Showing posts with label Symantec. Show all posts
Showing posts with label Symantec. Show all posts

Thursday, May 3, 2012

Siamo sicuri ? A vedere questi dati sembra ci sia da correre ai ripari (parte 1)

Links to this post
Prima di partire per un viaggio verso una destinazione sconosciuta, vi munite di una guida turistica per conoscere lo stato del paese che andrete a visitare, e per trovare consigli e suggerimenti sulle cose da fare e quelle da evitare ? Perchè non farlo prima di visitare il cyber world ? 

La vostra guida turistica nel mondo digitale è l'Internet Security Threat Report (ISTR) di Symantec.

L'ISTR è un report realizzato annualmente per fornire alle imprese ed agli utilizzatori dei servizi internet, le informazioni essenziali per comprendere l'evoluzione dei rischi e delle minacce. E' il risultato dell'elaborazione dei dati raccolti da Symantec tramite la propria Global Intelligence Network, un'infrastruttura composta da decine di milioni di sensori presenti in oltre 200 paesi del mondo che forniscono migliaia di aggiornamenti al secondo. Il report ingloba inoltra anche le elaborazioni riguardanti i dati sul phishing, lo spam e le frodi che sono raccolti da Symantec attraverso le infrastrutture utilizzate per l'erogazione dei servizi di protezione alla clientela. 

Il report relativo all'anno 2011 è stato presentato in conferenza stampa tre giorni fa. Nel seguito (ed in post successivi) riporto alcuni infographics che sintetizzano le principali evidenze in esso contenute. 

Il report completo, in lingua inglese, è scaricabile qui.


Le prime evidenze significative rappresentate in questa figura riguardano 4 aspetti: 

- Attacchi: sono aumentati ! ... e anche di molto ! 

Il numero degli attacchi bloccati nel 2011 è aumentato dell'81% rispetto all'anno precedente, e altrettanto significativo è l'incremento di attacchi bloccati giornalmente pari al 36%. 


- Spam: è diminuito ! bella notizia ma vuole dire che gli attacchi sono condotti con altri mezzi che hanno maggiori probabilità di successo

Il livello globale di spam giornaliero è decresciuto considerevolmente. Come noto lo spam è stato per lungo tempo un canale molto utilizzato per veicolare malware in rete. Il fatto che si registri questa variazione e che contemporaneamente si consuntivi però un incremento significativo degli attacchi, trova una spiegazione nel fatto che attualmente sono utilizzati dei canali differenti per la trasmissione del malware che si stanno rivelando molto più efficaci, ed in particolare i social network (per approfondimenti sulla sicurezza nei social network, ed in particolare Facebook, collegati qui)


- Phishing: è ancora in aumento nonostante sia ben conosciuto a tutti. Il problema è che le tecniche di ingegneria sociale che accompagnano il phishing sono sempre più sofisticate e continuano così a mietere ugualmente vittime.

In questo ambito registriamo un incremento rispetto all'anno precedente: 0.33% o 1 su 299 email nel 2011, in confronto al 0.23% o 1 mail su 442 nel 2010. 


- Dati personali: sono l'obiettivo principale perchè sono monetizzabili sul Black Market (per approfondimenti sul Black Market vedi qui)

A livello mondiale abbiamo in media 1,1 milioni di identità violate per ogni furto di dati personali. Oltre 230 milioni le identità violate complessivamente nel 2011.

Wednesday, May 2, 2012

Come usare Facebook in sicurezza ? Una guida per evitare spam e scam

Links to this post


Di pari passo con il crescente utilizzo delle applicazioni "social" per comunicare e condividere ogni tipo di informazione con amici, parenti e colleghi, assistiamo alla diffusione di frodi e minacce su questi canali. I nuovi "campi di battaglia" della criminalità informatica sono diventati Facebook, Twitter, Linkedin, Pinterest, e gli altri "social network". 

Nulla di strano considerato che i loro utenti ammontano complessivamente a ben oltre 1 miliardo, e raggiungere una platea così ampia rappresenta davvero una ghiotta opportunità per i cyber criminali interessati ad arricchire il loro portafoglio di ogni tipologia di dato personale. Infatti, non bisogna dimenticare che dati relativi a carte di credito, documenti d'identità, credenziali di conti correnti bancari, etc, sono monetizzabili sul Black Market (per maggiori informazioni sul Black Market clicca qui)

Un altro aspetto non trascurabile nella scelta di un nuovo campo di battaglia è la conoscenza delle tecniche di attacco adottate, e la conseguente capacità di difesa da parte dell'avversario. E' questo il motivo per cui i cyber criminali seguono costantemente l'evoluzione dei trend tecnologici e di mercato, ed oggi registriamo una significativa evoluzione delle minacce per chi utilizza gli smartphone, i Mac e per l'appunto i social network. I criminali sono confidenti di trovare prede più facili perchè impreparate ad affrontare le minacce perpetrabili in questi ambiti.

