About these ads

Archive

Posts Tagged ‘DLP’

Browsing Security Predictions for 2012

January 8, 2012 4 comments

Update 01/11/2012: Year-to-Tear comparison with 2011 Security Predictions

The new year has just come, vacations are over, and, as usually happens in this period, information security professionals use to wonder what the new year will bring them from an infosec perspective. The last year has been rich of events, whose echo is still resounding, and as a consequence, if RSA and Sony breach were not enough, the main (and somehow obvious) question is: will 2012 stop this trend or rather bring it to unprecedented levels, or, in other words, which threat vectors will disturb the (already troubled) administrators’ sleep?

Unfortunately my divination skills are not so developed (in that case I would not be here), but security firms can give a crucial help since they started to unveil their security predictions for 2012, at least since the half of December, so putting them together, and analyzing them is quite a straightforward and amusing task. Maybe even more amusing will be, in twelve years, to see if they were correct or not.

The security prediction that I take into consideration included, at my sole discretion (and in rigorous alphabetical order):

•    Cisco;
•    Fortinet;
•    Kaspersky;
•    McAfee;
•    Sophos;
•    Trend Micro;
•    Websense;

That is the only leader vendors for which I found predictions issued with original documents (feel free to indicate if I missed someone and I will be very glad to include them in the chart).

In any case, the landscape is quite heterogeneous since it encompasses security vendors covering different areas: one vendor, McAfee, covering all the areas (network, endpoint and content security), two vendors and one half focused on network and content security (Cisco, Fortinet and partially Sophos thanks to the Astaro acquisition), and two vendors focused essentially on endpoint security (Kaspersky and Trend Micro).

The following table summarizes their predictions:

In order to correctly understand the chart a premise is needed: as you will probably have already noticed, in several cases the predictions reflect the specific security focus for the analyzed vendor. For instance, Websense is focused on DLP, and that is the reason why the adoption of DLP is one of its predictions. Analogously McAfee is investing huge resources for Security on Silicon, and this implies that embedded systems and Malware Moving Beyond OS are present among its predictions. Same speech could be applied for Trend Micro and its Cloud Prediction and so on.

Some trends for this year are clearly emphasized: easily predictable Hactivism appears on 6 of the 7 vendors, as mobile (with different connotations) does. Social Media is on the spot as well as are SCADA, Embedded Systems and, quite surprisingly in my opinion, cloud. I would have expected a greater impact for APTs, but for a complete and more accurate analysis one should consider them together with threats targeting embedded systems or ICS. Even because according to several security firms, for instance Kasperky, APT Stuxnet-like will be used for tailored campaigns, whilst more “general purpose malware”, including botnets will be used for massive campaigns (this item is summarized as Mass Targeted Campaigns).

 

Some “old acquaintances” will be with us in 2012: consumerization, at least according to Sophos and Trend Micro (even if consumerization is strictly connected, if not overlapped with mobile) and, if the Comodo and Diginotar affaires were not enough, Rogue Certificates, according to McAfee. Instead some “new entries” are absolutely interesting, such as the threats related to NFC (even if in this case I would have expected a greater impact) or related to Virtual Currency. Besides let us hope that the prediction to adopt DNSSEC be more than a prediction but a consolidated practice.

The most conservative security firm? In my opinion Cisco. The most “visionary”? Maybe Fortinet, I found the “Crime as a Service (CaaS)” absolutely awesome, and most of all not so visionary, since there are already some (even if clumsy) attempts.

In any case with this plenty of Cyber Nightmares is not a surprise the fact the Enterprise security market is going to reach $23 billion worldwide in 2012 with a 8.7% growth year-on-year.

Relazione Tavola Rotonda Mobile Security

Ho pubblicato su Slideshare la relazione da me redatta della Tavola Rotonda “Mobile Security: Rischi, Tecnologie, Mercato” tenutasi il 14 marzo a Milano all’interno del Security Summit 2011.

La relazione, che ho inserito all’interno di un thread del gruppo Linkedin Italian Security Professional, è visibile al link sottostante. Ancora un grazie al gruppo che ha ospitato questo interessantissimo appuntamento!

Mobile Security: Impressioni a Caldo

March 16, 2011 4 comments

Fortunatamente il virus che mi ha colpito sta mitigando i suoi effetti, la mente è un po’ più lucida e quindi mi permette di raccogliere le idee e tirare le somme sulla tavola rotonda del 14 marzo.

