Archivi tag: security

InfoSecurity 2007

Grazie all’invito di Sikurezza.org, questa mattina ho fatto la mia visita ad InfoSecurity 2007.

Ci ero già stato gli anni scorsi, piu interssato al concomitante “Storage Expo” in realtà, che non all’InfoSecurity in se. Quest’anno invece, complice l’invito di Sikurezza.org, sono andato in Fiera Milano City praticamente solo per assistere ad una serie di conferenze organizzate dai ragazzi di Sikurezza.

Di conferenze interessanti ce n’era molte, durante tutto il giorno. Inoltre, avendo potuto, non mi sarei perso il talk di Matteo Flora, giovedi 8. Purtroppo però, giovedi sono impegnato tutto il giorno per questioni di lavoro, e quindi non potendo essere della partita, ho optato per oggi.
Oltretutto visto che Laura  lavorava fino alle 16:00 ed io ero all’altro capo di Milano, alle 14:00 ho lasciato la Fiera per tornare a recuperarla e “pranzare” insieme.

Ho dato una sbirciata agli espositori, attendendo che passasse quell’ora di anticipo sull’inizio del primo evento che avevo. In realtà per fortuna mi sono trovato ad appendere cartelloni di Sikurezza.org insieme a Naif, ed il tempo è passato un po piu in fretta.

Primo talk che ho seguito, il primo previsto, era davvero di quelli da non perdere. Melanie Rieback, esperta di fama mondiale di sicurezza legata agli RFID, ha tenuto un talk di un’oretta introducendo gli spettatori alle principali vulnerabilità che questa tecnologia porta con se. Davvero interessante constatare come le classiche metodologie di attacco legate alla routing del Web, si possano in qualche modo replicare facilmente in un ambiente attualmente poco controllato come quello della Radio Frequency IDentification.

In seguito,  il povero Pino Badalamenti si è trovato senza un computer che fosse in grado di gestire il proiettore, e ha dovuto tenere il suo talk sull’analisi di funzionamento di TOR “a braccio”. Avendo avuto già modo di leggere un po di materiale su TOR, non ho sentito quasi nulla di nuovo, ma la spiegazione era chiara e piuttosto curata. Un’altra oretta interessante, soprattutto per gli aspetti legati agli attacchi possibili su questa piattaforma anonimizzante.

Ma l’evento della giornata è sicuramente stato quello che ha visto coinvolti Matteo Flora, Naif e Mayhem in un “rimpiazzo volante” di un intervento saltato all’ultimo momento.
Sulla base delle proprie competenze e di una semplice mappa mentale, i tre hanno inscenato un vero “teatrino tecnico”, passandosi di mano il microfono e riuscendo, tra le risate del pubblico, a trasmettere non poche nozioni a riguardo di “Voice Privacy & security”. I miei piu sentiti complimenti.

Http server: linux piu sicuro di Windows (?)

ApacheHo trovato su del.icio.us un link che porta ad una interessante ricerca condotta da Richard Stiennon e pubblicata sul suo blog presso ZDnet (le immagini sono state realizzate e fornite da Sana Security).

Lo scopo di questa ricerca è definire un metro di paragone per giudicare la sicurezza di un server http su linux (utilizzando Apache) e su Windows Server (utilizzando IIS). Il metro di giudizio, secondo Stiennon, potrebbe essere identificato nel numero e nella complessità delle relazioni tra le chiamate di sistema che vengono fatte al fine di produrre il risultato (in questo caso, la pagina HTML da spedire al browser). Le chiamate di sistema infatti, sono quelle che espongono a problemi il sistema a fronte di un bug nel webserver, in quanto sono quelle che consentono di portare a buono fine un attacco di tipo (ad esempio) buffer overflow.

IISPer verificare questa teoria, Sana Security ha mappato un grafico di complessità relativo ai due sistemi, ed ecco cosa ne emerge. La prima immagine (in alto) si riferisce alle chiamate di sistema che Apache fa al kernel Linux a fronte di una richiesta. Qui a fianco invece, vediamo il grafico relativo alle chiamate portate dal webserver Microsoft IIS ad un sistema Windows Server.

