Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Security Incident Response

Conficker, una seconda giovinezza

Microsoft Italy PCfSV2 Team — Fri, 03 Jul 2009 12:05:00 GMT

Negli ultimi giorni ho assistito ad una seconda ondata di infezioni da conficker. Già, sembra incredibile, ma dal lontano 23 ottobre 2008 siamo ancora alle prese con un ritorno in auge di questo worm. Com’è possibile? Si tratta di nuove varianti? Sono...(read more)

Microsoft crea una nuova alleanza e dichiara guerra a Conficker

Feliciano Intini — Fri, 13 Feb 2009 13:14:19 GMT

Non c'è che dire, l'annuncio stampa di ieri sera è proprio una dichiarazione di guerra a questo malware che, da un lato sta dimostrando di essere la sintesi delle migliori tecniche di attacco degli ultimi anni, e dall'altro sta mettendo nuovamente a nudo...(read more)

“Sicurezza, open source, codice proprietario, interoperabilità” alla 2a Giornata della sicurezza in Sardegna

Feliciano Intini — Mon, 03 Nov 2008 13:56:14 GMT

Mercoledì prossimo, 5 novembre 2008, sarò ospite della seconda edizione della " Giornata della sicurezza informatica in Sardegna ", organizzata da Sardegna Ricerche e dal Lab. Intelligenza d'ambiente di Sardegna DistrICT . Come riporta...(read more)

Microsoft contribuisce alla nascita dell'Industry Consortium for Advancement of Security on the Internet (ICASI)

Feliciano Intini — Mon, 30 Jun 2008 19:51:35 GMT

In occasione dell'evento FIRST 2008 a Vancouver di qualche giorno fa, è stata annunciata la nascita di un consorzio non-profit impegnato a livello internazionale sull'importante tema della risposta alle emergenze di sicurezza informatica: Industry...(read more)

Annunciato il Microsoft Security Cooperation Program for CERTs (SCPCert)

Feliciano Intini — Wed, 21 May 2008 13:04:22 GMT

La conferenza AusCERT2008 (Asia Pacific Information Technology Security Conference) organizzata dall'AusCERT (il CERT australiano, uno dei più attivi e rinomati a livello internazionale) è stata l'occasione ideale per annunciare la nascita di un nuovo programma di collaborazione tra Microsoft e il settore pubblico espressamente dedicata ai CERT (ossia ai Computer Emergency Response Team, gli enti dedicati alla gestione delle emergenze di sicurezza informatica): il Microsoft Security Cooperation Program for CERTs (SCPCert)

L'SCPCert si affianca ad altri due programmi analoghi

l'SCPe, il Security Cooperation Program for Education, (nato nel 2006) dedicato agli enti universitari
l'SCPg, il Security Cooperation Program for Governments, il padre del programma SCP (nato nel febbraio del 2005) dedicato agli enti e alle agenzie governative

Lo scopo di queste iniziative è semplice: creare una partnership gratuita per lo scambio di informazioni e di collaborazione sui temi della risposta alle emergenze di sicurezza informatica, della mitigazione di attacchi e della security awareness dei cittadini. L'insieme dei programmi SCP è a sua volta parte del più ampio impegno di Microsoft alla collaborazione trasversale con gli attori più importanti nella gestione della risposta alle emergenze di sicurezza, la Microsoft Security Response Alliance (MSRA), che include, oltre all'SCP:

la Global Infrastructure Alliance for Internet Safety (GIAIS), che riunisce i più importanti Internet Service Provider
la Microsoft Virus Initiative (MVI) e la Virus Information Alliance (VIA), con i produttori e i ricercatori anti-malware
la Microsoft Security Support Alliance (MSSA), con i produttori OEM.

Tutti gli investimenti riposti in queste iniziative confermano un punto importante della strategia di sicurezza di Microsoft: si riconosce, come ribadito dalla recente iniziativa dell'End To End Trust, di non poter indirizzare da soli in modo efficace tutte le diverse problematiche che concorrono alla sicurezza di Internet, e che è necessario un efficiente lavoro di squadra. Queste alleanze sono intanto importanti per la realizzazione di un canale di comunicazione che finora era assente, e tutti sappiamo quanto sia importante l'aspetto di una rapida comunicazione rispetto alle emergenze di sicurezza.

