Aggiunte funzionalità antimalware ai nuovi Live Search Webmaster Center tools

Feliciano Intini — Mon, 01 Dec 2008 20:44:05 GMT

Ammetto che questi due blog sul Live Search e sul Live Search Webmaster Center mancavano alla mia lista perché non li immaginavo direttamente attinenti al tema security, ma questa notizia è assolutamente pertinente al mio blog: Webmaster tools now sniffing...(read more)

Pubblicati i 3 programmi di condivisione con i clienti del Microsoft Security Development Lifecycle (SDL)

Feliciano Intini — Mon, 10 Nov 2008 17:13:52 GMT

Oggi, in occasione dell'evento Microsoft Tech-Ed 2008 Developer , sono stati pubblicati i 3 programmi che vi avevo annunciato a settembre: Microsoft avvia nuovi programmi per condividere il Security Development Lifecycle (SDL) con i clienti In particolare:...(read more)

Microsoft avvia nuovi programmi per condividere il Security Development Lifecycle (SDL) con i clienti

Feliciano Intini — Thu, 18 Sep 2008 15:49:44 GMT

Dalle parole ai fatti. Ecco il primo pensiero che ha fatto capolino quando ho appreso di queste iniziative. Ho parlato spesso, anche su questo blog , del forte impegno di Microsoft nel rendere il Security Development Lifecycle un modello che ogni cliente...(read more)

Security News da Mark Russinovich

Feliciano Intini — Tue, 09 Sep 2008 12:03:24 GMT

E' da un po' che Mark non si faceva sentire, ma a giudicare da tutto quello in cui è impegnato come dargli torto? Tra le notizie che ha fornito nel suo ultimo post ci sono alcuni spunti in area security: La pagina web dedicata al libro Windows Internals...(read more)

Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection

Feliciano Intini — Wed, 25 Jun 2008 11:47:36 GMT

Due mesi fa vi avevo parlato di nuove ondate di attacchi di tipo SQL Injection , poi un mese fa ho ritenuto utile riaccennare al problema durante il video-editoriale su SQL Server (per chiarire che questo tipo di attacchi non sfruttano specifiche vulnerabilità...(read more)

Smontiamo il caso di COFEE, il tool forensic delle false meraviglie

Feliciano Intini — Mon, 05 May 2008 18:37:49 GMT

Spero che molti di voi abbiano avuto modo di approfittare di questo lungo ponte per ritemprarsi. Io l'ho fatto e ho volontariamente tenuto le mani lontane da Windows Live Writer, nonostante mi prudessero già da mercoledì scorso dopo aver letto la ripresa di Punto Informatico di alcuni articoli vaneggianti sul tool COFEE di cui Microsoft ha parlato durante l'avvio del Law Enforcement Tech 2008, evento dedicato a rappresentanti delle forze dell'ordine di tutto il mondo per aggiornarli sull'evoluzione tecnologica a supporto delle loro attività di investigazione contro il cybercrime.

La mia rubrica Anti-FUD era triste perché sono passati due mesi dall'ultimo post di contrasto alla disinformazione, e mi stavo sinceramente preoccupando... eccomi accontentato!

Prima ricostruiamo velocemente il percorso di questa disinformazione: la sorgente iniziale della notizia è il comunicato stampa di Microsoft, quello che io stesso stavo per riprendere al fine di segnalarvi l'impegno attivo di Microsoft sul fronte del contrasto al cybercrime. Il penultimo paragrafo parla di COFEE (Computer Online Forensic Evidence Extractor) e sinceramente mi sembrava che fosse indicato abbastanza chiaramente l'intento del tool: automatizzare la raccolta di prove da un computer appena sequestrato, semplificando il lavoro dell'agente di polizia che in assenza di questo tool dovrebbe lanciare circa 150 comandi per un lavoro di 3-4 ore, mentre tramite l'uso di COFEE riesce a realizzare il lavoro di raccolta di dati e log (che già realizzava - a manina - fino a ieri) in circa 20 minuti. L'articolo che poi ha dato il via ai dubbi e ai sospetti è stato quello del "The Seattle Times" in cui si scrive "... It can decrypt passwords and analyze a computer's Internet activity, as well as data stored in the computer".

