azioni di guerriglia, ovvero piccole azioni tattiche che però possono creare da un lieve fastidio ad un danno enorme come bloccare un paese.

Schneier ha poi ricordato come questo tipo di attacchi, come lo Stuxnet che tanto ha girato sui giornali nei mesi passati, non è assolutamente nuovo. Un attacco di questo tipo è stato sferrato contro la Russia già nel 1982, ad opera del governo americano. E se ora questa cosa la potessero fare semplici gruppi di interesse?

Gli attacchi contro le infrastrutture SCADA ormai sono all’ordine del giorno, anche fortunatamente sui media generalisti, e temo che ne sentiremo sempre più parlare in futuro…

Philippe Langlois

Il keynote conclusivo è stato affidato al fondatore di P1 Security, ed esperto imprenditore e speaker su temi di sicurezza. Langlois a dire il vero era presente già dal primo giorno, come guest star di diversi talk di Chiesa e altri, avendo competenze trasversali su diversi argomenti.

La parte che ho trovato più interessante della sua analisi è stata l’attenzione posta sul livello di ricerca che ha raggiunto la criminalità informatica. Le dinamiche dell’underground criminale hanno portato infatti ad una vera criminalizzazione della ricerca.

Fin troppo spesso infatti un bravo ricercatore di sicurezza, magari se sottostimato o poco considerato, può rivolgersi a gruppi criminali. Anche qui non stiamo parlando di ipotesi, ma di fatti. Gli elementi portati, sia in questo intervento che in altri del Summit, hanno mostrato come le tecnologie che ora si diffondono dappertutto sono utilizzate da anni nel cyber crime. A partire dal cloud ad esempio, che sia per preparare e diffondere un malware o noleggiare una botnet (50$ al giorno!).

Servizi come VirusTotal, ad esempio, vengono usati per quotare un determinato malware. Ovviamente meno viene identificato, più aumenta il suo valore…

Anche qui insomma le prospettive non sono buone, e se non vengono condivise queste analisi, si potrebbe rimanere troppo indietro nel tentare di difendere le proprie infrastrutture.

Questa era quindi l’analisi dei keynote del Security Summit, presto anche un commento sugli altri interventi a cui ho assistito.

Bye!

Al via il Security Summit 2011

Logo Security SummitAnche nel 2011 si svolgerà a Milano il Security Summit.

Nato tre anni fa dalla volontà del Clusit di creare un evento nazionale che non sia legato a questo o quel vendor, il Summit offre la possibilità a tutti gli specialisti della sicurezza di trovarsi, discutere e ascoltare talk di eccellente livello.

E anche quest’anno sarò presente, dal 14 al 16 marzo, all’ATA Hotel ad ascoltare tutte le sessioni che spero (ma in fondo sono sicuro) saranno illuminanti come sempre.

In realtà vorrei approfittare di questo blog per offrire un resoconto giornaliero di quanto ascolterò nelle varie sessioni. Non so quanto riuscirò ad offrire una copertura in tempo reale qui, di solito gli articoli cerco di prepararli con calma. Vi garantisco però aggiornamenti in tempo reale dal mio account twitter (consultabile anche nella sidebar a destra). Sicuramente comunque riprenderò gli argomenti più interessanti in una serie di articoli dedicati, integrando gli spunti offerti dalle presentazioni con una ricerca su altri dati disponibili.

Voglio comunque riassumere qui le sessioni che ho trovato più interessanti e che seguirò:

Lunedì 14

  • Cyberstalking ai criminali digitali: il keynote di apertura del Summit è affidato a Jon Orbeton, della sicurezza di PayPal, che parlerà di come tentare di risolvere il problema alla radice, colpendo i criminali e non semplicemente reagendo ai loro attacchi.
  • Attacchi alle infrastrutture virtuali: Alessio “mayhem” Pennasilico e Gastone Nencini aiuteranno a districarsi nella sicurezza dei nuovi sistemi: cloud, virtuali e quant’altro. Per andare un po’ oltre la solita sicurezza perimetrale (tanto cara ai responsabili IT, purtroppo…)
  • Mobile Security: Rischi, Tecnologie, Mercato: tavola rotonda sullo stato dell’arte della sicurezza dei dispositivi mobili. Anche qui grande trend attuale, spesso sottovalutato in aziende grandi dove i dirigenti sfoggiano iCosi senza controllo.
  • Gli 11 Comandamenti della sicurezza per il 2011: altra tavola rotonda, stavolta tra il serio e il faceto su come stabilire le strategie per il prossimo anno.

