About these ads

Archive

Posts Tagged ‘Cloud’

BotClouds Still Hard to Detect (And Mitigate)

October 31, 2012 1 comment

This morning, during my usual virtual promenade through my feeds, I came across a really interesting post from Stratsec, a subsidiary of Bae Systems.

The post unveils the details of an unprecedented experiment aimed to verify how easy and cheap is to setup a botCloud and how hard is for the Cloud providers to detect them (and consequently advise the victims).

As the name suggests, a botCloud is defined as a group of Cloud instances that are commanded and controlled by malicious entity to initiate cyber-attacks.

The research was carried on by subscribing to five common Cloud providers and setting up to 10 Cloud instances targeting a victim host, protected by traditional technologies such as IDS, and flooded with several common attack techniques (malformed traffic, non-RFC compliant packets, port scanning, malware traffic, denial of service, brute force, shellcode and web application attacks) in 4 scenarios:

  1. Victim host placed in a typical network scenario with a public IP, firewall and IDS;
  2. Victim host setup as a cloud instance inside the same cloud service provider then the attackers;
  3. Victim host setup as a cloud instance inside a different cloud service provider then the attackers;
  4. Same scenario as test 1 with a major duration (48 hours) to verify the impact of duration on the experiment;

 The findings are not so encouraging, and confirm that the security posture of the cloud providers needs to be improved:

  • No connection reset or connection termination on the outbound or inbound network traffic was observed;
  • No connection reset or termination against the internal malicious traffic was observed;
  • No traffic was throttled or rate limited;
  • No warning emails, alerts, or phone calls were generated by the Cloud providers, with no temporary or permanent account suspensions;
  • Only one Cloud provider blocked inbound and outbound traffic on SSH, FTP and SMTP, however these limitation was bypassed by running the above service on non-default port.

The other face of the coin is represented by the moderate easiness needed to setup an army of cloud-hidden zombie machined which can leverage the advantages of a Cloud infrastructure. In fact a botCloud

  • Is relatively easy to setup and use;
  • Needs significantly less time to build;
  • Is Highly reliable and scalable;
  • Is More effective;
  • Has a Low cost.

Cloud Service Providers (and their customers), are advised…

About these ads

Browsing Security Predictions for 2012

January 8, 2012 4 comments

Update 01/11/2012: Year-to-Tear comparison with 2011 Security Predictions

The new year has just come, vacations are over, and, as usually happens in this period, information security professionals use to wonder what the new year will bring them from an infosec perspective. The last year has been rich of events, whose echo is still resounding, and as a consequence, if RSA and Sony breach were not enough, the main (and somehow obvious) question is: will 2012 stop this trend or rather bring it to unprecedented levels, or, in other words, which threat vectors will disturb the (already troubled) administrators’ sleep?

Unfortunately my divination skills are not so developed (in that case I would not be here), but security firms can give a crucial help since they started to unveil their security predictions for 2012, at least since the half of December, so putting them together, and analyzing them is quite a straightforward and amusing task. Maybe even more amusing will be, in twelve years, to see if they were correct or not.

The security prediction that I take into consideration included, at my sole discretion (and in rigorous alphabetical order):

•    Cisco;
•    Fortinet;
•    Kaspersky;
•    McAfee;
•    Sophos;
•    Trend Micro;
•    Websense;

That is the only leader vendors for which I found predictions issued with original documents (feel free to indicate if I missed someone and I will be very glad to include them in the chart).

In any case, the landscape is quite heterogeneous since it encompasses security vendors covering different areas: one vendor, McAfee, covering all the areas (network, endpoint and content security), two vendors and one half focused on network and content security (Cisco, Fortinet and partially Sophos thanks to the Astaro acquisition), and two vendors focused essentially on endpoint security (Kaspersky and Trend Micro).

The following table summarizes their predictions:

In order to correctly understand the chart a premise is needed: as you will probably have already noticed, in several cases the predictions reflect the specific security focus for the analyzed vendor. For instance, Websense is focused on DLP, and that is the reason why the adoption of DLP is one of its predictions. Analogously McAfee is investing huge resources for Security on Silicon, and this implies that embedded systems and Malware Moving Beyond OS are present among its predictions. Same speech could be applied for Trend Micro and its Cloud Prediction and so on.

Some trends for this year are clearly emphasized: easily predictable Hactivism appears on 6 of the 7 vendors, as mobile (with different connotations) does. Social Media is on the spot as well as are SCADA, Embedded Systems and, quite surprisingly in my opinion, cloud. I would have expected a greater impact for APTs, but for a complete and more accurate analysis one should consider them together with threats targeting embedded systems or ICS. Even because according to several security firms, for instance Kasperky, APT Stuxnet-like will be used for tailored campaigns, whilst more “general purpose malware”, including botnets will be used for massive campaigns (this item is summarized as Mass Targeted Campaigns).

