ShellShock (o Bash Bug) e i CERT
Ieri è stata scoperta la vulnerabilità “Bash Bug” o “ShellShock“.
E’ una vulnerabilità con impatto molto diverso da quanto successo con Heartbleed; quest’ultima è stata una vulnerabilità piatta, è stata come una mano aperta che ha picchiato violentemente sulla superficie del mare, di questo grande mare che è il web.
Ha prodotto un gran rumore, tutti si sono girati a guardarla, tutti ne hanno parlato, fiumi di inchiostro virtuale sono scorsi tra le onde e tra i naviganti. Ma a parte questo nulla è successo. Del resto quelli che potevono essere colpiti erano le grandi imbarcazioni più sensibili alle onde prodotte, cioè i grandi portali web, le banche. Ma anche la soluzione è stata talmente semplice che per loro c’è voluto poco per sistemare. Se qualcosa è successo, è accaduto prima che venisse pubblicata. Chi frequenta (per studio eh) i blackmarket si era reso conto già da giorni che qualcosa era successo, quel boom di disponibilità di credenziali era sospetto.
La “ShellShock” è diversa, non è una mano aperta, è più verticale, appuntita. come un dito. Che se lo infili verticale in acqua (non siamo volgari) non fa rumore, genera poche onde. Le grandi navi quasi nemmeno se ne accorgono. Ma una volta che è sotto può fare grandi danni. E per molto tempo.
Si pensi non ai grandi portali, ma agli impianti industriali, ai device, ai sistemi di videosorveglianza, ai controllo accessi.
E’ una vulnerabilità in grando di colpire dal basso le nostre infrastrutture. Ed esce proprio nel mometo in cui il gruppo terroristico più “connesso” di sempre ci dichiara apertamente guerra cibernetica (e non solo).
Pensare di patchare tutti i sistemi è semplicemente follia, non per nulla perchè molti di questi sono sconosciuti.
Ma non è della vulnerabilità che volevo scrivere.
Come ho detto, questa è una vulnerabilità che può essere assai critica, contestualizzata al momento storico direi quasi da emergenza. Anzi, direi da emergenza senza quasi.
Sono andato a guardare come i vari CERT mondiali e quindi italiani hanno gestito la questione.
Chi mi conosce sa quanto ci tenga al sistema Italia, sostengo sempre che sul fronte “cibernetico” in Italia abbiamo molte eccellenze, a partire dalla Postel che è una delle migliori al mondo.
Ma i CERT… mamma mia che delusione.
In ordine, partiamo dal CERT per eccellenza, quello del governo americano:
https://www.us-cert.gov/ncas/alerts/TA14-268A
La pagina del CERT americano è impeccabile, informazione corretta, completa e senza “nerdismi” inutili. C’è tutto quello che serve, la descrizione, soluzione, riferimenti e la corretta classificazione dell’impatto:
Impact
This vulnerability is classified by industry standards as “High” impact with CVSS Impact Subscore 10 and “Low” on complexity, which means it takes little skill to perform. This flaw allows attackers to provide specially crafted environment variables containing arbitrary commands that can be executed on vulnerable systems. It is especially dangerous because of the prevalent use of the Bash shell and its ability to be called by an application in numerous ways.
Poi c’è quello UK:
https://www.cert.gov.uk/resources/alerts/update-bash-vulnerability-aka-shellshock/
L’home page è un po’ troppo “pop”, con colori sparati e grandi immagini colorate, ma correttamente c’è l’alert con il link alla vulnerabilità.
I contenuti non sono così chiari e professionali come quello US, ma c’è tutto e ben spiegato. Ci sono anche alcune considerazioni interessanti e degne di nota:
The affected versions go back to bash 1.14 which was first released in ~1995. Unlike the Heartbleed vulnerability which affected only openssl (an additional program that only certain users actually implemented), SHELLSHOCK is likely to affect a much wider community.
Giustissimo il riferimento alle CNI (Critical National Infrastructure) (qui meglio di quello USA):
The real-world impact of this vulnerability depends greatly on the systems on which they are deployed. However, due to the common usage of *nix systems as servers in network environments it should be assumed that most server-based architectures are affected. This will inevitably include organisations that are part of the CNI. As such, all organisations that make use of *nix-based environments should pay particular attention to the patching requirements and other mitigation steps.
Passiamo a quello italiano.
Quale? Eh si, noi ancora non abbiamo un vero CERT nazionale, noi abbiamo i CERT settoriali. Ne abbiamo tanti.
Partiamo da quello del GARR:
http://www.cert.garr.it/alert/security-alerts/archive/view/listid-1-alert/mailid-1657-alert-gcsa-14033-vulnerabilita-in-gnu-bash
Il testo è in italiano, il che va anche bene, però poi si finisce per usare un mix di inevitabile inglese – italiano e il risultato è un po’ brutto, anche la forma che tende a semplificare il più possibile scade nel far sembrare il sito più un forum di supporto di primo livello per utenti bancari (non me ne vogliano i bancari, era un esempio per dire utilizzatori di pc non obbligati ad esserne anche competenti).
