sabato 29 agosto 2009

Noiose abitudini

In questi giorni sono stato un po' "preso" da una serie di attività piuttosto "noiose", ma inevitabili, oltreché utili, fra cui la lettura del Report di Agosto di "MessageLabs Intelligence" (www.messagelabs.com).

Da cui si deduce che "morto un Papa, se ne fa un altro". Ossia, chiuso il Provider "Real Host" di Riga (Latvia), che ospitava i "control center" della Botnet chiamata "Cutwail", nel giro di due giorni la suddetta Botnet si è riorganizzata ed è come risorta dalle proprie ceneri. Senza contare che le altre Botnet sono ben vive e attive.

Anche sapere che oltre l'88% delle e-mail contiene "spam" (immondizia: come, non ve ne eravate accorti?), fa passare la voglia di aprire il client di posta elettronica.

Ogni 350 e-mail circa, qualcuno tenterà di farvi cliccare su un link che avrà conseguenze poco piacevoli per il vostro prezioso PC (un po' meno, se avete un MacIntosh).

I cosiddetti "social network" (Facebook, Twitter, ecc.) sono "luoghi" simpatici ma  pericolosi, quasi più delle discoteche. Ci si possono fare brutti incontri.

Per i dettagli: leggetevi il report :)

sabato 22 agosto 2009

BiancaWindows e i 7 nani della sicurezza

Finalmente una buona notizia:
"Windows 7 still has all the security of a drunken teenager in a sports car." (Steven J. Vaughan-Nichols di ComputerlWorld)

Non vi sembra che abbiamo in giro fin troppi "teenager ubriachi alla guida di macchine sportive" per pensare di (spendere altri soldi e) lasciare che "Windows 7" ne introduca ancora?

Ma se siete masochisti (e un po' sadici verso il mondo Internet), fate pure.

venerdì 21 agosto 2009

VPN

Finalmente è giunto il momento di parlare di VPN: Virtual Private Networks. Lascio da parte i dettagli tecnici, che si possono approfondire cercando in rete (specialmente se si conosce discretamente l'inglese) e mi concentro sugli aspetti funzionali / decisionali.

A che servono le VPN: banalmente, ad utilizzare un canale di comunicazione "insicuro" (es.: Internet, ma non solo) rendendo "sicura" la sessione di comunicazione fra due o più "partner".  Se la VPN è ben costruita, i partecipanti si "riconoscono" in modo sicuro, scambiano dati senza poter essere "spiati" e senza che nessun altro possa "infiltrarsi" nella comunicazione.

Quando conviene utilizzarle: quando è necessario avere un canale di comunicazione "sicuro" (nel senso descritto sopra) e non si hanno a disposizione mezzi "nativi" per farlo, ma solo canali ritenuti troppo "insicuri".

Che cosa serve, e di conseguenza quanto "costa": si possono avere soluzioni hardware (più solide ma anche più rigide) o software (più flessibili e soprattutto facilmente aggiornabili e sostituibili all'evolversi delle tecnologie). Non è detto che una soluzione "proprietaria" sia migliore di un prodotto "open source", anzi di solito i "vendors" basano molta parte dei loro prodotti su tecnologie "open source", opportunamente rimaneggiate.

Criteri di valutazione: sono quelli normalmente usati per gli altri prodotti IT, con l'avvertenza che in questo campo le promesse (false) si sprecano. Verificate sempre, prima di mettervi in casa una tecnologia che non fa al caso vostro.

Svantaggi: innegabilmente, tutte le tecnologie VPN ad oggi conosciute introducono un "overhead" (appesantimento) sul traffico di rete, stimabile intorno al 20% (ottimisticamente, cioè su una rete dedicata alla VPN, altrimenti i valori salgono quasi esponenzialmente). A causa delle elaborazioni di "encryption/decryption" e dei vari "handshaking" di protocollo, aumenta anche la latenza o RTT (il tempo di attraversamento della rete da parte di un singolo pacchetto di dati), ragione per cui certe applicazioni come il VOIP o il video streaming, che richiedono tempi di trasmissione "garantiti", sono ad oggi improponibili su VPN.

