Luca Bechelli IT Security Consultant

Maligno

2009-10-23T16:40:00.010+02:00

Da due giorni ricevo decine di mail con informative sulla disponibilità di aggiornamenti vari per Windows.

E' innegabile che la qualità del phishing sta salendo notevolmente:

Facendo click con il browser, questo si lascia ingannare, almeno per adesso
, fintanto che i controlli antiphishing non saranno aggiornati anche con questo link. Ieri sera, ad esempio, il browser mi ha fornito questa segnalazione:

Questo riporta in auge una perplessità che ho su questi strumenti: sapere di avere un meccanismo di controllo, quanto contribuisce ad accrescere l'impatto di un attacco apportato con successo verso gli utenti finali?

Certo, si tratta di una questione di riduzione dell'impatto del danno, almeno su larga scala, tuttavia in tali casi forse aiuterebbe di più maggiore awareness...

Che ne pensate?

1 minuto per violare una rete Wi-Fi

2009-08-31T11:50:00.005+02:00

Come riportato in questi giorni da più fonti, risulta essere realizzato un attacco che consentirebbe di violare una rete wireless in circa un minuto.

L'attacco si applica a reti protette con meccanismo WPA su protocollo TKIP, ed è basato sul precedente attacco ideato da Martin Beck e Erik Tews, che impiegava circa 15 minuti per ottenere il key material
e quindi poteva essere mitigato mediante l'attivazione della funzionalità di re-keying. Inoltre, tale attacco non consentiva il pieno accesso ai contenuti della trasmissione, ma "solo" la violazione dell'integrità dei pacchetti (da cui la possibilità di inserire del traffico illecito nella rete wireless).

Il nuovo attacco, ideato dai ricercatori Toshihiro Ohigashi e Masakatu Morii, permette di accedere al contenuto del traffico cifrato. Maggiori informazioni si avranno in una prossima conferenza il 25 settembre, ma il segnale forte è che lo standard WPA con protocollo TKIP non è ormai da ritenere più affidabile per la sicurezza della propria rete. Qualora sia supportato, è opportuno configurare l'algoritmo AES al posto di TKIP, oppure ricorrere ai meccanismi di protezione WPA2, immuni da questo attacco.

Naturalmente, ricordandoci di NON UTILIZZARE il più vetusto e meno sicuro WEP!

Top Virtualization Security Mistakes

2009-08-21T10:53:00.002+02:00

Dal SANS, caldo caldo arriva un documento che riassume le problematiche principali nell'adottare massivamente tecnologie di virtualizzazione nella propria infrastruttura.

Sebbene ricorrere alle tecnologie di virtualizzazione presenti a mio avviso molti vantaggi, non devono essere ignorati i problemi di sicurezza che una maggiore complessità tecnologica (e di processo, benchè si tenda a non pensarci troppo...) introducono.

In particolare, mi fa piacere che tutte le indicazioni presenti nel documento sono le stesse che elencavo ormai più di un anno fa nel seminario CLUSIT sulle tecnologie di virtualizzazione (sebbene non con la stessa sintesi, che è notoriamente una qualità che mi manca :-( )

Articolo introduttivo sulla virtualizzazione

2009-08-19T12:55:00.001+02:00

Qui potete trovare un buon articolo introduttivo sulla virtualizzazione server, corredato di link ad altri documenti altrettanto interessanti e video esplicativi.

Provvedimento sugli Amministratori di Sistema: risposta alla Consultazione Pubblica (con Proroga)

2009-06-29T11:19:00.003+02:00

Il Garante per la Protezione dei Dati Personali ha pubblicato la risposta alla Consultazione Pubblica, mediante una serie di modifiche al Provvedimento sugli Amministratori di Sistema.
Le modifiche sostanziali:

- alcuni degli adempimenti previsti per i "Titolari al trattamento" sono attribuiti anche ai Responsabili (situazione nella quale si ricade più spesso nel caso di trattamenti affidati a terzi)

- l'elenco aggiornato dei nominativi degli amministratori di sistema non deve più essere inserito nel Documento Programmatico sulla Sicurezza, bensì sarà sufficiente un documento interno

- è prevista una proroga dell'adeguamento per quelle aziende che già oggi effettuano trattamento di dati personali, che sposta il termine al 15 Dicembre.

