Poisoning

Sto preparando il seminario sulla sicurezza degli ambienti virtualizzati che terrò il 7 Febbraio a Infosecurity, e mi sono imbattuto su questa vignetta:

Speriamo non sia di pessimo auspicio!

Lista dei Security Blog

Questo blog è da qualche giorno recensito nella lista dei security blog italiani di Feliciano Intini. Mi fa molto piacere, vista la compagnia, direi ottima(!!), e perchè leggo da qualche mese quello stesso blog, sia per i contenuti, sia perchè aprirsi ad un confronto, da insider, sulle tecnologie MS non è certo cosa facile se non si è in grado di farlo in modo autorevole.

Primo trojan iPhone, e altro...

Dobbiamo meravigliarci? Non direi, visto quanto per almeno due volte le protezioni messe in atto per vincolare l'uso del terminale alla SIM siano state violate. Ma un trojan è un'altra cosa, e se nel caso specifico gli effetti sembrano essere più quelli di un test che di un vero e proprio malware "in esercizio", la cosa non deve passare inosservata.
IPhone è un prodotto insicuro? Non trarrei conclusioni affrettate. Semplicemente, come per un noto sistema operativo, la comunità lo trova un bersaglio più interessante di altri, dopodichè certamente le caratteristiche del dispositivo fanno il resto...
Per altro, girando per la rete i pareri sulla sicurezza di iPhone sembrano generalmente orientati verso una bocciatura (non tutti, però...). La potenza è nulla senza controllo, recitava una nota pubblicità, e indubbiamente il terminale della casa di Cupertino ha delle caratteristiche interessanti. Tuttavia, non posso non notare come il settore della sicurezza meriterebbe modalità di comunicazione migliori di questa. Cito:
I prodotti della tale marca "are going to kill [the iPhone] from a security [perspective]"
Ci mancherebbe: iPhone non era ancora uscito, il mercato era tutto di "tale marca".

Recentemente, al convegno NSS07 a Pisa ho avuto modo di ascoltare un vendor di terminali telefonici mobili parlare di un sistema di gestione enterprise dei cellulari aziendali. Il prodotto, secondo il relatore, consentiva tra le altre cose il controllo del parco applicativo installato ed in esecuzione sul terminale. Quindi, a seguito di una mia domanda, ha aggiunto che il sistema centrale periodicamente si collegava al terminale (o viceversa, non ricordo) per eseguire tale controllo.
Non mi pare si tratti della stessa cosa, anche se il prodotto è interessante per se... Magari, se non fosse possibile installare il software se non preventivamente autorizzato....
Cito e richiamo questo post sul problema centrale: stessi errori di sempre. Si aggiunge sicurezza all'insicurezza di base di una intera classe di prodotti che hanno la peculiarità di ospitare dati critici e per giunta di offrire una elevata percezione di sicurezza.
La cosa peggiore è che i S.O. di questi dispositivi, in realtà, offrirebbero molte delle feature di protezione disponibili, alcune non da molto, nei moderni sistemi operativi dei PC! Per alcuni prodotti si parla di cento e più impostazioni configurabili!
Solo che se comprerete quei prodotti, saranno quasi certamente disabilitate.

Ancora su Time Machine e backup su MacOS (Leopard)

Ringraziando l'autore, rispondo a questo commento con un aggiornamento alla questione del backup con Time Machine che avevo intenzione di scrivere.

Time Machine non adotta alcun sistema di protezione oltre ai meccanismi di controllo accesso ai dati previsti dal file system. Questo significa, sostanzialmente, che il livello di protezione dei dati della partizione o del disco ove sono salvati i dati da T.M. è equivalente a quello offerto per gli stessi dati sul disco originale. Per altro, con il rischio in più del furto del disco esterno, il cui valore economico, marginale rispetto a quello di un PC, è tipicamente causa di una minore attenzione da parte del proprietario rispetto al (faccio il mio esempio) portatile, ed in più è certamente più facile da rubare.