In effetti è stata una occasione propizia per confrontarsi con la prospettiva degli operatori e valutare come gli stessi intendano affrontare il problema della sicurezza mobile considerato il fatto che esso è si un problema tecnologico, ma interessa principalmente l’utente: parafrasando una felice espressione emersa durante la tavola rotonda, espressione tanto cara agli operatori, si può affermare che il problema della mobile security arriva “all’ultimo miglio”, ovvero sino a casa (in questo caso virtuale) dell’utente stesso.

Ad ogni modo su un punto gli addetti del settore, operatori inclusi, sono tutti d’accordo: sebbene il problema della sicurezza mobile parta da lontano, ovvero dal processo di Consumerization dell’IT che ha “prestato” al mondo Enterprise strumenti di lavoro non nativamente concepiti per un uso professionale; il ruolo principale, in termini di sicurezza, rimane quello dell’utente. Gli utenti hanno eccessiva familiarità con i dispositivi, dimenticano che sono a tutti gli effetti ormai vere e proprie estensioni del proprio ufficio, e questo li porta a comportamenti superficiali, quali ad esempio l’utilizzo di pratiche di root o jailbreak, l’utilizzo di Market paralleli e la mancata abitudine di controllare i permessi delle applicazioni durante l’installazione.

Naturalmente questo ha conseguenze molto nefaste poiché le minacce che interessano il mondo mobile sono molteplici e peggiorate dal fatto che oramai, con i nuovi dispositivi acquistati nel 2011 ci porteremo almeno 2 core nel taschino. Prendete le minacce che interessano i dispositivi fissi, unitele al fatto che il dispositivo mobile lo avete sempre dietro e lo utilizzate per qualsiasi cosa ed ecco che il quadro si riempe di frodi, furto di informazioni (di qualsiasi tipo visto l’utilizzo corrente dei dispositivi), malware, spam, Denial of Service, e non ultima, la possibilità di creare Botnet comandate da remoto per effettuare DDoS, SMS spam, rubare dati su vasta scala.

Sebbene il punto di arrivo sia lo stesso (ovvero la necessità di una maggiore consapevolezza da parte dell’utente), le opinioni sul ruolo del processo di Consumerization non sono omogenee tra chi, come il sottoscritto, ritiene che le tecnologie non abbiano i necessari livelli di sicurezza richiesti per un uso professionale (e questo fattore è peggiorato dall’atteggiamento dell’utente) e chi sostiene invece che le tecnologie sono intrinsecamente sicure ma il problema è in ogni caso riconducibile all’utente che si rivolge, lui stesso, ai dispositivi, anche per uso professionale, con un atteggiamento consumer.

Riguardo gli aspetti relativi a tecnologia e mercato la mia opinione è molto chiara: i due punti sono intrinsecamente connessi  e questo si traduce, sinteticamente, nella necessità di portare nel mondo mobile le stesse tecnologie di protezione degli endpoint tradizionali. Secondo la mia personale esperienza, il mercato ha difatti iniziato il processo, che diverrà sempre più preponderante, di considerare il mondo degli endpoint mobili come una estensione naturale del mondo degli endpoint tradizionali (notebook, desktop, etc.) ai quali si dovranno pertanto applicare le stesse policy e gli stessi livelli di sicurezza (con le opportune differenziazioni dovute alla diversa natura dei dispositivi) proprie del mondo wired. Fondamentale in questo scenario è il modello di gestione unificata endpoint fissi e mobili in grado di applicare in modo astratto e device indipendent le stesse politiche di sicurezza a tutti i dispositivi indipendentemente dalla natura degli stessi.

Per quanto concerne la tecnologia, (pre)vedo due filoni protagonisti del mondo mobile: il DLP e la Virtualizzazione. Il DLP poiché ritengo il modello di sicurezza mobile perfettibile, e di conseguenza lo ritengo terreno fertile per i produttori di sicurezza in grado di ampliare, con le proprie soluzioni, il modello di sicurezza nativo (con qualche riserva su Apple vista la poca apertura di Cupertino); la Virtualizzazione, di cui ho già avuto modo di parlare, consentirà di risolvere i problemi di tecnologia e privacy connessi con l’utilizzo professionale del proprio dispositivo. Grazie alla virtualizzazione, di cui dovremmo vedere i primi esempi nella seconda metà di quest’anno, una Organizzazione potrà gestire il proprio telefono virtuale all’interno del dispositivo fisico dell’utente, controllando le policy e le applicazioni e tenendo i due mondi completamente separati. Questa soluzione dovrebbe essere una ottima spinta per risolvere i problemi tecnologici e di privacy (non dimentichiamoci infatti che spesso l’utente finisce inevitabilmente per inserire informazioni personali anche nel dispositivo professionale), delegando, almeno per la macchina virtuale enterprise, il modello di sicurezza dall’utente all’Organizzazione.