 

Some “old acquaintances” will be with us in 2012: consumerization, at least according to Sophos and Trend Micro (even if consumerization is strictly connected, if not overlapped with mobile) and, if the Comodo and Diginotar affaires were not enough, Rogue Certificates, according to McAfee. Instead some “new entries” are absolutely interesting, such as the threats related to NFC (even if in this case I would have expected a greater impact) or related to Virtual Currency. Besides let us hope that the prediction to adopt DNSSEC be more than a prediction but a consolidated practice.

The most conservative security firm? In my opinion Cisco. The most “visionary”? Maybe Fortinet, I found the “Crime as a Service (CaaS)” absolutely awesome, and most of all not so visionary, since there are already some (even if clumsy) attempts.

In any case with this plenty of Cyber Nightmares is not a surprise the fact the Enterprise security market is going to reach $23 billion worldwide in 2012 with a 8.7% growth year-on-year.

Attacks Raining Down from the Clouds

November 22, 2011 Leave a comment

Update November 24: New EU directive to feature cloud ‘bridge’. The Binding Safe Processor Rules (BSPR) will ask cloud service providers to prove their security and agree to become legally liable for any data offences.

In my humble opinion there is strange misconception regarding cloud security. For sure cloud security is one of the main trends for 2011 a trend, likely destined to be confirmed during 2012 in parallel with the growing diffusion of cloud based services, nevertheless, I cannot help but notice that when talking about cloud security, the attention is focused solely on attacks towards cloud resources. Although this is an important side of the problem, it is not the only.

If you were on a cybercrook’s shoes eager to spread havoc on the Internet (unfortunately this hobby seems to be very common recent times), would you choose static discrete resources weapons to carry on your attacks or rather would you prefer dynamic, continuous, always-on and practically unlimited resources to reach your malicious goals?

An unlimited cyberwarfare ready to fire at simple click of your fingers? The answer seems pretty obvious!

Swap your perspective, move on the other side of the cloud, and you will discover that Security from the cloud is a multidimensional issue, which embraces legal and technological aspects: not only for cloud service providers but also for cloud service subscribers eager to move there platforms, infrastructures and applications.

In fact, if a cloud service provider must grant the needed security to all of its customers (but what does it means the adjective “needed” if there is not a related Service Level Agreement on the contract?) in terms of (logical) separation, analogously cloud service subscribers must also ensure that their applications do not offer welcomed doors to cybercrooks because of vulnerabilities due to weak patching or code flaws.

In this scenario in which way the two parties are responsible each other? Simply said, could a cloud service provider be charged in case an attacker is able to illegitimately enter the cloud and carry on attack exploiting infrastructure vulnerabilities and leveraging resources of the other cloud service subscribers? Or also could an organization be charged in case an attacker, exploiting an application vulnerability, is capable to (once again) illegitimately enter the cloud and use its resources to carry on malicious attacks, eventually leveraging (and compromising) also resources from other customers? And again, in this latter case, could a cloud service provider be somehow responsible since it did not perform enough controls or also he was not able to detect the malicious activity from its resources? And how should he behave in case of events such as seizures.

Unfortunately it looks like these answers are waiting for a resolutive answer from Cloud Service Providers. As far as I know there are no clauses covering this kind of events in cloud service contracts, creating a dangerous gap between technology and regulations: on the other hands several examples show that similar events are not so far from reality:

Is it a coincidence the fact that today TOR turned to Amazon’s EC2 cloud service to make it easier for volunteers to donate bandwidth to the anonymity network (and, according to Imperva, to make easier to create more places and better places to hide.)

I do believe that cloud security perspective will need to be moved on the other side of the cloud during 2012.

Advanced Persistent Threats and Security Information Management

October 13, 2011 3 comments

Advanced Persistent Threats are probably the most remarkable events for Information Security in 2011 since they are redefining the infosec landscape from both technology and market perspective.

I consider the recent shopping in the SIEM arena made by IBM and McAfee a sign of the times and a demonstration of this trend. This is not a coincidence: as a matter of fact the only way to stop an APT before it reaches its goal (the Organization data), is an accurate analysis and correlation of data collected by security devices. An APT attack deploys different stages with different tactics, different techniques and different timeframes, which moreover affect different portion of the infrastructure. As a consequence an holistic view and an holistic information management are needed in order to correlate pieces of information spread in different pieces of the networks and collected by different, somewhat heterogeneous and apparently unrelated, security devices.

Consider for instance the typical cycle of an attack carried on by an APT:

Of course the picture does not take into consideration the user, which is the greatest vulnerability (but unfortunately an user does not generate logs except in a verbal format not so easy to analyze for a SIEM). Moreover the model should be multiplied for the numbers of victims since it is “unlikely” that such a similar attack could be performed on a single user at a time.