La descrizione è sommaria, e la descrizione dell l’impatto è.. come dire… così:
:: Impatto
Esecuzione di codice arbitrario
Denial of Service
Accesso al sistema
Poi ho guardato quello di Poste:
https://www.picert.it/category/alerts/bollettini/
Ho amici che ci lavorano, so che stanno facendo un gran lavoro. Per cui da questo mi aspetto un lavoro sopra la media.
Purtroppo c’è un problema: sono le 00:55 del 26/09/2014 e per il CERT di Poste questa vulnerabilità.. non esiste. Meglio così, occhio non vede, cuore non duole.
Vorrei analizzarne altri, ma credo che finiamo qui. Segnalo che cercando CERT italia o CERT italiani si finisce su un gran numero di siti abbandonati o cancellati.
Eppure conosco CERT interni, forse quelli più importanti, che lavorano alla grande. Nettamente meglio della media europea. Ma siamo al solito discorso degli orticelli, io mi faccio il mio e non lo faccio vedere a nessuno, guai! Come diceva Caterina Caselli:
“Nessuno mi può giudicare. Nemmeno tu..”
Infine, una nota di chiusura, siamo in Italia, paese i poeti, santi e navigatori, non poteva quindi mancare un CERT della chiesa cattolica:
http://cert.chiesacattolica.it
Come dite, è una semplice pagina statica senza alcuna utilità?
Ma no! Su dai, il concetto è di preghiera, pregate che non succeda nulla.
ls
PS: inserto pubblicitario gratuito. Ricordatevi che sono CEO, co-founder (e tutto quello che serve fare) di Abissi. Abissi è l’unica azienda in Italia che fa realmente Cyber Surveillance, con un servizio di Cyber Threat Intelligent non basato su una banale correlazione dei vostri log. Vera intelligence, senza paura.
http://www.abissi.eu/wp-content/uploads/2014/07/Abissi-Cyber-Threat-Intelligence.pdf
Mail PEC … sono 2 etti abbondanti, lascio così?
Oggi una persona mi ha chiesto di verificare l’invio di alcune mail certificate su cui nutriva dei dubbi. Per un aggiudicazione per un ente pubblico occorreva inviare entro una certa ora (le 12.00) due mail ovviamente tramite PEC.
La persona si è insospettita perché avendo inviato entrambe le mail intorno alle 10.50, per una ha ricevuto subito la certificazione di consegna, mentre la seconda mail è arrivata alle 13.35, quindi ben fuori dall’orario ammesso.
Posto che non vedo come il destinatario possa interagire (altrimenti sarebbe tutto abbastanza ridicolo), guardando le mail ho avuto un forte mail di testa.
Sarà che oggi non sono informissima, sarà che i neuroni sono quello che sono, ma proprio non ci riesco a comprendere la logica della firma e della gestione della mail PEC.
Partiamo dalle 2 mail inviate, direttamente dalla webmail PEC di Aruba:
L’orario indicato, 10.49 e 10.56 è quello corretto.
Guardando il primo certificato di consegna, avvenuto praticamente all’istante, mi è venuto la prima emicrania, anche se leggera: Perché indica consegnata alla 10.49(+200)?
E’ forse viaggiata indietro nel tempo arrivando un’ora prima dell’invio (indicato come 10.49(+1.00)?
Ovviamente fa riferimento all’orario CEST quindi è corretto, ma se non indichi chiaramente non è che sia proprio banale da capire e soprattutto trattandosi di posta certificata ci dovrebbe essere un certo rigore nel modo di esporre l’informazione principe. o no?
Poi passiamo alla seconda mail, inviata alle 10.56 (GMT +1).
La certificazione di consegna è arrivata alle 13.35, così come anche l’accettazione.
Perché quasi 3 ore dopo?
Aprendo la ricevuta l’imprecisione aumenta ulteriormente. L’ora di consegna è indicata come 13.34 e non 13.35; è solo un minuto? Ok ma .. stiamo parlando di un processo atto a legalizzare una ricezione, la precisione sugli orari dovrebbe essere la cosa principale.
Leggendo nel dettaglio si legge che la mail è stata inviata dall’utente xxxx alle ore 13:34:58 (+200), si si, +200! (prima vi era sfuggito eh?) dev’essere proprio una macchina del tempo, ma di quelle serie. Ok dai, l’abbiamo capito, era +2.00 e manca solo un puntino, cosa volete che sia un puntino?
E’ come quando vai dal salumiere e chiedi 2 etti di mortadella e te ne danno 234gr. Non è che bisogna star li a guardare tutto. Dopotutto è solo una mail. Anzi, è solo la certificazione legale degli orari di invio/ricezione della mail.
Sorvoliamo sul discorso che il +2.00 è CEST e non GMT, anche se non riportato l’abbiamo capito per logica (vorrei vedermi a spiegarlo ad un giudice in caso di controversia).
Ma tornando alla ricevuta, e alla frase “sent by l’utentexxxx@xxxxxxxxpec.it, on 2014-05-28 at 13:34:58 (+200)” questa frase farebbe pensare che l’utente ha inviato la mail alle 13.34:58, ma aprendo l’allegata mail si legge un orario differente (che è poi quello corretto):
Scioccamente da una Posta Elettronica Certificata, dove la certificazione a valore legale è soprattutto nell’orario, mi sarei aspettato una certa chiarezza e precisione anche espositiva.
