Entries Tagged 'sicurezza' ↓

Il caso e-stonia del 2007 sembrava essere il più eclatante e forse lo è ancora per la sfrontatezza con cui l’attaccante ha colpito e inginocchiato una repubblica sovrana in poche ore.

Ma gli eventi degli ultimi giorni legati a Stuxnet fanno tornare alla mente di nuovo alcuni scenari fantascientifici o cyberpunk di attacchi informatici.

Se è vero anche solamente in parte quello che riporta DEBKA, l’attacco ha colpito il bersaglio in pieno. Il mio sospetto è che non ci sia stato ancora nessuno che si sia offerto volontario per andare a risolvere il problema degli Iraniani perché ci potrebbe essere il rischio concreto che il viaggio per Tehran sia di sola andata o abbia comunque un ritorno… difficoltoso.

Spiace dirlo, ma credo che qui ci si trovi davanti ad un altro caso di LASER in mano agli antichi Romani, ovvero di persone che maneggiano una tecnologia di cui non conoscono esattamente le caratteristiche.

Mi sono trovato più volte in un’organizzazione (alcune volte di produzione, per giunta) con qualche centinaio di PC attaccati contemporaneamente dal medesimo virus, anche se, probabilmente, non complesso come Stuxnet, ma altrettanto virulento. In tutti i casi è stata fondamentale la cooperazione del management (o chi per esso) e degli utenti. Con il management vengono decise le linee d’azione e gli eventuali piani di backup, gli utenti rispettano le direttive (perché loro stessi hanno un’idea, seppur vaga, di cosa sia un virus) e il gruppo di azione riesce ad intervenire e a bonificare i computer.

Nel caso iraniano la situazione è molto complessa, vuoi per il contesto (non è rilassante avere un militare imbufalito alle spalle mentre cerchi di debellare un’infezione informatica), vuoi per il fatto che probabilmente non esiste l’infrastruttura tipica di un’azienda (backup, firewall, ridondanze, swtich con capacità di routing, amministrazione centralizzata di account e aggiornamenti, disaster recovery plan) vuoi per il fatto che ci possono essere degli utenti che non hanno la familiarità tipica di una persona occidentale, senza, per questo, voler dare alcun giudizio generico di merito.

Sto cambiando auto, la qual cosa da sola mi procura fastidio, ma di questo darò forse conto in un altro post.

Nell’ambito di questo travaglio ho dovuto firmare e timbrare una quantità letteralmente incredibile di fogli, molti dei quali utili solamente a giustificare una burocrazia autoreferenziale. Ma transeat.

La quasi totalità dei documenti che ho firmato o consegnato sono passati tramite una mail: quelli che ho firmato di pugno sono stati inviati via PDF, stampati e firmati. I documenti che ho inviato io li ho passati allo scanner, convertiti in PDF e inviati via email.

Noi lombardi assieme a, credo, i connazionali della Sicilia abbiamo in tasca la CRS che potrebbe contenere dei certificati per la firma digitale “forte” e le aziende sono dotate ex lege della PEC, che, in alcuni casi, può essere fornita assieme ad un token per la firma digitale “forte” (smart card, chiavetta USB).

Più volte ho proposto ai vari interlocutori di firmare digitalmente i PDF al posto di firmarli in modo chirografo, ma ho ricevuto sempre reazioni tra la negazione totale e la sorpresa. Avessi proposto una firma quantica basata sul mio DNA o un’altra technobabble simile forse non avrei avuto una reazione simile.

Allo stesso modo alcuni interlocutori mi hanno chiesto di inviare via mail scansioni di documenti vari, ma nessuno ha accennato alla possibilità di riceverli tramite PEC o accompagnati da una firma digitale di qualsiasi tipo.

Rispetto a qualche anno fa, sono stati fatti indubbiamente molti passi avanti; tuttavia credo che sia il momento di iniziare ad utilizzare gli algoritmi di firma digitale, quantomeno per sostituire le firme chirografe meno importanti o meno vincolanti dal punto di vista legale e vedere l’effetto che fa.

Il titolo è volutamente provocatorio e l’antagonismo ideologico tra le major dell’informatica non è l’oggetto di questo post, che è un esercizio teorico basato su un fatto di cronaca.