Per quanto mi riguarda, utilizzo FileVault per cifrare interamente la home directory, proprio per ovviare a questo problema. Le informazioni più critiche, poi, le conservo in file immagine cifrati (AES 128-256bit) creati con Disk Utility, ed ovviamente con una password diversa da quella utilizzata per l'accesso al sistema. Questo perchè FileVault non offre, di per se, protezione dal momento che l'utente accede al sistema, quando il meccanismo di cifratura è trasparente alle applicazioni, "buone o cattive" che siano.

Personalmente, riscontrata l'assenza di meccanismi di cifratura da parte di Time Machine, ho ripristinato il sistema di backup che utilizzavo con Mac OS X 10.4 (Tiger):

1. ho creato un volume virtuale cifrato con Disk Utility, di dimensioni adeguate per ospitare i miei backup
2. ho scelto, tra vari software disponibili per il backup, iBackup, configurandolo per utilizzare, come destinazione dei dati di backup, il volume virtuale cifrato
3. ho installato iBackup sul volume virtuale cifrato, e ho creato uno shortcut sul Dock.

A questo punto, quando devo eseguire il backup, basta fare click sull'icona di iBackup perchè il sistema mi richieda la password di decifratura del volume virtuale per accedere all'applicazione. Il sistema, monta quindi il volume, avvia iBackup ed effettua il backup. Il meccanismo funziona anche creando degli script per pianificare l'operazione in modo automatico ma, visto che devo inserire la password e che sono un ragazzo diligente :-) , faccio tutto giornalmente a mano.

iBackup è una delle possibilità. A me piace perchè unisce semplicità di utilizzo a meccanismi standard di compressione e salvataggio dei dati (crea archivi cpio, cpgz o si appoggia a rsync). La semplicità di utilizzo risiede nella possibilità di selezionare, oltre alle directory delle quali l'utente vuole fare delle copie di sicurezza, anche le impostazioni personali e di sistema, le applicazioni etc... Per esempio, la posta elettronica, che come sapranno gli utenti della mela è conservata in "Library".
Il restore funziona bene, e comunque trattandosi di archivi standard, non è necessario avere a disposizione iBackup per ripristinare il tutto, la qual cosa è per me un elemento indispensabile di scelta di un meccanismo di backup (inizialmente utilizzavo Windows, poi Linux ed adesso MacOS, e sono sempre stato in grado di accedere ai backup fatti con i S.O. precedenti, guarda un pò!).

Classifica di sicurezza dei prodotti Open Source

Qui segnalo una classifica sulla sicurezza di prodotti Open Source stilata da Coverity nell'ambito del progetto Scan.
Come ho scritto, i risultati non vanno intesi in senso assoluto per valutare la "bontà" dei prodotti. Significativa è la percentuale di bug riscontrati per migliaio di righe di codice, ma a mio avviso il dato più importante si ritrova nelle colonne "Defect Report Summary": è costituito dalle segnalazioni che non sono state recepite, relative a problemi ancora presenti nel codice o afferenti a falsi positivi. Può essere indicativo della capacità del progetto Open Source di far fronte alle segnalazioni che provengono dagli utenti, fattore non trascurabile per prodotti non prettamente commerciali.

Sicurezza e business

Mi ri-cito. Ho colto l'occasione di parlare, qui, di un ormai vecchio post di Schneier che mi ha colpito. Non soltanto per l'approccio che suggerisce, ma perchè mi ha fatto ripensare a casi in cui, nello scorso anno,  mi sono trovato ad affrontare un aspetto che in passato avrei definito "happy-problem": casi in cui la sicurezza è posta come un limite al business aziendale, spesso più per un problema di dialogo tra le strutture aziendali che come risultato di analisi oggettive dei problemi che si devono affrontare.

Spesso è vero che quelli che fanno il mio mestiere (e a volte devo dire: anche io...) tendono a chiudersi nel proprio ambito, dimenticando che la prima vera difficoltà è proprio quella di bilanciare correttamente l'esigenza di sicurezza e quella di business. 

