Relazione evento ZeroUno

E’ passato un pò di tempo, ma casualmente ho trovato la relazione dell’evento organizzato dalla rivista ZeroUno del quale ho parlato qui.

Diffusione dei virus su terminali telefonici

Tra i diversi siti che contengono informazioni sui virus per apparati telefonici, per piattaforme Symbian e Windows Mobile questo è uno di quelli che costantemente tengo d’occhio.
Alla prossima!

Dati fiscali

A cosa fa riferimento questo post dovrebbe essere chiaro ai più.
Come sintesi, suggerisco questo articolo, tranne sulle conclusioni con le quali non concordo.
In sostanza, direi che l’Agenzia delle Entrate sia in diritto di effettuare la pubblicazione. Le norme che l’articolo citato illustra non esprimono un diniego, nè un criterio di permanenza.
L’assenza di una espressa autorizzazione verso il mezzo “internet” non pregiudica la pubblicazione on line: “sine lege, sine poena” è il principio con cui si basa il nostro ordinamento.

Queste norme, piuttosto, non tengono conto della natura del cambiamento degli ultimi anni, e probabilmente non l’ha fatto, ingenuamente, neppure l’Agenzia delle Entrate.
Due cambiamenti quasi enormi: la normativa sulla tutela dei dati personali, ed Internet.
La prima ci ha educato (e spesso influenzato più che garantito) sotto il profilo della riservatezza delle informazioni. Non ricordo una attenzione alla riservatezza propria ed altrui come quella attuale, parlando dell’“uomo della strada”, quando questa norma non c’era.
Il secondo cambiamento, internet, è di maggiore portata, e naturalmente rende inadatte le logiche tradizionali, ovvero il fatto che il diritto di accesso alle informazioni sia naturalmente soggetto ad una limitazione della diffusione di tali dati per la difficoltà di accedervi, di crearne delle copie e di aiutarne la diffusione.
Tuttavia,

• i dati pubblicati, per essere precisi, sono relativi all’imponibile. Non permettono di risalire al dettaglio, per esempio, delle spese sanitarie, di eventuali donazioni a istituzioni politiche, culturali, religiose. Non permettono di risalire allo stipendio, anche se lasciano intuire il tenore di vita: riferiscono sostanzialmente in quanta parte il contribuente contribuisce con le proprie tasse all’erario


• tali dati sono pubblici o, per essere precisi “destinati alla diffusione”: sono pubblicati sui quotidiani e sono disponibili per la consultazione


• come dicevo, tali dati non sono sensibili: sono comuni come il numero di telefono.

Pertanto, non vedo un caso.

Vedo molta disinformazione. Come mi ha fatto notare un amico, nessuno ha spiegato esattamente quali dati siano stati effettivamente pubblicati ed il loro reale significato. Ho sentito dire addirittura che una qualche associazione di commercialisti ha deciso di sporgere denuncia per danni relativi ai costi che questi devono sostenere per adeguarsi alla privacy, quando a loro dire gli stessi sono poi resi pubblici.
Come se i miei scontrini della farmacia avessero lo stesso valore, per la mia privacy, dell’imponibile dichiarato.

Piuttosto, qualcuno ha visto quanto dichiara il proprio commercialista? :-))))))

VM e S.O.

Recentemente ho svolto un paio di seminari sulla sicurezza e la virtualizzazione.
Un aspetto che, per problemi di tempo non ho approfondito (c’è veramente molto da dire, sul tema!) riguarda la sicurezza dei sistemi operativi quando si passa da un ambiente tradizionale ad una installazione su una macchina Guest.
In generale, come ho avuto modo di dire, il fatto di aggiungere uno strato di complessità ad una architettura causa necessariamente un degrado della sicurezza, facilmente dimostrabile prendendo in esempio delle note vulnerabilità.
Questo non deve costituire di per se un limite all’adozione delle soluzioni di virtualizzazione, poichè tali problematiche sono certamente controbilanciate da evidenti vantaggi in termini di gestione della sicurezza IT.
D’altro canto, tale passaggio evolutivo non può prescindere da una consapevolezza dei problemi ai quali si rischia di incorrere, come è troppo spesso accaduto in passato in altri ambiti. In tale scenario, il vantaggio dovrebbe essere proprio quello di una maggiore capacità di misurare il peso dei vantaggi nei confronti dei potenziali rischi.

Tutto ciò premesso, qualche tempo fa mi è capitato, come forse a molti di voi, di leggere e riportare questa notizia. Dato che mi ero ripromesso di provare a fare dei test, mi sono organizzato con le ricerche, imbattendomi in questo sito: consiglio a tutti la lettura e la ripetizione del test (io non ho ancora avuto tempo), molto interessante.
Alla fine del post, l’autore registra un dato interessante, a mio avviso la cosa di maggiore interesse:

his was taken in VMWare, with a virtual hard drive as the boot device, since VMWare doesn't support booting from USB. It's interesting that while VMWare does not retain anything in VMs' memory after a cold boot, it does retain data in memory if the virtual machine is rebooted.

Ovvero: come è giusto che sia, in caso di “cold boot” i dati del Guest sono rimossi dalla memoria. Questo probabilmente ad opera del sistema di virtualizzazione (nel caso in cui le aree di memoria suddette siano ancora assegnate al processo, o che il processo non sia stato chiuso) oppure per effetto della chiusura del processo nel quale è in esecuzione la VM.
In caso di reboot, al contrario, i dati ci sono, eccome! Evidentemente in caso di reboot si mantiene l’allocazione della memoria fisica destinata alla RAM virtualizzata (sarebbe poi da capire quali siano le modalità di gestione effettiva della stessa) senza che nessuno si preoccupi di ripulirne il contenuto.