Infine si arriva, inevitabilmente alla domanda fatale: la sicurezza ha un costo: chi paga? A mio avviso il modello è (relativamente) semplice e, personalissima opinione, è sufficiente voltarsi indietro per capire come potrà essere il modello di sicurezza futuro.

Naturalmente la distinzione tra consumer ed enterprise è d’obbligo: per quanto ho affermato in precedenza le organizzazioni, soprattutto se di una certa dimensione, saranno autonome nella realizzazione (e di conseguenza nel sostenerne i costi) della propria architettura di sicurezza mobile concependola come una estensione trasparente del modello di sicurezza per gli endpoint tradizionali. Questa è la tendenza verso cui sta andando il mercato e verso la quale stanno convergendo i produttori con l’offerta di suite di sicurezza complete per sistemi operativi fissi e mobili contraddistinte da modelli di gestione unificata.

Diverso è il caso del mondo consumer ma anche in questo caso prevedo che, implicitamente, i terminali mobili verranno trattati alla stregua di terminali fissi e quindi le funzioni di sicurezza potranno essere offerte, ad esempio, come un add-on del piano dati, analogamente a quanto accade oggi per l’antivirus/personal firewall, che ormai tutti gli operatori offrono in bundle con la connessione ad Internet. In questo caso è importante notare anche il fatto che l’età media degli utilizzatori è sempre più bassa pertanto, soprattutto nel mondo consumer, gli stessi mostreranno sempre maggiore familiarità con le tecnologie mobili e le loro necessarie estensioni in ambito di sicurezza al punto di considerarle tutt’uno.

Rimane ovviamente ancora da verificare l’aspetto relativo ad eventuali investimenti infrastrutturali: una interessante domanda rivolta agli operatori ha infatti evidenziato se vi è allo studio la creazione di una baseline (ovvero l’analisi dei livelli di traffico per evidenziare anomalie dovute, ad esempio, ad eccessivo traffico generato da malware). Allo stato attuale, essendo il problema trasversale tra tecnologie e legge, la baseline è dettata dalla stessa compliance.

Parigi val bene una messa (In Sicurezza)

A conferma delle previsioni dei produttori di sicurezza sembra proprio che dovremo abituarci, nel corso di questo 2011, ad attacchi informatici con matrice politica. Ultima vittima illustre in ordine di tempo il Ministero Del Tesoro Francese  vittima, a Dicembre 2010, di un attacco che ha portato alla sottrazione di documenti economici e finanziari inerenti la presidenza francese di turno del G20 ed altre questioni economiche.

Nel periodo in questione, secondo il quotidiano d’Oltralpe Paris Match che ha rivelato la vicenda, più di 150 computer appartenenti al Ministero dell’Economia Francese sono stati vittima di intrusioni malevole che hanno portato alla sottrazione illecita di numerosi documenti.

Le indagini condotte successivamente hanno rivelato che i file rubati sono stati inviati verso alcuni server cinesi. Già di per sé la questione sembrerebbe alquanto sospetta considerando il fatto che tra i temi discussi durante la presidenza francese del G20 c’era anche l’annosa questione dei rapporti economici tra la Cina e il resto del mondo.

Indipendentemente dalla cautela riguardo la presunta origine dell’attacco, ci sono due aspetti che mi hanno particolarmente colpito in questa vicenda: il primo è la presunta matrice politica dell’attacco. Il secondo, ancora più curioso, e per certi versi sconcertante, è il fatto che in questo attacco ho trovato molti aspetti in comune con il caso di Night Dragon, il malware con velleità energetiche concepito con lo scopo di sottrarre piani di progetto ed economici, relativi a raffinerie e centrali energetiche oil & gas. Questi aspetti prefigurano il modello di attacco di cui sentiremo parlare molto nel 2011 e sono relativi al fatto che il malware è riuscito a far breccia nella linea Maginot delle difese informatiche francesi, nel modo più ingenuo possibile, ovvero mediante un Trojan inviato via mail. Una volta eseguito, il malware è stato in grado di creare una porta di servizio backdoor, mediante la quale i gli attaccanti sono entrati all’interno dei computer vittima e presumibilmente nei server che ospitavano le informazioni sensibili.