Ma chissà cosa mi passa per la testa, dopotutto è tutto chiaro no? è proprio come quando vai dal salumiere a prendere la mortadelle e lui ti chiede “ne ho messo un po’ di più, lascio?” Verrebbe voglia di rispondergli che in realtà ne ha messo il 15% in più, ma poi pensi che va bene anche così. Facciamocela andar bene.
Industrial cyber security on critical infrastructure
Con l’analisi del progetto PRISM abbiamo visto come ormai la CyberSecurity sia una disciplina ampiamente in uso dalle forze governative e non è affatto avventato parlare di CyberWarFare.
Come in una guerra reale, quando si vuole attaccare una popolazione, prima di tutto si cerca di colpirli nei servizi essenziali.
Le infrastrutture eroganti i servizi essenziali sono state ben definite nella direttiva 2008/114/CE del consiglio dell’Unione Europea:
“«infrastruttura critica» è un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società̀, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell’impossibilità di mantenere tali funzioni”
Le infrastrutture critiche principali sono quindi i trasporti, le banche, le telecomunicazioni, le energy/utilities, i media, le industrie e gli ospedali, etc
Una riflessione quasi banale: se esistesse una tecnologia (un worm, un bug..) in grado di bloccare tutti i sistemi coinvolti, assisteremmo a un’immediata paralisi della società moderna, trasporti bloccati, ospedali in tilt, banche non operative, niente comunicazioni, industrie bloccate. Una situazione che non porta perdita di vite umane nell’immediato, ma le conseguenze nel breve termine possono essere più devastanti di una guerra reale.
Nella maggior parte dei casi dietro un’infrastruttura critica c’è un impianto industriale e questo diventa quindi un obiettivo strategico che ha una terribile caratteristica:
E’ facilmente attaccabile e difficilmente difendibile.
L’esempio più eclatante di arma informatica prodotta e utilizzata da uno stato per colpire un’infrastruttura critica è Stuxnet.
Worm scritto dagli USA per rallentare la produzione di uranio sabotando i sistemi di controllo industriale che pilotano le centrifughe.
Cos’è un sistema di controllo industriale?
Un sistema industriale è composto da 3 macroaree:
C’è un insieme di macchinari (Device) che possono essere qualunque cosa (robot, centrifughe, forni, etc), questi sono collegati a dei PLC industriali da cui vengono comandati; questi ultimi sono collegati a sistemi di controllo industriale (SCADA, DCS) che hanno il compito di monitorare e gestire la produzione.
L’evoluzione dei sistemi di controllo
Anni ’60
Siamo nell’era dell’elettronica analogica, i sistemi di controllo sono composti unicamente da interruttori meccanici e indicatori analogici.
(aggiungo, nelle sale controllo si poteva ancora fumare, la sigarette si tenevano nel taschino sinistro della maglietta)
Anni ’80
Approdiamo nell’era della microelettronica e nel campo dei sistemi di controllo assistiamo ad una rivoluzione: Si assiste all’introduzione dei quadri sinottici. C’è molta elettronica, lampadine come spie di segnalazione immediata (accesa ok, spenta non ok), interruttori, indicatori analogici, etc.
Questi sistemi venivano progettati e realizzati per il singolo impiego, sistemi proprietari con protocolli proprietari. Tecnologie relativamente semplici (dopotutto le funzioni che erano chiamate ad eseguire erano poche) ma molto costosi perché ogni sistema era progettato e realizzato per il singolo impiego e perfino i componenti erano spesso ingegnerizzati per l’occasione.
(ancora si poteva fumare, le sigarette si tenevano nel taschino sinistro della camicia, Facebook ancora non c’è per cui si passano ore e ore al telefono, per questo viene introdotta la “linea rossa” per le chiamate di emergenza. Ma la domanda è, cosa ci fanno quei 3 server di Gmail sulla sinistra dell’immagine? 🙂 )
Anni 2000
Siamo ormai in piena era dell’informatica, quando i Personal Computer si sono diffusi su larga scala e i relativi costi sono precipitati, è stata una conseguenza ovvia l’utilizzo di questi anche in ambito industriale.
In sostituzione di ambienti proprietari, fatti di hw proprietario, linguaggio proprietario, protocolli proprietari, si è passato ad un mondo diffuso, pratico e che permetteva quindi di ridurre drasticamente i costi.
Quando l’IT diventa un guaio
Tutti gli worm visti finora in ambito industriale utilizzando la stessa tecnica, il virus viene diffuso in internet per riuscire a farlo approdare, direttamente o tramite “portatori sani” (pc dei tecnici e infezione delle memorie usb) nei sistemi di controllo. Il Virus sfrutta una vulnerabilità nota o meno del del sistema operativo del sistema di controllo per inviare comandi ai plc o modificare quelli previsti.
Esempio: Apertura di una valvola al 90%. A Schermo risulterà aperta al 100% e non verranno visualizzati i riscontri negativi.
Del resto questi sono computer standard, con lo stesso sistema operativo utilizzato dalla maggior parte delle persone nel mondo, per questo è facile far “viaggiare” il worm, utilizzare i computer di utenti inconsapevole come strumento di trasporto verso il sito target.