Non mi concentrerei sul prodotto: molto probabilmente il problema vale per la maggior parte delle soluzioni di virtualizzazione. Il punto, piuttosto, è: si tratta di un problema delle soluzioni di virtualizzazione?
Probabilmente no: il S.O. non ripulisce la propria memoria in fase di shutdown, non ne ha il tempo, ammesso che lo faccia.
La cosa potrebbe non costituire un grave problema su una macchina fisica, sopratutto se in un ambiente controllato fisicamente, dove non sia possibile attuare questo attacco, mentre la cosa può risultare problematica in caso di virtualizzazione, se non si è certi di cosa sarà eseguito dal Guest dopo il reboot.

Solidità e sicurezza

Ascoltando le notizie passate sul caso Alitalia sono stato colpito dalle dichiarazioni dell’ENAC, secondo le quali quando la crisi di una azienda di aviotrasporti assume le dimensioni della compagnia di bandiera possono scattare misure che possono portare al ritiro o sospensione del brevetto di volo.
Il principio è interessante: in assenza di liquidità o meglio in presenza di una crisi scattano apposite procedure che pongono sotto attenzione l’azienda interessata, per evitare il rischio che la stessa offra un servizio degradato. Quando questo è l’aviotrasporto, sale il rischio che a rimetterci sia la sicurezza. Da qui il possibile ritiro del brevetto.
Aggiungerei che, in una situazione come quella di Alitalia, è all’interno dell’intero indotto che si corre il rischio che qualche componente della catena del valore del servizio si “degradi”. Anche perchè le stesse persone operano in un contesto di stress emotivo maggiore che non aiuta certo nello svolgimento di mansioni, molto spesso, “delicate”.

Perchè ne parlo in questo blog: perchè questo concetto non trova analogie in ambito informatico. Una azienda in crisi, probabilmente, taglierà i propri costi A PARTIRE da quelli della sicurezza, cosa che fortunatamente una società di aviotrasporti non può fare.

L’unica similitudine che mi viene in mente riguarda la Firma Qualificata: in questo caso il principio che si applica è sostanzialmente preventivo: può essere Certificatore Qualificato il soggetto che soddisfa i requisiti di onorabilità previsti per le banche (e quindi, ad esempio, che ha un capitale interamente versato di almeno 6 milioni di euro).

Le certificazioni internazionali che hanno impatti sulla sicurezza IT, per esempio il capitolo 404 della SOX, non prevedono forme di intervento preventivo in caso di problematiche economiche, sostanzialmente regolate da altri meccanismi del mercato o dalla stessa certificazione, ma sulla base di altri elementi di valutazione.

In pratica, pare che non vi siano ambiti dove l’IT riveste un carattere di rischio tale da esigere entità di controllo con poteri di intervento preventivi in grado di abbattere il rischio in termini di probabilità. Ma è proprio vero?

Insiders: l'ennesima frode all'899

Quando gli intruders sono gli insiders: questa notizia può essere considerata l’ennesima truffa telefonica, ma ha poco di telefonico per la principale vittima: TelecomItalia.
Personale delle pulizie in un Centro Direzionale, mediante violazioni informatiche, otteneva, cito, “migliaia di ricariche telefoniche fraudolente” da spendere poi verso numeri 899 per trasformare il traffico oggetto di furto in moneta sonante pagata probabilmente dallo stesso operatore a coloro che hanno orchestrato il danno.

E’ evidente, per l’ennesima volta, come un fattore di rischio elevato per le aziende è certamente la frode perpetrata dall’interno. Per “interno” sono possibili diverse interpretazioni:

• gli insider sono personale dell’azienda che svolge mansioni compatibili con le azioni che permettono di perpetrare il reato (quindi sfruttano in modo malevole dei privilegi assegnati per compiti leciti);


• gli insider sono consulenti, interinali o altri soggetti che operano come se fossero personale dell’azienda;


• gli insider lavorano dentro l’azienda, ma con mansioni diverse o privilegi tali da dover perpetrare azioni illecite per poter mettere in atto la frode vera e propria.

Il caso citato sembra rientrare in quest’ultima categoria. In particolare, la mansione è tanto diversa da cambiare la definizione di “insider” in “colui che si trova (fisicamente) all’interno dei locali dell’azienda”. Già, perchè pur in assenza di un accesso informatico, non certo necessario per le pulizie, a quanto si capisce è proprio mediante violazione informatica che venivano attivate le ricariche poi utilizzate verso le numerazioni 899.

Questo la dice lunga sul rapporto tra sicurezza fisica e logica, sui controlli antipermanenza e certamente sulla necessità che i meccanismi di protezione logica siano sufficientemente “deep” per rendere inutilizzabili non solo i sistemi, ma anche la rete interna ai locali e le stesse applicazioni.
Con questo ovviamente non esprimo un giudizio sulla “vittima”, che per altro è stata in grado di individuare il problema perchè si giungesse ad una conclusione. Al di là della dimensione (milioni di euro) del problema, identificare potenziali frodi avvenute utilizzando (potenti) strumenti disponibili al personale non è sempre possibile, praticamente mai è facile.
Voglio piuttosto sottolineare di nuovo l’elemento critico costituito dagli attacchi provenienti da insiders, tematica certamente spinosa e di difficile trattazione ma che in ambito sicurezza non può essere ignorata.
Per finire non concordo con le conclusioni dell’articolo citato. La frode è informatica, anche se il danno si manifesta in ambito telefonico.

