Un interessante articolo di Vittorio Zambardino pubblicato nella sua rubrica di Repubblica Scene Digitali, mi ha fatto riflettere su quello che potrà effettivamente essere il nuovo scenario tecnologico dei prossimi anni.
Avremo probabilmente tutti computer personali sotto i 100$
oppure portatili come il geniale modello progettato al MIT.
In ogni caso la maggior parte dei nostri PC saranno senza fronzoli e saranno essenzialmente thin clients. Le applicazioni, lo storage e i servizi saranno tutti online. Prolifereranno ASP (Application Service Providers) per le applicazioni sofisticate e servizi free per le applicazioni che la stragrande maggioranza degli utenti usa.
Servizi come GMail, Flickr, LinkedIn, Writely, Wikipedia stanno realizzando il vero e proprio villaggio globale. Ma la grande rivoluzione è che tutto sarà accessibile con poche risorse, poco hardware, poca complessità dal lato del client e solo tanta connettività.
Non saremo più assillati con lunghe e noiose liste di specifiche tecniche dei modelli di computers (schede madri, bus, controller, schede grafiche, GHz, Gb, ecc), ma i computer diventeranno accessori personali come ora è il telefonino, eccetto che negli ambienti produttivi ad alta tecnologia. Le battaglie di mercato saranno forse più sulle reti, anche se il Wireless promette una grandiosa democratizzazione dell'offerta di connettività. Anche perché i colossi come Google, che ormai si prevede schiaccerà Microsoft, stanno già dimostrando che è loro interesse vederci tutti connessi, come è stato ed è interesse dei gestori dei grandi media che tutti abbiamo almeno un televisore in casa.
Quali sono quindi le tecnologie, i servizi e i vendors su cui puntare? Microsoft farà davvero una brutta fine come molti prevedono? Google diventerà il nuovo monopolista? Quanto conterà il sistema operativo? Quale impatto avrà sulla sicurezza questo cambiamentodi scenario?
domenica 9 ottobre 2005
La nuova era
mercoledì 14 settembre 2005
Lezione di virus n.1
L'emergenza è ormai passata da alcuni giorni. Cosa abbiamo imparato?
1. Molti computers erano vulnerabili perché gli utenti erano in vacanza ed al ritorno il processo d'installazione delle patch puó durare molte ore o piú di un giorno con le normali policies. In tal caso la finestra di vulnerabilità per molti computer è troppo grande. Serve un modo per identificare i computers "in ferie" al logon e far scattare una procedura di aggiornamento immediata e prioritaria.
2. Per virus minori, ovvero di diffusione non eccezionale (nella scala di Symantec diciamo fino al livello 2), non vengono rilasciati tool di rimozione. In questo caso bisogna provvedere da soli. Quindi appena identificato il processo virale infettante, bisogna procedere ad acquisire il maggior numero di informazioni possibile, al fine di
- conoscere i cambiamenti provocati dall'installazione del virus alla configurazione del sistema operativo
- mettere a punto una procedura di rimozione efficace
- possibilmente realizzare un tool di rimozione automatica
martedì 6 settembre 2005
Cronaca di un'infezione annunciata
Dopo alcuni mesi di relativa quiete, almeno nella sede centrale, oggi abbiamo vissuto un'altro attacco da Virus.
Come al solito ci salviamo da quelli più famosi, ma restiamo vittime di nuove varianti dello stesso solito virusaccio: W32.Spybot. Come sempre, appena esce una nuova variante di questo virus, sembra che siamo noi i primi a sperimentarlo (mi chiedo se i loro creatori utilizzino la nostra rete come mezzo di lancio...).
La cornaca è sempre la stessa:
1. avvisi di traffico anomalo sulla porta 445 dal Networking Team
2. ci chiedono di andare a controllare i computers corrispondenti agli indirizzi IP riportati come sorgenti del traffico. Primo problema: dall'indirizzo IP al numero di stanza spesso ci vogliono ore. La conoscenza di questa informazione così preziosa è frutto di un lavoro assolutamente scoordinato e spesso fortuito. Prima cosa da sistemare: serve un workflow chiaro del processo d'identificazione dei computer sospetti (il Networking Team dovrebbe darsi una mossa su questo!!)
3. il computer (già isolato dalla rete, tramite tempestivo shutdown della porta sullo switch) viene analizzato da noi del Desktop Team:
- processi anomali in esecuzione
- controllo di tutti i meccanismi di avvio automatico (Autorun di Sysinternals è insostituibile!!!)
- rapido scan sui path tipici con l'ultimo Stinger disponibile
- analisi delle porte aperte con netstat -ab
5. Nel frattempo l'Help-Desk ed il Networking Team si occupano del contenimento: si disattivano o isolano tutti i computer che man mano si scoprono essere infetti (spesso a questo punto già conosciamo un metodo per la rimozione manuale del virus, quindi si potrebbe procedere già alla pulizia dei computer infetti, ma per timore della reinfezione si tende ad aspettare che l'Antivirus sia già in grado di bloccare l'infezione)
6. Quando sono disponibile le nuove signatures, si testano, si verifica che il virus viene messo in quarantena e si aggiornano i server Antivirus. Ovviamente si informano gli uffici regionali, si rende disponibile tutta l'informazione acquisita e le nuove signatures.
