Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : 0.1.1.0 Trustworthy Computing (TwC)

Microsoft annuncia il suo prossimo antivirus gratuito: codename "Morro"

Feliciano Intini — Wed, 19 Nov 2008 14:31:02 GMT

Sono sicuro che questa notiziona produrrà un bel tam-tam, e farà discutere: Microsoft Announces Plans for No-Cost Consumer Security Offering Cosa vuol dire? Microsoft desidera continuare l'impegno deciso nel miglioramento della sicurezza dell'intero ecosistema...(read more)

Giornata di Studio "Il ruolo dell'ICT nella Protezione delle Infrastrutture Critiche"

Feliciano Intini — Tue, 23 Sep 2008 19:44:05 GMT

Giovedì prossimo 25 settembre non aspettatevi post da parte mia, sono ospite della Giornata di Studio " Il ruolo delle telecomunicazioni e dell’informatica nella Protezione delle Infrastrutture Critiche " che si terrà a Roma...(read more)

Microsoft avvia nuovi programmi per condividere il Security Development Lifecycle (SDL) con i clienti

Feliciano Intini — Thu, 18 Sep 2008 15:49:44 GMT

Dalle parole ai fatti. Ecco il primo pensiero che ha fatto capolino quando ho appreso di queste iniziative. Ho parlato spesso, anche su questo blog , del forte impegno di Microsoft nel rendere il Security Development Lifecycle un modello che ogni cliente...(read more)

Black Hat 2008: Microsoft Security Vulnerability Research (MSVR)

Feliciano Intini — Mon, 08 Sep 2008 17:23:29 GMT

Riprendendo il filo da dove l'avevo interrotto (scappando in ferie ;-) mi restava da condividere l'ultimo annuncio fatto da Microsoft in occasione del Black Hat 2008 , che, tra l'altro, non mi sembra sia stato ripreso da altre fonti informative: Microsoft...(read more)

Black Hat 2008: Microsoft Active Protections Program (MAPP)

Feliciano Intini — Wed, 06 Aug 2008 19:06:53 GMT

Come per l'annuncio del Microsoft Exploitability Index nel post precedente , anche per quest'annuncio può essere utile darvi un po' di indicazioni storiche e di contesto. Forse, infatti, non tutti sanno che fino ad ora l'approccio di Microsoft nel...(read more)

Black Hat 2008: si parte con il nuovo blog del team MSRC Ecosystem Strategy!

Feliciano Intini — Tue, 05 Aug 2008 13:00:07 GMT

Ho appena lanciato su MClips la chiave di lettura dell'importante partecipazione di Microsoft all'evento di sicurezza più atteso dell'anno, il Black Hat ! Black Hat 2008: è tempo di Community-Based Defense! Come ho indicato, sarà una settimana...(read more)

Microsoft, Open Source e Sicurezza: parliamone in modo costruttivo

Feliciano Intini — Fri, 01 Aug 2008 11:14:54 GMT

Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità a pubblicare un mio intervento) per un commento al dibattito sul tema Open Source e Sicurezza scatenato dalla ricerca Fortify ( Open Source Security...(read more)

Microsoft contribuisce alla nascita dell'Industry Consortium for Advancement of Security on the Internet (ICASI)

Feliciano Intini — Mon, 30 Jun 2008 19:51:35 GMT

In occasione dell'evento FIRST 2008 a Vancouver di qualche giorno fa, è stata annunciata la nascita di un consorzio non-profit impegnato a livello internazionale sull'importante tema della risposta alle emergenze di sicurezza informatica: Industry...(read more)

Parlerò di "End to End Trust" all'ISSA Security Conference 2008

Feliciano Intini — Mon, 09 Jun 2008 15:37:03 GMT

Forse è meglio dire che accennerò all' argomento , vista la breve durata del mio intervento dal titolo " Establishing End to End Trust ", ma d'altra parte era giusto e inevitabile, considerando la ricca e interessante agenda...(read more)

Al via la Settimana Nazionale della Sicurezza in Rete!