Recentemente c’è stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L’attacco sarebbe stato coordinato attraverso dei computer controllati tramite il protocollo Aurora, la cui analisi ne rivela la complessità e fa chiaramente capire che non è stato creato dal solito gruppo di smanettoni cantinari.

Immaginiamo di voler penetrare in un migliaio di account email di Google. Abbiamo sostanzialmente tre vie per farlo: o rubiamo le password agli utenti con vari sistemi (social engineering, accessi fisici ai loro computer, intercettazioni ambientali), o tentiamo di accedere utilizzando password generate più o meno casualmente, o troviamo un buco nella sicurezza dei sistemi di BigG.

Il primo sistema è rischioso, costoso e anche poco efficace, specialmente se le vittime dell’attacco sono preparate dal punto di vista informatico e utilizzano computer diversi per collegarsi. Senza contare che il crivello antispam di Google potrebbe eliminare i messaggi di phishing. Da ultimo, se lo spionaggio venisse scoperto potrebbe compromettere tutta l’operazione. No buono.

Tentare sistematicamente le password è fuori discussione per vari motivi. Innanzi tutto i sistemi di Google sono ben preparati per riconoscere e bloccare questi tentativi; inoltre, in caso di ripetuti tentativi di login non autorizzato, si corre il rischio che l’utente vittima dell’attacco venga avvisato dei tentativi da parte dei sistemi automatici del gestore. Anche se tutte queste limitazioni non esistessero, sarebbe comunque un tentativo che richiederebbe tempo e risorse. Per avere un’idea, utilizzando i soli caratteri scrivibili attraverso una tastiera USA modificati usando solamente il tasto maiuscola (per i tecnici: il set ASCII stampabile), con una password di 10 caratteri le combinazioni sarebbero 95^10. Con il set ASCII-esteso si aggiungono 128 caratteri e una password di 10 caratteri ha 223^10 combinazioni. Il tutto senza prendere in considerazione Unicode e il set di ideogrammi cinesi. Tutto quanto per un solo utente, i numeri devono essere moltiplicati per gli utenti da attaccare. Decisamente poco pratico.

La soluzione più praticabile sembrerebbe essere quella di trovare una falla nella protezione del sistema da attaccare, ben sapendo che, una volta trovata un’ipotetica vulnerabilità, il tempo per sfruttarla sarebbe veramente poco. Teniamo presente che non stiamo parlando di sprovveduti, ma di persone molto abili dal punto di vista informatico. Meglio ancora se si dispone di un basista all’interno di Google, anche se non siamo sicuri di poterlo sfruttare: si sa i tecnici parlano tra loro e discutono volentieri dei loro problemi con i colleghi; peccato che, come insegnavano gli Inglesi, loose lips sink ships. I tentativi possono continuare per dei mesi, ma l’attaccante ha dalla sua un numeroso esercito di computer sotto il suo controllo. Possiamo solo immaginare quale sia stata la sorpresa nello scoprire non già un problema di sicurezza, ma una backdoor collocata deliberatamente per permettere l’accesso alle forze dell’ordine americane. Et voilà! Ecco il “baco perfetto”: una backdoor di un sistema che deve esistere ex lege, non si potrebbe chiedere di meglio.

Vero? Falso? Impossibile dirlo per ora. Però non fatevi spedire password di altri sistemi su Gmail. Just in case…

Dopo averci scherzato tempo fa, pare che il problema della data nei software non sia sparito del tutto.

Il problema dell’anno 2000 era serio, anche se le conseguenze non sarebbero state quelle “previste” dagli “esperti” catastrofisti interrogati dalla stampa, la quale era a caccia più di sensazionalismi che di notizie. In ogni modo, sia con lo sforzo preventivo sia con l’intelligenza degli utilizzatori il problema dell’anno 2000 è stato superato.

Durante il periodo di caccia al baco precedente il primo gennaio 2000, i protocolli di test per verificare il software prevedevano, ovviamente, l’utilizzo di date successive all’anno 2000 nelle normali operazioni del software.  Ok, ma quanto successive al 2000? 2001? 2005? 2010? 2100? 3000?

