Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Security Development Lifecycle (SDL)

Rilascio straordinario di sicurezza Microsoft del 28 luglio 2009: prime indicazioni e raccomandazioni

Feliciano Intini — Tue, 28 Jul 2009 21:47:28 GMT

Eccomi qui, come anticipato , a spiegarvi il rilascio straordinario appena pubblicato di questi due bollettini Microsoft ( MS09-034 e MS09-035 ) e del relativo “ Microsoft Security Advisory (973882) - Vulnerabilities in Microsoft Active Template Library...(read more)

Pubblicato l’SDL Process Template

Feliciano Intini — Tue, 26 May 2009 19:33:45 GMT

[English version below: " SDL process template " ] Finalmente uno strumento per passare dalla teoria alla pratica: questo SDL Process Template gratuito per Visual Studio Team System vi permette di integrare gli aspetti del processo Microsoft...(read more)

Ecco il bollettino straordinario MS08-078 su IE, ed alcune considerazioni sullo scenario di rischio

Feliciano Intini — Thu, 18 Dec 2008 04:19:42 GMT

Puntuale rispetto al preavviso, stasera Microsoft ha rilasciato il bollettino straordinario " MS08-078 - Security Update for Internet Explorer (960714) ". L'analisi di rischio è presto fatta (anche perché la maggior parte dei dettagli importanti è stata...(read more)

BlueHat v8: ecco i video delle sessioni e delle interviste

Feliciano Intini — Tue, 02 Dec 2008 14:03:02 GMT

Come il nome dell'evento potrà farvi intuire, il BlueHat Security Briefing è una sorta di BlackHat che si svolge in casa Microsoft, una conferenza interna in cui si confrontano e si incontrano i migliori professionisti di sicurezza di Microsoft e i migliori...(read more)

Pubblicati i 3 programmi di condivisione con i clienti del Microsoft Security Development Lifecycle (SDL)

Feliciano Intini — Mon, 10 Nov 2008 17:13:52 GMT

Oggi, in occasione dell'evento Microsoft Tech-Ed 2008 Developer , sono stati pubblicati i 3 programmi che vi avevo annunciato a settembre: Microsoft avvia nuovi programmi per condividere il Security Development Lifecycle (SDL) con i clienti In particolare:...(read more)

“Sicurezza, open source, codice proprietario, interoperabilità” alla 2a Giornata della sicurezza in Sardegna

Feliciano Intini — Mon, 03 Nov 2008 13:56:14 GMT

Mercoledì prossimo, 5 novembre 2008, sarò ospite della seconda edizione della " Giornata della sicurezza informatica in Sardegna ", organizzata da Sardegna Ricerche e dal Lab. Intelligenza d'ambiente di Sardegna DistrICT . Come riporta...(read more)

Analisi di rischio del bollettino straordinario di sicurezza Microsoft MS08-067 relativo al servizio Server di Windows

Feliciano Intini — Thu, 23 Oct 2008 22:04:20 GMT

E' stato rilasciato il bollettino di sicurezza Microsoft straordinario (Out-of-Band) " MS08-067 - Vulnerability in Server Service Could Allow Remote Code Execution (958644) ". Come indicato dal titolo, esso provvede a correggere una vulnerabilità...(read more)

Nuova certificazione ISC2 sulla sicurezza nello sviluppo del software: Certified Secure Software Lifecycle Professional (CSSLP)

Feliciano Intini — Fri, 26 Sep 2008 19:52:51 GMT

L'ennesima riprova dell'importanza fondamentale nell'adozione di processi di sviluppo di codice sicuro: ISC2 ha annunciato la realizzazione di una nuova certificazione di sicurezza dedicata a tutti i professionisti (non solo sviluppatori, ma anche project...(read more)

Microsoft avvia nuovi programmi per condividere il Security Development Lifecycle (SDL) con i clienti

Feliciano Intini — Thu, 18 Sep 2008 15:49:44 GMT

Dalle parole ai fatti. Ecco il primo pensiero che ha fatto capolino quando ho appreso di queste iniziative. Ho parlato spesso, anche su questo blog , del forte impegno di Microsoft nel rendere il Security Development Lifecycle un modello che ogni cliente...(read more)

Black Hat 2008: Microsoft Security Vulnerability Research (MSVR)

