Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : 6.0 Data Security

Nuova alleanza strategica tra Microsoft e EMC RSA Security sulle tecnologie di Information Protection e Data Loss Prevention

Feliciano Intini — Thu, 04 Dec 2008 20:37:48 GMT

E' davvero notevole osservare come sia possibile che due aziende siano strenui concorrenti su alcuni ambiti (ad esempio sull'area della virtualizzazione, visto che VMWare è di EMC, o anche sulle stesse soluzioni di gestione dei certificati), e nonostante...(read more)

Alert: nuova diffusione di IM scam tramite Windows Live Messenger

Feliciano Intini — Mon, 07 Jul 2008 15:10:53 GMT

Abbiamo evidenza di una nuova diffusione di Instant Messaging scam tra gli utenti italiani di Windows Live Messenger : gli utenti potrebbero ricevere un messaggio dai propri contatti che riporta un link verso il sito imageswitch.info in questa forma "...(read more)

Nuova versione del mio super Microsoft Security Portal!

Feliciano Intini — Thu, 19 Jun 2008 12:29:50 GMT

Alla fine ce l'ho fatta! Era da tempo che contavo di rielaborare e aggiornare la mia personale super lista di blog e risorse Microsoft sulla security , lanciata nella versione 1.0 lo scorso ottobre, e battezzata, con molta modestia...;-)... Feliciano...(read more)

Video della Polizia Postale sul Grooming: da vedere e soprattutto da diffondere

Feliciano Intini — Tue, 11 Mar 2008 14:33:36 GMT

Sarà perché sono un papà, sarà perché mi occupo di sicurezza e comprendo che queste situazioni purtroppo non sono fiction ma reali, ma questo video mi ha dato un vero e proprio pugno allo stomaco: senza voler demonizzare Internet e la tendenza al social networking, che personalmente ritengo una fondamentale conquista dell'umanità perché ridanno centralità alle persone, è bene che tutti abbiano ben chiari i rischi che si nascondono dietro l'interazione personale ma non fisica e per di più anonima che è propria di questi strumenti, soprattutto nei confronti dei minori che sono meno attrezzati con una esperienza critica. Quindi, come ho avuto modo di dire rispondendo ad una domanda recente, dobbiamo porre maggiore cura nell'apprendere le caratteristiche di queste minacce che sono solo nuove espressioni di minacce purtroppo già presenti nella nostra vita di relazione reale. Questo video è efficacissimo per far capire come si sviluppano queste tecniche di adescamento in cui c'è un lento accerchiamento psicologico del minore (grooming) per guadagnare la sua fiducia: per fortuna che alla fine c'è un grandioso Giancarlo Giannini (che ovviamente ha prestato gratuitamente la sua interpretazione) che ci solleva e ci fa tornare la speranza di incastrare chi opera questi crimini. Un plauso alla Polizia Postale e al suo lavoro in questa opera di tutela.

Da diffondere in modo virale.

Fonte: MClips

Share this post :

Microsoft acquisisce la tecnologia U-Prove di Credentica!

Feliciano Intini — Thu, 06 Mar 2008 23:43:09 GMT

Ho assistito poco fa di persona alla sessione che il mitico Kim Cameron ha riservato per noi Microsoft Security Advisor e, per pura combinazione, questo incontro è avvenuto quasi contemporaneamente all'annuncio di Microsoft sull'acquisizione della tecnologia U-Prove di Credentica, acquisizione a cui Kim ha contribuito in modo determinante. E' stato davvero emozionante sentire dalla sua viva voce l'entusiasmo e la passione per quello che implica questa acquisizione per lo sviluppo e la piena realizzazione dell'Identity Metasystem. Come potete leggere dal suo post (una lettura da non perdere!), si parla addirittura di U-Prove come la tecnologia che sta agli aspetti di Privacy come la tecnologia di cifratura RSA sta a quelli di Security!! Messa in questi termini vuol dire che siamo di fronte ad una tecnologia fondamentale, di cui non si potrà fare a meno nel futuro. Se non avete già letto al riguardo, vi starete sicuramente domandando cosa sia questa meraviglia.

