About these ads

Archive

Posts Tagged ‘Tipping Point’

Information, The Next Battlefield

October 5, 2011 1 comment

Today the Information Security Arena has been shaken by two separate, although similar, events: IBM and McAfee, two giants in this troubled market, have separately decided to make a decisive move into the Security Information And Event Management (SIEM) market by acquiring two privately held leading companies in this sector.

As a matter of fact, nearly in contemporary, today IBM has officially announced to acquire Q1 Labs while McAfee was officially declaring its intent to acquire privately owned company NitroSecurity.

Although part of different tactics, the two moves follow, in my opinion, the same strategy which aims to build a unified and self-consistent security model: a complete security framework must not only provide information but also the intelligence to manage it, Information is power and Security is no exception to this rule.

But in order to be a real power, information must be structured and here comes the key point. Both vendors are leading providers of Network and Host Intrusion Prevention Solutions, heritage of the acquisions of ISS by IBM and Intrushield by McAfee and have hence the ability to capture security events from endpoints and networks: definitively they have the ability to provide the information, but they miss the adequate intelligence to correlate and manage it in order to make it structured.

This is completely true for McAfee that, (at least until today) lacked a SIEM solution in its portfolio and needed to rely on the SIA Certified SIEM Partner (Of course NitroSecurity was certified as a Sales Teaming Partner, the higher level). But in part this is also true for IBM that, despite the Micromuse acquisition and its troubled integration with Tivoli, was never able to became a credible player in this market, confined at the boundaries of the various (magic) quadrants.

Now they can make a decisive change to their positioning and also leverage a powerful trojan horse (the Information Management) to push their technologies to conquer new customers and market segments.

Is maybe a coincidence that another leader provider of SIEM solutions (ArcSight) is part of a company (HP) which also has in its portfolio Tipping Point (as part of the 3Com acquisition) a leader provider of Network IPS?

Event detection and event correlations (and management) are converging in the new Unified Security Model, general SIEM vendors are advised…

About these ads

Frutta Fuori Stagione

Si è da poco conclusa la Cansecwest, che ha ospitato al suo interno l’annuale contest Pwn2Own 2011, la sfida sponsorizzata da Tipping Point (ormai entrata nell’orbita del Titano HP) rivolta a trovare exploit nei browser e sistemi operativi mobili più diffusi.

La Mela e la Mora ne escono con le ossa rotte (anzi sarebbe meglio dire sbucciate ben bene), visto che entrambe sono state vittima di un exploit che ha consentito di sottrarre illecitamente la rubrica sia dal Melafonino che dal Morafonino (in realtà in questo secondo caso gli autori dell’exploit sono riusciti anche a scrivere un file a dimostrazione della possibilità di poter eseguire codice arbitrario).

Alla radice dell’exploit, la stessa vulnerabilità, basata sul medesimo motore di rendering utilizzato, quel Webkit che costituisce anche il cuore di Chrome, Browser di casa Google, e per il quale la casa di Mountain View, illibata al Pwn2Own (grazie agli ultimi aggiornamenti pre-contest) ha già furbescamente rilasciato una pezza patch che rende vano il tentativo di exploit nei suoi confronti. Per inciso la stessa vulnerabilità ha causato il crollo di Safari durante la stessa manifestazione.

Nel caso della Mela, l’exploit è stato realizzato da un veterano del settore, quel Charlie Miller, già protagonista delle edizioni 2008 e 2009 rispettivamente per aver scovato il primo exploit sul MacBook Air e su Safari. Quest’anno, in collaborazione con Dion Blazakis, il ricercatore si è portato a casa i 15.000 dollari del premio grazie alla sottrazione illecita della rubrica dell’iPhone ottenuta guidando il browser del Melafonino verso un sito creato allo scopo. L’exploit funziona sulla versione 4.2.1 dell’iOS che è stata messa sotto torchio durante il Pwn2Own ma non funziona sulla neonata versione 4.3. Non fatevi tuttavia troppe illusioni: il bug è ancora presente, ma l’utilizzo dell’ASLR (Address Space Layout Randomization) rende la vita complicata agli hacker ed in questo caso invalida l’exploit.

Apparentemente più serio il caso del Lampone di RIM: in questo caso l’exploit è stato (è proprio il caso di dire) messo a frutto da Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann che si sono portati a casa il premio messo in palio da Tipping Point HP. In particolare il primo e il terzo non sono nuovi a imprese del genere, in quanto si aggiudicarono il premio nell’edizione del 2010 riuscendo ad effettuare l’hack dell’iPhone.

Vulnerabilità simile, tipologia di attacco simile: anche in questo caso il team di ricercatori ha realizzato il trappolone mediante una pagina web costruita allo scopo che ha iniettato l’exploit nel Browser interno. Oltre a copiare la lista dei contatti ed alcune immagini dal dispositivo, i ricercatori hanni anno anche scritto un file sul dispositivo per dimostrare la possibilità di eseguire codice.

L’attacco ha una rilevanza particolare poiché, sebbene il Blackberry non disponga di funzioni di sicurezza quali il DEP (Data Execution Prevention) e il già citato ASLR, non esiste documentazione pubblica sugli internal del sistema operativo di RIM e questo aspetto ha costretto i ricercatori ad agire mediante approssimazioni successive, concatenando una serie di bachi. Per ammissione degli stessi ricercatori in questo caso il modello di Security Through Obscurity di RIM ha complicato, e anche non poco, la creazione dell’exploit.

L’attacco ha avuto successo con la versione software 6.0.0.246 (interessa quindi tutti gli ultimi dispositivi), e sembra che l’ultima patch rilasciata non sia stata risolutiva. All’infausto evento ha assistito in diretta il security response team di RIM. Immediatamente dopo il responsabile, Adrian Stone ha indicato che la compagnia lavorerà fianco a fianco con gli organizzatori del contest per verificare che le vulnerabilità siano presenti anche nelle ultime versioni del firmware.

“It happens.  It’s not what you want but there’s no such thing as zero code defects,”

E’ stato il laconico commento di Stone.

La questione tuttavia sembra piuttosto seria. Nel frattempo RIM ha difatti diramato ai propri clienti un avviso di sicurezza in cui notifica la vulnerabilità e le versioni che ne sono affette (tutte le versioni superiori alla 6) e due improbabili workaround: disabilitare il javascript dal browser o, addirittura, disabilitare totalmente il browser.

Per una volta quindi il protagonista in negativo non è l’Androide che esce inviolato dal Contest. Anche se in realtà deve essere considerato il fatto, già discusso in queste pagine, che la stessa vulnerabilità era già stata riscontrata per l’Androide (ed utilizzata per costruire una vulnerabilità nel market) e subito patchata grazie all’ammissione del suo scopritore Jon Oberheide che ha così rinunciato a 15.000 bucks.

Follow

Get every new post delivered to your Inbox.

Join 3,088 other followers