Devo dire che, rispetto alle perplessità e ai dubbi interpretativi del Provvedimento, sebbene molto ridotte a seguito della pubblicazione delle FAQ (21/05/2009 - Amministratori di sistema: risposte alle domandepiù frequenti), mi sarei aspettato delle modifiche più sostanziali. La proroga, al contrario, era abbastanza scontata, visto che la stessa consultazione pubblica si concludeva il 31 Maggio, un mese prima della scadenza del Provvedimento stesso...

[From SicuraMente: AMMINISTRATORI DI SISTEMA: PROROGA AL 15 DICEMBRE]

E Pippo entrava nei computer dei pm - Corriere della Sera

2009-06-27T10:19:00.003+02:00

L'articolo dal quale riprendo il titolo racconta scenari purtroppo non nuovi, specie in molte piccole e medie imprese.

Peccato che tali scene si svolgano in una Procura, quella di Milano!

Attenzione però alle conclusioni dell'articolo: prima di ricorrere ai seppur validi progetti di livello nazionale sulla protezione degli accessi, buone pratiche quali l'inibizione dell'uso degli account di amministrazione, l'uso di identificativi nominali ed il divieto di mantenere le informazioni riservate su cartelle condivise, fino al fatto che i PC per uso lavorativo, sono aspetti che solo un cambiamento culturale, certamente aiutato da strumenti automatici di prevenzione e controllo, possono risolvere.

C'è molto da fare, ma molto spesso per risolvere i problemi più gravi basterebbe innanzitutto ricorrere alle soluzioni più semplici che, per altro, sono anche quelle meno costose.

[From E Pippo entrava nei computer dei pm - Corriere della Sera ]

Biometria e Hash: un binomio imperfetto...

2009-06-25T19:54:00.003+02:00

Provare per credere: cercando su Google "database impronte centralizzato", si visitano pagine dove si afferma che vi sono dei sistemi che consentono l'autenticazione biometrica tramite database centralizzato delle impronte, assicurando la riservatezza delle caratteristiche biometriche degli utenti, poichè sarebbero trasformate in una sequenza numerica mediante funzione hash.

Le descrizioni continuano dicendo che, dato che le funzioni hash sono invertibili, è impossibile a partire da quanto memorizzato nel database centralizzato risalire all'impronta dell'utente.

Fino qui teoricamente tutto bello, tuttavia... ...peccato che un sistema così congegnato non possa funzionare! Vediamo di capire perchè.

Di vero nella suddetta affermazione c'è che:

1) le funzioni hash sono invertibili

2) se sottoposta a funzione hash, dall'hash stesso non è possibile ricavare l'impronta originale.

Direi tuttavia che è improbabile che questo sistema consenta di autenticare gli utenti. Infatti:

a) tra le caratteristiche delle funzioni hash utilizzate in ambito sicurezza, vi è la bassissima probabilità di generare collisioni, ovvero che a partire, ad esempio, da due impronte diverse si ottenga lo stesso hash. Questo assicurerebbe che a partire da una impronta illegittima si possa ottenere un accesso autorizzato in vece del vero utente. Fino qui tutto bene.

b) per garantire il suddetto requisito, da due sequenze di bit molto simili una tipica funzione hash produce output molto diversi. Questo assicura che non si possa costruire ad arte una collisione, mediante tentativi finalizzati a riprodurre un hash sempre più rassomigliante a quello dell'impronta originaria. Anche questo è un fatto positivo.

