SP1 per Cisco Security Manager
E' stato rilasciato il
Service Pack 1 per
Cisco Security Manager, il framework di gestione per molteplici tecnologie di sicurezza Cisco. Le
novitá nella versione 3.1.1 sono:
- Piú estese possibilitá di accesso ai device manager dei singoli dispositivi (utile per modifiche chirurgiche sul singolo device). Questo anche in caso che il device manager sia in ascolto su una porta diversa dalla standard 443
- Supporto per il nuovo sensore IPS 4270
- Supporto per CSM su Windows2003 SP2
- Un nuovo tool per l'esportazione di informazioni su un device in formato CSV
- .. e svariate piccole altre cose.
Anche Auto Update Server (AUS) che e' in bundle con CSM, viene aggiornato alle versione 3.1.1
Etichette: cisco
Sans Top20, 2007
Sans rilascia l'annuale aggiornamento della sua
Top20 Security Risks 2007Client-side Vulnerabilities in: C1. Web Browsers
C2. Office Software
C3. Email Clients
C4. Media Players
Server-side Vulnerabilities in: S1. Web Applications
S2. Windows Services
S3. Unix and Mac OS Services
S4. Backup Software
S5. Anti-virus Software
S6. Management Servers
S7. Database Software Security
Policy and Personnel: H1. Excessive User Rights and Unauthorized Devices
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media
Application Abuse: A1. Instant Messaging
A2. Peer-to-Peer Programs
Network Devices:N1. VoIP Servers and Phones
Zero Day Attacks:Z1. Zero Day Attacks
PostPisa
Rientrato da
Pisa, giornata positiva. Bel tempo, molta gente molta interazione. Molto soddisfatto della tavola rotonda, che é stata frizzante (anche se poteva esserci
più partecipazione). Speriamo di aver fatto il nostro dovere ed avere offerto un orientamento. Sono soddisfatto anche della mia sessione di apertura.
Qui ci sono le
slides,
qui é
linkato il filmino della pizza e privacy.
Etichette: speech
Mappe caratteri anyone ?
Che non sono un bravo webmaster non é un segreto, lo ammetto pubblicamente. Non capisco quale character set conviene usare perche il blog si legga meglio sulla maggioranza dei browser e sistemi operativi. Avevo messo Unicode/UTF-8, ma mi segnalano (grazie) che non ho risolto granche. Adesso ho messo western european (Windows-1252). Se c'e' un luminare dei character set che mi legge e vuole guadagnarsi la mia gratitudine la domanda é: che charset devo usare quando faccio il publish (uso blogger) ? e, che mi conviene usare sul mio browser (uso IE6) ? L'email é la solita, il mio nome at il mio cognome punto com. Thanks......
Ipse Dixit
Alleged Cisco hacker convicted in Sweden, bewails fate.
(Il sospettato hacker di Cisco, condannato in Svezia, si rammarica della sua sorte.)
"They have destroyed my life before I'm even a grown-up",
(Mi hanno rovinato la vita prima ancora che io sia cresciuto)ha dichiarato il 19enne di Uppsala (Svezia), dichiarato colpevole di svariati accessi non autorizzati ad universitá svedesi.
Etichette: ipsedixit
Tutti a Pisa Martedí
Martedì sarò a Pisa al convegno
Net&Systems Security 2007. Ho la
responsabilità dello
speech di apertura, dove
parlerò dello scenario attuale della sicurezza. ho letto alcuni
report e mi sono fatto alcune opinioni. Subito dopo
azzarderò anche qualche previsione sul futuro, come conseguenza di roba che succede
già oggi. Non
parlerò di tecnologia e nemmeno di
Cisco. Ho preparato buona parte della presentazione la scorsa settimana nei ritagli di tempo in viaggio (Matteo abbi ancora un po di pazienza..) e non credo di aver mai fatto una presentazione di questo tipo. Mi farete sapere
martedì se era interessante. Alle 14.10 ci
sarà una tavola rotonda sul
sempre dibattuto argomento delle figure professionali in sicurezza informatica:
Formazione Universitaria e Certificazioni Professionali a confronto. Il moderatore
sarà Claudio Telmon di
CLUSIT, i
panelist saremo io (a nome
Cisco ed
AIPSI), Massimo
Agrelli di Microsoft (a nome
AIPSI oltre che Microsoft), il Prof. Fabrizio
Baiardi ed il Prof. Giuseppe Cinque, dell'
Università di Pisa. Abbiamo
già un'idea degli spunti da proporre, ma gli organizzatori hanno avuto un'idea geniale: dato che le tavole rotonde sono belle se sono interattive,
fateci le domande in anticipo! Concludo poi alle 15.40 con
Tecnologie avanzate per la Sicurezza di rete, dove vorrei fare un po di luce su alcune
funzionalità poco conosciute delle tecnologie
Cisco. Se mi va via la voce sono rovinato, sono tre interventi in un giorno (ho fatto di meglio: 4 in un giorno l'
8 aprile 2003) .
