Saturday, September 24, 2011

La protezione delle infrastrutture critiche


I post precedenti hanno riguardato le reti di telecomunicazioni e quelle elettriche, il cui funzionamento è vitale per assicurare a tutti i cittadini di una nazione gli standard di qualità della vita a cui siamo abituati oggigiorno e per questo motivo sono chiamate infrastrutture critiche. Questa categoria comprende naturalmente anche le infrastrutture per l’erogazione dell’acqua, del gas e per il trasporto ferroviario ed aereo e per i servizi finanziari. 



Non è quindi per caso che ho rivolto l’attenzione ad alcuni rischi e minacce collegate all'esercizio di alcune delle suddette infrastrutture e che adesso provo ad allargare il punto di osservazione e condividere alcune riflessioni personali su questo ambito.

La prima considerazione è che l’Italia deve mettere nella propria agenda la definizione di un piano strategico per lo sviluppo delle infrastrutture critiche. 

Nel passato sono stati commessi dei gravi errori in questo ambito e mi riferisco in particolare alle modalità di privatizzazione di Telecom Italia che hanno determinato la condizione attuale di forte indebitamento e la significativa partecipazione azionaria da parte di una grande azienda di un altro Paese Europeo (Telefonica  de Espana possiede il 46% di Telco che controlla il 22% di Telecom Italia). Purtroppo sono due condizioni anomale nel panorama europeo degli altri operatori telefonici europei ex-incumbent, che condizionano le strategie di investimento dell’azienda e di conseguenza lo sviluppo dell’infrastruttura di telecomunicazioni del Paese.

A questo proposito, ricollegandomi ad un precedente post sulla gara per la concessione delle licenze per la realizzazione delle reti mobili LTE in cui avevo espresso molta preoccupazione per l’enorme costo sopportato dagli operatori e la possibile conseguenza sugli investimenti per la sicurezza delle stesse reti , devo dire che ho accolto con grandissimo piacere la notizia, che spero sarà presto confermata, che il maggior introito ottenuto sarà utilizzato per lo sviluppo dell’infrastruttura NGN ovvero la rete fissa a larghissima banda.

Queste sono esattamente le decisioni di cui il nostro Paese ha bisogno !

La seconda riflessione è che contestualmente alla definizione di un piano strategico per lo sviluppo delle infrastrutture critiche, il Paese deve assicurare che i gestori delle infrastrutture critiche adottino le misure più idonee per la protezione nei confronti di minacce esogene e endogene. 

A mio giudizio, nonostante i gestori delle infrastrutture critiche del Paese siano aziende indipendenti ed addirittura nel caso di Telecom Italia addirittura ad azionariato privato, occorre un organo di coordinamento e controllo delle modalità di gestione del rischio rispetto ad eventi derivanti da catastrofe naturali piuttosto che da minacce informatiche.  Sono convinto che sia necessario attribuire ad un organo centrale l’autorità di condurre valutazioni preventive dei piani di sicurezza definiti dai vari gestori di infrastrutture critiche, di effettuare assessment tecnici e piani di formazione per i gestori. La presenza di tale “struttura” è ancora più fondamentale in un contesto di recessione economica e riduzione degli investimenti.

Ho fiducia che nel futuro si possa arrivare a realizzare un modello similare a questo dal momento che oggi abbiamo almeno due pilastri fondamentali. Mi riferisco alla Segreteria Infrastrutture Critiche della Presidenza del Consiglio e al CNAIPIC, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.

La Segreteria Infrastrutture Critiche “cura il coordinamento interministeriale delle attività nazionali,  anche in ambito internazionale, e delle attività tecniche e scientifiche per l’individuazione e la designazione delle infrastrutture critiche nazionali ed europee e concorre al coordinamento per la loro protezione”. Conosco la grandissima capacità professionale e l’energia dell’Ing. Luisa Franchina, che è la responsabile della Segreteria, e per questo motivo sono certo che riuscirà a raggiungere gli obiettivi prefissati se riceverà le risorse necessarie per operare e soprattutto la collaborazione da parte di tutte le altre istituzioni coinvolte.