Symantec, con l'intento di proteggere le persone che utilizzano Facebook e le loro informazioni, ha collaborato con il social network più utilizzato al mondo per produrre un report che illustra le tecniche utilizzate per compromettere la sicurezza dei suoi utenti e le precauzioni da adottare. 

Chi non ha voglia di affrontare la lettura del report completo redatto in lingua inglese (scaricabile qui), può continuare a seguirmi sul Blog (e/o Facebook o Twitter) perchè curerò la descrizione delle parti più salienti dello stesso....in puntate successive, nella migliore tradizione di un serial TV :-) 

Per il momento vi lascio con la prefazione del documento scritta da un rappresentante del Facebook Security Team. La prefazione originale è in inglese, ma qui propongo direttamente la traduzione (a mia cura).



In Facebook ci impegniamo molto per proteggere le persone che usano i nostri servizi. Investiamo in tecnologie, sviluppiamo soluzioni proprietarie, introduciamo delle configurazioni di sicurezza innovative e dedichiamo centinaia di risorse in tutto il mondo per garantire la sicurezza vostra e dei vostri dati 

Ma non possiamo farlo da soli e per questo motivo abbiamo realizzato questa guida con i nostri amici di Symantec, con l'obiettivo di educare le persone sulle minacce prevalenti che abbiamo osservato e le migliori soluzioni per mantenere sicuri i dati.

In Facebook elaboriamo una grande quantitá di informazioni per proteggere le persone - ogni giorno controlliamo oltre 26 miliardi di nuovi contenuti e 2 trilioni di click su link. Ma con oltre 800 milioni di persone che visitano il nostro sito ogni mese, e più di 400 milioni che lo visitano ogni giorno, Facebook é diventato un obiettivo molto attrattivo per "spammer" e "scammer". Questo é il motivo per cui in Facebook abbiamo oltre trecento ingegneri specialisti della sicurezza, e centinaia di risorse nel personale operativo, che lavorano 24 ore su 24 per garantire la sicurezza dei vostri dati.

Adottando tecnologie avanzate, i nostri ingegneri lavorano per assicurare che sia sicuro utilizzare Facebook. Abbiamo parecchi sistemi interni per scoprire, prevenire e rendere inefficaci le minacce. Tuttavia, non tutti i meccanismi di sicurezza operano dietro le scene, e noi vogliamo rendere chiunque in grado di controllare l'esperienza su Facebook. Alcuni di questi meccanismi sono infatti attivi per default, e altri permettono alle persone di scegliere quali livelli di sicurezza si adattano meglio al loro stile di vita. Per imparare l'uso di questi meccanismi si può consultare la Facebook Security Page oppure l'Help Center.

Ma perfino con tutte queste risorse, abbiamo ancora bisogno del tuo aiuto per mantenere sicuro il nostro sito. Abbiamo tutti un ruolo da giocare per tenere il Web sicuro, e assicurare che clicchiamo o condividiamo soltanto link di cui possiamo fidarci é una parte molto importante di questa partita. Per favore leggi la guida e condividi anche con i tuoi amici quello che imparerai. 

Grazie di nuovo a Symantec per la loro competenza e per gli sforzi compiuti per aiutarci a proteggere le persone che usano Facebook.






Monday, April 30, 2012

Retata nel black market !

Links to this post


Un'operazione internazionale di polizia ha inflitto un duro colpo al Black Market sequestrando numerosi siti che vendevano carte di credito rubate. 

Le stime economiche relative all'entità del cybercrime riferiscono di un valore pari a circa 780 Miliardi di Dollari, una cifra non molto inferiore a quella stimata per il traffico illegale di droga. Il Black Market è il pilastro fondamentale di questa economia sotterranea. Nel Black Market si trova in vendita un qualunque tipo di dato personale (documenti di identità, account mail, credenziali di conti correnti bancari, dati relativi a carte di credito, etc. etc.) ma anche strumenti per realizzare azioni criminose contro aziende o individui. 

I 36 siti sequestrati nel corso di questa operazione erano dediti prevalentemente alla vendita di carte di credito rubate al prezzo di 2 Dollari. 

Le attività di alcuni dei siti sequestrati sono state monitorate per un periodo di quasi 2 anni e durante quel periodo sono state impedite delle frodi su circa 2 milioni e mezzo di carte di credito, prevenendo una perdita pari a circa 0,5 Miliardi di Dollari in accordo ad un modello di calcolo generalmente utilizzato in questo ambito. 

L’indagine, coordinata dalla britannica Serious Organised Crime Agency (Soca), è stata condotta insieme a forze dell’ordine di vari Paesi a testimonianza della complessità di contrastare efficacemente il lack Market: FBI in USA, BKA in Germania, KLPD in Olanda, Ministero degli Affari Interni in Ucraina, ed infine Polizia Federale australiana e Polizia Nazionale rumena. 

Il video che segue (in lingua inglese) mostra il messaggio di benvenuto per i visitatori di uno dei siti coinvolti....è proprio vero che il marketing è l'anima di tutti i commerci, anche quelli illegali !!! 