Apriti cielo! Quale miglior alzata di pallavolo per i fautori dell'equivalenza Microsoft=Grande Fratello, ecco finalmente la prova delle backdoor per aggirare la sicurezza di Windows, ecco le chiavi segrete per bypassare Bitlocker, addirittura i Trojan di Stato... e chi più ne ha piu ne metta, in una deriva di disinformazione a dir poco allucinante per chi sa di che cosa si stia parlando!

Ecco, riprendendo questo ultimo punto sottolineato, solo un aspetto può parzialmente giustificare questo "molto rumore per nulla": la mancanza di dettagli tecnici sul tool e l'impossibilità di poterne disporre pubblicamente per poter verificare quali strumenti utilizzi per la raccolta di informazioni dal computer sequestrato (dal momento che verrà distribuito solo alle agenzie di law enforcement dotate di appropriata autorità legale).

E' per questo che vi condivido quel poco che so al momento (visto che non ho ancora avuto modo di accedere al tool e di analizzarlo): per quanto esigui, questi semplici elementi tecnici che vi riporto credo (e spero) siano sufficienti a smontare questo polverone. Il tool COFEE:

può agire solo su un computer non lockato, e richiede che l'utente loggato sia dotato di privilegi amministrativi
non può essere usato da remoto ma solo localmente tramite una chiavetta USB
è solo un tool che consolida in un singolo strumento un insieme di tool di forensic già reperibili pubblicamente, che utilizzano metodi ed API ampiamente documentati per accedere alle informazioni da salvare per l'analisi successiva, prima che il computer sia spento e staccato dalla rete in cui sta agendo al momento del sequestro
verrà distribuito solo alle agenzie in grado di esercitare adeguata autorità legale (come per esempio in seguito ad un mandato emesso dall'autorità giudiziara)

Ora, mi appello alla vostra cultura di sicurezza informatica su piattaforma Microsoft (che spero si sia rafforzata almeno un pelino leggendo questo mio blog...;-): vi rendete conto che il primo punto che vi ho indicato spiega tutto?

l'esecuzione di tool/programmi su un computer non lockato con l'utenza dotata di privilegi amministrativi vi permette di accedere a praticamente quasi tutto del vostro PC senza dover aggirare alcun meccanismo di protezione di Windows e senza la necessità di alcuna fantomatica backdoor: alcune considerazioni di dettaglio
- Bitlocker protegge dagli attacchi offline (computer spento): se accedete ai dati mentre siete online i dati risultano in chiaro (perché vengono cifrati al volo quando si scrive, e decifrati al volo quando si legge) anche se sono cifrati su disco
- il "quasi" (in grassetto) che ho usato nella precedente asserzione sulla possibilità di accedere a tutti i dati del vostro PC fa riferimento alla situazione in cui i dati siano stati cifrati: a prescindere dallo strumento che state utilizzando per cifrare (EFS o altri non Microsoft), se la chiave di cifratura è stata memorizzata sul PC siete esposti alla possibilità di recuperare tale chiave e quindi di decifrare i vostri dati, altrimenti nessuno (senza la chiave) può violare la confidenzialità delle vostre informazioni.
- pensate che il tool non è in grado di bypassare nemmeno uno screensaver protetto da password... ho detto tutto...

Io credo che la necessità di fornirlo solo alle forze dell'ordine non sia nei segreti che racchiude (che, davvero, non vi sono), quanto nell'automatismo e nella velocità del processo di raccolta di dati sensibili: capite che se fosse fornito pubblicamente, aumenterebbe la possibilità di violare la privacy degli utenti con sforzo minimo... immaginate lo scenario banale (ma non troppo!) della signora delle pulizie che trova un computer non lockato e zac! vi ruba tutto il possibile e l'immaginabile in 20 minuti...

Spero di essere riuscito a dissipare qualche nebbia, in attesa di poter vedere il tool e spiegarvi qualche dettaglio in più (se potrò...;-).

Permettetemi di chiudere ribadendo una considerazione già fatta sulle eventuali backdoor in Windows: come ho avuto modo di dirvi già in uno dei miei primi post, il codice sorgente di Windows è disponibile per la consultazione ad una serie di enti governativi che possono accedere al programma denominato Government Security Program, quindi proprio coloro che avrebbero più perplessità su questo tema hanno lo strumento per verificare il codice e togliersi ogni dubbio al riguardo, quindi come allora ribadisco... siamo seri... altro che backdoor!