La risposta esatta era, ovviamente, funzione sia della vita prevista del software sia del tipo di memorizzazione della data, sia della “finestra” di tempo dei dati in archivio.

Immaginiamo che il software abbia solamente due caratteri per l’anno che vanno da 00 a 99. Senza introdurre campi aggiuntivi (di “epoca”), io posso gestire solamente 100 anni. A questo punto, si tira una riga e si assume che se il valore è minore di (ipotizziamo) 50, è una data del nuovo millennio, altrimenti è una data del XX secolo.

Tutto bene, ma se quel software ha una base storica che inizia dal 1921? Nessun problema, si tira la riga al 20, tanto chi mai utilizzerà ancora questo software nel 2020?

Purtroppo sta succedendo (ed è successo proprio a me) che alcuni software abbiano tirato la riga al 9, ovvero se l’anno (a due cifre) è compreso tra 0 e 9 si parla del 2000, altrimenti è il 1900. Qualche giorno fa ho ricevuto da un cliente un export di dati da un software con dei calendari di eventi sia appena passati sia nell’immediato futuro: gli eventi fino al 31/12/2009 hanno la data corretta, quelli successivi sono collocati nel 1910.

Visto che il problema dell’anno 2000 era sentito nel mondo informatico da molti anni prima della fatidica data, è facile che il software in questione sia stato dichiarato Y2K compliant con il solito “trucco della finestra” descritto sopra, pensando che nessuno l’avrebbe più utilizzato nel 2010.

Il primo gennaio 1910 era una sabato, mentre il primo gennaio 2010 sarà un venerdì: se dopodomani qualche software che state utilizzando dirà che è sabato, non avrà semplicemente “perso” un giorno…

Aggiornamento 2/1/2010: SpamAssassin ha un problema con le date nel 2010. Pare che il problema sia stato risolto se usate sa-update.

Aggiornamento 3/1/2010: BusinessDay riporta che In Australia i POS della Bank of Queensland all’inizio del 2010 sono inspiegabilmente saltati al 2016 (via Slashdot).

Aggiornamento 3/1/2010: Gizmodo segnala che i telefoni cellulari con Windows Mobile 6.1 e 6.5 leggono la data degli SMS dopo il 31/12/2009 come 2016.

Aggiornamento 4/1/2010: Anche Syamantec Endpoint Protection Manager ha problemi con le date di quest’anno.

Mi fermo qui con l’elenco. I problemi sono ben di più.

Inutile negare che alcuni programmi di Microsoft, se usati assieme, facilitino la vita di tutti i giorni in ufficio, del resto sono pensati per quello. Ma spesso può capitare che i programmi siano troppo solerti e che non ci si renda conto che quello che viene copiato e, soprattutto, incollato non è solamente il testo formattato che vediamo, ma anche alcune informazioni note con il termine tecnico di metadati e informazioni circa il nostro PC

Un cliente mi ha mandato una mail composta con Outlook Express in cui aveva fatto un copia e incolla di un testo creato con Word. Il sorgente HTML di una mail composta in questo modo può rivelare alcune informazioni che vogliamo restino private o che potrebbero essere utilizzate come elementi di social engineering per portare degli attacchi alla nostra organizzazione.

Di seguito mostro alcuni elementi che potrebbero essere contenuti in una mail inviata con il metodo appena descritto; ovviamente i dati veri sono stati omessi o modificati per proteggere l’innocente. Mi limito qui ad analizzare la parte HTML del messaggio, va da sé che non è l’unica fonte di informazioni che dovrebbero restare riservate, in quanto anche gli header del messaggio  potrebbero contenere informazioni preziose per i malintenzionati.

Subito dopo il tag TITLE c’è un tag BASE con questo contenuto: file:///C:/Documents and Settings/user/Desktop/pippo/Lettera pluto.htm che rivela il percorso completo del documento e dice già molte cose sul PC di chi lo manda. La stessa informazione è ripetuta varie volte all’interno del documento, specialmente se sono presenti delle immagini.

Di seguito due tag META indicano esattamente la versione di Word e del traduttore HTML utilizzati, informazione utili per attacchi mirati contro vulnerabilità specifiche di alcune versioni del software.