Possiamo quindi affermare che i computer in uso nei sistemi di controllo industriale sono il mezzo tecnologico per raggiungere l’obbiettivo strategico, ovvero il sabotaggio dell’asse strategico.
Com’è possibile che in un’epoca in cui i pc sono in ogni azienda del mondo, gli specialisti dell’IT abbondano, vendor che ormai hanno una soluzione anche per stipsi dei sistemi informatici della tua azienda, 4 pc infilati in un industria diventino così incredibilmente problematici?
Il passaggio al sistema informatico attraverso l’utilizzo di Personal Computer standard nel sistema di controllo industriale ha portato 2 problemi:
•Problema di competenze (e di responsabilità)
•Le problematiche tipiche dell’IT entrano all’interno dei sistemi industriali, gestione della sicurezza in primis.
•Incompatibilità tra IT e industria.
Competenze e responsabilità
Nelle sale controllo degli anni ’60 la “cura” e gestione dei sistemi era affidata al team di “manutentori”, persone con competenze di meccanica e di elettricista, la cui dotazione era limitata a spelafili, nastro isolante, forbici e saldatore; il massimo della dotazione tecnica era il tester (voltmetro).
Con i vari passaggi epocali ovviamente le esigenze sono mutate e le competenze delle persone sono diventate inadeguate.
In questi passaggi le persone non possono essere dismesse in quanto non più competenti, ma vanno “evoluti” attraverso corsi di formazione. Facile a dirsi, più complesso nella pratica, specie con l’arrivo dell’informatica e la presenza in buon numero di manutentori “di prima specie”.
Per molti anni i sistemi informatici dentro l’impianto industriale sono stati trattati come dei pezzi di ferro, al pari di un’elettrovalvola. Di industrie ne ho visitate abbastanza e gli aneddoti si sprecano, dal “tecnico” che quando il pc del dcs rallenta gli spruzza un po’ di Svitol nel case, ai cavi rete giuntati a “Y” per collegare 2 sistemi. (industrie assolutamente classificabili come infrastrutture critiche)
Fortunatamente ormai è l’IT dell’azienda che sta prendendo in gestione anche questi sistemi (trovando resistenza da parte dei responsabili della manutenzione).
Con questo pregresso, andare oggi a sanare è un impresa titanica.
Ma anche l’IT i suoi danni li sta facendo.
Le esigenze di un impianto industriale sono molto diverse da quelle tipiche del mondo IT.
Nell’industria c’è bisogno di continuità assoluta, bassi costi e safety. Far gestire i sitemi di controllo industriale a personale prettamente IT privo di esperienza in ambito industriale può rivelarsi errato e pericoloso.
Safety & Security
In italiano si traducono con entrambi con “sicurezza” ma il significato è molto diverso e in ambito di controllo industriale una maggiore “security” può addirittura abbassare il livello di “safety”.
Partiamo dal presupposto che la safety c’è sempre stata e a tutti i livelli. Su questo l’arrivo dell’IT ha portato minacce proprio per la safety.
Safety: Le apparecchiature industriali sono dotate di sistemi di sicurezza che si attivano in determinate circostanze nel momento in cui c’è una reale possibilità che si verifichi un incidente. Con l’arrivo dell’IT sono subentrati i problemi di security: Un attacco informatico può portare al verificarsi d’incidenti legati a situazioni non previste dal sistema e quindi non correttamente gestite.
Un’esempio pratico:
Un sensore di pressione all’interno di un serbatoio fornisce un valore elevato che causa l’apertura di una valvola di sfiato. L’incidente è evitato grazie al sistema di sicurezza (Safety) inserito nell’impianto che ha rilevato l’anomalia.
Un worm o un hacker (concedetemi il termine generico) potrebbe inserirsi nella rete di processo e causare un malfunzionamento nella rilevazione della pressione del serbatoio causandone l’esplosione.
Il massimo della contraddizione l’ho visto in prima persona, un audit svolto da un’importante azienda inglese in un importante impianto industriale: bollone rosso perché le postazioni della sala controllo dell’impianto industriale non avevano una password policy sufficientemente robusta.
Pensa che bello se c’è un emergenza e per qualche motivo, in mezzo al panico totale, l’operatore deve ricordarsi e digitare una password di 12 caratteri alfanumerici con maiuscole, minuscole e caratteri speciali. In una sala controllo in cui l’accesso è estremamente ristretto e con controllo accesso abilitato forse è il caso che sui pc si lasci la priorità gestire un’evento di safety..
Parola chiave: Segmentare
Compresa la problematica, tutti gli enti specifici in campo industriale e informatico (ma anche i vendor) convergono nella soluzione tecnica da adottare in ambito di sistemi di controllo industriale per impedire l’avvenimento d’incidenti di sicurezza informatica: la segmentazione della rete.
Questo è un modello vecchio di 1000 anni, si chiama modello Fortino.
Lo scopo è mettere in protezione i propri beni isolandoli dal resto del mondo e quindi dalle minacce:
Si costruiscono delle mura invalicabili (con i firewall), magari si scava anche un bel fossato (un ids aggiuntivo non fa mai male).