La differenza di complessità può lasciare davvero sbalorditi e portare ad affermare che “Linux è piu sicuro di Windows”, ma ci sono da fare un paio di precisazioni molto importanti da questo punto di vista.

  1. Stiamo facendo riferimento ad server web. Non si deve assolutamente generalizzare prendendolo come paragone per l’intero sistema.
  2. Non abbiamo a disposizione particolari riferimenti riguardo alle modalità con cui quei grafici sono stati generati. Non sappiamo ad esempio se si tratta di una semplice richiesta di una pagina HTML o dell’elaborazione di uno script PHP che interagendo con MySQL porta alla produzione di tale pagina (il primo caso essendo sicuramente meno vulnerabile ad attacchi di tipo buffer overflow, non potendo introdurre codice arbitrario). Allo stesso modo non abbiamo riferimenti sulle versioni dei software utilizzati.

Fatte le debite precisazioni, cerchiamo di cavare qualcosa di buono da quanto “scoperto”.
Possiamo dire che la complessità del server web IIS è davvero spaventosa. Mi chiedo da chi sia stato progettato, sembra tutto fuorchè modulare (un webserver della complessità di IIS o Apache è sicuramente terreno adatto all’applicazione delle teorie di Ing. del Software).

Al di la del maggior numero di chiamate di sistema che questo pastruglio lo porta a fare, mi immagino un codice piuttosto spaghettizzato, e sicuramente piu difficilmente mantenibile rispetto a quello che potrebbe essere il codice di Apache.

Leggendo poi tra i commenti al post di Stiennon, mi sono imbattuto nell’affermazione che Apache è stato maggiormente violato rispetto a IIS secondo le classifiche di Zone-H. Potendo con buona approssimazione considerare il citato documento come attendibile (nonostante si riferisca a quanto accaduto durante l’anno 2005, in quanto le statistiche del 2006 non sono ancora disponibili), dobbiamo però notare che l’autore del commento ignora completamente il fatto che fin dal 2004 la stragrande maggioranza degli attacchi vengono condotti a livello applicativo, quindi nei confronti di PHP e MySQL quindi, o ASP e MsSQL (a pagina 17 delle citate statistiche trovate le percentuali relative alle tipologie di attacco), indipendentemente dal webserver installato.
Anche nel merito, però, l’autore del commento sbaglia. Osservando la pagina 14 del pdf infatti, notiamo che i due server web sono in sostanziale parità.

Inoltre, Apache è largamente piu diffuso di IIS sul web. Secondo le statistiche di febbraio di NetCraft.com, nonostante sia in letterale caduta libera (argomento sul quale ci sarebbero da fare profonde riflessioni), Apache detiene ancora quasi il 59% del mercato dei WebServer, mentre IIS di Microsoft si attesta intorno al 31%. Questo rende 2 volte piu probabile imbattersi in un webserver Apache che in un webserver IIS, e ciò spiega (in parte) il maggior numero di violazioni segnalate su piattaforme su cui è installato Apache.

In piu, c’è da dire che le statistiche di Zone-H vengono elaborate sulla base degli attacchi segnalati, ma (come dicevo) non tutti gli attacchi sono condotti direttamente nei confronti del webserver. Con un attacco di tipo SQL Injection, poco c’entra il tipo di webserver utilizzato. Oltretutto mentre Apache è disponibile anche su piattaforme Microsoft Windows, IIS non è disponibile su piattaforme Linux, quindi i dati sono ancora meno ricollegabili alla reale sicurezza dei due sistemi operativi.

Piu senso avrebbe quindi riferirsi al tipo di piattaforma che ospita il webserver (questo non elimina però il discorso legato alla metodologia di attacco, che spesso e volentieri non coinvolge direttamente ne il webserver ne tantomeno il sistema operativo), ed osservando questo dato sulle statistiche relative al 2005 fornite da Zone-H (attendo con ansia quelle relative al 2006), emerge una sostanziale parità tra i sistemi Windows ed i sistemi Linux.

