Sicurezza, ICT e altro

Da qualche tempo a questa parte leggo notizie che dicono che certi aspetti della sicurezza si stanno muovendo nella direzione giusta. Un esempio è “Microsoft admits it can’t stop Office file format hacks“. Nell’articolo, si commenta la notizia che Microsoft avrebbe intenzione di adottare un meccanismo di sandboxing per Office. Nonostante il titolo suggerisca una critica a Microsoft, in realtà l’articolo descrive una scelta progettuale decisamente apprezzabile. Per anni Microsoft è stata criticata per il suo atteggiamento nei confronti della sicurezza, trattata essenzialmente come un problema di immagine. Negli ultimi anni Microsoft ha fatto passi avanti significativi, ma adesso si scontra, secondo me, con il problema che i suoi prodotti sono molto complessi e tendono, per varie ragioni sulle quali non mi voglio soffermare, ad una complessità sempre maggiore. Programmi complessi hanno bachi, e fra questi anche bachi di sicurezza. I problemi di sicurezza di un word processor sono legati ovviamente al formato dei documenti che tratta. Di tutto questo, è una conseguenza quasi ovvia che Office abbia necessariamente dei problemi di sicurezza legati al formato dei documenti. Non è una particolarità dei prodotti Microsoft, infatti proprio in questi giorni sono state segnalate vulnerabilità dello stesso tipo per OpenOffice (una ad esempio è questa). Per affrontare il problema delle inevitabili vulnerabilità, ci sono fondamentalmente quattro strade. Le prime due sono cercare i bachi nei prodotti dopo che sono stati distribuiti, producendo poi delle patch, e migliorare il processo di sviluppo per ridurre gli errori. La prima, sulla quale si concentra fin troppa attenzione, è la meno efficace in assoluto. La soluzione in generale più efficace è invece lavorare sugli aspetti architetturali, riducendo le parti critiche per la sicurezza al minimo necessario (la cosiddetta TCB, Trusted Computing Base). Purtroppo, è una strada che si scontra con molti problemi e che richiede un approccio complessivo, generalmente di disegnare (o ridisegnare) il prodotto avendo la sicurezza fra i principali obiettivi: se altri obiettivi sono altrettanto o più importanti, sono necessari dei compromessi che ne riducono sensibilmente l’efficacia, anche se programmi come postfix e qmail mostrano quanto può fare una progettazione realmente attenta alla sicurezza.

Ma anche quando un prodotto sia disegnato per essere sicuro, esiste la possibilità che dei bachi di sicurezza ci siano. Per questo è necessario considerare la quarta strada, ovvero la mitigazione: fare sì che i problemi di sicurezza causino il minor danno possibile. Si prende atto del fatto che i bug possono esistere e si cerca di ridurre il più possibile il danno. E qui torniamo a Office. L’idea del sandboxing è descritta in questo post, nel quale sono chiaramente riconoscibili i concetti che ho descritto qui sopra. Prima di tutto, il fatto chela presenza di bug sia inevitabile. Poi, un componente che si occupa di validare i documenti prima di farli aprire ad altri componenti (ovvero, una parte della TCB che si occupa dell’input validation). E poi, un meccanismo di segregazione che permette ai file potenzialmente pericolosi di accedere all’insieme minimo di risorse necessario per essere visualizzato, ovvero la  mitigazione mediante segregazione. E questo è il punto al quale volevo arrivare: oltre alla caccia al baco, su cui si perde fin troppo tempo, e alle soluzioni architetturali, che so no comunque un obiettivo importante ma che sono anche le più lontane, si comincia a ragionare sui meccanismi di mitigazione, e sulla segregazione in particolare. È importanteperò  notare che la segregazione è un meccanismo di default deny, come è ogni meccanismo di sicurezza veramente efficace: non si accede se non alle risorse strettamente necessarie. È un concetto ben diverso da strumenti di blacklisting che impediscano ad esempio di accedere ad alcune tipologie di file considerate pericolose o sensibili. Nell’articolo di CW si dice anche che il meccanismo di sandboxing proposto “is essentially lightweight versions of virtual machines”. Sull’uso di macchine virtuali e affini come strumento di segregazione, che è un tema al quale sono affezionato, tornerò nei prossimi post.

