CyberSecurity 1337

Oggi 31 gennaio 2008, il grande Whitfield Diffie ha tenuto un seminario al Dip. di Informatica dell'Università di Roma "La Sapienza" intitolato: What's Ahead in Security? Il padre della crittografia a chiave pubblico-privata ha spaziato sulla linea del tempo della sicurezza delle informazioni, fornendo spunti e considerazioni interessanti e di sicuro valore. Interessante inoltre il confronto con i partecipanti della tavola rotonda successiva al suo intervento: Corrado Giustozzi ( chi non lo conosce? ), Giovanni Manca ( CNIPA ), Andrea Monti , Luigi Mancini (Prof. del Dipartimento ) e Luisa Franchina ( ISCOM ). Fra i partecipanti nell'uditorio anche Manlio Cammarata di Interlex , qualche giornalista che annotava sul taccuino, studenti, uomini d'affari della sicurezza informatica romana e italiana. Certamente c'ero anche io. Anche se un pò lontano mi sono sobbarcato il viaggio ed ho potuto assitere a questo meraviglioso confronto di idee e conoscere più dal...

Per chi ha dubbi su cosa siano e come possano essere utilizzate, leggetevi il post di Mario Fontana. Chiaro e preciso, come sempre.

Cos'è un CAPTCHA ? Sono delle immagini che celano delle stringhe alfanumeriche difficilmente interpretabili da una macchina ma facilmente da un umano. CAPTCHA è l'acronimo di "completely automated public Turing test to tell computers and humans apart" ovvero " Test di turing pubblico e completamente automatico per distinguere umani da computer". I CAPTCHA oggi vengono utilizzati un po' dappertutto in forum o blog che prevedano un invio anonimo e quindi senza autenticazione di dati. Senza CAPTCHA un bot potrebbe allegramente inviare montagne di SPAM come post e farsi pubblicità! Più di tre anni fa assistetti ad un seminario che analizzava le tecniche di hacking per interpretare correttamente il contenuto di un CAPTCHA. Ricordo fra tutte l'OCR, con le analisi di quanta distorsione fosse necessaria per evitare che ottimi programmi e algoritmi di OCR riuscissero ad interpretare correttamente la stringa. Tutto nella norma... ma Fatta la legge, trovato l...

Rilasciata la nuova versione di Metasploit: METASPLOIT UNLEASHES VERSION 3.1 Questo il mio precedente post su Metasploit: Hacking time: automatizzare MetaSploit Framework

SE QUESTO E' UN UOMO Voi che vivete sicuri Nelle vostre tiepide case; Voi che trovate tornando la sera Il cibo caldo e visi amici: Considerate se questo è un uomo Che lavora nel fango Che non conosce la pace Che lotta per mezzo pane Che muore per un sì e per un no Considerate se questa è una donna, Senza capelli e senza nome Senza più forza di ricordare Vuoti gli occhi e freddo il grembo Come una rana d'inverno: Meditate che questo è stato: Vi comando queste parole: Scolpitele nel vostro cuore Stando in casa andando per via, Coricandovi alzandovi; Ripetetele ai vostri figli: O vi si sfaccia la casa, La malattia vi impedisca, I vostri cari torcano il viso da voi.

Da "uomo di sicurezza" cerco sempre di essere attento anche ai processi e alle persone che fanno parte della sicurezza informatica e non solo alle tecnologie. Non posso quindi esimermi dal fare una considerazione scomoda ma che reputo corretta. Non sto qui a ripetere quali siano i principi base per la tutela delle informazioni: confidenzialità, integrità e disponibilità (ok l'ho appena fatto). Ma mentre per i primi due, forse a causa di troppi film di spionaggio, c'è il solito zelota che li difende a spada tratta (nessuno escluso), il terzo principio rimane spesso orfano. E' utile un esempio che si incentra sul principio, per me valido, della delega della password di accesso: Poniamo il caso di essere in una struttura medio piccola, in cui l'acceso ad alcuni sistemi è regolato giustamente da sistemi di autenticazione a due fattori (username e password). In questa struttura le policy di sicurezza e i processi aziendali non sono così strutturati, proprio per ...