Ma veniamo al punto. La verifica biometrica di una impronta avviene a partire da una immagine, che dopo essere acquisita viene elaborata per estrarre le caratteristiche principali dell'impronta stessa, le cosiddette minutiæ.

Come è possibile che due acquisizioni di immagine di impronte siano perfettamente uguali?

Non è possibile: il dito dovrebbe non aver subito alcuna variazione, le condizioni di temperatura e umidità dell'utente ed ambientali dovrebbero essere esattamente le stesse, il dito dovrebbe trovarsi esattamente nella stessa posizione (a meno di una manciata di DPI, in funzione della risoluzione del lettore biometrico), il lettore dovrebbe essere sostanzialmente sterile per garantire che eventuale sporcizia non ne alteri la capacità di lettura, e l'utente dovrebbe esercitare esattamente la stessa pressione sul lettore (sapete com'è... la pelle è molliccia....). Etc... etc... etc...

Quindi: se due acquisizioni successive non possono dare la medesima immagine, non produrranno template identici, a meno che questi non siano calcolati in modo talmente grossolano da rendere il confronto biometrico assolutamente non sicuro.

Se non si hanno template identici, gli hash generati a partire dagli stessi saranno molto diversi, quindi non confrontabili.

Quindi una soluzione del genere non funziona!

Altrimenti, perchè non vi sono sistemi di cifratura che utilizzerebbero le impronte acquisite "live" come chiave? Infatti esistono, al contrario, sistemi di cifratura che solo a seguito di un match biometrico forniscono l'accesso a "wallet" di chiavi da utilizzare nei vari servizi locali e remoti!

Perchè quindi affermare l'esistenza di una simile tecnologia?

Alla prossima puntata...

220 millisecondi in HTTPS

2009-06-25T19:05:00.001+02:00

Consiglio a tutti la lettura di questo interessantissimo post, che racconta, millisecondo dopo millisecondo, cosa accade quando si instaura una connessione HTTPS tra un client ed un server.

Davvero un articolo ben fatto!

Amministratori di sistema: risposte alle domande più frequenti (FAQ)

2009-06-03T12:07:00.002+02:00

Sono da qualche giorno on-line le FAQ del Garante sul Provvedimento sugli amministratori di sistema.

I chiarimenti sono stati emessi mentre è in corso una Consultazione Pubblica per acquisire commenti in merito al suddetto Provvedimento, che si è conclusa il 31 Maggio.

Per altro, pochi giorni prima dell'annuncio della Consultazione, CLUSIT ha emesso un proprio documento elencando gli elementi che a nostro parere meritano maggiore chiarimento e fornendo osservazioni sulla natura di alcune prescrizioni.

Si attendono quindi ulteriori deliberazioni su questo caldissimo argomento!

[From SicuraMente: Amministratori di sistema: risposte alle domande più frequenti (FAQ)]

Lo "zar" della sicurezza

2009-06-02T12:21:00.001+02:00

Il Presidente Obama, come si legge nel link in calce, ha elevato la sicurezza informatica a "priorità nazionale" contro le "armi di sabotaggio di massa", istituendo la figura del responsabile della cybersecurity, che farà parte del Consiglio di Sicurezza Nazionale e del Consiglio Nazionale Economico.

Forse la partecipazione a quest'ultimo organo può dare maggiormente l'idea della rilevanza che il Presidente USA vuol dare a questa figura, dato che di organizzazioni governative che si occupavano anche di sicurezza informatica negli States ve n'erano, eccome.

La presenza di un coordinamento centrale e la partecipazione ai tavoli di maggiore importanza per l'amministrazione americana porterà dei cambiamenti anche oltreoceano?

