Andrea Lazzari's blog

Io l’ho sempre detto che per fare security ci vuole DNA

Liberamente tratto (tradotto) da un articolo di Richard Bejtlich su TaoSecurity

Quattro anni fa quando scrissi “The Tao of Network Security” introdussi il concetto defensible network architecture poi esteso nel secondo libro Extrusion Detection. Quando in prima battuta presentai l’idea dissi che una “defensible network” è una architettura IT monitorata, controllata, minimizzata e “attuale” (inteso come aggiornata ndA). Secondo questo approccio, una “defensible network architecture, ci da le migliori probabilità di resistere ad una intrusione visto che un vero sistema di IPS (Intrusion Prevension) non sarà mai realizzabile.

Oggi ho il piacere di estendere questi concetti con la Defensible Network Architecture 2.0 (no 2.0 perpetual beta hype! ndA), con la convinzione che possano essere di grande utilità per ogni organizzazione che voglia intraprendere un percorso strategico di assunzione di responsabilità nel mondo della security.
Si potrà notare il contrasto con le “Self-Defeating Network” e le uguaglianze con le mie “Security Operations Fundamentals“.

Venendo al nocciolo della questione possiamo quindi dire che la DNA è un’architettura informativa che può essere:

Monitored: Il modo meno costoso per cominciare il deploy di una DNA su di una rete preesistente è quello di inserire dei Network Security Monitor (sensori e/o probe ndA) che riescano a catturare i dati di sessione (come minimo), tutto il contenuto informativo (qualora possibile) e i dati statistici più disparati. Se è possibile accedere ad altri “data source” come firewall, router, IPS, dns server o proxy meglio muoversi anche in quella direzione. L’atto di salvare “coraggiosamente” tutti questi dati “prima che sia troppo tardi” permetterà di raggiungere un piccolo gol cioè quello di mettere gli stessi nelle mani di un piccolo e centralizzato gruppo di persone. Si dovrebbe sempre partire dal monitoraggio, Bruce Schneier insegna since 2001.
(Questo implicherà necessariamente la modifica di alcuni asset e l’acquisto di mammuth database)

Inventored: Implica la conoscenza di ciò che viene hostato nella propria rete. Cominciando a monitorare si possono acquisire passivamente molte di queste informazioni. Nella precedente versione della DNA questo punto era stato omesso per l’assunto che “l’admin dovrebbe conoscere cosa c’è nella sua rete”. Molto improbabile! (Troppa fiducia aggiungo io)

Controlled: Ora che conosciamo cosa è operativo all’interno della nostra rete, si possono implementare i primi “network-based control”. Applicate questo step a vostro piacimento: filtri in inbound e/o in outbound, network admission control, network access control, proxy connection e così via. L’idea è quella di trasmettere informazione da una “anything goes” network ad un’altra, ma l’attività di comunicazione deve essere precedentemente autorizzata da uno dei sistemi adottati.

NB: Questo è il primo step in cui gli stakeholder potrebbero cominciare a lamentarsi.

Claimed: Con claimed si intende l’identificazione del responsabile dell’asset e il successivo sviluppo di politiche, procedure e piani per operare su di esso, cominciamo realmente a toccare gli stakeholder. Sentitevi liberi di scambiare questo step con il precedente, ma esperienza insegna che è tipicamente più semplice cominciare introducento i controlli prima di responsabilizzare le persone. Si sottolinea come questo step sia prerequisito per l’incident response acquisendo informazioni dal primo step (monitoraggio) e lavorando con un “asset owner” in grado di rispondere, contenere e ripristinare un sistema in fault.

Minimized: Questo step va ad impattare direttamente sulla configurazione ed il comportamento degli assets. In questa fase si lavora con gli stakeholder per ridurre la “superficie d’attacco” dei network device. E’ possibile applicare questa idea a: client, server, applicazioni, network link e così via. Riducendo l’area d’attacco si migliora automaticamente l’abilità di eseguire tutti gli altri step, ma non si può avere una minimizzazione fintanto che non si conosce “chi è responsabile di cosa” e di lì a cascata.