Vi segnalo questo report di Jeff Jones che analizza le vulnerabilità di Windows VISTA nel suo primo anno di vita. Vengono comparate anche alle vulnerabilità di altri SO: Ubuntu, RedHat, Mac OsX. La notizia del report mi è arrivata dal ottimo blog di Feliciano Intini .

Vi ricordate il mio post sulle banche e RC4 ? Quello che non vi ho detto è che, subito dopo aver scritto il post, ho "selezionato" due banche on-line di mio interesse, una italiana e una straniera, e ho mandato loro due mail. Nelle mail non solo esponevo il problema dell'RC4 a 128 bit, ma in un caso mi permettevo anche di suggerire che meccanismi di autenticazione a 2 fattori bizantini ormai sono preda di Trojan e Keylogger. Suggerendo quindi un 3 fattori magari con un token OTP (One Time Password) . E quali sono state le loro rispettive risposte? Nel caso della banca italiana : mi è arrivata una mail "asettica" (da info@xxxx) in cui mi si ringraziava e mi si diceva che avrebbero girato la cosa agli uffici tecnici di competenza. ==> 5 ore dopo la banca in questione aveva l'AES-256! Nel caso della banca straniera : dopo una settimana mi hanno contattato telefonicamente, "sbrodolandosi" in ringraziamenti del tipo " è stata molto preziosa la s...

Dopo aver letto il post di Howard: Windows Vista Crypto Modules now FIPS 140-2 Certified , mi sono messo a gironzolare sul sito NIST delle certificazioni FIPS 140-2, ed ho notato una cosa interessante. Oltre ad essere stati certificati diversi algoritmi di cifratura e di hashing in Windows Vista, sono stati certificati anche il loader del SO winload.exe e il boot manager bootmgr . Andando sulla pagina di certificazione del NIST lì trovate: winload.exe : numero della certificazione #889 ; Security Policy ; certificato ; bootmgr : numero della certificazione #888 , Security Policy ; certificato . Ok è più sicuro...però resta il fatto che dal punto di vista della user experience e delle prestazioni Vista non mi soddisfa ! :-(

Finalmente! Dopo tanto attendere è stato firmato ed è uscito in gazzetta il decreto che sblocca l'utilizzo di HSM per soluzioni di firma digitale in Italia. Situazione intricata, a cui solo il buon Manca del CNIPA saprebbe dare una esauriente spiegazione tecnico/normativa. Ma ci provo lo stesso. Quasi tutti gli HSM in produzione oggi sono certificati FIPS 140-2 Level 3 , ma nessuno è certificato Common Criteria . Inoltre l' OCSI , ente certificatore italiano che comprova la sicurezza di apparecchiature elettroniche, non poteva fino ad ora certificare gli HSM per mancanza di certificazione Common Criteria e di sostegni normativi . Ma ora il decreto è uscito e permette di fare il gran salto: via Common Criteria , via OCSI , adesso c'è solo il certificatore ! Da oggi in poi i certificatori , oltre ad emettere certificati di firma digitale, certificheranno con una autodichiarazione le soluzioni di firma digitale che contemplano HSM . Habemus HSM certificationes (...

Il Disinformatico: Lezioni di insicurezza con tram e segnali stradali Mi sa che stavolta il Paolo Attivissimo ha avallato una bufala! Specialmente quella della 802.3 sui 747 :-)

Pochi giorni fa mi sono fatto un giretto su alcune Banche On line. E cosa ti scopro? Alcune banche, anche blasonate, usano ancora RC4 128 bit per cifrare il traffico SSL ! RC4? Mi dico: "Ma non è il protocollo bucatissimo che usano anche nel WEP e per il quale c'è un bellissimo articolo di Shamir (sì, la S di RSA ) che prova la sua debolezza strutturale?" Sì, è esattamente quello :-( Ma dico ci vuole tanto a selezionare come algoritmo di cifratura invece che RC4-128 bit un AES-256 bit ? Certo, si può vedere il bicchiere mezzo pieno e rallegrarsi del fatto che almeno ne hanno scelto uno ( SSL prevede anche nessun protocollo di cifratura). Ecco alcune banche con RC4 128 bit per SSL: Poste IngDirect Banca di Roma MPS ... Per chi vuole accertarsi se la sua Banca utilizza ancora un algoritmo RC4, basta andare a vedere le proprietà di sicurezza della connessione HTTPS (il solito lucchettino giallo). Su Firefox:

Due grandi della Sicurezza Applicativa riflettono sulla valenza della SCA, "Static Code Analysis" e sull'utilizzo di strumenti che la implementano: Gary McGrew: On Open Source (...) Firstly, I am a big fan of code scanning and believe that use of static analysis tools should always be one of the basic security steps integrated into every SDLC. However, there are huge problems with declaring security after passing a code scan with an arbitrary tool and a random set of rules . The most obvious issue is that security defects come in two flavors— bugs and flaws —each accounting for roughly 50% of defects in practice. Code scanning tools can only find bugs. Here are two stupid examples for effect: can a code scanning tool determine that no user authentication was performed? How about whether or not a playback attack will work? (...) Michael Howard: "Open-source projects certified as secure" – huh? (...) So we finally have the security silver bullet! Run this tool on ...

Ricordo una presentazione fatta anni fa da un tizio di Zone-H che voleva "dimostrare" l'insicurezza intrinseca di Windows. Il tizio non sapeva, evidentemente, che in Windows (NT Family) esistono le ACL. Pretendeva di attribuire a Windows l'insicurezza generata da una errata configurazione del Web Server IIS e delle ACL fatta da un poco accorto Amministratore del Web Server e del Server. Dopo qualche momento qualcuno, garbatamente, gli disse che quella non era una vulnerabilità di Windows ma una errata configurazione del Web Server IIS e delle ACL! Comunque beccatevi questo post molto interessante che ripercorre il filone in questione; stavolta anche Symantec c'è cascata... Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Strepitoso ultimo giorno di lavoro di Bill Gates . Nel bene o nel male ha rappresentato una bella fetta della nostra vita da geek . Nel video compaiono: Brian Williams , Steve Ballmer , Matthew McConaugheyr , Robbie Bach, Jay -Z, Bono , Steven Spielberg , George Clooney , Jon Stewart , Kevin Turner , Hillary Clinton , Barack Obama , Al Gore , Ray Ozzie and Craig Mundie .

Per fare un bel DoS, il più delle volte basta sovraccaricare il target dell'attacco in modo che non possa più rispondere alle richieste legittime e soddisfarle. E allora come è possibile fare un bel DoS sul paese Italia? -- mode INFO OFF -- Semplice: saturandolo con notizie e bufale tipo questa: Bufala Classic di Paolo Attivissimo: stipendi dei parlamentari Oppure parlare ancora e per l'ennesima volta della legge 194 sull'aborto, impegnando il paese in un'altra battaglia etica del tipo "è nato prima l'uovo o la gallina"? E intanto le coppie con problemi di sterilità vanno in Romania per fare la fecondazione assistita. -- mode INFO ON --- Così con pacchetti del tipo " stipendio_parlamentare " e " aborto_e_vita " la risorsa " Italia " è satura, impedendo che le richieste legittime vengano soddisfatte. Richieste del tipo: "Battaglia al primo problema italiano: mafie" "Battaglia al secondo problema italiano: senso c...

Questa è gustosa. Non posso fare nomi ma è un caso reale successo al sottoscritto. Gli attori di questa storia sono (i nomi sono stati cambiati per opportuna riservatezza) cittadini del comune di Paperopoli e precisamente: Paperino : politico del comune ( paperino@comune.paperopoli.it ); Topolino : capo di Segreteria di Paperino ( topolino@comune.paperopoli.it ); Gastone : cittadino ( gastone@nodomain.it ); Io : altro cittadino ( pippo@nodomain.it ); 1) Paperino manda una mail di auguri per il nuovo anno (utilizzando il suo alias di lavoro paperino@comune.paperopoli.it ) ad una serie di indirizzi e-mail di alcuni cittadini, inserendo tali indirizzi nel campo "To:" o "A: " della mail. La mail ricevuta da ogni destinatario contiene quindi tutti gli altri destinatari, compreso me. 2) Rispondo a mia volta con una mail a Paperino ringraziandolo e consigliandogli di utilizzare la prossima volta il campo " CCn " o " Bcc " per evitare questi spiacevoli...