Poi ovviamente il nostro re ci chiederà di aprire dei valichi per i servizi che consentono di controllare le monete d’oro. Sicuramente prima o poi qualcuna rimarrà aperta e ce ne dimenticheremo.
Infine ovviamente lasceremo entrare dalla porta principale il nostro maniscalco specializzato. E se il suo cavallo ha la malaria? Nemmeno lui lo sa, ma sta per portare dentro il castello un malefico virus che a breve infesterà tutti gli abitanti.
Con Stuxnet è andata esattamente così, le centrali nucleari iraniane erano perfettamente isolate, ma la chiavetta del tecnico Siemens aveva un brutto virus a bordo..
Io credo che si sta cercando di mettere pezze ad una scelta che è errata nelle sue fondamenta.
Non ho mai amato i sistemi open source e ho spesso sostenuto che in ambito professionale, dove ci sono sistemi che devono garantire tenere in piedi un business Microsoft sia da preferire.
In questo ambito no, credo che la scelta di utilizzare generici PC con un generico Windows sia l’errore fondamentale su cui focalizzarsi.
Il sistema operativo Windows è eccezionale, lo stesso sistema operativo va benissimo per il mondo consumer, per navigare in internet, per ascoltare musica, per l’archittetto, per l’ingegnere che progetta grattaceli, per il nerd di casa, per il personale dell’ICT; è un sistema operativo universale.
Per fare questo ha migliaia di librerie e miliardi di righe di codice.
Cosa deve fare il computer del sistema di controllo industriale?
Deve far girare un programma, un software non particolarmente complesso, con funzioni ben precise e limitate:
•Leggere un valore e rappresentarlo a video, al massimo correlandolo con altri valori. (un sinottico digitalizzato)
•Permettere all’operatore di poter intervenire in tempo zero.
•Dovrebbe avere requisiti almeno vicini al real time.
Oggi usiamo un sistema in cui in mezzo a mille processi inutili (per lo scopo d’utilizzo) gira un processo che ha requisiti di real time. Non bene.
In ambito automotive, per i sistemi di intrattenimento di bordo, si utilizzando dei computer con un hardware abbastanza standard (ARM o Tegra) ma con una configurazione che tipicamente prevede un doppio sistema operativo, uno real time molto semplice che si occupa di garantire i servizi essenziale e che ha il compito di interfacciarsi in modo controllato al can bus (rete di controllo) e un sistema operativo non real time che si occupa della parte visualizzata dall’utente e dei servizi di intrattenimento.
Ho riportato il mondo automotive perché condivide buona parte dei requisiti del mondo industriale: Safety, integrità, disponibilità, costi.
In questo campo mai si sognerebbero di mettere un Windows XP. Ogni libreria utilizzata viene pesata molto attentamente.
Per me la soluzione è qui, la Comunità Europea anzichè sponsorizzare con milioni di euro progetti per ipotizzare nuove e continue pezze da mettere sopra al problema, forse potrebbe spendere per far sviluppare un sistema operativo real time, minimale con il minor numero possibile di librerie. Open Source. In questo caso essere open source può essere garanzia di trasparenza e di nessuna backdoor di stato inserita tra le righe.
E ad oggi per mettere in sicurezza gli ambienti che abbiamo?
Probabilmente la strategia del fortino è l’unica strada percorribile, ma con 2 varianti importanti:
•I firewall vanno sostituiti da sistemi specifici e non riadattati dal mondo IT, che garantiscano una reale separazione fisica e attivino una comunicazione unidirezionale. (vedi soluzioni tipo Waterfall)
•Introdurre un sistema di Data Sanitization dei media in ingresso. (vedi soluzioni tipo Votiro)
L.
(luca.savoldi@abissi.eu)
McAfee Customer Information Leakage
McAfee is one of the greatest player in the IT Security and, in particular, it is among more active, if not the most active in producing interesting studies that then shares with the customers (in particular with those enterprise)
We all make mistakes, even to the best, but what struck me in negative in this case was the little awareness not to say total neglect, in managing a signaling.
When i found the problem i have placed under the conditions of a normal user and i have searched on the site, both the general public, is the portal for specific customers, a point of contact to send a warning: i have not found. At this point I have used the support for customers trying to communicate an “information leakage of customer data” in system devoted to enterprise customers; the first round of responses was a nice “it’s not our department, contacts another office”. Another? What is it? “Another.”
After several attempts are passed to the mail, even in this case i have found very few references, for which I entrusted to mail you find on the site, such as that of(the) responsible for the communication.
Are past 2 months, never received a response. AND the problem is still there. Not so well.
A security company should be among the first values the seize every signalling, also the weakest.
This is the-out for problem with reported:
McAfee periodically sends its customers enterprise an e-mail to notify a news as the availability of a study:
In the e-mail always appears on the link “Click here to download the White Paper” and clicking on it opens a form already pre-populated with all of our data(and sounds already evil):
The link is formulated in this way:
From an analysis fast enough gives us confidence that the variable that identifies the customer and “elq= “.
With a few google search if you derive a good amount, but the most significant thing is that some of the links are indexed (because’) on the site “secureforms.mcafee.com” ( “secure form” …. ).
and so on.