Assessed: Questo è un vero e proprio vulnerability assessment utile per identificare le debolezze degli assets. Qualcuno potrebbe argomentare d’aver effettuato, o pagato, un VA come step iniziale ma la prima domanda che deve trovare risposta ancor prima di procedere all’assessment è “Cosa andremo a considerare?”. (Il posizionamento dopo la minimizzazione è dovuto anche ad una riduzione dei costi del VA ndA). Va da se che per semplificare questa fase si potrebbe iniziare con il disabilitare i servizi non “indispensabili” ma non si ha coscienza degli stessi prima di aver ultimato il VA. La procedura tipicamente si manifesta sotto forma di attacco simulato a tutti i sottosistemi dell’infrastruttura. Il VA è la fase dove si prende coscienza dell’efficacia delle proprie decisioni passate.

Current: In questa fase si intende configurare e patchare i sistemi fino ad ora considerati in modo tale da renderli inattaccabili (o resistenti) alle vulnerabilità note riscontrare. (Tipicamente è la fase di applicazione delle policy di rientro post VA). E’ facile disabilitare quelle funzionalità di cui nessuno fa uso, tuttavia gli aggiornamenti possono bloccare gli applicativi e ridurre l’operatività. (E questo spesso crea delle inevitabili falle nei sistemi legacy ndA)

Con questo chiudiamo la trattazione della DNA 2.0

Il Governo Federale sta adottando parte di questo approccio, come menzionato in “Feds Plan to Reduce, then Monitor“.

Secondo voi manca qualcosa ?

Sto seguendo la nuova BT4 da molto tempo e da febbraio ho incominciato a rovistare per bene dentro la distro.

Ho avuto il piacere di conoscere i ragazzi che stanno dietro la community italiana di BT – backtrack.it al Security Summit di Roma e devo dire che si sono dati da fare molto in questi tempi per spingere BT4 nella fase di pre Final (testimonio il fermento sull’IRC chan )

Server: irc.freenode.net
Room Italiana: #backtrack.it
Room Internazionale: #remote-exploit

Ed è con piacere che oggi (anche se con un pò di ritardo sul mainstream) vi comunico che la pre release di BT è disponibile per il download.

The Remote Exploit Team is ecstatic to announce the public release of BackTrack 4 Pre Final (codename “pwnsauce“). A VMWare Image of BT4 will be released in a few days. We have major changes in BackTrack, and have tried to document and summarize them as best as possible. See the BackTrack Guide PDF for more info.

[Via Offensive Security]

Riferimenti per la ISO

Descrizione: DVD Image
Nome: bt4-pre-final.iso
Grandezza: 1393631232
MD5: b0485da6194d75b30cda282ceb629654

Downloads

Oramai da troppi giorni stanno andando avanti gli scontri nella capitale dell’Iran Teheran.

Nei social network (non solo) rimbalzano in continuazione informazioni, video, notizie e quant’altro ci si possa aspettare da chi è costretto al silenzio dell’informazione ed utilizza la rete per far sapere al mondo quello che accade.

L’importanza dei social media e della rete prende una connotazione di rilevante importanza alla luce di quanto accade tanto da spingere il dipartimento di stato americano al seguente appello:

Il Dipartimento di Stato americano ha chiesto ai titolari di Twitter, il social network sul quale il candidato iraniano Mir Hossein Moussavi ha una pagina personale, di rinviare la manutenzione programmata prevista, in modo da consentire la copertura degli avvenimenti iraniani.

I normali mezzi d’informazione accusano pesantemente il colpo e non mancano le critiche come “Dear CNN, Please Check Twitter for News About Iran” e alla base di tutto c’è un’equazione che fa pensare Tienanmen + Twitter = Teheran

Ma tutta questa tecnologia è un bene? ASSOLUTAMENTE SI!

Ma c’è un scotto da pagare  … la tracciabilità!

Al di là della critica mossa dal WSJ all’Europa, fornitore di molta della tecnologia utilizzata per tracciare (mi verrebbe da dire tutto),

The monitoring capability was provided, at least in part, by a joint venture of Siemens AG, the German conglomerate, and Nokia Corp., the Finnish cellphone company, in the second half of 2008, Ben Roome, a spokesman for the joint venture, confirmed.

The “monitoring center,” installed within the government’s telecom monopoly, was part of a larger contract with Iran that included mobile-phone networking technology, Mr. Roome said.

“If you sell networks, you also, intrinsically, sell the capability to intercept any communication that runs over them,” said Mr. Roome.

si sta permettendo di fatto il controllo della fonia mobile e di internet.

