Finalmente (con un po’ di ritardo devo dire…) sono stati pubblicati gli atti del Security Summit 2011 a Milano.
È possibile quindi procedere con un’analisi degli interventi a cui ho assistito e che ritengo comunque più significativi.
Ricordo che dei keynote avevo già parlato.
Parto subito dalla fine, ovvero dall’evento satellite che ha chiuso le prime due giornate del Summit, l’Hacker Film Festival. Devo dire che è stato senza dubbio lo spazio più piacevole del convegno, sia per l’atmosfera informale che per l’apertura della discussione tra chi presentava i corti e i (pochi, per fortuna) spettatori rimasti. Lo spazio era veramente amichevole e ha permesso di dialogare sulla cultura hacker, sulle problematiche che da anni affrontiamo nel campo delle libertà civili. Il tutto dimenticando per un attimo l’ambito lavorativo e tornando alla passione che, in fondo, ci spinge a fare quello che facciamo. Poter discutere di queste cose con gente come Perri, Ziccardi e i soliti Chiesa/Pennasilico poi, vale sicuramente la fatica di chiudere 12 ore di incontri. E poi offrivano anche l’aperitivo! 🙂
Ma veniamo agli interventi regolari.
Attacchi alle infrastrutture virtuali: l’intervento di Pennasilico/Nencini ha ripreso i concetti di sicurezza dei sistemi virtualizzati di cui si parla praticamente da quando esistono. Rimane tuttavia attuale poiché noto che molto spesso chi si occupa di queste piattaforme, soprattutto dal lato sistemistico, non conosce il rischio derivato dalla possibilità di effettuare un escape from VM (e il link è del 2007). Questo sia per una estrema difficoltà nell’eseguire l’attacco, sia nel fatto che forse (…) i vendor di tecnologie di virtualizzazione tendono a non evidenziare troppo i problemi di sicurezza. Tra virtualizzazione e cloud poi ho apprezzato molto il discutere di come il perimetro attuale che conosciamo (isolato da firewall, ips e quant’altro), abbia ancora senso. La chiave ancora una volta è analizzare e progettare bene le proprie infrastrutture e i propri sistemi. Senza farsi prendere dalla moda del momento (che sia cloud o virtualizzazione o, in molti casi, entrambi) e senza ragionare con schemi ormai antiquati (ad esempio pensare solo a difendere il perimetro o trattare gli host virtuali come se fossero fisici).
Mobile Security: Rischi, Tecnologie, Mercato e Rischi ed opportunità nell’utilizzo degli Smartphones: Raoul Chiesa (in entrambi gli interventi) e Philippe Langlois (solo nel primo) hanno presentato prima una tavola rotonda (molto animata, come sempre quando c’è Raoul) sulla sicurezza dei dispositivi mobili e poi un intervento più mirato al malware. La chiave è stata senza dubbio la comprensione che i principali scopo degli attacchi ai telefonini è il billing. Sia malware che truffe classiche hanno come obiettivo far chiamare la vittima dei PNR (Premium Rate Numbers) da cui trarre grossi profitti. Devo dire che una soluzione possibile, a livello aziendale, per proteggersi è senza dubbio quella di stipulare contratti con gli operatori mobili che non permettano di eseguire queste chiamate. Magari resterà da proteggere i dati e le reti, ma almeno si risparmieranno un po’ di soldi. Il discorso è poi spaziato agli attacchi diretti all’infrastruttura del carrier ma lì, tra Femtocell e SS7 mi sono un po’ perso. Ammetto la mia ignoranza in materia e mi sto già aggiornando…
Application security dal modello tradizionale al Cloud: la presentazione di Riccetti/Gai ha posto enfasi su un argomento che mi interessa particolarmente, ovvero i processi di sviluppo di applicazioni sicure, in ambito cloud computing. In particolare il concetto di secure engineering, quando parliamo di software sicuro, è ancora più attuale se si sta progettando un’applicazione in-the-cloud. Anche se possiamo sparare un insieme di buzzwords (IaaS, PaaS, Private Cloud, ecc.), il punto da tenere a mente è che sono fondamentali ancora una volta un’ottima analisi dei requisiti e una seria progettazione architetturale. Perché possiamo continuare a parlare di parole in aria (o nella nuvola) quanto vogliamo, ma se non vengono recepiti correttamente i requisiti che l’applicazione deve soddisfare, e se non viene progettata in modo sicuro by-design e ragionato, allora i rischi sono tanti: lock-in, loss of governance, data leakage, dos applicativi, ecc. Insomma non bastano i tool e i prodotti, bisogna metterci la testa e non fidarsi mai dei vendor!