Feliciano Intini — Mon, 08 Sep 2008 17:23:29 GMT

Riprendendo il filo da dove l'avevo interrotto (scappando in ferie ;-) mi restava da condividere l'ultimo annuncio fatto da Microsoft in occasione del Black Hat 2008 , che, tra l'altro, non mi sembra sia stato ripreso da altre fonti informative: Microsoft...(read more)

Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection

Feliciano Intini — Wed, 25 Jun 2008 11:47:36 GMT

Due mesi fa vi avevo parlato di nuove ondate di attacchi di tipo SQL Injection , poi un mese fa ho ritenuto utile riaccennare al problema durante il video-editoriale su SQL Server (per chiarire che questo tipo di attacchi non sfruttano specifiche vulnerabilità...(read more)

Ancora sulla presunta superiorità del software Open Source nella gestione delle vulnerabilità: un bug fossile e il lancio di oCERT

Feliciano Intini — Wed, 14 May 2008 17:13:02 GMT

Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti letti in questi giorni mi spingono a riprendere il tema del confronto sugli aspetti di sicurezza tra Windows e il software Open Source. Questi due articoli, a mio parere, confermano le considerazioni che ho fatto in un mio post recente (che ha ovviamente scatenato un picco di commenti...) in cui confutavo quello che continuo a sentire come uno dei motivi principali, se non addirittura l'unico motivo di chi proclama la presunta superiorità del software Open Source in area sicurezza: l'ispezionabilità del codice come garanzia di minori vulnerabilità. Scusatemi se mi cito da solo, avevo detto:

"...con tutto il rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene."

Eccovi i due articoli che supportano il mio punto di vista:

Developer reveals 25 year old software bug

A Swiss developer seems to have confounded the theory that open source software is the quickest to be patched, by revealing a bug in the BSD software distribution which has remained unpatched for at least 25 years. Advocates of open source software argue that because of the large number of people working on such projects, bugs are quicker to spot and patch. But developer Marc Balmer's efforts have seemingly proved the opposite. He reported the filesystem bug in his blog on Saturday. "Much to my surprise, I not only found this problem in all other BSDs or BSD-derived systems like Mac OS X, but also in very old BSD versions," Balmer wrote. "The bug has been around for roughly 25 years or more."

E' solo uno spunto per sorridere e riflettere: non sto dicendo che anche nella piattaforma Windows non vi siano bug fossili come questo, ma davvero, siamo tutti nella stessa barca...

Per strapparvi un altro sorriso: non mi venite a dire che lo sviluppatore ha segnalato questa scoperta perché sotto sotto è il cugino di Steve Ballmer visto il cognome che si ritrova...

Il secondo articolo è relativo al lancio dell'iniziativa oCERT (Open Source Computer Emergency Response Team):

Response team boosts open-source security

IT managers often assume that open-source software is more secure than proprietary commercial software. Anyone who uses open source can examine the original code to spot any lurking vulnerabilities, and potentially even fix the vulnerabilities themselves. With proprietary software, you have to trust the vendor to do it all for you. But open source's supposed security advantage assumes three things: 1) someone is actually looking at the code, 2) security vulnerabilities are getting reported and fixed, and 3) information about those fixes makes its way to Linux distributors and other software vendors, which apply the fixes to their products. But what things aren't happening? As a customer, how can you be sure?

Se si riconosce la necessità di una iniziativa come l'oCERT per consolidare centralmente le segnalazioni delle vulnerabilità e agevolare l'inserimento delle relative correzioni in tutte le possibili distribuzioni si sta implicitamente ammettendo che il processo di gestione delle vulnerabilità del modello collaborativo Open Source così come è ora non è poi così infallibile e garanzia di maggiore sicurezza...

Quindi, intanto sono benvenute le iniziative come l'oCERT che contribuiscono a migliorare i processi tipo SDL anche in ambito Open Source, e se qualcun altro mi parla di "many eyeballs lead to secure code"... lo prendo a morsi!

Share this post :

Nuova ondata di attacchi SQL Injection/iFrame: l'importanza della sicurezza applicativa e del security patching

Feliciano Intini — Mon, 28 Apr 2008 17:05:02 GMT

La blogosfera "sicura" (nome scherzoso con cui identifico l'insieme di blog/e-magazines in tema sicurezza che cerco di leggere quotidianamente) ha già ampiamente battuto questa notizia, e quindi dovreste essere già tutti consapevoli di quanto sto per riportarvi, ma in questo caso ho deciso che fosse giusto il "melius abundare" e unirmi al coro per ribadire alcuni concetti forse ovvi ai più esperti ma indubbiamente utili per comprendere come si sta evolvendo lo scenario di rischio su Internet.

