Zero Day in Internet Explorer 6 e 7

Una vulnerabilità di tipo 0-day è stata identificata in Microsoft Internet Explorer 6 e 7.

La vulnerabilità, causata da un "dangling pointer" in Microsoft HTML Viewer (mshtml.dll) quando utilizza oggetti CSS/STYLE tramite il metodo "getElementsByTagName()", può provocare il crash del browser oppure l'esecuzione di codice malizioso, semplicemente inducendo l'utente a visitare pagine Web maliziose.

Anche Symantec conferma l'esistenza di tale 0-day e suggerisce come soluzione (in attesa della patch) di disabilitare JavaScript per le zone Internet e local Intranet, e ovviamente un buon antivirus aggiornato.

Attendiamo che mamma Microsoft rilasci, con urgenza, la patch.

PEC e firma digitale del mittente

Una delle domande che spesso mi sento rivolgere è se sia necessaria la firma digitale nella PEC. Senza indugiare nella risposta. Dipende!

La PEC è un meccanismo di recapito con ricevuta di ritorno elettronica. Sostanzialmente l'utente, dotato di indirizzo PEC, invia in modo sicuro e autenticato al suo gestore (chiamato gestore del mittente) di posta la mail da recapitare in PEC. Questi la prende in carico, apponendo la firma digitale del provider stesso con relativa marca temporale ed inviando una ricevuta di presa in consegna al mittente. Come vedete una firma digitale c'è, ma del provider che la prende in carico.

A questo punto la busta firmata viene inviata al gestore del destinatario che verifica l'autentiticità della firma digitale del gestore del mittente (e altri controlli) e invia una ricevuta di presa in carico a quest'ultimo. Poi quando consegnerà la mail nella casella del destinatario invierà una ricevuta di consegna al mittente.

Ovviamente ogni passaggio è tracciato sui log dei vari gestori, log ispezionabili a posteriori per eventuali notifiche di ricevute ulteriori.

A questo punto siamo tranquilli perché il messaggio è stato firmato digitalmente dai diversi gestori, che però stanno attestando unicamente l'autenticità del messaggio di posta (e quindi anche del contenuto) dal momento in cui è stato preso in consegna dal gestore del mittente. Autenticità rispetto al gestore e non rispetto al mittente del messaggio!

Per cui se inviassimo un documento con valore legale, dovremmo prima firmarlo con la nostra firma digitale personale (e relativo certificato con DN qualificato) garantendone l'autenticità e l'integrità, poi, con l'invio in PEC, saranno garantite anche l'autenticità e l'integrità rispetto ai sistemi di gestione PEC con le relative marche temporali.

L'invio tramite PEC infatti, è spesso un buon modo di apporre una marca temporale ad un documento o ad un insieme di documenti allegati al messaggio.

Del resto anche oggi, se volessimo garantirci che un foto non sia stata scattata posteriormente ad una certa data, dovremmo inviarcela a noi stessi con una raccomandata con ricevuta di ritorno che ne attesterebbe in modo certo, e da un terzo fidato, la data di spedizione. Ovviamente poi non dovremmo aprire tale raccomandata (vedetevi la Raccomandata Online di Poste, servizio molto interessante) nel caso di RR cartacea, mentre con la PEC saremmo garantiti anche su questo punto, potendo ispezionare quante vole vogliamo il contenuto del messaggio di PEC.

Se invece non volessimo utilizzare la firma digitale del messaggio di PEC ed utilizzare unicamente le firme digitali della PEC nel meccanismo di invio, l'autenticazione sicura al gestore del mittente configurerebbe una sola firma elettronica del messaggio e dei documenti allegati. Quindi mentre il trasporto sarebbe garantito dalle firme digitali dei gestori, mittente e destinatario, il testo del messaggio ed i documenti allegati sarebbero garantiti nella loro autenticità unicamente dalla firma elettronica espressa dalla nostra autenticazione sicura al gestore del mittente.

In conclusione: PEC sì, ma con documenti e messaggio firmati digitalmente dal mittente.