Il CNAIPIC è stato creato alcuni anni fa grazie alla straordinaria capacità ed intuizione del Dott. Domenico Vulpiani oggi Dirigente Generale della Polizia di Stato, Coordinatore per la Sicurezza Informatica e per la Protezione delle Infrastrutture Critiche. Come si potrebbe non ammirare enormemente qualcuno che ha trasformato una visione strategica in un disegno di legge ? forse non tutti sanno infatti che il ruolo del CNAIPIC risulta formalizzato in un decreto legislativo. Per la precisione il CNAIPC è “in via esclusiva incaricato della prevenzione e della repressione dei crimini informatici, di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale”.

Con la creazione del CNAIPIC,  l’Italia, e nello specifico la Polizia Postale e delle Comunicazioni, è stata un precursore in questo ambito anticipando analoghe realizzazioni da parte di altre nazioni. Il lavoro del CNAIPIC sta procedendo sotto traccia, come è giusto che sia, ma la sola evidenza pubblica del fatto che grandi aziende italiane continuano a stipulare accordi di partnership sono la testimonianza del fatto che il mondo privato sta riconoscendo il ruolo e l’importanza del lavoro svolto finora dal Centro.

E’ esattamente questo che io credo sia fondamentale: una forte collaborazione tra pubblico e privato è la base necessaria per costruire un modello efficace di governo delle infrastrutture critiche del Paese.



Saturday, September 17, 2011

Smart Grid (ITA + ENG)



Nelle reti elettriche siamo alla soglia di una importante rivoluzione, la più significativa in questo contesto da almeno un secolo. L’introduzione negli anni recenti dei contatori elettronici nelle nostre abitazioni (non tutti sanno forse che l’Enel è l’utility che ne ha introdotto il maggior numero nel mondo...circa 30 milioni!) è stato solo il preludio iniziale ad un cambiamento epocale che vedremo arrivare nei prossimi anni, quello determinato dal crescente impiego di reti di comunicazioni e sistemi IT e dalla maggiore diffusione di sistemi di controllo e dispositivi intelligenti. 

Si tratta in definitiva dell’evoluzione verso le cosiddette Smart Grid



I gestori elettrici seguiranno delle strategie di introduzione delle Smart Grid differenti a seconda delle loro esigenze di business o operative. Alcuni stanno pensando di dare priorità alla realizzazione delle Smart Grid per rendere più affidabile l’immissione nella rete elettrica dell’energia prodotta tramite fonte alternative (eolico, fotovoltaico, etc.) da grandi produttori business. Per altri gestori la priorità può essere quella di introdurre delle funzionalità che consentono di gestire al meglio la richiesta da parte della clientela di picchi di energia per poter rendere meno onerosa la gestione di tali situazioni “critiche”. 

In ogni caso è universalmente riconosciuto che le Smart Grid in un modo o nell’altro hanno il potenziale di trasformare la generazione, la distribuzione e per finire anche il consumo di energia da parte della clientela finale perché si arriverà a fornire loro la possibilità di controllare e gestire i propri consumi in accordo alle proprie esigenze e profili tariffari. 

Come detto una delle componenti principali della Smart Grid è rappresentata dalla rete di comunicazione che risulterà in realtà composta da diverse reti. Tali reti possono includere WiMax, WLAN, UMTS/LTE, fibra ottica, microwave, land mobile radio, reti wireline dedicate o commutate etc. Questo dipende anche dal fatto che aree differenti di una Smart Grid possono richiedere soluzioni wireless differenti per via delle caratteristiche del territorio e delle condizioni ambientali. 

Attualmente le innovazioni più significative nel Grid sono tipicamente realizzate nel cosidetto ambito AMI (Advanced Metering Infrastructure) consistente dei cosiddetti smart meters (es. i contatori elettronici) interconnessi tra loro per mezzo di concentratori o collettori. In questo ambito le soluzioni di networking adottate possono essere reti meshed o point-to-point, con copertura locale o a lunga distanza. Le opzioni per il backhauling possono essere molteplici, ad es. fibra, il broadband wireless oppure il broadband sulle linee elettriche (broadband over powerline). Le soluzioni wireless possono essere con o senza licenza, e ciò dipende dai bisogni specifici dell’utility (ad es. l’utilizzo di WiFi senza licenza può servire per espandere la portata delle reti a banda larga per l'erogazione di servizi mesh) anche se le soluzioni con licenza garantisco di norma livelli di affidabilità più alti. 

