mercoledì 30 gennaio 2008

TrustSec e Nexus 7000

Ai primi di Dicembre avevo parlato di Cisco Trusted Security (CTS), promettendo anche degli aggiornamenti sullo sviluppo della questione. E fresco l'annuncio del nuovo Cisco Nexus 7000, che sará anche un concreto componente di CTS, quindi mantengo la promessa, ecco il primo aggiornamento:
Credo ce ne siano per tutti i gusti: TrustSec, 802.1x, Port ACL, VLAN ACL, Router ACL, Security Group ACL, Control Plane Policing, Admission Control, Linksec (802.1AE), uRPF, Dynamic ARP Inspection, IP Source Guard, giusto per dirne alcune, e parlando solo delle funzionalitá di sicurezza...Questo intendo quando dico che lo switch é un punto molto molto importante dal quale tirar fuori sicurezza.

Etichette:

posted by misi @ 18.48 0 comments

Vigili del Fuoco usano VoIP

Attivato Voip nel Dipartimento dei Vigili del Fuoco, soccorso pubblico, difesa civile

Nei primi giorni del mese di gennaio è entrato in funzione nel Dipartimento dei Vigili del Fuoco, del soccorso pubblico e della difesa civile il sistema che utilizza la rete internet per consentire le comunicazione telefoniche, il cosiddetto VoIP (Voice over Internet Protocol).

Non conosco i dettagli dell'implementazione, ma mi fa piacere vedere che viene assimilato il concetto che una infrastruttura VoIP offre un livello di sicurezza adeguato anche in caso di utilizzo mission-critical.

Etichette:

posted by misi @ 12.31 0 comments

martedì 29 gennaio 2008

Ipse Dixit: Smaltimento Rifiuti

NY Daily News // Sensitive info lives on in old computers
As mortgage companies are forced out of business, many are selling off their computers without properly deleting the sensitive financial information stored on their hard drives. The result is that borrowers' credit reports may fall into the hands of hackers, ...
[ Man mano che i fornitori di mutui falliscono, molti svendono i loro PC senza cancellare le informazioni sensibili dagli hard disk. Il risultato é che dati sensibili dei clienti potrebbero cadere nelle mani di hacker]

"It's extremely unlikely they are wiping those disks properly"
[ é estremamente improbabile che facciano bene il wipe dei dischi ]


Beh, dai. E perché dovrebbero? Voglio dire, loro sono falliti, i loro clienti non sono più loro. Cosa mai glie ne può fregare? A fare il wipe del PC (fatto scorsa settimana con DBAN, ho visto con i miei occhi) ci vogliono quasi due ore. E, ripeto, perché dovrebbero ? ci vorrebbe una leggina sullo smaltimento dei PC (Smaltimento ? Leggina ? Buona notte...). Ricordo che era già successo con l'esplosione della bolla della new economy, esattamente la stessa cosa. Nel senso che era arrivata ai giornali, perché dubito sia una prassi comune quella di fare il wipe dei PC. Chi mi smentisce ?

posted by misi @ 21.00 0 comments

Cisco PIX, un pezzo di storia se ne va.

E' con una vena di tristezza che leggo l'annuncio di End of Sales per il glorioso PIX Firewall :

Cisco PIX Security Appliances End-of-Sale Announcement

On January 28, 2008, Cisco announced the end-of-sale and end-of life dates for Cisco PIX Security Appliances, software, accessories, and licenses. The last day for purchasing Cisco PIX Security Appliance platforms/bundles will be July 28, 2008 and the last day to purchase accessories and licenses will be January 27, 2009. It is important to note that Cisco will continue to support Cisco PIX Security Appliance customers through July 27, 2013
PIX sará supportato fino a Luglio del 2013 anche se non sará piu acquistabile/ordinabile gia da Luglio di quest'anno.


