La sicurezza é noiosa
"I find computer security frankly to be kind of boring"
(Clifford Stoll)
"Trovo la computer security noiosa", e certo che se a dirlo é Cliff Stoll, all'interno di un godibilissimo intervento al TED del 2006 (e publicato oggi, l'affermazione é a circa 1'05") la cosa assume tutto un altro sapore.
Mi e' venuta voglia di rileggere The Cuckoo's Egg, che chiunque si occupi di sicurezza informatica dovrebbe aver letto.
VoIP i problemi per il 2008
Mi sembra giusto segnalare questo sondaggio:
Quali saranno i piú popolari / temuti rischi in ambito VoIP per il 2008 ?
http://www.vopsecurity.org/index.php?name=Polls&pollID=5Votiamo e vediamo..
Ipse Dixit: spam, phishing, ecc...
Per Spam e Phishing Nessun rimedio ? (di Matteo Tricarico)
E' sempre più critica la situazione dello SPAM e del Pishing nel nostro paese. Attualmente siamo arrivati a livello "Arancione" e, nonostante filtri bayesiani e quant'altro non si riesce a venire a capo di un problema che sta mettendo a rischio l'intero servizio di posta elettronica.
Non sapevo fossimo a livello "Arancione". I filtri bayesiani hanno l'efficacia che hanno, e cioé limitata, come quella di un qualsiasi controllo sul contenuto di una email. L'efficacia migliora se si incrocia il filtro (statistico o bayesiano che sia) con un controllo rella reputazione dell'indirizzo IP sorgente del MTA di provenienza. Senderbase, é uno di questi database. Cosí magari torniamo a livello "giallo" ?
Eppure la faccenda si potrebbe risolvere abbastanza velocemente: visto che gli indirizzi dei collegamenti da cui provengono queste e-mail sono dinamici (quindi si tratta di ADSL private o connessioni via modem), perchè non si obbligano i provider proprietari di questi indirizzi di verificare l'utenza che invia e-mail a catena bloccando l'accesso di quel computer che, probabilemente, ha un virus a bordo di quelli che installano un server mail?
Perche se i provider sono in russia, o in cina, é piuttosto difficile "obbligarli". E perche se fosse possibile, sarebbe un un approccio reattivo: uno abusa e tu lo blocchi. Lui cambia indirizzo e cosí via, il problema non sarebbe comunque risolto. Credimi, Matteo, e' meno semplice di quanto possa sembrare.
Etichette: ipsedixit
5 suggerimenti per migliorare la "security awareness"
Ricevo e (visto che il
CSI, pubblicando un bel report annuale molto popolare, gode della mia fiducia) pubblico:
------- Original message -------
From: Pam Salaway, CSI Awareness
To: marco misitano
Sent: 11.3.'08, 18:04
Dear Marco,
una breve introduzione sul perche la security awareness é importante, non sto a riassumerla e passo direttamente ai suggerimenti, che riassumo
1. Rinforzare il messaggio regolarmente.
il messaggio di security awareness va dato e ridato e rinforzato spesso. Il messaggio dev'essere sintetico, rilevante per l'audience e facile da comprendere.
2. Mantenerlo aggiornato e divertente.
Se il messaggio é vecchio e parla di floppy, non ci crede nessuno. Se e' simpatico la gente lo legge piu volentieri.
3. Dimostrare che la performance é importante.
Fare dei test e premiare i piu bravi. Fare test fra l'altro serve a dimostrare la compliance con la policy che (ovviamente) dice di fare awareness training.
4. Crederci.
La gente non ci crederá se non ci crede chi tiene il training. O peggio (questo lo aggiungo io) se non fa quello che dice che si deve fare.
5. Iniziare in piccolo, ma iniziare.
Alcuni utenti ignoreranno il training (e chi lo tiene). Le regole per l'insegnamento classiche dicono che per lasciare il messaggio occorre ribadirlo in sette modi diversi e per sette volte (io non lo sapevo). Partire con una volta, ed aggiustare il tiro.