In estrema sintesi si tratta di una tecnologia di Minimal Disclosure: permette agli utenti di operare delle transazioni in modo tale da provare la propria identità ma senza fornire informazioni sulla propria identità (o fornendone un numero minimo, tale da garantire gli aspetti di privacy). Detta così sembra un ossimoro, una contraddizione in sé, ma ricorrendo alle "blinded signatures" è possibile realizzare matematicamente questo importante obiettivo (su questo articolo di Wired vi sono dettagli interessanti sugli studi alla base di questa tecnologia, come il Problema del Milionario).

Fino ad ora questa tecnologia non aveva ancora avuto una applicazione direttamente commerciale: l'interesse da parte di Microsoft e questa acquisizione permetteranno di inglobarla nello sviluppo delle nostre tecnologie che operano nell'ambito della gestione delle identità (a partire da Windows CardSpace).

Nei miei post su Windows CardSpace e l'Identity Metasystem non ero arrivato ad un livello di dettaglio tale da farvi apprezzare dove va ora a incastonarsi questa nuova tecnologia: ma se avete letto i miei post, la lettura del post di Kim vi chiarirà in modo semplice il miglioramento che viene acquisito con U-Prove.

Questa è davvero una PET, (Privacy-Enhancing Technology) e sarà interessante vederla all'opera, speriamo il prima possibile.

Share this post :

Rilasciato l'External Collaboration Toolkit for Sharepoint

Feliciano Intini — Wed, 05 Mar 2008 00:08:33 GMT

Da qualche giorno è stata rilasciata la versione finale di questo utilissimo toolkit di cui a gennaio vi avevo segnalato il relativo programma beta:

External Collaboration Toolkit for Sharepoint

Si tratta di una risorsa della serie "Solution Accelerators": risorse gratuite che combinano guide operative e strumenti per aiutare i clienti a progettare, realizzare e gestire (con il maggior livello di automatismo possibile) una serie di soluzioni basate su piattaforma Microsoft.

Come già vi avevo anticipato in breve, questo toolkit indirizza lo scenario tipico di molte aziende che hanno bisogno di creare una soluzione per collaborare con business partner esterni alla propria organizzazione, e in particolare di condividere con loro documenti particolarmente sensibili. Il toolkit vi aiuta a realizzare in poco tempo una soluzione basata su Microsoft Windows SharePoint Services 3.0 o Microsoft Office SharePoint Server 2007 in grado di separare tra loro i diversi ambiti di collaborazione/progetto e di separare la gestione delle utenze esterne da quelle interne tramite l'uso di una installazione di ADAM (Active Directory Application Mode).

Share this post :

Aggiornamento #3 al mio Microsoft Security Portal e nuovi security blog italiani

Feliciano Intini — Mon, 04 Feb 2008 03:59:59 GMT

Notte di aggiornamento alle pagine dei miei mini-portali tematici (che spero vi stiano tornando utili!).

Ho appena terminato di aggiungere nuove voci al mio personale Microsoft Security Portal (in questo post altri dettagli su come è organizzato): come al solito potete ritrovare le novità cercando la stringa "[UPD-08-03]" all'interno della pagina (trattandosi del 3° aggiornamento).

Ho poi aggiunto altri quattro blog alla mia lista di recensione dei security blog italiani, alla quale vi chiedo ancora di contribuire personalmente: come avevo proposto quando ho lanciato questa iniziativa, i vostri commenti possono servire sia a segnalare security blog italiani degni di nota non ancora elencati, sia a ribadire la vostra preferenza tra quelli già recensiti.

Slide del seminario Technet Expert sulla Microsoft Security Strategy e su Forefront

Feliciano Intini — Wed, 30 Jan 2008 13:07:34 GMT

Lo scorso 22 gennaio abbiamo ospitato nella sede Microsoft di Segrate l'evento Technet Expert Tour, interamente dedicato alle soluzioni Forefront, di cui vi avevo accennato in questo post (dove trovate i link ad una serie utile di risorse su questi argomenti). Speaker d'eccezione è stato Ronald Beekelaar, che ho trovato molto chiaro ed esauriente (...peccato dovermi subito assentare per attività urgenti). Io ho avuto la possibilità di fare una rapida (anzi rapidissima... vero?) overview della strategia di Microsoft sulla sicurezza. Soprattutto a beneficio di chi non è riuscito a venire, volevo segnalare che ora sono disponibili le slide Powerpoint di tutte le sessioni della giornata, compresa la mia.