Il punto nodale della questione risiede proprio in questo secondo aspetto. In questo attacco, come nel caso di Night Dragon, gli attaccanti hanno utilizzato come punto di ingresso un metodo piuttosto tradizionale, ovvero un trojan ricevuto via mail, strumento questo principalmente utilizzato, nella precedente era informatica, più per scopi personali (ad esempio rubare le credenziali di acesso al conto bancario), che politici. In effetti, le previsioni di sicurezza per il 2011 prevedevano il furto delle informazioni come uno dei principali refrain di questo 2011 cyber-informatico, eventualmente mediante l’utilizzo di quello che è stato definito lo Spyware 2.0, ovvero spyware rimodulato per scopi ben più ampi del semplice furto di informazioni personali.

Il DLP è sicuramente una tecnologia che può esesere a supporto per la prevenzione di eventi analoghi. Ad ogni modo, e non mi stancherò mai di dirlo, l’utente rimane al centro del processo di sicurezza, pertanto non dovrebbe mai dimenticare le conseguenze, a volte non immediate e inimmaginabili, di un comportamento superficiale, soprattutto in concomitanza di eventi simili.

Lo Smartphone? Ha fatto il BOT!

February 23, 2011 2 comments

E’ stato appena pubblicato un interessante articolo di Georgia Weidman relativo al concept di una botnet di smartphone controllati tramite SMS. Il lavoro, annunciato alla fine del mese di gennaio 2011 e presentato alla Shmoocon di Washington, aveva da subito attirato la mia attenzione poiché, in tempi non sospetti, avevo ipotizzato che la concomitanza di fattori quali la crescente potenza di calcolo dei dispositivi mobili e la loro diffusione esponenziale, avrebbe presto portato alla nascita di possibili eserciti di Androidi (o Mele) controllate da remoto in grado di eseguire la volontà del proprio padrone.

Il modello di mobile bot ipotizzato (per cui è stato sviluppato un Proof-Of-Concept per diverse piattaforme) è molto raffinato e prevede il controllo dei terminali compromessi da parte di un server C&C di Comando e Controllo, mediante messaggi SMS (con una struttura di controllo gerarchica), che vengono intercettati da un livello applicativo malevolo posizionato tra il driver GSM ed il livello applicativo. La scelta degli SMS come mezzo di trasmissione (che in questo modello di controllo assurgono al ruolo di indirizzi IP) è dovuto all’esigenza di rendere quanto più possibile trasparente il meccanismo di controllo per utenti e operatori (l’alternativa sarebbe quella del controllo tramite una connessione  dati che tuttavia desterebbe presto l’attenzione dell’utente per l’aumento sospetto di consumo della batteria che non è mai troppo per gli Androidi e i Melafonini ubriaconi). Naturalmente il livello applicativo malevolo è completamente trasparente per l’utente e del tutto inerme nel processare i dati e gli SMS leciti e passarli correttamente al livello applicativo senza destare sospetti.

Georgia Weidman non ha trascurato proprio nulla e nel suo modello ipotizza una struttura gerarchica a tre livelli:

  • Il primo livello è composto dai Master Bot, controllati direttamente dagli “ammucchiatori”. I Master Bot non sono necessariamente terminali (nemmeno compromessi), ma dovendo impartire ordini via SMS possono essere dispositivi qualsiasi dotati di un Modem;
  • Il secondo livello è composto dai Sentinel Bot: questi agiscono come proxy tra i master e l’esercito di terminali compromessi. Le sentinelle devono essere dispositivi “di fiducia”, ovvero dispositivi sotto il diretto controllo degli “ammucchiatori” o membri della botnet da un periodo di tempo sufficientemente lungo da far ritenere che l’infezione sia ormai passata inosservata per il proprietario e degna pertanto di promuoverli al ruolo di sentinelle.
  • Il terzo livello è composto dagli slave bot. I veri e propri soldati dell’esercito di terminali compromessi che ricevono le istruzioni dalla sentinelle ed eseguono il volere del capo.

Da notare che questo modello gerarchico applica il paradigma del “divide et impera”. I terminali compromessi slave non comunicano mai direttamente con il master, e solo quest’ultimo, inoltre, conosce la struttura dell’intera botnet. L’utilizzo del SMS inoltre consente al master di poter cambiare numero di telefono all’occorrenza ed eludere così le forze del bene, ovvero gli eventuali cacciatori di bot.