In ogni caso tutte le opzioni considerate presentano vantaggi e svantaggi, ma quello che è generalmente vero per tutte le soluzioni è che risulta necessario introdurre anche una soluzione di sicurezza scalabile, multilayer ed end-to-end che comprenda cioè anche i sistemi di controllo SCADA e l’infrastruttura AMI. 

Infatti come al solito con le opportunità arrivano anche delle complessità aggiuntive da gestire e mi riferisco alla necessità di mantenere la confidenzialità, integrità e riservatezza dei dati e di garantire il rispetto dei requisiti previsti dalla normativa vigente. Per non dimenticare poi che secondo l’Electric Power Research Institute (EPRI) la Cybersecurity è il problema più rilevante per questo nuovo ambito. 

Cyber security is a critical issue due to the increasing potential of cyber attacks and incidents against this critical sector as it becomes more and more interconnected. Cyber security must address not only deliberate attacks, such as from disgruntled employees, industrial espionage, and terrorists, but inadvertent compromises of the information infrastructure due to user errors, equipment failures, and natural disasters. Vulnerabilities might allow an attacker to penetrate a network, gain access to control software, and alter load conditions to destabilize the grid in unpredictable ways.” 



English version



In electrical networks we are at the threshold of a major revolution, the most significant in this context from at least a century. The introduction of electronic meters in recent years at our homes (not all may know that an Italian energy provider, Enel, is the utility that it has introduced the largest number in the world ... 30 million!) Was only the prelude to what you're going to see in the next years, as determined by the increasing use of communications networks and IT systems and greater diffusion of control systems and intelligent devices.

It is definitely the evolution towards the so-called Smart Grid.


Energy providers will adopt different strategies for the introduction of the Smart Grid according to their different business and operational needs. Some will give priority to the implementation of the Smart Grid to manage in a reliable and effective way the energy coming into the power grid by third party provider's renewable sources (wind, solar, etc..). For others, the priority may be introducing features that allow to control customers demand of peak energy to make more efficient managing these critical situations.

In any case, it is universally acknowledged that the smart grid in one way or another, have the potential to transform the generation, distribution and finally the consumption of energy by the end customers, because it will provide them with the ability to control and manage their consumption according to their needs and fares.

As mentioned, one of the main components of the Smart Grid is represented by the communication network that will be composed of several networks. Such networks may include WiMax, WLAN, UMTS/LTE, optical fibers, microwave, land mobile radio, dedicated or switched wireline networks, etc.. This also depends on the fact that different areas of a Smart Grid may require different wireless solutions due to the characteristics of the area and environmental conditions.

Currently, the most significant innovations in the Grid have been introduced in the so-called field AMI (Advanced Metering Infrastructure), consisting of the so-called smart meters (e.g. electronic meters) interconnected with concentrators or collectors. In this area networking solutions that can be adopted are meshed networks or point-to-point, covering local or long distance. The options for backhauling can be multiple, eg. fiber, wireless broadband, or broadband over the powerline. Wireless solutions can be licensed or not, and that depends on the specific needs of the utility (e.g. the use of unlicensed WiFi can be useful to expand broadband networks to provision mesh services), even if usually licensed solutions assure the highest levels of reliability.

In any case, all options have advantages and disadvantages, but what is generally true for all, it is that is necessary to introduce a scalable security solution, multi-layer, end-to-end that also includes SCADA control systems and AMI.

In fact, as usual with the opportunities also come additional challenges to be faced, and I refer to the need to maintain confidentiality, integrity and availability of data and ensure compliance with law requirements. Not to forget that according to the Electric Power Research Institute (EPRI), the Cybersecurity is the biggest problem for this new field.