Certo vi siete persi il gusto dell'ascolto live della mia cadenza tipicamente pugliese, ma tranquilli, non mancheranno nuove occasioni!

P.S. Se chi è stato presente volesse darmi un feedback ulteriore sulla mia sessione o sull'evento in generale sarei ben felice, anzi... Feliciano! (E' giornata di freddure, non ci fate caso...).

Disponibile la beta dell' Extranet Collaboration Toolkit for Sharepoint

Feliciano Intini — Tue, 15 Jan 2008 13:09:21 GMT

Un'altra segnalazione di un programma beta (trovo molto opportuna la crescente condivisione al pubblico dei progetti Microsoft in fase di completamento - prodotti/guide/soluzioni - voi che ne pensate? Le trovate utili? Se avete osservazioni fatemi sapere!). E' la volta di un applicativo e di un'area tecnologica che non avevo ancora avuto modo di toccare, Sharepoint e gli aspetti di Secure Collaboration.

Quanti di voi sanno cosa sia Sharepoint? Forse i lettori meno tecnici ignorano cosa sia e meritano un concetto sintetico a cui associare questo prodotto. Sharepoint è una applicazione server che è nata per semplificare la realizzazione di portali web interni (per la Intranet aziendale) per agevolare la condivisione documentale. Ben presto la sua immediatezza d'uso e la sua flessibilità ha fatto capire a Microsoft che questa soluzione poteva soppiantare i vecchi File Server (la nostra Intranet è ormai tutta Sharepoint-based) e diventare una piattaforma in grado di abilitare una serie notevole di nuove funzionalità: oltre alla gestione documentale (per esempio arrichita dalla gestione integrata con RMS per la cifratura e il policy enforcement), anche le attività di collaborazione, i workflow e la modulistica per supportare i processi aziendali, la ricerca delle informazioni (enterprise search). Da qui all'integrazione strategica con il client Office il passo è stato breve ed è avvenuto con la suite di Office 2007 e Microsoft Office Sharepoint Server 2007 (MOSS 2007). Per approfondire, consultate la home page Sharepoint su Microsoft Italia e il blog dell'amico Roberdan.

Il solution accelerator che vi segnalo, l'Extranet Collaboration Toolkit for Sharepoint, è stato pensato per aiutare le aziende ad abbandonare l'uso di email e instant messaging come strumenti potenzialmente poco sicuri per la condivisione dei documenti con realtà esterne (con l'Extranet appunto). Al link che vi ho fornito o nel post del team dei Solution Accelerator di Security/Compliance trovare il puntatore al sito Connect per scaricare e valutare la beta di questo toolkit, utilissimo!

Ancora sul furto ripetuto di account Windows Live ID, MSN, Hotmail, Messenger: anno nuovo, computer pulito!

Feliciano Intini — Mon, 31 Dec 2007 14:41:26 GMT

Ricevo ancora oggi un numero significativo di commenti al post in cui segnalavo come chiedere supporto in caso di account Windows Live ID rubato. Dopo quel post avevo poi ribadito la possibilità di contattare gratuitamente il servizio clienti di Microsoft per ottenere supporto in caso di problemi di virus e di sicurezza, soprattutto per tutti coloro che avevano urgenza di essere aiutati. Ma un elemento preoccupante di queste richieste di aiuto mi ha spinto a scrivere un nuovo post sull'argomento, nella speranza di potervi aiutare con questo serio problema della perdita delle credenziali di accesso ai vari servizi online, Windows Live ID, MSN, Hotmail, Messenger (ma il discorso vale anche per quelli non-Microsoft): la segnalazione del furto ripetuto delle credenziali, anche dopo la loro reimpostazione con l'aiuto del servizio clienti.

Desidero quindi aiutare i lettori meno tecnici con poche considerazioni, molto semplici, che li aiutino a capire come questo furto ricorrente possa avvenire e come possano porvi rimedio.

In estrema sintesi il furto delle credenziali delle vostre utenze può avvenire in due modi distinti:

Li avete incautamente forniti voi in modo esplicito ad alcuni siti Internet che vi promettevano in cambio servizi aggiuntivi (i più diffusi, per esempio, vi promettono di valutare e gestire il reale stato dei vostri contatti in Messenger).
Vi sono state rubate "in casa" (ossia sul vostro PC) grazie all'esecuzione di virus/malware che avete eseguito inconsapevolmente (e/o anche installato sul vostro PC in modo permanente) mentre navigavate in Internet o leggevate la posta o chattavate in Messenger.