E' reato dichiarare il falso al Certificatore

E’ passato un pò di tempo dall’ultima volta che ho scritto.
Mi sono appuntato alcune news, che via via cercherò di inserire mano a mano che recupero anche i ritardi lavorativi :-) dovuti ad un picco (indovinate perchè!?) di attività verso la fine di Marzo.
Riporto quindi rapidamente la notizia, da Interlex: la falsa dichiarazione verso il Certificatore è reato.
Certamente questo reato aggiunge un elemento non di poco conto nell’impianto della catena di fiducia nell’ambito dell’uso della firma a valore legale, anche se “rincorre” e non precede condotte ormai diffuse, come sottolinea l’articolo di Cammarata. Con lo stesso non sono completamente d’accordo quando scrive:

“Un punto deve essere valutato con attenzione: la norma parla di "servizi di certificazione delle firme elettroniche", senza aggiungere l'aggettivo "qualificate". Non è (speriamo!) una svista. Infatti nell'ambito delle electronic signatures previste dalla direttiva 1999/93/ ci sono anche le "segnature" che non sono firme qualificate. Rientrano in questa categoria, per esempio, i certificati digitali che sono alla base delle transazioni telematiche "sicure". In questo settore una falsa dichiarazione a un certificatore può essere il primo passo verso una truffa telematica. Dunque, anche per questo la qualifica di reato è opportuna.”
In particolare, ho dubbi sulla proporzionalità del reato penale rispetto ad una presunta falsa certificazione rispetto ad un certificatore “non qualificato”.
Mi domando, ad esempio, se il reato sia tale per i certificati di “infimo livello”, come quelli rilasciati mediante procedure on-line prive di controlli, oppure se questo presupposto non imponga degli obblighi a chi, realizzando dei servizi senza scopi di lucro o specifiche finalità, emetta certificati che non aspirino a certificare l’identità anagrafica degli utenti.
Con la chiave di lettura proposta, si alimenta il falso presupposto che verso tutti i certificatori gli utenti utilizzino le vere identità, piuttosto che degli alias. Molto meglio fare distinzioni per affidabilità dei servizi di certificazione, affidarsi ad un numero ristretto di questi, che alimentare false aspettative di sicurezza, quando questa dovrebbe essere garantita dallo spauracchio di un reato!

Attacchi alle unità di memoria (2)

Aggiornamento, più che altro una provocazione, al precedente post sul tema.
Che bisogno c'è di cifrare i dati del sistema quando, come si legge dalla documentazione di TrueCrypt:

Paging File
(...)
Also called 'swap file'; Windows uses this file (usually stored on a hard disk) to hold parts of programs and data files that do not fit in memory. This means that sensitive data, which you believe are only stored in RAM, can actually be written unencrypted to a hard disk by Windows without you knowing.

TrueCrypt always attempts to lock the memory areas in which cached passwords, encryption keys, and other sensitive data are stored, in order to prevent such data from being leaked to paging files. However, note that Windows may reject or fail to lock memory for various (documented and undocumented) reasons.

Non ho prove a credito nè a discredito di tale affermazione, che ho sentito più volte, sulla quale non faccio commenti.
In primis, non è detto che il problema sia limitato al solo OS di casa Redmond. Il fatto stesso che esista un meccanismo di lock dimostra quanto meno attenzione al problema. Se poi l'implementazione va in deroga allo stesso....
In secondo luogo, direi che un approccio sensato sia comunque valutare il rischio che dati sensibili che "dovrebbero" trovarsi in memoria, prima o poi finiscano sul disco, da qualche parte, non necessariamente dove vorremmo. Questo vale allo stesso modo per i contenuti dei documenti che stiamo scrivendo, e nessun0 se ne fa meraviglia.

In generale, aggiungerei al mio precedente post sul tema che i meccanismi di cifuratura del disco, se comprendono le aree destinate ai file temporanei, possono quanto meno garantire che tali dati, residenti anche dopo la chiusura delle applicazioni o del sistema, sono quanto meno non leggibili se non si è a conoscenza della password di decifratura del disco.
Tuttavia, quale consolazione alla luce di quanto detto all'inizio...

Il riferimento al software TrueCrypt testé citato deriva dal fatto che da tempo mi ero ripromesso di provare questa soluzione, e che dopo aver scritto di problemi di cifratura mi sono finalmente deciso a farlo.
Della versione in ambiente Apple, per adesso, mi ha colpito favorevolmente il fatto che dopo un certo tempo il servizio faccia automaticamente l'unmount del volume cifrato.
Tornerò a parlarne dopo averlo provato per più tempo.

Ottenere informazioni top-secret

Curioso come, parlando di sicurezza, ci si pongano problemi complessi quando spesso sono trascurati gli accorgimenti di base per proteggere le informazioni più critiche.

In alcune occasioni mi sono stati presentati prodotti che decantano favolose proprietà di sicurezza; quelle sulle quali "non si può discutere" (quanto meno con i commerciali :-) ) in quanto a robustezza sono in genere le soluzioni israeliane o utilizzate in ambito militare. Conosco molti prodotti tra le prime e posso dire che certamente risultano tra i più interessanti, non conosco l'ambiente militare ma non posso pensare che in quell'ambito le soluzioni tradiscano la fama di cui si rivestono.

N.B.
Sono abbastanza disilluso nell'associare prodotti agli ambiti di utilizzo, quindi in generale quando una proposta commerciale è di questo tipo, francamente a me non crea suggestione, anzi... Prevalentemente perchè, come ci insegna l'esperienza, non è il prodotto che fa la sicurezza e tanto meno la sua integrazione sarà indolore rispetto alle caratteristiche che offre.

Leggo qui come l'Air Force americana abbia mandato informazioni riservate ad un sito di una cittadina inglese, semplicemente per un errore di nome di casella email.

E' noto che il DoD (del quale credo l'Air Force faccia parte) è una delle organizzazioni che più spende in sicurezza e, in generale, in informatica.
Non posso pensare che non abbiano strumenti per cifrare i messaggi o per monitorare e gestire problematiche di questo genere.
Come al solito, non sono i prodotti o le soluzioni tecnologiche, che non mancano, l'elemento risolutivo per i problemi più gravi, per quanto siano assolutamente banali.
Dall'articolo è possibile rilevare come errare sia umano e perseverare estremamente diabolico....

Attacchi alle unità di memoria

Di qualche giorno è la notizia della possibilità di attaccare i sistemi di cifratura dei dischi accedendo al contenuto della memoria del sistema a seguito della sospensione o dello spegnimento "a caldo".
Il video, che ripropongo qui sotto, è certamente interessante, e suggerisco il test disponibile qui.