Regards,
Pam C'é dell'altro, il link é questo:
http://www.gocsi.com/tools/
Articolo su Vishing
Un interessante articolo sul vishing, alias la variante telefonica del phishing.
washingtonpost.com / The Anatomy of a Vishing ScamGiusto per essere chiari, col vishing non per forza c'entra la
VoIP.
OT: La Fibra che ride.
Anche se non l'ho linkata (essendo troppo off topic per il sito, e troppo poco off topic da essere linkata come interesse personale) sono un sostenitore della Fibra che Ride. Prendo l'occasione della
domanda di Stefano per un invito:
Ascoltare e votare. Ci riguarda anche se io sono fra i fortunati che la fibra in casa ce l'ha gia.
E gia che ci siamo:
Il marketing nel 2012 (meno quattro)
BBC / Phorm 'illegal' says policy groupPhorm's system works by "trawling" websites visited by users and then matches
keywords from the content of the page to a profile. Users are then targeted with adverts that are more tailored to their interests on websites that have signed up to Phorm's technology.
In pratica i Service Provider raccolgono (ottimo il termine
trawling, direi "pesca a strascico" ?) i dati dei siti visitati dagli utenti, ed in base a questi dati agli utenti viene inviato materiale pubblicitario in linea con i loro gusti di navigazione.
Chi c'era a Pisa quando ho proiettato la slide intitolata "
Il Marketing nel 2012 " ? Meno quattro.
Le competenze di Sicurezza in cima alla lista
Silicon.com / Security skills top IT chiefs' wish-listsSecondo un sondaggio di CompTIA,
tre quarti degli IT Manager
mettono le competenze di sicurezza al primo posto.
Settantatre percento di chi ha
risposto al sondaggio (
piú di 3500) ha
detto che Firewall e Data Privacy
sono le aree di compentenza piú importanti, ma solo
il 57% ha
detto che le proprie persone sono competenti a
sufficienza in
quest'ambito.
Piu della metá hanno anche risposto che competenze in
ambito wireless ed
RFID diventeranno le piú importanti nei prossimi cinque anni.
Prendo atto, ma mi
viene naturale pensare che sia wireless
che RFID hanno delle importanti componenti di sicurezza e privacy
da considerare.
Quindi tendo a
pensare che ci sará una fusione delle competenze piuttosto che una minore popolaritá della Sicurezza a
vantaggio delle altre due.
Gli atti USENIX disponibili online
Questa é una grande notizia:
All online conference proceedings are now freely available to everyone. This significant decision will allow universal access to some of the most important technical research in advanced computing. In making this move USENIX is setting the standard for open access to information, an essential part of its mission.
Click here for more information.
Gli USENIX Security Symposium hanno sempre delle presentazioni notevolmente interessanti. Da oggi sono disponibili per il download [
qui].
Ciscoexpo 2008: le presentazioni
Sono state pubblicate le presentazioni di CiscoExpo. Ci sono anche quelle della sessione parallela sulla Sicurezza, coordinata dal sottoscritto. A questo
link.
Etichette: cisco
I nuovi biennali Mercoledí Cisco: IOS Security Advisory
Cisco ha di recente annunciato un cambio alla frequenza delle pubblicazioni per le Security Advisory di IOS. A partire dal prossimo 26 Marzo 2008, le Security Advisory saranno rilasciate in modo aggregato il quarto Mercoledí del mese di Marzo e Settembre di ogni anno.
Questo cambio non impedirá il rilascio puntuale di Security Advisory individuali per vulnerablitá di una certa importanza e per le quali e' stata gia fatta disclosure pubblica o per le quali siamo a conoscenza di casi di exploiting.
Cisco adotta questo approccio come risposta a sollecitazione da parte degli utilizzatori, che segnalano l'esigenza per una miglore prevedibilitá per i loro piani di aggiornamento e deployment.
Il formato corrente delle Security Advisory resta lo stesso. La tabella del software nelle advisory include per ogni treno di software, una lista di release raccomandate (dove possibile) che indirizzano le vulnerabilitá incluse nell'aggregato di Advisory.