Conclusioni: ricorrete ad una VPN solo quando non potete fare diversamente. Per contro-esempio, per proteggere la privacy dei dati in transito da e verso un sito bancario è abbondantemente sufficiente il protocollo SSL (https://...) con un buon certificato digitale. Altro contro-esempio: fare i backups in rete geografica (o in Internet) è già un mezzo suicidio, farli attraverso una VPN è come buttarsi da un aereo in quota senza paracadute :)

Buona VPN a tutti.

giovedì 20 agosto 2009

VLAN (in)security

Chiunque si trovi a configurare una moderna LAN dotata di "switch" e magari anche di "centro stella" (mega-switch centrale), saprà sicuramente che cos'è una VLAN: un modo per partizionare uno switch in più entità virtuali, virtualmente separate fra loro (via software), anche se unite dallo stesso hardware comune (il "pezzo di ferro" switch, con le sue "porte" Ethernet o fibra o altro). Si parla di Standard IEEE 802.1Q (cercare per credere :-) ).

Purtroppo, alcuni "profani", fra cui alcuni (troppi) "decision makers" del settore IT, tendono a credere che le VLAN siano un elemento di maggior sicurezza, uno dei "mattoni" su cui costruire la sicurezza di una rete interna al CED. Come dire che se una gioielleria custodisce i propri gioielli in diverse cassaforti, invece che in una sola, aumenta il proprio livello di sicurezza. Questo è palesemente falso.

Per quanto riguarda le VLAN, questo articolo chiarisce (in inglese) le idee a questo proposito, e rimanda ad autorevoli fonti che riescono a sfatare questo autentico mito.

In definitiva, le VLAN sono soltanto un metodo per abbassare i costi di impianto e migliorare la gestione dei "broadcast" all'interno della LAN.

martedì 18 agosto 2009

domenica 16 agosto 2009

Hacker ? Cracker ?

Come già "minacciato" :-) eccomi a parlare di un termine molto abusato: "hacker". Come si può leggere in Wikipedia, "è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte", quindi la connotazione "criminale" che solitamente i mass-media attribuiscono a questo termine è molto lontana dalla realtà (almeno da quella linguistica).

Personaggi del tutto diversi sono invece i "cracker":  "colui che si ingegna per eludere blocchi imposti da qualsiasi software in genere". E ancora: "I cracker possono essere spinti da varie motivazioni, dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio industriale o in frodi) all'approvazione all'interno di un gruppo di cracker (come tipicamente avviene agli script kiddie, che praticano le operazioni di cui sopra senza una piena consapevolezza né delle tecniche né delle conseguenze)."

Come si può facilmente capire, i più pericolosi sono proprio gli "script kiddie": innanzitutto perché piuttosto numerosi (si dice che l'80% del traffico Internet sia generato da questi "neofiti del cracking"), e poi perché appunto non hanno consapevolezza delle conseguenze delle loro gesta e non seguono alcuna "etica" o "logica" al di fuori del loro stesso "divertimento". Per fortuna questo tipo di minaccia è facilmente neutralizzabile: basta tenere aggiornati i sistemi con le ultime "patch" di sicurezza emesse dai produttori, e aggiornare anche gli antivirus.

Ohibò! Qui casca l'asino! Quanti sono i sistemi che non vengono  aggiornati regolarmente, quante le postazioni con l'antivirus obsoleto? Quanti di questi sono esposti agli attacchi degli "script kiddie"? Quasi tutti, salvo "distrazioni" dei suddetti.

Cari Security Administrator, dormite sonni sereni. :-)

//

sabato 15 agosto 2009

Buon Ferragosto ?

Buon Ferragosto ai miei lettori e... speriamo che me la cavo anche quest'anno come gestore della sicurezza: lunedì sapremo quanti "attacchi" i nostri Firewall hanno felicemente respinto! Ogni anno è un ... Superenalotto!

Aggiornazja: questo Blog è in seconda pagina su Google, se cercate "professione it security" :-) ... Chissà che succede se parlo di "hackers" :D

giovedì 13 agosto 2009

Monitoraggio

Come tutti gli esperti di IT Security sanno, la disponibilità di un servizio è uno degli elementi della Sicurezza IT. Diventa quindi importante conoscere lo stato di disponibilità dei servizi (in rete) in tempo reale.

Esistono in commercio diversi "tools" che, opportunamente configurati e con diverso impatto sulle infrastrutture, consentono di tenere sotto controllo il funzionamento dei servizi ritenuti importanti dal punto di vista della Sicurezza IT.  Basti pensare che un qualsiasi strumento che sappia monitorare un nostro Web Server può dare immediatamente l'allarme in caso di un attacco "Denial of service".