[From "SURGE"OBAMA NEL CYBER-SPAZIO, ZAR PER LE GUERRE FUTURE | News Esteri | La Repubblica.it]

Dati di Traffico: proroga del Garante

2009-06-01T01:37:00.000+02:00

Il Garante per la Protezione dei Dati Personali, con un provvedimento datato 28 Aprile, ha prorogato i termini del Provvedimento del 17 Gennaio 2008 relativo alla conservazione dei dati di traffico. La proroga sposta i termini di adeguamento al 15 Dicembre 2009 per alcuni adempimenti. In particolare:

la separazione logica e fisica degli ambienti di elaborazione dei dati di traffico per finalità di giustizia e repressione dei reati rispetto a quelli per la c.d. gestione ordinaria e/o fatturazione

l‘audit log per i dati conservati per finalità di giustizia

la cifratura dei dati, sempre per quanto riguarda i dati conservati per finalità di giustizia

tutti gli adempimenti per i dati trattati per finalità di gestione ordinaria e/o fatturazione.

La proroga, come si legge in premessa, segue alle richieste mosse da Asstel dovute, in particolare, a

"particolare complessità riscontrata dai fornitori nell'adozione delle misure prescritte nel suddetto provvedimento con riferimento ai trattamenti effettuati per le finalità di cui all'art. 123 del Codice, anche in ragione dell'elevato numero di sistemi e/o piattaforme coinvolte"

come per altro ribadito da analoghe richieste fatte da AIIP e da Assoprovider nello stesso periodo.

I visitatori del Summit

2009-04-03T15:20:00.003+02:00

800 visitatori al Security Summit. Solo che... non erano i visitatori della tipica fiera: erano persone che avevano qualcosa da dire o da sentire, e molte aule sono state infatti riempite.

Resta ancora la possibilità di vedere i video degli eventi, e di andare al secondo appuntamento, a Roma, a Giugno.

[From edipi :: Newsletter]

Fascicolo Sanitario Elettronico e Dossier Sanitario

2009-04-03T15:15:00.002+02:00

Nuova consultazione pubblica del Garante per un provvedimenti in merito al "Fascicolo Sanitario Elettronico e Dossier Sanitario. La pagina del sito del Garante che riporta la deliberazione è questa.

Dal mio punto di vista ritengo molto positivo che in più occasioni il Garante si sia aperto a questo tipo di iniziativa su tematiche che toccano il quotidiano dei cittadini (gli Interessati della normativa...) e coloro che nel proprio lavoro trattano dati personali di varia "rilevanza".

[From Privacy: consultazione pubblica su "fascicolo sanitario elettronico e dossier sanitario" | ComplianceNet]

C6.tv - Video - Security Summit: La sicurezza dei cittadini su Internet

2009-03-29T16:12:00.003+02:00

Su C6.TV è presente una video intervista ad alcuni dei partecipanti della tavola rotonda dal titolo "La sicurezza dei cittadini su Internet", nell'ambito del Security Summit.

Telefonino - Browser 1 a 0

2009-03-29T00:42:00.008+01:00

Al terzo Pwn2Own contest alcuni risultati interessanti: violazione di Windows Vista e Mac OS X mediante attacchi "0 day" apportati dai partecipanti ai principali browser disponibili sulle due piattaforme.

A quanto pare, i vincitori del contest hanno impiegato pochissimi minuti per aggiudicarsi la vittoria, a fronte di una precedente preparazione. Nessuno, tuttavia, è stato in grado di ottenere un analogo risultato con gli smartphone, in una sessione dedicata proprio a questo tipo di device mobili. I dispositivi (Blackberry, Android, iPhone, Nokia/Symbian e Windows Mobile) hanno dato prova di una maggiore robustezza, tanto che si è potuto parlare solo di

simulated stack overflow vulnerability

in una presentazione durante lo svolgimento della manifestazione. Questa, e la violazione inaspettatamente (?) facile di Mac OS X sono state le notizie più rilevanti del Pwn2Own contest.

Continua>>

Security Summit

2009-02-21T12:41:00.002+01:00

Da qualche giorno sul sito del Security Summit sono stati caricati i contenuti degli eventi di Milano e, parzialmente, di Roma.