Ovviamente tutte le comunicazioni avvengono tramite SMS cifrati (con un algoritmo di cifratura a chiave asimmetrica) e autenticati, inoltre la scoperta di un telefono infetto non pregiudica l’intera rete di terminali compromessi ma solo il segmento controllato dalla sentinella di riferimento (il master può sempre cambiare numero).

Quali possono essere gli utilizzi di una botnet così strutturata? Naturalmente rubare informazioni, per fini personali o di qualsiasi altro tipo (politici, economici, etc.). Purtroppo, per questa classe di dispositivi, che stanno trovando sempre di più applicazioni verso i livelli alti di una Organizzazione, gli exploit e i bachi sono all’ordine del giorno per cui teoricamente sarebbe possibile rubare il contenuto della memoria SD con un semplice SMS. Ma non finisce qui purtroppo: considerata la potenza di calcolo (abbiamo ormai un PC nel taschino) e la potenza di calcolo, questi dispositivi possono essere facilmente usati come seminatori di traffico, ovvero sorgenti di attacchi di tipo DDoS (Distributed Denial of Service), specialmente nel caso di connessioni Wi-Fi che si appoggiano su un operatore fisso  che offre possibilità  di banda maggiori e quindi più consone ad un attacco di tipo Distributed Denial Of Service. Questo si sposa perfettamente con la dinamicità di una botnet basata su SMS (in cui il master può cambiare numero per nascondersi) e con le infrastrutture degli operatori mobili (o fissi offerenti servizi Wi-Fi) che potrebbero non essere completamente pronte per affrontare simili tipologie di eventi informatici (come anche evidenziato dal recente report di Arbor Networks). Altra nefasta applicazione potrebbe essere lo spam, soprattutto se effettuato tramite SMS. Interessante inoltre la combinazione con il GPS che potrebbe portare al blocco totale delle comunicazioni GSM in determinate circostanze spazio-temporali (sembra fantapolitica ma è comunque teoricamente possibile).

Rimane ora l’ultimo punto che era rimasto in sospeso quando avevo trattato di questo argomento per la prima volta:  mi ero difatti chiesto la questione fondamentale, ovvero se il software malevolo di bot avesse necessità o meno di permessi di root. La risposta è affermativa, ma questo non mitiga la gravità del Proof-Of-Concept, ribadisce anzi l’importanza di un concetto fondamentale: alla base della sicurezza c’è sempre l’utente, il cui controllo sovrasta anche i meccanismi di sicurezza del sistema operativo, e questo non solo perché ancora una volta viene evidenziata drammaticamente la pericolosità di pratiche “smanettone” sui propri dispositivi (che possono avere conseguenze ancora più gravi se il terminale è usato per scopi professionali), ma anche perché gli utenti devono prendere consapevolezza del modello di sicurezza necessario, facendo attenzione alle applicazioni installate.

Lato operatori, urge l’assicurazione che gli aggiornamenti di sicurezza raggiungano sempre i dispositivi non appena rilasciati. Aggiungerei inoltre, sulla scia di quanto dichiarato da Arbor Networks, possibili investimenti infrastrutturali per l’eventuale rilevazione di eventi anomali dentro i propri confini.

A questo punto, il fatto che i produttori di sicurezza abbiano, quasi all’unanimità, inserito il mondo mobile al centro delle preoccupazioni di sicurezza per il 2011 perde qualsiasi dubbio sul fatto che si tratti di una moda passeggera, ed è asupicabile che  gli stessi stiano già correndo ai ripari, aggiungendo livelli di sicurezza aggiuntivi ai meccanismi intrinseci del sistema operativo con l’ausilio di tecnologie di DLP (come indicato dal report Cisco per il 2011), virtualizzazione e integrando sempre di più tecnologie di sicurezza nei dispositivi: ultimo annuncio in ordine di tempo? Quello di McAfee Intel che si dimostra, ancora una volta, molto attiva nel settore mobile.

L’Androide (Virtuale)? E’ Tutto Casa e Lavoro

February 16, 2011 2 comments

In questi i giorni i fari multimediali del mondo sono puntati verso Barcellona, dove si sta svolgendo il Mobile World Congress 2011.

