Problemi con i numeri casuali

Avevo parlato qui della necessità di avere a disposizione generatori di numeri pseudocasuali affidabili.
Se, nel caso citato, il problema era legato all’algoritmo stesso, non dobbiamo mai dimenticare che anche utilizzando standard affidabili dal punto di vista della sicurezza, esiste sempre la possibilità che le implementazioni riducano drasticamente i benefici che la definizione teorica sembra garantire. Basta un piccolo bug, come quello notificato qui.

Modalità protetta

Sto preparando un corso. Nel documentarmi su alcuni aspetti ho incontrato il termine “modalità protetta” riferita al browser Internet Explorer. Il termine “modalità protetta” evoca in me simpatici ricordi di tempi passati a giocare con l’autexec.bat ed il config.sys con svariate versioni di MS_DOS, DR-DOS e Windows 3.x., pertanto non ho resistito dall’approfondire.

Inizio da qui:

Il browser Web incorporato di Windows Vista, Microsoft Internet Explorer (IE), include numerosi miglioramenti di protezione che proteggono gli utenti da attacchi di phishing e spoofing. Le nuove funzionalità comprendono Internet Explorer in modalità protetta, che impedisce a siti Web dannosi o a software malware di eliminare o modificare dati utente e impostazioni di configurazione.

Poi, da qui:

In Windows Vista, Internet Explorer 7 viene eseguito in modalità protetta per impedire gli attacchi mediante l'esecuzione del processo di Internet Explorer con diritti estremamente limitati. In modalità protetta, Internet Explorer 7 viene eseguito con diritti limitati per impedire la modifica dei file o delle impostazioni dell'utente o di sistema senza l'esplicita autorizzazione dell'utente. Questa funzionalità esclusiva di Windows Vista consente di assegnare agli utenti di Internet Explorer 7 solo i diritti necessari all'esplorazione sul Web e non quelli per la modifica dei file o delle impostazioni. In questo modo, i computer sono protetti dagli attacchi basati sul Web.

Non sono novità, forse, ai più. Ma non frequento la piattaforma Vista, se non per brevi e sporadiche configurazioni per amici, pertanto mi ero perso questa novità.

Richiamo quindi un interessante discussione sul sesso degli angeli (quale sistema operativo è più sicuro...) nel quale mi sono trovato a condividere, tra le altre, la considerazione di Feliciano Intini:

Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Microsoft fa solo software e abilita l'ecosistema di partner nel realizzare hardware (e quindi driver: è di Microsoft la responsabilità dei driver???) e software. Apple fa il software ma controlla parte dell'hardware su cui fa eseguire il suo OS. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no.

Quanto detto sopra, che mi trova in accordo, come per il resto la maggior parte del post, non quadra con le affermazioni Microsoft che ho citato all’inizio: come si fa a dichiarare come “nuove funzionalità” e “funzionalità esclusive” il fatto che un browser “impedisca” di modificare impostazioni, file e quant’altro?

Piuttosto, la mia meraviglia deriva dal fatto che si debba impedire qualcosa che non credo abbia niente a che fare con le funzionalità di un browser...

In questo caso non si parla di sesso degli angeli: non si tratta di dover risolvere problemi derivanti dalla realizzazione di un software di massa, di processi di sviluppo, del tipo di supporto e quant’altro. Ci si misura su aspetti di progettazione sicura, anzi: di buona progettazione. Peccato che (da qui):

La modalità protetta di Internet Explorer 7 è una delle numerose e innovative funzionalità di protezione incluse in Windows Vista. Disponibile solo per gli utenti di Internet Explorer 7 in Windows Vista Enterprise, la modalità protetta offre nuovi livelli di sicurezza e protezione dei dati per gli utenti di Microsoft Windows.

So che è un pò antipatico dirlo, ma questo non fa una piega rispetto a quanto i consulenti di sicurezza dicono da anni: la sicurezza ha un costo....

Demistificazioni 2

Nel rispetto del titolo del post, parlo di altri “falsi miti”: quello del ben noto algoritmo proprietario. 

In passato, non molto remoto, alla domanda

quali algoritmi implementate per la protezione di XXXX

 mi è stato talvolta risposto, con una punta di orgoglio, 

algoritmi proprietari, sviluppati dai nostri ricercatori

Nientemeno.

Di molti di queste soluzioni proprietarie non ho poi saputo niente: vuoi perchè si trattava di piccole componenti in soluzioni integrate, vuoi perchè con lo stesso orgoglio erano stati sviluppati gli altri elementi dell’applicazione :-)

Ebbene: esistono anche casi più noti. Mi vengono in mente le vicende della tecnologia SecurID.

I casi sono numerosi, basta cercarli.

Recente è quello dei dispositivi di accesso Mifare. Anche in questo caso algoritmo proprietario, naturalmente non solo ricostruito, ma sopratutto violato. 

