sabato 27 settembre 2014

Assumere un hacker per sbaglio

Questa è una storia interessante e starebbe bene in un libro o in un film:
- https://www.norse-corp.com/blog-140926.html

In poche parole: una donna con competenze da hacker trova lavoro nel settore
marketing di una grande azienda.

Nel frattempo si legge qualcosa su OSINT e se ne capiscono le potenzialità e
i rischi.

venerdì 26 settembre 2014

Cyber Defence Symposium

Toto Zammataro di Intellium mi ha segnalato gli atti del Cyber Defence
Symposium:
- http://www.rid.it/index~phppag,3_id,314.html

La lettura di alcuni articoli, tra cui quello di Toto Zammataro stesso
("Anatomia di un CERT") e quello di Marco Mattiucci ("Cybersecurity, Cyber
Forensics e Digital Forensics: stato, evoluzioni ed attività dell'Arma dei
Carabinieri"), è molto interessante, per quanto didattica.

Altri interventi, purtroppo, sono troppo commerciali.

mercoledì 24 settembre 2014

Application whitelisting technology

Confesso la mia ignoranza sull'esistenza di tecnologie di application
whitelisting. Ma andiamo con ordine.

La newsletter SANS NewsBites del 23 settembre riporta una notizia successiva
ad un attacco alla catena Home Depot. L'attacco, molto semplice, era questo:
un malware ha infettato i PC collegati ai POS dei negozi, in modo da
inoltrare i dettagli delle carte di credito a quale malintenzionato (ma
sembra che poi non siano stati usati per derubare i 56 milioni di
malcapitati):
- http://www.theregister.co.uk/2014/09/18/home_depot_56m_cards_compromised/

Il danno è stato quantificato in quasi 250 milioni di dollari.

La notizia successiva riportava lamentele degli addetti alla sicurezza
informatica di Home Depot perché le vulnerabilità erano state segnalate ma
non considerate dai manager.

La cosa interessante è l'analisi di John Pescatore, sempre sul SANS
NewsBites, ricorda che Home Depot poteva utilizzare delle tecnologie di
application whitelisting, come segnalato dai "Critical security controls"
del SANS stesso:
- http://www.sans.org/critical-security-controls/controls

Il controllo che ci interessa è il 2-1 che recita "Usa una tecnologia di
application whitelisting che permette ai sistemi di far funzionare del
software solo se è incluso in una lista e di bloccare ogni altro software.
La lista può essere molto estesa e quindi può non avere impatti sugli
utenti, oppure molto ridotta per sistemi critici".

Una breve ricerca su Google mi ha fatto incontrare il prodotto della
Kaspersky (http://whitelist.kaspersky.com/).

Ora, io ho visto solo un'azienda che utilizza una versione ridotta di questa
tecnologia (ogni notte analizza i PC degli utenti e disinstalla i programmi
non autorizzati), ma non l'ho ancora vista ben pubblicizzata. Forse il
motivo è in un'altra frase di John Pescatore: "Nel peggiore dei casi, la
messa in funziona di una tecnologia di application whitelisting sarebbe
costata a Home Depot 25 milioni di dollari, molto meno dei 250 che hanno
perso". Diciamo che 25 milioni di dollari sono tanti...

Comunque, se qualche mio lettore vuole inviare dei contributi in materia,
sarò ben lieto di pubblicarli.

sabato 20 settembre 2014

TrueCrypt e CipherShed

Fabio Teoldi mi ha segnalato questa notizia: una società svizzera sta
ri-ingegnerizzando TrueCrypt, ritenuto il miglior software per creare
partizioni cifrate, e lo chiamerà CipherShed:
-
http://www.esecurityplanet.com/open-source-security/truecrypt-getting-a-new-
life.html


Il nome è terribile, ma spero si tratti di un buon prodotto, fatto da
persone serie:
- https://ciphershed.org/

Per intanto, visto che funziona anche su Windows 8, io continuo a usare
TrueCrypt felice e contento. Spero poi che il prodotto possa diffondersi e
spingere il maggior numero di persone a prestare attenzione alla sicurezza.

PGP è da buttare?

Su Crypto-gram di settembre è riportata la notizia di un articolo molto
critico su PGP:
- http://blog.cryptographyengineering.com/2014/08/whats-matter-with-pgp.html

Per un riassunto meno tecnico (sempre da Crypto-gram):
-
http://thehackernews.com/2014/08/cryptography-expert-pgp-encryption-is_19.ht
ml


Per una critica all'articolo critico (sempre da Crypto-gram):
- https://pthree.org/2014/08/18/whats-the-matter-with-pgp/

La mia riflessione è un'altra, indipendentemente dai problemi tecnologici:
oggi nessuno usa più strumenti crittografici per inviare e-mail in cui sono
riportate informazioni o allegati molto riservati. Secondo me tutto ha
origine dal fatto che nel 2002 la NAI ha smesso il supporto a PGP e gli
altri progetti open-source hanno reso disponibili delle facili interfacce
dopo troppo tempo (buffo, visto che una delle caratteristiche di PGP che lo
resero popolare era proprio l'interfaccia grafica).