Sono curioso di sentire anche altri interventi come quello di
Stefano Suin e di
Matteo Falsetti al mattino e molti di quelli pomeridiani (se riesco).
L'agenda é
qui, ci si registra (
gratis)
da qui. Se qualcuno vuole fare il VIP ed avere un posto riservato nelle prime file,
può chiedermi un codice da utilizzare per registrarsi.
Io e Massimo
Agrelli saremo in zona
già la sera prima. Entrambi abbiamo l'abitudine di cenare, se qualcuno si vuole unire, faccia un fischio, specie se é un locale e
può darci delle dritte.
Etichette: aipsi, cisco, speech
WiFi: Buone notizie
Times: Hidden crime of ‘wi-fi tapping’: only 11 arrests but most of us are guilty"54 per cent of computer users have secretly used someone else’s wireless broadband connection without paying for it." (trad: il 54% del campione ha navigato a scrocco)
Pensavo peggio (io l'ho fatto).
Configurare AnyConnect VPN Client
In casa cisco, c'é (da un pezzo) un nuovo client VPN che affianca
quello IPsec tradizionale. E'
AnyConnect SSL VPN Client (appena uscita la release 2.1) , che per l'appunto e' un client che usa
SSL anziche
IPsec. Fra l'altro é l'unico che per il momento funziona su
Vista 64bit. Siccome é nuovo, spero di fare cosa gradita segnalando questo nuovo documento su cisco.com documento:
ASA 8.x VPN Access with the AnyConnect SSL VPN Client, Configuration Example. Per il momento io continuo imperterrito ad usare il client IPsec, ma mi rendo con to che i client SSL stanno guadagnando molto di popolaritá, immagino perche sono piu
firewall friendly fra le altre cose.
Etichette: cisco
La bibbia del Telependolare
Per quasi cinque anni ho fatto parte degli
alpha (non era nemmeno una beta) tester di una soluzione per il Telelavoro. Non che sia rimasta in
alpha-stage per tutto quel tempo, anzi si e' evoluta a beta e poi e' stata mandata in produzione. Un ristretto numero di utenti del quale ho avuto la fortuna di far parte, ha continuato a far parte dello stadio
alpha a cui venivano aggiunte nuove funzionalità basate anche su immagini beta (o peggio) del software dei dispositivi usati. In pratica "prova le cose più belle e più nuove, ma sappi che probabilmente non funzionerà e devi darci una mano a capire perché e cosa non funziona". Questa soluzione per il telelavoro era basata su un router (prima un 806, poi un 831, poi un 1751) che stabiliva una
VPN IPsec permanente con un
concentratore (un 7200, mi sembra) dall'altra parte del mondo (a San
José, California). Dentro il tunnel
VPN passavano i miei dati ed anche la voce, visto che avevo potuto mettere un telefono IP a casa. La cosa bella era quindi che il mio interno dell'ufficio suonava (volendo) anche a casa, e la connessione permanente mi garantiva il collegamento come fossi in ufficio. All'inizio avevo una
DSL a 640k. Le telefonate non andavano benissimo, ma dopo aver messo una funzionalità di
QoS per il traffico voce all'interno del tunnel
IPsec le cose sono andate meglio. Poi ho messo un 831, che aveva l'accelerazione hardware ed e' andata ancora meglio. Nel frattempo avevamo implementato anche una funzionalità di
Dynamic Multipoint VPN (
DMVPN), in modo che se avessi dovuto telefonare ad un collega nella stessa situazione si stabilisse automaticamente un tunnel
IPsec fra casa mia e casa sua, e dentro ci andasse il traffico voce (e anche i dati, perché no). Poi ho cambiato casa e mi sono ritrovato una bella connessione in fibra (
che ride) fino su in casa. Due problemi: il
NAT dietro il quale ero (