Capite da soli che per il caso 1 il furto difficilmente potrà ripetersi a meno che non siate stupidamente recidivi a commettere l'errore di ridare la password a siti terzi. Se invece il furto è avvenuto "in casa" e il ladro è ancora nascosto lì (leggi: il malware che vi ruba le credenziali è ancora sul vostro PC), potreste continuare all'infinito a reimpostare la password, tanto c'è qualcuno che spia (leggi: spyware) continuamente le vostre azioni e può scoprire tutte le nuove credenziali reimpostate.

Detto questo posso ora enunciare un principio molto importante riguardo agli aspetti di sicurezza legati alla compromissione dei sistemi:

Se il vostro computer è stato compromesso da una infezione di malware o da un attacco di utenti non autorizzati, l'unico modo per garantire il totale recupero del controllo del vostro PC è la reinstallazione pulita del sistema operativo e dei suoi programmi.

Comprendo benissimo che sia un principio molto fastidioso e scocciante da mettere in pratica, ma in diverse situazioni è un male necessario e l'unico in grado di risolvere alla radice i diversi problemi che derivano da una infezione. Per chi volesse documentarsi meglio e con più dettagli su questo principio e sui consigli da adottare in questi casi vi riporto due importanti risorse:

Un articolo del sito Technet "Help: I Got Hacked. Now What Do I Do?"
Una checklist del CERT: "Recovering from a Trojan Horse or Virus"

Come leggerete da questi semplici articoli, si può anche tentare di ripulire il vostro PC ricorrendo ad antivirus e antispyware di tutti i tipi, ma la soluzione ultima, definitiva, è quella di armarsi di buona volontà e del CD di installazione del sistema operativo, salvare i dati e farsi un inventario dei programmi che volete reinstallare (possibilmente limitatevi a quelli davvero necessari), e procedere alla reinstallazione del sistema con tanto di riformattazione del disco fisso: se non sapete farlo da soli fatevi aiutare da qualcuno che conoscete, ma fatelo!

Come succede a S.Silvestro per le altre cose vecchie, fatelo anche per il PC: puliziaaaaa!!! Anno nuovo, computer pulito!

Auguro un anno fantastico (e virus-free!) a tutti voi!

My super Microsoft Security Portal

Feliciano Intini — Fri, 28 Dec 2007 21:19:56 GMT

Ho approfittato di queste ferie per aggiornare la pagina web in cui sto raccogliendo TUTTE le risorse Microsoft sul tema Security. Ero partito con la raccolta dei soli Security Blog, ma come si sa l'appetito vien mangiando e ho aggiunto strada facendo altre risorse. A questo punto la pagina stava diventando di difficile lettura e ho quindi pensato di aggiungere un codice all'inizio di ogni voce che identifica il tipo di risorsa:

(B)=Blog: è un blog del team di prodotto non focalizzato solo sul tema sicurezza.
(SB)=Security Blog: è un blog di un prodotto/tecnologia/soluzione di sicurezza.
(W3)=Web Page: pagina web del dominio microsoft.com dove trovare i contenuti di sicurezza sul particolare argomento.
(WP)=White Paper: documenti di approfondimento di particolare rilievo.
(BK)=Security Book: libri di sicurezza sulla piattaforma Microsoft.

Approfittando dell'opera di maquillage, ho pensato fosse utile aggiungere anche la lista dei guru di Microsoft esperti di sicurezza (è in cima alla pagina web).

Per poi agevolarvi la ricerca delle risorse che aggiungerò man mano ho previsto di segnalare le voci nuove appendendo in fondo una notazione del tipo [UPD-08-##]: in questo modo ogni volta che tornate a leggere questa pagina vi basterà cercare le voci etichettate con l'ultimo update per trovare le ultime aggiunte.

Perdonatemi se etichetto con "super" questo personalissimo Microsoft Security Portal: nonostante sia un semplice lavoro di catalogazione, sembra essere così utile che sta ricevendo un plauso da tutta la Microsoft (worldwide!!) interessata agli aspetti di security, evidentemente c'era bisogno di fare un po' d'ordine ;-)))).