Does not seem to me to be the best way to deal with the data and if on the one hand there are no data “sensitive”, however, there are sufficient information to attempt to identity theft. In addition, “i thought it was” that the same value is used in the system of opening and managing ticket and it is easily possible to impersonate another user.
From McAfee i expect something different.
L. (luca.savoldi@gmail.com)
McAfee customer information leakage
McAfee è uno dei maggior player in ambito IT Security e in particolare è tra più attivi, se non il più attivo, nel produrre interessantissimi studi che poi condivide con il propri clienti (in particolare con quelli enterprise).
Capita a tutti di sbagliare, anche ai migliori, ma quello che mi ha colpito in negativo in questo caso è stata la poca sensibilità per non dire totale trascuratezza, nel gestire una segnalazione.
Quando ho riscontrato il problema mi sono posto nelle condizioni di un normale utente e ho cercato sul sito, sia quello pubblico generico, sia il portale specifico per i clienti, un punto di contatto specifico per inviare una segnalazione: non l’ho trovato.
A questo punto ho usato il supporto per i clienti cercando di comunicare un “information leakage of customer data” nel sistema dedicato ai clienti enterprise; il primo giro di risposte è stato un simpatico “it’s not our department, contacts another office“.
Another? Quale? “Another.”
Dopo vari tentativi sono passato alle mail, anche in questo caso ho trovato ben pochi riferimenti, per cui mi sono affidato alle mail trovate sul sito, come quella del(la) responsabile della comunicazione.
Sono passati 2 mesi, mai ricevuta una risposta. E il problema è ancora lì. Non bene.
Un azienda che si occupa di sicurezza dovrebbe aver tra i primi valori il saper cogliere ogni segnalazione, anche la più debole.
Questo è il problema segnalato:
Periodicamente McAfee manda ai propri clienti enterprise una mail per notificare una notizia come la disponibilità di uno studio:
Nella mail compare sempre il link “clicca qui per scaricare il White Paper” e cliccandoci si apre un form già precompilato con tutti i nostri dati(e suona già male):
Il link è formulato in questo modo:
Da un’analisi abbastanza veloce ricaviamo che la variabile che identifica il cliente è “elq=”.
Con qualche ricerca di google se ne ricavano una buona quantità, ma la cosa più significativa è che alcuni link sono indicizzati (perché?) proprio sul sito “secureforms.mcafee.com” (“secure form” ….).
e via dicendo.
Non mi sembra il modo migliore di trattare i dati e se da un lato non ci sono dati “sensibili”, ci sono però sufficienti informazioni per tentare un furto di identità.
Inoltre “mi è parso” che lo stesso valore sia usato nel sistema di apertura e gestione ticket e si facilmente possibile impersonare un altro utente.
Da McAfee mi aspetto qualcosa di diverso.
L. (luca.savoldi@abissi.eu)
PRISM
America has set up a tool to spy on us! All! The project is called Prism, and is managed by the NSA and it’s crazy!
Oh did you already know? Actually I had to share this thought for some time, at least one year. Today has already expired. So as the first post you trim a thought expired.
Seen how it went to Snowden maybe it’s better that way. The PRISM project I mentioned CyberSecurity Summit in Milan in April, but we talked about it for a long time with some customers.
So I was aware of ultra-secret information about a project? Doh.
I will reveal here, today, my informants. I’m sorry for them, probably will be tortured, sentenced to death, exiled.
If you want to understand, at the highest level, how the American counter-terrorism computer has moved, what do you do? Do you inject some phantom trojan intern? You are freezing.
Do you bribe some important pawn? You are freezing.
Do you send some pleasant lady to infiltrate? (let’s talk) You are freezing.
If you want to know what a company or a person or anyone is doing, what do you do first? Open their website!
The NSA site is quite articulate and refers to sites of the various offices (divisions) dedicated to specific tasks. For the part of anti-terrorism technology therefore it refers to the site of the “Combating Terrorism Technical Support Office”, for friends CTTSO, and the site, with no little imagination, is www.cttso.gov .
Let’s open the site and we don’t try to tamper with some restricted area; no, we look trivially on the homepage.
On the left dominate 3 beautiful icons that invite you to download the “2012 CTTSO Book Review” and are so accommodating that they offer you it in 3 different sizes.
In the paper are described, with the typical American pride, all their ongoing projects, successes and expenses. There is talk of many things, of chemical weapons, nuclear, but obviously the majority part of the space is devoted to the “Cyber Defense”.
I cut&paste the little preface in the document highlighting a few points:
“Cyber Defense Applications
Support sustained operations through development and fielding of enhanced layered defensive capabilities by anticipating and Avoiding threats through understanding the cyber situation, anticipating adversarial actions, Assessing potential impacts, and by Implementing defensive methodologies. “
Get it? Too generic?