PIX é sul mercato da una dozzina d'anni e che se ne sia sostenitori o no, non si puó non dargli atto di avere tuttora un ruolo da protagonista che pochi altri firewall ricoprono. Da quando -poco piu di sette anni- sono il Security Specialist di Cisco l'ho visto maturare ed evolversi dalla versione 5 del software alla corrente 8 e consolidare costantemente la sua posizione di assoluto protagonista del mercato. PIX se ne va dunque ma lascia una traccia significativa, infatti da qualche anno il suo discendente ASA, lo affianca e ne espande prestazioni e funzionalitá con una concezione attualissima e di nuova generazione. ASA spazia dal piccolo 5505 al nuovissimo 5580-40, dai 150Mbps ai 20Gbps, da utilizzo casalingo a service provider, con funzionalitá significativamente superiori al PIX (basti pensare a Full IPS, Antivirus, Anti Spam, SSL VPN per dirne alcune).

Tanto di cappello al PIX per i suoi dodici anni di onorato servizio e in bocca al lupo ad ASA per l'ereditá che raccoglie e porta avanti!

Etichette:

posted by misi @ 11.19 0 comments

venerdì 25 gennaio 2008

Infosecurity, 5-7 febbraio

Come AIPSI anche quest'anno parteciparemo a Infosecurity. Ed anche quest'anno l'associazione mette a disposizione dei soci, biglietti d'ingresso gratuiti alla manifestazione. Siccome siamo sempre molto generosi, anche i non soci possono richiedere i codici d'ingresso gratuito alla manifestazione scrivendo direttamente a info-at-aipsi-punto-org! Ci vediamo li.

Etichette:

posted by misi @ 11.47 0 comments

martedì 22 gennaio 2008

Nuovo ASA 5580 @ 20 Gbps !

E' notizia fresca di oggi il fatto che cisco rilascia il fratello maggiore di tutti gli ASA !

Cisco Pushes Firewall and VPN Performance to New Heights With New ASA

Il modello 5580, appena annunciato si presente interessante particolarmente in ambito dove la performance e' il requisito numero uno, quindi Datacenter e Service Providers. Le prestazioni sono davvero eccezionali. Alcuni numeri:
  • fino a 20 (venti) Gigabit per secondo di throughput
  • 10000 (diecimila) utenti VPN (IPsec/SSL) contemporanei
  • 100000 (centomila) nuove connessioni per secondo
  • 750000 (settecentocinquantamila) ACL
  • 2000000 (duemilioni) di connessioni concorrenti
  • 24 (ventiquattro) interfacce Gigabit
  • 12 (dodici) interfacce 10(dieci)Gigabit
  • ...e scusate se é poco !

Disponibile in due versioni, una "più light" 5580-20 ed una "full" 5580-40, ecco un confronto fra i diversi modelli (dal 5505 al 5580-40). Visti i numeri di cui sopra, non sono per il momento previsto moduli IPS o Anti-X.

5580 potrá montare la versione 8 ed anche la 7.x per chi ha necessità di una GD general Deployment e sarà gestibile graficamente attraverso ASDM o Cisco Security Manager.

Nel mio piccolo ho avuto il piacere di annunciarlo ad un evento aziendale oggi a Roma ad una sessantina di persone, praticamente in contemporanea all'annuncio mondiale !

Etichette:

posted by misi @ 23.05 1 comments

lunedì 21 gennaio 2008

Sicurezza e Musica

New Scientist // Wi-Fi music polling device takes heat off the DJ

Developed by computer scientists at the University of California, Los Angeles, US, the Smart Party system relies on people carrying Wi-Fi-enabled music-playing devices. Software running on each device beams each user's playlist to a nearby computer,which is connected to an amp and speakers.