Ho qualche perplessità sul restringere l'ambito ai sistemi di cifratura del disco: questo commento lo fa anche Claudio qui e la stessa impressione l'ho avuta anche io leggendo la notizia. In primis, leggendo il papero, ci si rende conto di come gli autori non intendano comunque limitare gli effetti potenziali dell'attacco ai soli sistemi di cifratura del disco. Anzi, è interessante la parte in cui si affronta il problema delle chiavi di cifratura in senso generale. L'applicazione nell'ambito dei sistemi di cifratura del disco è sicuramente notevole in quanto fino ad oggi tale contromisura è stata ritenuta tra le più sicure nella protezione dei dati.
Inoltre questo è l'ambito dove le chiavi di cifratura sono mantenute in memoria per tutto il tempo di esecuzione del PC, mentre per attacchi maggiormente finalizzati (es: intercettare il PIN di una smartcard, la chiave di sessione di una comunicazione cifrata et similia) occorre essere a conoscenza dello stato del sistema e delle operazioni in corso.

Questo è il problema per il quale, credo di averlo scritto in qualche altro post, in generale i sistemi di cifratura del file system sono da ritenere validi esclusivamente contro il furto del disco stesso (o dell'intero PC) a macchina spenta. Ben poco possono fare contro attacchi logici, una volta ovviamente che il volume è "montato". Utilizzare partizioni cifrate per il minor tempo possibile, e quindi farne l'"unmount" non appena utilizzati i dati, può essere una soluzione valida per offrire una maggiore protezione degli stessi.
In generale, è una soluzione che adotto quando i dati stessi possono essere effettivamente usati solo per brevi lassi di tempo, il che non è sempre vero (non lo è, per esempio, per la casella di posta). Una regola che "funziona" è mantenere in una partizione cifrata i documenti di attività ormai chiuse, nonchè cifrare separatamente le cartelle dei progetti, così da avere "in chiaro" solo quelle che sto effettivamente utilizzando. Sul Mac è possibile creare con Disk Utility dei file immagine cifrati, mentre su Linux utilizzavo dm-crypt organizzando partizioni separate per le informazioni datate.

A proposito. Se è da un pò che non scrivo, non sono sparito! Solo... è un periodo un pò, diciamo, sovrabbondante di lavoro...

Pubblicato il Provvedimento del Garante sulle regole per la tenuta dei dati di traffico Telefonico e Internet

E' in linea il Provvedimento Generale del Garante per la Protezione dei Dati Personali concernente la Sicurezza dei Dati di Traffico Telefonico e Telematico.

La versione definitiva del testo raccoglie le indicazioni fornite a seguito di una Consultazione Pubblica che il Garante ha indetto il 25 Settembre 2007, conclusasi il successivo 31 ottobre.
Come CLUSIT abbiamo accolto positivamente l'iniziativa, alla quale abbiamo risposto con entusiasmo, apportando un contributo "tecnico", in particolare richiedendo chiarimenti tanto sugli aspetti tecnologici che sulle implicazioni legali di alcune indicazioni della bozza, proponendo quindi dei possibili miglioramenti.

...continua a leggere il post su SicuraMente >>>

Primo trojan iPhone, e altro...

Dobbiamo meravigliarci? Non direi, visto quanto per almeno due volte le protezioni messe in atto per vincolare l'uso del terminale alla SIM siano state violate. Ma un trojan è un'altra cosa, e se nel caso specifico gli effetti sembrano essere più quelli di un test che di un vero e proprio malware "in esercizio", la cosa non deve passare inosservata.
IPhone è un prodotto insicuro? Non trarrei conclusioni affrettate. Semplicemente, come per un noto sistema operativo, la comunità lo trova un bersaglio più interessante di altri, dopodichè certamente le caratteristiche del dispositivo fanno il resto...
Per altro, girando per la rete i pareri sulla sicurezza di iPhone sembrano generalmente orientati verso una bocciatura (non tutti, però...). La potenza è nulla senza controllo, recitava una nota pubblicità, e indubbiamente il terminale della casa di Cupertino ha delle caratteristiche interessanti. Tuttavia, non posso non notare come il settore della sicurezza meriterebbe modalità di comunicazione migliori di questa. Cito:
I prodotti della tale marca "are going to kill [the iPhone] from a security [perspective]"
Ci mancherebbe: iPhone non era ancora uscito, il mercato era tutto di "tale marca".

Recentemente, al convegno NSS07 a Pisa ho avuto modo di ascoltare un vendor di terminali telefonici mobili parlare di un sistema di gestione enterprise dei cellulari aziendali. Il prodotto, secondo il relatore, consentiva tra le altre cose il controllo del parco applicativo installato ed in esecuzione sul terminale. Quindi, a seguito di una mia domanda, ha aggiunto che il sistema centrale periodicamente si collegava al terminale (o viceversa, non ricordo) per eseguire tale controllo.
Non mi pare si tratti della stessa cosa, anche se il prodotto è interessante per se... Magari, se non fosse possibile installare il software se non preventivamente autorizzato....
Cito e richiamo questo post sul problema centrale: stessi errori di sempre. Si aggiunge sicurezza all'insicurezza di base di una intera classe di prodotti che hanno la peculiarità di ospitare dati critici e per giunta di offrire una elevata percezione di sicurezza.
La cosa peggiore è che i S.O. di questi dispositivi, in realtà, offrirebbero molte delle feature di protezione disponibili, alcune non da molto, nei moderni sistemi operativi dei PC! Per alcuni prodotti si parla di cento e più impostazioni configurabili!
Solo che se comprerete quei prodotti, saranno quasi certamente disabilitate.

Ancora su Time Machine e backup su MacOS (Leopard)

Ringraziando l'autore, rispondo a questo commento con un aggiornamento alla questione del backup con Time Machine che avevo intenzione di scrivere.