Ancora Social Engineering: attenti al Lottery Scam

Feliciano Intini — Thu, 20 Dec 2007 19:23:00 GMT

Le feste si avvicinano (per fortuna!!!) e siete sicuramente avvolti come tutti da quella magica atmosfera tipicamente natalizia, di ricerca regali, organizzazione di cene e di momenti di convivialità per stare insieme e giocare. Già, giocare: non so se ci avete mai fatto caso, ma il gioco ha un ruolo centrale in questo periodo. Sarà per l'essere cresciuti in mezzo a mega-tombolate familiari, sarà perché siamo cresciuti sperando nel regalo da parte di Gesù Bambino o Babbo Natale, sarà per le credenze cabalistiche dell'anno che viene e quello che va con alterne fortune (e con la doverosa speranza di un riscatto), ma in questo periodo ci ritroviamo particolarmente predisposti alla scommessa facile, alle lotterie di tutti i tipi (nazionale, aziendale, parrocchiale, equo/socio solidale...) con una irrazionale certezza di avere grandi possibilità di realizzo nonostante la probabilità di vincere sia prossima allo zero in molti di questi casi, giustificandosi con un: " ...qualcuno dovrà vincere... perché non io?". Io stesso non sono da meno, e spendo mediamente di più in questo periodo per una legittima fettina di sogno...

Dove vi voglio condurre con queste considerazioni? A farvi riflettere sul fatto che questo nostro atteggiamento psicologico, anche se legittimo e giustificato, ci rende vulnerabili e questo, tipico caso di attacco Social Engineering, si traduce nella presenza di qualcuno che cerca di sfruttare questa nostra debolezza per truffarci e rubarci dei soldi: è il caso delle cosiddette Lottery Scams, di cui ha trattato ieri anche un articolo su Corriere.it. In che cosa consistono? Le potenziali vittime ricevono delle email truffa che dichiarano (in modo falso) di provenire da ben conosciute e blasonate società di Lotterie in cui si segnala la molto probabile o addirittura certa vincita di un consistente premio in denaro. Alcuni esempi di queste email:

La truffa consiste nel fatto che per poter incassare la vincita vi chiedono di solito un piccolo contributo in denaro, o delle informazioni sensibili (tipo carta di credito/numero di conto corrente per l'accredito): quale tremenda tentazione poter pagare una piccola cifra in cambio di una certa (???) stravincita (a cui stranamente non hai chiesto di partecipare!!!) che ti può cambiare la vita? Come nel caso del phishing, più ampio è il raggio di utenti a cui si invia questa esca, più alta è la probabilità che qualcuno abbocchi, fino al caso riportato dal video del signore inglese che ha testimoniato in anonimato di aver perso circa 60.000 euro con questo tipo di truffa.

Spero vi sia chiaro che non vi sia oggi alcuna tecnologia in grado di proteggere completamente da questo tipo di attacchi: alle necessarie evoluzioni tecnologiche per ridurre il grado di incertezza rispetto al quale si viene a trovare l'utente quando riceve queste email, si deve assolutamente affiancare una costante opera di spiegazione di come evolvano questo tipo di minacce, come giustamente spiegato in modo congiunto nell'articolo del Corriere dal direttore Masciopinto (Polizia Postale) e dal responsabile delle Relazioni Esterne di Microsoft Italia, il caro Carlo Rossanigo.

Ricordate poi che anche voi potete contribuire al miglioramento di questa cosiddetta security awareness: in ogni occasione opportuna, diffondete queste informazioni e segnalate le risorse web (come il mio post, ;-) dove poter acquisire più dettagli (mi raccomando, senza fare spam!).

La fine delle password è vicina? Iniziamo ad usare le Information Card con CardSpace su Windows Live ID

Feliciano Intini — Tue, 18 Dec 2007 14:44:18 GMT

Un paio di articoli recenti ha riproposto la validità ed attualità della domanda nel titolo: la fine delle password è vicina? Il primo segnalava l'annuncio stampa della società russa Elcomsoft che dichiarava di essere riuscita a moltiplicare per circa 25 volte la potenza di brute force cracking delle password (ricordo per i non addetti ai lavori che si tratta dell'attacco diretto a scoprire una password provando tutte le possibili combinazioni) grazie all'uso combinato della CPU del PC e del microprocessore presente sulle comuni schede grafiche, con il risultato di poter scoprire una password di 8 caratteri generati a caso in circa 3-5 giorni di calcolo. Il secondo riportava l'annuncio di un ricercatore che dichiarava di aver utilizzato una PS3 per scalare tale potenza di calcolo fino al punto di poter scoprire una password di 8 caratteri in sole poche ore.