Questa é una delle poche notizie che mi colpisce su due fronti, quello professionale (la sicurezza) e quello hobbistico (la selezione musicale). In pratica si tratta di un sistema per cui durante una festa con sottofondo musicale, la selezione viene influenzata dalle playlist dei dispositivi portatili dotati anche di wifi (iPod Touch, per dire il primo che mi viene in mente). Quando si arriva sul luogo, il proprio dispositivo di musica portatile dotato di wifi si collega a un PC e lo informa della propria playlist. Il PC stila la playlist sulla base della popolaritá dei brani e suona (le consolle dei DJ si stanno progressivamente computerizzando, é un pezzo che non ci si trova piú soltanto la coppia di Technics 1200 e sempre piu spesso c'é la predisposizione per interfacciamento PC) di conseguenza.
Una considerazione ovvia é quella sullo spinoso problema delle licenza musicali. Il sistema, dice l'articolo copia le tracce musicali dai dispositivi portatili a se stesso per rirpodurli. E' opportuno considerare quindi l'impatto delle licenze (particolarmente controverso nel nostro paese) dei brani per utilizzo personale piuttosto che di broadcasting in locale pubblico. Forse per questo si potrebbe pensare di inviare solo l'informazione su autore e titolo del brano ed il PC addetto a suonare potrebbe procurarsi legalmente il brano prima di suonarlo (tanto non e' in realtime, va in playlist per dopo).
A me vengono in mente anche altre considerazioni. Se e' vero che un DJ "tiranno" puo rovinare la serata a tutti suonando musica che non aggrada nessuno, é anche vero che é bello sentire musica nuova proposta da un arguto ed attento selezionatore. Ed é piacevole trovarsi a scoprire nuovi orizzonti musicali. Ma (e qui mi metto il cappello di professionista di sicurezza) cosa succede se per fare anche un semplice scherzo in venti su cinquanta arrivano con "Ricominciamo" di Adriano Pappalardo (Pappalardo fans, non vogliatemene) sui loro dispositivi portatili ? La playlist potrebbe essere "inquinata" da questo, o peggio i dispositivi portatili potrebbero anche avere tutti del rumore in playlist, giusto per rovinare il sottofondo musicale. Allora bisognerebbe considerare un metodo discrezionale di acquisizione.
Non ho visto i dettagli del sistema ma per parlare in wireless nel modo piu facilmente possibile oggi si usa "no security" ed immagino ci sia una forma piuttosto leggere di mutua identificazione inq uesto sistema, ed allora l'altra considerazione. Se un giocherellone decide di prendere lui il controllo e proporre la sua di playlist ?
Mi incuriosisce la cosa, ad ogni modo. Anche se credo siamo molto lontani da un utilizzo in larga scala sará interessante nel futuro studiare questo genere di interazioni informatiche dal punto di vista della sicurezza. Nel frattempo, CD, lettori CD, mixer, amplificatore, casse. Tutto regolarmente cablato e fisicamente non accessibile (ed ovviamente area consolle non accessibile per richieste ed appoggio cappotti borse e sopratutto drinks).

posted by misi @ 15.20 0 comments

sabato 19 gennaio 2008

Top Dieci minacce per il 2008

SANS // Top Ten Cyber Security Menaces for 2008

Le riporto tutte e 10, ne commento alcune.
  • Increasingly Sophisticated Web Site Attacks That Exploit Browser Vulnerabilities - Especially On Trusted Web Sites.

E' per il fatto che i siti web siano sempre piu ricchi di contenuti dinamici ed interattivi. C'era da aspettarselo...

  • Increasing Sophistication And Effectiveness In Botnets
  • Cyber Espionage Efforts By Well Resourced Organizations Looking To Extract Large Amounts Of Data Ð Particularly Using Targeted Phishing.
  • Mobile Phone Threats, Especially Against iPhones and Android-Based Phones; Plus VOIP.

E mi aspettavo anche questa, che era anche nella mia personalissima lista di previsioni il fatto che i telefonini, che stanno diventando uniformemente e mediamente in grado di far girare codice su symbian, windows mobile ed altro sarebbero diventati un problema. Anche per il fatto che "continueremo a non considerarli PC". Per la VoIP, vediamo. Sicuramente ci sono svariate installazioni non a regola d'arte. Spero solo non si faccia disinformazione su un attacco fatto su un altro ambito e che ha impattato anche la VoIP (lo spero, che non succeda, ma sono sicuro che succederá).

  • Insider Attacks.

Piú che degli attacchi degli interni mi preoccuperei della di questi demenza. Se uno attacca un access point alla rete corporate e lo lascia acceso ed aperto c'é poco da fare (ci sarebbe il licenziamento per violazione della policy aziendale, ma mi rendo conto che in questo paese abbiamo problemi ben piu grossi).

  • Advanced Identity Theft from Persistent Bots.
  • Increasingly Malicious Spyware.
  • Web Application Security Exploits
  • Increasingly Sophisticated Social Engineering Including Blending Phishing with VOIP and Event Phishing.
  • Supply Chain Attacks Infecting Consumer Devices (USB Thumb Drives, GPS Systems, Photo Frames, etc.) Distributed by Trusted Organizations.

