Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : 0.1.0.0 Security and Privacy

Un nuovo BING bang per la rinascita di Internet!

Feliciano Intini — Sat, 30 May 2009 13:46:44 GMT

[English version below: " A new BING bang for Internet rebirth " ] Saprete già dell’annuncio del nuovo nome per il nuovo motore di ricerca di Microsoft, non più Live Search , non più Kumo , ma BING , semplice ed evocativo: a giudicare dallo...(read more)

Microsoft annuncia il suo prossimo antivirus gratuito: codename "Morro"

Feliciano Intini — Wed, 19 Nov 2008 14:31:02 GMT

Sono sicuro che questa notiziona produrrà un bel tam-tam, e farà discutere: Microsoft Announces Plans for No-Cost Consumer Security Offering Cosa vuol dire? Microsoft desidera continuare l'impegno deciso nel miglioramento della sicurezza dell'intero ecosistema...(read more)

Giornata di Studio "Il ruolo dell'ICT nella Protezione delle Infrastrutture Critiche"

Feliciano Intini — Tue, 23 Sep 2008 19:44:05 GMT

Giovedì prossimo 25 settembre non aspettatevi post da parte mia, sono ospite della Giornata di Studio " Il ruolo delle telecomunicazioni e dell’informatica nella Protezione delle Infrastrutture Critiche " che si terrà a Roma...(read more)

Microsoft avvia nuovi programmi per condividere il Security Development Lifecycle (SDL) con i clienti

Feliciano Intini — Thu, 18 Sep 2008 15:49:44 GMT

Dalle parole ai fatti. Ecco il primo pensiero che ha fatto capolino quando ho appreso di queste iniziative. Ho parlato spesso, anche su questo blog , del forte impegno di Microsoft nel rendere il Security Development Lifecycle un modello che ogni cliente...(read more)

Black Hat 2008: Microsoft Security Vulnerability Research (MSVR)

Feliciano Intini — Mon, 08 Sep 2008 17:23:29 GMT

Riprendendo il filo da dove l'avevo interrotto (scappando in ferie ;-) mi restava da condividere l'ultimo annuncio fatto da Microsoft in occasione del Black Hat 2008 , che, tra l'altro, non mi sembra sia stato ripreso da altre fonti informative: Microsoft...(read more)

Black Hat 2008: Microsoft Active Protections Program (MAPP)

Feliciano Intini — Wed, 06 Aug 2008 19:06:53 GMT

Come per l'annuncio del Microsoft Exploitability Index nel post precedente , anche per quest'annuncio può essere utile darvi un po' di indicazioni storiche e di contesto. Forse, infatti, non tutti sanno che fino ad ora l'approccio di Microsoft nel...(read more)

Black Hat 2008: si parte con il nuovo blog del team MSRC Ecosystem Strategy!

Feliciano Intini — Tue, 05 Aug 2008 13:00:07 GMT

Ho appena lanciato su MClips la chiave di lettura dell'importante partecipazione di Microsoft all'evento di sicurezza più atteso dell'anno, il Black Hat ! Black Hat 2008: è tempo di Community-Based Defense! Come ho indicato, sarà una settimana...(read more)

Microsoft, Open Source e Sicurezza: parliamone in modo costruttivo

Feliciano Intini — Fri, 01 Aug 2008 11:14:54 GMT

Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità a pubblicare un mio intervento) per un commento al dibattito sul tema Open Source e Sicurezza scatenato dalla ricerca Fortify ( Open Source Security...(read more)

Microsoft contribuisce alla nascita dell'Industry Consortium for Advancement of Security on the Internet (ICASI)

Feliciano Intini — Mon, 30 Jun 2008 19:51:35 GMT

In occasione dell'evento FIRST 2008 a Vancouver di qualche giorno fa, è stata annunciata la nascita di un consorzio non-profit impegnato a livello internazionale sull'importante tema della risposta alle emergenze di sicurezza informatica: Industry...(read more)

Parlerò di "End to End Trust" all'ISSA Security Conference 2008

Feliciano Intini — Mon, 09 Jun 2008 15:37:03 GMT

Forse è meglio dire che accennerò all' argomento , vista la breve durata del mio intervento dal titolo " Establishing End to End Trust ", ma d'altra parte era giusto e inevitabile, considerando la ricca e interessante agenda...(read more)

Al via la Settimana Nazionale della Sicurezza in Rete!