7. Di solito a questo punto siamo già fuori orario e la maggior parte degli utenti affetti dal virus sono a casa già dimentichi dell'accaduto. Per questo si aspetta il giorno dopo per la pulizia e il ripristino.
Al mattino dopo i computer aggiorneranno i loro Antivirus rapidamente e s'immunizzeranno da questo virus, quelli disconnessi durante l'attacco verrano ripuliti e riconnessi, ma...
...ma ancora non abbiamo risolto il problema principale: come cavolo è entrato il worm?
Come si è propagato? Quali vulnerabilità ha sfruttato?
Rispetto al come è entrato non ci facciamo troppe domande. Si tratta quasi sempre di un computer "non fidato" o sconosciuto (leggi "di un consulente"!!!!) connesso abusivamente alla rete (DHCP, senza port control, accesso ad Internet senza proxy: una pacchia per i worm ivi annidati), oppure qualche p2p, IM, etc... Per ovviare a questo problema una possibile soluzione è quella abbozzata nel post precedente.
Come si è propagato? Va bene alcuni computer abbiamo verificato che erano ampiamente vulnerabili perché mancavano molte patch: alcuni erano stati riaccesi dopo più di un mese (il periodo post-vacanze è terribile per queste cose...), altri non erano "gestiti" e quindi non ricevevano le patch in automatico dal server SUS.
Tuttavia il numero di computer infetti mi fa sospettare che c'è qualcos'altro che non va... è possibile che a centinaia di computer mancavano le patch di Agosto? Se è così, perché i Virus di Agosto (tipo Zotob) non ci hanno fatto un baffo?
Qui sorge un altro problema che andrebbe affrontato: patchare in automatico i client senza avere uno strumento di reporting decente che ti faccia capire quanti computer vulnerabili effettivamente connessi alla rete ci siano, è tempo perso... Bisogna passare da SUS a WSUS: quindi qualcuno deve cacciare fuori i soldi per le licenze di SQL Server (MSDE non regge il numero di client che dobbiamo gestire) oppure dobbiamo installare una batteria di server WSUS.
Vediamo cosa ci dice Symantec del worm che abbiamo trovato: W32.Spybot.WOE:
Spreads by scanning TCP ports 139 and 445, and exploiting the following vulnerabilities:
The Microsoft Windows Plug and Play Buffer Overflow Vulnerability (as described in Microsoft Security Bulletin MS05-039).
The Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (as described in Microsoft Security Bulletin MS03-026).
The Microsoft Windows Local Security Authority Service Remote Buffer Overflow(as described in Microsoft Security Bulletin MS04-011).
The Microsoft Windows ASN.1 Library Bit String Processing Variant Heap Corruption Vulnerability (as described in Microsoft Security Bulletin MS04-007).
Effettivamente sfrutta diverse vulnerabilità, inclusa quella coperta dalle patches di Agosto. A questo punto è d'obbligo procedere con un'approfondito vulnerability scan di tutta la rete. Senza quest'attività costante di monitoraggio e controllo, non sapremo mai quanto siamo vulnerabili.
Altra priorità: definire delle procedure per il "rientro dalle ferie". Questo è un momento critico in cui molti computer si riaffacciano sulla rete e ci vogliono alcune ore prima che vengano patchati correttamente. In queste ore l'allerta dev'essere massima e bisogna trovare il modo di ridurre questa finestra di vulnerabilità.
venerdì 2 settembre 2005
ProjectWork.Start()
Il giorno 29 Agosto ho cominciato a fare sul serio con il Project Work.
In questa prima settimana ho letto un po'di articoli dalla Reading Room del SANS institute su alcuni protocolli e tecnologie che faranno parte del lavoro. In particolare 802.1x ed SSL, poi ho steso una grossolana scaletta degli argomenti che si puó riassumere cosí:
Il contesto organizzativo
- Risk analysis: asset da proteggere, minacce e vulnerabilità.
- Attacchi dall’interno
- Utenti occasionali, scenari
- Utenti Wireless
- Risk management: mitigare la vulnerabilità restringendo l’accesso a dispositivi fidati.
- Definizione del livello di fiducia accettabile di un dispositivo
Aspetti tecnologici
- Lo standard 802.1x
- Il protocollo EAP-TLS
- Implementazione dell’authentication server
- Implementazione di una PKI per la gestione dei certificati di dispositivo
- Configurazione degli switch di rete
Aspetti gestionali
- Integrazione dei processi di certificazione dei dispositivi con i processi di deployment
- Gestione degli utenti occasionali
- Rete pubblica e rete sicura
Wine Bar
Martedí sera sono stato finalmente al Wine Bar della Città del Gusto. Con l'occasione di celebrare un evento importante ci siamo concessi un'ottima bottiglia di Nobile di Montepulciano del Poliziano e una degustazione di formaggi e degli eccellenti tagliolini ai funghi porcini. Il tutto dopo un breve un viaggio intorno all'oca.
Oltre alla festa per il palato, il posto offre una bella ed insolita vista della città, del tutto simile a questa: 
Tra bit e bytes ogni tanto avró bisogno d'inserire qualcosa di gastronomico o godereccio.
