Isoradio delle vulnerabilità (rant)

Posted on October 15, 2007 by claudio

Fra i vari feed che leggo, ovviamente che ne sono alcuni che riguardano le nuove vulnerabilità. Dato che al momento non sono impegnato in attività da sistemista, leggere questi interminabili elenchi di vulnerabilità mi fa l’effetto di ascoltare isoradio stando a casa: una serie di notizie sostanzialmente uguali tutti i giorni, cambiano i posti e i chilometri delle code, ma le cause sono sempre le stesse e in alcuni tratti a certe ore c’è sempre coda. Ha ragione (come sempre) Spafford, quando dice che passiamo il tempo a risolvere i problemi sbagliati.

Comunque, ci sono un paio di vulnerabilità che hanno risvegliato un po’ di curiosità. La prima è la vulnerabilità nella gestione delle URI di Explorer 7. La cosa è anche discussa sul blog di Feliciano Intini, che dice una cosa sacrosanta: un programma si deve preoccupare di validare il proprio input, non supporre che lo abbia validato un componente sul quale non ha controllo. Sul resto della marmellata del problema non mi esprimo (la ShellExecute() che interpreta i dati non destinati a lei…. mah!)

Un’altra vulnerabilità che mi ha dato da pensare è la vulnerabilità del server lpd nel Cisco IOS. Riesco ancora a stupirmi di quanta roba è dove non dovrebbe essere. Un server di stampa su un router… mah! E non consola sapere che è disabilitato di default. Questo mi ricorda un “nanetto” relativo alle aziende che fanno “vulnerability assessment” comprando un paio di tool di scanning e mandando direttamente i report al cliente, magari un po’ ritoccati nella grafica. Una volta sono stato chiamato a rifare un assessment, dato che la “ditta specializzata” che lo aveva fatto prima non sembrava aver prodotto un report credibile… in effetti, avevano segnalato un server Oracle vulnerabile su un router.

Il motivo per cui è successo (a parte la totale incomprensione di quello che stava facendo da parte di chi ha prodotto il report) è il modo in cui funzionano questi tool. Se gli si dice di cercare una vulnerabilità di un certo prodotto su un certo indirizzo IP, questi si connettono alla porta del servizio da verificare su quel certo indirizzo IP. Se la connessione viene accettata, non si pongono il problema se a rispondere sia veramente il prodotto da verificare o qualcos’altro, anche perché non è sempre facile capirlo. Il tool invece invia le sue stringhe che dovrebbero evidenziare le risposte. Se le risposte sono di un certo tipo, il sistema non è vulnerabile. Se sono di un altro tipo, il sistema forse è vulnerabile. Se arriva una stringa inaspettata, secondo una logica di fail safe di solito segnalano il sistema come “forse vulnerabile” e lasciano all’analista gli approfondimenti. Insomma, sono giustamente propensi al falso positivo anziché al falso negativo, dato che si suppone che poi l’analista che ci sta lavorando valuti in modo critico i risultati. È chiaro che se a rispondere non è il prodotto di interesse ma un’altro, magari per tutt’altro tipo di servizio, le risposte quasi sempre sono inaspettate e cadono quindi nella categoria falsi positivi. È chiaro che se l’analista non distingue un router da un server Oracle, poi fa le figuracce…

Posted in Sicurezza | Comments Off on Isoradio delle vulnerabilità (rant)

Costo del denaro più basso per le PMI "virtuose" secondo Basilea2

Posted on October 13, 2007 by claudio

Uno dei vantaggi di essere nel direttivo del CLUSIT è la rassegna stampa gentilmente fornita da L’Ippocastano. Adesso comprende anche articoli relativi alla sicurezza presi dalla stampa locale, dai quali riesco a farmi un’idea più chiara dell’andamento di certi fenomeni. Ad esempio, l’andamento delle frodi informatiche (sempre più frequenti), il grado di assimilazione della normativa sui dati personali eccetera.

Questa volta però, una notizia di altro genere, che sembra interessare solo marginalmente la sicurezza ICT.
Sul Resto del Carlino di mercoledi 10 c’è un articolo che dice che la Banca Popolare dell’Emilia Romagna propone un prodotto (prestito?) per le PMI chiamato Finprogex “seguendo i parametri di Basilea2. In pratica, il costo del danaro sarà commisurato al rating (‘il giudizio di valore’) dell’azienda, e quindi il grado di rischio per il finanziamento sarà in capo non solo all’istituto bancario, ma anche e soprattutto all’azienda che deciderà di usufruirne.

