martedì 30 ottobre 2007

McAfee compra il bollino "Hacker Safe"

McAfee compra ScanAlert. In pratica da adesso, quando ci sarà il loghino Hacker Safe sui siti é McAfee a dare la garanzia. Okay, espansione dal mercato dell'AV, questo mi e' chiaro. Tutto il resto per quel che riguarda la strategia di McAfee non troppo.
Strategie a me chiare o meno, mi viene in mente questa vignetta. McAfee o no, val la pena controllare la genuinità dei loghi. Vedere il simbolo su una pagina web non é sufficiente.
Ah, vale lo stesso per le email firmate con PGP!

Etichette:

posted by misi @ 17.55 0 comments

venerdì 26 ottobre 2007

"Siamo tutti uomini"

Io dico sempre che il bello dell'ambiente nel quale lavoro é che alla fin fine ci si conosce tutti, e che il brutto é che siamo tutti prevalentemente uomini. Beh, adesso non posso lamentarmi più.
Grande concorso: Miss Security 2007 !
Fra l'altro, la collega di Feliciano gode della mia massima stima professionale.

posted by misi @ 17.54 0 comments

giovedì 25 ottobre 2007

RSA Conference, keynote finale.

La keynote finale era quella piu attesa: Chiudeva la tre giorni di RSA Conference Frank Abagnale. Quando lo menziono pochi sanno chi é.
Segue la seguente spiegazione:
"Hai visto Prova a Prendermi con Leonardo Di Caprio e Tom Hanks ?"
"Certo"
"Ecco, Frank Abagnale é quello che nel film e' impersonato da Di Caprio, solo che lui e' quello che quelle cose le ha fatte davvero ed ora lavora per l'FBI a smascherare truffe e frodi".
Ha anche scritto un interessantissimo libro "The Art of the Steal".
E' partito cosí: spezzoni di film, grande attesa e poi arriva sul palco. Distinto, sulla sessantina e dice che quello e' un film, un bel film, che ha visto e che gli e' piaciuto. Che però e' il punto di vista di Spielberg, che di un libro ha fatto un film. Ed il libro e' il punto di vista di un'altro che ha scritto il libro. E che lui non ha ne scritto il libro ne fatto il film. E inizia, quello che vi racconto adesso e' il mio punto di vista. E giù con aneddoti e anche una buona dose di humour. In pratica la sua vita é davvero quello che racconta il film, solo un po meno romanzata, e fa una conclusione sul cosa lo ha portato a fare tutto quello che ad oggi reputa immorale e sbagliato oltre che illegale, dicendo che é stata la sua situazione familiare con genitori divorziati e che non é affatto fiero di quello che ha fatto. E che quello che ha oggi, con una famiglia, dei figli ed una vita stabile é molto meglio di tutte le avventure che ha passato. E' stato interessante ed anche toccante, bravo.

Etichette:

posted by misi @ 15.07 0 comments

Appunti da RSA Conference, sessioni sparse

Ho visto Una sessione intitolata "Practical Guide on Locking VoIP" fatta da Voipshield systems si e' parlato tanto di V(voice)IPS, VNAC, AntiSPIT, e qualcos'altro, mi sono sentito in dovere di chiedere se erano tecnologie consolidate ed esistenti o se era un aggancio per i vendor nell'attesa che qualcuno si muovesse in questa direzione. La risposta e' stata "Sono tecnologie, noi voipshield le facciamo". E...ah, okay, sto vedendo una presentazione di prodotto, pazienza non me n'ero accorto.

E' stata interessante la presentazione su NAC fatta da Trusted Computing Group e Juniper. Ovviamente hanno stressato sull'importanza degli standard anche in ambito NAC per il beneficio di interoperabilità. Il livello di integrazione fra i diversi vendor partecipanti alla alleanza e' molto variabile, alla fine quello che ho visto e' stata l'interazione fra antivirus e NAC e la capacità di assegnare il PC a diverse aree di rete in base a presenza o assenza di chiavi di registro, a garanzia della flessibilità della cosa. Non ho capito la differenza con altre soluzioni, ad esempio quella Cisco che fa le stesse cose ed ha lo stesso livello di interazione con AV ed altro.

Una sessione interessante é stata quella di KPMG che presentava "the revenge of the rodent", in pratica, come un mouse puo essere "taroccato" con antenna BT, Hub USB e flash USB in modo tale che quando si attacca il mouse al mattino (si parte dal presupposto condivisibile che la maggior parte di noi lascia il mouse in ufficio la notte) in realtà si attacca non solo il mouse ma anche un disco esterno (con capacita' di autoeseguirsi grazie alla possibilità di iniettare keystrokes nel buffer di tastiera) ed un'antenna BT. Vero, serve l'accesso fisico al mouse di notte, ma e' stato fatto notare che pesando solo pochi grammi in più e' facile sostituire un mouse con un'altro e nessuno se ne accorgerebbe. Probabilmente sarei fra questi.