At the end, however, it is clear that an APT affects different components of the information security infrastructure at different times with different threat vectors:

  • Usually stage 1 of an APT attack involves a spear phishing E-mail containing appealing subject and argument, and a malicious payload in form of an attachment or a link. In both cases the Email AV or Antispam are impacted in the ingress stream (and should be supposed to detect the attack, am I naive if I suggest that a DNS lookup could have avoided attacks like this?). The impacted security device produce some logs (even if they are not straightforward to detect if the malicious E-mail has not been detected as a possible threat or also has been detected with a low confidence threshold). In this stage of the attack the time interval between the receipt of the e-mail and its reading can take from few minutes up to several hours.
  • The following stage involves user interaction. Unfortunately there is no human firewall so far (it is something we are working on) but user education (a very rare gift). As a consequence the victim is lured to follow the malicious link or click on the malicious attachment. In the first scenario the user is directed to a compromised (or crafted) web site where he downloads and installs a malware (or also insert some credentials which are used to steal his identity for instance for a remote access login). In the second scenario the user clicks on the attached file that exploits a 0-day vulnerability to install a Remote Administration Tool. The interval between reading the malicious email and installing the RAT takes likely several seconds. In any case Endpoint Security Tools may help to avoid surfing to malicious site or, if leveraging behavioral analysis, to detect anomalous pattern from an application (a 0-day is always a 0-day and often they are released after making reasonably sure not to be detected by traditional AV). Hopefully In both cases some suspicious logs are generated by the endpoint.
  • RAT Control is the following stage: after installation the malware uses the HTTP protocol to fetch commands from a remote C&C Server. Of course the malicious traffic is forged so that it may be hidden inside legitimate traffic. In any case the traffic pass through Firewalls and NIDS at the perimeter (matching allowed rules on the traffic). In this case both kind of devices should be supposed to produce related logs;
  • Once in full control of the Attacker, the compromised machine is used as a hop for the attacker to reach other hosts (now he is inside) or also to sweep the internal network looking for the target data. In this case a NIDS/anomaly detector should be able to detect the attack, monitoring, for instance, the number of attempted authentications or wrong logins: that is the way in which Lockheed Martin prevented an attack perpetrated by mean of compromised RSA seeds, and also, during the infamous breach, RSA detected the attack using a technology of anomaly detection Netwitness, acquired by EMC, its parent company immediately after the event.

At this point should be clear that this lethal blend of threats is pushing the security firms to redefine their product strategies, since they face the double crucial challenge to dramatically improve not only their 0-day detection ability, but also to dramatically improve the capability to manage and correlate the data collected from their security solutions.

As far as 0-day detection ability is concerned, next-gen technologies will include processor assisted endpoint security or also a new class of network devices such as DNS Firewalls (thanks to @nientenomi for reporting the article).

As far data management and correlation are concerned, yes of course a SIEM is beautiful concept… until one needs to face the issue of correlation, which definitively mean that often SIEM projects become useless because of correlation patterns, which are too complex and not straightforward. This is the reason why the leading vendors are rushing to include an integrated SIEM technology in their product portfolio in order to  provide an out-of-the-box correlation engine optimized for their products. The price to pay will probably be a segmentation and verticalization of SIEM Market in which lead vendors will have their own solution (not so optimized for competitor technologies) at the expense of generalist SIEM vendors.

On the other hand APT are alive and kicking, keep on targeting US Defense contractors (Raytheon is the latest) and are also learning to fly though the clouds. Moreover they are also well hidden considered that, according to the Security Intelligence Report Volume 11 issued by Microsoft, less than one per cent of exploits in the first half of 2011 were against zero-day vulnerabilities. The 1% makes the difference! And it is a big difference!

Tecnologia e Normativa: Le Due Facce Del Cloud

February 22, 2011 1 comment

In queste ore IDC ha pubblicato un interessante documentoAccelerate Hybrid Cloud Success: Adjusting the IT Mindset” (sponsorizzato da VMware) in cui esamina l’andamento del mercato dei servizi legati al Cloud nei prossimi 4 anni in EMEA (Europa, Middle East e Africa). Nel corso del 2009 i datacenter del Vecchio Continente, Medio Oriente e Africa, hanno assistito allo storico sorpasso delle macchine virtuali nei confronti delle macchine fisiche. Questo sorpasso ha agito da volano per il cloud, che ha esteso rapidamente la propria ampiezza e profondità, diventando un perno delle infrastrutture IT per gli anni a venire.

Lo studio delinea in maniera inequivocabile il trend esponenziale di adozione del cloud con particolare focus sulle infrastrutture di tipo hybrid cloud (ovvero quelle che adottano un approccio intermedio tra una infrastuttura completamente pubblica e una infrastruttura completamente privata). Se nel 2009 IDC stima che sono stati spesi circa 3.4 mld di $ per servizi legati alla nube di tipo software-as-a-service [SaaS], infrastructure-as-a-service [IaaS], e platform-as-a-service [PaaS], gli investimenti per servizi analoghi, sempre secondo le stime IDC, raggiungeranno nel 2010 i 5.3 mld di $ (con una crescita del 56% rispetto all’anno precedente) e sono destinati a crescere sino a 18.8 mld. di $ nel 2014.

Il motivo di una tale crescita è presto detto (e abusato): il cloud sopperisce ai problemi cronici delle infrastrutture IT riassumibili in:  costi di gestione elevati, utilizzo non efficiente delle risorse computazionali, consumo eccessivo di energia, inquinamento e, last but not least, mancanza di agilità dei servizi erogati che non si muovono alla stessa velocità dei requisiti di business.