Illazioni? Non proprio

Dando un’occhiata al traffico dei firewall iraniani possiamo dare un’occhiata a dei grafici che danno da pensare:

Questo il traffico totale degli “upstream” autonomous system afferenti alle telco iraniane

Analogo l’andamento del flusso di email

…per non parlare del traffico sulla TCP/1935…
Adobe Systems Macromedia Flash Real Time Messaging Protocol (RTMP) “plain” protocol

Convenendo che il “traffico internet” non sparisce, le considerazioni sono due : o il traffico sta viaggiando tramite proxy o servizi di anonymizing ma dubito che la coordinazione popolare abbia adottato nello stesso momento questa politica, e non spiegherebbe comunque la riduzione di traffico totale, o il traffico viene SELETTIVAMETE filtrato. Come si fa notare nell’articolo da cui traggo i dati:

government cannot turn off the Internet without impacting business and perhaps generating further social unrest.

da qui la mia enfasi alla parola “selettivamente”.

Non si può dimostrare con certezza ma mettendo insieme fornitori, e risultati mi sembra evidente di come una stretta politica di DPI sia stata messa all’opera, il che dimostra i dati di filtraggio che seguono:

Quintarelli riassume concretamente quanto sopra esplicitato

La Deep Packet Inspection al lavoro. Fornita da Nokia-Siemens.
Chi glielo racconta ai parenti degli scomparsi che serviva solo a gestire le congestioni ?

… mi permetto di aggiungere una cosa fondamentale. Che tutte queste informazioni sono valutabili avendo (bene o male) un punto di vista NEUTRALE sul traffico internet.

Ciao Andrea, mi chiamo Franz Grua e curo il sito de iMaccanici.
Gradirei inserire il tuo link negli “iLink” delle newsletter settimanali (652 iscritti ad oggi).
Qui trovi l’archivio delle newsletter … (omissis) … http://www.imaccanici.org/inews/

Così inizia una mail che in questo piovoso weekend estivo(?) mi ha rallegrato la giornata

Ringrazio Franz per aver segnalato FreeUser e invito tutti voi a seguire una community di gente che sa il fatto suo, magari cominciando proprio dalla release di questa settimana

La net neutrality continua a tenere banco nel panorama delle minacce “sociali” che potrebbero minare la rete così come la conosciamo

Già in passato mi sono occupato dell’argomento ma di questi tempi penso che si debba cominciare a spingere ancora di più sull’argomento

Innanzi tutto attingendo ad una delle fonti più aderenti al significato di neutralità possiamo definire come neutralità della rete:

… l’espressione che fa riferimento ad un principio di design/uso applicato alle reti residenziali a banda larga che forniscono accesso ad Internet, servizi telefonici e trasmissioni televisive. La definizione esatta varia ma viene ritenuta “neutrale” dalla maggior parte dei sostenitori di questo principio una rete a banda larga che sia priva di restrizioni arbitrarie sui dispositivi connessi e sul modo in cui essi operano.

[Via Neutralità della Rete - Wikipedia]

Ma come facciamo a capire se la rete che utilizziamo è neutrale oppure no?

Difficile a dirsi, ma stando al GIP di Treviso manipolare i contenuti della rete sembra essere una operazione lecita (il che è tutto un dire) quindi è il caso di premunirsi

NB: Preciso fin da ora che c’è una GRANDE differenza tra sequestro e filtraggio come fa notare l’AIIP!

Quindi come possiamo monitorare l’operato dei nostri ISP?

Ci da una mano in “neo” servizio NeuMon

Gli obiettivi del progetto

Determinare in realtime se un presunto “down” di un sito sia effettivo, o circoscritto ad alcuni provider, o se causato da un’alteramento di DNS o blocchi IP da parte dei provider.

Rilevare quali provider, e in che tempi, rispettino le direttive, di blocco o di sblocco.

Stilare una classifica dei provider più neutrali

Stilare un elenco dei domini bloccati

Stilare un elenco dei domini verso cui avviene il redirect (nel caso di ThePirateBay, il redirect avveniva verso un server di ProMusic, vedi articolo di Matteo Flora). Redirect attraverso il quale è potenzialmente possibile violare la privacy (intercettando i cookie).

Identificare quali provider eseguono blocchi DNS, quali blocchi IP, quali entrambi.

[Via Net Neutrality Monitor]

Come funziona?

