SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Le vulnerabilità degli SCADA

    L’episodio di STUXNET ha acceso i riflettori sul problema della protezione dei sistemi industriali di controllo e raccolta dati (SCADA).

    Fino a qualche anno fa gli SCADA erano un mondo a parte: il dialogo tra i sistemi di supervisione, i sensori e i PLC avveniva su bus proprietari o seriali e il computer di supervisione era isolato dal mondo perché serviva solamente a controllare una o più macchine. Addirittura il fatto che il supervisore fosse un PC era, di fatto, puramente incidentale.

    Con il progredire dell’informatizzazione è nata la necessità di far dialogare il sistema di produzione con il gestionale o un software di analisi. Il PC di supervisione è stato, quindi, connesso alla LAN aziendale.

    In seguito, il dialogo tra il PC di supervisione e i PLC anziché avvenire con un’interfaccia seriale (tipicamente RS-232RS-485RS-422) avviene via TCP/IP su ethernet in rame (UTP); quindi in molte realtà i PLC vengono connessi direttamente in LAN.

    La possibilità di raggiungere le LAN di produzione attraverso collegamenti remoti via Internet o la disponibilità di app per i dispositivi mobili che permettono di ricevere gli allarmi completa il quadro dell’evoluzione.

    Solamente le realtà più grosse tengono le LAN separate o mediate da un firewall, ma avviene comunque un dialogo tra la rete office e quella di produzione. Senza contare che il personale di manutenzione utilizza spesso chiavette USB o portatili poco protetti da antivirus, per avere una maggior efficienza dei software di amministrazione dei PLC. Pare sia stato questo il vettore che ha permesso di infettare l’impianto iraniano con STUXNET.

    (altro…)

  • Voi e le vostre balle sulla sicurezza/3

    La BBC riporta alcuni risultati di uno studio compiuto da Symantec e dal Ponemon Institute secondo il quale alle aziende del Regno Unito il furto o la perdita di dati costerebbe circa 1,9 milioni di sterline all’anno.

    Bisogna notare che Symantec è un fornitore di soluzioni di sicurezza, quindi il report potrebbe suonare un po’ di parte sulle parti dei costi. Inoltre alcune organizzazioni, come, a puro titolo di esempio, gli istituti finanziari e di credito, non sono molto inclini a rivelare questo tipo di notizie.

    La maggior parte (37%) degli eventi di perdita di dati è legato a guasti hardware o software.

    A seguire (31%) si collocano eventi legati alla negligenza degli addetti, come, per esempio, la perdita di dispositivi tecnologici su cui sono registrati dei dati (portatili, telefoni, chiavette USB e assimilati).

    Ovviamente l’evento che fa più paura agli intervistati è un attacco criminale informatico diretto contro l’organizzazione.

    L’ovvia conclusione, per cui non ci voleva un certo portavoce di Symantec, è che è bene mettere in campo ogni ragionevole misura preventiva prima di dover fare un triste controllo dei danni a posteriori.

    Aggiornamento 21/3/2011 17:40 – Quattro ore dopo (l’avesse fato prima…) la pubblicazione della prima versione di questo articolo Naked Security ha pubblicato una lista dei peggiori attacchi informatici degli ultimi dodici mesi.

  • RSA SecurID compromesso

    RSA ha comunicato in una lettera aperta di essere stata sotto attacco informatico.

    Gli attaccanti potrebbero aver acquisito alcune informazioni riguardanti il sistema SecurID.

    Secondo quanto comunicato da RSA, gli attaccanti non sarebbero in possesso di informazioni sufficienti per attaccare il sistema di sicurezza, ma potrebbero aiutare a ridurne l’efficacia.

    Dal momento che il sistema si basa su due fattori di identificazione, il numero visualizzato dal token SecurID e una password, è fondamentale che la password sia ragionevolmente sicura.

    In questo caso vale la pena ricordare che le password ottenute permutando alcune lettere con simboli specifici (s->$, o->0, i->1 a->@, eccetera) non sono più considerate sicure. Quindi, password e P@5$w0rD hanno di fatto lo stesso grado di sicurezza.

  • Sorgenti di PHP compromessi

    I sorgenti si PHP sarebbero stati compromessi (traduzione in inglese).

    Sembra che le modifiche non includano del malware, ma la cautela è d’obbligo.

  • 0day di Adobe Flash

    Adobe segnala che sarebbe in circolazione uno 0day di Flash.

    Il problema interessa tutte le versioni di Flash e potrebbe interessare anche Acrobat, sebbene la sandbox di Reader X dovrebbe impedire l’installazione del malware.