Cyber security is a critical issue due to the increasing potential of cyber attacks and incidents against this critical sector as it becomes more and more interconnected. Cyber security must address not only deliberate attacks, such as from disgruntled employees, industrial espionage, and terrorists, but inadvertent compromises of the information infrastructure due to user errors, equipment failures, and natural disasters. Vulnerabilities might allow an attacker to penetrate a network, gain access to control software, and alter load conditions to destabilize the grid in unpredictable ways.





Friday, September 9, 2011

LTE - Next Generation Mobile Network (ITA + ENG)


In questi giorni sto seguendo con particolare attenzione l’evoluzione della gara per l’assegnazione delle frequenze che gli operatori mobili potranno utilizzare per lo sviluppo della rete e servizi LTE in Italia. 





La gara, a cui stanno partecipando Telecom Italia, Vodafone, Wind e H3G, non si è ancora conclusa perchè i concorrenti stanno effettuando continui rilanci su tutte le bande in assegnazione, nonostante il conto complessivo per gli operatori sia già molto elevato, tanto da arrivare a superare in modo significativo la soglia che il governo aveva preventivato l’anno scorso nel bilancio statale pari a 2,4 Miliardi di Euro. 



Alcuni possono leggere questa situazione in modo positivo, considerato che i maggiori ricavi andranno a rimpinguare i conti dello Stato, ma la riflessione che io invece io sto facendo è di ben altro tipo. Senza dubbio il maggiore salasso agli operatori nel pagamento delle licenze sottrae loro risorse per effettuare altri tipi di investimenti. Personalmente ho quindi il forte timore che, innanzitutto, stiamo perdendo l’opportunità di un rilancio del mercato, e poi, cosa per me ancora più importante, corriamo il rischio che gli operatori non indirizzino adeguate risorse per garantire la survivability di un’infrastruttura che rappresenterà senza dubbio alcuno, una delle infrastrutture critiche più importanti del nostro Paese.

Guardando le cose sotto questa prospettiva c’è forse da essere meno lieti per i maggiori ricavi dello Stato.  


Tra l’altro, paradossalmente, è la prima volta che nella fase di specifica della nuova architettura di rete LTE, effettuata in ambito 3GPP, vedo effettuare un’analisi così puntuale delle esigenze di sicurezza collegate allo sviluppo di una nuova infrastruttura di rete. Il documento rilasciato dal 3GPP che identifica le potenziali minacce ad una rete LTE e le possibili contromisure, le architetture di sicurezza da implementare, etc, è costituito da ben 141 pagine. Nel seguito ho riportato l’indice principale del capitolo 5 che è quello in cui sono descritte le minacce e da cui si evince l’ampiezza della problematica.


Da notare che il componente base per il corretto funzionamento di tutti i meccanismi di sicurezza identificati è quello dell’autenticazione, ovvero in accordo alle specifiche 3GPP, è necessario introdurre un framework che consente agli operatori di gestire in modo altamente scalabile per ciascuno degli elementi della rete LTE le chiavi per l’autenticazione dei dispositivi e la cifratura delle comunicazioni. 


E’ un tema che conosco non solo per via della mia estrazione TLC, ma anche perché come Symantec abbiamo realizzato tale framework e abbiamo già effettuato con successo oltre a test di interoperabilità con la tecnologia Huawei anche delle prove in campo con uno dei principali operatori mobili globali. 




5....... Threats
  5.1......... Threats to UE
     5.1.1........... IMSI catching attack
     5.1.2........... Threat of UE tracking
     5.1.3........... Forced handover
     5.1.4........... Forced handover to legacy RAT
     5.1.5........... Threats of unprotected bootstrap and multicast signalling in LTE
     5.1.6........... Threat related to broadcast of system information
  5.2......... Threats to eNB and last-mile transport links
     5.2.1........... User Plane packet injection attacks
     5.2.2........... User plane packet modification attacks
     5.2.3........... User plane packet eavesdropping
     5.2.4........... Physical attack threat on eNB
     5.2.5........... (D)DoS attacks against eNB from the network
     5.2.6........... (D)DoS attacks against eNB from UEs
     5.2.7........... RLF recovery
  5.3......... Threats to MME/SAE gateway
     5.3.1........... (D)DoS attacks against MME through from RAN side
  5.4......... Threats related to mobility management
     5.4.1........... Unauthorised access to control plane data
     5.4.2........... Privacy
     5.4.3........... Unauthorised manipulation of control plane data
     5.4.4........... Disturbing or misusing network services
     5.4.5........... Unauthorised access to network services



English version




These days I am following the tender for radio frequencies that mobile network operators will be able to use for the development of the LTE network and services in Italy. 