Si discute sul costo dell’attacco: da poche centinaia a $9000 per avere l’accesso in un tempo che varia da poche ore a pochi giorni: l’immagine vuole la sua parte.

Anche perchè, come dice giustamente uno dei ricercatori che ha sollevato il polverone, di meccanismi d’accesso con problemi analoghi ve ne sono molti. Basta che qualcuno se ne occupi seriamente.

Security through obscurity: si merita pure una citazione su Wikipedia. 

L’algoritmo proprietario, di cui non si dovrebbe conoscere nulla, impedisce principalmente di sapere quanto si è insicuri, cosa della quale possiamo dire, per esempio, di DES, di MD[1..5] ed altri: per questi, alle prime avvisaglie, abbiamo avuto il tempo di migrare a migliori soluzioni. 

Immagino ci sia anche un altro lato della medaglia: il clamore dato spesso a scoperte fatte nel campo della crittografia. Per esempio, le collisioni individuate per SHA-1. Immagino che il mercato rifugga soluzioni che, ad un primo successo della crittoanalisi, rischiano di ottenere pubblicità negativa. 

Resta il fatto che, in tali casi, la soluzione continua ad essere sicura ed è possibile commercializzare un prodotto evoluto, anche sull’onda emotiva, certi che nel frattempo non si faccia la conta dei danni.

Demisitificazioni 1

Schneier dice:

The thing I like a lot is the political activism of the hack

Approvo, particolarmente quando tali azioni denotano una gradevole ironia, come in questo caso.
Inutile parlare dei limiti delle tecnologie biometriche, tipicamente violate proprio in quei film di fantaqualchecosa che da anni ne precorrono l’uso ed hanno diffuso un senso di sicurezza generalmente eccessivo.
Il concetto è semplice: sostituire l’autenticazione “tradizionale” basata su password (segreta) con un dato biometrico nasconde insidie non banali.
In primis, come dice l’articolo, perchè l’impronta, per quanto difficile possa essere reperirla, è un dato pubblico. Certo non sarà facile andare a bere un caffè con un Primo Ministro, ma suppongo sia relativamente facile farsi assumere come cameriere...
Infatti, con la biometria, quella delle impronte in particolare, non si può parlare di segreto ma di un atto diversamente non ripetibile, ovvero la fase di acquisizione dell’impronta durante l’autenticazione.
Ma è proprio così irripetibile?
Dipende dai lettori biometrici. In generale, purtroppo, non così tanto.
Fortunatamente, esistono prodotti in grado di analizzare gli strati interni dell’epidermide, o la configurazione dei vasi sanguigni. La mia opinione, fatto salvo che la robustezza dei meccanismi deve essere commensurata agli asset da proteggere, è quella di unire comunque un codice segreto al sistema di autenticazione, poichè è innegabile che al raffinamento della tecnologia di acquisizione corrisponderanno protesi “fake” altrettanto evolute.
Inoltre, lettori “evoluti” non servono a molto se la tecnologia di match non è altrettanto sicura, per esempio basandola su soluzioni tipo “match on card”. Insomma: lungi dall’essere una soluzione di facile valutazione, tenuto conto la scarsità di criteri di valutazione e standard di sicurezza.

Relazione evento ZeroUno

E’ passato un pò di tempo, ma casualmente ho trovato la relazione dell’evento organizzato dalla rivista ZeroUno del quale ho parlato qui.

Diffusione dei virus su terminali telefonici

Tra i diversi siti che contengono informazioni sui virus per apparati telefonici, per piattaforme Symbian e Windows Mobile questo è uno di quelli che costantemente tengo d’occhio.
Alla prossima!

Dati fiscali

A cosa fa riferimento questo post dovrebbe essere chiaro ai più.
Come sintesi, suggerisco questo articolo, tranne sulle conclusioni con le quali non concordo.
In sostanza, direi che l’Agenzia delle Entrate sia in diritto di effettuare la pubblicazione. Le norme che l’articolo citato illustra non esprimono un diniego, nè un criterio di permanenza.
L’assenza di una espressa autorizzazione verso il mezzo “internet” non pregiudica la pubblicazione on line: “sine lege, sine poena” è il principio con cui si basa il nostro ordinamento.