Ai problemi cronici delle infrastrutture IT si sommano ulteriori fattori, letteralmente esplosi nel corso degli ultimi due anni:

  • La diffusione selvaggia dei server x86 in EMEA (raddoppiata da 1.3 milioni a 2.7 milioni di unità tra il 2003 e il 2008) con tutte le conseguenze in termini di consumo energetico e costi di approvvigionamento e gestione;
  • Processi di business sempre più dinamici e in tempo reale che necessitano  di infrastrutture dinamiche e in grado di adattarsi al processo con la stessa velocità con cui lo stesso muta;
  • Base di client eterogenei composta da dispositivi mobili e multiformi (smartphone, tablet, netbook), dispositivi che devono accedere alle risorse ed ai servizi da una vasta gamma di piattaforme, con le stesse condizioni di sicurezza.

Una simile diffusione non deve però mettere in ombra quelli che sono i problemi storici del cloud, evidenziati anche in queste pagine: la sicurezza, le prestazioni, l’affidabilità e (fattore non esplicitamente citato nella ricerca IDC sebbene strettamente pertinente alla sicurezza), la conformità con le normative vigenti nei vari paesi.

Come suggerisce il titolo del documento IDC la rivoluzione non è solo tecnologica ma (soprattutto) culturale: per gli utenti (che non hanno più il controllo diretto dei propri dati), e per i gestori che vedono fiorire modelli di servizio ibridi e soprattutto vedono cadere le barriere gestionali dei diversi componenti di una infrastruttura: il Data Center 3.0 basa difatti la propria intelligenza e dinamicità sulla rete e considera sistemi, storage e rete come una unica entità.

Purtroppo non è tutto oro quello che luccica, soprattutto nel Belpaese. Tecnologia e Normativa non si muovono alla stessa velocità e, ironia della sorte, lo studio IDC raggiunge la comunità IT a poche ore dalle dichiarazioni di Luca Bolognini, Presidente dell’Istituto Italiano Privacy, che, nel corso di una tavola rotonda nell’ambito dell’IDC Security Conference 2011 (sempre di IDC si tratta), ha dichiarato che il Cloud, per quanto sia una tecnologia vincente, è teoricamente illecito in quanto non conforme con le normative di diversi paesi europei.

I motivi sono i soliti:

  • La nomina del responsabile del trattamento dei dati che diviene eccessivamente fumosa all’interno della nube: una entità che vede molteplici soggetti che interagiscono all’interno del servizio, sovente non identificabili. A peggiorare il quadro concorre il fatto che in Europa non è concepita oggi la figura del super-responsabile.
  • La sicurezza dei dati in termini di diritto e privacy, intesa non solo come sicurezza protettiva dagli abusi;
  • La perdita dei dati, che dovrà essere notificata anche dai Cloud Provider tramite apposita normativa;
  • L’ultima questione, la più importante (e a mio avviso legata alla sicurezza) riguarda il problema dei dati all’estero, che sfuggono totalmente alla normativa locale. Non a caso avevo già sollevato questo problema giungendo alla conclusione che, in caso di necessità di un servizio cloud di qualsiasi tipo, mi avvarrei sicuramente di un fornitore di servizi nazionale. Solo in questo caso potrei essere (almeno teoricamente) sicuro che la tutela delle mie informazioni sia in linea con la legge e certo, in caso di necessità, di poter disporre delle informazioni necessarie per una eventuale analisi forense.

Questa dicotomia tra tecnologia e normativa sarà in grado di trovare una convergenza parallela? Probabilmente si, non credo proprio che le previsioni IDC sulla nube andranno in fumo a causa della scarsa aderenza alle normative. La soluzione sulla carta è chiara e prevede l’adozione di una normativa più realistica che capovolga il paradigma dell’attuale modello di controllo: da un modello pubblico centralizzato ad un modello privato e distribuito, che si appoggi cioè su una rete di fornitori di servizi che si facciano essi stessi garanti con un insieme di regole comuni e condivise. Nel frattempo i fornitori di servizi dovranno essere pronti: nella prima metà del 2011 si prevedono difatti le prime ispezioni (probabilmente conoscitive) del Garante.

Matrimonio D'(Intel)esse…

January 31, 2011 1 comment

Il titolo di questo post non è tratto da una commedia cinese, ma rappresenta la mia personale interpretazione di una notizia che in questi giorni riecheggia tra i forum di sicurezza informatica.