La parte più succosa è però il punto in cui sono inseriti i metadati del documento Word, quei dati che molte volte tradiscono la vera origine del documento o il tempo impiegato per redigerlo, ecco il contenuto dei metatadati con valori inventati:

 <o:DocumentProperties>

  <o:Author>Pippo</o:Author>

  <o:LastAuthor>Pluto</o:LastAuthor>

  <o:Revision>9</o:Revision>

  <o:TotalTime>429</o:TotalTime>

  <o:LastPrinted>2005-02-06T15:20:00Z</o:LastPrinted>

  <o:Created>2009-09-01T14:23:00Z</o:Created>

  <o:LastSaved>2009-09-01T16:00:00Z</o:LastSaved>

  <o:Pages>47</o:Pages>

  <o:Words>807</o:Words>

  <o:Characters>4096</o:Characters>

  <o:Company>A.C.M.E. S.p.A.</o:Company>

  <o:Lines>44</o:Lines>

  <o:Paragraphs>42</o:Paragraphs>

  <o:CharactersWithSpaces>6093</o:CharactersWithSpaces>

  <o:Version>9.6936</o:Version>

 </o:DocumentProperties>

Questo post non ha certo la pretesa di essere esaustivo in materia: non in tutte le mail sono presenti questi dati e magari potrebbero esserci altri dati in caso di documenti formattati diversamente o creati con programmi differenti. Un audit periodico sui dati che si spediscono involontariamente a terzi non farebbe male.

Alcune norme di legge e le regole del buon senso richiedono che alcuni documenti vengano distrutti prima di essere gettati nella spazzatura al fine di vanificare eventuali azioni di trashing.

È fuori discussione che stracciare a mano i fogli di carta non sia una soluzione sicura. Esistono in commercio delle macchine distruggi documenti (shredder) che sminuzzano i fogli di carta (o di plastica) in modo da rendere difficile la lettura del documento originale.

La normativa DIN 32757 divide in sei livelli i distruggidocumenti in base alla dimensione dei frammenti di carta prodotti dalla macchina.

Le macchine più semplici tagliano i fogli in strisce lunghe quanto il foglio e larghe da pochi millimetri a qualche centimetro; i distruggi documenti un po’ più sicuri creano frammenti di carta larghi pochi millimetri e lunghi alcuni centimetri; i sistemi più sofisticati creano frammenti lunghi pochi millimetri e larghi un millimetro o poco più.

L’immagine di questo post mostra tre frammenti ottenuti con un Fellowes H-2C. Il frammento (1) è facilmente leggibile e chi ha familiarità con i voli aerei capisce immediatamente a cosa si riferisca. Il frammento (2) contiene scritte di dimensione paragonabile al frammento (1), ma in questo caso il foglio è stato inserito con le scritte inclinate rispetto all’asse del sistema di taglio. Il frammento (3) contiene del testo scritto a mano (da me) ed è illeggibile non solamente perché l’ho scritto io, ma anche perché la scritta ha una dimensione nettamente superiore della larghezza del frammento.

Un sistema di distruzione con le caratteristiche del H-2C è soddisfacente per scopi casalinghi o commerciali purché i fogli vengano inseriti storti; purtroppo la macchina ha una canna di 23 centimetri, che rende necessario rompere i fogli A4 prima di darli in pasto al tritadocumenti.

Da ultimo, bisogna tener presente che un uso intensivo dell’apparecchio lascia pezzi di carta sui sistemi di taglio che ne riducono l’efficienza, specialmente sulle parti laterali. È quindi necessaria una verifica periodica del sistema di taglio per rimuovere eventauli frammenti di carta.

Cos’hanno in comune malware e spam? Molto più di quello che una persona non del settore possa immaginare.

Innanzi tutto, alcune premesse doverose. Per quanto difficile da credere, lo spam rende soldi a chi lo gestisce. Il fatto stesso che continui ad esistere significa che è una pratica conveniente. Lo spam non è opera di un ragazzino solitario, ma è un’azione coordinata portata avanti da organizzazioni malavitose. Il malware non è più il virus scritto dall’universitario per noia o per goliardia, ma è un programma che ha il preciso e deliberato scopo di assumere il controllo di un computer o carpirne i dati (o entrambi).