Queste norme, piuttosto, non tengono conto della natura del cambiamento degli ultimi anni, e probabilmente non l’ha fatto, ingenuamente, neppure l’Agenzia delle Entrate.
Due cambiamenti quasi enormi: la normativa sulla tutela dei dati personali, ed Internet.
La prima ci ha educato (e spesso influenzato più che garantito) sotto il profilo della riservatezza delle informazioni. Non ricordo una attenzione alla riservatezza propria ed altrui come quella attuale, parlando dell’“uomo della strada”, quando questa norma non c’era.
Il secondo cambiamento, internet, è di maggiore portata, e naturalmente rende inadatte le logiche tradizionali, ovvero il fatto che il diritto di accesso alle informazioni sia naturalmente soggetto ad una limitazione della diffusione di tali dati per la difficoltà di accedervi, di crearne delle copie e di aiutarne la diffusione.
Tuttavia,

• i dati pubblicati, per essere precisi, sono relativi all’imponibile. Non permettono di risalire al dettaglio, per esempio, delle spese sanitarie, di eventuali donazioni a istituzioni politiche, culturali, religiose. Non permettono di risalire allo stipendio, anche se lasciano intuire il tenore di vita: riferiscono sostanzialmente in quanta parte il contribuente contribuisce con le proprie tasse all’erario


• tali dati sono pubblici o, per essere precisi “destinati alla diffusione”: sono pubblicati sui quotidiani e sono disponibili per la consultazione


• come dicevo, tali dati non sono sensibili: sono comuni come il numero di telefono.

Pertanto, non vedo un caso.

Vedo molta disinformazione. Come mi ha fatto notare un amico, nessuno ha spiegato esattamente quali dati siano stati effettivamente pubblicati ed il loro reale significato. Ho sentito dire addirittura che una qualche associazione di commercialisti ha deciso di sporgere denuncia per danni relativi ai costi che questi devono sostenere per adeguarsi alla privacy, quando a loro dire gli stessi sono poi resi pubblici.
Come se i miei scontrini della farmacia avessero lo stesso valore, per la mia privacy, dell’imponibile dichiarato.

Piuttosto, qualcuno ha visto quanto dichiara il proprio commercialista? :-))))))

VM e S.O.

Recentemente ho svolto un paio di seminari sulla sicurezza e la virtualizzazione.
Un aspetto che, per problemi di tempo non ho approfondito (c’è veramente molto da dire, sul tema!) riguarda la sicurezza dei sistemi operativi quando si passa da un ambiente tradizionale ad una installazione su una macchina Guest.
In generale, come ho avuto modo di dire, il fatto di aggiungere uno strato di complessità ad una architettura causa necessariamente un degrado della sicurezza, facilmente dimostrabile prendendo in esempio delle note vulnerabilità.
Questo non deve costituire di per se un limite all’adozione delle soluzioni di virtualizzazione, poichè tali problematiche sono certamente controbilanciate da evidenti vantaggi in termini di gestione della sicurezza IT.
D’altro canto, tale passaggio evolutivo non può prescindere da una consapevolezza dei problemi ai quali si rischia di incorrere, come è troppo spesso accaduto in passato in altri ambiti. In tale scenario, il vantaggio dovrebbe essere proprio quello di una maggiore capacità di misurare il peso dei vantaggi nei confronti dei potenziali rischi.

Tutto ciò premesso, qualche tempo fa mi è capitato, come forse a molti di voi, di leggere e riportare questa notizia. Dato che mi ero ripromesso di provare a fare dei test, mi sono organizzato con le ricerche, imbattendomi in questo sito: consiglio a tutti la lettura e la ripetizione del test (io non ho ancora avuto tempo), molto interessante.
Alla fine del post, l’autore registra un dato interessante, a mio avviso la cosa di maggiore interesse:

his was taken in VMWare, with a virtual hard drive as the boot device, since VMWare doesn't support booting from USB. It's interesting that while VMWare does not retain anything in VMs' memory after a cold boot, it does retain data in memory if the virtual machine is rebooted.

Ovvero: come è giusto che sia, in caso di “cold boot” i dati del Guest sono rimossi dalla memoria. Questo probabilmente ad opera del sistema di virtualizzazione (nel caso in cui le aree di memoria suddette siano ancora assegnate al processo, o che il processo non sia stato chiuso) oppure per effetto della chiusura del processo nel quale è in esecuzione la VM.
In caso di reboot, al contrario, i dati ci sono, eccome! Evidentemente in caso di reboot si mantiene l’allocazione della memoria fisica destinata alla RAM virtualizzata (sarebbe poi da capire quali siano le modalità di gestione effettiva della stessa) senza che nessuno si preoccupi di ripulirne il contenuto.

Non mi concentrerei sul prodotto: molto probabilmente il problema vale per la maggior parte delle soluzioni di virtualizzazione. Il punto, piuttosto, è: si tratta di un problema delle soluzioni di virtualizzazione?
Probabilmente no: il S.O. non ripulisce la propria memoria in fase di shutdown, non ne ha il tempo, ammesso che lo faccia.
La cosa potrebbe non costituire un grave problema su una macchina fisica, sopratutto se in un ambiente controllato fisicamente, dove non sia possibile attuare questo attacco, mentre la cosa può risultare problematica in caso di virtualizzazione, se non si è certi di cosa sarà eseguito dal Guest dopo il reboot.

