Archivio per la categoria software

Apple Vs FBI: discussioni inutili

pointlessI3

 

Bandiera inglese   Inutile girarci intorno: per quanto validi, i meccanismi di protezione dei vari smartphone in commercio, non vengono da noi utilizzati nel modo migliore, ne lo possono essere, pena rinunciare ad un accesso semplice e veloce alle funzioni dello smartphone stesso.

Qualcuno vorrebbe forse attivare il proprio smartphone -dalle 20 alle 60 volte al giorno- usando una password (forte) come questa?       H-8Gi0Lyn87#13
o meglio ancora, una passphrase come questa?               Agn0stIc0 -was- Il mI0 s0nn0

Sono password e passphrase piuttosto robuste;  ma naturalmente no, nessuno le userebbe 20, 30 o 60 volte al giorno: renderebbe l’accesso al nostro smartphone un inferno.

È indubbio comunque, che il nostro smartphone contenga molte informazioni per noi importanti;  per qualcuno, il proprio smartphone contiene tutte le informazioni che lo riguardano: PIN, codici, note e telefoni riservati; spesso anche le userid e password (credenziali di accesso) che  permettono di accedere alla propria banca, alla propria email ed ai propri profili nei social network:  in prima posizione Google, Facebook, ma anche LinkedIn, Twitter, Instagram.

Per governare l’accesso al nostro smartphone e  proteggere veramente i nostri dati privati, è quindi necessario avere al suo interno un contenitore sicuro di dati, con altissimo livello di sicurezza: una App che operi come una cassaforte inviolabile, per i vostri dati riservati.

Se ben implementata, se correttamente integrata con i più robusti algoritmi standard di crittografia e se attivata con una password o passphrase forte, allora sì, i nostri dati saranno al sicuro da chiunque voglia accedere a loro in modo illecito:
che sia un’organizzazione criminale o perfino un governo, per nessuno –neppure per il costruttore– sarà possibile accedere a dati protetti da crittografia forte(1).

Questa è la ragione per cui penso che tutto quello che e’ stato detto del caso Apple Vs FBI abbia poco senso:  dobbiamo organizzare i nostri strumenti di lavoro in modo che siano immuni anche dalla volontà -diretta o indotta- del produttore.
Non dovrà preoccuparci che l’FBI chieda o obblighi un produttore a rimuovere una protezione, ne –ed a maggior ragione– dovremo preoccuparci del fatto che il produttore un giorno si svegli di cattivo umore e decida di accedere ai nostri dati privati.

È la crittografia quella che conta: forte, di pubblico dominio ed utilizzata con chiavi robuste.

(1) “There are two kinds of cryptography in this world:  cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files”   Applied Cryptography  –  Second Edition 1996 [2016: 20th Anniversary ! ] By Bruce Schneier

Lascia un commento

Divertente … anzi, no! assolutamente pazzesco.


I am just an adware

Bandiera inglese

Sembra che a partire dallo scorso agosto 2014, Lenovo abbia rilasciato sui suoi portatili, un Adware chiamato “Visual Discovery” prodotto da Superfish (?).

Lo scopo di questo “tool” era di operare come un proxy installato nel vostro browser, in modo da  fornire in modo trasparente un servizio di ricerca visuale: prende in ingresso la immagini che vengono presentate durante una semplice navigazione, le confronta con un grande DB nel cloud, per presentare poi una selezione di immagini simili.

Un tool che potrebbe anche essere comodo, se non fosse che, allo scopo di poter vedere proprio tutto il traffico dati, Superfish si è attrezzato per inserirsi anche nel mezzo delle comunicazioni https (e già!):   in pratica realizza un efficientissimo man-in-the-middle, all’interno del vostro computer.

In pratica ogni comunicazione dal browser verso un sito, incontra il suo end-point, direttamente in questa applicazione “filtro” [applicazioni definite LSP (Layered Service Provider) o WFP (Windows Filtering Platform) ], che provvede poi ad inoltrare la richiesta al sito di destinazione.

A questo punto, nel caso di una comunicazione https,  verrà attivato un canale “sicuro”  tra il browser e questo proxy (Superfish), quindi un secondo canale “sicuro” verrà attivato da Superfish ed il sito esterno. Quindi, esisterà una  comunicazione  crittografata e protetta, dal sito esterno, fino a Superfish e nuovamente -con una differente connessione “sicura”- da Superfish al vostro browser!

Mica facile però.

Nelle connessioni https, il browser verifica che il certificato server di autenticazione, sia prima di tutto verificabile come vero, quindi si riferisca effettivamente all’host che è stato richiamato dal browser; se il certificato server non dovesse venire verificato, il browser farebbe apparire un messaggio esplicito di avvertimento all’utente, per avvisarlo della situazione.

E come fa Superfish ad evitare questo controllo?

In pratica genera certificati server al volo, che permettano al browser di validare la connessione con se stesso.

Ma come è possibile che il  browser accetti questi certificati,  ovviamente falsi?

Facile: in fase di installazione, Superfish garantisce per sé verso Windows, presentandosi come una Certification Authority attendibile ed aggiungendo un proprio certificato “root” all’interno del repository di sistema.

In questo modo può creare e FIRMARE al volo certificati falsi dei vari siti su cui si naviga; tanto per non lasciare nulla al caso, il suo certificato rootCA permette non solo di verificare la firma di certificati server, ma anche di verificare le firme sui software.

Ovviamente per operare, è necessaria la chiave privata del certificato “root”;  questa è presente all’interno del software Superfish [e’ crittografata, ma tramite una chiave che è stata facilmente trovata da diversi ricercatori che operano con SSL].

Cosa c’è di peggio? Che Superfish può ovviamente essere sfruttato da malware e malicious sia per farvi navigare su siti falsi -ma che risultino perfettamente accreditati da falsi certificati server- sia per farvi accettare come validi, software di qualsiasi tipo possiate scaricare.

Ora, ipotizzando con ragionevolezza che Lenovo non sia il Re degli Hacker Mondiali, viene da pensare:
ma come **#!!@ gli può essere venuto in mente di fare una cosa del genere?

La prossima volta che uno degli OTT -e Lenovo lo è-  si proporrà per un sistema di controllo di una Rete Critica o per l’implementazione di un sistema di guida automatica nelle nostre auto, che dovremo pensare?


Funny? No, definitely crazy!

From August 2014 Lenovo released on his laptop an Adware that actually acts as a very efficient man-in-the-middle
The adware is known as Visual Discovery by Superfish and the worst thing -of course- is that this software could be abused by cybercrooks.
Next time one of the OOT in Computer and Software -Lenovo is one of them- will propose a Control System for a Critical Infrastructure or the implementation of an automatic guidance system in our cars, what will we have to think about?

From Homeland Security: You have to remove it, immediately! 

 
More on this:

Lascia un commento

HSM: tormento ed estasi (per pochi addetti ai lavori)

scade HSM 25-07-2014

La data è arrivata e superata: il 25 luglio segnava la data ultima in cui erano ancora accettati, come apparati sicuri di firma digitale alcuni HSM, in attesa di certificazione Common Criteria.
Certificazione, appunto, che avrebbe dovuto essere rilasciata entro quella data.

Essendo stato superato il limite temporale, l’art.1 c.1 del DPCM 19/07/2012, pubblicato in G.U. n.236 il 10/10/2012 è divenuto operativo, imponendo quindi alle Certification Authority accreditate, la definizione e la comunicazione ad AgID -entro 15gg dalla scadenza [vedi Art.3 c.1]- del piano di migrazione al quale le stesse CA sono saranno tenute ad attenersi ed a completare entro i successivi 6 mesi.
“Successivi sei mesi” li ipotizzo -nella migliore delle ipotesi- dalla data di consegna del piano di migrazione; con questi presupposti, la prossima deadline è quindi il 9 febbraio 2015.

Quindi, fino a questa nuova scadenza, i suddetti apparati, potranno ancora essere utilizzati per la creazione di firma digitali legalmente valide; in questo ulteriore lasso di tempo, sarà ancora possibile per un produttore di questi apparati, cercare di completare il processo di certificazione.  La regola attuale dice però, che al termine di quest’ultima finestra temporale, gli apparati che non saranno in possesso di una certificazione valida, dovranno essere dismessi.

Inoltre, visto che gli apparati utilizzati fino ad oggi, non potevano gestire (o non avrebbero dovuto poter gestire) il backup delle chiavi in loro possesso, il senso del termine “migrazione” sta proprio a significare che, le coppie di chiavi nate e/o operative all’interno di HSM non certificati alla data del 9 febbraio 2015, non dovranno più essere utilizzate e i certificati qualificati ad esse associati dovranno essere -auspicabilmente- revocati.

Ora, come dicevamo in un precedente articolo, al momento esiste un solo HSM certificato secondo le richieste della legge italiana: é un apparato sofisticato e potente, ma estremamente costoso in proporzione al numero massimo di 20 (venti) firmatari, che può gestire in modo conforme alla sua certificazione e quindi alla legge.

É pur vero che un’altro apparato HSM riceverà a breve una corretta certificazione Common Criteria [l’informazione deriva dalla pubblicazione -da parte del distributore italiano- di una lettera ufficiale da parte di OCSI su questo argomento]

Anche questo è un apparato sofisticato ed efficiente e per giunta non soffre di limitazioni pratiche sul numero dei firmatari gestibili, anche se il prezzo di vendita di licenza d’uso per firmatario non è esattamente economico; ma naturalmente ognuno a casa propria stabilisce le regole che crede più opportuneHSM - agony and ecstasy

Del terzo fornitore di HSM, sarà bene al momento sorvolare; questa azienda non è riuscita a certificare nei termini prescritti il proprio apparato e sembra abbia dichiarato che non ci riuscirà neppure allo scadere dell’effettuazione del piano di migrazione, il 9 febbraio 2015; (ufficiosamente) sembra si possa riparlare della sua certificazione, per fine anno 2015.

Questa prima battaglia tra HSM è quindi al momento conclusa: abbiamo un primo vincitore, anche se un poco di nicchia ed un secondo vincitore, con un prodotto più utilizzabile; poi abbiamo un perdente / rimandato di cui forse si tornerà a parlare a fine 2015.

Ora che abbiamo due HSM perfettamente legali, certificati e -realmente- validi, nel disegnare una architettura che comporti la firma digitale automatica, dovremo scegliere uno di questi due HSM?

Beh, non è affatto detto(1)

(1) Qui c’era un link ad un’altro articolo, dove sarebbe stato possibile -in particolari contesti- trovare una buona alternativa agli HSM … per ragioni diplomatiche ho dovuto rimuoverlo 😦  vi devo lasciare quindi con un dubbio amletico e contemporaneamente con una traccia.

, , , , ,

Lascia un commento

ICT Security: Beware CopyCats!

É stato correttamente fatto notare da un ex Consulente CNIPA, che alcuni sedicenti fornitori di prodotti di sicurezza, hanno inventato soluzioni di firma digitale automatica a costi sicuramente competitivi ma creando, altrettanto sicuramente, soluzioni poco serie.

ICT Security:  Beware Copycats!

Beware Copycats!

Alcuni di questi, hanno infatti provato a copiare il metodo, messo a punto da Secure Edge e proseguito poi da GT50, che si basa sull’uso di lotti di chip crittografici oltre ad una serie di misure di sicurezza, di procedure e di security policy.

Questo approccio integrato ha permesso lo sviluppo della Piattaforma Appliance 2D-Plus ed il superamento con successo di alcune ispezioni effettuate congiuntamente dal Ministero dell’Interno e dalla (allora) DigitPA, su installazioni da noi effettuate e tuttora operative presso importanti Enti di Pubblica Amministrazione.

Da sempre, come nostra politica e buona prassi nel campo della sicurezza ICT, abbiamo rilasciato pubblicamente tutta la documentazione e la descrizione delle architetture, delle procedure e delle security policy consigliate in questo tipo di progetti.

Questa trasparenza è uno dei motivi per cui la nostra soluzione è in esercizio presso piú di100 Clienti, tra Pubblica Amministrazione Centrale e Locale, Università ed Enti di Previdenza.

Contemporaneamente la disponibilità al pubblico di questa importante mole di informazioni e know how, ha sicuramente consentito a qualche improvvisato, di vestirsi di panni non propri e di sviluppare soluzioni di firma digitale automatica scarsamente valide, come ha evidenziato l’Autore della nota di cui stiamo parlando.

Non si diventa professionisti della sicurezza da un giorno all’altro, ne copiando il lavoro altrui, ne tantomeno semplicemente perché si rivendono prodotti intrinsecamente seri e validi.

Vale sempre la pena di ricordare che:

Security is a not a product, but a process
(Security Engineer Mantra)
[Bruce Schneier – Communications of the ACM October 1999]

Al contrario, questi fornitori –senza per altro possedere abbastanza competenza tecnica e capacità di attenzione alla norma, tale che gli permettesse di impostare una soluzione corretta sia tecnicamente che legalmente– hanno tutt’al più connesso una o più smart card ad un server senza preoccuparsi di molto altro; al massimo qualcuno, tentando di copiare un’altra nostra idea, ha chiuso questi lettori di smart card all’interno di “scatole” di varia natura.

Siamo quindi sicuramente d’accordo con chi ha detto (e scritto) prima di noi:

“[…] è necessario, per evitare sorprese, utilizzare prodotti seri
e non affidarsi a soluzioni di dubbia sicurezza o completamente illegali.”

In Secure Edge prima ed in GT50 oggi, siamo particolarmente attenti alle architetture, allo sviluppo software, alle procedure e security policy presenti nelle piattaforme tecnologiche che forniamo ai nostri Clienti e che -tipicamente- comprendono la completa gestione e controllo sulla firma digitale automatica.

Questo, probabilmente, anche a fronte di un’esperienza nel settore della sicurezza, della crittografia e della firma digitale, che conta (ahimè) ormai più 20 anni ed è supportata da una serie di certificazioni professionali.

Da tutto ciò ne deriva che le applicazioni di firma digitale automatica da noi proposte, comprendono tutti i meccanismi descritti in precedenza, necessari a rendere queste applicazioni valide tecnicamente e legalmente, all’interno di una corretta gestione e completo controllo sulla generazione di firme digitali.

Inoltre, allo scopo di mantenere al livello più alto la certezza delle operazioni, abbiamo scelto anche di accreditarci come Registry Authority, con le due Certification Authority più importanti del mercato italiano.

In questo modo, anche il “semplice” processo di erogazione di un certificato qualificato, nel contesto particolare della procedura automatica, viene gestito con il corretto livello di attenzione, nel rispetto del Cliente/firmatario e della sua completa consapevolezza.

Siamo una delle poche aziende interamente italiane che opera a livello di architettura e di sviluppo software, realizzando soluzioni di sicurezza tecnologicamente adeguate ed economicamente convenienti nel mercato della firma digitale.

Fortunatamente i nostri clienti e le nostre referenze parlano più di chiunque altro.

, , , , ,

Lascia un commento