Www.riformabrunetta.it Hackerato!

A tempo di record hanno hackerato il sito della Riforma del Ministro Renato Brunetta: www.riformabrunetta.it. Il sito dovrebbe servire a monitorare l'efficienza della PA ed è stato presentato oggi stesso. Questo l'errore che campeggia a tutta pagina nel momento in cui scrivo questo post.

E poi dice che nella PA non sono efficienti! Questa volta lo sono stato fin troppo...tempo 3 ore ed il sito era giù. Certo, da parte del Ministro forse un errore di comunicazione: avrebbe dovuto dichiarare "non sono degli hacker....sono solo le innumerevoli richieste. Segno che la gente sente in modo particolare il problema".

Se vi fate un giretto sul WhoIs del NIC.IT potete anche capire la politica con cui il Ministero "di Brunetta" registra i domini. Visto che comunque un Ministero è una Istituzione, si spera che questi domini "Ad personam" se li registri Brunetta come cittadino e non come Ministro della Repubblica.

Capisco la "professorite" ma un po' di rispetto per le Istituzioni no? Visto che ci tiene tanto alla efficienza della PA e dei suoi dipendenti, li impegnasse in attività istituzionali invece di sprecare i NOSTRI soldi nel farsi campagna elettorale.

Password e chiavi di 64 asterischi

Poco tempo fa stavo leggendo un articolo in cui si affermava che l'immissione della password oscurata con i soliti asterischi, è cosa oramai superata. Piuttosto che inserire la password due volte oscurata, si dà la possibilità all'utente, dietro attivazione di un opportuno flag, di visualizzare la password che sta scrivendo.

A prima vista può sembrare un approccio poco sicuro, ma riflettendoci bene questa piccola deroga alla sicurezza aiuta enormemente l'inserimento di password estremamente lunghe! Dovendo inserire la stessa password "al buio" con i soliti asterischi, la probabilità di sbagliare è alta e ci si potrebbe scoraggiare, riducendone alla fine la lunghezza. Inoltre il solito trucco di copiare e incollare la stessa password due volte rischia di fare ulteriori danni, incollando magari una stringa errata.

Con questa piccola deroga invece possiamo inserire le password o le chiavi segrete controllando a video la corretta immissione. E se sono particolarmente lunghe il beneficio sarà immediato ed estremamente percepibile.

Ho potuto riscontrare il non-beneficio quando, comprata la mia nuova e fiammante console, ho configurato il WiFi di casa in essa. Dopo aver abilitato il MAC address della console sul router, mi sono cimentato, con la keyboard a video e il controller della console, nell'inserimento della chiave WPA di 64 caratteri assolutamente pseudi-casuali. Esperienza a dir poco unica! Unico campo per l'inserimento della chiave e impossibilità nel controllare l'inserimento appena effettuato grazie al famigerato asterisco. Ho dovuto schiavizzare la mia Lei nel dettarmi la password ad alta voce con un protocollo di SYN-ACK vocale per ogni carattere inserito: una vera tragedia, ma alla fine la mia console è andata finalmente in rete.

La riflessione però è d'obbligo.

Se il possessore della console non fosse stato lo scrivente, notoriamente fissato con la sicurezza, quanto pensate che un utente normale ci avrebbe messo a diminuire la lunghezza della chiave ed impostarla magari a soli 13 caratteri, direttamente sul router con frase finale del tipo "Ma sì, chi vuoi che provi ad entrare nella mia rete WiFi! Vai a dare retta al solito maniaco della sicurezza" con grande sospiro alla fine?

La sicurezza ha un costo e non è detto che tutti siano disposti ad assumerselo. E' proprio per questo che migliorare l'usabilità delle funzionalità di sicurezza, aiuta ad aumentare la sicurezza totale del sistema.

