30.11.10

Perchè Wikileaks fa bene alla sicurezza

Al di là delle valutazioni di merito sull'operato dell'organizzazione guidata da Assange, su quanto siano giuste o no le sue azioni di divulgazione, e al di là delle considerazioni sui contenuti dei dispacci pubblicati, che peraltro sembrano in molti casi dimostrare con chiarezza dei concetti che implicitamente erano già dominio o del pubblico o dei governi, dal punto di vista di un operatore dell'Information Security, Wikileaks non può che condurre a risvolti positivi.
Quale migliore opera di Security Awareness della divulgazione di documenti secretati su ogni giornale, televisione e sito di news? Quale migliore dimostrazione dell'insicurezza di quella di un mito dell'opinione pubblica come il Dipartimento della Difesa degli Stati Uniti d'America, ormai protagonista delle discussioni nei social network, nei forum e nel bar sotto casa?

C'è quindi da chiedersi come mai è stato possibile aggregare ben 1.6 GB di documenti dal database di SIPRNet, la rete del Dipartimento della Difesa statunitense.
Quello che si può supporre è che i controlli siano un poco laschi, per varie ragioni, tra cui quella di permettere un accesso ai documenti più accessibile (sono supposizioni, naturalmente).
Vediamo allora qualche numero:
  • 251.297: è il numero totale dei documenti in corso di divulgazione da Wikileaks;
  • 133.887 i documenti non classificati o per solo uso "ufficiale";
  • 101.748 sono i documenti confidenziali;
  • 15.662 sono i documenti classificati come "segreti".
Anche se il numero di documenti segreti è 1/16 del totale, 15.662 documenti segreti costituiscono una fuga di informazioni impressionante.

E' lecito a questo punto porsi alcune domande:
  1. davvero i documenti segreti erano gestiti in un database insiema a tutti gli altri?
  2. qual è il livello di protezione richiesto per i vari livelli di questi documenti?
  3. esiste un controllo dell'accesso in base al ruolo (RBAC - role base access control)?
  4. perchè i documenti non sono stati crittografati?
Alla fine dei conti, è fin troppo facile accusare Wikileaks di essere responsabile di sconvolgimenti diplomatici (peraltro, ho molte riserve sulla possibilità che questo si realizzi).
Anche in questo caso si tratta di un concorso di colpe: se il controllo dell'accesso ai documenti o la loro classificazione fosse stata più efficace, forse questa fuga di informazioni non avrebbe avuto luogo. Esistono procedure e strumenti per mettere in opera una classificazione delle informazioni veramente efficace nonché un controllo accessi efficiente.
Per illustrarvi come potrebbe aver avuto luogo la fuga di informazioni, vi faccio un paragone: un'ipotetica agenzia di una banca ha un sistema di sicurezza tale per cui, quando dei rapinatori riescono ad accedere all'interno degli uffici, vengono bloccate tutte le porte di accesso. Ad eccezione di una, perché è sfuggita in sede di analisi, o perché il cavo elettrico è staccato, o perché, ancora, erano finiti i soldi in fase di realizzazione, e l'ufficio dei Servizi Generali ha detto:"Ma sì, è una porta sola, e pure nascosta. Figurati se la useranno mai." I rapinatori, che hanno un basista all'interno della banca, lo sapevano e scappano da lì.
Le frodi e le fughe di informazioni avvengono anche (se non soprattutto) in questo modo: per disattenzione o incuria di chi deve controllare.
E quindi, dove sta la colpa?

Il DOS di Wikileaks

Dario miha fatto notare che la momentanea indisponibilità di Wikileaks è stata causata dagli attacchi dell'hacktivist th3j35t3r.
Di questo hacker se ne sente parlare da qualche mese, da quando cioé è salito alla ribalta delle cronache per aver portato al takedown diversi siti islamici sospettati di arruolare nuove leve alla causa fondamentalista.
La particolarità dei suoi attacchi sta nelle tecniche che utilizza (secondo me, nel caso di Wikileaks, non usa un Distributed DOS, ma solo un DOS ben realizzato) e che sono illustrate in questo video.
Di nuove tecniche miste di attacco si sta parlando recentemente nel mondo della sicurezza: forse il nostro hacktivista sta usando tecniche di evasione, scoperte recentemente da StoneSoft e contro cui ancora poco si riesce a fare.