Un'altra sessione che mi e' piaciuta molto e' stata quella di Eric Vyncke di Cisco Systems, non perché é un amico ed un collega, quanto perché in ambito VoIP e Security ha inquadrato molto bene pochi argomenti. La rete, il livello due e quanto può fare per la sicurezza della voce, Funzionalità da richiedere ai firewall per un corretto posizionamento in ambito VoIP. Ha spiegato molto bene i pro e contro della cifratura a livello applicativo con SRTP e TLS, mettendo giustamente l'accento sul fatto che se cifriamo guadagniamo in sicurezza ma creiamo un problema ai firewall. Vie d'uscita ? Un firewall con un proxy TLS, ad esempio. Interessanti le menzioni dell'autenticazione con certificati per telefoni e server di telefonia e mi piace l'approccio anziche di Certificate Revocation List (approccio blacklist) di Certificate Trust List (whitelist) sui telefoni, molto piu gestibile ed adeguato a dei dispositivi con poca memoria come i telefoni.

Etichette:

posted by misi @ 14.45 0 comments

Appunti da RSA Conference, Microsoft e Oracle

C'era anche Ben Fathi di Microsoft, che ha fatto il suo bello spiegone. Sinceramente non l'ho seguito tantissimo, mi sono portato indietro due cose:
  • C'é il Microsoft Security Report, che mi ripropongo di sfogliare.
  • Microsoft fa parte della SAFE Code alliance, iniziativa assieme a EMC2, Juniper, Symantech, SAP. Io (mea culpa) non ho ben capito cosa me ne viene esattamente in tasca, quindi quoto Feliciano Intini dal suo blog: "La missione di questo forum è aumentare la comprensione (sia internamente all'industria IT, che esternamente) delle best practices relative al progetto, realizzazione e distribuzione di applicazioni, servizi ed hardware che abbiano il software come comune denominatore."

E le keynote di apertura finiscono qui. Oracle ha mandato un pezzo grosso, ma con tutto l'impegno dalla sua presentazione non mi porto indietro nulla, credo d essermi appisolato un momento, ma il tono di voce era troppo monotono.

Etichette:

posted by misi @ 14.32 0 comments

Appunti da RSA Conference : Schneier

Bruce Schneier ha fatto un interessante discorso sulla convergenza, non certo quella stessa di cui parla cisco. Convergenza fra la componente emozionale e la componente realistica della sicurezza. Vale a dire sul fatto che possiamo trovarci in una situazione nella quale ci sentiamo sicuri ma di fatto non lo siamo e nella situazione opposta nella quale non ci sentiamo sicuri pur essendolo. Interessante anche la mappatura che ne ha fatto quando si arriva al punto di fare investimenti: magari sbagliati ma che ci danno un - falso - senso di sicurezza. Uno per tutti: Ho il firewall, sono in una botte di ferro. Ha considerato il fatto che molto spesso le notizie che si leggono sui giornali sono episodi che fanno notizia e che proprio per questo sono statisticamente poco diffusi, ciononostante attaccano la nostra componente emozionale, quindi ci sentiamo meno sicuri. Ho stressato sul fatto che dovremmo essere tutti più consapevoli dei fatti e basarci su questo per stabilire il livello di criticità di qualcosa, ma - per fortuna - ha anche riconosciuto che siamo tutti umani e suscettibili ai feeling (e qui mi viene in mente una vecchia canzone "feelings, nothing more than feelings.."). E da li all convergenza di feeling e realtà che dovrebbe portarci sulla buona strada verso la sicurezza. Parlando di tecnologie non e' mancato l'esempio sul Lemon Market riferito ai vendor ed ai loro prodotti. Per inciso sono convinto che Ross Anderson abbia approfondito molto meglio l'argomento Lemon Market and Security nella sua pagina personale dove parla di Security And Economics. Chiuso inciso.
Siccome ho anche visto che c'era uno speech sull'applicazione del OODA Loop, e che la teoria del Lemon Market e' del 1970 (ecco il paper originale) forse e' una moda quella di riportare alla luce vecchie teorie. Peggio sarebbe se questa moda ci fosse perche non ci sono grosse novitá, indipendentemente dallo speech di Schneier, che tutto sommato non mi e' spiaciuto anche se era molto generico.