The tender's participants, Telecom Italia, Vodafone, Wind and H3G, are making constant raises although the total count is already very high, so far it exceeds significantly the threshold (2.4 billion euros) that the government had forecasted last year. Some may comment this situation in a positive way, since that increased revenues will go to the State account, but instead my thoughts are different. Undoubtedly the biggest the operators pay to get the licences, the least they will put resources to make other investments. Personally I have the great concern that, first of all, we are losing the opportunity to develop the market, and then, more important for me, we run the risk that operators do not direct adequate resources to ensure the survivability of an infrastructure that represent without any doubt, one of the most important critical infrastructure for any country. From this perspective we may be much less pleased by these higher revenues for the state. 


Among other things, paradoxically, it is the first time in the design phase of the new LTE network architecture, made within the 3GPP, that it is included a deep analysis of security requirements related to the development of a such infrastructure. The document issued by 3GPP that identifies potential threats to an LTE network and possible countermeasures, security architectures to be implemented, etc., consists of 141 pages! Below I've listed the main index in Chapter 5, which describes the threats and shows the width of the problem. 



Note that authentication is the basic components for the proper functioning of all the security mechanisms, that is according to 3GPP specifications, it is necessary to introduce a framework that enables operators to manage network keys for device authentication and encryption of communications between LTE network elements in a highly scalable way. 



I know this theme not only because of my telco background, but also because as Symantec we realized that framework and we have already successfully performed as well as interoperability testing with Huawei's technology and also a field trial with a major global mobile operators.






5....... Threats
  5.1......... Threats to UE
     5.1.1........... IMSI catching attack
     5.1.2........... Threat of UE tracking
     5.1.3........... Forced handover
     5.1.4........... Forced handover to legacy RAT
     5.1.5........... Threats of unprotected bootstrap and multicast signalling in LTE
     5.1.6........... Threat related to broadcast of system information
  5.2......... Threats to eNB and last-mile transport links
     5.2.1........... User Plane packet injection attacks
     5.2.2........... User plane packet modification attacks
     5.2.3........... User plane packet eavesdropping
     5.2.4........... Physical attack threat on eNB
     5.2.5........... (D)DoS attacks against eNB from the network
     5.2.6........... (D)DoS attacks against eNB from UEs
     5.2.7........... RLF recovery
  5.3......... Threats to MME/SAE gateway
     5.3.1........... (D)DoS attacks against MME through from RAN side
  5.4......... Threats related to mobility management
     5.4.1........... Unauthorised access to control plane data
     5.4.2........... Privacy
     5.4.3........... Unauthorised manipulation of control plane data
     5.4.4........... Disturbing or misusing network services
     5.4.5........... Unauthorised access to network services


Saturday, September 3, 2011

Cybercrime & cyberspionaggio (ITA + ENG)

Negli ultimi mesi ci sono stati così tanti eventi significativi che è troppo forte la tentazione di dedicare il mio primo post ad una riflessione su quanto abbiamo visto accadere. Credo sia sufficiente citare alcuni nomi per richiamare alla memoria gli eventi a cui mi riferisco:  Stuxnet, Wikileaks, RSA,  Google, Sony, Wells Fargo, Lockheed Martin, Nasdaq, International Monetary Fund, Northrop Grumman, tanto per fare riferimento ai casi principali che hanno avuto gli onori delle cronache mondiali e non solo della stampa specializzata.

Siamo entrati a tutti gli effetti nell’era del cybercrime e del cyberspionaggio.  