Come in ogni decisione nel campo IT, bisogna però considerare due aspetti:

  • l'impatto del nuovo strumento sulle infrastrutture esistenti (rete, server, hardware e software): quanto traffico genera? quanto carico aggiuntivo impone ai sistemi sotto controllo? richiede l'installazione di "agent"? ha requisiti o limiti di architettura? richiede hardware aggiuntivo, e di che tipo/costo? ultimo ma non ultimo: chi controlla il "controllore"?

  • l'impegno di risorse umane e skill richiesto per rendere  efficace il nuovo strumento: quanto è facile da installare, imparare a usarlo, configurarlo in maniera opportuna? che tipo di "human interface" mette a disposizione? quali cambiamenti organizzativi eventualmente richiede? ha una "learning curve" abbordabile o proibitiva (relativamente all'ambiente in cui va inserito)?


Infine non è da trascurare un'aspetto forse abbastanza cruciale, nella valutazione dello strumento: che tipo di "allarmi" è in grado di attivare? cruscotto (pull)? e-mail? sms?

Avendo in mente tutte queste considerazioni, posso affermare che fra i prodotti "open" (per la precisione sotto licenza GPL) uno strumento efficace è "Nagios".

Impatto: il traffico in rete generato è trascurabile, così come il carico sul sistema di controllo e sui sistemi da controllare; salvo casi particolari, non  richiede l'installazione di "agent" sui sistemi/nodi da controllare; l'archietettura è flessibile e linearmente scalabile, modulare e aperta a facili integrazioni; l'hardware necessario si limita ad un server Linux (anche virtuale) connesso in LAN, con limitate esigenze di CPU e memoria; in ambienti "fault tolerant" è possibile installare due o più sistemi controllori, in modalità collaborativa (load sharing e fail-over automatico)

Impegno: sono richiesti skill Linux (sistemista) per l'installazione, gestione e configurazione, oltre che di rete e sicurezza (base); Nagios offre un'interfaccia web per il monitoring (cruscotto di controllo) e gestione, supporta in maniera nativa allarmi via e-mail e/o sms

Difficoltà: la configurazione avviene tramite files di testo; esistono comunque tools "esterni" di configurazione con interfaccia grafica basati su database

Riferimenti:

www.nagios.org

lunedì 10 agosto 2009

Password ?

Quando si parla di "risorse protette" o di "accesso sicuro", di solito si fa riferimento a meccanismi di autenticazione basati su "username e password". Mentre lo username è normalmente conosciuto (o facilmente conoscibile), la password (si dice) è "segreta". Ci sono almeno due motivi importanti per cui l'autenticazione tramite password non è di solito molto "sicura".

Primo, nella grande maggioranza dei casi, non ci sono o non vengono messi in atto quei meccanismi che obbligano alla scelta di una password non facilmente indovinabile (da un programma, più che da umani). Quante volte ci sentiamo infastiditi da quei sistemi che ci costringono a "pensare" una password che contenga qualche cifra, qualche carattere "speciale", ecc. e che sia "abbastanza  lunga". Laddove questo non viene richiesto, ci accontentiamo di impostare password piuttosto sempliciotte e facilmente indovinabili (sempre da un programma,  che fa molto prima di un umano che prova e riprova "a mano").

Secondo, anche nei casi in cui la password sia "forte", anzi specialmente in quei casi, visto che è difficile da ricordare, si tende a memorizzarla da qualche parte: il caso più banale è trovare password scritte vicino al video o sotto la tastiera; appena più elaborato il caso in cui vengono memorizzate in un file (che magari si chiama "password" e si trova sul desktop dell'utente), infine è anche molto  diffusa l'abitudine di "affidare" le password a vari programmi che le "ricordano" automaticamente (uno per tutti, il Browser).

Purtroppo, è ancora poco diffuso l'utilizzo di Certificati Digitali X.509 per l'autenticazione, e ancora meno quello di tecniche biometriche. Certamente, vale la pena di ricordare che ogni strumento deve essere adeguato e commisurato al livello di sicurezza che si intende raggiungere, e al relativo rischio. Per questo è importante, prima di decidere se affidare la sicurezza dei dati (per esempio) di un database alla semplice "password", effettuare una corretta "analisi del rischio".

domenica 9 agosto 2009

IP Spoofing e AntiSpoofing

In una rete di computer, con il termine di IP spoofing si indica una tecnica tramite la quale si crea un pacchetto IP nel quale viene falsificato l'indirizzo IP del mittente (fonte: Wikipedia)

Dal punto di vista della sicurezza, è molto importante "sapere" esattamente da quale computer arrivano le connessioni o comunque i pacchetti in rete: la maggior parte dei metodi di filtraggio e di abilitazione si basano anche sull'indirizzo IP sorgente. Se non abbiamo a disposizione uno strumento che ci permetta di rifiutare a priori pacchetti che arrivino dall'interfaccia "sbagliata" rispetto al loro IP sorgente, siamo un bel pezzo indietro nella capacità di proteggere le nostre reti. Chiunque abbia intenzioni malevole nei confronti della rete di computer che sta attaccando, cerca di nascondere la provenienza dei propri attacchi, e l'IP spoofing è una delle tecniche più semplici per tentare di nascondersi.