Il lancio dei nuovi tablet ed i commenti del “giorno dopo” relativi alla Santa Alleanza tra Nokia e Microsoft (inclusa l’ostinazione di Intel nel perseguire il progetto MeeGo), l’hanno fatta da padroni. Tuttavia, accompagnato dalla mia immancabile deformazione professionale sono andato alla ricerca, tra i meandri dell’evento, di un qualcosa che non  fosse la solita presentazione di prodotti. Da qualche giorno difatti un tarlo mi assilla, inconsapevolmente incoraggiato dai buchi di sicurezza che, quotidianamente, i ricercatori di tutto il globo scoprono all’interno dei terminali, siano essi Cuore di Mela o Cuore di Androide.

In effetti sembrerebbe proprio che i nostri dati e la nostra vita (professionale e personale), che sempre di più affidiamo a questi oggetti, siano sempre meno al sicuro. Probabilmente, come più volte ripetuto (ma forse mai abbastanza) il peso maggiore di questa insicurezza è da imputare ai comportamenti superficiali degli utenti che, una volta abituatisi alla velocità, comodità e potenza dello strumento, ne dimenticano i limiti fisici ed il confine che separa l’utilizzo personale dall’utilizzo professionale. In teoria la tecnologia dovrebbe supportare l’utente per il corretto utilizzo professionale, tuttavia proprio in questo punto giace il paradosso: il secondo fattore che minaccia la diffusione di smartphone e tablet per un uso massiccio professionale consiste proprio nel fatto che, con l’eccezione della creatura di casa RIM, il famigerato Blackberry, i terminali di casa Apple e Android non sono stati nativamente concepiti per un uso esclusivamente professionale, ma hanno successivamente ereditato funzioni di tipo enterprise costrette a convivere con le altre funzioni del terminale meno adatte all’attività lavorativa (in termine tecnico si chiamano frocerie).

Questo fenomeno è noto come consumerization dell’information technology, ed è uno dei cavalli di battaglia con cui i produttori di sicurezza puntano il dito verso i produttori di tecnologia mobile, e più in generale verso tutte le tecnologie prestate dall’uso di tutti i giorni all’uso professionale (e ora capisco perché i telefoni della serie E di Nokia erano sempre una versione software indietro rispetto agli altri). Alle vulnerabilità di cifratura, delle applicazioni malandrine che escono dal recinto della sandbox, dei vari browser e flash (e perché no anche alla mancanza di attenzione degli utenti), i produttori di sicurezza dovranno porre rimedio, presumibilmente introducendo un livello di protezione aggiuntivo che recinti le applicazioni e le vulnerabilità troppo esuberanti e protegga i dati sensibili dell’utente, più di quanto il sistema operativo e i suoi meccanismi di sicurezza nativi riescano a fare.

L’ispirazione mi è venuta qualche settimana fa, leggendo il Cisco 2010 Annual Security Report, ed in particolare un passaggio ivi contenuto:

Mobility and Virtualization Trends Contributing to Renewed Focus on Data Loss Prevention

Ovvero la prossima frontiera della mobilità sarà proprio il DLP, in termini tecnologici e di conformità (procedure e tecnologie di DLP hanno sempre alla base necessità di compliance). Nel mondo mobile le due strade convergono inevitabilmente: il primo passo per una strategia di protezione dei dati e di separazione netta tra necessità personali e professionali si snoda attraverso la virtualizzazione del Sistema Operativo Mobile: un argomento che avevo già affrontato in un post precedente e per il quale mi sono chiesto, dopo l’annuncio dello scorso anno di Vmware e LG, se al Mobile World Congress 2011, sarebbero arrivate novità.

Il mio intuito ha avuto ragione e mi sono imbattuto in questo video in cui Hoofar Razivi, responsabile Vmware del product management, ha dimostrato, durante l’evento, l’utilizzo dell’applicazione di virtualizzazione sul dispositivo LG Optimus Black, sfoggiando uno switch semplice ed istantaneo tra i due sistemi operativi (Android ospitante e la versione Android embedded di Vmware) senza necessità di effettuare il reset del dispositivo.

Il terminale è così in grado di ospitare due versioni del sistema operativo: una personale, ed una professionale controllata centralmente dall’Organizzazione. Le policy che è possibile controllare nell’Androide professionale includono ad esempio la disabilitazione del cut and paste per prevenire la copia di dati sensibili, la disabilitazione di fotocamera, GPS e il Bluetooth. Esiste inoltre un client VPN interno e, come ulteriore protezione, i dati dell’Androide professionale, la cui immagine è cifrata in condizioni normali e può risiedere anche nella scheda SD, possono inoltre essere cancellati remotamente.