Etichette:

posted by misi @ 14.25 0 comments

VoIP e Sicurezza @ E-Academy 2007, le slides.

Per chi me l'ha chiesto e per chi ha letto la promessa di pubblicazione, ecco le slides che abbiamo usato come spunto a SMAU per parlare di VoIP e Sicurezza.

Etichette:

posted by misi @ 12.37 0 comments

lunedì 22 ottobre 2007

Faccio un salto..

..a RSA Conference. L'anno scorso non mi ha particolarmente colpito per i contenuti, ma sono comunque rientrato con alcuni buoni spunti. L'evento é già iniziato oggi con i Pre-Conference Tutorials, ma non ce n'era nessuno che mi interessava particolarmente. Senza nulla togliere ne a Schneier che farà la solita keynote di apertura ed a tutto quello che ci sará di contenuti della manifestazione sono davvero curioso di sentire Frank Abagnale. Se non sapete chi é.. Avete visto il film "Prova a prendermi", con Leonardo Di Caprio e Tom Hanks ? Ecco, Frank Abagnale é il personaggio (vero) interpretato da Di Caprio. Ho letto un suo interessantissimo libro (The Art of the Steal) tutto d'un fiato (e non succede con tutti i libri) qualche anno fa. Oltretutto Catch me if you can é anche il titolo del suo speech.

Vorrei mantenere un buon bilanciamento fra diverse cose che m'interessano, da una rapida occhiata all'agenda ce ne sono diverse.

Andrò a sentir parlare di Web2.0 e Sicurezza, giusto perché e' un argomento attuale, lo stesso dicasi per Mobile Phone Security. Voglio dire a parte il coinvolgimento personale di girare con due smartphone in tasca, l'argomento é sicuramente importante. Sicuramente andrò a sentire l'amico Gerhard che non vedo da tempo non si aspetta di vedermi. Il titolo di Bruce suona bene : Reconceptualizing Security. Speriamo il contenuto sia altrettanto intrigante (a fare i titoli belli siamo bravi tutti) e che lui sia più in forma dell'anno scorso, quando mi ha un po deluso.
Non mancherò alle tracce professionali, dove si parla delle certificazioni di Computer Security, e già non mi piace il titolo, una certificazione é di IT Security a mio avviso. Ma se non saltasse fuori la considerazione da sola, la butterò io come spunto e vediamo cosa ne viene fuori. Una sessione sul PCI DSS non me la toglie nessuno, anche se so già il perché ed il percome, ma una opinione nuova e diversa l'ascolto volentieri. Sono ancora indeciso su VoIP e Security. Una delle poche sessioni la farà Bodgan Materna che non mi ha entusiasmato in passato. Ma poi mi conosco, so che non resisterò ed andrò a sentirlo ugualmente, dato che parla del mio argomento preferito. A proposito, chissà che non ritorni con un nuovo argomento preferito!!

Etichette:

posted by misi @ 9.25

Come si configura un ASA con CSC per trattare il traffico

Mi segnalano la pubblicazione di questo nuovo documento: ASA: Send Network Traffic from the ASA to the CSC-SSM Configuration Example.
Parla di come configurare ASA e CSC in modo tale che il traffico sia processato da CSC. In buona sostanza si ridirige il traffico verso il CSC con l'uso di Modular Policy Framework (MPF).
Il CSC é quel modulo che, integrabile in ASA, offre protezione contro virus, spyware, spam, e svariate altre cose. Fa anche URL Filtering. Personalmente se prendessi un ASA, lo vorrei.

Etichette:

posted by misi @ 9.11

domenica 21 ottobre 2007

"parliamone" !

Le due sessioni a SMAU di ieri sono andate molto bene. Nella prima, forse per la sala un po piu piccola eravamo addirittura un po schiacciati, nella seconda si stava piu comodi. La formula era molto semplice: prendiamo alcuni spunti sulla sicurezza della Voce su IP e "parliamone". Io ed Alessio eravamo sicuramente pronti a parlarne fra di noi, e mi ha fatto molto piacere l'interazione da parte dei partecipanti. E' un segno che la formula Spunti: Parliamone e' buona. C'e' anche un altro vantaggio, il tempo di preparazione delle slides (davvero poche) é stato minimo ! :-)
Appena Alessio mi manda le slides definitive che abbiamo usato (e fatto 10 minuti prima di entrare) le pubblico!