Riassumo: Da adesso, le Security Advisory (solo di IOS) usciranno ogni quarto mercoledi di Marzo e Settembre. Ovviamente su qualcuna particolarmente critica ci sará la solita advisory puntuale ed in tempo reale. Immagino che iniziero ad avere piú da fare due mercoledí all'anno.
La referenza é al sito
www.cisco.com/go/psirtEtichette: cisco
Il bollettino Microsoft di Marzo
Anche ieri
Feliciano ha avuto
il suo bel daffare a sintetizzare la situazione vulnerability bullettin. Ieri infatti Microsoft ha rilasciato il
sommario di marzo, a valle di quattro bollettini di security che individuano dodici vulnerabilitá. Resta il patching seguendo le indicazioni del vendor (e piu informalmente il sempre ottimo riassunto di Feliciano, in questo caso) l'approccio piú raccomandabile. Spesso peró patchare immediatamente é impossibile, specie su sistemi critici e che sono in produzione.
In questo caso ci viene in aiuto il
Cisco Security Center, il portale Cisco sulla security offre bollettini di contenimento applicati a queste vulnerabilitá, sottolineando come l'uso di tecnologie Cisco opportunamente configurate permettano di erogare efficaci misure di contenimento nei confronti di queste vulnerabilitá, lasciando cosí il tempo di testare le patch con la massima tranquillitá.
Ulteriori informazioni qui:
http://tools.cisco.com/security/center/viewAlert.x?alertId=15330Etichette: cisco
(finalmente) Una certificazione italiana
Delle certificazioni professionali sono un sostenitore. Il fatto che le certificazioni piu popolari (mi riferisco a CISSP, CISA, CISM, SANS, ecc...) non prendono in considerazione la normativa Italiana l'ho sottolineato piu volte. Ben venga questa iniziativa di AIPSI, che ha creato due certificazioni: LoCSI e LoCSI-PMI, (LoCSI significa Localizzazione delle Competenze in Sicurezza Informatica) mirate ad attestare le competenze individuali di chi si occupa professionalmente di sicurezza informatica con rispetto alla conoscenza delle leggi, normative e regolamentazioni Italiane (e qualcosa di Europeo che ci tocca da vicino). Se di AIPSI faccio parte é anche vero che il motore di questa iniziativa é stato
Claudio, al quale vanno i miei complimenti.
AIPSI.org / Certificazione LoCSI e LoCSI-PMIEtichette: aipsi
Sicurezza Informatica: rischi e Contromisure
AIPSI, della quale sono socio fondatore, organizza e promuove SIRC (Sicurezza Informatica: Rischi e Contromisure), sabato prossimo 15 Marzo a Ferrara. Per chi é in zona lo raccomando, il
programma é interessante e sopratutto alla portata di tutti.
Etichette: aipsi
3 su 5 spenderanno di piú.
Cisco ha pubblicato i risultati di un sondaggio recente sullo spending in Sicurezza IT.
3 of Every 5 IT Pros to Increase Security Spending in 2008The highest percentage of IT decision makers who plan to boost spending are from nations that are relative newcomers to widespread Internet and IP-based corporate networking. Of the 10 countries in the study, China, India, and Brazil feature the highest number of IT decision makers who are not only planning to increase spending in general, but the largest percentage who will increase security investments by more than 10 percent year-over-year.
In pratica in quei paesi dove Internet (intesa come IP based networking in ambito professionale) c'é da meno tempo i Business Decision Maker si dichiarano piú propensi a spendere di piú in Sicurezza.
Anche in Italia :
Italy : 60 percent (35 percent to increase spending more than 10 percent)
Il 60% di chi decide quanto spendere in IT decide che nel 2008 investirá di piú in Sicurezza, che é il 35% in piu rispetto allo scorso anno. La cosa mi fa piacere e l'importante é spendere bene, come avevo accennato a
Pisa a fine novembre (
qui, a pagina 10) evitando anche l'effetto "compro la porta blindata dopo che mi sono entrati in casa"
Awareness, as the most effective tool, is not new thinking; the new thinking is how IT is leading the combined people, process, and technology to protect the enterprise most effectively. Increasing employee awareness through sustained education reduces threats, attacks, and the painful pricetags they typically carry.