L’applicazione, che sarà sugli scaffali nella seconda metà di quest’anno, non dipende dal sistema operativo sottostante e può essere resa disponibile in modalità Over-The-Air, così può virtualmente funzionare su qualsiasi terminale (a patto che abbia abbastanza risorse). E’ molto probabile che sarà disponibile anche per altri sistemi operativi, sulla scia anche di quanto fatto da RIM che sta per presentare la propria soluzione BlackBerry Balance, concepita per gestire in maniera separata le informazioni personali e quelle aziendali all’interno di una Mora RIM.

Alla fine sembra proprio che, almeno nel mondo mobile, la virtualizzazione servirà per aumentare il livello di sicurezza dei dispositivi.

Mali Di Stagione (Seconda Parte)

February 2, 2011 5 comments

Assistendo in questi giorni alle continue scoperte di bachi nell’Androide non posso fare a meno di chiedermi se queste siano dovute ad una effettiva insicurezza della creatura di Google (che comunque si difende bene a livello di bachi con i suoi 0,47 bachi ogni 1000 linee di codice ben al di sotto dei 5 bugs/Kloc considerati fisiologici) oppure siano una conseguenza del processo di diffusione dell’Androide anche in ambito enterprise, diffusione che attira i malintenzionati e pone l’accento sui problemi  di sicurezza, soprattutto se relativi alla possibilità di ottenere illecitamente le informazioni contenute, il cui valore è maggiormente critico per gli utenti business.

Non si è ancora spenta l’eco della botnet di androidi privi di volontà (o meglio esecutori della volontà remota di qualcun’altro), che già nuove avvisaglie di tempesta si innalzano dall’orizzonte della Shmoocon appena conclusa.

Durante l’evento, due ricercatori di sicurezza, Jon Oberheide e Zach Lanier, hanno evidenziato alcune debolezze nel cervello kernel dell’Androide e nella modalità di gestione delle applicazioni.

Tra le debolezze rilevate (a livello teorico):

  • Il codice sorgente è facile da ottenere (e di conseguenza da sfruttare);
  • Realizzando giochi e applicazioni esteticamente gradevoli (fun-looking), e riuscendo a convincere gli utenti a scaricarle, sarebbe teoricamente possibile realizzare un attacco agente direttamente sul kernel, dopo averne identificato le debolezze;
  • La piattaforma è piena, a loro dire, di complicati appicicaticci facili da sfruttare.

I due ricercatori erano già saliti alla ribalta a novembre 2010 quando avevano presentato un proof-of-concept travestito nell’arcinota applicazione Angry Birds (un fake come si dice in termine tecnico), con cui erano stati in grado di bypassare il processo di approvazione dei permessi del sistema operativo e rubare incautamente il token di Autenticazione dall’Android AccountManager. In quell’occasione il codice malevolo era stato in grado di installare nell’Androide vittima e rigorosamente all’insaputa dell’utente, tre applicazioni in grado di accedere ai contatti, alle informazioni di posizione e agli SMS, trasmettendo, come se non fosse già abbastanza i dati a un server remoto.

E la drammatica conclusione era stata:

  • Intercettare le credenziali è relativamente semplice;
  • Le applicazioni che accedono allo storage, contengono bachi di sicurezza che un attaccante potrebbe sfruttare per causare un denial of service o bypassare i controlli di gestione dei diritti digitali (digital rights management);
  • Le applicazioni fornite direttamente dai carrier facilitano la fiducia dell’utente e pertanto saltano il primo e fondamentale livello di sicurezza, quello che proviene dall’utente;
  • Le applicazioni di terze parti hanno un livello di sicurezza aggiuntivo (ma manca un supporto per standard aperti);
  • Gli attacchi di tipo Man-in-the-middle sono relativamente semplici da attuare.

In sostanza, forse per la relativa giovinezza di questo mercato, il codice delle app è infarcito di errori di programmazione dovuti all’esigenza di raggiungere per primi il mercato (il time-to-market non perdona!), errori che nel mondo dei PC si facevano parecchi anni orsono.

Visto che quasi tutte le vulnerabilità degli smartphone con un cuore di Androide sono legate ai permessi delle applicazioni e alla conseguente possibilità di rubare informazioni sensibili (e non solo), è auspicabile (come anche previsto da Cisco) che la prossima frontiera del mercato di sicurezza per gli smartphone saranno propio le tecnologie DLP (Data Leackage Prevention) per la prevenzione del furto o perdita di dati. Questo spiegherebbe anche perché i principali produttori di sicurezza (e protagonisti del mercato DLP, non ultimi McAfee, Symantec e Trend Micro), abbiano messo proprio l’Androide al Centro dei problemi di sicurezza per il 2011.