Lo scoiattolo terrorista

Ricordate l'attacco del cavernicolo? Ecco perché bisognerebbe considerare terroristi anche degli (innocui) scoiattoli. Decine infatti sono i problemi in centrali elettriche americane provocate da degli scoiattoli che intrufolandosi nelle centrali di trasformazione provocherebbero dei blackout. I poverini ovviamente non ne escono vivi.

Se degli scoiattoli riescono a provocare questi danni, prima o poi a qualcuno verrà in mente di addestrarli. E non pensiate che la notizia sia surreale: negli States gli scoiattoli sono molto comuni e problemi del genere anche.

Insomma il bug (nel senso di scarafaggio) sta al software come lo squirrel (scoiattolo) sta alla sicurezza fisica!

Primo OWASP Day per la PA

Il 5 Novembre 2009 si è tenuto nell'Auditorium di Via Rieti a Roma il primo OWASP Day per la PA organizzato appunto da OWASP e CONSIP. Devo dire che sono rimasto impressionato per il numero di partecipanti, a occhio e croce circa una sessantina di rappresentanti delle varie PA, locali o centrali e SpA collegate.

Gli speaker, tutti di notevole spessore tecnico, hanno illustrato non solo cosa sia l'Application Security e la Software Security, ma anche come queste tematiche stiano diventando di interesse per la PA e come questa possa e debba gestirle. La PA infatti è uno dei principali motori di outsourcing, almeno nel Lazio, e spesso si trova a confrontarsi con prodotti software sviluppati da società private. E' quindi chiaro che anche una garanzia sulla sicurezza del software comincia a divenire estremamente importante, vista anche l'esposizione delle stesse PA sul Web con applicazioni Web sempre più pervasive e esposte all'esterno.

Matteo Meucci, responsabile del capitolo italiano di OWASP e navigato evangelist della sicurezza delle applicazioni Web, con estrema efficacia introduce i concetti chiave della sicurezza del software. Concetti necessari alla platea per comprendere più a fondo gli interventi successivi. Ovviamente non poteva mancare l'illustrazione delle "guide" gratuite di OWASP che costituiscono insieme alla vasta community l'assett fondamentale. Di seguito un breve elenco delle guide per stimolare la vostra curiosità:

• OWASP Top 10 - 2007 Edition
• Software Assurance Maturity Model (SAMM)
• OWASP Testing Guide
• OWASP Code Review
• altro...

Segue Matteo Cavallini di CONSIP con l'interessante esperienza della ULS (Unità Locale di Sicurezza) in CONSIP. Una sorta di CERT CONSIP operante per la stessa e per il Ministero del Tesoro. Cavallini illustra in modo chiaro il ruolo della ULS e di come questa approcci la sicurezza applicativa sia in una fase preventiva che reattiva. Interessante il suo punto sulla gestione degli outsourcer con linee guida di sviluppo sicuro da inserire nella contrattualistica: obbligare i fornitori a seguire le linee guida di sviluppo sicuro per non incorrere in penali.

Successivamente l'intervento di Marco Morana, Citygroup, chiarisce l'importanza della sicurezza applicativa in grandi realtà come appunto Citygroup. Come al solito Morana, che ho avuto la fortuna di sentire in altre occasioni, offre un punto di vista estremamente equilibrato frutto di una grandissima esperienza. Riassumerei il suo contributo essenziale in questo speech con la frase "Esperti di Software Security non possono che essere dei developer". Ovviamente non è un se e solo se.

A seguire l'inossidabile "think-tank" Mario Fontana ha introdotto per Microsoft le architetture federate e i nuovi meccanismi di autenticazione e autorizzazione in queste realtà. Che dire: bravissimo. Il suo contributo? Con le architetture federate e i token di sicurezza togliamo dalle mani dei developer l'onere di implementare i meccanismi di autenticazione e autorizzazione. Quindi standardizzazione dei metodi, controllo centrale a livello di configurazione, mai più soluzioni fatte in casa. In sostanza l'evoluzione del SSO con tecnologie che oggi sono mature e pronte anche per il Cloud Computing.