E' la prima volta che un evento del genere viene organizzato in Italia nel settore della sicurezza, e sopratutto è la prima volta che il CLUSIT si fa organizzatore in prima persona di una manifestazione di così ampia portata.

E' stato creato anche un gruppo in Facebook, per consentire a chi fosse interessato di inoltrare le proprie richieste agli speaker.

Una chicca: rispetto alle manifestazioni tradizionali su questi temi, in questa prima edizione è stato organizzato persino un "Hacking Film Festival".

Rilevanti sono le tavole rotonde ed i convegni verticali: credo che se ne avrò la possibilità, tra le prime non mi perderò questa sul tema della convergenza tra sicurezza logica e protezione delle infrastrutture critiche e, per quanto riguarda i convegni, questo sulla sicurezza delle PMI.

Non mancano una serie di percorsi formativi, tra i quali questo al quale parteciperò anche io come docente.

Elezioni CLUSIT

2008-12-19T15:40:00.001+01:00

Il 15 Dicembre si è svolta l'elezione del Comitato Direttivo e del Presidente del Clusit. Qui i risultati, mentre in questa pagina riporto solo la soddisfazione per la mia ri-conferma.

Con piacere, riscontro anche che il tema della partecipazione dei soci alla vita associativa è una delle principali priorità "programmatiche" dei vecchi e dei nuovi membri del Direttivo, ed in particolare a questi va il mio augurio ed un benvenuto.

Nel frattempo, con l'occasione, auguro un Buon Natale (chissà se entro capodanno ci sarà lo spazio per un altro post?) a tutti!

Sicurezza dei dati di traffico telefonico e telematico - Parte Seconda

2008-08-07T18:35:00.001+02:00

Il Garante per la Protezione dei Dati Personali ha pubblicato una serie di modifiche al Provvedimento del 17 Gennaio 2008 relativo alla Sicurezza dei Dati di Traffico Telefonico e Telematico.Tali modifiche derivano dai diversi interventi normativi avvenuti sul D.Lgs.196/03, a partire dalla ratifica della Convenzione di Budapest fino al D.Lgs n°109 con, tra le altre cose, la scomparsa del "secondo periodo" di conservazione dei dati ( per intenderci, adesso:

è ora previsto un periodo unico di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12 mesi per i dati di traffico telematico e a 30 giorni per i dati relativi alle chiamate senza risposta, senza distinzioni in base al tipo di reato

).

Le principali novità contenute nel "nuovo" Provvedimento:

il differimento del termine dal 31 ottobre 2008 al 30 aprile 2009

il differimento al 30 Giugno 2009 per quanto riguarda la sola strong authentication riferita agli incaricati che accedono ai dati di traffico nell'ambito dell'attività di call center

l'ammissibilità di meccanismi di strong authentication per accesso alle applicazioni (anche per scopi di gestione) previsti sul client dell'utente e non rigidamente sul sistema remoto, tuttavia assicurando che non sia possibile accedere se non dai suddetti client

Per chi ama i paragoni, qui è accessibile la precedente versione.

Fa troppo caldo per commenti nel merito. Alla prossima!

Massime

2008-08-05T23:12:00.001+02:00

Due massime che qualche volta ho citato con il medesimo senso dato dagli autori:

We must do something. This is something. Therefor, we must do it.

what you don't know can't hurt you

Riporto i due articoli perchè mi ha colpito ritrovare nel giro di 5 minuti le due massime.

Inoltre, sarà strano, provo più disappunto per la notizia riportata dal secondo articolo.

Mah.....

Workshop Open Source e Sicurezza a Messina

2008-07-31T00:06:00.001+02:00

Il 27 Giugno ho partecipato per conto di CLUSIT al Workshop Open Source e Sicurezza organizzato dalla Facoltà di Ingegneria dell'Università degli Studi di Messina. Il workshop è stato organizzato a conclusione dell'omonimo Master organizzato dalla facoltà in collaborazione con la Regione Sicilia e le aziende IDS, Insirio, Quadrics ed Engineering.