Come abbiamo commentato tra le previsioni per il 2011, gli Advanced Persistent Threat e le vulnerabilità saranno tra i fattori di rischio informatico maggiormente al centro dell’attenzione per l’anno corrente, turbando i già poco tranquilli sonni dei professionisti di sicurezza informatica,

A tranquillizzarli potrebbe pensarci Intel, il colosso di Santa Clara, il cui CTO e direttore dei laboratori, Justin Rattner, in una intervista bomba, ha dichiarato che il gigante dei processori sta lavorando ad una tecnologia rivoluzionaria in grado di eliminare gli attacchi che sfruttano le vulnerabilità 0-day, ovvero quelle vulnerabilità per cui, nel momento di azione dell’exploit, non è ancora disponibile una pezza patch. La misteriosa tecnologia, interamente in Hardware, potrebbe addirittura essere presentata entro la fine dell’anno e utilizzerà un approccio completamente nuovo non basato su signature (ovvero pattern di comportamento noti), poiché, come prevedibile, un approccio tradizionale basato su impronte comportamentali conosciute per analizzare le applicazioni sospette, non è in grado di contrastare in alcun modo minacce sconosciute.

Sembra che Intel stesse già lavorando segretamente a questa tecnologia, ancora prima dell’acquisizione di McAfee (che ha da poco ricevuto il semaforo verde da parte della Comunità Europea): questo spiegherebbe il motivo per cui il principale produttore di processori abbia improvvisamente deciso di fare shopping nel supermercato della sicurezza: l’apparente inopinato ingresso del patrimonio tecnologico McAfee tra la proprietà intellettuali del Gigante di Santa Clara avrebbe avuto lo scopo di portare all’interno della tecnologia top secret, ulteriore know-how da parte di uno dei principali produttori di sicurezza anti-malware.

D’altro canto, questo strano matrimonio d’interesse (o meglio d’Intelesse) è sempre stato considerato strategicamente confuso da parte degli analisti, divisi tra una spiegazione riconducibile ad una focalizzazione di Intel nel mondo del mobile con la conseguente realizzazione di soluzioni di sicurezza integrate (per le quali McAfee possiede un portafoglio di soluzioni, frutto di acquisizioni, estremamente evoluto e capillare) ed una spiegazione riconducibile al desiderio di integrare soluzioni di sicurezza all’interno del processore.

In virtù delle nuove rivelazioni, il quadro propenderebbe per una terza ipotesi a metà tra le due precedentemente citate: il colosso di Santa Clara sarebbe già stato al lavoro per una tecnologia di sicurezza rivoluzionaria, basata su hardware, mirata a contrastare le minacce 0-day, e applicabile a qualsiasi tipo di dispositivo inclusi i terminali mobili (Intel stava cioè sviluppando la forma della tecnologia), e avrebbe fornito alla propria tecnologia know-how prezioso acquisendo uno dei principali produttori di soluzioni di sicurezza informatica (ovvero garantendo il contenuto alla propria tecnologia).

In questo scenario, potremmo veramente essere di fronte a una killer application per il panorama della sicurezza informatica, capace di cambiare le regole del gioco, come dicono i suoi creatori, anche se da parte di molti permane il dubbio se un approccio di tipo hardware possa garantire le necessarie dinamicità e flessibilità contro le minacce sconosciute, per contrastare le quali la concorrenza (Symantec, Kaspersky e Trend Micro in primis), utilizza un approccio di classificazione dinamica basato sul cloud al quale vengono inviati i file anomali rilevati dalla propria base di prodotti installata in tutto il globo.

Ad ogni modo i commenti della concorrenza non si sono fatti attendere. Per prima Sophos, tramite un articolo del proprio blog ha laconicamente liquidato la notizia con la battuta:

Intel to eliminate zero-day threats, pigs to fly

Ovvero letteralmente: “Intel sta per eliminare le minacce 0-day, i maiali stanno per volare”. Nel suo articolo il produttore inglese riconosce il possibile interesse per la tecnologa classificandola tuttavia più come una eventuale architettura su cui potranno poggiarsi i sistemi operativi per innalzare il livello di sicurezza, piuttosto che una tecnologia definitiva. Non senza aver acidamente sottolineato l’eccessivo clamore sollevato dall’annuncio, Sophos conclude che alla fine la tecnologia provocherà soltanto qualche emicrania in più agli hacker ma non sarà la panacea contro le minacce sconosciute.

La speranza, comunque, è che l’emicrania venga tolta ai professionisti della sicurezza informatica, che potrebbero avere una freccia in più nel proprio arco e di conseguenza dormire sonni più tranquilli tendendo nel comodino, accanto alle proverbiali tisane tranquillanti, un bel processore Intel.

Previsioni Di Sicurezza 2011: 6 Produttori A Confronto (Aggiornamento)

January 26, 2011 8 comments

Dopo aver esaminato le previsioni 2011 di Sophos e Cisco, ho pensato di ampliare la griglia di confronto redatta in un post precedente, includendo le previsioni degli ultimi due arrivati. Il quadro che ne risulta conferma che, alla domanda secca: “Quale sarà la maggiore fonte di preoccupazione per gli IT Manager del 2011?”  La risposta è sicuramente una: “Il Mobile!“. L’emicrania da minaccia mobile raccoglie difatti la preferenza di 5 produttori su 6 e il 2011 ci rivelerà se la moda del mobile ha contagiato anche il mondo della sicurezza informatica, oppure se le mele con il jailbaco o gli Androidi dirootati (con le insonnie che ne derivano per gli IT Manager) sono una conseguenza del processo di consumerization dell’IT (ovvero la tendenza ad utilizzare tecnologie provenienti dal mondo consumer e quindi prive nativamente delle caratteristiche di sicurezzza ,e non solo, necessarie per un uso professionale).