Feliciano Intini — Sat, 07 Jun 2008 20:13:18 GMT

Come ha appena annunciato Francesca Di Massimo , Security Lead di Microsoft Italia (che voi ormai dovreste ben conoscere ...), a partire da oggi inizia una iniziativa davvero molto importante, pensata per diffondere nel nostro paese una maggiore consapevolezza...(read more)

L'evoluzione del Trustworthy Computing: End to End Trust (E2E)

Feliciano Intini — Mon, 14 Apr 2008 11:55:04 GMT

Nello scorso post quando vi ho stuzzicato ad attendere il post successivo (che è poi questo... ;-) ho commesso un errore involontario, ma per certi versi un lapsus freudiano. Vi ho anticipato che vi avrei parlato "degli elementi della nuova strategia Microsoft in area sicurezza" ma di fatto quello di cui Craig Mundie ha parlato all'RSA Conference 2008, da un lato non si può definire esattamente "la nuova strategia", dall'altro io credo che rappresenti un passaggio storico fondamentale nell'evoluzione dell'atteggiamento della mia cara Microsoft sul tema Sicurezza, rivoluzionario quanto l'avvio della strategia Trustworthy Computing avvenuto nel 2002.

Questa visione strategica ha un nome, "End to End Trust", e rappresenta la proposta di Microsoft di avviare una discussione aperta su cosa sia necessario fare per migliorare il futuro di Internet, per quanto riguarda gli aspetti di Security & Privacy. Purtroppo Internet non è nata avendoli come requisiti di progetto: il fatto che ora queste due caratteristiche siano un problema evidente è sotto gli occhi di tutti. Microsoft intende dare una svolta a questo difetto "strutturale" e chiede l'aiuto di tutti per concordare un piano di azione che possa cambiare le regole del gioco preservando i diritti riconosciuti che gli utenti esercitano sul web.

Per la prima volta Microsoft si presenta senza una soluzione tecnologica in tasca e sceglie la strada di una proposizione di architettura e di metodo presentata tramite un breve white paper di 20 pagine (da leggere assolutamente!), e di un confronto tramite un forum aperto alla discussione, entrambi raggiungibili al sito End to End Trust creato per questa iniziativa.

In estrema sintesi, questa proposta indica una strada percorribile:

migliorare gli aspetti di autenticazione, creando un cosiddetto "Trusted Stack"; abilitare la possibilità di autenticazione robusta a tutti i livelli logici dei soggetti che interagiscono su Internet: hardware, software, persone e dati.
migliorare la capacità di tracciare gli eventi (audit) per poter responsabilizzare chi esegue delle azioni (accountability); allo stesso tempo fornire alle persone maggiore controllo sulle proprie identità digitali per garantire una maggiore tutela della propria Privacy.

La proposta però non si limita a fornire spunti in ambito tecnologico, riconoscendo che il successo di una tale reingegnerizzazione di Internet non possa essere affrontata senza una convergenza di interessi sociali, politici ed economici.

Un post è davvero riduttivo per esaurire l'analisi dei vari temi sollevati dalla strategia di End to End Trust, e proprio per l'importanza di questa discussione ho deciso che dedicherò una serie di post sul tema, augurandomi di avervi come partecipanti attivi nello scambio di opinioni che cercherò di stimolare. Ci sono aspetti che non mancheranno di sollevare delle considerazioni critiche (dal punto di vista tecnologico, per esempio, sarà interessante dibattere sugli aspetti dei dispositivi hardware che potrebbero utilizzare i chip TPM per essere considerati Trusted Device).

Vi lascio quindi con il compito di leggere il white paper... a presto!

Share this post :

Microsoft acquisisce la tecnologia U-Prove di Credentica!

Feliciano Intini — Thu, 06 Mar 2008 23:43:09 GMT

Ho assistito poco fa di persona alla sessione che il mitico Kim Cameron ha riservato per noi Microsoft Security Advisor e, per pura combinazione, questo incontro è avvenuto quasi contemporaneamente all'annuncio di Microsoft sull'acquisizione della tecnologia U-Prove di Credentica, acquisizione a cui Kim ha contribuito in modo determinante. E' stato davvero emozionante sentire dalla sua viva voce l'entusiasmo e la passione per quello che implica questa acquisizione per lo sviluppo e la piena realizzazione dell'Identity Metasystem. Come potete leggere dal suo post (una lettura da non perdere!), si parla addirittura di U-Prove come la tecnologia che sta agli aspetti di Privacy come la tecnologia di cifratura RSA sta a quelli di Security!! Messa in questi termini vuol dire che siamo di fronte ad una tecnologia fondamentale, di cui non si potrà fare a meno nel futuro. Se non avete già letto al riguardo, vi starete sicuramente domandando cosa sia questa meraviglia.