Continua a leggere sul blog del Clusit >>

(che volete... ....se non faccio economia di scala proprio non riesco a mantere il blog aggiornato!)

Attenzione a quella macchina!

2008-07-04T17:31:00.001+02:00

Nel corso di quest'anno ho tenuto due seminari CLUSIT sulla virtualizzazione.

Per chi leggerà le slide, presto pubblicate, non sarà difficile notare come il mio punto di vista sia critico su questa tecnologia. Come spiego all'inizio del seminario, l'atteggiamento è squisitamente da contraltare: l'informazione sulle tecnologie di virtualizzazione è fin troppo entusiastica anche dal punto di vista della sicurezza ed i benefici sono fin troppo evidenti, e li condivido. Per essere un minimo originale, instillare quella sensata dose di prudenza e sopratutto per dare un valore aggiunto nel trattare il tema, ho preferito quindi mettere in evidenza ciò che può essere evidente ad una occhiata un minimo in profondità sull'offerta di tali prodotti.

Mi fa piacere che certi problemi, che segnalo per l'appunto in quella presentazione, iniziano ad essere trattati anche dal mercato.

Qui VMWare e qui altri vendor rispondono ad un aspetto che probabilmente pochi, forse nessuno, ha ancora percepito come problema, ma che sarà nel tempo evidente: se le aziende oggi necessitano di strumenti di asset management solo per sapere dove hanno installato cosa, figurarsi quando l'IT sarà in buona parte virtualizzata e, di conseguenza, non vi sarà più un legame rigido tra HW e software installato.

Il controllo del ciclo di vita delle VM sarà, credo, un tema caldo del prossimo futuro. Sapere se, dove, quando è in esecuzione un sistema virtualizzato, con quali risorse, a chi sono assegnati i diritti per "accenderlo" o "spegnerlo", essere certi che nella rete aziendale sono in esecuzione solo e soltanto le VM autorizzate, verificare che la concentrazione di guest sugli Host sia congrua con i requisiti di affidabilità, e molte altre questioni oggi aperte, sono aspetti che incideranno notevolmente sui benefici che la virtualizzazione porterà effettivamente nei data center.

Se, quindi, sono lieto che si inizi a parlare ed a proporre soluzioni per queste problematiche, continuo a leggere (anche negli articoli citati) che tra i benefici della virtualizzazione vi è la possibilità di ridurre il personale nell'ambito della gestione IT, ed in questo non sono del tutto d'accordo.

In primo luogo, perchè i suddetti benefici della virtualizzazione riguardano in buona parte la velocità con la quale possono essere fatte alcune delle attività ordinarie, nonchè il fatto che tali attività possono essere fatte in modo migliore. Questo significa probabilmente che sarà possibile fare più cose in meno tempo, che è quello che un'azienda si aspetta dall'IT (ed è il limite percepito oggi dell'IT, dal punto di vista dell'azienda...). La velocità significa minori costi per traguardare il Time To Market, ma anche un potenziale che, dato che la concorrenza sfrutterà le medesime performance, si tradurrà molto probabilmente in cambiamenti finalizzati a potenziare la "capacità di fuoco" dell'IT, piuttosto che a mantenere gli attuali standard con un numero minore di persone.

In secondo luogo, la virtualizzazione ha benefici a mio avviso più elevati per tutte le attività "non ordinarie" nell'ambito della gestione dei sistemi. Per intenderci, la gestione sistemistica non cambierà di molto, e questo varrà anche per la manutenzione HW: cambierà casomai l'impatto sui servizi erogati, sui tempi di fermo-macchina e cose simili...

Ci sono poi le problematiche di migrazione e gestione dell'infrastruttura virtualizzata, che è comunque un pezzo in più da portarsi in casa e da gestire. Senza contare, infine, il fatto che continuo a pensare che l'IT non sia l'unica responsabile dei tempi oggi necessari per portare in campo nuovi servizi o, banalmente, per evolvere servizi già in essere... I tempi di approvazione del budget, di acquisto dell'HW e quant'altro non sono certamente da meno....