Per finire lo speech di Tommaso Palumbo, digente dello CNAIPIC, che ha fatto un intervento di sicurezza orientato alle attività della Polizia Postale.

Al termine una piccola tavola rotonda con qualche domanda dalla platea in cui i diversi speaker, portando le loro esperienze, hanno quantificato dietro esplicita richiesta della platea, l'effort di aggiungere la software security nel processo di sviluppo delle applicazioni. Tutti unanimi: si parla di circa un 10%.

In conclusione una bella iniziativa che non può che far bene alla PA, centrale e locale, che così ha la possibilità di essere attrice nei processi di sicurezza applicativa senza rimanere passiva all'assalto delle svariate società private che vedono in questo nuovo ambito, spesso, solo un modo per offrire servizi. Una PA consapevole e driver di requisiti di sicurezza applicativa non possono che spingere anche il privato a divenire più maturo anche in questo settore. I tecnici della PA anche sono richiamati ad una maggiore attenzione rispetto a queste tematiche che oggi non possono essere più trascurate; se non da developer almeno da tester.

Una CA alternativa: StartSSL

Posto qui un'interessante intervista di LinuxSexurity.it a Eddy Nigg, fondatore di StartSSL, Certification Authority "alternativa". Buona lettura :-)

((( LinuxSecurity.it )))

Linux Security ha avuto modo di scambiare qualche domanda con Eddy Nigg, fondatore di StartSSL, una CA “alternativa”, in tutti i sensi. Il modello di business adottato è abbastanza diverso da quello di altre CA più conosciute, con una politica di prezzi assolutamente controtendenza: una volta effettuata la verifica dell’identità è possibile richiedere quanti certificati si desidera, il pagamento è richiesto solo per quelle attività che richiedono un intervento umano (tipicamente solo quelle di identificazione o il rilascio di certificati EV).

Linux Security: Ciao Eddy, prima di tutto grazie per averci dedicato un po’ del tuo tempo.

Eddy Nigg: Grazie a te per avermi contattato, è un piacere poter spiegare cosa è StartSSL e cosa StartCOM significhi.

LS: Allora, prima di tutto: sul vostro sito fate un’affermazione abbastanza forte, essenzialmente contro le “grandi” CA, che vendono certificati a prezzi estremamente elevati, laddove StartSSL invece richiede il pagamento solo per le attività per le quali è richiesto l’intervento umano. Ci puoi dire qualcosa in più?

EN: Esattamente! Ma lasciami spiegare meglio perchè non è tutto così semplice. Prima di tutto non siamo contro nessuna certification authority piccola o grande che sia – probabilmente vediamo le cose in modo diverso e abbiamo obiettivi diversi. Attualmente pensiamo che chi ha inventato uno strumento eccellente per mettere al sicuro le nostre comunicazioni in rete abbia fatto un grande lavoro, ma hanno fallito nel renderlo ampiamente disponibile per la grande utenza, pricipalmente per decisioni legate a modello di business e decisioni ad esso legate.

La nostra privacy e la nostra sicurezza in rete sono continuamente messe alla prova da un numero in costante crescita di attacchi di phishing, tentativi di frode, violazione della privacy tramite man in the middle e via discutendo. Dunque è sempre più rilevante proteggerci tenendone conto. Comunicazioni punto-punto cifrate ed una corretta identificazione sono cose che possono contribuire a proteggerci quando siamo online, ma ci consentono anche di costruire relazioni e qualsiasi tipo di scambio indipendentemente dalle enormi distanze.

Nel passato i certificati digitali per la protezione e l’identificazione dei siti web, o la firma della posta elettronica, documenti e programmi erano percepiti come eccessivamente dispendiosi, per poter essere utilizzati dalla gran parte della comunità di Internet. La percezione è probabilmente giustificata dal fatto che un certificato può avere un costo dai 50$ ai 1500$, a seconda del livello di validazione e verifica richiesto. L’industria dei certificati semplicemente non si è allineata alla crescente popolarità di Internet ed ha lasciato molti utenti, molti siti web, server di posta e altri servizi online sprotetti e vulnerabili, a causa della incapacità di adeguarsi alle tendenze.