E' in corso una nuova ondata di attacchi SQL Injection/iFrame che sta coinvolgendo progressivamente alcune centinaia di migliaia di siti web.

Intanto è importante sottolineare, come già fatto dal blog del MSRC, che questi attacchi non stanno sfruttando la vulnerabilità segnalata nel recente security advisory e tanto meno stanno sfruttando vulnerabilità già note relative alla piattaforma Microsoft (e quindi già corrette, con tanto di security patch risolutiva già disponibile): gli attacchi sono di tipo SQL Injection, come ribadito dal post sul blog di IIS al riguardo (dove potete trovare una ricca serie di link di approfondimento alle best practice di protezione rispetto a questo tipo di problematiche).

Questo mi porta a fare la prima considerazione: l'importanza fondamentale della sicurezza applicativa rispetto all'evoluzione del cosiddetto Web 2.0. Come riportato dal post di F-Secure, l'aumento di soluzioni web che accettano dei dati in ingresso direttamente forniti dagli utenti (blog, forum di discussione, moduli di feedback, e così via...) e il contemporaneo utilizzo dei server SQL nel backend di tali soluzioni, espone inevitabilmente ad attacchi di SQL injection se tali dati non vengono verificati prima di essere memorizzati. Quindi non basta aggiornare i sistemi web server con le patch di sicurezza di TUTTO il software che ci gira su: è doveroso anche assicurarsi di aver scritto codice sicuro per tutto il codice custom che viene eseguito da tali web server. Questo per quanto riguarda le responsabilità degli amministratori dei web server.

Guardiamo poi in breve alla dinamica con cui si sviluppano questi attacchi (descritta con qualche dettaglio in più dagli ultimi due post del blog di Panda Security, qui e qui): la compromissione dei web server di cui detto si realizza con l'aggiunta di uno script a tutte le pagine web; il malcapitato utente che atterra su questi siti che ritiene sicuri (mentre sono stati "infettati") esegue lo script e viene dirottato inconsapevolmente verso alcuni siti web sotto il controllo di questi pirati informatici (fino ad ora si segnalano 3 domini, nmidahena.com, aspder.com e nihaorr1.com che sarebbe utile filtrare sui vostri proxy). Tali siti eseguono del codice che è in grado di installare del malware sul vostro computer se questo viene trovato vulnerabile ad una serie di vecchie vulnerabilità per cui esiste già la patch (un esempio di quelle che sembrano essere utilizzate: MS06-014, MS07-004, MS07-018, MS07-033, MS07-055).

Seconda considerazione: il security patching urgente è una best practice che non si deve abbandonare mai. Per le aziende questo vuol dire dotarsi di processi di patch management che non siano ostacolati da troppa burocrazia e di strumenti che abilitino alla distribuzione rapida ed estesa degli aggiornamenti di sicurezza. Per gli utenti finali questo vuol dire assicurarsi di aver abilitato l'automatismo degli aggiornamenti di sicurezza, sia per i prodotti Microsoft che per tutti quelli che lo prevedono (e di operare una revisione periodica del livello di aggiornamento di quelli che non lo prevedono: esempio, WinZip). Un PC perfettamente aggiornato non è attaccabile in modo silente e l'unico rischio residuo rimane quello del consenso da parte dell'utente all'installazione di quanto questi siti pericolosi possano proporre in modo più o meno subdolo.

Share this post :

Analisi di rischio sui Bollettini di sicurezza Microsoft - aprile 2008

Feliciano Intini — Wed, 09 Apr 2008 02:05:08 GMT

L'emissione dei bollettini di questo mese, anche se risulta corposa con i suoi 8 bollettini che risolvono un totale di 10 vulnerabilità, si presenta con caratteristiche di insieme che non rendono lo scenario di rischio diverso dal livello medio (e sinceramente non particolarmente preoccupante) a cui Microsoft ci ha abituato da diversi mesi a questa parte: tutte le vulnerabilità risolte non erano note prima di questo rilascio e nessuna presenta caratteristiche tali da permettere la realizzazione di malware di tipo worm. Inoltre, come già accennato nel preavviso di venerdì scorso, il minor impatto delle versioni più recenti di Windows continua a confermare la validità del processo di Security Development Lifecycle (SDL) di revisione del codice dal punto di vista della sicurezza:

Windows Server 2008 e Windows Vista SP1 interessati da 4 bollettini
Windows Vista RTM interessato da 5 bollettini
Windows XP, Windows Server 2003 e Windows 2000 interessati da 6 bollettini.