Martedì 15

  • Il processo di Application security dal modello tradizionale al Cloud: il bravo (e lo dico con cognizione) Simone Riccetti e Alessandro Gai affronteranno il problema del secure engineering in ambito cloud.
  • Cloud, Security, SaaS, ed altre meraviglie. Come uscirne illesi!: ancora Pennasilico e Ieranò parleranno di nuove tecnologie (e molto, troppo di moda) e di come trattare la loro sicurezza.
  • Incontro con Bruce Schneier su Cyberwar and the Future of Cyber Conflict: c’è poco da dire, ma solo da cercare di stare più attenti possibili. C’è Bruce.
  • Lo stato dell’arte dei progetti OWASP ed i falsi miti sull’uso dei tool: l’amico Matteo Meucci, Paolo Perego e Giorgio Fedon faranno il punto sullo stato del progetto OWASP (che avanza anche grazie al loro impegno), e parleranno di come i tool siano circondati di un falso alone di miti e luoghi comuni.

Mercoledì 16

  • Security dynamics worldwide, why did we end up in this world? And what’s next?: l’ultimo keynote, affidato a Philippe Langlois, fornirà un’analisi delle dinamiche passate e future nel mercato della sicurezza.
  • Rischi ed opportunità nell’utilizzo degli Smartphones: Il duo Chiesa-Pennasilico analizzeranno i dispositivi mobili come vettori di attacco. Visti i precedenti e conoscendo i due, questa sessione è da non perdere…
  • Infrastrutture Critiche vs Cyberthreats: come proteggersi dallo Stuxnet di domani: ancora Chiesa, stavolta con Fabio Guasconi, parleranno degli attacchi alle infrastrutture critiche, una “moda” che preoccupa sempre di più.

L’agenda è insomma bella piena, cercherò ovviamente di assimilare quanto più possibile. Se passate da quelle parti fatemi un fischio, non vi offrirò una cassoeula, ma magari una birra sì.

Bye!

Il pwn2own non spaventa Microsoft (forse…)

Stavo leggendo stamattina che Microsoft non rilascerà delle patch straordinarie per Internet Explorer prima del pwn2own.

Il pwn2own, per chi non lo sapesse, è un evento che si svolge tra qualche giorno durante il CanSecWest a Vancouver, sponsorizzato dai DVLabs di Tipping Point.
L’evento ha una grande eco mediatica perché organizzato molto “furbescamente“.

In pratica si mettono ad disposizione dei dispositivi, tipicamente portatili e smartphone, con relativi browser ed il primo che riesce a bucare i sistemi si porta a casa sia l’hardware che un po’ di soldini. Per bucare si intende prendere il possesso del dispositivo (pwn) facendo navigare il browser in un sito web appositamente creato per sfruttare una vulnerabilità. L’eco mediatica viene generata dalla classifica di cracking dei diversi browser (IE, Firefox, Safari e Chrome), e la stampa generalista fa a gara nel dire che un sistema è più vulnerabile di altri.

La cosa non è vera ovviamente, perché il pwn2own è vinto da ricercatori che tirano fuori al momento giusto il loro zero-day, bucando il sistema in pochi secondi. L’evento quindi non può essere usato per valutare la sicurezza di questo o quel sistema, ma solo la bravura (o la furbizia, boh…) di alcuni ricercatori.

Fatta questa premessa e considerata appunto la risonanza che ha sulla stampa, i produttori di browser si affrettano, nelle settimane che precedono l’evento, a tappare quanti più buchi possibili, per cercare di spuntare le armi in mano ai concorrenti del pwn2own.
Microsoft ha invece deciso di non includere nulla relativo a IE nel suo patch tuesday, rispettando la sua decisione di aggiornare il browser solo nei mesi pari (infatti aveva rilasciato a febbraio un elevato numero di fix).

Trovo la scelta particolarmente azzeccata e ulteriore segno di maturità da parte dell’azienda di Redmond nel campo dell’infosec. Sia perché indica una volontà di non seguire l’evento del momento solo per comodità mediatiche, ma di rimanere coerenti con la propria politica di sicurezza informatica (che in effetti ha portato frutti su diversi fronti). Inoltre, come correttamente analizzato da Computer World, evitando di rilasciare patch all’ultimo secondo Microsoft può concentrare i suoi sforzi sul rilasciare il fix della vulnerabilità trovata al pwn2own il prima possibile.

Perché comunque sa che IE verrà bucato. E forse ne uscirà meglio di Apple, o Google o Mozilla, che pur avendo rilasciato tonnellate di fix verranno sconfitti comunque, e magari anche in meno tempo…

Per chi volesse seguire il pwn2own in diretta può leggere i tweet della Zero Day Initiative o di Aaron Portnoy dei DVLabs.

Dopo l’evento analizzerò meglio i risultati.

Bye!