Time Machine non adotta alcun sistema di protezione oltre ai meccanismi di controllo accesso ai dati previsti dal file system. Questo significa, sostanzialmente, che il livello di protezione dei dati della partizione o del disco ove sono salvati i dati da T.M. è equivalente a quello offerto per gli stessi dati sul disco originale. Per altro, con il rischio in più del furto del disco esterno, il cui valore economico, marginale rispetto a quello di un PC, è tipicamente causa di una minore attenzione da parte del proprietario rispetto al (faccio il mio esempio) portatile, ed in più è certamente più facile da rubare.

Per quanto mi riguarda, utilizzo FileVault per cifrare interamente la home directory, proprio per ovviare a questo problema. Le informazioni più critiche, poi, le conservo in file immagine cifrati (AES 128-256bit) creati con Disk Utility, ed ovviamente con una password diversa da quella utilizzata per l'accesso al sistema. Questo perchè FileVault non offre, di per se, protezione dal momento che l'utente accede al sistema, quando il meccanismo di cifratura è trasparente alle applicazioni, "buone o cattive" che siano.

Personalmente, riscontrata l'assenza di meccanismi di cifratura da parte di Time Machine, ho ripristinato il sistema di backup che utilizzavo con Mac OS X 10.4 (Tiger):

1. ho creato un volume virtuale cifrato con Disk Utility, di dimensioni adeguate per ospitare i miei backup
2. ho scelto, tra vari software disponibili per il backup, iBackup, configurandolo per utilizzare, come destinazione dei dati di backup, il volume virtuale cifrato
3. ho installato iBackup sul volume virtuale cifrato, e ho creato uno shortcut sul Dock.

A questo punto, quando devo eseguire il backup, basta fare click sull'icona di iBackup perchè il sistema mi richieda la password di decifratura del volume virtuale per accedere all'applicazione. Il sistema, monta quindi il volume, avvia iBackup ed effettua il backup. Il meccanismo funziona anche creando degli script per pianificare l'operazione in modo automatico ma, visto che devo inserire la password e che sono un ragazzo diligente :-) , faccio tutto giornalmente a mano.

iBackup è una delle possibilità. A me piace perchè unisce semplicità di utilizzo a meccanismi standard di compressione e salvataggio dei dati (crea archivi cpio, cpgz o si appoggia a rsync). La semplicità di utilizzo risiede nella possibilità di selezionare, oltre alle directory delle quali l'utente vuole fare delle copie di sicurezza, anche le impostazioni personali e di sistema, le applicazioni etc... Per esempio, la posta elettronica, che come sapranno gli utenti della mela è conservata in "Library".
Il restore funziona bene, e comunque trattandosi di archivi standard, non è necessario avere a disposizione iBackup per ripristinare il tutto, la qual cosa è per me un elemento indispensabile di scelta di un meccanismo di backup (inizialmente utilizzavo Windows, poi Linux ed adesso MacOS, e sono sempre stato in grado di accedere ai backup fatti con i S.O. precedenti, guarda un pò!).

Sicurezza e business

Mi ri-cito. Ho colto l'occasione di parlare, qui, di un ormai vecchio post di Schneier che mi ha colpito. Non soltanto per l'approccio che suggerisce, ma perchè mi ha fatto ripensare a casi in cui, nello scorso anno,  mi sono trovato ad affrontare un aspetto che in passato avrei definito "happy-problem": casi in cui la sicurezza è posta come un limite al business aziendale, spesso più per un problema di dialogo tra le strutture aziendali che come risultato di analisi oggettive dei problemi che si devono affrontare.

Spesso è vero che quelli che fanno il mio mestiere (e a volte devo dire: anche io...) tendono a chiudersi nel proprio ambito, dimenticando che la prima vera difficoltà è proprio quella di bilanciare correttamente l'esigenza di sicurezza e quella di business. 

Certo, i casi sono diversi, e spesso non si può trascendere dal porre dei limiti. Ma questi casi dovrebbero essere rari. Faccio una analogia: se per un qualche altro ambito dell'informatica si risponde "non è possibile", il cliente spesso è portato a pensare che il suo interlocutore non abbia sufficienti frecce al proprio arco. E molto spesso non ha torto... 

P.S.

Continuerò su questo argomento. 

Il lato opposto della medaglia è, infatti, molto più difficile da trattare.  Quando, e come, la sicurezza diviene un elemento del business di una azienda, ovvero è accettata e valorizzata come tale? 

Worm Wi-Fi

Come ho scritto poco fa, è appena nato il Blog del CLUSIT.
Scriverò alcuni post, se a mio avviso interessanti in quel contesto, sperando possa essermi di aiuto ad essere più "disciplinato" nel mantenere una frequenza "decente" di aggiornamento del sito.
Quindi mi cito: un primo post sulla recente notizia relativa ad uno studio che ipotizza la realizzazione, nel prossimo futuro, di worm che hanno come mezzo di diffusione, e come bersaglio, i router Wi-Fi. Credo sia un lavoro interessante, oltre che realista nelle ipotesi e valido nei risultati. Da tenere in considerazione, vista la diffusione che hanno (ed avranno, anche grazie alla prossima realizzazione della copertura WiMax in Italia) le reti wireless.

Time Machine e cifratura

Una delle funzionalità che mi ha incuriosito di più nell'aggiornare il sistema operativo Mac Os X dalla versione 10.4 alla 10.5 (Leopard) è "Time Machine".
La ritengo una di quelle funzionalità di sicurezza finalmente pensata per l'utente finale: facile, intuitiva, funzionale.
Due cenni sulle caratteristiche: backup completo, la prima volta che si configura, ed a seguire backup incrementali ogni ora.
Al di là dell'estetica (fantascientifica), quello che è apprezzabile è che TM non si concentra sul backup in quanto tale , ma prevalentemente sullo scopo per cui l'utente prevede di destinare risorse disco alla salvaguardia dei dati : il recovery. Ed in questo, Time Machine ha pochi rivali, sempre limitandoci alle soluzioni user-friendly.
Andando indietro nel tempo, per ogni cartella è possibile vedere i file che conteneva in una certa data, e scegliere se si desidera recuperarli. Stessa cosa per la posta elettronica (vi è mai capitato di cancellare erroneamente un messaggio?) o la rubrica (e di vederla "ripulita" dopo un errore di sincronizzazione con il cellulare?). E' possibile perfino fare ricerche con spotlight (il "google desktop" integrato su Mac OS X) sul contenuto del disco in una certa data.