Etichette: ,

posted by misi @ 9.35

venerdì 12 ottobre 2007

VoIP e Sicurezza

Un altro argomento che mi ha molto appassionato, e che continua a farlo, anzi forse e' l'argomento che più a lungo mi sta appassionando é coniugare le tecnologie di VoIP con le relative considerazioni di sicurezza. La domanda quando si parla di VoIP, di IP Communications, di Unified Communications é quasi d'obbligo: "Ma questa roba é sicura ?". Ecco dal tentativo di dare una risposta a questa domanda (la risposta brevissima é "Si", la risposta breve é "Si, se configurata correttamente una infrastruttura di IP Communications é tanto sicura quanto una infrastruttura di Telefonia tradizionale se non di più") nasce una serie di spunti e considerazioni praticamente inesauribile, che non posso certo esaurire in un singolo post. Quello che posso fare e' raccogliere quanto ho buttato giù sull'argomento, quindi:

- VoIP: una interessante novità con molte problematiche di sicurezza, scritto assieme ad Andrea Pasquinucci alla fine del 2003. Oltre che uno dei primi paper indipendenti in italiano sull'argomento, é anche probabilmente il pezzo più famoso, perché io stesso l'ho molto referenziato in molteplici occasioni. E' stato pubblicato su ICT Security alla fine del 2003. Mantiene una certa attualità anche se io lo referenzio come un pezzo storico.

- IP telephony e Sicurezza: La soluzione esiste, scritto a nome Cisco assieme a Roberto Mircoli nello stesso periodo e pubblicato su ICT Security (scansione), nello stesso numero del pezzo sopra. Già dai titoli si capisce che il mio stato d'animo in quel momento si divideva fra preoccupazione e possibilismo. Fortunatamente nel corso degl'anni ho avuto modo di consolidare più il secondo stato d'animo del primo. Questo lo considero un pezzo storico ma datato; la buona notizia e' che se già presentava un approccio possibilistico, le cose sono *molto* migliorate dall'epoca!

- Sicurezza delle soluzioni VoIP enterprise, scritto a titolo indipendente assieme ad Antonio Mauro e pubblicato su Hackin9 nel febbraio 2007. Mi piace molto e che ancora in questo momento e' attuale. Io ho curato la prima parte, Antonio la seconda. Lo reputo un pezzo ben riuscito, anche se lo sto usando come base per qualcosa di ancora più articolato.

Ci sono state altre attività nel mezzo durante e dopo. Una di queste e' stato un seminario per clienti sulla Sicurezza delle soluzioni Voce. Una iniziativa Cisco che ha avuto un grande successo (posso dirlo?) di pubblico e critica. E' stato girato un video durante l'evento, chi é curioso di vederlo (e vedermi, ci sono due o tre interventi miei), lo trova qui.

Ho altre cose in cantiere: Parlerò dell'argomento a SMAU2007 Sabato prossimo, vorrei portare un po di considerazioni che ho sul quaderno da tempo parlandone trasparentemente e (sopratutto) senza slides. L'amico Alessio 'mayhem' Pennasilico mi darà una mano ed io la darò a lui in un altro intervento. E' sempre un gran piacere lavorare assieme a lui. Per chi e' curioso o vuol fare quattro chiacchiere i seminari sono questi:
- VoIP e Sicurezza: Parliamone, Sabato 20 alle 15
- Hardening VoIP - piccoli accorgimenti per una rete più sicura, Sabato 20 alle 16

C'e' un'altra cosa che bolle in pentola e dovrebbe diventare una pubblicazione di riferimento per molto tempo ed essere corposa: Clusit ha chiesto chiesto a me e ad Alessio la realizzazione di un "quaderno" clusit sull'argomento. Va da se che abbiamo accettato con entusiasmo!

[25/10/2007 update]

  • A SMAU2005 ho presentato queste slides sull'argomento. emozionante, e' stata anche la prima 'uscita' pubblica di AIPSI!
  • A SMAU 2007, con Alessio Pennasilico, abbiamo parlato di VoIP e Security. Ecco le slides.
  • Questo articolo é scritto anche a nome mio. Saró onesto, non ci ho scritto nulla direttamente, il mio nome c'é perche gli autori, Alessio ed Elisa mi atttribuiscono parte dei contenuti. Li ringrazio. Il pezzo é del 2006.

