CyberSecurity 1337

Sono on-line gli interventi alla conferenza BlackHat USA+2009 . Da un'occhiata veloce mi sembra che ce ne siano diversi di interessanti. Presto una selezione! (mi sa che questo è il post più sintetico che ho mai fatto!)

Alice: "...sì ma la sicurezza è 'Availability' " Bob : "E confidenzialità e integrità?" Alice: "Ma se un sistema non è raggiungibile o non disponibile che te ne fai di confidenzialità o integrità?" Bob : "Vediamo: un computer spento non è disponibile, ma se i dati risiedono in una partizione cifrata sono ugualmente tutelato da un'eventuale asportazione del disco fisso. Quindi almeno garantire la confidenzialità di dati sensibili ha un suo valore, indipendentemente dalla disponibilità del sistema in cui risiedono." Bob : "O anche: ci sono procedure di sicurezza che a fronte di attacchi rendono indisponibile il dato per evitare compromissioni. "Meglio perso che in mani nemiche!" In questo caso il sistema non è disponibile e confidenzialità/integrità sono garantite proprio da questo fatto. Come vedi la disponibilità del dato in certe condizioni rende il sistema insicuro" Alice: "Sì ma comunque la cosa più importa...

Se siete dei Security Man paranoici (ma non tanto), non potete NON avere un "distruggi documenti", altresì chiamato " Paper Shredder ". A che serve? Sminuzza tutti i documenti che gli vorrete gentilmente far ingurgitare in tante striscioline. Anche le vecchie carte di credito! E non pensiate che è da paranoici. Quanti documenti con i vostri dati personali/sensibili buttate nella spazzatura? Il prezzo? Il modello nella foto costa miseri 40€. E se spendete 300€ per l'ultimo ritrovato di Web-App-Net-Ing-Firewall non potete lesinare su questo aggeggio :-)

Se avete bisogno di valutare la bontà della vostra configurazione SSL, vi suggerisco di dare un'occhiata alla " SSL Server Rating Guide ". Per controllare la configurazione invece di un server pubblico basta fare una ricerca nel " Public SSL Server Database ", dove troverete lo score del server (se esiste) secondo la guida. Ove il server in questione non esista il servizio provvederà a fare l'analisi e ad assegnare una valutazione. Attenzione però perché se il vostro server è dotato di un certificato non pubblico, ovvero emesso da una vostra CA interna, la valutazione riceverà un bello ZERO! Non sono molto d'accordo però...

Che qualcuno avesse rappresentato in forma artistica Malware e Spam mi mancava proprio! Interessante esperimento con delle immagini a dir poco inquietanti! Questo è un IRCBOT: (copyright © 2002-2008 Alex Dragulescu, All Rights Reserved) E qui invece uno po' di SPAM: (copyright © 2002-2008 Alex Dragulescu, All Rights Reserved) L'autore ovviamente è un artista pluridecorato (certo anche il cognome è abbastanza inquietante) e io stavo giusto cercando dei quadri per il mio studiolo ;-)

L'arrivo: Anche io, da spettatore, mi sono recato all'evento " Cracca al Tesoro 2009 ". Come al solito sono arrivato in ritardo e capire come ci si muoveva all'interno di Orvieto non ha fatto altro che aumentare il ritardo! Di parcheggiare ad Orvieto non se ne parlava, ma la presenza di un eccezionale mega parcheggio (a pagamento) collegato al centro della piccola città, con un sistema di ascensori e scale mobili ha risolto brillantemente il problema. Incredibile trovare un'organizzazione così in Italia. Arrivato alla reception del Palazzo del Popolo di Orvieto, gli organizzatori di CAT2009 mi hanno dotato di magliette hacker, chiavette e tutto il necessario per il perfetto conferenziere. Non mi è restato quindi che recarmi alla sala conferenza per assistere agli interventi della mattina. Faccio in tempo a vedere l'intervento di "Brigante": due parole su BackTrack e un video che non ha funzionato. Poi una società (di cui non ricordo il nome) di ...