Di fronte a questi dati tecnici, la risposta al quesito iniziale è scontata: è tempo (in realtà è già molto tardi...) di abbandonare l'uso delle password laddove possibile! Non che le password siano un male di per sé, ma utilizzate male (leggi: crearle in modo che non siano adeguatamente lunghe e complesse) e nelle situazioni che le espongono al possibile furto da parte di malintenzionati è ormai un rischio troppo elevato (come le numerose segnalazioni che giungono costantemente a questo mio post sul furto di credenziali Windows Live).

Avendo letto il secondo articolo sul blog di Kim Cameron, ho fatto 2+2 e ho pensato utile segnalarvi un primo modo per intraprendere questo cammino virtuoso lontano dall'uso delle password: l'utilizzo delle Information Card per il logon ai servizi Windows Live.

Chi ha Windows Vista ha già tutto l'occorrente necessario e in un minuto (seguento le indicazioni del link precendente) si ha la possibilità di associare alla propria utenza Windows Live ID una delle Information Card presenti in Windows CardSpace (o se ne crea una al volo, anche vuota) sul vostro PC, per poi operare l'accesso ai servizi Windows Live semplicemente selezionando "Information Card" (dal menù a tendina come vi mostro nella figura) e cliccando il tasto "Sign in" senza digitare nessuna password!!!

Incominciate a gustare la semplicità d'uso e l'immediatezza di questo nuovo meccanismo di autenticazione (anche coloro che non avessero Windows Vista possono utilizzarlo: nello stesso post ci sono indicazioni in merito).

Repetita juvant: nuova diffusione di email "bufala/hoax"

Feliciano Intini — Wed, 05 Dec 2007 20:22:40 GMT

Il gruppo di sicurezza che ho il piacere e l'onore di coordinare, il Premier Center for Security (PCfS), svolge di fatto all'interno della filiale italiana di Microsoft anche un ruolo di "Osservatorio Vulnerabilità & Malware" dal momento che viene interpellato per chiedere chiarimenti su eventuali segnalazioni di malware, vulnerabilità e incidenti di sicurezza ricevuti da clienti, partner, amici e (soprattutto ;-) parenti. In quest'ottica un aumento di richieste su temi ricorrenti è sufficiente per farci capire che ci sono fenomeni di diffusione a livello nazionale di una certa rilevanza e che, quindi, può essere utile condividerle con voi.

La problematica che ricorre in questi giorni è la richiesta di chiarimenti su due email di spamming che tirano in ballo Microsoft: sono due email "bufala" (hoax in inglese), ossia email fasulle, assolutamente prive di fondamento. In entrambi i casi si tratta di email vecchissime, nate diversi anni fa, e che si ripresentano in circolazione con una certa regolarità, proprio come avviene a volte per le infezioni di malattie reali come l'influenza ...

la prima email vi avvisa di una fantomatica email che si presenta come un "invito" la cui apertura scatena una torcia olimpica in grado di "bruciare" l'intero hard-disk ... virus addirittura "annunciato dalla CNN" e "classificato dalla Microsoft come il virus più distruttivo che sia mai esistito fino ad oggi". Trovate la email completa a questo link di Paolo Attivissimo, notissimo "ricercatore di bufale".
La seconda email proclama di farvi guadagnare bei soldi se contribuite alla promozione di Internet Explorer inoltrando la email a quanti più conoscenti possibile, grazie ad una fantomatica capacità di Microsoft di controllare le email spedite, conteggiarle e spedirvi l'assegno relativo !!!! La email completa a questo link.

Il principio di chi lancia queste cosiddette "catene di S.Antonio", anche se vecchie e già viste (e riviste, diverse volte), è proprio lo stesso delle malattie reali: cercare di colpire coloro che non hanno gli "anticorpi" e le vedono per la prima volta. Ecco quindi l'utilità di parlarvi di questo fenomeno delle email "bufala/hoax" anche se per gli addetti ai lavori in area sicurezza è un aspetto arci-noto: riparlarne "vaccina" chi legge, aumenta la sua consapevolezza delle possibili minacce, e lo aiuta a proteggere se stesso e tutti coloro che si è in grado di aiutare con un consiglio. Paolo Attivissimo, che vi ho segnalato poco fa, ha spiegato in modo egregio perché è nella natura umana cascare in queste trappole, e perché si deve spezzare tali catene.