Per questo, è bene assicurasi di avere a disposizione componenti hardware/software che permettano una configurazione anti-spoofing, e soprattutto è bene configurare l'anti-spoofing su tutte le interfacce di rete.

venerdì 7 agosto 2009

DDoS - Distributed Denial of Service

Da giovedì in rete non si parla d'altro che del "disservizio" sofferto da Twitter, il popolare servizio di "Social Networking" e messaggeria istantanea. Gli utenti di Twitter si sono trovati improvvisamente privi del servizio che tanto preferiscono.

Tecnicamente, si è trattato di un DDoS (Distributed Denial of Servce), ovvero del tentativo (riuscito) di "offuscare" un servizio in rete, messo in atto col coinvolgimento di molte centinaia (c'è chi dice migliaia) di postazioni i cui utenti probabilmente erano del tutto ignari.

Per poter portare a termine un DDoS, l'attaccante deve avere a disposizione una Botnet, ossia una rete di computer "schiavi" (detti "zombie") che possano essere attivati remotamente, via Internet,  a comando. Ecco perché non si sottolinea mai abbastanza l'importanza di installare e tenere sempre aggiornato l'antivirus e ogni altra protezione del computer aziendale o di casa.

Poco importa se dietro a questi attacchi ci sia un'azione di spionaggio industriale, concorrenza sleale, un tentativo di impadronirsi dei dati delle carte di credito, un'azione politica di servizi segreti o terroristica, oppure uno o più mitomani psicopatici. Anzi, come ben evidenzia l'articolo di Wired, quest'ultima categoria è forse la più pericolosa, dal punto di vista della Sicurezza, in quanto scarsamente prevedibile a priori.

Che cosa si può fare, dal punto di vista della Sicurezza, per evitare che i nefasti effetti di un DDoS si abbattano sui nostri beneamati Server Aziendali, sul costosissimo Portale, sulla irrinunciabile WebMail? La risposta non può essere contenuta in una sola parola, ma deve essere fondata sui metodi e sui mezzi di prevenzione, sulla costante attenzione verso la sicurezza delle reti interne e delle infrastrutture di comunicazione verso Internet. Non bisogna compiere l'errore, per esempio, di costruire una fantastica "Linea Maginot" che protegga frontalmente le nostre risorse, dimenticando che quella piccola porticina, costituita dal "Desktop Remoto" abilitato per facilitare gli interventi in "reperibilità" dei sistemisti, si può facilmente trasformare in un Cavallo di Troia estremamente pericoloso.

In conclusione, tanto per fare un esempio preso dalla mia esperienza professionale, se arrivando la mattina al lavoro mi accorgo che il mio IP Address (riservato e "potentissimo") è stato usato durante la notte da qualcun altro, comincio a preoccuparmi e a indagare per scoprire chi l'ha usato e in quale modo. E' successo stamattina: meno male che avevo messo in piedi un meccanismo per controllare questo tipo di eventi.