fastweb NATta) e la velocità della fibra (10mega, anche se non li ho mai misurati), l'831 non poteva farcela più. Con due bottiglie di vino (
Amarone Masi) sono andato a San
José a convincere i colleghi che gestivano il tutto a farmi provare un router più potente e rifare tutto il
setup incapsulando opportunamente (e qualche altro accorgimento) l'
IPsec per passare attraverso il
NAT. L'approccio
amarone -
it litterally means big bitter, spiegavo ai colleghi
cingalesi (ed eccellenti ingegneri) ad un ristorante
indiano in
California (
how cosmopolitan) - ha funzionato ed abbiamo deciso di far le prove con un 1751 con acceleratore hardware e provare alcune modifiche sulla configurazione. In capo a qualche settimana il tutto funzionava. Poi é nata mia figlia ed il mio studio é diventato la sua cameretta ed io ho smantellato tutto. Ecco perché il post e' scritto al passato.
Mi é tornata in mente questa storia perché
NIST ha pubblicato
SP 800-114, User's Guide to Securing External Devices for Telework and Remote Access che (non ho ancora letto) come tutte le pubblicazioni del
NIST dovrebbe diventare se non la bibbia, comunque un riferimento significativo a chi vuole implementare una soluzione di telelavoro. La mia esperienza di telelavoro e' molto positiva, sia per la flessibilità' che da a me sia per l'aumento di produttività che da all'azienda per cui lavoro. Molto diversa, anche se certamente meno divertente di
quella di dilbert.
Referenze:
Enteprise Teleworker (su
cisco.com)
Business Ready Teleworker, Technical Overview (
PDF, 10mega)
Business Ready Teleworker, Design Guide (
PDF, 3.4mega)
Etichette: cisco
Furto virtuale, arresto reale
Rubano mobili da una casa, fermati in sei, arrestato unoLa notizia di per se non sarebbe di per se degna di nota, salvo che:
- Il furto é avvenuto nel mondo virtuale (ma sempre di furto si tratta)
- I mobili (virtuali) e (virtualmente) rubati, sono stati comprati con soldi veri
- L'arresto é avvenuto nel mondo reale
Si tratta di una mezza dozzina di teenager, che dubito nel mondo reale si sarebbero messi a rubare mobili. Ma quando c'e' di mezzo internet, la pirateria insegna, non sembra di rubare. E non c'é nemmeno la scusa che é successo per caso, perche per fare questo furto é stato fatto di proposito un furto d'identitá, con tanto di website fasulli che hanno indotto i "proprietari dei mobili" a rivelare le loro password. "é un furto perche i mobili sono stati pagati con soldi veri", quindi arresto reale. Se fosse tutto successo nel mondo reale, la notizia non mi avrebbe colpito. Se fosse stato tutto confinato al mondo digitale, non avrebbe fatto notizia. Il fatto che ci sia di mezzo la tecnologia, me lo fa diventare (oltre che notizia) un problema di sicurezza informatica. Un bell'esempio di convergenza fra mondo reale e virtuale. Il futuro si avvicina.
Combinazione.
Cosí, se uno perde le chiavi non c'e' problema.
Corsi VoIP security e Layer2 Security
Avevo chiesto a
CLUSIT tempo fa se "Posso pubblicare con download libero le
slides che ho presentato ai corsi LAN e
VLAN Security fatto a febbraio/marzo 2005 e
VoIP Security di fine 2004 ?". E' materiale buono, dato che avevo colto l'occasione della richiesta di
clusit di tenere quei due corsi per riorganizzare le idee e metterle (bene) su
slides.
Dovevo chiederlo,
perché il copyright era di
CLUSIT che aveva scelto di dare il materiale solo ai soci, quindi io non potevo dare il materiale liberamente renderlo disponibile.