In estrema sintesi si tratta di una tecnologia di Minimal Disclosure: permette agli utenti di operare delle transazioni in modo tale da provare la propria identità ma senza fornire informazioni sulla propria identità (o fornendone un numero minimo, tale da garantire gli aspetti di privacy). Detta così sembra un ossimoro, una contraddizione in sé, ma ricorrendo alle "blinded signatures" è possibile realizzare matematicamente questo importante obiettivo (su questo articolo di Wired vi sono dettagli interessanti sugli studi alla base di questa tecnologia, come il Problema del Milionario).

Fino ad ora questa tecnologia non aveva ancora avuto una applicazione direttamente commerciale: l'interesse da parte di Microsoft e questa acquisizione permetteranno di inglobarla nello sviluppo delle nostre tecnologie che operano nell'ambito della gestione delle identità (a partire da Windows CardSpace).

Nei miei post su Windows CardSpace e l'Identity Metasystem non ero arrivato ad un livello di dettaglio tale da farvi apprezzare dove va ora a incastonarsi questa nuova tecnologia: ma se avete letto i miei post, la lettura del post di Kim vi chiarirà in modo semplice il miglioramento che viene acquisito con U-Prove.

Questa è davvero una PET, (Privacy-Enhancing Technology) e sarà interessante vederla all'opera, speriamo il prima possibile.

Share this post :

Slide del seminario Technet Expert sulla Microsoft Security Strategy e su Forefront

Feliciano Intini — Wed, 30 Jan 2008 13:07:34 GMT

Lo scorso 22 gennaio abbiamo ospitato nella sede Microsoft di Segrate l'evento Technet Expert Tour, interamente dedicato alle soluzioni Forefront, di cui vi avevo accennato in questo post (dove trovate i link ad una serie utile di risorse su questi argomenti). Speaker d'eccezione è stato Ronald Beekelaar, che ho trovato molto chiaro ed esauriente (...peccato dovermi subito assentare per attività urgenti). Io ho avuto la possibilità di fare una rapida (anzi rapidissima... vero?) overview della strategia di Microsoft sulla sicurezza. Soprattutto a beneficio di chi non è riuscito a venire, volevo segnalare che ora sono disponibili le slide Powerpoint di tutte le sessioni della giornata, compresa la mia.

Certo vi siete persi il gusto dell'ascolto live della mia cadenza tipicamente pugliese, ma tranquilli, non mancheranno nuove occasioni!

P.S. Se chi è stato presente volesse darmi un feedback ulteriore sulla mia sessione o sull'evento in generale sarei ben felice, anzi... Feliciano! (E' giornata di freddure, non ci fate caso...).

La nuova serie di video-editoriali sulla sicurezza di Microsoft Italia

Feliciano Intini — Thu, 08 Nov 2007 20:14:50 GMT

Un classico esempio di legge dantesca del contrappasso. Avevo appena terminato il post sul percorso formativo in area sicurezza, in cui notavo simpaticamente il leggero imbarazzo di Mario nel parlare di fronte alla telecamera, ecco che mi squilla il telefono e la mia amica Francesca Di Massimo (la ricordate ? Eravamo insieme nella foto con Kim Cameron) mi dice "Feliciano, è online il mio primo video per la serie di editoriali sulla sicurezza!". Neanche il tempo di esprimere i miei complimenti per l'iniziativa e lei ha continuato dicendo "... e volevo dirti di tenerti libero per il futuro per realizzare assieme qualche prossimo video-editoriale...". Arghhh... lo sapevo! Sapevo che prima o poi l'onda web2.0 mi avrebbe raggiunto anche per la dimensione video... Io di getto ho risposto così: "ah... sarà l'occasione giusta per impegnarmi nel riuscire a dimagrire quel lieve sovrappeso al giro vita (le cosiddette Love Handles :-)), o negoziamo solo inquadrature di primo piano !!!". Scherzi a parte, l'idea di comunicare attraverso il video è sicuramente un modo ottimo per condividere contenuti e facilitare la loro memorizzazione efficace (ho letto un interessante libro di Gianni Golfera, l'uomo dalla memoria prodigiosa che utilizza le immagini come strumento per il suo metodo della memoria emotiva). Sono quindi sicuro che vi risulterà molto più facile ricordare le linee principali della strategia Microsoft e le iniziative locali in area sicurezza ascoltandole dalla spiegazione diretta di Francesca che leggendole dal mio blog ...;-))! Rimanete sintonizzati per gli annunci dei prossimi video che avranno una cadenza mensile. Enjoy!