L’epoca romantica della Fama e della Gloria è oramai tramontata e salvo sempre più rare eccezioni i creatori di malware non sviluppano per divertimento o per dimostrare le loro capacità ma per guadagnare denaro dalla commercializzazione della propria opera su canali ovviamente non ufficiali. E se c’è da credere alle stime riportate dagli analisti riguardanti il valore economico di tale black market, c’è da dire che questi personaggi di denaro ne stanno guadagnando veramente tanto !!

Non c’è affatto quindi da meravigliarsi se in questo recente passato abbiamo assistito ad un’evoluzione delle modalità di attacco ed in particolare se abbiamo osservato alcuni significativi esempi di attacchi cosidetti di “alto profilo”.  

Un caso per tutti è rappresentato dall’attacco perpetrato durante lo scorso mese di Maggio nei confronti di Lockheed Martin, un noto fornitore della Difesa USA, realizzato utilizzando le informazioni precedentemente sottratte a RSA.  Infatti, secondo quanto reso ufficiale da RSA stessa, lo scorso Marzo alcuni hackers penetrarono nei loro sistemi impossessandosi di informazioni riguardanti il noto algoritmo proprietario di autenticazione a 2 fattori “SecurID”. Lockheed Martin ha accertato che furono queste informazioni a consentire agli hacker di accedere in modo fraudolento alla rete interna attraverso l’accesso VPN che gli impiegati adottavano per connettersi da remoto ai sistemi aziendali per attività di assistenza tecnica.

L’attacco ad RSA fu quindi propedutico a perpetrare degli attacchi nei confronti di specifici target (targeted attacks) alla ricerca di informazioni magari pre-commissionate da qualcuno sui canali del black marketE’ possibile, anzi probabile. 


In ogni caso che sia certamente elevato il rischio per le aziende di un ripetersi di tale situazione è confermato dal fatto che a fronte di quanto accaduto a Lockheed Martin, RSA ha annunciato un piano di sostituzione dei propri token per tutti i clienti. A questo proposito come non dimenticare anche la preoccupazione riscontrata in quei mesi tra gli operatori finanziari che avevano fornito chiavette RSA ai propri clienti per l’accesso ai servizi di home banking ?

Per tutti la scelta tra le 2 possibili opzioni, ovvero mantenere la soluzione RSA oppure migrare verso una soluzione alternativa oppure aspettare la sostituzione dei token già rilasciati, non sarà stata sicuramente molto facile.

Io ho fatto personalmente nell’anno 2008 l’esperienza di introdurre una soluzione di autenticazione a 2 fattori (strong authentication) basata su chiavette quando ero CISO in Telecom Italia, e ricordo quanto fosse risultata onerosa (in termini di tempi e costi) la definizione e l’attuazione del processo di enrollment dei certificati e la distribuzione a tutti i dipendenti interessati (nel mio caso parecchie migliaia). Questo per dire che anche la scelta di effettuare la sostituzione dei token già distribuiti con altri resi disponibili dalla stessa RSA è tutt’altro che banale e richiede un grande effort nel caso si tratti di numeri importanti. 


A questo punto nei panni di un responsabile della sicurezza io considererei l’opportunità di migrare, anche per approfittare della discontinuità tecnologica, verso una soluzione alternativa basata sull'impiego di un terminale mobile. 

In Symantec vige il principio “eat your own’s cooking” ... che tradotto ha il significato di  “mangia quello che cucini”. Ed è così che lo scorso mese di Giugno, appena arrivato in Symantec ho assistito alla migrazione dalla soluzione RSA, ereditata da alcune delle società acquisite nel corso degli anni, a quella proprietaria denominata Verisign Identity Protection (VIP) che consente di utilizzare come token per l’accesso aziendale in modalità strong i nostri stessi cellulari e/o smartphones.