Abbastanza semplice. Un client aka sonda (scaricabile sul sito) effettua periodicamente la risoluzione di una lista pubblica di siti e/o servizi web.

Se la risoluzione matcha “i veri dati” (anchor non modificato, contenuto non modificato ecc) vuol dire che non c’è filtraggio di sorta vice versa il sito è stato in un qualche modo manipolato

Ma questo genere di cose succede anche in Italia?

Giudicate voi…

[Aggiornato al 17 Giugno '09]

PS: se vedete la barra di questo link diventare rossa vuol dire che sono stato filtrato XD

PPS: si ringrazia Mr.X per la segnalazione

TuOpreventivatOre è lo strumento per confrontare – in base alla loro convenienza economica – i preventivi r.c auto di tutte le imprese presenti sul mercato. Il servizio è gratuito e anonimo: per attivarlo l’utente deve rispondere a un questionario, ma non occorre che dichiari le sue generalità; basta fornire un indirizzo e-mail valido dove ricevere i preventivi

[Via Tuo Preventivatore]

Ancora non capisco se è una presa in giro oppure veramente credono a quello che scrivono!

Qui siamo veramente all’ABC …

PS: Grazie a Fausto per la segnalazione queste chicche di prima mattina sono micidiali

Ci troviamo in questi ultimi giorni a dover(ci) tutelare la(dalla) rete (e)dai continui attacchi che i vari governi stanno tentando di mandare a segno.
Sarkozy prima (fortunatamente con scarsa efficacia) e l’attuale governo italiano (utilizzando lo strumento della fiducia come arma contro i dissidenti parlamentari) propongono e riescono a far adottare mezzi di controllo che in altre parti del mondo non stenterebbero a giudicare antidemocratici.

The region registered one status downgrade in 2008, as Italy slipped back into the Partly Free range thanks to the increased use of courts and libel laws to limit free speech, heightened physical and extralegal intimidation by both organized crime and far-right groups, and concerns over media ownership and influence. The return of media magnate Silvio Berlusconi to the premiership reawakened fears about the concentration of state-owned and private outlets under a single leader

Via Freedom House – Press General Report

Ma si sa che tecnica e politica viaggiano su due velocità. Se da un lato si cerca di imbavagliare e/o censurare, dall’altra si tenta di rendere tecnicamente difficile questo processo, come? Presto detto.
Molti conosceranno TOR aka The Onion Router tra i suoi tanti pregi c’è però un difetto “la lentezza“, che rende spesso inutilizzabile il mezzo se non in quei casi in cui la riservatezza è estremamente necessaria, tant’è che il Free Heaven Project sta testando e ridisegnando TOR come venir meno a questo problema.

Se aggiungiamo il P2P a tutta la questione dell’anonimato e della riservatezza l’ordine del problema cresce ulteriormente … entra però in gioco …

Il principio di funzionamento è più o meno “sempre” lo stesso:

Immaginate una rete di peer interconnessi tra loro (proprio come una rete per file sharing) dove le risorse condivise non sono né film e né mp3 ma virtualmente “banda“. Aggiungete poi una serie di relay (sempre e comunque peer nello schema) che comunicano tra di loro in maniera cifrata ed ecco che il mix comincia a prendere forma.
Ogni nodo della rete (virtuale) che si instaura conosce solo due interlocutori troncando di fatto la catena delle richieste, nel tempo quindi un peer conosce o la nostra identità ma non la destinazione della nostra richiesta o viceversa il sito di destinazione ma non il richiedente.
Ora direte voi: “E dove sta la velocità?”
Tra le regole “d’oro” per joinare la rete troviamo:

Keep the network fast.
Basically, the more relays in the network, the faster it is for everyone.
If people could use the network without contributing, it would be slow and unusable (see Tor if you don’t believe us).
Besides, no one likes a leech!

via Overview

il che lascia presagire l’utilizzo del paradigma di file sharing, “più dai più sarà dato”.

La registrazione al servizio ad oggi è momentanea sospesa, vi darò più informazioni una volta che riuscirò a metterci le mani sopra

Mi raccomando leggete il codice di condotta

Altri link:
TorrentFreak

Caro sconosciuto che utilizzi freeuser.org come dominio per mandare i tuoi messaggi di spam… ora mi sono incazzato veramente!!!

Dear stranger, stop using my domain as base for the you random addresses generator… I’m going frenzy! Let’s play another game now !