Nelle preferenze dei produttori analizzati, seguono a ruota gli Advanced Persistent Threat, Hactivism e Social Media che raccolgono le preferenze di 4 brand sui 6 presi in esame, mentre le altre tipologie di minacce appaiono estremamente frammentate.

Per confrontare correttamente le previsioni occorre considerare il fatto che i produttori esaminati non sono perfettament omogenei tra loro: se da un lato Kaspersky, Sophos ,Symantec e Trend Micro sono vendor focalizzati principalmente sulla sicurezza dell’Endpoint, McAfee rappresenta una via di mezzo (nato dall’Endpoint ha progressivamente ampliato la propria offerta sino a coprire anche la sicurezza di rete), mentre Cisco appare fortemente orientato alla sicurezza di rete. La diversa natura si riflette anche da una diversa impostazione dei report: le previsioni di Cisco e McAfee si basano sulla raccolta di dati da parte della propria rete di sensori, le previsioni di Sophos e Trend sulla raccolta di dati dei propri laboratori che analizzano minacce provenienti dagli endpoint (pertanto le previsiono dei produttori appena citati prendono spunto da eventi e trend del 2010), mentre le previsioni di Symantec e Kaspersky appaiono (soprattutto nel secondo caso) piuttosto visionarie come impostazione.

La diversa prospettiva di analisi (ed in sostanza le diverse strategie dei produttori) si riflettono anche sui risultati della griglia comparativa: le previsioni di Sophos abbracciano una vasta gamma di minacce e sono assimilabili ad una sorta di sintesi tra le previsioni di McAfee e Trend Micro; mentre le previsioni di Cisco appaiono molto vicine a quelle di McAfee (Cisco non cita direttamente le vulnerabilità di Apple poiché le annega all’interno dei sistemi operativi), verosimilimente perché le previsioni dei Cisco Security Intelligence e McAfee Global Labs sono basate sui dati raccolti dalla propria rete di sensori (approccio simile, ciascuno con le proprie tecnologie).

Symantec costituisce il vendor che ha fornito maggiore evidenza dei problemi di sicurezza del cloud e delle infrastrutture virtualizzate (probabile eredità ed influenza di Veritas), mentre Kaspersky appare piuttosto visionaria nelle sue previsioni.

Ultima considerazione: il mobile non registra l’en plein tra le previsioni poiché non figura tra le previsioni del solo Kaspersky. Il motivo? Il produttore Russo aveva inserito il mobile malware tra le previsioni dell’anno passato (e non a caso è stato il primo a scoprire un malware per l’Androide ad Agosto 2010).

Gears Of Cyberwar

January 19, 2011 1 comment

Il 2010 verrà ricordato tra gli annali della sicurezza informatica soprattutto per due eventi: Operation Aurora e Stuxnet. Sebbene estremamente diversi tra loro per natura e origine (nel primo caso si parla di un attacco perpetrato dalla Cina per rubare informazioni di dissidenti e nel secondo caso di un malware progettato da USA e Israele con lo scopo di sabotare le centrali nucleari iraniane), i due eventi sono accomunati da un minimo comune denominatore: la matrice politica, ovvero il fatto che la minaccia informatica sia stata creata a tavolino per azioni di spionaggio nel primo caso e guerra sabotaggio nel secondo.

Secondo le indicazioni dei principali produttori di sicurezza sembra proprio che nel 2010 sarà necessario abituarsi a convivere con eventi di questo tipo, effettuati per scopi politici da nazioni fazioni sempre più organizzate utilizzando come vettori minacce simil-stuxnet sempre più elaborate e complesse.  In sostanza la percezione è che, dopo l’esempio dell’Estonia nel 2007, le guerre si possano sempre di più combattere dietro le tastiere piuttosto che nei campi di battaglia. Dopo le fosche tinte delineate da così  poco promettenti previsioni, naturalmente la domanda sorge spontanea: quale potrebbe essere nell’immediato futuro l’impatto globale di una cyber-guerra?

In realtà molto basso secondo un recente studio dell’OCSE, l’Organizzazione per la Cooperazione e lo Sviluppo Economico, ad opera di Peter Sommer e Ian Brown. Lo studio difatti sostiene che, sebbene i governi debbano essere pronti a prevenire, affrontare ed effettuare il recovery da operazioni di Cyberwar, deliberate o accidentali, la probabilità dell’occorrenza di (e quindi gli effetti derivanti da) eventi di Cyber-guerra su scala globale è piuttosto ridotta. Questo, nonostante l’arsenale delle cosiddette cyberarmi sia oramai ampiamente diffuso e variegato, e includa tra l’altro: tecniche di accesso non autorizzato ai sistemi, rootkit, virus, worm, trojan, (distributed) denial of service mediante botnet, tecniche di social engineering che portano ad effetti nefasti compromissione della confidenzialità dei dati, furto di informazioni segrete, furto di identità, defacciamento, compromissione dei sistemi e blocco di un servizio.