Mi scrive Giorgio di
CLUSIT con una buona notizia! Se n'é parlato e si e' deciso che il materiale é liberamente scaricabile avendo diversi anni (quasi tre!), quindi eccoli:
Etichette: paper, voip
Chi Sono: un'intervista.
Nei giorni scorso ho avuto il piacere di fare due chiacchiere via email con
Agatino Grillo, su chi sono, come sono arrivato qui e cosa faccio quando non lavoro. Che onore, sono diventate una
intervista! E sono online da oggi sul suo sito. Al di la delle diverse mie biografie su internet che sono strettamente professionali, questa lascia trasparire alcuni aspetti di me che forse non tutti sanno, e che da persona riservata non sempre pubblicizzo.
Ecco il link. Adesso sapete tutto di me!
Bloccare Skype con ASA
Un collega mi ha chiesto un favore di configurare un firewall per lasciar passare tutto tranne skype, msn, yahoo, icq e quant'altro. Doppio panico, anzi triplo.
1. Ne ho sempre parlato e sono certo che "in linea di principio" si puo fare, ma mi capita sempre piu raramente di applicarmi e configurare, provare, fare troubleshooting. Mi capita raramente di "fare", insomma. La prendo come un'opportunitá per mettermi alla prova con me stesso.
2. Non ho "un firewall". Ebbene si, non e' che dato che lavoro in cisco ho l'ufficio pieno di router, switch, firewall, IPS, e quant'altro ed appoggio la tazza di caffe' su un Catalyst 6500 che mi fa anche da stufa. No. Ho solo un
PIX501, ma non fa quelle cose con le quali penso di approcciare il problema. Per fortuna un collega mi ha prestato un
ASA5505 (ah, grazie, eh!)
3. Ho poco tempo per farlo, diciamo un paio d'orette, perche ho una montagna di cose da fare e so gia che Skype non e' un'applicazione preconfigurata in ASA. La prendo con filosofia ed aggiungo all'opportunitá precedente.
Bene, a parte un momento di tribolazione sull'aggiornamento dell'immagine del software (mi serve la
versione 8.0) perche sul modello che ho usato, in rom monitor occorre specificare anche la porta ethernet, oltre a server, address e filename, non me la sono sbrigata proprio in cinque minuti, ad ogni modo ho scoperto:
- AOL e ICQ appena homesso l'inspection sull'http hanno smesso di andare, bene.
- MSN, Yahoo sono facili da bloccare, basta 'dire' al firewall di non lasciarli passare ed e' fatta.
- Skype e' proprio bastardo ! :-)
Per skype bisogna fare una configurazione abbastanza restrittiva. Ovviamente niente https, perche skype ci si infila dentro ed il firewall non riesce ad ispezionare con l'approfondimento che mi serve. Quindi ho lasciato passare solo DNS, http, pop3, smtp, imap4, ma malgrado la protocol compliance inspection skype si collega ugualmente. E scopro presto perche, leggendo questo documento. Perche l'handshaking di login e' fatto in http regolare, cito:
The Appendix shows the message dump of HTTP 1.1 GET
requests that a SC sent to skype.com and the responses it received,
when it was started by the user.
When SC was started for the first time after installation, it sent a
HTTP 1.1 GET request containing the keyword installed to
skype.com. This request was not sent in subsequent Skype runs.
The request is shown below:
GET /ui/0/97/en/installed HTTP/1.1
User-Agent: Skype™ Beta 0.97
Host: ui.skype.com
Cache-Control: no-cache
The 200 OK response SC received for this GET request:
HTTP/1.1 200 OK
Date: Tue, 20 Apr 2004 04:51:39 GMT
Server: Apache/2.0.47 (Debian GNU/Linux) PHP/4.3.5 mod_ssl/2.0.47 OpenSSL/0.9.7b
X-Powered-By: PHP/4.3.5
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Content-Length: 0
Content-Type: text/html; charset=utf-8
Content-Language: en
Allora, se nella richiesta c'e' scritto User-Agent: Skype™ Beta 0.97, Host: ui.skype.com, io ci provo. metto sull'http una regular expression per la parola 'skype' case insensitive, quindi regex skype "[Ss][Kk][Yy][Pp][Ee]"
Bingo, skype *non* fa piú login.
Etichette: cisco
Cisco Security Blog!