Certo, i casi sono diversi, e spesso non si può trascendere dal porre dei limiti. Ma questi casi dovrebbero essere rari. Faccio una analogia: se per un qualche altro ambito dell'informatica si risponde "non è possibile", il cliente spesso è portato a pensare che il suo interlocutore non abbia sufficienti frecce al proprio arco. E molto spesso non ha torto... 

P.S.

Continuerò su questo argomento. 

Il lato opposto della medaglia è, infatti, molto più difficile da trattare.  Quando, e come, la sicurezza diviene un elemento del business di una azienda, ovvero è accettata e valorizzata come tale? 

Worm Wi-Fi

Come ho scritto poco fa, è appena nato il Blog del CLUSIT.
Scriverò alcuni post, se a mio avviso interessanti in quel contesto, sperando possa essermi di aiuto ad essere più "disciplinato" nel mantenere una frequenza "decente" di aggiornamento del sito.
Quindi mi cito: un primo post sulla recente notizia relativa ad uno studio che ipotizza la realizzazione, nel prossimo futuro, di worm che hanno come mezzo di diffusione, e come bersaglio, i router Wi-Fi. Credo sia un lavoro interessante, oltre che realista nelle ipotesi e valido nei risultati. Da tenere in considerazione, vista la diffusione che hanno (ed avranno, anche grazie alla prossima realizzazione della copertura WiMax in Italia) le reti wireless.

E' nato il blog del CLUSIT

L'iniziativa è di qualche mese fa. Sta nascendo il blog del CLUSIT. Non aggiungo parole oltre a quelle del Presidente, a parte l'invito alla partecipazione(!):

MESSAGGIO DEL PRESIDENTE AI SOCI CLUSIT
=======================================

Carissimi soci,

dopo qualche mese di "sperimentazione" prende il via il blog del CLUSIT, uno spazio in cui i soci possono partecipare con segnalazioni, commenti e riflessioni sul mondo della sicurezza.

E' un modo nuovo di favorire la partecipazione dei soci al dibattito e nel contempo di offrire al mercato spunti e suggerimenti perchè ci sia sempre più informazione e consapevolezza che la protezione dei sistemi informativi è una necessità inderogabile e vitale per le istituzioni, le imprese e per i singoli individui.

La formula del blog offre immediatezza e tempestività nell'informazione e allarga, attraverso i commenti, il dialogo con l'utenza più generale, preparandoci a giocare il ruolo di orientamento che il CLUSIT intende svolgere attivamente con la prossima iniziativa di "Online Sicuro" di cui daremo i dettagli nel corso di Infosecurity il prossimo febbraio.

La pubblicazione dei messaggi è riservata ai soci a cui è affidata la responsabilità dei contenuti e del rispetto di una "netiquette" che mantenga alto il livello e la qualità che ha sempre contraddistinto il CLUSIT, in questa come in tutte le sue altre iniziative.

Il sito è già visibile all'indirizzo http://blog.clusit.it (se avete un aggregatore RSS attivate subito il feed!) e ci auguriamo che, dopo qualche mese ancora di "rodaggio", possa diventare un punto di riferimento autorevole e utile per tutti e possa offrire contenuti e spunti che periodicamente saranno riportati sulla newsletter e sul sito ufficiale dell'associazione che continueranno a svolgere la loro insostituibile funzione.

Chi vuole contribuire alla redazione del blog può fare richiesta delle credenziali di accesso sottoscrivendo l'accettazione delle regole di "netiquette" scrivendo a blog@clusit.it.

Mi è gradita l'occasione dell'avvio di questa nuova iniziativa per fare a tutti i migliori auguri per un sereno e proficuo 2008.

Cordialmente

Gigi Tagliapietra

Finito!

...per ora....

Ho terminato di aggiornare la grafica del sito web.

Pant!

Aggiornamento grafico del sito

Come potete vedere (se non state leggendo da un reader RSS) è in corso un aggiornamento grafico del sito web, che si concluderà (spero!) nelle prossime ore.