Fin qui, quindi, tutto bene.

Dopo l'aggiornamento del sistema operativo, dopo aver giocato con Time Machine ed altre nuove applicazioni del sistema, ho quindi riattivato FileVault, il servizio di cifratura della Home. FileVault crea una immagine disco cifrata della directory dell'utente, che viene "montata" in fase di login, garantendo quindi la riservatezza dei dati in caso di furto del disco/notebook (il rischio principale per il quale utilizzo questo meccanismo) e comunque in tutti i casi in cui l'utenza a cui si riferisce la home cifrata non stia utilizzando il sistema.
Attivato quindi FileVault, ecco l'amara (quanto sospetta) scoperta: Time Machine non offre più le funzionalità di ripristino dei dati di cui sopra: la home dell'utente è infatti trattata come un disco a se stante, del quale viene fatto un backup incrementale, e quindi è possibile accedere "opacamente" all'immagine stessa nel tempo, ma non ai file contenuti.
Ovviamente sono d'accordo sul principio: se la home è cifrata, non è il caso che i backup siano fatti in chiaro. Ed infatti il problema di Time Machine, sul quale la documentazione ufficiale Apple non è affatto chiara, è che non è possibile proteggere i backup con cifratura senza rinunciare alle caratteristiche principali di questo software.

Questo aspetto è certamente un limite sul quale Apple dovrà lavorare, sopratutto in virtù del fatto che stiamo parlando di due soluzioni di protezione fornite in bundle con il sistema!

Se da un lato non sono affatto pentito del passaggio dal Linux a MacOs X, l'uso di soluzioni proprietarie in questi casi manifesta tutto il suo limite. Se, in entrambi i casi, la qualità del software può essere discutibile (benchè, in questo ripeto, sono decisamente soddisfatto), le soluzioni open garantiscono una maggiore flessibilità che le alternative commerciali non sempre prevedono: o una cosa il software la fa, oppure ti attacchi. O passi ad una soluzione open :-)

Tastiere wireless

"lovogliolovogliolovoglio!"
Quando vedo un gadget tecnologico, dal mouse con 50 bottoni, rotelline, lampadine etc... al disco esterno più capiente e veloce, scatta in me un certo non so che, che mi spinge all'acquisto. Nel 99% dei casi, resisto, tuttavia qualche volta cedo all'istinto animalesco:-)

Poco tempo fa è uscita una tastiera, non dico il prodotto, che ha scatenato l'improvvisa frenesia. Uno degli aspetti che la rendevano accattivamente era il fatto che fosse wireless. Il fatto che non si trovi sulla scrivania dipende essenzialmente dal fatto che non me la sono proprio sentita di diffondere sull'etere i contenuti delle mie email, le password digitate etc...

Naturalmente, il vendor assicurava che la comunicazione fosse cifrata, con chiave addirittura a 128 bit, ma non era scritto da nessuna parte il reale funzionamento del sistema di cifratura.

Ora, 128 bit sono dimensioni per una chiave di cifratura simmetrica che garantiscono per una adeguata protezione dei dati: un attacco a forza bruta comporta per esempio un tempo assolutamente improponibile per tentare una decifratura.

In realtà, quando si parla di crittografia e ci si concentra sullo spazio delle chiavi si assume implicitamente che lo spazio dei dati da cifrare sia notevolmente più ampio o addirittura potenzialmente infinito.

Nel caso di una tastiera, tuttavia, questo non è assolutamente vero: un attaccante ha a disposizione poche centinaia di messaggi (immagino: 102 tasti di base + i tasti funzione + le combinazioni) tra i quali scegliere quando vede passare un pacchetto cifrato. Se la funzione di cifratura non prevede almeno un banale meccanismo che consente di variare nel tempo la chiave ed il testo da cifrare (facendo sì, per esempio, che la pressione dello stesso tasto più volte si traduca in messaggi cifrati molto diversi tra loro), risalire al testo in chiaro è un'operazione possibile anche con un attacco delle frequenze (per intenderci, quello che ha efficacia con il sistema di cifratura di Cesare).

Il tutto può essere complicato cifrando, ad esempio, un buffer di caratteri anzichè un carattere alla volta, tuttavia anche in questo caso lo spazio delle combinazioni possibili può essere esiguo, se il buffer non è sufficientemente grande e considerato che si tratta di testi nella maggior parte dei casi appartenenti al dizionario.

D'altro canto, scopo di un attaccante non è ottenere la chiave di cifratura, compito che rimane comunque arduo: lo scopo è associare ad ogni "tasto cifrato" il relativo "tasto in chiaro". Banalmente, potrei attendere una combinazione del tipo

• tre volte lo stesso tasto (chiamiamolo "y")
• un tasto diverso (chiamiamolo "x")
• un pò di tasti diversi
• il tasto "x"
• tre o quattro digitazioni diverse

non è che lo schema di una URL www.qualchecosa.com[invio]

e già in questo modo sarei in grado di ricavare almeno due codici ("w" e "."). Facilmente, l'utente potrebbe aver digitato "http://". Stessa considerazione per gli indirizzi email. Sempre per le URL, ".it" sarà più ricorrente in Italia, mentre ".com" lo sarà per i siti internazionali.

Naturalmente, se non ho comprato una tastiera wireless non è perchè ho fatto tutte queste riflessioni. Ho accantonato l'idea come opportunisticamente poco vantaggiosa in termini di sicurezza, punto e basta.