Nota: Wikileaks costituisce un'interessante inversione di tendenza nella divulgazione dei fatti e th3j35t3r vuol costituire un'inversione di tendenza nelle attività di antiterrorismo (e qui forse abuso di questo termine, ma è giusto per amor dell'iperbole).
L'antiterrorismo, per natura delle attività che va a contrastare, è un insieme di azioni che normalmente devono essere nascoste, in copertura.
Ma in questo caso, contro un'entità come wikileaks che agisce - in parte - allo scoperto, quale arma migliore dell'agire allo scoperto anche nell'attaccarla?
E' un'interessante evoluzione quella a cui stiamo assistendo: non importa che si tratti di un hacker veramente bravo, oppure di un'unità della CIA composta da hacker veramente bravi, che si sono costruiti una finta identità digitale molto realistica.
Quello che conta è che è si possono condurre azioni che un tempo era impensabile solo concepire, agendo allo scoperto, ma utilizzando reti di anonimizzatori (come TOR) per preservare la propria identità.
Quale sarà il prossimo step? Un trojan per la rete TOR scritto da hacker di una nazione teocratica che consentirà di ricostruire il percorso completo di collegamento e di risalire al responsabile di un attacco DOS? Pubblicando in tempo reale la mappa degli attacchi con le lucine che si accendono in corrispondenza dei vari router in giro per il mondo? Oppure un virus progettato da una nazione democratica fatto apposta per colpire determinati sistemi ospitati da un determinato provider in una determinata nazione scandinava?

12.11.10

VERIS: un database anonimo di incidenti di sicurezza

Ogni giorno molte aziende cadono vittima di attacchi alla sicurezza, di violazioni di database, di social engineering, di attacchi da hacker, ma quasi nessuno di questi viene divulgato. Le ragioni sono ovvie e risiedono nel timore delle aziende o dei propri dipendenti di intaccare la propria reputazione, di essere sottoposti all'umiliazione pubblica e di un calo di fiducia nei loro confronti.
A differenza, quindi, delle minacce esterne, di cui vi è fortunatamente un'ampia e sempre in crescita conoscenza perchè tutto il mondo ne parla, delle violazioni interne si parla molto poco e non esiste molta conoscenza per costituire un po' di accademia (a eccezione dello sforzo del progetto Insider Threat della Carnegie Mellon University).
Finalmente Verizon Business ha lanciato oggi pubblicamente un servizio dedicato al reporting degli incidenti di sicurezza per costruire un database che possa costituire una fonte di informazioni per le analisi dei problemi afferenti.
Nel sito Veris, i professionisti della sicurezza possono fornire informazioni dettagliate sugli incidenti e avere report dettagliati per confrontare la gestione dell'incidente con quelle di situazioni similari.

Attraverso il riempimento di un questionario anonimo con i dettagli dell'incidente e di alcuni dettagli dell'azienda, per determinarne il contesto merceologico, la dimensione, il numero di addetti alla sicurezza, ecc, sarà possibile descrivere le modalità di gestione dell'incidente come ad esempio il tempo impiegato per individuarlo, per contenerlo, come poteva essere evitato e quanti tempo, risorse e denaro sono stati spesi a causa della violazione.
Al termine dell'inserimento dei dati si avrà a disposizione un report che descrive l'incidente e lo confronta con incidenti similari già presenti nel database.

Il database attualmente contiene già le informazioni sugli incidenti collezionate durante gli ultimi anni sia da Verizon sia dallo U.S. Secret Servicee costituisce un valido supporto sia per raccogliere e diffondere la conoscenza, sia come strumento di tracciamento degli incidenti nella propria azienda utilizzando una metodologia strutturata allo scopo.

8.11.10

Apps con falle di sicurezza per iPad, iPhone e Android

Il Wall Street Journal riporta un'analisi della società viaForensics che ha analizzato le apps per accedere ai servizi di E-banking di alcune tra le maggiori banche americane, individuando alcune falle di sicurezza presenti nelle applicazioni di E-banking che potrebbero permettere a un malware di ottenere dati sensibili come i dati di autenticazione o informazioni finanziarie.

Il problema viene creato dalla modalità in cui le apps memorizzano le informazioni dell'utente nella memoria del telefono: nell'applicazione di Wells Fargo, ad esempio, l'utente e la password vengono memorizzate sul telefono semplicemente come testo. L'applicazione salva inoltre altre informazioni sensibili riguardanti i dettagli della situazione bancaria del cliente.

Anche altre applicazioni salvano informazioni di dettaglio dei clienti in formato testo, mentre altre conservano in una cache le pagine di E-banking che ha visitato il cliente, incluse quelle con le informazioni sullo stato del suo conto corrente.

Il trend di sviluppo delle apps per accedere ai servizi di E-banking dai telefoni cellulari è decisamente in aumento e questa analisi ha mostrato come ci siano ancora delle evidenti falle nel processo di sviluppo di questi programmi, che spesso devono essere sviluppati e lanciati sul mercato al più presto possibile per attirare l'interesse di clienti vecchi o nuovi, senza però considerarne la sicurezza, fattore questo che potrebbe avere l'effetto contrario da quello desiderato dai dipartimenti marketing delle banche.