Qualche mese fa ho dovuto cambiare provider per il mio sito: quello che avevo usato negli ultimi anni, e con il quale mi ero trovato ragionevolmente bene, ha chiuso le attività in Europa. Con un solo mese di preavviso, in un periodo in cui ero piuttosto impegnato, non ho avuto modo di perderci troppo tempo, e così ho comprato un servizio di hosting dal provider che mi sta gestendo il dominio. Pessima scelta. A parte diversi disservizi gestiti in modo discutibile, al momento la cosa che trovo più fastidiosa è un servizio antispam non disattivabile, che non mi permette di ricevere i messaggi marcati come spam ma li rifiuta direttamente. Ragionevole, direte, se lo spam è certamente spam… beh, uno dei motivi per cui è stata una pessima scelta è che lo spam non sempre è spam, sono normali mail di colleghi, inviate da server che non sono in alcuna delle blacklist che sono riuscito a trovare, e che vengono rifiutate in modo intermittente. Comunque, qualche tempo fa ho aperto un ticket perché uno dei miei corrispondenti mi ha avvertito che un messaggio gli era rimbalzato con l’errore:

<<< 550 5.2.1 <[email protected]>... Mailbox disabled for this recipient
550 5.1.1 <[email protected]>... User unknown

Un errore che difficilmente possono far passare per un problema del mittente, come hanno fatto in un’altra occasione. Ho aperto un ticket, anche se il problema era transitorio ed ero sicuro che non ne avrebbero cavato niente. Qualche giorno dopo mi arriva una mail con il seguente testo:

Please reply to this e-mail with the e-mail box name and password so we
may further research your issue.  We apologize for any inconvenience.

Lì per lì ho pensato ad un tentativo di phishing arrivato per caso mentre avevo un ticket aperto, ma purtroppo il subject del messaggio riportava chiaramente il numero del mio ticket. Preso dallo sconforto, sono andato alla pagina di gestione dei ticket aperti, per inserire almeno la password da lì anziché inviarla via mail. È così che sono capitato su una pagina del loro sito in cui veniva evidenziato un messaggio per gli utenti che invitava a non farsi imbrogliare dal phishing:

“[our] representatives will never call or email you to request your login information”

Che dire? A quel punto ho risposto via mail dicendo che l’indirizzo era in realtà un indirizzo di forwarding e quindi non ci avrebbero trovato messaggi per fare verifiche, e non ho mandato la password. Dopodiché, ho aperto un altro ticket segnalando che, al contrario di quanto dichiarato nell’avviso, mi era arrivata via mail una richiesta di password: tanto ormai il “problema”, transitorio, si era risolto da solo e il supporto non avrebbe capito niente di utile. A conferma, qualche giorno dopo mi sono visto arrivare una mail di “test”, seguita da una comunicazione relativa al primo ticket, in un inglese stentato, che diceva che la persona del supporto aveva disabilitato temporaneamente il forward sull’account (!!), aveva fatto delle prove e poi aveva riabilitato il forward, e non risultavano problemi. Naturalmente, dopo questo messaggio mi sono connesso alla casella e ci ho trovato dei messaggi destinati a me che durante i “test” non erano stati proseguiti, e il tutto era stato possibile senza bisogno della  mia password. A chiudere il quadro, mi è infine arrivata una mail relativa al secondo ticket, quello sul “phishing”, che dichiarava:

We apologize, but the e-mail you received was not a fishing attempt.  To investigate and resolve e-mail issues,
our Technical Service Delivery Team needs the e-mail box name and password.

Questo dopo che il problema era stato risolto senza password. Morale della favola: se io fossi un utente qualsiasi che ha provato a seguire le raccomandazioni sul phishing che gli arrivano da ogni parte, cosa dovrei pensare?

Da un messaggio della ml firewall-wizards, e quindi da qui:Merrick Bank, in seguito ad un incidente di sicurezza che le sarebbe costato 16M$, avrebbe fatto causa a Savvis per  la certificazione CISP (pre-PCI) di un processor, CardSystems. Cito:

The key allegations, which are repeated throughout the complaint, include:

• Merrick would not allow CardSystems to process Card Transactions until it was certified as CISP compliant
• Savvis was specifically retained to certify CardSystems as CISP compliant, and did so pursuant to a Report on Compliance issued to VISA
• Upon learning of the results of Savvis’s Report on Compliance (after CardSystems was listed by Visa as CISP compliant) Merrick allowed CardSystems to serve as its processor
• According to a post-incident forensic analysis, at the time Savvis issued the ROC, CardSystems had been improperly and continuously storing unencrypted cardholder data
• Savvis provided the ROC to VISA for the express purpose and with knowledge that Visa would publish the ROC, and that merchant banks would rely on it to determine whether CardSystems met the CISP standard
• It was reasonably foreseeable to Savvis that merchant banks would rely on its report
• Savvis knew or should have reasonably known that its certification of CardSystems was directly for the benefit and guidance of merchant banks

Il punto particolare è l’ultimo. Infatti, cito ancora:

In this case, Savvis likely had a contract with CardSystems to perform an assessment, but did not have a direct contractual relationship with Merrick.

Ovvero, il certificatore ha delle responsabilità, in caso di negligenza, nei confronti di terzi che si basano per le loro scelte su quella certificazione?Al momento, la cosa ha interesse principalmente per il mercato delle certificazioni PCI, direi. Per questo tipo di mercato, direi che le conseguenze ci potranno essere anche sul mercato italiano, nonostante la causa sia negli USA. Ma naturalmente dipende da come finisce.