Il fallimento nel rendere i certificati digitali estremamente disponibili per le masse ed il fallimento nell’educare le masse al loro impiego ha lasciato un grosso vuoto che è stato colmato sempre di più da elementi fraudolenti, intercettazioni delle comunicazioni, invasione della privacy e furti di identità.

Cambiando le priorità e applicando un modello di business completamente diverso, StartCom intende cambianre la realtà attuale rendendo i certificati digitali facilmente disponibili e quanto più facili da usare possibile. Inoltre collaboriamo e ci impegnamo con i produttori di software per aumentare l’usabilità dei certificati e promuovere verso l’utente casuale la consapevolezza a tal fine.

Ovviamente il servizio di StartCom deve essere sostenuto per poter essere efficace e rilevante per i nostri obiettivi. Il modello di business che startcom ha inventato in realtà è innovativo in questa industria e come hai detto prima nella domanda, la nostra politica dei prezzi è guidata dal principio di far pagare una cifra ragionevole (39$ N.d.A.) per quei servizi che richiedano un intervento umano. In questo modo possiamo mantenere i certificati di base (quelli per cui viene verificato il solo indirizzo di posta elettronica, N.d.A.) completamente gratuiti poichè sono generati quasi totalmente tramite procedure automatiche, ma ci consente anche di mantenere il costo dei nostri servizi a pagamento estremamente contenuto.

LS: Come percepisce la gente la mission di StartSSL? Credi che venga percepita la differenza con le CA “commerciali”?

EN: Sì, molto probabilmente sì. Ma capita di tanto in tanto che potenziali fruitori del nostro servizio non si sentano sicuri – in particolar modo quanti hanno già avuto in passato esperienze con i certificati digitali e che quindi hanno acquistato da altre certification authority. Si chiedono quale possa essere il trabocchetto, perchè ovviamente ce ne deve essere uno. Alcuni sono realmente sconcertati dal nostro approccio e si chiedono dove sia l’inganno, o ritengono che StartCom cambierà le proprie offerte (non appena largamente utilizzata).

StartCom offre i propri servizi, inclusi quelli gratuiti, in modo corretto, chiaro ed onesto. Il trucco è, che non c’è nessun trucco, e questa è la realtà. Pertanto, StartCom è comunque un’entità commerciale, ma con un cuore ed una visione.

LS: La mia percezione, guardando la vostra home page, confrontandola con quella di altre CA, è che sia diretta a persone più interessate alla sostanza che non alle apparenze (in inglese “whistle and bells”, N.d.A.) . Mi sbaglio? E` solo un effetto collaterale?

EN: Non sono sicuro di come rispondere. Dipende da cosa intendi per “apparenze”. Cerchiamo di fornire un valore aggiunto e di consentire a quanti più utenti possibile di mettere in sicurezza i propri siti web, le proprie email, sistemi di instant messaging e tenere i propri dati al sicuro. Il pannello di controllo di StartSSL cosente di creare letteralmente qualsiasi tipo di certificato normalmente impiegato senza eccessiva fatica. Soprattutto ai livelli di verifica più elevati, le possibili combinazioni e flessibilità dei certificati sono pressochè illimitate. Ma anche nei livelli più bassi e gratuiti, un elevato valore è messo a disposizione senza alcun limite imposto sul numero di certificati che un utente può ottenere.

Il messaggio è semplice e chiaro: elevata disponibilità e la libertà di mettere in sicurezza reti, server e dati! Credo possa valere molto di più di qualsiasi fronzolo.

LS: Dal mio (personalissimo) punto di vista, quante più persone iniziano ad utilizzare comunicazioni sicure (con certificati S/MIME) tanto meglio sarà per la sicurezza. Quale è la tua percezione?