Smartcard e Biometria

2008-07-04T12:52:00.001+02:00

Da Wikipedia, a questa pagina:

E-government

In quest'ambito le smart card sono state utilizzate principalmente come strumento di identificazione e di memorizzazione di informazioni personali. Il procedimento solitamente avviene attraverso l'inserimento di un codice PIN ma recentemente, grazie all'Istituto di Informatica e Telematica del Consiglio Nazionale delle Ricerche di Pisa è stata elaborata una nuova applicazione che sostituisce al PIN i dati biometrici (Impronte digitali in particolare ma anche Iride, volto e voce) del titolare della Smart Card. Tale procedimento, chiamato Match-On-Card, aumenta la sicurezza delle procedure, consentendo la verifica dell'identità del titolare attraverso il confronto fra l'impronta digitale, ad esempio, e la stessa contenuta nella Smart Card rendendone impossibile la manomissione ed eliminando il rischio che le informazioni personali vengano intercettate da possibili 'pirati', poiché esse non lasciano mai il supporto né attraversano alcun canale di comunicazione. Al momento della consegna della carta, l'impronta digitale del titolare viene codificata e memorizzata (Enrollment) per essere poi verificata attraverso un lettore di impronte, simile a quelli presenti all'ingresso di alcune banche. Tra le numerose realizzazione si ricordano passaporti e carte di identità elettronici, Carta nazionale dei servizi, carte sanitarie elettroniche (health cards), carte pensione (social security cards), schede elettorali elettroniche, carte di firma digitale a valore legale, ecc.”

A leggere sembra essere stato inventato qua a Pisa: non è vero, ma ci abbiamo lavorato molto, e certamente tra i primi :-) Il “recentemente” andrebbe sostituito con “un pò di tempo fa....”.

Fa piacere, tuttavia, che questo tipo di attività abbia una qualche rilevanza, specie adesso che queste tecnologie iniziano ad avere la maturità necessaria per essere utilizzate nelle aziende. Ovviamente, tenuto conto dei soliti falsi miti della biometria...

Configurazione sicura per Leopard

2008-06-03T23:25:00.000+02:00

Apple ha pubblicato una guida per la configurazione sicura di Leopard.
100 e passa pagine che spiegano passo passo le operazioni da fare per disabilitare servizi più o meno utili e per abilitare funzionalità di sicurezza native del sistema.
Quella che manca, a mio avviso, è una suddivisione degli interventi per rilevanza, che so, le cose che DEVONO essere fatte, e quelle che E’ CONSIGLIABILE fare. In realtà, il documento non consiglia niente, nè illustra l’impatto dei diversi interventi (direi che qualche nota sui rischi di certe impostazioni, o informazioni in merito a come rimettere a posto le cose in caso di problemi non sarebbero male...), ma è altrettanto vero che non è certamente un documento destinato agli utenti finali (tantomeno per gli addetti IT con poco tempo a disposizione...).
Viceversa, può essere una buona base di partenza per definire delle linee guida di hardening per Mac OS X 10.5 (aggiungo: 10.5.1 o superiori - alcune impostazioni non funzionerebbero correttamente sulla prima release di Leopard), ed è il miglior documento che ho letto di casa Apple sulle features di sicurezza del proprio OS (consiglio la lettura dei primi capitoli!): certamente hanno centrato l’obiettivo di creare un sistema del quale uno non deve preoccuparsi di niente per lavorare, tuttavia volendosene proprio occupare talvolta si rischia di non riuscire a ricavare una informazione neanche a pagarla!
CMQ: alla buon ora. E la guida è gratis. Scaricabile qui.