Basilea2 è un’accordo internazionale, in pratica un regolamento bancario relativo alla gestione del patrimonio. Io me ne sono iteressato, come molti consulenti di sicurezza ICT, per l’aspetto di gestione del rischio operativo. Per farla breve (e approssimativa, non essendo il mio campo), le banche sono tenute ad accantonare parte del proprio patrimonio per fare fronte ad eventi imprevisti e dannosi. Quanto devono accantonare? Dipende anche da quanto è buona la gestione del rischio: se il rischio è ben gestito (e ben mitigato), devono accantonare meno. Una delle fonti di rischio è la possibilità di frodi tramite il sistema informativo, e qui è la parte di cui mi sono occupato: se la gestione della sicurezza del sistema informativo è buona, il rischio è più basso ed è necessario accantonare meno capitale. In pratica, investendo in sicurezza le banche “liberano” del capitale da investire, e quindi hanno convenienza nel curare la sicurezza dei loro sistemi. Un’altra fonte di rischio sono i prestiti: se il rischio che i clienti non restituiscano i soldi è alto, allora l’accantonamento è maggiore. Per intenderci, il tipo di problema dei mutui subprime negli USA (solo che, se ho ben capito, in quel caso le banche hanno gestito il rischio trasferendolo su dei fondi…). E qui finalmente si arriva al punto. Per ridurre il rischio, le banche sono interessate ad offrire i finanziamenti ad aziende a basso rischio. Le aziende quindi dovrebbero essere valutate in funzione del rischio, ed ottenere tassi migliori se il loro rating è migliore.

Di questo ultimo aspetto mi ero interessato circa un anno fa, nell’ambito della preparazione di un convegno da parte di un socio CLUSIT, ma sembrava che fosse ancora solo teoria: da nessuna delle bacnhe  che avevo interpellato avevo avuto notizia di prodotti che tenessero realmente conto di un rating di questo tipo. Questo nonostante se ne parli da tempo, mi pare di aver partecipato ad un seminario al riguardo già nel 2005. La notizia sarebbe quindi che adesso questi prodotti cominciano ad esserci. Non ho idea se questo sia il primo, ma come sempre quando uno si muove, poi gli altri si muovono a ruota.

Cercando su Internet, si trovano diverse pagine dedicate a questo tema. Ho trovato ad esempio  questa delle Banche di Credito Cooperativo. Ovviamente sta già nascendo tutto un mercato di prodotti per la valutazione, di consulenti, di prodotti di valutazione e autovalutazione…

Posted in Varie | Comments Off on Costo del denaro più basso per le PMI "virtuose" secondo Basilea2

Suspend to disk (2)

Posted on October 12, 2007 by claudio

Qualche nota dopo il post sul tema. La prima è che se c’è qualche processo in uno stato di “Uninterruptible sleep” (quello che è indicato come D da ps) la sospensione non funziona, ameno per me, il che mi sembra ragionevole anche se è una seccatura. Spesso si tratta di processi che hanno problemi con l’accesso all’hardware (a me succede con la scheda ISDN, dato che il modulo del kernel è un po’ raffazzonato, e a volte con il masterizzatore se il DVD è rovinato).

La seconda è che compilando il kernel 2.6.23 con make oldconfig, la parte “Hibernation aka suspend to disk” e “suspend to ram” mi sono comparse come nuove (mah!) e ne ho approfittato per vedere l’help di suspend to disk dice:

You can suspend your machine with ‘echo disk > /sys/power/state’. Alternatively, you can use the additional userland tools available from <http://suspend.sf.net>.

In principle it does not require ACPI or APM, although for example ACPI will be used for the final steps when it is available. One of the reasons to use software suspend is that the firmware hooks for suspend states like suspend-to-RAM (STR) often don’t work very well with Linux.

It creates an image which is saved in your active swap. Upon the next boot, pass the ‘resume=/dev/swappartition’ argument to the kernel to have it detect the saved image, restore memory state from it, and continue to run as before. If you do not want the previous state to be reloaded, then use the ‘noresume’ kernel command line argument. Note, however, that fsck will be run on your filesystems and you will need to run mkswap against the swap partition used for the suspend.

It also works with swap files to a limited extent (for details see <file:Documentation/power/swsusp-and-swap-files.txt>).

Right now you may boot without resuming and resume later but in the meantime you cannot use the swap partition(s)/file(s) involved in
suspending. Also in this case you must not use the filesystems that were mounted before the suspend. In particular, you MUST NOT
MOUNT any journaled filesystems mounted before the suspend or they will get corrupted in a nasty way.

For more information take a look at <file:Documentation/power/swsusp.txt>.

Posted in ict | Comments Off on Suspend to disk (2)