Feliciano Intini — Sat, 07 Jun 2008 20:13:18 GMT

Come ha appena annunciato Francesca Di Massimo , Security Lead di Microsoft Italia (che voi ormai dovreste ben conoscere ...), a partire da oggi inizia una iniziativa davvero molto importante, pensata per diffondere nel nostro paese una maggiore consapevolezza...(read more)

Annunciato il Microsoft Security Cooperation Program for CERTs (SCPCert)

Feliciano Intini — Wed, 21 May 2008 13:04:22 GMT

La conferenza AusCERT2008 (Asia Pacific Information Technology Security Conference) organizzata dall'AusCERT (il CERT australiano, uno dei più attivi e rinomati a livello internazionale) è stata l'occasione ideale per annunciare la nascita di un nuovo programma di collaborazione tra Microsoft e il settore pubblico espressamente dedicata ai CERT (ossia ai Computer Emergency Response Team, gli enti dedicati alla gestione delle emergenze di sicurezza informatica): il Microsoft Security Cooperation Program for CERTs (SCPCert)

L'SCPCert si affianca ad altri due programmi analoghi

l'SCPe, il Security Cooperation Program for Education, (nato nel 2006) dedicato agli enti universitari
l'SCPg, il Security Cooperation Program for Governments, il padre del programma SCP (nato nel febbraio del 2005) dedicato agli enti e alle agenzie governative

Lo scopo di queste iniziative è semplice: creare una partnership gratuita per lo scambio di informazioni e di collaborazione sui temi della risposta alle emergenze di sicurezza informatica, della mitigazione di attacchi e della security awareness dei cittadini. L'insieme dei programmi SCP è a sua volta parte del più ampio impegno di Microsoft alla collaborazione trasversale con gli attori più importanti nella gestione della risposta alle emergenze di sicurezza, la Microsoft Security Response Alliance (MSRA), che include, oltre all'SCP:

la Global Infrastructure Alliance for Internet Safety (GIAIS), che riunisce i più importanti Internet Service Provider
la Microsoft Virus Initiative (MVI) e la Virus Information Alliance (VIA), con i produttori e i ricercatori anti-malware
la Microsoft Security Support Alliance (MSSA), con i produttori OEM.

Tutti gli investimenti riposti in queste iniziative confermano un punto importante della strategia di sicurezza di Microsoft: si riconosce, come ribadito dalla recente iniziativa dell'End To End Trust, di non poter indirizzare da soli in modo efficace tutte le diverse problematiche che concorrono alla sicurezza di Internet, e che è necessario un efficiente lavoro di squadra. Queste alleanze sono intanto importanti per la realizzazione di un canale di comunicazione che finora era assente, e tutti sappiamo quanto sia importante l'aspetto di una rapida comunicazione rispetto alle emergenze di sicurezza.

Se qualcuno tra voi è parte di uno di questi enti e desidera saperne di più può contattarmi tramite il blog per ulteriori dettagli.

Share this post :

L'evoluzione del Trustworthy Computing: End to End Trust (E2E)

Feliciano Intini — Mon, 14 Apr 2008 11:55:04 GMT

Nello scorso post quando vi ho stuzzicato ad attendere il post successivo (che è poi questo... ;-) ho commesso un errore involontario, ma per certi versi un lapsus freudiano. Vi ho anticipato che vi avrei parlato "degli elementi della nuova strategia Microsoft in area sicurezza" ma di fatto quello di cui Craig Mundie ha parlato all'RSA Conference 2008, da un lato non si può definire esattamente "la nuova strategia", dall'altro io credo che rappresenti un passaggio storico fondamentale nell'evoluzione dell'atteggiamento della mia cara Microsoft sul tema Sicurezza, rivoluzionario quanto l'avvio della strategia Trustworthy Computing avvenuto nel 2002.

Questa visione strategica ha un nome, "End to End Trust", e rappresenta la proposta di Microsoft di avviare una discussione aperta su cosa sia necessario fare per migliorare il futuro di Internet, per quanto riguarda gli aspetti di Security & Privacy. Purtroppo Internet non è nata avendoli come requisiti di progetto: il fatto che ora queste due caratteristiche siano un problema evidente è sotto gli occhi di tutti. Microsoft intende dare una svolta a questo difetto "strutturale" e chiede l'aiuto di tutti per concordare un piano di azione che possa cambiare le regole del gioco preservando i diritti riconosciuti che gli utenti esercitano sul web.