La percezione del problema é lo strumento piú efficace, e non é una novitá. La novitá é come l'IT guida persone, processi e tecnologia per proteggere le aziende piu efficacemente. Piú le persone sono coscienti, piú si riducono i rischi e gli attacchi con il loro costo considerevole.
Non potrei essere piú d'accordo!
Con l'occasione, rispondo ad un
commento ad un
post di qualche giorno fa: Presto ulteriori informazioni sui piu autorevoli e miei preferiti report.
Botnet, Crimine organizzato, eccetera
Spesso quando mi capita di parlare con qualcuno di sicurezza informatica partendo dalla base, faccio un inquadramento della situazione, come si stanno muovendo ed eveolvendo i problemi di sicurezza e di pari passo come le tecnologie diventano piu efficaci.
Un concetto che sottolineo da un po di tempo é come, se nel passato i problemi informatici provenivano da "ragazzini" desiderosi di fama e notorietá, oggi vengano da organizzazioni criminali anche bene organizzate, spesso con strutture multilivello. Questa é una raccolta di giovani bravi e di belle speranze (speranze di far soldi facilmente sfruttando vulnerabilitá di PC di ignoti) a cui non é andata bene. E non erano soli, ma spesso la punta dell'iceberg di una organizzazione.
Resellernews / True crime: The botnet barons
Schiefer, now 26, initially used both his home and office computer networks to spread the bots to vulnerable users of instant messaging programs. After victims clicked a link in a message, they became infected. He then used the botnet to foist an adware program from a Dutch company called TopConverting onto the computers of victims, earning 20 cents for each installation. According to the plea agreement, Schiefer admits that he earned more than $19,000 from TopConverting in about two months.
Questo ed altri, tutti condannati, mi fa piacere vedere che l'approccio legale ha la sua efficacia.
Cisco e Apple iPhone
Dopo aver
litigato sull'uso del nome iPhone, avevamo (Cisco) raggiunto un accordo con Apple, tant'é che dell'iPhone conosciamo tutti le fortunate sorti. Mi fa piacere che non solo le scaramucce siano state messe da parte, ma che la collaborazione si sia addirittura concretizzata nell'inclusione nel prossimo software per iPhone di un pezzo molto importante di tecnologia Cisco: il
Cisco VPN Client!
Apple / iPhone / EnterpriseEnterprise-grade networking.
iPhone 2.0 software supports Cisco IPsec VPN to ensure the highest level of IP-based encryption for transmission of sensitive company information. Employees will be able to authenticate via password, two-factor token, or digital certificate. iPhone will also support WPA2 Enterprise with 802.1x authentication — the standard for Wi-Fi network protection. These features help provide safe access to sensitive company information on iPhone
Incident Handling, una guida
NIST ha appena rilasciato una nuova pubblicazione, molto interessante. Non posso che segnalarla, visto che avevo in qualche modo considerato l'argomento Incident Handling
di recente.
Computer Security Incident Handling Guide (PDF, 147 pagine)
Una regola d'oro della sicurezza, un esempio pratico.
Da un mesetto ho un Lenovo T61, con tanto di lettore SD e porta IEEE1394 (firewire). In realtá fino a tre settimane fa avevo solo sentito nominare Firewire e non sapevo che IEEE1394 fosse sinonimo. Non conoscendo la questione, evidentemente non la uso. Non prevedendo nemmeno di usarla l'ho disabilitata (cosí come ho fatto con tante altre cose che non uso sul PC).
Oggi leggo questo:
TheRegister / Tool makes mincemeat of Windows passwordsIn pratica esiste un tool che sfruttando la presenza della porta IEEE1394, permette l'accesso al PC.
Io sto tranquillo (per quanto possibile). La regola é sempre la stessa e' valida da sempre:
Se non hai esplicito bisogno di una funzionalitá, disabilitala.Approfitto: a cosa puó servirmi una porta firewire ?
Ipse Dixit
Government Executive / Pentagon: Cyberattacks appear to come from China"In the past year numerous computer networks around the world, including
those owned by the U.S. government, were subject to intrusions that appear to
have originated within the People's Republic of China"
Nello scorso anno diverse reti di computer nel mondo, incluse quelle del governo degli Stati Uniti sono state oggetto d'intrusioni apparentemente provenienti dalla Repubblica Popolare Cinese."The application of non-nuclear high technologies can bring about strategic effects similar to that of nuclear weapons..."
L'applicazione di tecnologie non nucleari puo portare a effetti strategici simili a quelli delle armi nucleari..Abbiamo in casa armi di distruzione di massa.
Etichette: ipsedixit
Il ragazzo é intelligente, ma non si applica.
Dai come faccio a crederci, questo é uno dei meno credibili che mi siano arrivati, e poi punta a ebay.
Parafrasi.
TheStar / Acts of Kindness / Open Door PolicyRubrica "gentilezze", Open Door Policy, sottomessa da Kristin Szabo, Toronto I work next door to an instant-teller machine with a door that is very hard to open. To unlock the door, you have to insert your bank card and then open the heavy door while your card is still in place. Each and every day in the years that I've worked here, I've seen people, especially the elderly, struggle with that door.
(Riassunto)
"Lavoro vicino ad un bancomat che ha una porta molto difficile da aprire, bisogna inserire il bancomat e aprire la porta pesante mentre il bancomat é nella fessura. Vedo specialmente anziani che faticano ad aprire la porta per accedere al bancomat"
Yesterday, an elderly man who couldn't walk and who was seated in his scooter sat outside the bank machine door in the freezing cold. He was simply sitting there looking inside. A little boy ran around the corner; he looked about 11. He approached the elderly man, took his bank card, and proceeded to struggle with the door. He finally opened it, held the door while the man drove inside, and handed the man his bank card back. Then he smiled and ran off.
"Ieri un anziano che non poteva camminare non sapeva come fare ad entrare ed era seduto fuori a pensare a come fare. Un ragazzino é arrivato da dietro la porta, avrá avuto 11 anni. Ha preso il bancomat del signore con il quale ha aperto la porta, l'ha aperta mentre il signore é entrato e gli ha ridato il bancomat. Poi ha sorriso ed é andato via."
E fin qui riassumo quello che c'é scritto. A scuola mi facevano alle volta fare la parafrasi, che era piu o meno l'opposto del riassunto. In pratica l'esercizio era, continuare la storia, come volevi tu.
Io continuerei cosí:
Arrivato a casa, il ragazzino di 11 anni ha tirato fuori dalla tasca lo skimmer che aveva appena comperato su internet per 9 dollari e 90 ed ha scaricato i dati del bancomat del signore anziano. Non aveva nessun senso di colpa perche era stato molto gentile con il nonnino. Mentre chattava con i suoi amici vantandosi del suo successo si chiedeva cosa poteva comperarsi adesso. Optó per una botnet a buon mercato. Con quella si sarebbe potuto comperare una consolle nuova per giocare e gli sarebbero avanzati tanti di quei soldi che suo padre non gli avrebbe mai dato.
Ma io sono paranoico, l'articolo che cito finisce invece con una constatazione di che bell'atto di generositá e di quanto il ragazzino sará un bravo cittadino di Toronto.
Servono competenze
DarkReading / Many Companies Short on Security SkillsMolte aziende sono a corto di competenze di sicurezzaThere is a wide gap between the IT security skills that organizations want and the corresponding skills that workers bring to the job.
C'é un largo vuoto fra le competenze che le aziende chiedono e quelle che i dipendenti hannoSecurity is at the top of the list of the technology skills that are most important to organizations today.
Sicurezza é in cima alla lista delle competenze tecnologiche piu rilevanti per le aziende.Il sondaggio comprende anche l'Italia, dove - lo
sappiamo giá - non
siamo messi bene.
Prevedo un buon futuro per
quella Generazione Y che dimostrerá di capirne (
anche)
di Sicurezza.