EN: Sicuramente, anche se i certificati S/MIME riguardano solo una parte della nostra attività online. E’ ovviamente una parte molto importante, perchè S/MIME non mette al sicuro solo le nostre email, ma consente all’utente casuale di confrontarsi con i certificati ed educarlo al loro utilizzo. Quando si naviga su di un sito web, l’interazione con la consapevolezza delle informazioni ed i certificati digitali non è compresa o recepita affatto. I certificati S/MIME sono tipicamente più intrusivi, rendendo l’utente consapevole della possibilità di firmare e cifrare informazioni e dati.

LS: Parliamo di StartSSL Web Of Trust, un servizio che consente agli utenti di poter ottenere la “validazione” del proprio certificato di firma e cifratura rivolgendosi ad un “notaio” accreditato presso StartSSL. Perchè un servizio del genere? E’ solo una mossa di marketing o c’è dell’altro?

EN: Abbiamo capito che c’era la necessità di fornire un metodo di verifica alternativo a quello che una certification authority espleta, perchè la fiducia è percepita da molto in modi diversi. Alcuni diffidano delle certification authority pubbliche, tipicamente per la loro natura o per l’essere entità commerciali, ma si fidano di individui indipendenti che credono in quel che fanno. C’è un reale valore aggiunto per quei certificati con una verifica effettuata da membri della web-of-trust. Quando abbiamo avviato il WoT, stavamo già osservando schemi ed implementazioni preesistenti per imparare e comprendere quali fossero i punti deboli. Credo che anche in questo caso stiamo agendo differentemente per poter realizzare qualcosa che abbia un valore in grado di durare nel tempo. Nello StartSSL Web-of-Trust estendiamo la fiducia (”trust“) ai nostri utenti verificati che hanno una compresione di cosa una PKI sia e dell’importanza di una corretta identificazione e verifica. I certificati verificati tramite StartSSL WoT sono una combinazione di entrambi i mondi, quello delle CA commercali pubbliche e le verifiche effettuate dai compomenti del WoT.

LS: La policy per i WoT notary è abbastanza semplice, senza paroloni scritti in legalese. Anche in questo caso, una mossa commerciale? O ritieni che ciò possa rendere più facile per gli utenti avvicinarsi alla sicurezza delle comunicazioni?

EN: Credo nella semplicità – quanto più semplice una cosa viene resa, tanto maggiore sarà la disponibilità e l’adozione da parte di un gran numero di utenti. Non guadagnamo nulla se un utente deve comprendere ed accettare un elevato numero di regole. Identificazione e cifratura sono già complicate di per sè, dobbiamo fare il possibile per renderle quanto più indolore possibile.

LS: Come StartCom, avete anche creato una distribuzione GNU/Linux. Ci vuoi dire qualcosa in più?

EN: Abbiamo iniziato a realizzare la distribuzione di StartCom Linux nel 2004 ed abbiamo avuto diversi piani a tal proposito. In ogni caso la certification authority di StartCom ha avuto la nostra maggiore attenzione nel corso del tempo ed ha avuto una più elevata priprità rispetto al costruire un business basato su di un sistema operativo. Ad oggi utilizziamo StartCom Linux in modo esteso sulla nostra infrastruttura e presenta una forte strategia per quanto concerne la conoscenza della code base. Oltre a ciò abbiamo fatto un ulteriore passo decidendo di far sì che gli utenti potessero beneficiare del nostro lavoro, condividendo con loro StartCom Linux. Sappiamo bene che StartCom Linux non è un business, ma un tassello per raggiungere i nostri fini.

Ciò detto, personalmente ho un interesse personale nei confronti dei computer e specialmente in combinazione con l’audio, registrazione e produzione musicale. Questo è uno dei motivi per cui esiste anche una Multimedia Edition, oltre alla versione server di StartCom Linux. Sfortunatamente però non posso spendere troppo del mio tempo su questi strumenti e applicazioni – ma è mia intenzione cambiare questa situazione nel futuro.

LS: Perfetto, direi che è tutto. Ciao e grazie ancora per averci dedicato un pò del tuo tempo.

EN: Grazie a te per il tuo tempo!