In questi giorni, tra Karspersky e Snowden, si stanno sovrapponendo le notizie di falle nella sicurezza di qui e di la'. In questa serie di allarmismi, ci sono alcune cose vere ed alcune che sono "voglio unirmi al coro, ci sono anche io". Andiamo a vedere che cosa e' realistico/vero e che cosa non lo sia, ma prima vorrei spiegare come l'arrivo di Snowden abbia riempito il mercato di consulenti alla sicurezza "la paura prima".
Sia chiaro: io non credo che la questione della sicurezza vada sottovalutata. Anzi, semmai c'e' da lavorare per anni solo per poter riparare i danni fatti da decenni di "programmazione allegra", da parte di design di sistemi "tutto nello stesso server", e cosi' via. Non perdero' di certo tempo a commentare una falla di mongodb che si realizza solo se esponete il vostro database direttamente alla rete. Non serve un esperto per questo, Darwin basta e avanza; se non vedete nulla di strano nell'esporre ad internet un database, siete cibo.
D'altro canto, oggi si sta esagerando. Il consulente per lasicurezza che si presenta oggi alla porta arriva e inizia con tanti bei powerpoint stile Snowden. Nei quali, prima vi dice che siete in pericolo perche':
- TANTENTANZ: il nuovo malware che colpisce il forno a microonde. Che siccome lavora a 2.45 Ghz, puo' a quel punto infettare il cellulare della Zia mentre cucina la torta, e quando poi vi porta la torta a casa, passa alla vostra wifi.
- NUDEFIAT: virus inventato dai servizi segreti della Polonia Est, che si diffonde attraverso la centrale elettrica. Vengono messe nella rete elettrica delle armoniche ad alta frequenza. Queste armoniche entrano nel motore elettrico del frigo e trasformano gli elettrodi in carbonio in tanti microchip di grafene. Col grafene, e' noto che si fa il computer quantico, e il computer quantico, si sa, puo' risucchiare vostra sorella in un universo parallelo.
- DRECKWURST: il software che usa gli infrarossi per entrare nel vostro cellulare attraverso il sensore di temperatura della CPU. Una volta trasmessi infrarossi nel modo corretto, si puo' indurre una serie di bit che costituiscono un virus che poi prende il controllo del telefono. Per fare questo si approfitta del momento in cui telefonate vicino ad un ambulante che vende bratwurst, che e' ovviamente un hacker.
detto che esistono questi cosi, che hanno il "nome che fa impressione®" poi arriva sempre, puntualissimo, lo "schema inutile che non dice un cazzo®"
,
e se ancora siete molto tecnici, e siete scettici, non puo' mancare un pizzico di "Esadecimale a Cazzo®"
GRATTA LA CHIAVE! GRATTA LA CHIAVE! CI stanno tracciando! Escono dai fottuti muri! Moriremo tutti! GRATTA LA CHIAVE! |
Questi allarmi rasentano il ridicolo, ultimamente, nel caso di Karspersky e degli allarmi che ha lanciato ultimamente. Ora, io non dico che le banche siano invulnerabili. Ma la storiella di Kaspersky e' ridicola. Le banche, per poter essere esaminate dal ministero (e ora dalla BCE) girano sempre piu' o meno gli stessi sistemi transazionali: CICS , TMX, roba che non voglio pensare di BULL, e pochi altri.
Ora, se c'e' una cosa che il nostro attaccante NON ha bisogno di fare ad una banca e' di osservare per mesi un impiegato con un malware, allo scopo di "capire come lavora": ammesso poi che il computer possa portare fuori i dati, visto che le banche lavorano normalmente su reti fisicamente separate.(1) Dopo aver "osservato" il nostro impiegato, il micidiale software consentirebbe (e non si capisce come, visto che i terminali della banca sono associati ad una logical unit del mainframe e stanno solo sul ring 0 del mainframe) all'attaccante di "aggiungere uno zero al conto": ora, ma di tutte le cose che puoi fare con un transazionale, proprio l' UNICA che NON puoi fare doveva scegliere Kaspersky?
Dopodiche', sempre a detta di Kaspersky, ci si presenta al bancomat - che diavolo abbia a che fare con il singolo impiegato lo sa solo Kaspersky - e si ritira il maltolto.
Peccato che gli ATM normalmente sono su una rete diversa da quella dei computer della filiale, peccato che le transazioni eseguite allo sportello non sono reali, ma finiscono in un batch che prima di essere eseguito passa ad una scansione antifrode, peccato che fare tutto questo casino per rubare soldi da un ATM sia assurdo, visto che ormai anche gli zingari rompono ggli ATM, e peccato che dieci milioni di euro negli ATM e' una cifra che vedo molto, molto, molto dura.
Lo stesso per il software che tu lo mandi a dieci milioni di computer, esso contiene si e no il nome del produttore del disco rigido, e prima cambia il firmware del disco (meglio di qualsiasi sistema di device management su scala enterprise) , poi inizia a scrivere i dati sensibili (meglio di qualsiasi agente di backup, che normalmente caccia dentro ogni cosa) in una zona sicura del disco, e poi fa partire un server da cui eseguire una specie di backup massivo distribuito, e senza una riga modificata su nessun firewall aziendale.