Non posso non segnalare il nuovissimo
Cisco Security Blog. In questo momento c'e' su il primo post e la frequenza prevista e' di diveersi post al mese. io ho aggiunto il feed e prometto di riprendere e tradurre quanto di rilevante ci dovesse passare.
Etichette: cisco
Taxi, pizze e privacy.
Quando chiamo il taxi
sanno chi
sono,
che sono io e dove
abito. Chi
sente la telefonata mi
sente solo dire "
Vorrei un taxi". Le
altre informazioni le hanno giá
tutte loro.
Stamattina,
uno dei miei pusher
di roba divertente via email mi ha
girato questo. Mi
sono preoccupato, in
fondo siamo ad
un passo da quella situazione.
Symantec compra Vontu
Symantec to acquire Vontu Vontu's Data Loss Prevention solutions – which help organizations prevent the loss of confidential or proprietary information wherever it is stored or being used – will complement Symantec's existing portfolio of endpoint, network, storage, and compliance solutions. The acquisition will provide an important component of Symantec’s Security 2.0 vision, which shifts the focus of security from simply locking down infrastructure to protecting the information itself. The acquisition is expected to close in the fourth calendar quarter of 2007, after receiving customary regulatory approvals.
Ecco che anche
Symantec si muove in ambito Data
Leakage.
Non posso fare a meno di notare la dicitura "
Symantec’s
Security 2.0", mentre
Cisco é "
Self Defending Network
3.0". Quindi
Cisco é avanti, lo dicono i numeri :-)
Etichette: acquisti
Paga e resta CISSP. Lo spessore si assottiglia ?
Modifications to CPE Requirements, 30 April 2008Dal prossimo 30 Aprile 2008
cambierà la procedura per il mantenimento della certificazione
CISSP (ed anche
SSCP e
CAP). A partire da quella data, per mantenere la credenziale
occorrerà soddisfare
annualmente anziche triennalmente i requisiti di
Continuing Professional Education (
CPE) e di
Annual Maintenance Fees (
AMF).
Currently, to maintain the CISSP certification, a member is required to earn and submit a total of 120 CPEs and pay US$85 by the end of a three-year certification cycle. Under the new rule, a minimum of 20 CPEs must be earned and posted and US$85 paid during each year of the three-year certification cycle before the anniversary date.
Se ho capito bene, mantenere la certificazione mi
costerà 85 dollari l'anno
anziché 85 dollari ogni tre. In
più non devo totalizzare 120 punti in tre anni, ma venti l'anno, per un totale di sessanta punti nel triennio. In pratica, e' molto
più facile mantenere la certificazione. Basta pagare, non importa se si é esposti per la
metà ad
attività di accrescimento della propria conoscenza o diffusione di cultura in ambito di sicurezza informatica. Che a mio avviso é(
ra) un gran bel principio.
Peccato. Era da poco entrata in vigore una modifica (
Modifications to CISSP® Experience Requirements Beginning 1 October 2007) che mi piaceva,
perché consolidava lo spessore della certificazione, portando a
cinque, anziché quattro gli anni di esperienza professionale richiesta per l'accesso alla credenziale, in
almeno due, anziché almeno uno - com'era in precedenza - dei dieci domini.
[Update] Anche se non e' molto chiaro, pare che i 120 punti nel triennio vadano mantenuti
con un minimo di 20 punti l'anno. In pratica non si puo non sottomettere nulla per due anni e poi sottomettere 120punti in un anno. Ma, non e' chiaro com'é scritto, del resto chi ha superato l'esame CISSP ha una naturale propensione ad interpretare cio che ISC2 scrive.
La tempestivitá dell'informazione.
Ore 16.33 del 5 Novembre. Ricevo un SMS di una autorizzazione della carta di credito fatta ieri
alle 12.50 (come prontamente riporta il messaggio stesso) ad una stazione di servizio quando ho fatto il pieno. Ieri ero in Toscana, oggi sono a Bruxelles, okay confusione di provider. Ventotto ore di ritardo. Speriamo, semmai dovessero clonare la carta di credito che il messaggio mi arrivi in maniera leggermente più tempestiva, altrimenti la misura di sicurezza viene invalidata da una latenza.
