hit counter
Sul presunto attacco a Windows Cardspace e all'Identity Metasystem: vi prego, prendiamo la sicurezza sul serio... - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Sul presunto attacco a Windows Cardspace e all'Identity Metasystem: vi prego, prendiamo la sicurezza sul serio...

Sul presunto attacco a Windows Cardspace e all'Identity Metasystem: vi prego, prendiamo la sicurezza sul serio...

  • Comments 4
  • Likes

Riesco a stento a trattenere il mio disappunto: questa notizia di cui sto per raccontarvi sembra l'epilogo perfetto della mia rubrica Anti-FUD, un vero e proprio capolavoro di dinformazione informatica sul tema sicurezza... e come tale non dovete perderla!

La storia in breve è la seguente: alcuni studenti di una università tedesca hanno dichiarato in uno studio di essere riusciti ad attaccare l'Identity Metasystem e CardSpace. L'attacco da loro descritto e riprodotto riesce a carpire il security token utilizzato durante il logon di un utente su un sito web, dimostrando così di poterlo poi riutilizzare per un accesso successivo impersonando l'utente legittimo.

Cardspace è vulnerabile? Violata la sicurezza dell'Identity Metasystem? Scoperte vulnerabilità nei protocolli (tra parentesi open standards) utilizzati da questa modalità di autenticazione? Nulla di tutto questo...

Non ha senso che io mi dilunghi nello spiegarvi tecnicamente perché non siamo di fronte ad una vulnerabilità di Cardspace o dell'Identity Metasystem, quando il maestro in questo campo, tale Kim Cameron, si è preso la doverosa briga di analizzare e riprodurre questo attacco, smontando le conclusioni degli studenti tedeschi che hanno, maldestramente, voluto intitolare il loro studio "Proof of concept On the Insecurity of Microsoft's Identity Metasystem CardSpace". Vi raccomando (davvero caldamente) di leggere i due post di Kim (il secondo con l'aiuto di un video da lui realizzato):

I titoli sono significativi per sintetizzare come Kim abbia dimostrato che l'attacco si basi su alcuni requisiti ben precisi:

l'utente, dotato di privilegi amministrativi, deve volontariamente (anche se dissuaso dal farlo da diversi avvertimenti) e manualmente (non è stato dimostrato un automatismo) indebolire il suo PC per renderlo attaccabile.

Gli affezionati della mia rubrica preferita avranno già realizzato il déjà-vu e non credo abbiano bisogno di altre spiegazioni.

Ora vi spiego il mio disappunto iniziale e lo sconforto nel vedere questo approccio: non si tratta di difendere a spada tratta la piattaforma Microsoft perché si è convinti che sia inattaccabile, anzi al contrario si vuole indurre l'opinione pubblica a comprendere fino in fondo la complessità della sicurezza e la profondità del concetto di Defense in-Depth... non esistono sistemi invulnerabili e la miglior difesa è di realizzare contromisure con l'atteggiamento mentale di non poter contare sulla difesa inviolabile. Ancora una volta le parole di Kim sono di una limpidità cristallina:

"...security isn’t binary – there is no simple dichotomy between vulnerable and not-vulnerable.  Security derives from concentric circles of defense that act cumulatively and in such a way as to reinforce one another.  The title of the students’ report misses this essential point.  We need to design our systems in light of the fact that any system is breachable.  That’s what we’ve attempted to do with CardSpace.  And that’s why there is an entire array of defenses which act together to provide a substantial and practical barrier against the kind of attack the students have attempted to achieve."

Quindi ben vengano gli studi di ricerca che mettono alla prova le soluzioni tecnologiche che i vendor realizzano, perché possono di fatto aiutare al loro miglioramento, ma ci si astenga dalla semplice ricerca di notorietà... e invece si contribuisca a far comprendere quanto la Sicurezza debba essere presa sul serio.

Share this post :
Comments
  • scusa ti do del tu ormai ti leggo da un sacco di tempo:

    perche' hai rimosso l'articolo completo dal feed ? era comodo non dover aprire l'ennesimo tab per leggere quello che scrivi

  • Scusami Marco, abbi pazienza per questo mesetto, ho bisogno di fare delle verifiche per capire se questa modalità mi aiuta a comprendere meglio il vostro interesse per i singoli post: se non dovesse aiutarmi, ripristino subito l'invio completo del feed. Grazie del tuo interesse costante per il mio blog!

  • Salve,

    complimeti per l'ottimo blog.

    Un doveroso commento: mi pare che da troppo tempo il nome Microsoft sia denigrato o usato spesso e volentieri a sproposito, con attacchi frontali e non. Non ultimo questa "trovata" che come dice sembra fatta apposta per il famoso quarto d'ora di notorietà che pare spetti a ognuno. Non sarebbe ora che Microsoft iniziasse a far rispondere i suoi legali, di fronte a tali "disinformazioni"?

    Grazie

  • Grazie dei complimenti Matteo. In ambito sicurezza credo che Microsoft preferisca investire risorse legali nel perseguire le azioni dei criminali informatici, e lasciare che la migliorata robustezza dei suoi prodotti parli da sola per contrastare questa disinformazione dilagante. Che immagine darebbe una Microsoft che ricorresse ai suoi legali per difendere la reputazione dei suoi prodotti? Pessima direi...  Sono d'accordo, e spesso il mio blog ne è la prova, che sia necessario riequilibrare questa percezione distorta che si osserva nel panorama dell'informazione e della blogosfera.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment