La scomparsa del Man in the Middle

Posted on June 5, 2009 by claudio

Stavo rileggendo le slide di Kaminsky sul DNS al Black Ops 2008, e tutta la discussione sulle “blind dns reply spoofing” (non so se hanno un nome ufficiale), e ripensando ad un thread che stavo seguendo di recente sull’uso di SCTP come “protezione” del DNS da attacchi di poisoning, quando mi sono reso conto di una cosa di cui avevo sentore da tempo: il Man In The Middle sta sparendo dai modelli delle minacce per i servizi su Internet. Le tecniche di blind spoofing hanno senso in contesti in cui non si vede il traffico e si cerca di indovinarne il contenuto, ma se si fosse sul path fra mittente e destinatario, vedendo il traffico l’attacco sarebbe banale. Il blind spoofing è interessante per l’attaccante per i casi in cui non ha accesso a uno specifico path, ma questa è la prospettiva dell’attaccante. La prospettiva del difensore deve essere diversa, tanto per cambiare: può trascurare il MITM solo se l’insieme degli attaccanti non è in condizione di praticarlo o non è interessato, e questo lo rende un’eventualità molto più difficile da trascurare. Ovvero, se per l’attaccante c’è grande attenzione per il blind spoofing, questo non vuole dire che il MITM non sia praticabile in generale: può semplicemente voler dire che il singolo attaccante lo può praticare solo in un sottoinsieme ridotto dei path che gli interessano (e in questo caso è troppo banale per parlarne, chi scriverebbe un articolo sul fatto che intercettando il traffico è possibile falsificare i messaggi DNS?). Tuttavia, dal punto di vista del difensore, se un path di suo interesse può essere attaccato anche da un solo attaccante, il problema potenzialmente esiste. Ovvero, per intenderci, se per l’attaccante è interessante usare il blind spoofing, per il difensore non è una soluzione usare SCTP o randomizzare le porte, a meno di essere certo che il blind spoofing è il solo problema, e il MITM non è interessante.

Fino a una decina di anni fa, nessuno si sarebbe sognato di non considerare il MITM, perché era decisamente facile redirigere il traffico: a livello locale manipolando hub e switch, più in generale sfruttando debolezze dei protocolli di routing, della configurazione degli apparati o vulnerabilità degli apparati stessi. Soprattutto, molti provider erano ancora decisamente “artigianali” e poco curati nella propria gestione. Adesso, intervenire sul routing è meno facile, a meno di essere già inseriti nel meccanismo, ovvero essere in grado di annunciare route via BGP. Inoltre, i piccoli ISP sono quasi scomparsi, e l’impressione diffusa è che per praticare il MITM serva quindi la complicità o la compromissione di grossi carrier.

Un secondo punto è che la sicurezza di protocolli e servizi viene ormai raramente vista come un problema di sicurezza multilaterale: se la vulnerabilità non colpisce chi ha definito il protocollo o chi offre il servizio, spesso la cosa viene gestita mediante clausole liberatorie, marketing o simili. Per quanto riguarda l’IETF, se è vero che negli RFC ci sono sempre le “considerazioni di sicurezza”, è anche vero che generalmente neppure qui il modello delle minacce è esplicitato o anche solo riconoscibile, si tratta generalmente di considerazioni “sparse”, che spesso sembrano buttate lì solo per metterci qualcosa.

Infine, una terza considerazione che non può mancare: evidentemente il MITM non è al momento molto praticato, altrimenti non potrebbe essere ignorato, e questo potrebbe far pensare che sia tutto sommato realistico tenerlo fuori dal modello delle minacce. Questo naturalmente se escludiamo l’uso “locale” su sistemi compromessi.

Tutte e tre queste considerazioni hanno dei punti validi, eppure tutte e tre hanno dei punti deboli. Non perderò tempo sull’assenza di sicurezza multilaterale in molti protocolli, è un problema legato all’attuale Internet e sfugge a qualsiasi considerazione tecnologica, se non forse legata alle potenzialità del p2p.

Riguardo alla prima, ovvero la difficoltà nel redirigere il traffico e il ruolo dei provider, se è vero che le infrastrutture dei provider sono decisamente più sicure di quanto non fossero dieci anni fa, è anche vero che in compenso, almeno per l’utenza domestica e SOHO, si è aggiunto un componente che ha aumentato considerevolmente il rischio di MITM, ovvero il router ADSL. Anche fra coloro che curano adeguatamente la sicurezza dei propri pc, dubito che siano molti quelli che pongono altrettanta attenzione alla sicurezza e all’aggiornamento del router, che diventa un punto ideale per realizzare il MITM (è recente la notizia della scoperta di una botnet di router ADSL). Un punto ulteriore è che la rete interna di molte aziende, da piccole a grandi (forse della maggior parte, se si esclude il “solito” gruppo delle telco, banche ecc.), continua ad avere apparati vulnerabili a varie forme di redirezione del traffico. Infine, BGP in questo periodo è oggetto di grande interesse, vedi ad esempio qui e qui. Se è vero che l’utente generico difficilmente dovrebbe poter iniettare traffico BGP dalla propria connessione, è anche vero che in questi casi fra “la maggior parte” e “tutti” (particolarmente in riferimento alla sicurezza dei carrier) c’è parecchia differenza.

Ma il punto che mi preme di più è il terzo, ovvero che siccome il MITM è poco praticato non viene considerato nei modelli delle minacce. Che sia corretto o meno dipende dal servizio o dal protocollo, perché il fatto che non venga praticato adesso ci dice in generale poco sul futuro anche prossimo: spesso un attacco non è praticato solo perché al momento che ne sono di più semplici. Cosa succederebbe se all’improvviso l’attacco, per qualche motivo, tornasse ad essere interessante e praticato? Per capire il problema si può pensare al phishing: si sapeva da tempo che un certo tipo di gestione delle comunicazioni da parte di fornitori di servizi Internet era una cattiva pratica, ma siccome nessuno ne aveva ancora approfittato in modo significativo, la cattiva pratica continuava. Alla comparsa del phishing, seppure con una certa calma, questa cattiva pratica è stata abbandonata, ma il phishing non è scomparso, perché non basta che il fornitore di servizio cambi una procedura o chiuda una falla: negli anni ha instillato nei suoi clienti una cattiva abitudine (nello specifico, seguire i link nelle mail) difficile da togliere. Di fatto, il phishing è durato già anni ed ancora dura, e buona parte del problema e dei danni sono dovuti all’atteggiamento del “tanto non succede” degli anni precedenti.

Di fatto, vengono quindi tollerate delle vulnerabilità nell’ipotesi che non ci sia una minaccia che le può sfruttare. Naturalmente, il modello delle minacce non può comprendere anche tutte le minacce che non sono attualmente presenti, altrimenti che modello delle minacce sarebbe? Ma il trattare esplicitamente il modello delle minacce, cosa che viene ancora fatto di rado, costringerebbe a chiedersi esplicitamente se siamo in condizioni di trascurare il MITM.  Credo che in molti casi in cui adesso è trascurato, la risposta sarebbe no.

Posted in Uncategorized | Comments Off on La scomparsa del Man in the Middle

Rieccomi

Posted on May 27, 2009 by claudio

Beh, questa è la risposta a tutti quelli che mi hanno chiesto: “Ma come fai a trovare anche il tempo di scrivere su un blog?” Nell’ultimo anno non l’ho trovato. In realtà le cose non stanno proprio così, ogni tanto il tempo lo avrei avuto, ma scrivere su un blog è una di quelle cose che va fatta come abitudine, altrimenti si smette. E poi, a dirla tutta, lo sforzo è tanto e la soddisfazione così così.

Comunque, rieccomi. Cos’ho fatto in questo anno? Il solito.  Cos’è successo di nuovo in questo anno nel campo della sicurezza IT? Niente 🙂 Questo a grandi linee. Ma poi, guardando nel dettaglio, di cose ne ho fatte e ne sono successe.

Dal punto di vista professionale, mi sono occupato di diverse cose. Senza un ordine particolare: di firma digitale, di biometria, di denial of service distribuiti, di business continuity, nonché di problematiche di gestione e organizzazione.

Ma quello che può maggiormente interessare i lettori di questo blog sono le attività con le associazioni, in particolare AIPSI e CLUSIT.

Con AIPSI, l’attività principale è stata la predisposizione delle certificazione LoCSI, che certificano “le competenze relative alle norme, regolamenti e legislazioni Italiane ed Europee che completano il necessario bagaglio tecnico del professionista della sicurezza IT”. È stato un lavoro considerevole, che ha coinvolto parecchie persone ma che capita al momento giusto. Si sta infatti diffondendo la consapevolezza che il professionista IT deve ormai conoscere e rispettare una quantità considerevole di norme che trattano problemi specifici di sicurezza, che è proprio quanto affrontano  la certificazione LoCSI e la relativa attività di formazione. In questa direzione va del resto anche il provvedimento del Garante relativo agli amministratori di sistema, indicando che l’amministratore “deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Proprio per questo abbiamo ritagliato un profilo di certificazione focalizzato sulle conoscenze minime che un amministratore di sistema deve avere dal punto di vista delle normative.

Con il CLUSIT invece, ho continuato l’attività sulle PMI. Devo dire che è un settore in cui non è facile ottenere risultati, specialmente nella congiuntura attuale: tante cose sono partite e si sono fermate. Al momento, le collaborazioni più interessanti sembrano essere quella con Assintel e quella con CNA.

Un discorso a parte merita la collaborazione con ENISA, sempre come CLUSIT e nell’area PMI. Ho partecipato da un gruppo di lavoro apposito, “Ad Hoc Working Group on Analysing micro enterprises’ needs and expectations in the area of information security”, il cui report è disponibile qui,  nonché alla predisposizione di “Awareness Raising Quizzes Templates”. È stata un’attività molto interessante, che mi ha permesso di confrontarmi con esperti di tutta Europa e che ha confermato come certi problemi siano comuni alle PMI di tutti i paesi, e quanto può essere utile collaborare a livello europeo. Anche qui però, la strada da fare è ancora molta.

In realtà, anche dal punto di vista tecnico qualche novità in questo ultimo anno c’è stata. La virtualizzazione dei sistemi è ormai molto diffusa, e i relativi problemi di sicurezza sono stati ampiamente discussi. Quello che ancora viene poco trattato è l’utilizzo della virtualizzazione come strumento per separare ambienti diversi, più che per raccoglierli. Un esempio è la creazione di ambienti virtuali sul desktop, in modo da trattare in un contesto confinato le attività più rischiose, ovvero l’utilizzo della virtualizzazione come meccanismo di segregazione. Ormai le prestazioni dei desktop sono più che adeguate, ma dal punto di vista dell’usabilità ancora non ci siamo. Nel frattempo, riguardo alla segregazione, qualcosa sembra che si stia facendo nel campo dei browser. Chi ha seguito questo blog ricorderà forse il mio post “Segregazione e trasparenza subito“, e quello di poco successivo “Finalmente un browser sicuro“. In quest’ultimo dicevo che è improbabile che certe logiche di segregazione entrino entro breve nei browser mainstream. Ebbene, sono felice di essere, almeno in parte, smentito: l’idea di creare contesti diversi, seppure non troppo isolati, sembra stia entrando nella logica dei browser; almeno per questo progetto (sperimentale, peraltro) di  Microsoft. Tuttavia, per quanto questi sviluppi siano utili e vadano nella direzione di soluzioni architetturali, sempre preferibili, resto dell’idea che avere semplicemente più istanze di browser in ambienti separati sarebbe attualmente più semplice ed efficace.

Anche nel settore del voto elettronico, che mi è sempre stato a cuore, c’è qualche novità: finalmente comincia ad essere visto in modo critico, e con la riduzione degli entusiasmi ci si chiede se il gioco valga la candela. A quanto pare in Irlanda hanno deciso di no. Anche negli USA si moltiplicano le voci che suggeriscono cautela, e vengono fuori le prime notizie di frodi. Si noti che non si tratta di una frode strettamente informatica, ma sulla difficoltà delle persone nel capire come funziona il voto elettronico. Ed è proprio questo uno dei punti che ho sempre criticato al voto elettronico: mentre tutti, più o meno, capiscono il meccanismo del voto tradizionale e del suo conteggio, e quindi possono partecipare al controllo della regolarità delle operazioni, con il voto elettronico devono delegare tutto ad un gruppo di tecnici specializzati, rinunciando secondo me ad una proprietà importante del sistema tradizionale.