Stupisce che un ragionamento, se vogliamo, così banale non sia effettivamente stato affrontato da (alcuni?) produttori di tastiere, da come si deduce in questo articolo, dove una serie di test della società DreamLab Technologies hanno messo in evidenza che per alcuni prodotti è possibile, intercettato il flusso dati wireless, risalire poi al testo digitato.

Per adesso, l'attacco ha avuto successo perchè sui modelli testati non solo la chiave non cambia MAI a seguito dell'associazione tra il dispositivo e il ricevitore, ma si scopre essere usata per cifrare individualmente i singoli tasti mediante, banalmente, uno XOR dei bit... La chiave, udite udite, è di soli 8 bit, ma questo non è importante come non lo è la qualità della funzione random che l'ha generata. Non vi è neppure protezione nella fase di associazione, nella quale la chiave di cifratura è trasmessa, ovviamente in chiaro, tra la tastiera ed il ricevitore.

E' evidente quindi che il problema non è stato praticamente affrontato dal vendor.
E' l'ennesima dimostrazione che indipendentemente dall'ambito tecnologico, si continuano a commettere gli stessi errori.
E' poi abbastanza tragico che il test sia stato condotto sui prodotti di un vendor che dovrebbe conoscere molto bene cose come "key logger", "spyware" & Co, attacchi logici che molto hanno in comune con quanto appena raccontato...

Resta da vedere se quelli presentati nell'articolo siano casi isolati (mhmm) o pratiche diffuse di tutti i vendor (!). Se così fosse, è evidente che l'utenza dei prodotti informatici avrebbe buoni motivi per riconsiderare il rapporto di fiducia verso i prodotti che, pur di natura tradizionale, vengono riproposti in tutte le salse per irrinunciabili funzionalità minori. Se così probabilmente non sarà, è certo che un certo disagio nel doversi sforzare di comprendere una tale incuranza l'avranno, sopratutto quando gli sarà detto che la soluzione al problema c'è: cambiare tastiera.

(Dis)ordine e (in)sicurezza

In questi giorni passo molto più tempo del solito in trasferta, per seguire alcuni progetti che dovrebbero trovare la luce entro la fine dell'anno.
Riflettevo, in queste occasioni, su quanti dati dell'IT, in forma di semilavorato, di informazioni non strutturate come semplici scambi di email, di report di riunioni e di SAL, sono distribuite a vari livelli presso una azienda di medie-grandi dimensioni.
La complessità di questo fatto è tanto più evidente quando si prova, come mi è capitato oggi di fare, a recuperare ed a raccogliere tutti i dati significativi di un progetto quando non si è certi (ahimè, mi capita anche abbastanza spesso!) di aver mantenuto in ordine le directory con lo storico di tutte le bozze, i deliverables etc... Mi sono domandato: come facevo quando non avevo a disposizione beagle (prima) e Spotlight (oggi)?

• Prima considerazione: facevo prima, perchè non contando sul fatto che qualcuno risolvesse per me il problema, mi attrezzavo a tenere in maggiore ordine la documentazione!

• Seconda considerazione: "filtravo" molto di più le informazioni. Semplicemente, mantenevo copia degli stati essenziali dei documenti, contando sul client di posta come repository delle informazioni più significative, che è essenzialmente quello che faccio ancora oggi.

Quindi, necessariamente, il problema reale è che ultimamente ho mantenuto poco ordine tra le caselle di posta elettronica :-(

In ogni caso, deve essermi rimasta accesa una lampadina in testa, perchè leggendo qualche sera fa la notizia della pubblicazione delle top-20 del Sans , ed in particolare dove dice:

Users who are allowed by their employers to browse the Internet have become a source of major security risk for their organizations. A few years back securing servers and services was seen as the primary task for securing an organization. Today it is equally important, perhaps even more important, to prevent users having their computers compromised via malicious web pages or other client-targeting attacks.

con maggior forza ho pensato a quanto la disseminazione dell'informazione presso l'azienda comporti:

• un limite, dal punto di vista dello storico e della gestione delle informazioni. In questo, certamente, i processi di qualità, tanto odiati da chi svolge attività operative, costringono quanto meno a gestire le informazioni in modo strutturato, indipendentemente poi da quanto queste siano "sparse" come bozze, mail etc.... E, di nuovo, informazioni strutturate sono un prerequisito, assieme a processi operativamente applicati, per essere poi gestite e conservate mediante sistemi sempre più "intelligenti" (motori di workflow etc...);

• un rischio, perchè ogni sistema di ogni utente coinvolto in un processo sul quale siano memorizzate informazioni anche non specificatamente pertinenti al proprio lavoro, costituisce una fonte di dati la cui compromissione può causare un danno anche rilevante per l'azienda.

Questo è tanto più vero nelle aziende o nei settori che operano nell'IT, dove le informazioni che circolano sono proprio quelle di cui avrebbe bisogno un attaccante per meglio introdursi logicamente o fisicamente nell'azienda, ma più semplicemente dove la disponibilità di dati corretti o aggiornati è fondamentale per una buona gestione (leggere: sicurezza) dei sistemi.

Cosa accade quando un operativo cambia lavoro?
Oppure, se un disco di una postazione utente si danneggia?

O quando, trascorsi mesi dal passaggio in esercizio, si riprende in mano la documentazione per la manutenzione evolutiva? Si sa chi è in possesso della versione definitiva dei documenti, oppure le informazioni si trovano sulle classiche "bozze definitive" delle quali non si sa quale sia l'effettiva ultima versione?

Il telefono, la tua posta

Due o più riflessioni a voce alta su notizie riguardo a temi che seguo con interesse.