Cioé il fatto che quando acquistiamo qualcosa (una chiavetta USB, metti..) dentro c'e' del malware. E' gia successo qualche volta. Succederá ancora.

Per galleggiare al di sopra di queste amenitá che ci accompagneranno in questo anno basterá tecnologia efficace, programmazione fatta bene, consapevolezza, informazione e tanto buon senso.

posted by misi @ 16.22 0 comments

venerdì 18 gennaio 2008

Grazie!

Nemmeno cento post, circa quattro mesi di vita.



Grazie, davvero. E' incoraggiante!

posted by misi @ 19.22 0 comments

IT, IP, Polizia e Sicurezza

Con l'informatica, le applicazioni, l'IP e la VoIP puoi fare di tutto. Ottimizzare un reparto di polizia, ad esempio, come ha fatto la Polizia di Framingham, vicino Boston.

ComputerWorld // Video // Police IT

La telefonia é basata su VoIP (io riconosco anche i telefoni uguali a quello che ho sulla scrivania). Non che se lo usa la polizia é garanzia di sicurezza (beh..), ma a chi mi parla di telefonia in situazioni critiche di disponibilitá, dico che evidentemente questo reparto di polizia si é preoccupato anche di questo aspetto (si, hanno un sistema di backup si PSTN, come dice il poliziotto) ed ha sposato la mia tesi che "se configurata correttamente, la telefonia su IP offre un livello di sicurezza pari o superiore alla tradizionale".

posted by misi @ 19.10 0 comments

Mai piú senza.

This laptop computer carry case transforms into a sheltered, darkened work environment. It offers privacy, security, and protection from the elements, but most of all, computer screen visibility outdoors in the daytime.

posted by misi @ 18.45 0 comments

mercoledì 16 gennaio 2008

SIP: Identitá e Sicurezza

Interessante set di slide sul protocollo SIP, funzionalitá di security e gestione dell'identitá fatta al 3rd ETSI Security Workshop da Hannes Tschofenig.

My Slides from the 3rd ETSI Security Workshop
Link diretto alle slides : .PPT

Etichette:

posted by misi @ 17.37 0 comments

martedì 15 gennaio 2008

Quanto é sicuro parlare con VoIP ?

oneVoiceOverIP // Quanto é sicuro parlare in VoIP ?
(di Yari Barnabino)

Ho letto questo post e ci sono un po rimasto. E' vero, alcune considerazioni sono fondamentalmente corrette, ma il messaggio complessivo (la VoIP non é sicura) é sbagliato. E non dico che la VoIP é per definizione sicura, peró é sbagliato dire che la VoIP é per definizione insicura. In realtá la domanda é molto complessa e la risposta puo anche essere lunga, noiosa e non alla portata di tutti. Ho cercato di dare delle risposte in questo post, prendendo l'occasione per raccogliere un po di informazione sull'argomento.

Ultimamente sto addirittura cercando di parlarne meno perche secondo me l'argomento sta diventando inflazionato, ma forse mi sbaglio e c'e' ancora necessitá d'informazione.

Per rispondere a Yari, che chiede:
Secondo voi, è sicuro affidare comunicazioni “mission critical” alla rete VoIP?

Si, secondo me se l'installazione é fatta a regola d'arte é sicuro.

Etichette:

posted by misi @ 11.03 0 comments

lunedì 14 gennaio 2008

I dieci comandamenti...

Non so come ha fatto questa chicca a sfuggirmi per tre giorni:

Repubblica // E-mail, cellulare, carte di creditoLe dieci regole per sparire
(di Jaime D'Alessandro)

Purtroppo non raro gioiello di disinformazione e grossolani consigli. Fra i migliori:

Pulire bene il PC e tenere tutti i propri file, di qualsiasi tipo, su un hard disk esterno.

Evitare tutte le aree videosorvegliate... Indossare un cappello e non rivolgere mai lo sguardo verso l'alto, in modo da non essere riconosciuti.

Per viaggiare "in incognito" usare i mezzi pubblici o la bici

C'è anche chi prova ad "abbagliare" le telecamere con un cd esposto sul lunotto
posteriore dell'auto, ma i risultati non sono garantiti.