    Il malware che sfrutta questa vulnerabilità sta girando sotto forma di file Excel (.xls) con all’interno un’animazione flash che sfrutta il baco del software per installare del codice dannoso.

    Adobe ha promesso un aggiornamento straordinario di Flash durante la settimana che inizia il 21 marzo. (via SANS)

  • twitter e facebook: la stessa strategia di attacco

    Gli utenti di Twitter sono interessati da una serie di attacchi basati sul social engineering, molto simili a quelli che hanno colpito facebook da tempo.

    Su Twitter stanno girando, infatti, due tipi di messaggi:

    OMG: This GIRL KILLED HERSELF after her father posted THIS on her wall
    I am xx% addicted to Twitter, find out how addicted you are here

    Ovviamente entrambi i messaggi terminano con un link accorciato, che impedisce di capire esattamente dove si va a finire se si clicka. Il link porta dritto alla pagina che installa il malware sul computer.

    Inutile dire che non esiste alcun metodo per calcolare la percentuale di dipendenza da Twitter né ragazze suicidate in seguito a quanto descritto dal messaggio virale.

    Se proprio non potete fare a meno di gossip estremo, consiglio il Sun o la Bild: alcune volte le notizie sono altrettanto inattendibili, ma almeno non vi arriva del malware sul computer. (via Naked Security)

  • L’onda nucleare

    Un reattore nucleare NON è una bomba ANon devo dirvi io che il Giappone sta vivendo in queste ore un momento tragico della sua storia. Colpito da un sisma di proporzioni enormi, la sua popolazione ha reagito con una preparazione che noi ci sogniamo e sta già avviando la ricostruzione con una efficacia che ci lascia stupiti.
    Ricordiamo che il sisma che ha colpito il centro Italia nel 2009 era di grandezza 5,9  mentre questo è di magnitudine 8,9 . Aggiungiamo che la scala Richter qui usata è logaritmica con scala di potenza 3/2, quindi questi tre gradi di differenza in intensità caratterizzano un terremoto che ha rilasciato oltre 30.000 volte l’energia di quello che ha colpito il nostro centro.
    Questo dovrebbe dare una idea delle proporzioni della catastrofe.

    Città distrutte dal terremoto e dal relativo tsunami. Migliaia di morti e dispersi nella misura di decine di migliaia, presumibilmente tutti feriti, più o meno gravemente.
    E di cosa riescono a parlare i nostri giornali?
    Centrali nucleari, della loro insicurezza, naturalmente.

    Sì, perché come ormai sanno anche i sassi, una delle centrali con 6 reattori ad acqua bollente (di tipo BWR-3, 4 e 5) è stata colpita in maniera molto dura dallo smottamento e, nonostante lo spegnimento effettuato in maniera automatica, tempestiva e corretta, c’è qualche problema nello smaltire il calore residuo.
    Per sua stessa caratteristica, un reattore nucleare ha una grande inerzia termica e quindi, anche dopo lo spegnimento delle reazioni, va raffreddato in modo da impedire la fusione degli elementi radioattivi e di tutti gli strumenti di supporto a contatto con questi. L’arresto della reazione a catena avviene grazie all’inserimento di assortitori di neutroni (in questo caso acqua e Boro), a questo punto la centrale non produce più energia e deve usarne dall’esterno per mantenere  in funzione il raffreddamento ed evitare la fusione del nocciolo. La centrale giapponese è alimentata in casi di emergenza che è stato danneggiato dal sisma. Nell’unità 1 e 3 del reattore si sta quindi intervenendo pompando acqua di mare nel reattore.
    In questo modo il reattore oltre che raffreddato viene definitivamente avvelenato dal cloruro, quindi entrambi andranno probabilmente dismessi e sostituiti.

    (altro…)

  • Terremoto in Giappone: attenti alle truffe

    Questo blog non ha la pretesa di narrare o dare conto dei tragici eventi che stanno colpendo il Giappone in queste ore.

    F-Secure e SANS avvisano che gli eventi connessi al terremoto e allo tsunami potrebbero essere utilizzate per scopi fraudolenti.

    È, quindi, consigliabile, evitare di visitare siti di dubbia autorevolezza o aprire email o allegati provenienti da fonti sconosciute, specialmente se chiedono danaro e/o promettono di mostrare immagini sensazionali.

  • Quanto è utilizzato il GPS?

    La città sulla baia si sveglia come tutte le mattine.

    Lentamente riprendono le attività di tutti i giorni, le persone vanno al lavoro, i corrieri consegnano le merci e i servizi pubblici su gomma, ferro e acqua trasportano i loro passeggeri come al solito.