Nel quadro complessivo, a mio avviso, l’unica cosa seria che possiamo dire è che IIS è estremamente piu complesso di Apache (almeno per quel che riguarda le versioni prese in considerazione), e le uniche conclusioni che si possono da questo estrapolare, sono probabilmente legate alla maggior difficoltà di manutenzione del software, ma anche, tutto sommato, la maggior messa a disposizione di risorse agli attaccanti (precisando naturalmente che per sfruttare queste risorse sono necessarie ben piu gravi violazioni ai servizi dei livelli superiori).

Windows Vista e le applicazioni “datate”

Frugando in giro per la rete, mi sono imbattuto in un paio di blog davvero interessanti, e ne ho aggiunto un feed temporaneo a Firefox per vedere come evolvono le discussioni che vi ho trovato. Tra i vari post, uno in particolare ha colpito la mia attenzione.

Alle prese con un route Cisco e con il software in dotazione non ancora in grado di funzionare sul nuovo Windows Vista, Giovy si è giustamente inca**ato per via del mancato supporto da parte del Customer Care di Cisco, che si è rifiutato di fornire la nuova versione (sempre che esista) del client VPN consegnato insieme al router ed indispensabile per poterlo configurare (non faccio commenti).

La mia osservazione non sta nel merito della vicenda, sulla quale Giovy ha certamente ragione (se il protocollo utilizzato fosse stato aperto, d’altra parte, avrebbe potuto utilizzare un qualsiasi altro client che supportasse quello standard, ma questo è un altro discorso). Quello che voglio dire è: che ti aspettavi da Vista?

Che ci sarebbero stati problemi con la migrazione del software, era piuttosto risaputo. Le “innovazioni” introdotte con il nuovo sistema operativo di casa Microsoft, sono tali da rendere incompatibili (a buona ragione devo dire, vista la natura di questa specifica “innovazione”) le vecchie versioni di alcuni software con il nuovo sistema.

C’è da dire che la versione business di Vista è uscita a dicembre, ma si tratta anche di poco piu di due mesi di lavoro… capisco perfettamente il disappunto, ma non tutte le aziende hanno da far altro che sviluppare client VPN… la risposta del Customer Care è assolutamente inaccettabile, concordo, ma evidentemente Cisco ha ritenuto prioritario sviluppare altro che non quel client, oppure semplicemente (e mi dispiacerebbe ancora di piu, ma mi sembrerebbe strano) vogliono trarre profitto dalle migrazioni a Vista…

La cosa piu semplice da immaginare è che in Cisco non si aspettino una tale rapidità di migrazione a Vista… Giovy sta usando quel sistema operativo in quanto “in fase di test”, perchè per mestiere si occupa di verificare le necessità relative alle migrazioni tra sistemi. Comprendo perfettamente, ma noto una lieve incompatibilità: utilizza sempre un “sistema di test” per adoperare prodotti che servono la “continuità”? Va leggermente contro le buone regole della Sicurezza Informatica, oltre che contro il Buon Senso… e se quel sistema di test (qualsiasi tipo sia) fallisse il test, lasciandolo in braghe di tela, come potrebbe garantire la continuità del servizio? E’ quello che diceva Bruce Schneier nel suo libro “Crittografia Pratica“: non si possono barattere prestazioni e funzionalità con la sicurezza. E’ un atteggiamento perdente in partenza.

Concludo semplicemente dicendo che se quel client VPN fosse stato OpenSource, il problema lo si risolveva probabilmente piu rapidamente… nel caso in cui non fosse stata Cisco a risolverlo, bastava correggere il bug a manina e ricompilare… forse non lo farà l’utente medio, ma l’utente medio non compra un router Cisco…

Aggiornato: “Sicurezza: manuale d’uso”

Era un pezzo che dovevo farlo, ma finalmente ho trovato la voglia di mettere mano alla presentazione “Sicurezza: manuale d’uso” che avevo preparato qualche tempo fa, per aggiungere qualche considerazione sulla reale forza della crittografia.

Crescita della potenza computazionale e nuovi modelli matematici contribuiscono a rendere di giorno in giorno la sicurezza degli attuali algoritmi, a chiave simmetrica o asimmetrica, sempre piu deboli. La sicurezza è ancora accettabile, ma conoscerne i limiti sicuramente aiuta ad agire con piu prontezza.

Ho inoltre inserito accenni alla crittografia basata su curve ellittiche e alla crittografia quantistica.