Acquisti online: Non tutti (i siti) vanno bene. Meglio siti più piccoli che hanno mercatini dell'usato e dove le transazioni possono avvenire direttamente fra inserzionista e acquirente.

Che fortuna, proprio ieri mi hanno regalato un sombrero! Sono in una botte di ferro, adesso non mi individua piu nessuno.

posted by misi @ 11.57 1 comments

sabato 12 gennaio 2008

Ipse dixit

NBC4 / Armored Car Guard Impostor Robs Bank
After Almost 11 Hours, Bank Realizes It Was Robbed

[ Impostore con furgone blindato ruba ina banca. 11 ore dopo la banca realizza il furto.]

"Around 9:30 in the morning, we had a gentleman entered the bank who was dressed in... uniform walked in and signed for the money and walked out" (Luogotenente William Farr, Polizia di Washington)
Circa alle 9.30 un signore é entrato in banca, vestito con una (...) uniforme, ha firmato per la ricevuta dei soldi ed é andato.

Luogotentente, tutta la mia solidarietá. Succede. Mi rendo conto che negli states non leggete Diabolik e questi trucchi non potete conoscerli. Come direbbe Ginko: "Dannato Criminale!".

Etichette:

posted by misi @ 23.20 0 comments

Te le comando come dico io (e senza autorizzazione), le televisioni.

I giocherelloni di gizmodo hanno comprato questo kit e sono andati in giro per il CES di Las Vegas a spegnere televisori (guarda il video). Aeroporti ? Ospedali ? Pubbliche amministrazioni ? Potrebbe essere un problema di sicurezza serio, quello che si può fare con un telecomando modificato. Far deragliare un tram mi sembra già un buon esempio da prendere in considerazione.

posted by misi @ 21.01 0 comments

mercoledì 9 gennaio 2008

Cisco Applied Mitigation Bulletin: Gennaio 2008

Anche questo mese Microsoft ha rilasciato un security update, a valle di due bollettini di security (MS08-001 , MS08-002), individuando tre vulnerabilitá di impatto significativo (e di conseguenza, Feliciano ha avuto il suo bel daffare a scrivere la sua tradizionale ed apprezzata analisi).
Il patching (seguendo le indicazioni del vendor) resta l'approccio piú raccomanda. Mi rendo conto peró che molti di quelli che gestiscono della realtá di una certa complessitá ed produzione, vogliano prima fare i loro test, restando cosí scoperti per un periodo di tempo variabile.

In questo caso e per questo motivo Cisco Security Center, il (relativamente) nuovo portale Cisco sulla security offre bollettini di contenimento applicati a queste vulnerabilitá, sottolineando come l'uso di tecnologie Cisco opportunamente configurate permettano di erogare misure di contenimento nei confronti di queste vulnerabilitá, lasciando ai clienti il tempo di testare le patch con la massima tranquillitá.

A questo link e' dettagliato cosa le tecnologie Cisco possono in questo caso specifico fare per una prevenzione dell'exploiting di queste vulnerabilitá.

Etichette:

posted by misi @ 17.15 0 comments

martedì 8 gennaio 2008

IPv6 e Sicurezza

Di IPv6 si parla poco e francamente io stesso nei riguardi del nuovo protocollo non sono andato molto oltre una infarinatura in particolare per quel che riguarda le funzionalita' di sicurezza e/o le nuove considerazioni di sicurezza da farci sopra. La questione é tornata ad esesre attuale recentemente con Windows Vista ed il fatto che implementa uno stack v6 attivo di default. Al di la di ripromettermi una bella rinfrescata sull'argomento, una rapidissima (e non certo esaustiva) é offerta da questo whitepaper: IPv6: A Primer for Physical Security Professionals che in una decina di pagine sottolinea i punti principali. Per chi vuole approfondire ancora di piu é referenziata una presentazione di Cisco Networkers del 2006 dal titolo IPv6 Security che spiega piu in dettaglio e graficamente alcuni concetti. Buona rinfrescata !

Etichette:

posted by misi @ 12.29 0 comments

Anche questa é privacy.