Cloud, Security, SaaS, ed altre meraviglie: come uscirne illesi! ancora Alessio Pennasilico e Antonio Ieranò parlano di sicurezza del cloud e degli altri servizi (il tema era molto presente, come prevedibile, durante tutto il Summit). Ancora una volta analisi dei pro e dei contro ma, appunto, ancora una volta viene ripetuto che bisogna fare analisi prima di imbarcarsi in un’impresa che potrebbe solo creare problemi. E non va fatto perché “è di moda“, “quegli altri ce l’hanno” o cose del genere (e si sentono…).
Seminario a cura del Capitolo Italiano di OWASP: oltre al riepilogo delle attività del progetto e del capitolo italiano fatte da Matteo Meucci, c’è stato un’illuminante talk di Giorgio Fedon sui Falsi miti nell’uso dei tool automatici, per l’analisi delle applicazioni web. Illuminante non tanto per chi, come me, è abbastanza conscio delle problematiche dell’analisi delle applicazioni, quanto per una platea generale ed molto vendor-oriented come può essere quella del Summit. E in fatti molti nasi si sono storti, mentre Giorgio parlava… Il succo in sostanza è che un’azienda che ha le risorse per acquistare questo tipo di tool (che costano molto) non può poi limitarsi semplicemente a farli girare ed aspettare i risultati, come se fossero un’enorme lavatrice di vulnerabilità. Deve invece analizzare molto criticamente i risultati che tirano fuori, scremarli con personale addestrato e, comunque, non scordare mai che un code review manuale e un pentest effettuato da specialisti non può essere sostituito da questi strumenti. Le argomentazioni sono senza dubbio interessanti, la mia opinione è che comunque questo tipo di strumenti in una realtà grande non può mancare. Vuoi perché un team di penetration tester non è proprio disponibile sempre, vuoi perché, se implementati con criterio, possono comunque aiutare parecchio. Importante anche il talk di Paolo @thesp0nge Perego, che ha purtroppo annunciato la prossima deadline del progetto Owasp Orizon, e sta quindi ricercando collaboratori. Se potete e volete aiutare, fatelo.
Infrastrutture Critiche vs Cyberthreats: Chiesa e Fabio Guasconi hanno riportato le ultime novità sulle minacce del cyber-warfare, riprendendo un po’ quanto detto da Schneier, e ricollegando il tutto al lavoro svolto dagli enti internazionali per emettere degli standard (ISO 27001 e seguenti) capaci di recepire e normare le procedure da effettuare in ambito sicurezza informatica. Molto interessanti gli argomenti di Raoul, soprattutto sapere che c’è una nazione, l’India, che prevede esplicitamente in una legge di usare tecniche di hacking per difendere le strutture critiche nazionali in caso di cyber attacco. Molto interessante anche la classificazione fatta da Chiesa dei rischi provenienti da determinate nazioni: la Russia è il paradiso dei cyber criminali, mentre dall’Ucraina vengono molte botnet, ecc. E che tutte le principali nazioni “a rischio” hanno comunque precise politiche di cyberwarfare già in essere da più di dieci anni. Considerato questo e considerato che gli hacker più pericolosi individuati dall’Hacker Profiling Project sono proprio quelli militari/governativi non è proprio una situazione in cui stare tranquilli. Soprattutto non stiamo proprio parlando di fantascienza… anche perché il paragone fatto da Chiesa tra armi tradizionali e cyber-armi è stato parecchio inquietante, considerati soprattutto i danni già fatti da queste ultime.
Spero di aver fatto un discreto riassunto delle sessioni più rilevanti, almeno per me.
Tutti gli altri atti sono sul sito e, se ci riesco, sarò anche a giugno al Security Summit Roma Sperando soprattutto che ci siano cose nuove.
Bye!
Glamis on Security 