Ecco, ho ricominciato a scrivere. Ora devo cercare di continuare…

Posted in Uncategorized | 2 Comments

Firefox3

Posted on June 18, 2008 by claudio

Di solito sto lontano dalle versioni “punto zero”, preferisco aspettare quelle più stabili. Questa volta però mi sono voluto togliere la curiosità ed ho accettato il rischio. Così l’ho scaricato praticamente appena è stato messo online, prima del vero picco di accessi, e l’ho installato. Devo dire che… non sono impressionato. Forse perché la maggior parte delle migliorie è probabilmente “sotto il cofano”, che per me è in generale un pregio. In effetti sembra che sia più leggero e veloce del precedente; è vero che potrebbe essere autosuggestione, ma d’altra parte se l’effetto è invece rilevabile davvero in modo così immediato, allora deve essere notevole. Per il resto, vedo poche differenze: anzi, se dovessi dirne una rilevante, non mi verrebbe in mente… e in effetti, se guardiamo il “What’s new“, conferma questa impressione. Il che di per sé è un bene, niente “kreeping featurism” ma uno strumento che sperabilmente funziona meglio (non che Firefox2 funzionasse male, anzi: mi stupisce sempre quando continua a funzionare perfettamente con 30 o 40 tab aperti). Devo dire però che l’aggiornamento ha avuto un effetto spiacevole: al riavvio tutti i feed che avevo in Wizz RSS erano spariti, ho dovuto recuperarne l’elenco da un backup. Sono abbastanza sicuro che la nota di avviso che adesso compare nella pagina di Wizz RSS ieri non ci fosse 😉 ma soprattutto, l’aggiornamento l’ho fatto seguendo le istruzioni di Firefox, Wizz RSS si è aggiornato da solo di conseguenza, cecchinandomi i feed. Un punto a sfavore della gestione delle informazioni sull’aggiornamento, e occhio a salvare la lista dei feed prima di fare l’aggiornamento.

C’è un insieme di nuove funzionalità di sicurezza. Cito, sempre dal What’s new:

One-click site info: Click the site favicon in the location bar to see who owns the site and to check if your connection is protected from eavesdropping: sembra una funzionalità perfettamente inutile sui siti http normali, mentre lo sarebbe sui siti https… peccato che così tanti siti italiani usino https in un frame, la mia banca addirittura in un (famigerato) IFRAME. Anzi, nella pagina di login della mia banca Firefox3 cliccando sull’icona presenta un bellissimo warning sul fatto che il sito non è cifrato. Speriamo che generi un po’ di attenzione al problema 😉

Malware Protection: malware protection warns users when they arrive at sites which are known to install viruses, spyware, trojans or other malware: ennesimo caso di blacklisting… è una tendenza che in generale non approvo, favorisce una mentalità sbagliata da parte dell’utente, ma capisco che al momento non ci siano molte alternative praticabili. Ottima la differenza di visibilità fra il pulsante che conferma il blocco al sito e quello che decide di accedere comunque (questa distinzione dovrebbe essere più utilizzata nei warning).

New Web Forgery Protection page: the content of pages suspected as web forgeries is no longer shown: blacklisting anche qui

New SSL error pages: clearer and stricter error pages are used when Firefox encounters an invalid SSL certificate: anche questa è un’ottima cosa (l’esempio che mostrano è significativo) e si spera che aiuti ad utilizzare SSL in modo corretto: per fortuna Firefox ha ormai una diffusione tale da non poter essere facilmente ignorato

Add-ons and Plugin version check, Secure add-on updates: bene, anche se il grosso problema dei plugin è soprattutto che si installa di tutto, senza sapere davvero da dove viene e com’è fatto…

Anti-virus integration: Firefox will inform anti-virus software when downloading executables: ottimo… ma non lo posso provare, uso Linux e non ho un antivirus 😉

Vista Parental Controls: Firefox now respects the Vista system-wide parental control setting for disabling file downloads: bene anche questo (e naturalmente non sto provando neanche questo…)

Effective top-level domain (eTLD) service better restricts cookies and other restricted content to a single domain: mah, a me continuano a sembrare sballati il meccanismo e il suo uso

Better protection against cross-site JSON data leaks: sicuramente una buona cosa… di fatto a quanto pare hanno tolto la funzionalità rischiosa: It was eventually decided that this was a specification issue and that global objects should not be able to be redefined

Per quanto riguarda le funzionalità per la semplificazione dell’uso, molte di quelle di uso più comune erano in qualche modo già disponibili come plug-in, ed è una buona cosa che siano diventate parte di Firefox.

Insomma, niente di impressionante, la cosa più interessante mi sembra la parte relativa a SSL. Vedremo come va dopo averlo usato per un po’…

Posted in ict, Sicurezza | Tagged , , , | Comments Off on Firefox3