Sono un grande sostenitore del Privacy Screen della 3M. Ne ho uno sul laptop la maggior parte del tempo. Nei momenti di maggiore frivolezza potrei anche decidere di usare questo, che mi sembra ancora piu discreto.

posted by misi @ 10.33 0 comments

giovedì 3 gennaio 2008

Previsioni per il 2008

Fra le varie cose che ho letto per rimettermi al passo con "cosa succede" dopo una settimana di scollegamento totale, non poteva mancare ad inizio anno una previsione sulle tecnologie che vedremo guadagnare popolarità nel 2008.

BBC News / Technologies on the rise in 2008

Secondo questa colonna le tecnologie sarebbero:
  • "Web on the go", vale a dire quella tendenza per cui applicazioni tipicamente web based potrebbero essere usate anche quando non si e' collegati. Da una parte la pervasività del collegamento, e dall'altra nuovi modi d'uso delle applicazioni web potrebbero far sparire il confine fra "sono online" e "sono offline".
  • PC Ultra Portatili, ossia PC molto, molto piccoli, circa quanto un libro. Staremo a vedere se vincerà lo smartphone, il PC ultraportatile, il palmare-telefono o altro. Quello che trovo più utilizzabile per il momento é lo smartphone. Attendo sviluppi.
  • IPTV, vale a dire la televisione via internet. Che sarebbe il modo di sfruttare la coda lunga e non essere più costretti a programmi deleteri (ma che fanno audience). Cambierebbe anche il modello di business della pubblicità, significativamente. Staremo anche qui a vedere. Nel frattempo, comperare una televisione (non l'ho dal 2000) anche per quest'anno NON rientra fra i miei propositi.
  • WiMax, vale a dire copertura wiress pervasiva in outdoor. Ne vedremo sempre di più.
  • Mobile VoIP, e cioè usare VoIP anche in ambito mobile internet (ad esempio avendo skype, fring, e cose simili sul telefonino). Attenzione ai piani tariffari, in questo caso.

Su tutte staremo a vedere, su molte ci interesseremo degli aspetti di sicurezza, forse una potrà diventare il nuovo tormentone dei prossimi anni. Speriamo, ho voglia di novitá!

posted by misi @ 14.21 0 comments

Home sweet home

Rientrato a casa ieri sera ho passato un'oretta a leggere i vari blog che leggo normalmente. Vedo che durante la pausa di capodanno - e la mia assenza - non é successo nulla di particolarmente rilevante.

Gigi riflette sul futuro di alitalia in questo post e non posso del tutto dargli torto, anche se la situazione e' probabilmente piu complessa. In fondo se fanno l'hub a Roma, a me non cambierà nulla, continuerò a volare via Francoforte con lufthansa.

Agatino ha letto ben 41 romanzi e ne ha fatto una classifica. Ha messo al primo posto "Come dio comanda" di Ammaniti e ne convengo, é bellissimo. A me nel 2007 é piaciuto p ancora "Follia" di McGrath. Devo ricordarmi di tenere la lista di cosa leggo, più che altro per capire quanto. Ne ho già uno, ho appena finito "Le verità dell'Alligatore" di Carlotto, iniziato il 29, finito l'1.

Feliciano ha approfittato della pausa natalizia per perfezionare la lista di risorse Microsoft sulla sicurezza in una pagina facilmente consultabile. E' una buona iniziativa (note to self: perché non fai la stessa cosa per il sito cisco ?).

posted by misi @ 10.59 0 comments

SPAM

Ho cercato di calcolare quando Spam per Ora (SpH) mi arrivi. Siamo nell'ordine di una email di spam ogni minuto, circa. Un dato e' certo: ho scaricato la posta l'ultima volta il 27 Dicembre mattina verso le nove e mezza, e ho riscaricato ieri sera, il 2 gennaio alle 20 circa, scaricando 10169 email, di cui circa duecento NON spam. Il che é in linea con la media al minuto.

Speriamo che fra i buoni propositi di NGI (sul quale sono in hosting) per l'anno nuovo ci sia quello di installare un motore antispam funzionante (visto che per ora non é cosí e che dal supporto tecnico si ostinano a dirmi "Nei prossimi mesi verrà installato un nuovo sistema").

posted by misi @ 10.37 0 comments links to this post