The first application is presented to the Monitoring Social Trends “of which I enclose screen:
I take a little bit here:
“A media monitoring capability named PRISM (Planning, Research, and Intelligence Scalable Modeling) monitors large numbers of Web-based media sources in selected countries to aggregate, estimate, and track the attitudes expressed in the media. A cognitive task analysis was conducted to develop an analytic methodology and a processing pipeline to provide trend data from foreign media. PRISM integrated Web media extraction, foreign language machine translation (including French, Urdu, and Arabic), sentiment estimation, statistical modeling, and visualization components to deliver trend data to analysts and planners. In addition, PRISM provided access to an extensive database of related social and cultural contextual data trends on the countries studied.”
Toh, it is called PRISM. I think it is well explained.
The document goes on to describe other application-project, with some perseverance towards Social Networks and their db.
Among others there is the “Social Cultural Assessment from Passive Sensing” that aims to process data for an assessment of the life patterns of a certain population and quantify “the emotional atmosphere” of the people.
S-CAPS (it is the nickname for friends) also uses other sensors:
“S-CAPS employs Technology Readiness Level 9 multimodal unattended ground sensors to collect and wirelessly exfiltrate low-resolution video, seismic, and acoustic data. Soft- biometric and anthropometric parameters, time-labeled foot/ vehicle/animal traffic flow, acoustic signatures, and micro- demographic measurement variables are derived from this sensor data”.
So it is not only the web, it also takes data from videos, from the audio, in short, various things (someone said phones? I have not).
Then we have the SNAP, Social Network Analysis Platform.
This is able to flush out the data of a person by analyzing links, references, looking in papers everywhere.
It does a nice job:
“SNAP automatically creates rich networks that not only include information on social relationships, but also about relationships between people, organizations, locations, and many other entity types.”
So you pull out not only who you are and what you do but who you know, your relationships and then on to the grand finale:
“When complete, given the raw data about a situation, SNAP will be able to identify the key players; their roles, relationships, and power bases; the key social groupings and cleavages; the key players’ and groups’ motivations, strengths, weaknesses, threats, and capabilities; and to generate alarms and warnings.”
The next project is called “Model Predictive Controller” and the name already says a lot.
“Technically, MPC is a sophisticated engineering discipline that draws upon well-established principles of modeling, estimation theory, and control theory.”
Ok? It ‘clear no? I know all about you and apply a complex discipline that uses the principles of modeling (of mind?) the evaluation and control.
If it is unclear ask the people of the recent Arab Spring.
Closed the computer, which is what I was interested, I invite you to read the rest of the document. In addition to the Cyber defense more funds were spent for the study, management and identification (how to detect and leave traces) of chemical weapons.
It’s curious that in 2012 you invest so much money on a topic and just happened in 2013 and it all becomes so relevant? These Americans are too far ahead, create the solution before the problem.
PS if anyone reading this think that I am un-American, no, I have always admired and think is the right way of life, but this does not mean being blind.
L. (luca.savoldi@abissi.eu)
PRISM
L’America ha messo in piedi uno strumento per spiarci! Tutti! Il progetto si chiama Prism ed è gestito dal NSA ed è pazzesco! Ah lo sapevate già? Effettivamente questo pensiero dovevo condividerlo da tempo, almeno da un anno. Oggi è già scaduto. Quindi come primo post vi rifilo un pensiero scaduto. Visto come è andata a Snowden forse è meglio così. Del progetto PRISM ne ho accennato al CyberSecurity Summit a Milano ad aprile, ma ne avevamo parlato da tempo con alcuni clienti. Quindi ero a conoscenza di informazioni riguardanti un progetto ultra segreto? Doh. Svelerò qui, oggi, i miei informatori. Mi dispiace per loro, probabilmente verranno torturati, condannati a morte, esiliati. Volendo capire, ad altissimo livello, come si stava muovendo sul piano informatico l’antiterrorismo americano cosa fai? Inietti fantomatici trojan a qualche stagista? Acqua. Corrompi qualche pedina importante? Acqua. Mandi qualche piacente signorina ad infiltrarsi? (parliamone) Acqua.
Se vuoi sapere cosa sta facendo un’azienda, o una persona, o qualsiasi cosa, cosa fai per prima cosa? Apri il loro sito!
Il sito dell’NSA è abbastanza articolato e rimanda ai siti dei vari uffici (divisioni) dedite alle specifiche attività. Per la parte tecnologica dell’antiterrorismo rimanda quindi al sito del “Combating Terrorism Technical Support Office” per gli amici CTTSO e il sito, con non poca fantasia, è www.cttso.gov. Apriamolo il sito e senza cercare una qualche area riservata da manomettere; no, guardiamo banalmente in homepage. A sinistra troneggiano 3 belle icone che ti invitano a scaricare il “2012 CTTSO Review Book” e sono talmente servizievoli che te lo propongono in 3 differenti formati. Nel documento vengono descritti, con il tipico orgoglio americano, tutti i progetti in corso dal loro ufficio, i successi e le spese. Si parla di tante cose, di armi chimiche, di nucleare, ma ovviamente la maggior parte dello spazio è dedicato alla “Cyber Defense”. Copio/incollo la piccola prefazione nel documento evidenziando alcuni punti:
“Cyber Defense Applications
Support sustained operations through development and fielding of enhanced layered defensive capabilities by anticipating and avoiding threats through understanding the cyber situation, anticipating adversarial actions, assessing potential impacts, and by implementing defensive methodologies.”