Sebbene l’OSCE (come previsto da alcuni produttori) ritiene che le azioni di cyberguerra siano destinate ad aumentare, solo una concatenazione di eventi su scala globale (ad esempio la contemporaneità di un cyber-evento con pandemie, calamità naturali o terremoti fisici o bancari), potrebbe portare a conseguenze gravi su scala planetaria.

I motivi del ridotto impatto, secondo gli autori dello studio, sono i seguenti:

  • Gli impatti di eventi quali malware, DDoS, spionaggio informatico, azioni criminali, siano esse causate da hacker casuali o hacktivisti sono limitiate nello spazio (ovvero localizzate in una determinata regione) e nel tempo (ovvero di breve durata);
  • Attacchi sulla falsa riga di Stuxnet non sono così probabili poiché devono combinare diverse tecniche (uso massiccio di vulnerabilità 0-day, conoscenza approfondita della tecnologia vittima, possibilità di occultamento dell’attaccante e dei metodi utilizzati). In sostanza investimenti massicci, come anche dimostrato dalle recenti rivelazioni, secondo le quali lo sviluppo del malware Stuxnet ha richiesto oltre due anni di sviluppo da parte di due superpotenze.
  • Una vera e propria cyberguerra è improbabile poiché la maggior parte dei sistemi critici sono ben protetti dagli exploit e il malware conosciuto cosicché i “progettisti” delle nuove cyberarmi sono costretti a individuare nuove vulnerabilità e sviluppare ex novo i relativi exploit, e queste operazioni non sono immediate. Inoltre, poiché gli effetti dei cyberattacchi sono difficili da prevenire, le armi potrebbero essere meno potenti del previsto o peggio ritorcersi contro gli stessi creatori o i propri alleati.

Lo studio identifica anche i motivi che potrebbero facilitare azioni di Cyberguerra:

  • La tendenza dei Governi ad aprire i propri portali per applicazioni verso i cittadini o verso i propri contrattori. Sebbene questo porti ad economie di scala, i portali potrebbero diventare facili obiettivi per azioni nefaste (come accaduto in Estonia nel 2007);
  • La tecnologia cloud che apre la strada a nuovi servizi flessibili, ma anche a nuove problematiche di sicurezza ancora non completamente esplorate;
  • La tendenza dei Governi a dare in outsourcing le proprie infrastrutture IT. Sebbene questo fatto porti vantaggi dal punto di vista economico, i livelli di servizio potrebbero non essere adatti ad affrontare eventi eccezionali come un Cyber-attacco.
  • Il mancato principio di deterrenza per le Cyberguerre: dal momento che spesso le azioni malevole vengono effettuate da reti di macchine compromesse (le cosiddette botnet), non è così facile riconoscere il mandante con la conseguenza che non è applicabile l’equilibrio per le armi reali che ha sostenuto il mondo nel baratro del collasso nucleare ai tempi della guerra fredda.

Dobbiamo rassegnarci ad essere vittime impotenti di cyber-eventi? Fortunatamente no, anzi tra le azioni che potrebbero essere effettuate per contrastare un Cyber-attacco lo studio identifica:

  • Attività di risk analysis sponsorizzate dal top management: il retrofitting non è mai conveniente per cui dovrebbero essere effettuate campagne continue di gestione degli accessi, educazione degli utenti, frequenti audit di sistema, back-up puntuali, piani di disaster recovery e conformità con gli standard;
  • Contromisure tecnologiche continue quali: progettazione sicura dall’inizio, applicazione puntuale delle patch di sicurezza a sistemi e applicazioni, utilizzo di software anti-malware, firewall e sistemi di Intrusion Detection, utilizzo di tecnologie atte ad aumentare disponibilità, resilienza e affidabilità dei servizi;
  • Attività di Penetration Test possono essere utili per identificare buchi su sistemi e applicazioni (spesso immesse nel mercato dai produttori con un non sufficiente livello di maturità).

C’era una volta… Il Sogno Americano… (E per fortuna c’è ancora!)

January 14, 2011 Leave a comment

In una delle innumerevoli navigazioni notturne, mi sono imbattuto in questa significativa storia relativa al sogno americano, sogno che non passa mai di moda, e alla tanto acclamata (a parole) fuga di cervelli dal Belpaese, il tutto condito con un briciolo di Hi-Tech.

La favola, come nella migliore tradizione della Silicon Valley inizia in un garage, all’ombra non dei grattacieli di San Francisco, ma della più tradizionale Madonnina Meneghina.