giovedì 6 agosto 2009

Proxy

Certe "paroline" del gergo informatico stuzzicano la curiosità del profano. A chi non è mai capitato, magari in ufficio, di sentir parlare di "proxy"? Allora è giunto il momento di sfatare anche quest'altro mito. Chiunque lavori in un ufficio, sia che faccia parte di una grande organizzazione che di una piccola ditta, ha quotidianamente a che fare con Internet. Il fatto stesso che qualcuno stia leggendo questo articolo, significa che sta usando Internet. Pochi, al di fuori degli specialisti, si chiedono come avviene tutto ciò. Molto spesso, le organizzazioni grandi e piccole non gradiscono che l'accesso a Internet da parte dei propri dipendenti avvenga incondizionatamente e senza "controllo". Poiché è materialmente (e anche legalmente) impossibile controllare ogni singola richiesta di accesso ad Internet, si preferisce attivare una risorsa chiamata Proxy. Un Proxy (più correttamente un HTTP-Proxy) è, in breve, un computer (proxy server) con una serie di programmi (proxy software) che fanno più o meno da "passa carte" fra i PC degli utenti e il grande e sconosciuto mondo di Internet. Questo "imbottigliamento", mentre è praticamente invisibile all'utente, facilita moltissimo la gestione degli accessi. Usando un Proxy, è infatti solo il server proxy che si affaccia su Internet ed è quindi abilitato a mandare le sue richieste in giro per la rete: gli utenti "reali" vengono in un certo senso "mascherati" dal Proxy. Il minimo svantaggio di una navigazione teoricamente più lenta (in maniera di solito impercettibile) viene compensato dal vantaggio "statistico" di trovare molto velocemente alcune informazioni già richieste da altri (ignari) utenti dello stesso Proxy: si pensi alla consultazione dei siti giornalistici on-line oppure alla semplice navigazione su siti molto "frequentati". Il primo utente, come semplice effetto collaterale della sua normale navigazione, deposita (inconsapevolmente) sul Proxy una serie di immagini, parti di articoli o testo, contenuti multimendiali ed altro, che poi verranno sfruttati dai successivi utenti che richiameranno le stesse pagine.

Un altro "vantaggio" nell'uso di un Proxy consiste nel poter porre alcuni "freni preventivi" alla libera navigazione Internet. Come accenntato, non è possibile (legalmente) ispezionare quali siti vengono richiesti da quali utenti, ma è possibile bloccare "preventivamente", per tutti gli utenti, richieste ritenute non produttive o addirittura lesive dell'immagine aziendale (si pensi per esempio ad eventuali accessi a siti della concorrenza, magari con tanto di Forum in cui un dipendente potrebbe lasciare commenti o "esportare" notizie).

Naturalmente, come tutti i servizi informatici, un Proxy va gestito e non abbandonato a sé stesso. Bisogna considerare che può diventare un collo di bottiglia notevole per le attività che richiedono Internet, e in quanto elemento di sicurezza attiva e passiva in rete, deve essere opportunamente configurato, monitorato e gestito, per poter offrire "affidabilità, confidenzialità, consistenza, disponibilità" del servizio.

Altrettanto ovviamente, esistono diversi tipi di Proxy e diverse architetture, di cui parlerò in un successivo approfondimento.

martedì 4 agosto 2009

Firewalls

Ormai anche il grande pubblico non specialista conosce la parola "Firewall", anche se non ne ha ben chiaro il significato: qualcosa che "blocca" gli accessi indesiderati, una specie di "filtro anti-hacker", e così via. In realtà un Firewall è un dispositivo per la sicurezza attiva in una rete di computers. Le funzioni "base" consistono nel saper distinguere, una volta opportunamente "istruito", fra reti considerate "sicure" (interne, controllate, gestite direttamente) e reti "insicure" (Internet o altre reti non direttamente controllabili). Una delle caratteristiche interessanti dei Firewall più evoluti si chiama "anti-spoofing": permette di riconoscere ed eliminare dal traffico di rete richieste che provengano "dalla parte sbagliata". Ad esempio, una connessione da Internet con un indirizzo di una rete interna, o viceversa. Un'altra caratteristica inportante e ormai abbastanza diffusa dei Firewall è quella di saper distinguere fra "richieste di nuove connessioni" e "traffico su connessioni già stabilite". Più in generale, un Firewall decente riconosce se il traffico di rete contiene opzioni o richieste "non consentite" dal normale flusso definito dagli standard (TCP/IP). Infine, ulteriori funzioni di un Firewall evoluto prevedono di ispezionare più a fondo il traffico in transito, alla ricerca di tentativi malevoli di bloccare il servizio ("denial of service") o di introdurre codice malevolo sui computer protetti dal Firewall stesso (quelli presenti sulle reti interne).  Ovviamente, un buon Firewall, oltre a impedire tutto ciò che deve essere vietato, dovrà consentire di mettere in allerta i gestori della rete e della sicurezza, ed inoltre dovrà prevedere un aggiornamento automatico delle regole generali di sicurezza (riconoscimento codice malevolo, riconoscimento dei tentativi di attacco via rete, ecc.).

lunedì 3 agosto 2009

Intro

In questo blog inserirò le note rilevanti del mio lavoro di professionista di IT Security: appunti, successi, metodi utilizzati e (perché no) anche qualche insuccesso, da cui ho imparato qualcosa.