Solidità e sicurezza

Ascoltando le notizie passate sul caso Alitalia sono stato colpito dalle dichiarazioni dell’ENAC, secondo le quali quando la crisi di una azienda di aviotrasporti assume le dimensioni della compagnia di bandiera possono scattare misure che possono portare al ritiro o sospensione del brevetto di volo.
Il principio è interessante: in assenza di liquidità o meglio in presenza di una crisi scattano apposite procedure che pongono sotto attenzione l’azienda interessata, per evitare il rischio che la stessa offra un servizio degradato. Quando questo è l’aviotrasporto, sale il rischio che a rimetterci sia la sicurezza. Da qui il possibile ritiro del brevetto.
Aggiungerei che, in una situazione come quella di Alitalia, è all’interno dell’intero indotto che si corre il rischio che qualche componente della catena del valore del servizio si “degradi”. Anche perchè le stesse persone operano in un contesto di stress emotivo maggiore che non aiuta certo nello svolgimento di mansioni, molto spesso, “delicate”.

Perchè ne parlo in questo blog: perchè questo concetto non trova analogie in ambito informatico. Una azienda in crisi, probabilmente, taglierà i propri costi A PARTIRE da quelli della sicurezza, cosa che fortunatamente una società di aviotrasporti non può fare.

L’unica similitudine che mi viene in mente riguarda la Firma Qualificata: in questo caso il principio che si applica è sostanzialmente preventivo: può essere Certificatore Qualificato il soggetto che soddisfa i requisiti di onorabilità previsti per le banche (e quindi, ad esempio, che ha un capitale interamente versato di almeno 6 milioni di euro).

Le certificazioni internazionali che hanno impatti sulla sicurezza IT, per esempio il capitolo 404 della SOX, non prevedono forme di intervento preventivo in caso di problematiche economiche, sostanzialmente regolate da altri meccanismi del mercato o dalla stessa certificazione, ma sulla base di altri elementi di valutazione.

In pratica, pare che non vi siano ambiti dove l’IT riveste un carattere di rischio tale da esigere entità di controllo con poteri di intervento preventivi in grado di abbattere il rischio in termini di probabilità. Ma è proprio vero?

Insiders: l'ennesima frode all'899

Quando gli intruders sono gli insiders: questa notizia può essere considerata l’ennesima truffa telefonica, ma ha poco di telefonico per la principale vittima: TelecomItalia.
Personale delle pulizie in un Centro Direzionale, mediante violazioni informatiche, otteneva, cito, “migliaia di ricariche telefoniche fraudolente” da spendere poi verso numeri 899 per trasformare il traffico oggetto di furto in moneta sonante pagata probabilmente dallo stesso operatore a coloro che hanno orchestrato il danno.

E’ evidente, per l’ennesima volta, come un fattore di rischio elevato per le aziende è certamente la frode perpetrata dall’interno. Per “interno” sono possibili diverse interpretazioni:

• gli insider sono personale dell’azienda che svolge mansioni compatibili con le azioni che permettono di perpetrare il reato (quindi sfruttano in modo malevole dei privilegi assegnati per compiti leciti);


• gli insider sono consulenti, interinali o altri soggetti che operano come se fossero personale dell’azienda;


• gli insider lavorano dentro l’azienda, ma con mansioni diverse o privilegi tali da dover perpetrare azioni illecite per poter mettere in atto la frode vera e propria.

Il caso citato sembra rientrare in quest’ultima categoria. In particolare, la mansione è tanto diversa da cambiare la definizione di “insider” in “colui che si trova (fisicamente) all’interno dei locali dell’azienda”. Già, perchè pur in assenza di un accesso informatico, non certo necessario per le pulizie, a quanto si capisce è proprio mediante violazione informatica che venivano attivate le ricariche poi utilizzate verso le numerazioni 899.

Questo la dice lunga sul rapporto tra sicurezza fisica e logica, sui controlli antipermanenza e certamente sulla necessità che i meccanismi di protezione logica siano sufficientemente “deep” per rendere inutilizzabili non solo i sistemi, ma anche la rete interna ai locali e le stesse applicazioni.
Con questo ovviamente non esprimo un giudizio sulla “vittima”, che per altro è stata in grado di individuare il problema perchè si giungesse ad una conclusione. Al di là della dimensione (milioni di euro) del problema, identificare potenziali frodi avvenute utilizzando (potenti) strumenti disponibili al personale non è sempre possibile, praticamente mai è facile.
Voglio piuttosto sottolineare di nuovo l’elemento critico costituito dagli attacchi provenienti da insiders, tematica certamente spinosa e di difficile trattazione ma che in ambito sicurezza non può essere ignorata.
Per finire non concordo con le conclusioni dell’articolo citato. La frode è informatica, anche se il danno si manifesta in ambito telefonico.