Problemi con i numeri casuali

2008-05-26T11:42:00.000+02:00

Avevo parlato qui della necessità di avere a disposizione generatori di numeri pseudocasuali affidabili.
Se, nel caso citato, il problema era legato all’algoritmo stesso, non dobbiamo mai dimenticare che anche utilizzando standard affidabili dal punto di vista della sicurezza, esiste sempre la possibilità che le implementazioni riducano drasticamente i benefici che la definizione teorica sembra garantire. Basta un piccolo bug, come quello notificato qui.

Modalità protetta

2008-05-19T12:07:00.000+02:00

Sto preparando un corso. Nel documentarmi su alcuni aspetti ho incontrato il termine “modalità protetta” riferita al browser Internet Explorer. Il termine “modalità protetta” evoca in me simpatici ricordi di tempi passati a giocare con l’autexec.bat ed il config.sys con svariate versioni di MS_DOS, DR-DOS e Windows 3.x., pertanto non ho resistito dall’approfondire.

Inizio da qui:

Il browser Web incorporato di Windows Vista, Microsoft Internet Explorer (IE), include numerosi miglioramenti di protezione che proteggono gli utenti da attacchi di phishing e spoofing. Le nuove funzionalità comprendono Internet Explorer in modalità protetta, che impedisce a siti Web dannosi o a software malware di eliminare o modificare dati utente e impostazioni di configurazione.

Poi, da qui:

In Windows Vista, Internet Explorer 7 viene eseguito in modalità protetta per impedire gli attacchi mediante l'esecuzione del processo di Internet Explorer con diritti estremamente limitati. In modalità protetta, Internet Explorer 7 viene eseguito con diritti limitati per impedire la modifica dei file o delle impostazioni dell'utente o di sistema senza l'esplicita autorizzazione dell'utente. Questa funzionalità esclusiva di Windows Vista consente di assegnare agli utenti di Internet Explorer 7 solo i diritti necessari all'esplorazione sul Web e non quelli per la modifica dei file o delle impostazioni. In questo modo, i computer sono protetti dagli attacchi basati sul Web.

Non sono novità, forse, ai più. Ma non frequento la piattaforma Vista, se non per brevi e sporadiche configurazioni per amici, pertanto mi ero perso questa novità.

Richiamo quindi un interessante discussione sul sesso degli angeli (quale sistema operativo è più sicuro...) nel quale mi sono trovato a condividere, tra le altre, la considerazione di Feliciano Intini:

Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Microsoft fa solo software e abilita l'ecosistema di partner nel realizzare hardware (e quindi driver: è di Microsoft la responsabilità dei driver???) e software. Apple fa il software ma controlla parte dell'hardware su cui fa eseguire il suo OS. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no.

Quanto detto sopra, che mi trova in accordo, come per il resto la maggior parte del post, non quadra con le affermazioni Microsoft che ho citato all’inizio: come si fa a dichiarare come “nuove funzionalità” e “funzionalità esclusive” il fatto che un browser “impedisca” di modificare impostazioni, file e quant’altro?

Piuttosto, la mia meraviglia deriva dal fatto che si debba impedire qualcosa che non credo abbia niente a che fare con le funzionalità di un browser...

In questo caso non si parla di sesso degli angeli: non si tratta di dover risolvere problemi derivanti dalla realizzazione di un software di massa, di processi di sviluppo, del tipo di supporto e quant’altro. Ci si misura su aspetti di progettazione sicura, anzi: di buona progettazione. Peccato che (da qui):

La modalità protetta di Internet Explorer 7 è una delle numerose e innovative funzionalità di protezione incluse in Windows Vista. Disponibile solo per gli utenti di Internet Explorer 7 in Windows Vista Enterprise, la modalità protetta offre nuovi livelli di sicurezza e protezione dei dati per gli utenti di Microsoft Windows.

So che è un pò antipatico dirlo, ma questo non fa una piega rispetto a quanto i consulenti di sicurezza dicono da anni: la sicurezza ha un costo....