Come perdere la chiave privata gelosamente custodita in un HSM ? Impossibile vero? Non riuscirete mai a distruggerla. Questi diabolici macchinari la creano internamente e non permettono di estrarla MAI e nemmeno di cancellarla. E poi avete il backup. Ma allora è impossibile perderla direte voi! E qui vi sbagliate, basta reinizializzare un HSM senza aver fatto il backup prima! E purtroppo è successo veramente. In Germania, eseguendo un test sulla root CA per la carta elettronica sanitaria, dopo aver reinizializzato la root CA si sono accorti di non avere il backup della chiave privata! Ooooppppsssssss :-) Incredibile, sono senza parole. "The HSM independently deleted the data because it suspected an attack." Because no back-up copy had been made the Trustcenter's usual routine for restoring the data could not be applied. Merx explained that "Gematik decided to 'do without a back-up'. As a service provider, we have to accept that,"

Se dovete fare una sessione di Wardriving avete bisogno di un bel po' di attrezzatura e allora il WarCraft è quello che fa per voi. Warcarting from Zack A on Vimeo .

Mi affascina da sempre la Computer Forensics e proprio per questo mi sono deciso ad intraprendere una piccola analisi della memoria del mio computer. Dopo aver compilato il programma per il dump live della memoria su VISTA (poco importa se troverò il footprint del programma in memoria), lo faccio girare in una shell con diritti di amministratore, ritrovandomi alla fine del processo i miei bei 3 Gbyte di file su disco. Operazione abbastanza veloce e, giustamente, alla fine del dump il programma mi fornisce anche l'hash del file (necessario in un'indagine forense). Ma adesso cercare qualche cosa all'interno di un file così grande è come cercare un ago in un pagliaio! La prima cosa (e anche quella più banale ahimè) che mi viene in mente è di cercare qualcuna delle mie innumerevoli password. Hai visto mai che qualche applicazione lascia le password in chiaro in memoria? Ovviamente esiste sempre una finestra temporale abbastanza piccola (si spera) in cui questo è vero, ma di sol...

Vi segnalo questo ottimo libro sulla Computer Forensics di Andrea Ghirardini e Gabriele Faggioli . Molto ben scritto, non è il solito manuale di tool e programmini per Hacker in erba ma bensì un'ottima guida alla Computer Forensics che illustra sia le sfumature legali dell'attività (con un poderoso secondo capitolo al limite della comprensione per un povero tecnico) che gli aspetti tecnici, non scadendo mai nella manualistica. Mi sono permesso di consigliare ad Andrea di mettere a disposizione dei suoi lettori un compendio con tool, link e magari qualche "quick reference guide" per il Computer Forensics "not-so-expert". Raramente si ha il piacere di leggere un buon libro tecnico scritto (bene) da nostri concittadini. Di solito sono solo pessime traduzioni dall'inglese. Complimenti ai due autori.

Vi segnalo (con ritardo) la bella iniziativa che la città di Orvieto e gli organizzatori della conferenza per gli sviluppatori di BackTrack hanno organizzato per l'11 luglio. Nel pomeriggio di sabato 11 luglio infatti si svolgerà una caccia al tesoro "WarDriving" nella città di Orvieto, che ben si confà a tale attività essendo deliziosamente fruibile con i due piedi :-) La mattina invece ci saranno seminari tecnici su Hacking e Sicurezza. Visualizzazione ingrandita della mappa Avete tempo fino al 5 luglio per organizzare una squadra ed iscrivervi. Se non altro per farvi una bella passeggiata ad Orvieto. Per maggiori info andate sul sito di " Cracca al Tesoro ".

Vi segnalo il post di Bruce Schneier in cui analizza un nuovo attacco all'algoritmo di cifratura AES. Potete stare tranquilli ancora per un po' comunque, perché l'attacco è alquanto teorico e dimostra unicamente che anche per l'AES è iniziata la stagione della crittoanalisi.

" c) di prorogare al 15 dicembre 2009 i termini per l'adempimento delle prescrizioni di cui al punto 2 del Provvedimento, come modificate e integrate dal punto b) del presente provvedimento; " La proroga tanto attesa alla fine è arrivata. Nel comunicato del Garante vi sono anche alcuni emendamenti al provvedimento originale.

Stamattina Windows Update mi ha notificato l'arrivo di Windows VISTA Service Pack 2 It. Ovviamente è da installare. Soprattutto per le patch di sicurezza (anche se è una "cumulative upgrade" in pratica).