Due aspetti meritano di essere segnalati questo mese:

il bollettino MS08-023 rappresenta l'inizio di un nuovo approccio: a partire da questo mese le modifiche dei Kill Bit relativi a controlli ActiveX vulnerabili sia di Microsoft che di terze parti non saranno più incluse nel tipico bollettino cumulativo di Internet Explorer ma distribuiti in un aggiornamento separato che sarà a sua volta cumulativo d'ora in avanti. In questo modo si agevola il cliente nella gestione dei test di compatibilità applicativa e si contribuisce al miglioramento degli aspetti di sicurezza dell'ecosistema delle aziende partner grazie alla possibilità di utilizzare in modo più esteso gli automatismi di aggiornamento per distribuire le segnalazioni di vulnerabilità anche di ActiveX relativi a prodotti non-Microsoft.
il bollettino cumulativo di Internet Explorer (MS08-024) presenta una importante modifica di funzionalità: è stato introdotto l'Automatic Component Activation per rimuovere il comportamento (fastidioso) che richiedeva agli utenti di cliccare sui controlli ActiveX di una pagina web prima di poterli effettivamente utilizzare (modifica introdotta nell'aprile 2006).

Maggiori dettagli sulle vulnerabilità:

MS08-018 su Project: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Project malformati ad-hoc. Le versioni più recenti di Project non sono interessate da questa vulnerabilità.
MS08-019 su Visio: due vulnerabilità di tipo Remote Code Execution che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Visio (per la prima vulnerabilità) e di file di Autocad di tipo .DFX (per la seconda vulnerabilità)malformati ad-hoc. La severity aggregata è Important.
MS08-020 sul DNS Client di Windows: una vulnerabilità Important di tipo Spoofing che permetterebbe di inviare al sistema sotto attacco delle risposte DNS malformate in modo tale da dirottare il traffico Internet verso sistemi illegittimi. Windows Vista SP1 e Windows Server 2008 non sono interessati da questa vulnerabilità.
MS08-021 sul componente GDI di Windows: due vulnerabilità Critical di tipo Remote Code Execution che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di immagini di tipo WMF/EMF (per la prima vulnerabilità) e di immagini di tipo EMF (per la seconda vulnerabilità) malformate ad-hoc.
MS08-022 su VBScript/JScript di Windows: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato, con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco. Windows Vista e Windows Server 2008 non sono interessati da questa vulnerabilità.
MS08-023 sull'ActiveX hxvz.dll in Windows e sull'ActiveX di Yahoo! Music Jukebox: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato, con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.
MS08-024 su Internet Explorer in Windows: classica cumulativa che risolve una vulnerabilità Critical di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato e con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.
MS08-025 sul Kernel di Windows: una vulnerabilità Important di tipo Elevation of Privilege che permetterebbe, ad un utente con valide credenziali di logon sul sistema Windows, di eseguire un'applicazione ad-hoc in grado di essere eseguita con i massimi privilegi.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :

Quale, tra Windows, Mac OS e Linux, è il sistema più sicuro?

Feliciano Intini — Tue, 01 Apr 2008 15:36:47 GMT

Il mio post di ieri sulle problematiche di sicurezza di Apple e quello letto oggi su Punto Informatico, hanno riacceso l'idea che vi avevo lanciato nel mio post di Natale, quando vi promettevo che vi avrei parlato della inconfrontabilità tra i sistemi operativi che competono tra loro sul mercato, ora essenzialmente Windows, Mac OS e Linux. All'inizio della mia esperienza in Microsoft, da puro tecnico e con la testa ancora presa dal sacro fuoco della teoria accademica, non capivo bene perché non si affrontasse il raffronto tra sistemi operativi concorrenti in termini strettamente tecnici e di architettura, e di confronto di funzionalità di sicurezza. Dopo un po' di anni a lavorare sul fronte e in trincea sugli aspetti di sicurezza, a fianco dei clienti (grandi clienti, con reparti IT sterminati...) impegnati ad usare realmente i prodotti Microsoft per realizzare soluzioni di business, ho piano piano capito perchè il mio punto di vista iniziale, "da smanettone", era limitato.