Capito? Troppo generico? Il primo applicativo presentato è per il Monitoring Social Trends” di cui allego schermata: Ne prendo anche qui un pezzettino:
“A media monitoring capability named PRISM (Planning, Research, and Intelligence Scalable Modeling) monitors large numbers of Web-based media sources in selected countries to aggregate, estimate, and track the attitudes expressed in the media. A cognitive task analysis was conducted to develop an analytic methodology and a processing pipeline to provide trend data from foreign media. PRISM integrated Web media extraction, foreign language machine translation (including French, Urdu, and Arabic), sentiment estimation, statistical modeling, and visualization components to deliver trend data to analysts and planners. In addition, PRISM provided access to an extensive database of related social and cultural contextual data trends on the countries studied.”
Toh, si parla di PRISM. Mi pare che sia ben spiegato. Il documento prosegue descrivendo gli altri applicativi-progetto, con una certa perseveranza verso i Social network e i loro db.
Tra gli altri c’è il “Social Cultural Assessment from Passive Sensing” che ha come obbiettivo di lavorarsi i dati per avere un assessment dei modelli di vita di una certa popolazione ed quantificare “l’atmosfera emotiva” delle persone. S-CAPS (è il nomignolo per gli amici) usa anche altri sensori:
“S-CAPS employs Technology Readiness Level 9 multimodal unattended ground sensors to collect and wirelessly exfiltrate low-resolution video, seismic, and acoustic data. Soft- biometric and anthropometric parameters, time-labeled foot/ vehicle/animal traffic flow, acoustic signatures, and micro- demographic measurement variables are derived from this sensor data”.
Quindi non è solo web, prende i dati anche dai video, dall’audio, insomma varie cose (qualcuno ha detto cellulari? Io no). Poi abbiamo lo SNAP, Social Network Analysis Platform. Questo è capace di scovare i dati di una persona analizzando link, riferimenti, cercando nei documenti, ovunque. E fa un bel lavoro:
“SNAP automatically creates rich networks that not only include information on social relationships, but also about relationships between people, organizations, locations, and many other entity types.”
Quindi ti tira fuori non solo chi sei e cosa fai ma anche chi conosci, le tue relazioni per poi giungere al gran finale:
“When complete, given the raw data about a situation, SNAP will be able to identify the key players; their roles, relationships, and power bases; the key social groupings and cleavages; the key players’ and groups’ motivations, strengths, weaknesses, threats, and capabilities; and to generate alarms and warnings.”
Il prossimo progetto si chiama “Model Predictive Controller” e il nome dice già molto.
“Technically, MPC is a sophisticated engineering discipline that draws upon well-established principles of modeling, estimation theory, and control theory.”
Ok? E’ chiaro no? so tutto di te e applico una complessa disciplina che sfrutta i principi della modellazione (della mente?) della stima e del controllo. Se non è chiaro chiedere alle recenti popolazioni della primavera araba. Chiusa la parte informatica, che è quella che mi interessava, vi invito a leggere anche il resto del documento. Oltre alla Cyber defense i maggiori fondi sono stati spesi per lo studio, la gestione e l’individuazione (come rilevare e lasciare le tracce) delle armi chimiche. Curioso che nel 2012 si investano così tanti soldi su un argomento e guardacaso nel 2013 diventa tutto così attuale? Questi americani sono troppo avanti, creano la soluzione prima del problema.
PS se qualcuno leggendo questo pensasse che io sia anti Americano, no, li ho sempre ammirati e credo sia il giusto modello di vita, ma questo non vuol dire essere ciechi.
L. (luca.savoldi@abissi.eu)
Visualizza il profilo di Luca Savoldi
Ciao mondo!!
Rispondi
Ho un neurone.
E’ uno solo ma ogni tanto fa girare la ruota (ovviamente è servoassistita, ma va bene così) e se ne esce con qualcosa che reputa interessante. Inizia a tempestarmi da dentro urlandomi la sua scoperta.
E’ come un bambino piccolo, vuole attenzione e non molla finchè non lo ascolti.
La cosa migliore per zittirlo è condividere l’informazione, postarla daqualche parte. Così è contento e si gongola. Molte cose non trovano una collocazione, su facebook ci metti le foto delle vacanze, le splash news (più che altro trash), non è posto per elucubrazioni mentali su problemi di sicurezza o perversioni simili. Su twitter? impossibile, quello è per gli short message, x cond info ke x d + nn scapiscono.
E così le archivio nello scaffale delle cose “prima o poi ne farò qualcosa”. Che poi regolarmente scadono e perdono senso.
Bene, qui adesso rovescerò un po’ di queste info. Così le ho messe e le ho condivise. E siamo tutti felici. Io e N€1 almeno lo siamo. PS prima di 10 minutì fa’ Il Neurone non aveva un nome, poi davanti alla finestra “Dai un nome al sito” si è svegliato, è salito sulla ruota e se ne uscito con
“Ohhh Ohhh metti n€1, fichissimo, n-euro-one!” troppo togo!”.
Ecco, lui è così, dorme, si sveglia con la cazzata del momento e se gli dai retta poi torna a dormire. Un idiota. Lui ovviamente, non io.