[8/11/2007 update]

  • A fine 2004 ho tenuto un workshop su VoIP Security per conto di CLUSIT Education. Fino ad ora il materiale del corso era disponibile solo ai soci clusit, ma da oggi é in download libero per tutti. Corso CLUSIT VoIP Security, tenuto da M.Misitano e S.Bodini

Etichette: ,

posted by misi @ 10.53

mercoledì 10 ottobre 2007

Layer 2 Security

Un argomento che mi ha appassionato moltissimo qualche anno fa é stato la sicurezza del layer 2 del modello OSI. Me ne sono occupato per qualche tempo, e sono lieto di averlo fatto perché la trovo un'area di estrema importanza ed interesse. Del resto per chi si occupa di reti ed anche di applicazioni il concetto e' molto semplice. Se comprometto il livello 2 subisco un effetto domino fino ai livelli più alti, dunque: cosa c'e' da sapere per evitarlo ?
Ho scritto un breve articolo sull'argomento, che si può leggere a partire da QUESTO LINK. L'articolo é di qualche tempo fa, più o meno 2004, ma ritengo sia relativamente attuale. E' stato pubblicato anche questo su ICT Security, ma di questo non ho la scansione !
Ma ho fatto anche dell'altro sull'argomento, ad esempio CLUSIT mi aveva chiesto assieme all'amico Marco "NaGA" Valleri (uno dei due autori di ettercap) di tenere un workshop di mezza giornata sull'argomento applicato alla sicurezza di LAN e VLAN. Il workshop é stato un buon successo ed il materiale presentato si può scaricare (per i soci clusit!) dalla sezione download sito del CLUSIT, a QUESTO link diretto.

[update 8/11/2007] Il Materiale del corso clusit é disponibile a tutti adesso!

Etichette:

posted by misi @ 15.39

martedì 9 ottobre 2007

Sulle certificazioni professionali in Sicurezza Informatica

Da collezionista di acronimi (ne ho svariati, di tre, quattro ed anche cinque lettere!) quale mi sono scoperto - ovviamente mi riferisco agli acronimi che rappresentano certificazioni professionali relative a sicurezza informatica - ho scritto qualcosa sull'argomento. il titolo é : "certificare il security manager" ed e' stato pubblicato su ICT Security a Novembre del 2003 (scansione dell'articolo). Parlo delle più popolari certificazioni individuali in sicurezza informatica e l'articolo conserva una certa attualità anche oggi. Voglio dire, certe certificazioni non sono cambiate più di tanto.

Etichette:

posted by misi @ 20.13

Pubblicazioni

Negli anni passati ho scritto diversi papers. Alcuni migliori di altri, alcuni a titolo personale, alcuni a titolo Cisco. Diversi sono stati pubblicati da giornali, alcuni sono tuttora attuali, altri hanno solo un valore storico. Per tutti un unico denominatore: pur essendo sul sito non erano referenziati, per cui o io davo il link diretto, o questo lo si trovava in qualche slide autoreferenziale dove mi autocitavo, o altrimenti nulla. Ho pensato di mettere i link qui, in modo che siano ricercabili e presentati con un minimo di abstract. Vorrei anche mantenere la buona abitudine per eventuali pubblicazioni future, quindi inseriró una nuova tag: paper!

Etichette:

posted by misi @ 20.09

venerdì 5 ottobre 2007

DISCLAIMER

Mi sono posto il problema: questo blog lo faccio un po per lavoro e un po (un po di più) perché lo voglio fare, personalmente. Quindi ?
Chi legge qui, legge roba Cisco o legge la mia opinione, ed in questo caso, quanto questa opinione e' data in veste ufficiale Cisco ? Chi mi conosce sa che sono in grado di fare il "cappellaio matto", in un momento parlare a titolo personale, in un altro a nome Cisco, in un altro ancora a nome di AIPSI o altre associazioni. Nessuno si e' mai lamentato, anzi in molti hanno apprezzato la mia capacitá di stare al di sopra di eventuali conflitti d'interessi, prova ne sia il fatto che *tuttora* vengo invitato a parlare nelle diverse vesti.
Quindi, chi legge qui, cosa legge ?
Per quel che riguarda Cisco:
"Le opinioni espresse in questo blog sono personali, e non necessariamente riflettono quelle del mio datore di lavoro."
In altre parole: Sono un dipendente di Cisco Italia, non é un segreto. E' noto anche che in molte occasioni come seminari, workshop, interviste, articoli, io parli a nome di Cisco. Qui é diverso. E' vero, questo é " il blog del Security Specialist di Cisco Italia", ma prima di questo é il blog di Marco Misitano, l'individuo.
Cisco Italia, pur supportando con entusiasmo la mia idea di pubblicare un blog personale in ambito sicurezza informatica non fa - qui, in questo blog - un endorsement delle mie personali opinioni, che, quindi, restano tali.
I contenuti sono informazioni che ritengo d'interesse generale e commenti a fatti o informazioni che ho trovato rilevanti, interessanti, eventualmente divertenti, spero utili, offerte a titolo personale.
Per quel che riguarda AIPSI/ISSA Italy, vale più o meno la stessa cosa. Su tutto, farei prevalere una abbondante dose di buon senso.

posted by misi @ 18.19