Che il vento stia cambiando? La U.S. Army decide di installare nei suoi DataCenter i Server Apple per questioni di sicurezza! Il Col. Wallington sostiene che "essendo la maggioranza degli attacchi progettati per server Windows, installare server Apple è la mossa giusta" He points out that Apple's X Serve servers , which are gradually becoming more commonplace in Army data centers, are proving their mettle. "Those are some of the most attacked computers there are. But the attacks used against them are designed for Windows-based machines, so they shrug them off," he says Ma i nuovi SO della Apple hanno un core Linux . Siamo sicuri che non esistano vulnerabilità per una FreeBSD modificata da Apple? ;-)

Con il SP3 di Office 2003 e Office 2007 Microsoft ha disabilitato i filtri per alcuni vecchi formati di documenti riducendo così la superficie di attacco. Proprio i vecchi formati infatti erano spesso utilizzati per veicolare malware. Sarà comunque possibile attivare di volta in volta il filtro opportuno. Riducendo la superficie di attacco si può però provocare un DoS per qualche utente. Ma evidentemente è stato valutato che il rischio in questo secondo caso è minore. E' possibile leggere il post di David Le Blanc che motiva la scelta e suggerisce come riattivare i filtri.

Una sicurezza applicativa che venga gestita solo dopo che il prodotto sia stato rilasciato comporterebbe dei costi notevoli per la correzione di falle o bachi. Si parla infatti in questo caso di Retrofit security , una metafora che rende bene l'idea! Minima resa, massima spesa :-D E' quindi necessario prevedere che in ogni fase del ciclo di vita del software sia posta opportuna attenzione anche alle problematiche di sicurezza ( Secure SDLC ), ossia non solo considerare fattori come efficacia, efficienza e usabilità ma anche sicurezza . I processi relativi alla sicurezza applicativa infatti si distinguono da quelli inerenti alla qualità del software perché, nel caso dei primi, gli attori coinvolti nello sviluppo in taluni casi devono pensare come utenti maliziosi mettendosi il cappello nero da " black hat ". Le linee guida qui proposte (prendendo spunto dai 7 touchpoints di Cigital ) per lo sviluppo di applicazioni sicure rappresentano quindi un utile strumento da unir...

Il titolo del post è abbastanza criptico ma vi consiglio vivamente di ascoltare (e seguire la trascrizione in PDF ) questo podcast condotto da Gary McGraw di Cigital e sponsorizzato da IEEE Security & Privacy . Il podcast analizza, seppur in modo non approfondito, i tre approcci, con relative filosofie, di sicurezza applicativa: CLASP di OWASP (Open Web Application Security Project) Micrsoft SDL Cigital 7 Touchpoints Personalmente io preferisco i 7 touchpoints (è la metodologia alla base degli altri post sulla sicurezza applicativa) rispetto a SDL di Microsoft che mi sembra troppo orientata al prodotto e a CLASP.

Il titolo di questo blog contempla anche la parola "dintorni" e quindi ogni tanto mi prendo la briga di parlare anche di altri temi oltre la sicurezza. Essendo prima di tutto uno sviluppatore, spesso e volentieri ho necessità di ritoccare delle immagini (icone, splash screen, etc.). Per qualche periodo ho utilizzato GIMP , ma GTK su Windows a livello di HCI non è che mi soddisfi molto, sembra sempre un "pesce fuor d'acqua". Ho scoperto da poco Paint.NET , un ottimo programma di painting realizzato in C# sul framework .NET 2.0. E' Free, Open Source (FOSS) e rilasciato sotto licenza MIT . Non consideratelo un Paint++ di Windows è molto di più. Chi diceva che su Windows non è possibile avere applicazioni Open Source?