Come agire di fronte alla ricezione di una email dai contenuti dubbi ricevuta (tipicamente) da un amico fidato o persona autorevole? Se proprio volete valutare la sua serietà (e non cestinarla ad occhi chiusi come fanno i più esperti...) non dovete far altro che investire 1 minuto in più rispetto ai 2 minuti che avete già perso nel leggere tale email e cercare su Internet le parole chiave che la identificano (nei due casi precedenti bastava "torcia" e "virus", "Microsoft" e "assegno", magari anche usando "bufala" o "hoax" in aggiunta), per scoprire quanto la bufala sia già nota e diffusa.

Per le email che coinvolgono direttamente Microsoft o dichiarano di provenire da Microsoft, vi ricordo la pagina web con altri spunti utili (come verificare l'autenticità di un messaggio Microsoft sulla protezione) e vi consiglio di visitare la nostra homepage sicurezza di Microsoft Italia che potrà segnalare eventuali avvisi dell'ultim'ora.

Importanti conferme dal report SANS Top-20 2007 sull'evoluzione dei Security Risks

Feliciano Intini — Fri, 30 Nov 2007 19:18:48 GMT

Il report SANS Top-20 è storicamente una delle più importanti risorse nelle mani del professionista di sicurezza per apprendere l'evoluzione delle minacce dirette ai sistemi informatici. Deve il suo nome "Top-20" al fatto che quando è stato stilato nella sua seconda versione (nel 2001) comprendeva la lista delle 20 vulnerabilità considerate più critiche (la prima versione del 2000 aveva una lista di solo 10 vulnerabilità). Negli anni poi il report ha evoluto la sua struttura, con la suddivisione delle vulnerabilità più critiche (che nel tempo sono aumentate) in una serie di categorie: Client-side Vulnerabilities, Server-side Vulnerabilities, Security Policy & Personnel, Application Abuse, Network Devices, Zero Day Attacks.

Nella versione del report appena pubblicato per il 2007, "SANS Top-20 2007 Security Risks", la sintesi dell'analisi è molto chiara e desidero riportarvela nella versione originale (estratta dal relativo Executive Summary):

"The cyber arms race continues. Cyber criminals and cyber spies have shifted their focus again, successfully evading the countermeasures that most companies and government agencies have worked for years to put into place. Facing real improvements in system and network security, the attackers now have two new prime targets that allow them to evade firewalls, antivirus, and even intrusion prevention tools: users who are easily misled and custom-built applications. This is a major shift from prior years when attackers limited most of their targets to flaws in commonly used software"

In questa sintesi e nel report di dettaglio ci sono molte conferme alle diverse considerazioni che ho già avuto modo di condividere, sia quando ho parlato dei principi di Security Governance, che del recente Microsoft Security Intelligence Report v3:

I reali miglioramenti dei sistemi operativi ("Operating systems have fewer vulnerabilities that can lead to massive Internet worms")e della sicurezza di rete, che portano chi attacca a cercare nuovi punti deboli, ora identificati nella:

poca robustezza della sicurezza applicativa del software realizzato in casa, e l'urgenza di un processo come il SDL: "Until colleges that teach programmers and companies that employ programmers ensure that developers learn secure coding, and until those employers ensure that they work in an effective secure development life cycle, we will continue to see major vulnerabilities in nearly half of all Web applications."
Debolezza degli utenti nei confronti degli attacchi di social engineering, anche in virtù dell' aumento di attacchi verso il client: "Today it is equally important, perhaps even more important, to prevent users having their computers compromised via malicious web pages or other client-targeting attacks"

Necessità di continuare a fare attività di hardening: "The default configurations for many operating systems and services continue to be weak and continue to include default passwords"
L'urgente attenzione verso la Data Protection: "it is now critical to check the nature of any data leaving an organization's boundary"

Gli altri spunti del report sono davvero tanti, e possono aiutare concretamente nell'analisi di rischio che ogni azienda dovrebbe realizzare in modo costante, quindi buona lettura!