Allora, adesso i casi sono due.
- O chi fa device management e' un fesso, perche' basterebbe spedire il firmware per email.
- Oppure queste cose le puoi fare in laboratorio con UN solo disco del quale hai il firmware corretto.
cioe', se io mi metto a cambiare il firmware a casaccio, conoscendo solo il produttore del disco, su un milione di hard disk scelti a caso per il mondo, il mio software diventa famoso come " il software che ha funzionato l'1% delle volte, e il resto delle volte ha devastato il disco rigido".
Mi trovero' a che fare con:
- Ogni porcamadosca di variante del bios del PC.
- Ogni porcamadosca di variante di EFI.
- Ogni porcamadosca di software di compressione/criptazione che dopo l'operazione perde la checksum.
- Ogni porcamadosca di disco refurbished con il firmware a densita' abbassata.
- Ogni porcamadosca di partizionamento del disco.
- Ogni porcamadosca di partizione nascosta - e proprietaria - per il freeze della RAM.
- Ogni porcamadosca di variante dello stesso modello di disco, con firmware apposito.
- Ogni porcamadosca di computer con il disco aumentato di dimensioni dal negozio all'angolo.
- Ogni porcamadosca di hard disk messo in mirroring/stripe/array/
whatever - Ogni porcamadosca di computer che sta venendo spento mentre applico la patch.
- Ogni porcamadosca di variante locale dell'hardware.
- Ogni porcamadosca di computer che ha gia' un malware/virus che vuole fare lo stesso.
cioe' , io non capisco perche' per installare uno stupido office sui computer di una rete corporate sparsi per un singolo paese ho bisogno di una infrastruttura coi controcoglioni , e questi se ne escono con un programmino da 2 mega che tu lo installi su un milione di computer a casaccio, e tutti quanti riprogrammano il bios, riformattano/ripartizionano l'hard disk, alzano il server e mandano indietro i dati, in qualsiasi rete siano, senza chiedere ad operations di aprire firewall, qualsiasi proxy usino in rete, e il backup fatto sullo storage nascosto -mentre il PC lavorava - e' sempre integro!
Allora, diciamolo: Kaspersky, scendi dalla pioppa.
Andiamo invece agli allarmi "seri", diciamo almeno "credibili".
Pochi hanno compreso la portata della diceria di Snowden, secondo la quale sarebbero state rubate le credenziali delle SIM di Gemalto.
Io personalmente lo prendo sul serio, perche':
- Esiste davvero una cattiva pratica di mandare tali credenziali usando canali poco protetti.
- La sicurezza delle SIM e' sovraestimata, per via del fatto che tutti abbiamo un amico che smanetta sul PC e pochi ne abbiamo uno che smanetta con le SIM.
- Pochi conoscono il potenziale di OTA.
- Pochi conoscono il potenziale di BIP
- Pochi conoscono il potenziale di SIM Application Toolkit. (http://www.3gpp.org/ftp/tsg_t/WG3_USIM/TSGT3_10/docs/t3-99346.doc )
- Pochi capiscono cosa possano fare tutte e tre le cose insieme.
Usando OTA e' possibile chiedere ai vostri cellulari di svolgere delle operazioni, anche complesse, ed e' possibile configurare il vostro telefono (cambiando APN, per dire, o cambiando la rete di preferenza), mediante un SMS.
Unitamente a questo, esiste BIP. BIP, Bearer Indipendent Protocol, ( http://www.etsi.org/deliver/etsi_ts/102100_102199/102124/06.01.00_60/ts_102124v060100p.pdf ) consente alla sim di chiedere una connessione dati e scaricare moduli, per poi installarli. E' possibile e viene fatto da molti sistemi di provisioning, inviare un messaggio che causa lo scaricamento di un modulo, il quale si installa nella SIM e a sua volta puo' fare cose.
Ma andiamo avanti, perche' se a questi due aggiungiamo il potere di SIM Application Toolkit come standard, oltre a mandarvi sull' APN che si vuole, oltre ad accendervi il microfono a piacimento, oltre a farvi installare moduli sulla sim, con un OTA e (U)SIM Application Toolkit e' possibile andare oltre e installare applicazioni sul vostro cellulare.
Cosa vi serve? Vi serve che il messaggio OTA sia accettato. E quando viene accettato? Quando e' firmato crittograficamente con le credenziali della SIM. E cosa mi serve per questo? Conoscere le credenziali della SIM, ovviamente.
Ora, se pensiamo che sono state rubate le credenziali crittografiche di milioni di SIM, capite il pericolo: chiunque manda un SMS silenzioso, e il vostro cellulare inizia a fare cose. Non c'e' bisogno di intercettare, si comanda il vostro cellulare, o meglio, la vostra SIM.
Non c'e' bisogno di schemi o di esadecimale per spiegare questa cosa: sono protocolli noti. Sono standard industriali. Non c'e' bisogno di TANTENTANZ e delle microonde quantiche.
Andiamo al secondo allarme: Lenovo.
Lenovo ha installato uno spyware dalle capacita' tipiche dei keylogger, capace di intercettare le chiamate a tastiera, le zone visualizzate del browser e il movimento del mouse. Unitamente a questo, ha piazzato anche un sistema che fa un MIM facendo passare le chiamate https per un server , attraverso il quale si puo' ovviamente sniffare il traffico, cosa che richiede chiavi crittografiche ad hoc ("Superfish"). Come se non bastasse, le chiavi sono facili da rompere. Ma qui siamo gia' all'intercettazione del traffico, mentre il sw di lenovo cattura anche i movimenti del mouse mentre siete sul browser.
Allora fermiamoci alla parte banale, quella che cattura mouse e tastiera.
Voi pensate che serva per spiare , ma il problema e' che quando installate un sistema per le chiavi crittografiche vi viene chiesto di muovere il mouse a casaccio, o di digitare a cavolo sulla tastiera, per "generare entropia".
Allora fermiamoci alla parte banale, quella che cattura mouse e tastiera.
Voi pensate che serva per spiare , ma il problema e' che quando installate un sistema per le chiavi crittografiche vi viene chiesto di muovere il mouse a casaccio, o di digitare a cavolo sulla tastiera, per "generare entropia".
Eccovi sistemata la vostra entropia.
In pratica, non solo potenzialmente esisteva un keylogger su ogni PC Lenovo: siamo al punto nel quale nemmeno le chiavi crittografiche generate su computer Lenovo forniscono sicurezza. Il vostro PGP/GPG, insomma.
Ora, occorre molto per capire che installando un proxy con chiavi non certificate , e lasciando una pasphrase semplice da rompere alle chiavi , e contemporaneamente osservando il mouse per "mandare pubblicita'" , l'utente non abbia alcuna speranza di crittare la comunicazione, e quindi di proteggersi?
Ora, occorre molto per capire che installando un proxy con chiavi non certificate , e lasciando una pasphrase semplice da rompere alle chiavi , e contemporaneamente osservando il mouse per "mandare pubblicita'" , l'utente non abbia alcuna speranza di crittare la comunicazione, e quindi di proteggersi?
Allora, torniamo al punto di prima: invece di sparare grafici, esadecimale a cazzo , nomi alla Snowden, sarebbe meglio se nel mondo della sicurezza si dotassero di spiegazioni semplici, che spieghino i pericoli in breve, che siano chiari e semplici, e specialmente, REPLICABILI: anche per evitare scene come questa:
- Uriel: avete trovato una vulnerabilita'?
- CO: certo. Il nostro software di scansione ci dice che la vostra rete e' fragile a SBRANZBASC citeriore, supercazzola prematurata come se fosse antani. Possono leggere il tatuaggio che hai sulla chiappa.
- Uriel: mi fai vedere questo attacco? Un friendly hacking? Io mi faccio un tatuaggio, e tu mi dici cosa c'e' tatuato.
- CO: beh, no. Noi riconosciamo l'attacco. Ma non sappiamo farlo. Ma sappiamo che Stuxnet e gli israeliani cibernetici mutanti hanno lanciato un hacking anonimoso ardimentoso contro le lavatrici siemens di Teheran.
- Uriel: e come farei a sapere se le misure di sicurezza funzionano, quando non posso testare un attacco simulato?
- CO: perche' noi controlleremo da remoto e faremo una scansione col nostro software. E il software non sbaglia mai.
- Uriel: e mio cugino puo' spegnere internet. Friendly hacking or back off.
- CO: ma loro sono hacker, noi siamo dall'altra parte della barricata! Noi non possiamo replicare esattamente il loro attacco.Un attacco richiede preparazione, climax, carezze, preliminari! Non e' come nel porno.
- Uriel: ovvero, gli hacker sanno fare qualcosa che voi non sapete fare?
- CO: esatto.
- Uriel: allora non siete voi i consulenti alla sicurezza che cerchiamo. Con me, o FAI, o NON SAI.
e sarebbe ora che tutti i responsabili di infrastrutture iniziassero a fare lo stesso. Ce ne sono piene le palle di consulenti alla sicurezza che si presentano col pauerpoint e poi con l'esadecimale a cazzo, (e se gli chiedi di scrivere una riga di assembler si impappinano) , e ti spiegano che cosa fa il nuovo malware "ALBEROCIOLLA QUATERNIONI".
Che TANTENTANZ fa ridere, ma solo i primi cinque minuti.
Che cosa aspettate, che qualcuno pubblichi il generatore automatico di allarmi di Karspersky?
Che cosa aspettate, che qualcuno pubblichi il generatore automatico di allarmi di Karspersky?
(1) Ok, coi fisici possiamo discutere se la separazione del colore sui DWD* sia separazione fisica o meno, ma non e' nulla di cui un malware per Windows XP possa trarre vantaggio.