Per la prima volta Microsoft si presenta senza una soluzione tecnologica in tasca e sceglie la strada di una proposizione di architettura e di metodo presentata tramite un breve white paper di 20 pagine (da leggere assolutamente!), e di un confronto tramite un forum aperto alla discussione, entrambi raggiungibili al sito End to End Trust creato per questa iniziativa.

In estrema sintesi, questa proposta indica una strada percorribile:

migliorare gli aspetti di autenticazione, creando un cosiddetto "Trusted Stack"; abilitare la possibilità di autenticazione robusta a tutti i livelli logici dei soggetti che interagiscono su Internet: hardware, software, persone e dati.
migliorare la capacità di tracciare gli eventi (audit) per poter responsabilizzare chi esegue delle azioni (accountability); allo stesso tempo fornire alle persone maggiore controllo sulle proprie identità digitali per garantire una maggiore tutela della propria Privacy.

La proposta però non si limita a fornire spunti in ambito tecnologico, riconoscendo che il successo di una tale reingegnerizzazione di Internet non possa essere affrontata senza una convergenza di interessi sociali, politici ed economici.

Un post è davvero riduttivo per esaurire l'analisi dei vari temi sollevati dalla strategia di End to End Trust, e proprio per l'importanza di questa discussione ho deciso che dedicherò una serie di post sul tema, augurandomi di avervi come partecipanti attivi nello scambio di opinioni che cercherò di stimolare. Ci sono aspetti che non mancheranno di sollevare delle considerazioni critiche (dal punto di vista tecnologico, per esempio, sarà interessante dibattere sugli aspetti dei dispositivi hardware che potrebbero utilizzare i chip TPM per essere considerati Trusted Device).

Vi lascio quindi con il compito di leggere il white paper... a presto!

Share this post :

Microsoft entra nel MIT Kerberos Consortium

Feliciano Intini — Thu, 03 Apr 2008 13:20:36 GMT

Lo scorso 31 marzo, Microsoft è diventato sponsor diretto del consorzio di aziende (che includono, oltre al MIT, anche Apple, Google e Sun: queste, ora assieme a Microsoft, nella persona di Slava Kavsan - direttore della divisione Windows Core Security - detengono un posto nel consiglio direttivo) che si impegnano alla diffusione di Kerberos:
Microsoft Joins MIT Kerberos Consortium

Cosa vuol dire? E' un'altra prova tangibile dell'impegno preso con i recenti Interoperability Principles: partecipando più direttamente ai lavori del consorzio ora si riuscirà a realizzare meglio l'interoperabilità tra i vari vendor che hanno adottato questo importante protocollo di autenticazione.

Microsoft ha adottato Kerberos già a partire da Windows 2000 come protocollo preferenziale di autenticazione ad Active Directory: vi segnalo alcune risorse di approfondimento tecnico (che aggiungerò anche, appena possibile, al mio Microsoft Security Portal)

Share this post :

Quale, tra Windows, Mac OS e Linux, è il sistema più sicuro?

Feliciano Intini — Tue, 01 Apr 2008 15:36:47 GMT

Il mio post di ieri sulle problematiche di sicurezza di Apple e quello letto oggi su Punto Informatico, hanno riacceso l'idea che vi avevo lanciato nel mio post di Natale, quando vi promettevo che vi avrei parlato della inconfrontabilità tra i sistemi operativi che competono tra loro sul mercato, ora essenzialmente Windows, Mac OS e Linux. All'inizio della mia esperienza in Microsoft, da puro tecnico e con la testa ancora presa dal sacro fuoco della teoria accademica, non capivo bene perché non si affrontasse il raffronto tra sistemi operativi concorrenti in termini strettamente tecnici e di architettura, e di confronto di funzionalità di sicurezza. Dopo un po' di anni a lavorare sul fronte e in trincea sugli aspetti di sicurezza, a fianco dei clienti (grandi clienti, con reparti IT sterminati...) impegnati ad usare realmente i prodotti Microsoft per realizzare soluzioni di business, ho piano piano capito perchè il mio punto di vista iniziale, "da smanettone", era limitato.