Se è vero che molti computer casalinghi non hanno veramente nulla da nascondere al mondo (onestamente, le foto delle vostre vacanze e dei vostri compleanni non interessano a terzi), parimenti il mondo della malavita organizzata non ha interesse alle foto delle vostre vacanze. Ciò che fa gola del vostro computer è la sua connessione permanente a Internet, ovvero la vostra banda.

Il malware di ultima generazione fa di tutto per non essere scoperto dall’utente, se ne sta zitto zitto in un angolino del vostro computer e sfrutta la banda o la capacità di calcolo della vittima per scopi non esattamente ragolari quali, a titolo di esempio:

• attacchi distribuiti di denial of service;
• attacchi per tentare di indovinare le password di sistemi protetti;
• scansioni di blocchi di indirizzi per vedere se ci sono servizi da attaccare;
• invio di spam, magari pescando degli indirizzi anche dalle vostre rubriche o dalla cache del vostro browser;
• crack di sistemi CAPTCHA;
• server di distribuzione di materiale illegale (software, musica, film).

Possono passare mesi prima che ci si accorga di essere stati infettati da qualche malware e durante quel periodo potreste aver contribuito ad inviare migliaia di mail di spam: riflettete su questo la prossima volta che considerate l’antivirus o l’aggiornamento del medesimo una scocciatura.

Riprendo di nuovo il tema degli errori, dopo averne parlato la scorsa estate.

Una buona diagnostica degli errori è fondamentale per qualsiasi linguaggio di programmazione, ma nel caso di linguaggi per il web molti dettagli dovrebbero essere tenuti abbastanza nascosti agli utenti quando la procedura va in produzione.

Un esempio tipico è il verificarsi di un problema di connessione al database che impedisce il caricamento dei contenuti di un sito. Per capire cosa sto dicendo provate a cercare su Google la stiringa warning mysql_connect “access denied for user” “using password”; se andate un po’ in là nei risultati cominciate a trovare non più le pagine che descrivono questo errore, ma i siti in cui si verifica questo errore. La visualizzazione sulla pagina del client di questa diagnostica è abbastanza pericolosa perché può rivelare informazioni utili per eventuali attacchi al sito. Ecco due esempi di diagnostica consegnata al browser del visitatore:

Warning: mysql_connect() [function.mysql-connect]: Access denied for user ‘festival’@'localhost’ (using password: YES) in /home/www/if/old/functions.php on line 86

Microsoft OLE DB Provider for SQL Server error ‘80040e4d’ Login failed for user ‘mediamanager’. /V1/Playlist.asx, line 30

Nella prima diagnostica non solo diciamo a tutto il mondo che stiamo utilizzando MySQL, ma riveliamo il nome dell’utente con cui ci connettiamo al database e il path assoluto dei file nel sito web; in questo modo un attaccante che vuole leggere, ad esempio, il file /etc/passwd sa che il path relativo a functions.php è ../../../../../etc/passwd

Se il server HTTP e il linguaggio utilizzato lo prevedono (e di solito lo prevedono), la prima azione da intraprendere è ovviamente la disabilitazione dell’invio di ogni tipo di messaggio al client, limitandosi a tenere un log locale degli errori.

Dal momento che, come nel primo esempio, l’apertura della connessione al server SQL avviene solitamente in un solo punto del programma, per evitare questo tipo di problema è sufficiente testare il valore ritornato dalla funzione di connessione e, in caso di errore, visualizzare una pagina di cortesia in cui si dice che il sito è temporaneamente in manutenzione o qualcosa del genere. Attenzione a mettere la diagnostica dettagliata dell’errore tra commenti HTML come fa, per esempio, Flickr perché non sono l’unico io ad andare a vedere il sorgente HTML di questo tipo di pagine…

L’ultimo giorno del 2008 è stata presentata con dati di fatto verificabili la prova che i certificati di sicurezza basati sugli algoritmi a chiave pubblica verificati con hash MD5 dono da considerare non sicuri.

Anche questa volta il problema è molto tecnico, ma potrebbe avere ripercussioni sulla sicurezza di molti utenti. Fortunatamente, le autorità di certificazione (CA) che utilizzano ancora MD5 sono poche e cambieranno l’algoritmo in breve tempo, in quanto sono state avvisate prima della pubblicazione della ricerca.

La verifica della validità di un certificato di sicurezza (quello che provoca la visualizzazione di un lucchetto chiuso nel browser quando si visitano siti considerati sicuri) non avviene confrontando i certificati veri e propri ma confrontando delle sequenze di numeri ottenute applicando un algoritmo particolare (l’algoritmo di hash) al certificato originale. In questo modo si evita di spedire in chiaro il certificato stesso. Questo sistema è utilizzato per verificare o registrare le password di molti sistemi ed è il motivo per cui il vostro amministratore di sistema vi dice che non può dirvi la vostra password, ma la può solamente cambiare.

Gli algoritmi di hash sono (o dovrebbero essere) tali per cui non sia possibile risalire al dato originale conoscendo solamente l’hash e sia molto difficile modificare ad arte un documento in modo tale che l’hash dell’originale e della versione contraffatta siano uguali.

Purtroppo quello che un gruppo di persone è riuscito a fare è proprio questo: ha creato un certificato modificato ad arte che ha lo stesso hash (che non va confuso con la firma elettronica, sono due cose differenti) del certificato originale, rendendo possibile ingannare gli utenti.

Non è, comunque, il caso di allarmarsi perché l’algoritmo MD5 è utilizzato oramai da poche autorità di certificazione ed è in fase di dismissione; al suo posto vengono utilizzati SHA-1 e SHA-2, che, per ora, sono sicuri.

Va notato che già nel 2007 era stata dimostrata la poca sicurezza di MD5 ed era noto che la possibilità di creare questo tipo di attacco era solamente questione di tempo e volontà. Inoltre i ricercatori hanno sfruttato dei comportamenti prevedibili di un’autorità di certificazione che rilascia certificati con hash MD5.

Come detto, il rischio è molto limitato, ma chi volesse evitare di considerare validi i certificati firmati dalle CA che utilizzano ancora MD5 può installare il plugin di Firefox SSL Blacklist e stare tranquillo, almeno fino alla prossima falla del sistema.

ParanoidLinux is an operating system that assumes that its operator is under assault from the government (it was intended for use by Chinese and Syrian dissidents), and it does everything it can to keep your communications and documents a secret. It even throws up a bunch of “chaff” communications that are supposed to disguise the fact that you’re doing anything covert. So while you’re receiving a political message one character at a time, ParanoidLinux is pretending to surf the Web and fill in questionnaires and flirt in chat-rooms. Meanwhile, one in every five hundred characters you receive is your real message, a needle buried in a huge haystack.

Quando Cory Doctorow ha scritto questo brano di Little Brother, Paranoid Linux era solamente una sua invenzione funzionale allo svolgimento del racconto. Qualcuno, però, ha pensato di trasformare la finzione in realtà, così lo scorso maggio è nato il progetto ParanoidLinux.

Per qualche mese il progetto ha cercato una propria identità e ora sembra che l’abbia finalmente trovata. Pochi giorni fa, infatti, nel blog del sito è stato pubblicato l’annuncio del raggiungimento di una alpha-alpha release. Purtroppo non è ancora possibile scaricare un ISO, bruciarlo su un CD e avviare una copia di ParanoidLinux, ma almeno il team ha delineato un percorso.

La privacy è un diritto imprescindibile di un cittadino, sia questa nei confronti di entità private o nei confronti di organizzazioni pubbliche o governative che non hanno uno scopo definito per violarla. Esiste, infatti, una linea netta tra la raccolta di dati per una legittima indagine da parte delle forze di polizia e una raccolta di dati indiscriminata, aprioristica, non garantita da un mandato di un giudice e senza uno scopo dichiarato. Va inoltre ricordato che il motto «chi non ha nulla da nascondere non ha nulla da temere» è tipico delle forze di polizia politica dei regimi totalitari.

Ben vengano, quindi, queste distribuzioni e ogni tipo di software che alzino delle barriere per proteggere i dati informatici di ogni cittadino, così come le mura di casa proteggono i cittadini dallo sguardo di chicchessia.

Quando avete un momento libero, scaricate GnuPG (è disponibile anche una versione italiana del sito) e imparate ad utilizzarlo. Questa è la mia chiave pubblica.