Quando la NASA ha la testa per aria…

December 11, 2010 Leave a comment

Accade che materiale informatico contenente informazioni classificate venga messo impunemente in vendita.

Personalmente ritengo che quello del DLP, sia uno dei filoni più interessanti del panorama attuale di sicurezza informatica. Il Data Loss (o Leakage) Prevention e indica una famiglia di processi e tecnologie dedicati alla protezione della proprietà intellettuale da furti, perdite, o uso inappropriato.

Questi giorni stavo pensando molto al DLP, naturalmente a causa dell’affaire Wikileaks, quando mi sono imbattuto in questa notizia alquanto curiosa.

Un recente documento ha svelato difatti l’ennesimo episodio di perdita di dati classificati che ha avuto questa volta come protagonista (o vittima) l’Agenzia Spaziale Americana. A causa di una inefficienza nel processo di verifica del materiale informatico in dismissione 10 computer che non avevano superato i test di pulizia dei dati, e che quindi contenevano ancora informazioni sensibili, sono stati messi in vendita nell’ambito del programma di pensionamento del progetto Space Shuttle dopo 130 missioni e 38 anni di onorata carriera.  Altri 4 sono stati intercettati prima dell’immissione sul mercato.

Durante lo stesso audit inoltre sono state rilevate pesanti inefficienze nel processo di pulizia dei dati su apparati IT in dismissione per i centri NASA di Kennedy Johnson Space, nonché per i laboratori di Ames e Langley.

Per 10 computer non c’è stato nulla da fare: nonostante non avessero superato i test di pulizia sono stati immessi sul mercato ed assieme ad essi sono state rilasciate:

sensitive information regarding Space Shuttle operations and maintenance procedures

Sebbene per i 10 sfortunati piccoli indiani non vi sia stato alcun modo di verificare quali informazioni siano state esposte al pubblico ludibrio, è stato tuttavia possibile analizzare 4 computer afferati sull’orlo del baratro mediatico.  Sebbene questi non avessero superato il test di pulizia, erano comunque in procinto di essere immessi sul mercato. Le analisi  forensi hanno comunque rilevato all’interno di uno di essi informazioni soggette a controllo di export secondo il regolamento ITAR (International Traffic in Arms Regulations), la cui violazione può avere conseguenze penali e civili.

Come se tutto ciò non fosse sufficiente, l’audit ha rilevato anche l’incorretta etichettatura degli hard disk da distruggere nei laboratori di Langley, mentre nel centro Kennedy, alcune macchine pronte per la vendita riportavano ancora in vista informazioni relative agli indirizzi IP probabile preda di Hacker famelici desiderosi di farsi un giretto all’interno della base.

Certo l’America non è così lontana come sembra e sono sicuro certo che episodi di questo genere siano frequenti anche nel Belpaese (passando rigorosamente inosservati). Se poi è così facile mettere in circolazione (perdere) un PC con dati sensibili, è immediato capire come la frequenza di episodi di questo tipo sia destinata a crescere esponenzialmente grazie a causa dell’uso massiccio dei dispositivi mobili (telefoni intelligenti o tavolette) per uso professionale.

In un precedente post mi chiedevo perché Intel, il maggiore produttore di processori, sorprendendo il mercato, abbia deciso di acquisire McAfee che porta in dote, tra le altre tecnologie, una delle più diffuse soluzioni di DLP. Episodi come questo consentono di fare luce sulla strategia del colosso di Santa Clara che punta alla convergenza degli endpoint (fissi e mobili) ed alla possibilità di applicare nativamente a livello di processore funzioni quali antivirus, cifratura ed il temuto DRM. Grazie a questa strategia di convergenza è probabile che in un futuro non troppo remoto si potrà cifrare nativamente l’hard disk ed effettuare la sua pulizia in maniera altrettanto trasparente.

Naturalmente prima della tecnologia c’è sempre l’essere umano (la potenza è nulla senza il controllo e circostanze come questa lo dimostrano), ad ogni modo tutto fa pensare che tra breve sarà  più difficile rubare progetti della scuderia avversaria oppure esporre  alla forca mediatica le considerazioni dei diplomatici a stelle e strisce spacciandole (dopo il danno la beffa) per un CD di Lady Gaga.

Follow

Get every new post delivered to your Inbox.

Join 2,898 other followers