E' di poche ore la notizia della commercializzazione dell'offerta PosteMobile, l'ennesimo ingresso sul mercato di un Mobile Virtual Network Operator (MVNO), in questo caso basato sulla rete Vodafone.
La diversità di questo tipo di offerta è abbastanza evidente: si parla di "servizi" e di "SIM": due elementi che tipicamente è più facile associare al MNO piuttosto che al "Virtual", sopratutto il secondo. Fino ad oggi, infatti, il marketing SIM-centrico è stato proprio degli operatori tradizionali, per altro non di tutti. TIM, per esempio, che non vanta certamente la palma della migliore comunicazione verso il mercato consumer, ha "marcato" ogni evoluzione tecnologica della SIM, significativamente identificata con la memoria disponibile (ricordate? 16k, 64k, 128k....), mentre altri (Omnitel se non ricordo male) ha sempre avuto una vocazione più orientata ai servizi remoti o alle applicazioni ospitate sul cellulare.

L'assenza di un gestore che abbia saputo massimizzare entrambe le vocazioni è certamente un peccato, sopratutto considerando che l'unico vero elemento di sicurezza (e di "valore" dell'Operatore presso il cliente) di un terminale telefonico è proprio la SIM, e dato che delle reti mobili la cronaca ci ha insegnato a diffidare, aver mancato ad una piena integrazione dei servizi con questa ha costituito un evidente limite nel delineare una vera innovazione.

Una prima considerazione, una provocazione, altrimenti questo post sembra un cartello pubblicitario: PosteMobile sta diventando quanto di più simile abbiamo al Grande Fratello in Italia, oggi: conti bancari, movimenti (BancoPosta), indirizzi, PEC, e ora la SIM, il tutto in progetto di essere sempre più integrato, con quanto questo possa comportare. Viene da augurarsi che a forma corrisponda sostanza, e che a questa ottima proposition di mercato corrisponda una gestione oculata dei dati dei clienti.
Non so quale sia il controllo che esercitano sulla rete telefonica, ma probabilmente possono accedere anche alle informazioni sulla posizione geografica...

Avendo dato adito alle più inquietanti paure, posso ora parlare di quanto mi premeva mettere in evidenza. Come è noto, per cose fatte o dette, sostengo che la telefonia mobile abbia ancora molto da dire in termini di innovazione tecnologica, servizi e sicurezza.

Fino a oggi, di servizi innovativi (utili) si è visto ben poco: gli SMS in primo luogo, la voce poi, costituiscono lo "zoccolo duro" del mercato e difficilmente la cosa cambierà in poco tempo. Per altro, i pochi servizi veramente utili si limitano all'advertising e sfruttano al più gli SMS.
In questo scenario, l'operatore Poste può giocare un ruolo di "trascinatore" determinante: il connubio tra l'identità mobile (la SIM) ed il conto corrente consentono di sviluppare scenari di servizi che non siano più il riporto del mondo web sul piccolo schermo del telefono, ma qualcosa di effettivamente peculiare, che solo con un telefono è possibile attuare.

Cosa centra questo con questo blog? C'entra, perchè in questo scenario sarà determinante il modo con cui tali servizi saranno realizzati, ovvero il reale rapporto tra senso di sicurezza e sicurezza attuata. Oggi il telefono è ancora percepito come un oggetto personale, quasi alla stregua del portafogli, quasi non fosse collegato a reti Wi-Fi, telefoniche, dati.... Si deve considerare anche che è l'unico strumento hi-tech utilizzato tanto dai giovani che dagli anziani, che poco risente di limiti culturali e di preconcetti sulla tecnologia. Quasi tutti coloro che hanno un cellulare sanno spedire SMS, e questi sono MOLTI di più di coloro che sanno inviare una email. Ed inviare una email è certamente più semplice rispetto a spedire un SMS.

Se il telefono è ancora considerato sufficientemente sicuro, questo lo si deve sia al fatto che molti dei modelli sul mercato sono estremamente semplici, sia perchè tante sono le piattaforme, ma sopratutto perchè il contesto è quello dell'internet ai tempi del worm di Morris: necessità di comunicare, quasi totale assenza di sfruttamento a scopi di mercato, servizi di base.

Come apripista Poste ha quindi l'ingrato compito di testare su di se e sulla propria immagine i rischi correlati all'introduzione di servizi pregiati in questo scenario: immaginate cosa possa significare uno smartphone (non c'è bisogno di cercare prodotti tanto strani: ogni Symbian, per esempio, lo è...) in mano alla casalinga di Voghera con il bluetooth attivo, quando si potrà effettivamente spostare soldi da un conto corrente ad un altro agendo su una applicazione a bordo del telefono.

Con questo non voglio dire che non sia possibile fare servizi in modo sicuro sui terminali telefonici (nè, per carità, che Poste non l'abbia fatto! è il capro espiatorio del post, ma solo casualmente): come ho esordito sul post, la caratteristica che mi colpisce è l'attenzione che è stata portata sulla SIM, che non è da sottovalutare, se sarà la base, come sembra, delle features di sicurezza.

D'altro canto, la SIM è solo un elemento del terminale telefonico, neppure tanto isolato come si potrebbe pensare: non solo le applicazioni telefoniche native, ma su alcuni modelli anche le applicazioni Java hanno oggi maggiore capacità di interazione con essa (es: JSR 177).
Quando l'ingresso sul mercato degli MVNO di Poste fu annunciato, per altro si parlava di distribuire un (intero) telefono cellulare + SIM, non solo la carta. Sarà interessante capire quali siano effettivamente i punti di forza della loro soluzione.

Chiudo con le riflessioni: tornerò, mi auguro presto, sul questo tema ed in particolare sulla notizia, in attesa di maggiori informazioni.

Identità perdute

Qui e qui due commenti sulla notizia...

Al commento di Schneier:

And this is an easy security problem to solve! Disk and file encryption software is cheap, easy to use, and effective.

risponderei che, in tal caso, si sarebbero fatti rubare anche la chiave di cifratura.

Sembra infatti che sia il secondo evento in un mese, dopo la scomparsa di un cd contenente i dati di 15.000 persone.

Errare umanum est, perseverare....