Tra parentesi, ci tengo a farvi presente che è proprio questo atteggiamento limitato da semplice smanettone, che vede il suo mondo iniziare e finire al solo computer (o ai soli computer) che ha a casa nello suo piccolo (o grande) laboratorio, che è spesso alla base delle guerre di religione a cui assistiamo... (Ho la massima ammirazione per gli smanettoni di questo tipo, ma spesso è proprio da alcuni di loro che vedo un atteggiamento ottuso di guerra preconcetta...)

Vi riporto le tre considerazioni importanti che sono alla base della mia idea di essenziale inconfrontabilità, parzialmente emerse anche da alcune considerazioni che condivido dell'articolo di Annunziata su Punto Informatico (ci sono anche diverse considerazioni che non condivido, ma su queste ci torno su a breve...;-).

Lo scenario di rischio che vivono i diversi sistemi operativi concorrenti è profondamente diverso in virtù della diversa quota di mercato e della diversa appetibilità dei dati da carpire. Si può confrontare un sistema operativo client adottato da milioni di utenti con altri diffusi molto molto meno? Non credo proprio. L'interesse da parte di chi intende attaccare è per forza orientato verso le piattaforme più diffuse e che possono far ottenere maggior guadagno con minor investimento possibile in termini di ricerca. L'attenzione e la ricerca di vulnerabilità è per forza sbilanciato verso la piattaforma Microsoft che ha un mercato molto molto più appetibile.

Altra piccola parentesi: è bene anche tener presente che (ed è uno dei trend attuali più importanti) quando l'intento diventa criminale e l'approccio professionista per puntare alla compromissione di un sistema ben focalizzato, non c'è piattaforma o investimento che tenga... il gioco di attacco/difesa è molto più arduo ed estremo...

Intanto una considerazione su questo punto: il fatto che la piattaforma Microsoft sia nell'occhio del ciclone più di altri non sempre è un punto a sfavore. Sono convinto che la massiccia diffusione dei sistemi e l'estrema attenzione di chi cerca di bucare Windows siano la migliore piattaforma di security testing che ci sia, molto molto meglio della famosa "many eyeballs lead to secure code" cara ai sostenitori open source. Fatemi dire una volta per tutte cosa penso al riguardo: con tutto il rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene.

La fruibilità da parte degli utenti meno tecnici e la gestibilità dei computer in ambienti aziendali è notevolmente diversa tra questi sistemi operativi concorrenti. Per l'ambito in cui sono nati e per la storia evolutiva che stanno vivendo, solo ora questi diversi SO cominciano ad essere lontanamente paragonabili, ma la strada è ancora lunga: facilità d'uso, estetica accattivante, ricchezza di applicazioni e di periferiche, gestibilità della configurazione remota in ambienti numericamente complessi, possibilità granulare e semplificata di configurazione delle opzioni, ogni SO ha un suo profilo più o meno marcato su questi aspetti e quindi soddisfa esigenze diverse.

Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Microsoft fa solo software e abilita l'ecosistema di partner nel realizzare hardware (e quindi driver: è di Microsoft la responsabilità dei driver???) e software. Apple fa il software ma controlla parte dell'hardware su cui fa eseguire il suo OS. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no.

Queste considerazioni mi portano a dire che la domanda "qual'è il sistema più sicuro?" messa così secca, non ha molto senso (come la sintesi finale dell'articolo di Punto Informatico...). Un sistema maggiormente preso di mira dagli attacchi non vuol dire che sia più insicuro, se mostra di riuscire a proteggere gli utenti e soddisfa i loro requisiti (che possono essere di facilità d'uso e ricchezza di dotazione hardware/software per Windows, altrettanta semplicità d'uso e superba estetica da parte di Apple, o estrema versatilità di configurazione e personalizzazione per l'utente smanettone nei riguardi dei sistemi Linux).

Il punto è, semmai, quali dei modelli di sviluppo e dei processi reali di produzione del software di questi diversi sistemi operativi è quello che offre maggiori garanzie di riduzione del livello di rischio in termini di riduzione vulnerabilità, miglioramento delle funzionalità protettive, maggiore supporto agli utenti nelle situazioni decisionali che sono legate ad aspetti di sicurezza, e capacità di reazione alle emergenze di sicurezza dal punto di vista gestionale? C'è carne al fuoco per diverse decine di post...

Share this post :