    La mattina scorre tranquilla e si avvicina il mezzogiorno. Negli uffici si comincia a pensare dove andare a fare il break; un impiegato decide di telefonare ad un amico per mangiare qualcosa assieme, ma il suo cellulare è sconnesso dalla rete, così come quelli dei suoi colleghi.

    Un altra persona che voleva ritirare dei soldi da un bancomat non riesce a trovarne uno funzionante.

    Chi attende i mezzi pubblici non riesce più a sapere quanti minuti mancano all’arrivo del prossimo autobus, le imbarcazioni che stanno incrociando nella baia rischiano di collidere tra loro.

    I fattorini che stavano terminando le consegne della mattina non sanno più come trovare i destinatari dei pacchi…

    (altro…)

  • Cancellare un disco con i comandi ATA

    Avevamo già trattato l’argomento della cancellazione di un disco, questa volta vediamo come farlo utilizzando i comandi ATA, che operano ad un livello inferiore rispetto a quello che avevamo trattato la scorsa volta.

    Lo scopo delle istruzioni che seguono è di inviare al disco da cancellare il comando Secure Erase (SE). Questo comando è disponibile anche su molti dischi SCSI e su alcuni dischi FC.

    SE dice al firmware del hard disk di sovrascrivere tutte le aree dati del disco, indipendentemente dal fatto che siano raggiungibili dal sistema operativo, quindi anche quelle non partizionate. Nel caso in cui un disco sia scollegato dall’alimentazione durante il processo di cancellazione, appena questo viene alimentato riprende la cancellazione. Per evitare che qualcuno spenga il disco e lo connetta ad un altro firmware prima del termine della cancellazione, SE cambia la chiave con cui i dati vengono scritti sul disco, rendendo impossibile il recupero dei dati in tempi ragionevoli.

    Secondo alcune fonti, questa procedura potrebbe migliorare le performance dei dischi allo stato solido (SSD).

    HIC SUNT LEONES!

    Queste operazioni devono essere eseguite su hardware sacrificabile, non utilizzate il vostro computer di lavoro o l’unico computer che avete per compiere le operazioni descritte di seguito. C’è il rischio concreto che il testo che segue contenga indicazioni che portino a danneggiare irreparabilmente l’hardware e comportino la perdita definitiva di dati. Questo tipo di attività va eseguito con coscienza di causa e ogni tipo di responsabilità è a carico di chi esegue queste operazioni.

    HIC SUNT LEONES!

    (altro…)

  • Le caratteristiche di un antivirus

    Ci sono molti parametri che influenzano le decisioni che portano all’adozione di uno specifico antivirus in ambito lavorativo, non tutte legate alla sicurezza informatica.

    Molti scelgono, legittimamente, un antivirus in base al costo, all’integrazione con il software installato e all’impatto sul lavoro di tutti i giorni dei client.

    Ci sono esigenze specifiche di alcune aziende, che non interessano altre. Per esempio, se qualcuno degli utenti mobili si reca in Paesi in cui ci sono limitazioni della libertà dell’utilizzo di Internet o sono state adottate misure di sorveglianza, saranno necessari antivirus in grado di individuare questi tipi di minacce.

    Se un governo imponesse agli ISP l’adozione di software come FinFisher, l’antivirus dovrebbe tentare di rilevarlo? FinFisher non costa poco, come è possibile vedere in un articolo pubblicato sul blog di F-Secure, e se lo possono permettere solamente grosse organizzazioni.

    Quando si sceglie un antivirus forse è bene controllare anche da che parte sta in casi come questi.

     

  • Baco nell’implementazione di STARTTLS in alcuni MTA

    Wietse Venema, l’autore di Postfix, ha scoperto una vulnerabilità del suo stesso programma presente anche in altri MTA.

    Il problema si presenta nelle fasi iniziali del passaggio a TLS della comunicazione SMTP.

    Wietse ha scoperto che, accodando altri comandi SMTP in chiaro al comando STATRTLS, quello che avvia la sessione TLS, l’MTA esegue i comandi accodati anche se sono in chiaro e anche se seguono la richiesta di sessione cittografata. Se, infatti viene inviata la stringa "STARTTLS\r\nRSET\r\n", l’MTA risponde con due status 250 anziché uno solo, indicando, quindi, che ha eseguito anche RSET, sebbene sia dopo la richiesta (confermata) di passaggio ad una sessione crittografata.

    Il problema, come spiega Wietse, risiede nell’implementazione del sistema di stratificazione dei vari protocolli ed è, quindi, possibile che altri programmi che usano TLS potrebbero essere interessati da questo baco.

    Per quanto riguarda Postfix, il problema non è presente nelle versioni 2.8.x e 2.9.x mentre è stato risolto nelle versioni 2.7.3, 2.6.9, 2.5.12 e 2.4.16.