I protagonisti sono Marco Palladino, giovane imprenditore tricolore ventiduenne, e suoi due compagni di ventura, (Augusto Marietti e Michele Zonca) nonché soci nell’improbabile (nel Belpasese) progetto di creare un marketplace per interfacce di programmazione (API) basato sul cloud: una piattaforma in grado di consentire agli sviluppatori di distribuire facilmente le proprie API a tutta la comunità di utenti del servizio (e agli utenti stessi di APIzzarsi)

La storia inizia 2 anni fa quando i protagonisti della storia si avviano nell’improbabile impresa di setacciare a fondo il panorama imprenditoriale italiano alla ricerca di finanziamenti per il loro progetto (che sarebbe poi diventato Mashape, questo è il nome della start-up). Dopo oltre un anno di ricerca senza esito, ad aprile 2009 si rinchiudono nel classico garage a scrivere codice, e finalmente a novembre 2009 volano oltreoceano per presentare un prototipo del prodotto al TechCrunch50.

Da lì, l’idea di fare le valigie e trasferirsi in pianta stabile negli Stati Uniti a gennaio 2010.

Una volta approdati Oltreoceano i ragazzi non si perdono d’animo e si buttano a capofitto alla ricerca dei finanziamenti necessari con tutti i mezzi a disposizione. E come per miracolo (quando si parla del Belpaese tutto è possibile, nel bene e nel male) dopo 19 giorni riescono a trovare la somma necessaria (ben 101.000 $). In ogni favola non manca mai il principe azzurro, in questo caso sono due e vestono i panni di Kevin Donahue e Dwipal Disai fondatori originali di Youtube (ai quali si sono raggiunti in seguito altri investitori), che in 19 giorni mettono sul piatto quello che gli imprenditori italiani non erano riusciti a proporre in due anni.

Sicuramente la cosa che colpisce è il fatto che 101.000 $ non sono una somma esorbitante, ma la spiegazione è tutta nell’amaro commento di Marco Palladino:

La questione è puramente culturale: in Italia la comunità degli investitori è più piccola e possiede meno risorse che in Silicon Valley. Pertanto non vuole prendere rischi investendo in un modello nuovo e innovativo, preferendo piuttosto investimenti affidabili e sicuri. Di consguenza finanzia modelli già esistenti, con la conseguenza di rallentare l’innovazione locale.

La spiegazione è resa ancora più amara se la si cala nell’attuale panorama sociale italiano in cui si accusano il mondo politico, scolastico ed economico di non lasciare spazio alle giovani menti brillanti, per poi lasciarsele sfuggire oltreoceano con le proprie idee innovative (anche al costo dei classici quattro baiocchi).

Resta la consolazione, come ribadito dallo stesso Marco Palladino, che nonostante i problemi economici e sociali, almeno il Sogno Americano è ancora “up and running“.

Previsioni di sicurezza 2011: 4 produttori a confronto

January 13, 2011 3 comments

Mi sono divertito a confrontare una sintesi dei report sulle previsioni per il 2011 emessi dai principali produttori di Sicurezza (Symantec, McAfee, Trend Micro) che ho già commentato in queste pagine.

Ho scelto, non a caso, i produttori che sono considerati leader di mercato e riferimento tecnologico da parte dei principali analisti. A questa lista, come termine di paragone, ho aggiunto Kaspersky considerato un importante outsider. Sebbene nell’elenco spicca un illustre assente, ovvero Sophos, da parte del quale non sono state, almeno per ora, rilasciate previsioni per il 2011, è comunque interessante confrontare globalmente le indicazioni fornite dai singoli vendor per valutare quali nubi offuscheranno maggiormente il panorama della sicurezza informatica nel corso del 2011.

Di seguito le minacce identificate dai vari vendor, sintetizzate per ogni produttore in forma di elenco:

McAfee:

  • Social Media;
  • Mobile;
  • Apple;
  • Applicazioni;
  • Malware talmente sofisticato da apparire legittimo;
  • Sopravvivenza delle Botnet;
  • Hacktivism;
  • Advanced Persistent Threats;

Symantec:

  • Mobile
  • Cloud
  • Virtualizzazione
  • Social Media

Trend Micro:

  • Varietà OS
  • Virtualizzazione
  • OS Obsoleti
  • Social Engineering
  • Mobile
  • Malware talmente sofisticato da apparire legittimo;
  • Botnet
  • Minacce Obsolete
  • Advanced Persistent Threat

Kaspersky

  • Hactivism
  • Minaccia alle Informazioni
  • Advanced Persistent Threat (Spyware 2.0)
  • Attacchi verso utenze corporate
  • Vulnerabilità

Sintetizzando il tutto in una tabella:

Come si nota le previsioni relative a minacce di Advanced Persistent Threat (Stuxnet docet) in cui ho incluso anche lo Spyware 2.0 di Kaspersky), e Mobile Malware, sono condivise da tre produttori su quattro (in realtà Kaspersky aveva previsto la nascita di infezioni per il mobile nel 2010). Botnet, Hactivism, Malware Pseudo Legittimo, Social Media e Virtualizzazione preoccupano due produttori su quattro, mentre le previsioni relative alle restanti tipologie di minacce appaiono piuttosto frammentate e distribuite in maniera unitaria tra i vari produttori.

Chi avrà veramente avuto la palla di cristallo? Ai posteri l’ardua sentenza…

Follow

Get every new post delivered to your Inbox.

Join 2,944 other followers