Oggi, si potrebbe fare riferimento a www.gnupg.org, ma in pochi lo fanno.

La lunga storia degli HSM (seconda puntata)

A luglio segnalai (su indicazione di Stefano Ramacciotti) un post sulla
lunga storia degli HSM:
- http://blog.cesaregallotti.it/2014/07/la-lunga-storia-degli-hsm.html

Andrea Caccia, che di queste cose si occupa, mi ha aggiornato e io copio e
incollo la sua gentile e-mail:
<< Proprio oggi (15 settembre 2014), l'OCSI ha pubblicato il primo
certificato di un HSM per firma remota, che è quindi certificato CC EAL4+
secondo i requisiti di legge:
-
http://www.ocsi.isticom.it/index.php/elenchi-certificazioni/prodotti-certifi
cati#c0214


Il problema è che questo prodotto non è stato certificato entro i termini
indicati dal decreto per predisporre i piani di migrazione.

Quindi, se è pur vero che ora l'apparato c'è, dopo tanti anni di
autocertificazione, è anche vero che non è arrivato secondo i tempi che il
decreto richiedeva e credo che questo porterà a parecchie discussioni. >>

giovedì 18 settembre 2014

Apple e le forze dell'ordine

Pasquale Stirparo ha segnalato alla mailing list di DFA
(www.perfezionisti.it) il fatto che Apple ha pubblicato delle "Legal Process
Guidelines" con le istruzioni che devono seguire le forze dell'ordine di
USA, EMEIA, Giappone e APAC quando vogliono svolgere delle indagini e
richiedono informazioni "sugli utenti che usano prodotti e servizi Apple o
da dispositivi Apple":
- http://www.apple.com/privacy/government-information-requests/

Trovo questa iniziativa molto interessante. Secondo me, quasi nessuna
azienda italiana ha una linea guida per gestire eventuali richieste da parte
dell'autorità giudiziaria. Non dico si debba diffonderle per dare istruzioni
alle forze dell'ordine come fa Apple (figurarsi!), ma qualcosa bisognerebbe
fare. Al minimo, indicare internamente un referente interno nel caso
arrivino richieste di questo tipo e disprre di un riferimento di un legale
competente da consultare.

lunedì 15 settembre 2014

LinkedIn e social network

Questa è una delle mie piccole storie personali che propino ai miei lettori,
ma ha una morale relativa alla sicurezza delle informazioni.

Negli ultimi mesi ho scritto, per dei clienti, delle regole in merito
all'uso dei social network. Le solite cose: non parlate con gli sconosciuti,
non scrivete cose relative all'azienda per cui lavorate, se dovete usare i
social network per finalità aziendali prestate attenzione a questo e a
quello.

Nello stesso periodo mi sono accorto delle e-mail di LinkedIn che mi
consigliavano di fare gli auguri o di congratularmi con perfetti sconosciuti
con cui però avevo una connessione. In effetti, anche con la speranza di
farmi pubblicità, negli ultimi anni accettavo le connessioni da parte di
tutti. Poi mandavo l'invito ad iscriversi alla mia newsletter e quasi
nessuno accettava.

Non accettavo le connessioni solo quando avevo il sospetto che mi avessero
scambiato per un altro Gallotti, anch'egli ex dipendente di DNV. A questi
chiedevo se per caso avessero fatto confusione, ma anche qui le risposte
sono state pochissime.

Infine ho fatto caso alle richieste che mi arrivavano: erano quelle
standard. E quindi originate da persone intente a preparare qualche phishing
o che per errore hanno premuto qualche bottone di troppo su LinkedIn.

Quindi, visto che un consulente deve essere il primo a dare l'esempio, ho
deciso: a) di rispondere gentilmente agli sconosciuti che mi chiedono la
connessione dicendo che mi connetto solo a persone che conosco nella vita
reale; b) cancellare le connessioni con sconosciuti.

Una prima pulizia mi ha portato da 466 connessioni a 395. Ma ancora molto
resta da fare. Mi scuso con quanti ho cancellato perché mi sono dimenticato
di averli effettivamente conosciuti (però, se non ho mantenuto i contatti o
i ricordi, un motivo ci sarà; o forse è solo l'effetto del mio impegno alla
riservatezza che è diventato smemoratezza?).