La convergenza di Security e Privacy: una novità ?

Feliciano Intini — Tue, 23 Oct 2007 19:01:00 GMT

Oggi in contemporanea in due eventi di sicurezza, Ben Fathi (all'RSA Europe Conference a Londra) e Scott Charney (allo IAPP Privacy Academy di San Francisco) di Microsoft hanno parlato nelle loro keynote della convergenza di Security e Privacy sulla base dei risultati di uno studio effettuato dal Ponemon Institute. Questa ricerca commissionata da Microsoft e realizzata nel settembre 2007 ha portato ad intervistare circa 3600 dirigenti di aziende negli Stati Uniti, Inghilterra e Germania, con una responsabilità tra le seguenti: sicurezza, protezione dati o marketing. Cosa emerge da questo studio ? Un serie di importanti considerazioni che vi riassumo:

Dal punto di vista dello scenario di rischio e delle minacce, la sicurezza e la privacy stanno convergendo: alla luce dei risultati dell'ultimo Microsoft Security Intelligence Report (relativo al primo semestre del 2007, e di cui vi parlo nel post successivo) è ormai evidente anche nei numeri l'annunciato aumento di attacchi diretti al furto delle informazioni personali, portati con l'intento di trarne profitto.
Di fronte a questo scenario di convergenza, le aziende non sono attualmente strutturate in modo adeguato dal punto di vista organizzativo per affrontare queste minacce ai dati personali. I dati statistici della ricerca dimostrano che le aziende più colpite da incidenti di sicurezza sono anche quelle caratterizzate da una povera collaborazione tra i tre gruppi oggetto dell'analisi (responsabili di sicurezza, protezione dati e marketing).
Non è carente solo la collaborazione tra questi gruppi in azienda: anche la percezione dei singoli gruppi su come operare relativamente alla protezione dei dati è nettamente diversa ed autonoma, a tutto discapito della possibilità di collaborare.
Sulla necessità di preservare o aumentare la reputazione e l'immagine di sicurezza dell'azienda sono invece tutti d'accordo: e questo dovrebbe aiutare i responsabili di sicurezza e privacy nell'ottenere maggiore attenzione sui temi della protezione dei dati.

Vi confesso che non vedo in queste considerazioni una vera e propria novità. Non fraintendetemi, il valore di questa ricerca è indubbio: mette nero su bianco dei fatti che possano far riflettere le aziende e aiutarle nelle loro decisioni. D'altra parte invece ritengo che chi abbia già avuto modo di affrontare la gestione della sicurezza in modo maturo e strutturato, "come si deve", dovrebbe già aver indirizzato questi aspetti e non dovrebbe scoprirlo adesso. La privacy è solo un aspetto specifico della sicurezza, relativamente alla protezione dei dati e in particolare delle cosiddette PII (Personal Identifiable Information). Se ci troviamo oggi a dire che stanno convergendo lo dobbiamo solo all'anomalo percorso storico che abbiamo vissuto. Prima abbiamo scoperto la necessità di fare sicurezza per difenderci dagli attacchi worm di scala mondiale: corsa organizzativa a formalizzare in azienda la funzione sicurezza (corsa su cui in Italia siamo ancora indietro). Poi (è il periodo attuale) abbiamo cominciato a dover rendere conto alla normativa nazionale sui temi della Privacy (in Europa prima che negli Stati Uniti, per la prima volta in controtendenza): corsa organizzativa a identificare il responsabile Privacy. Perché non capire subito che stavamo parlando di facce diverse della stessa medaglia ? Perché creare responsabilità in divisioni distinte ? Ovvio poi ritrovarsi con approcci distinti, povera collaborazione (se non conflitto e concorrenza...) e diversa percezione. In conclusione, la raccomandazione che mi sento di offrirvi è quella di fare sicurezza in azienda "come si deve" con la giusta attenzione da parte del top management e i dovuti investimenti (in base alle risorse da proteggere): questa attenzione top-down produrrà in modo naturale un approccio più organico sulla sicurezza all'interno dell'azienda e porterà benefici anche (ma non solo) sul tema della protezione dei dati, facilitando le parti coinvolte alla migliore collaborazione e alla condivisione di una strategia comune di difesa che va pensata dall'alto.