Se qualcuno tra voi è parte di uno di questi enti e desidera saperne di più può contattarmi tramite il blog per ulteriori dettagli.

Share this post :

Ancora sulla presunta superiorità del software Open Source nella gestione delle vulnerabilità: un bug fossile e il lancio di oCERT

Feliciano Intini — Wed, 14 May 2008 17:13:02 GMT

Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti letti in questi giorni mi spingono a riprendere il tema del confronto sugli aspetti di sicurezza tra Windows e il software Open Source. Questi due articoli, a mio parere, confermano le considerazioni che ho fatto in un mio post recente (che ha ovviamente scatenato un picco di commenti...) in cui confutavo quello che continuo a sentire come uno dei motivi principali, se non addirittura l'unico motivo di chi proclama la presunta superiorità del software Open Source in area sicurezza: l'ispezionabilità del codice come garanzia di minori vulnerabilità. Scusatemi se mi cito da solo, avevo detto:

"...con tutto il rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene."

Eccovi i due articoli che supportano il mio punto di vista:

Developer reveals 25 year old software bug

A Swiss developer seems to have confounded the theory that open source software is the quickest to be patched, by revealing a bug in the BSD software distribution which has remained unpatched for at least 25 years. Advocates of open source software argue that because of the large number of people working on such projects, bugs are quicker to spot and patch. But developer Marc Balmer's efforts have seemingly proved the opposite. He reported the filesystem bug in his blog on Saturday. "Much to my surprise, I not only found this problem in all other BSDs or BSD-derived systems like Mac OS X, but also in very old BSD versions," Balmer wrote. "The bug has been around for roughly 25 years or more."

E' solo uno spunto per sorridere e riflettere: non sto dicendo che anche nella piattaforma Windows non vi siano bug fossili come questo, ma davvero, siamo tutti nella stessa barca...

Per strapparvi un altro sorriso: non mi venite a dire che lo sviluppatore ha segnalato questa scoperta perché sotto sotto è il cugino di Steve Ballmer visto il cognome che si ritrova...

Il secondo articolo è relativo al lancio dell'iniziativa oCERT (Open Source Computer Emergency Response Team):

Response team boosts open-source security

IT managers often assume that open-source software is more secure than proprietary commercial software. Anyone who uses open source can examine the original code to spot any lurking vulnerabilities, and potentially even fix the vulnerabilities themselves. With proprietary software, you have to trust the vendor to do it all for you. But open source's supposed security advantage assumes three things: 1) someone is actually looking at the code, 2) security vulnerabilities are getting reported and fixed, and 3) information about those fixes makes its way to Linux distributors and other software vendors, which apply the fixes to their products. But what things aren't happening? As a customer, how can you be sure?

Se si riconosce la necessità di una iniziativa come l'oCERT per consolidare centralmente le segnalazioni delle vulnerabilità e agevolare l'inserimento delle relative correzioni in tutte le possibili distribuzioni si sta implicitamente ammettendo che il processo di gestione delle vulnerabilità del modello collaborativo Open Source così come è ora non è poi così infallibile e garanzia di maggiore sicurezza...

Quindi, intanto sono benvenute le iniziative come l'oCERT che contribuiscono a migliorare i processi tipo SDL anche in ambito Open Source, e se qualcun altro mi parla di "many eyeballs lead to secure code"... lo prendo a morsi!

Share this post :

Ricordate che Microsoft offre supporto gratuito per virus e problemi di sicurezza

Feliciano Intini — Tue, 20 Nov 2007 18:45:02 GMT

Leggo dal blog di Vincenzo di una nuova diffusione di Trojan attraverso MSN Messenger. In parallelo, l'aumento di visibilità del mio blog nei motori di ricerca e i post realizzati sul tema Windows Live Messenger hanno generato in questi mesi diverse richieste di supporto da parte di utenti (giustamente) preoccupati di recuperare il controllo della propria utenza MSN/Hotmail/Windows Live di fronte a fenomeni di infezione da malware, furto di identità, incauto rilascio della password a servizi online di dubbia reputazione. Nell'ultimo post al riguardo (Come riappropiarsi del proprio Windows Live ID rubato) avevo indicato il modulo di richiesta di supporto, ma diverse vostre email e commenti sul post chiedevano riscontri sui tempi di risposta: ho segnalato queste situazioni al gruppo di Microsoft che cura questi servizi online. Loro mi hanno riportato che una situazione purtroppo frequente è che la risposta via email del centro di supporto Microsoft rischia di essere filtrata dai filtri anti-spam dei programmi di posta, outlook compreso (simpatico ... ;-): quindi, intanto, accertatevi di questa eventuale possibilità.

