Sicurezza, ICT e altro

Apprendo dalla newsletter di ANSSAIF che è in atto una nuova tattica di phishing che colpisce chi ha attivo il servizio di avviso SMS sugli utilizzi di Bancomat e carta di credito. Un SMS avvisa che c’è qualche problema e indica un numero di telefono da chiamare. Ovviamente al telefono risponde il truffatore, che si fa dare i dati sulla carta di credito o bancomat. È interessante come un meccanismo di sicurezza venga trasformato in un vettore di attacco. Non è la prima volta, e in effetti non è strano. Nonostante l’apparenza, non è il meccanismo di sicurezza ad essere il problema, ma la fiducia che viene posta nel meccanismo, e in particolare nel canale da cui ci arriva. Dovunque c’è un meccanismo “debole” di fiducia, lì è possibile l’attacco. In effetti, dovrebbe essere chiaro che l’SMS, come l’email, serve solo a fornire notizia di un problema, e non a dare indicazioni su cosa fare. Se quando riceviamo un SMS o un’email, per contattare la banca usiamo i nostri canali abituali tralasciando le informazioni contenute nel messaggio, il phishing non funziona. Il servizio SMS di avviso sulle operazioni effettuate con carta di credito continua comunque ad essere la migliore protezione, al momento, contro abusi e clonazioni. Per il Bancomat ovviamente la cosa è meno semplice, dato che una volta che i soldi sono stati ritirati non si torna indietro, ma almeno permette di contenere i danni.

I firewall non sono certo una novità, e come tecnologie c’è poco di nuovo da tempo. Tuttavia, finora la mailing list firewall-wizards era stata tutto sommato piuttosto attiva. Fra richieste sui prodotti, le funzionalità, le prestazioni e cose del genere, seppure con messaggi più o meno sempre uguali la lista era mediamente attiva. Questo ottobre, invece, è calata a poco più di trenta messaggi in un mese. La mailing list securitymetrics invece, dopo essere stata sottotono per parecchio, ha avuto un rapido aumento di attività dopo l’estate, arrivando a più di cento messaggi in ottobre. E devo dire che sono più messaggi di domande e dubbi che di risposte scontate. Segno dei tempi…

Un gruppo di ricercatori ha pubblicato un articolo (qui), che sul blog di Schneier è presentato in un post dal titolo ambiguo New Timing Attack Against RSA. In realtà l’attacco sfrutta un side channel, attacca quindi non l’algoritmo ma una sua implementazione. In questo caso attacca l’implementazione indebolita di RSA in una vecchia versione di OpenSSL, ma può funzionare in generale anche contro altri algoritmi. Non è certo un problema immediato comunque, date le condizioni in cui può essere praticato, e l’implementazione degli algoritmi può essere modificata per renderlo inefficace. Anche fosse praticabile tuttavia, ho smesso da tempo di agitarmi per questo tipo di problemi. I problemi di sicurezza di un sistema al momento sono altri. Non che questo tipo di ricerca non sia importante, seplicemente non ha impatti immediati come la scoperta di un bug in un browser. Se vogliamo prendere un caso in cui di attacchi di side channel ne sono stati studiati tanti, prendiamo le tessere di pagamento: dieci anni fa si clonavano, e ora si clonano, non è cambiato molto; i problemi del chip e dei loro side channel, per le tessere su cui ci sono, sono ancora lontani.