All’inizio di questa settimana è stato reso noto un evento per certi versi simile a quello appena descritto riguardante RSA: 


- anche in questo caso sono state sottratte alcune informazioni ad una società che fa della sicurezza il suo core business


- anche in questo caso le informazioni sottratte riguardavano l’ambito autenticazione


- e per finire è assai probabile che anche in questo caso le informazioni siano state sottratte per condurre un qualche targeted attack


Mi riferisco all’hackeraggio condotto ai danni di DigiNotar, la società  del gruppo Vasco che eroga servizi di Certification Authority ed in particolare distribuisce certificati di sicurezza per la connessione sicura (SSL) a siti internet. Vasco ha reso noto un paio di giorni fa che lo scorso 19 Luglio durante un security audit la società DigiNotar ha riscontrato una sottrazione di certificati ed ha quindi provveduto ad annullare i certificati compromessi ad eccezione almeno di uno. Le dichiarazioni contengono infatti l’ammissione che il certificato per l’autenticazione al dominio google.com è risultato non bloccato e quindi le comunicazioni da parte di un cliente con i siti afferenti a questo dominio potrebbero essere state monitorate compreso naturalmente il servizio di google mail. La situazione è talmente seria che Microsoft e Mozilla hanno revocato DigiNotar dalla lista delle CA riconosciute come root nei loro browser e anche Google l’ha disabilità in Chrome.  

E non solo …. "The company will take every possible precaution to secure its SSL and EVSSL certificate offering, including temporarily suspending the sale of its SSL and EVSSL certificate offerings. The company will only restart its SSL and EVSSL certificate activities after thorough additional security audits by third party organizations," the Vasco statement says.

Gestire un’infrastruttura SSL è tutt’altro che banale e richiede l’adozione di misure di sicurezza importanti visto quello che può significare una compromissione dei servizi erogati. Mi sono fatto una chiaccherata con i colleghi che curano questo servizio. Mi hanno raccontato che come Symantec/Verisign gestiamo il 90% dei siti internet commerciali e governativi del mondo e che ogni giorno la nostra infrastruttura effettua circa 2 miliardi di validazioni sui certificati gestiti.

Non male ... d’ora in poi presterò molta più attenzione nel momento in cui accedo ad un sito di e-commerce se il colore della banda del browser diventa verde !!


I suppose you know very well why, do you ? 




English version




In the recent months there have been so many significant events that is too tempting to devote my first post to reflect on what we have seen to happen. I think it's sufficient to mention a few names to call in our mind the events to which I refer: Stuxnet, Wikileaks, RSA, Google, Sony, Wells Fargo, Lockheed Martin, Nasdaq, International Monetary Fund, Northrop Grumman, only to refer cases that have had the headlines and not just those of the specialized press.
We have entered at all the effects in the era of cyber-crime and cyber-espionage



The romantic era of fame and glory has faded and now increasingly, unless rare exceptions, the malware writers do not develop for fun or to show their skills but to make money from the sale of his work on non-official channels of course. And if estimates given by analysts on the economic value of the black market are true, these people are earning very much!

Hence it's not surprising that in the recent past we’ve witnessed an evolution of the mode of attacking, and particularly we’ve observed some significant examples of so-called "high profile" attacks.

An example isrepresented by the attack perpetrated during May against Lockheed Martin, a renowned supplier of Defense, created using the information that was stolen from RSA. In fact, as made official by RSA itself, last March a few hackers penetrated their systems taking possession of information regarding the well-known algorithm for 2-factor authentication "SecurID". Lockheed Martin has established that this information allowed hackers to access their internal network fraudulently through the VPN access that employees take to connect remotely to corporate systems.

Was the attack on RSA preliminary to perpetrate attacks against specific targets (targeted attacks) in search of information, maybe pre-ordered by someone, in the black market channels? It’s possible, even probable.

Anyway the great risk for companies of a recurrence of such situation is confirmed by the fact that after what happened to Lockheed Martin, RSA has announced a plan to replace tokens to all its customers. At this regard, it’s impossible to forget concerns found in those months among financial institutions which had provided their customers with RSA keys to access home banking ?

For all RSA's customers, the choice between the 2 options, keeping RSA solution waiting for the replacement of the tokens already issued or migrating to an alternative solution, won't have been certainly easy.