A coloro che giustamente chiedevano un modo rapido di supporto, ho più volte indicato di chiamare il nostro Servizio Clienti. Dal momento che queste richieste di aiuto non sono diminuite devo dedurre che probabilmente non tutti leggono i commenti in fondo ai post, e quindi ho pensato utile ribadire a lettere cubitali l'informazione riportata nel titolo:

MICROSOFT OFFRE SUPPORTO GRATUITO PER VIRUS E PROBLEMI DI SICUREZZA

Non vorrei sbagliarmi ma credo che Microsoft sia l'unico vendor che operi in questo modo per aiutare i clienti sui problemi di sicurezza, quindi, pur augurandovi di non averne mai bisogno, se vi dovesse servire, approfittatene!!

Magari aggiungo un link veloce a sinistra con una pagina di numeri e link utili nell'emergenza che terrò costantemente aggiornata ...

Rilasciata la CSI Computer Crime and Security Survey 2007

Feliciano Intini — Fri, 28 Sep 2007 09:33:23 GMT

E' stata rilasciata di recente la rinomata analisi statistica sugli incidenti di sicurezza condotta dal Computer Security Institute: la potete scaricare gratuitamente a questo link previa registrazione. Il fatto che l'analisi sia condotta su un campione esclusivamente statunitense potrebbe far pensare che sia poco rilevante per la nostra realtà europea e italiana. Personalmente credo che, al contrario, essa rappresenti un importante strumento di previsione dei trend che potranno interessare nel medio/breve termine il nostro scenario nazionale in virtù del comprovato "ritardo" tecnologico che abbiamo rispetto alla realtà statunitense: quello che a loro succede oggi (nel bene e nel male), a noi arriva tra almeno 2-3 anni (se va bene). Queste le principali osservazioni conclusive:

le perdite economiche legate agli incidenti di sicurezza segnalati nell'analisi sono raddoppiate rispetto all'anno scorso
quasi un quinto di coloro che hanno subito un incidente di sicurezza dichiarano di essere stati vittima di un attacco mirato alla propria organizzazione
la frode a scopo di lucro è balzata al comando della classifica delle cause che hanno prodotto la maggiore perdita economica, spodestando gli attacchi virus che hanno dominato la classifica negli ultimi 7 anni.

Sono indicazioni che fanno sicuramente riflettere e confermano le previsioni sull'evoluzione dello scenario di rischio: non più attacchi di massa, globali, di effetto mediatico, ma sempre più attacchi silenti, mirati, con l'esplicito scopo di lucro. Questa situazione rende sicuramente più difficile il contrasto delle azioni cybercriminali e dovrebbe indurre le aziende ad adottare in modo ancor più rigoroso i principi di Risk Management: se chi ci attacca cerca il lucro, andrà adeguatamente individuato e protetto l'asset più sensibile e più di valore, con un approccio di protezione multi-livello (Defense In-Depth).

Piccola curiosità: fino allo scorso anno questa analisi era chiamata CSI/FBI Survey: a detta dell'editore l'elisione della sigla FBI non vuole tanto segnalare una interruzione nella collaborazione con l'FBI, quanto l'intenzione di rappresentare uno studio autonomo del settore privato e non una ricerca governativa. Buona lettura!

Spunti di Security Strategy - 1a puntata

Feliciano Intini — Tue, 23 Jan 2007 18:48:00 GMT

Nel prepararmi per l'evento a cui parteciperò dopodomani, l' e-Security Lab , e su cui non mancherò di riferirvi, stavo riflettendo su come l'evoluzione della strategia di sicurezza di Microsoft possa scatenare una serie di ottimi spunti per condivere quello che credo sia la necessità di un approccio moderno alla gestione della sicurezza....(read more)