La morale finale credo sia ovvia: seguite voi stessi le regole che credete
siano giuste per gli altri.

giovedì 11 settembre 2014

Consiglio di Amministrazione e rischi aziendali

A giugno, Protiviti ha pubblicato un interessante documento dal titolo "Il
ruolo del Consiglio di Amministrazione nel governo dei rischi aziendali".
Esso analizza le disposizioni del Codice di Autodisciplina per le Società
Quotate, che prevede che il CdA definisca le linee di indirizzo affinché i
principali rischi risultino correttamente identificati, misurati, gestiti e
monitorati.

Il documento è di 36 pagine e mi sembra completo e ben fatto, considerando
le diverse tipologie di rischio da affrontare (includendo ovviamente quelli
di sicurezza delle informazioni). Si capisce bene, leggendolo, quanto sia
importante avere un orizzonte ampio, senza però essere dei tuttologi.

Il documento sottolinea come l'analisi del rischio di impresa non debba
ridursi al soddisfacimento del compitino richiesto dal Codice, ma debba
essere visto come potento strumento di governo.

Il link per scaricare il documento:
-
http://www.protiviti.com/it-IT/Documents/Protiviti-Il-ruolo-del-CdA0-nel-gov
erno-dei-rischi-ed-luglio-2014.pdf

Poste Italiane devono rimborsare una vittima di phishing

Interessante sentenza del Tribunale di Firenze: Poste Italiane, nel 2010,
non aveva previsto idonee misure di sicurezza per ridurre il rischio che i
propri clienti fossero vittime di phishing. Già da tempo, Poste Italiane,
come altre banche, ha previsto l'uso di one-time-password, ma il caso in
questione è precedente.

Risultato: Poste Italiane deve rimborsare al proprio cliente la perdita
economica conseguente alla comunicazione delle proprie credenziali ad un
malintenzionato, dopo aver ricevuto una mail di phishing:
-
http://www.altalex.com/index.php?idu=264948&cmd5=021c46ab76df2fd7050bbc8c56e
d7fe1&idnot=68463


Francamente, non riesco a dire se questa sentenza mi sembra giusta o
sbagliata: da una parte è giusta perché Poste non aveva messo in atto le
misure di sicurezza previste dalle "buone pratiche", dall'altra non capisco
perché debbano essere ritenute responsabili di un errore di un loro cliente.

Dei danni della violazione della privacy

Interessante sentenza della Corte di Cassazione: non si può avere un
risarcimento del danno per diffusione impropria dei propri dati personali se
non si prova che questo è grave e non futile.

Mi pare una buona sentenza perché toglie un po' di arbitrarietà alle
sentenze.

La notizia l'ho avuta da Filodiritto. L'articolo che segnalo riporta anche
il link alla sentenza della Corte di Cassazione:
-
http://www.filodiritto.com/news/2014/cassazione-civile-per-il-risarcimento-d
ella-violazione-della-privacy-la-lesione-deve-essere-grave-e-il-danno-non-fu
tile.html

giovedì 4 settembre 2014

iCloud e il furto delle foto

È su tutti i giornali: sono state rubate delle foto da iCloud con celebrità
nude:
- http://mashable.com/2014/08/31/celebrity-nude-photo-hack/

L'attacco è spiegato in questo articolo:
- http://www.wired.com/2014/09/eppb-icloud/

In breve (se ho capito correttamente): dei malintenzionati hanno fatto un
attacco a forza bruta (cioè hanno provato tutte le password possibili) sugli account di iCloud con uno strumento del costo di circa 400 dollari e disponibile solo a forze di polizia. Gli attaccanti hanno quindi recuperato dati di diversa gente, tra cuifoto di nudo di donne celebri che hanno pubblicato. La paura è che altridati possano essere usati per ricattare altri utenti.

La cosa interessante è che Apple ha detto che questo non rappresenta un
incidente di sicurezza dei loro sistemi. Forse perché non sono state violate
delle politiche prestabilite da Apple stessa. Penso che avrebbe potuto fare
qualche riflessione in più su come "aiutare" in futuro gli utenti a
scegliere e gestire password più robuste e su come gestire i file oggetto di
backup mantenuti dall'iCloud (ossia quelli acceduti dagli attaccanti). Ma soprattutto avrebbero dovuto immaginare che lo strumento "disponibile a forze di polizia" sarebbe prima o poi caduto in possesso di malintenzionati.

Questo ultimo aspetto è interessante: dall'articolo si capisce che, in molti forum sul web, la tecnica di attacco era descritta e suggerita. Mi viene quindi da pensare che Apple non abbia attuato tecniche di analisi su quanto pubblicato sul web in merito alle proprie vulnerabilità.

Per quanto riguarda gli utenti stessi, sarebbe il caso di riflettere sul
falso senso di sicurezza che ci danno alcuni servizi disponibili su Internet
e su quanto facciano per proteggersi (password robuste, selezione dei file
da salvare, eccetera).