I have personally done in 2008 the experience of introducing a 2-factor authentication solution (strong authentication) based on keys when I was the CISO in Telecom Italia, the leading telco provider in Italy, and I remember how it was found to be costly (in terms of time and costs) the definition and implementation of the enrollment process and distribution of certificates to all affected employees (in my case, several thousand). That is to say that even the decision to make the replacement of the tokens already deployed with others made available from RSA is non-trivial and requires a big effort in case of large enterprises.

At this point in the shoes of a CISO I would take the opportunity to migrate, also considering today’s technological discontinuity, to an alternative solution based on the use of a mobile device.
At Symantec we have the principle "eat your own cooking's" and so the last June, while I was just arrived, I could see the migration from RSA, which had been inherited by some of the companies acquired over the years, to the VeriSign Identity Protection (VIP) solution that allows us to use our phones and/or smart phones as a token.

Earlier this week it was announced an event in some ways similar to the one just described on RSA:

- also in this case have been withheld certain information to a company that makes security its core business

- also in this case, the stolen information is related to the authentication context

- and finally it is quite likely that even in this case the information has been withheld to conduct a targeted attack.


I refer to the hackering against DigiNotar, the Vasco group company that provides Certification Authority services and distributes security certificates for secure connection (SSL) to websites. A couple of days ago Vasco has unveiled that last July 19th a security audit found that the company DigiNotar had been subtracted certificates and they proceeded to cancel them with the exception of at least 1. In fact the statements include the admission that the certificate to authenticate the domain google.com was not cancelled and for this reason communications from a customer to sites related to this domain may have been monitored, including of course the google mail service . The situation is so serious that Microsoft and Mozilla have withdrawn DigiNotar from the list of acknowledged root CA in their browser and even Google has disabled it in Chrome.

And not only .... "The company will take every precaution possible to secure and EVSSL ITS SSL certificate offering, Including Temporarily suspending the salt of the ITS and EVSSL SSL certificate offerings. The company will only restart the ITS EVSSL certified SSL and Activities Thorough after additional security audits by third party Organizations" says Vasco in its statement.

Managing SSL infrastructure is far from trivial and requires the adoption of severe security measures in consideration of what it means compromising the provided services. I had a chat with my colleagues who take care of this service. They told me that Symantec/VeriSign manages 90% of commercial and government websites in the world and that every day our infrastructure makes about 2 billion managed validation of certificates.

Not bad ... from now on I will pay much more attention when I sign in a website for e-commerce if the color of the browser band turns green or no!

I suppose you know very well why, do you?






Thursday, September 1, 2011

Team Up! (ITA + ENG)

I non addetti ai lavori si meravigliano quando io racconto loro che "noi" non abbiamo remore a condividere informazioni sul nostro lavoro, anche se naturalmente in virtù degli obblighi di riservatezza che abbiamo nei confronti dell'azienda per la quale lavoriamo e/o dei nostri clienti, non ci sogneremo mai di andare oltre quel limite.

La condivisione di informazioni riguardanti semplicemente, si fa per dire, best practices sulle metodologie e le tecnologie da adottare ha un valore inestimabile. Così pure lo scambio di informazioni riguardanti l'evoluzione delle minacce. Un confronto aperto e continuo su questi temi rappresenta un supporto indispensabile per chi ha la responsabilità di assicurare il mantenimento dell'efficacia delle soluzioni di sicurezza realizzate.

E' con questo spirito che mi sono messo a scrivere questo blog e l'ho chiamato "Team Up !!" ovvero "lavoriamo in squadra !! "



English version




The person not in charge with security are surprised when I tell them that "we" have no problem about sharing information regarding our work, although of course under obligations of confidentiality that we owe the company for which we work and/or our customers, we would never dream of going beyond that limit.

The sharing of information about simple, so to speak, best practices, methodologies and technologies to be adopted is very precious. Likewise, the exchange of information on evolving threats. An open and continuing dialogue on these issues is an essential support for those who have the responsibility to ensure the maintenance and the effectiveness of the implemented security solutions.

And so in such spirit I’ve started writing this blog and I've called it "Team Up!", that is "Work as a Team!"