Tra parentesi, ci tengo a farvi presente che è proprio questo atteggiamento limitato da semplice smanettone, che vede il suo mondo iniziare e finire al solo computer (o ai soli computer) che ha a casa nello suo piccolo (o grande) laboratorio, che è spesso alla base delle guerre di religione a cui assistiamo... (Ho la massima ammirazione per gli smanettoni di questo tipo, ma spesso è proprio da alcuni di loro che vedo un atteggiamento ottuso di guerra preconcetta...)

Vi riporto le tre considerazioni importanti che sono alla base della mia idea di essenziale inconfrontabilità, parzialmente emerse anche da alcune considerazioni che condivido dell'articolo di Annunziata su Punto Informatico (ci sono anche diverse considerazioni che non condivido, ma su queste ci torno su a breve...;-).

Lo scenario di rischio che vivono i diversi sistemi operativi concorrenti è profondamente diverso in virtù della diversa quota di mercato e della diversa appetibilità dei dati da carpire. Si può confrontare un sistema operativo client adottato da milioni di utenti con altri diffusi molto molto meno? Non credo proprio. L'interesse da parte di chi intende attaccare è per forza orientato verso le piattaforme più diffuse e che possono far ottenere maggior guadagno con minor investimento possibile in termini di ricerca. L'attenzione e la ricerca di vulnerabilità è per forza sbilanciato verso la piattaforma Microsoft che ha un mercato molto molto più appetibile.

Altra piccola parentesi: è bene anche tener presente che (ed è uno dei trend attuali più importanti) quando l'intento diventa criminale e l'approccio professionista per puntare alla compromissione di un sistema ben focalizzato, non c'è piattaforma o investimento che tenga... il gioco di attacco/difesa è molto più arduo ed estremo...

Intanto una considerazione su questo punto: il fatto che la piattaforma Microsoft sia nell'occhio del ciclone più di altri non sempre è un punto a sfavore. Sono convinto che la massiccia diffusione dei sistemi e l'estrema attenzione di chi cerca di bucare Windows siano la migliore piattaforma di security testing che ci sia, molto molto meglio della famosa "many eyeballs lead to secure code" cara ai sostenitori open source. Fatemi dire una volta per tutte cosa penso al riguardo: con tutto il rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene.

La fruibilità da parte degli utenti meno tecnici e la gestibilità dei computer in ambienti aziendali è notevolmente diversa tra questi sistemi operativi concorrenti. Per l'ambito in cui sono nati e per la storia evolutiva che stanno vivendo, solo ora questi diversi SO cominciano ad essere lontanamente paragonabili, ma la strada è ancora lunga: facilità d'uso, estetica accattivante, ricchezza di applicazioni e di periferiche, gestibilità della configurazione remota in ambienti numericamente complessi, possibilità granulare e semplificata di configurazione delle opzioni, ogni SO ha un suo profilo più o meno marcato su questi aspetti e quindi soddisfa esigenze diverse.

Le dinamiche di produzione dei sistemi operativi e delle funzionalità informatiche al contorno (hardware e software) sono diverse. Microsoft fa solo software e abilita l'ecosistema di partner nel realizzare hardware (e quindi driver: è di Microsoft la responsabilità dei driver???) e software. Apple fa il software ma controlla parte dell'hardware su cui fa eseguire il suo OS. Linux ha un modello di sviluppo del software totalmente diverso e per certi versi destrutturato (con il rischio di sfuggire al governo dei tipici processi di revisione di codice sicuro). Sono confrontabili questi sistemi? Direi di no.

Queste considerazioni mi portano a dire che la domanda "qual'è il sistema più sicuro?" messa così secca, non ha molto senso (come la sintesi finale dell'articolo di Punto Informatico...). Un sistema maggiormente preso di mira dagli attacchi non vuol dire che sia più insicuro, se mostra di riuscire a proteggere gli utenti e soddisfa i loro requisiti (che possono essere di facilità d'uso e ricchezza di dotazione hardware/software per Windows, altrettanta semplicità d'uso e superba estetica da parte di Apple, o estrema versatilità di configurazione e personalizzazione per l'utente smanettone nei riguardi dei sistemi Linux).

Il punto è, semmai, quali dei modelli di sviluppo e dei processi reali di produzione del software di questi diversi sistemi operativi è quello che offre maggiori garanzie di riduzione del livello di rischio in termini di riduzione vulnerabilità, miglioramento delle funzionalità protettive, maggiore supporto agli utenti nelle situazioni decisionali che sono legate ad aspetti di sicurezza, e capacità di reazione alle emergenze di sicurezza dal punto di vista gestionale? C'è carne al fuoco per diverse decine di post...

Share this post :