Symantec ha dedicato un canale web, consultabile all’indirizzo  Symantec Black Market (clicca sul titolo), a chi vuole approfondire il tema del Black Market.

Friday, April 27, 2012

Un malware per 2 .... Windows e Mac

Links to this post
Il primo virus in grado di infettare il sistema operativo di un computer risale al 1982. Il sistema impattato era il DOS (versione 3.3) dei microcomputer Apple, e il virus era in grado di propogarsi attraverso lo scambio di floppy disk.

Da allora il numero delle vulnerabilità identificate nei sistemi operativi è progredito in linea con la diffusione degli stessi sul mercato dei personal computer; questa è la ragione per cui il maggior numero di vulnerabilità è stato identificato sui sistemi operativi Windows.

Una ricerca appena pubblicata ci rivela che i malware per Windows sono talmente diffusi da essere i più presenti anche sui computer Mac: circa il 20% dei computer Mac ospiterebbe un malware per Windows, e solo il 2,7% un malware specifico per Mac OS X.

Gli utilizzatori di Mac non cadano in errore guardando queste cifre, infatti, non sono per nulla immuni dai rischi presenti sul mondo digitale a cui vanno incontro gli utilizzatori di PC Windows. Le statistiche ci dicono solo che è meno diffuso il malware per Mac, ma questa non è altro che una conseguenza delle quote di mercato possedute al momento. 
E le cose stanno cambiando velocemente di pari passo con l'incremento dei prodotti Apple nelle nostre case.

A dimostrazione di quanto sopra basta ricordare il clamore recente derivante dalla scoperta qualche settimana fa, di una botnet costituita da oltre 600.000 Mac infettati da un virus denominato Flashback. Se rapportiamo questo numero alla quota di mercato dei Mac rispetto a quella dei PC Windows, si ottiene che la dimensione di questa botnet sarebbe di gran lunga ed in assoluto, la più estesa mai individuata in precedenza.

Un altro malware che sembra essersi diffuso in modo significativo sui Mac è quello denominato OSX/RSPlug. Si tratta di una versione per Mac OS X del famosissimo trojan DNSChanger, quello che sta mettendo a rischio il funzionamento dei servizi Internet, per centinaia di migliaia di computer, a partire dal prossimo 9 Luglio. Per approfondimenti su questo punto vedi l'articolo sul mio blog dal titolo "Internet risk blackout postponed on 9 July 2012" (clicca sul titolo)

Non meno importante la scoperta fatta qualche giorno fa dal Symantec Security Response Team, un gruppo composto dai massimi esperti di sicurezza mondiale impegnato costantemente nella ricerca ed analisi di malware ed attacchi sulla rete Internet mondiale.

Symantec ha identificato un nuovo Java Applet malevolo, in grado di sfruttare una vulnerabilità di Java per infettare il computer che visita la pagina web dove risiede. La novità di questa ultima versione di malware è che in questo caso il Java Applet è in grado di condurre una verifica sul tipo di sistema operativo che è in esecuzione sulla macchina, e di conseguenza scarica un malware specifico per quell'ambiente. L'illustrazione nel seguito spiega il funzionamento del malware

Insomma, parafrasando un vecchio modo di dire, è arrivato un malware per tutte le stagioni. 






Wednesday, February 22, 2012

Symantec survey reveals significant changes in the usage of mobile devices and applications

Main analysts predict that 2012 top technological trends are very much related with "mobility": tablets, mobile centric applications, application store and marketplace. The evolution of mobile devices are the catalyst for a new significant change in the life of the people and in the activities within the enterprises. 

Symantec has released the results of its 2012 State of Mobility Survey that included 6,275 organizations—from small businesses to large enterprises—across 43 countries.

As you can see in the infographics below it comes out that there have been significant changes in the usage of mobile devices and applications: mobile devices are now mainstream business tools and business agility is the main driver for mobile adoption from organizations, being efficiency their top goal. 

Organizations are also aware of risks coming from the adoption of mobile, appearing on the top 3 of 41% of organizations, more than any other.

Enterprises have already suffered a variety of losses, measured by direct financial expenses, loss of data, and damage to the brand or loss of customer trust. 

It is not surprising that half of the organizations see mobile computing as somewhat to extremely challenging.


In my opinion the key recommendation is to make an effort to understand as soon as possible the mobile risks and threats you will need to mitigate according your mobile business plan and the potential impact of BYOD trend in your organization. 



Mobile security and management should be integrated into the overall enterprise framework and administered using compatible solutions and unified policies, that should include DLP, encryption and strong authentication.











Friday, January 13, 2012

Android vs IOS security


Veracode published an "infographic" regarding Android VS IoS security that is very nice and full of useful advices. So I also propose it to my readers !

I anticipate you that at the end of the picture it is reported a judgment attributed to Symantec that, right now, the mobile platform is still much more secure than their counterpart PC. 

I generally agree with that but, nevertheless, if you are acting in an Enterprise as CIO or CISO there are so many challenges coming from the deployment of smartphone/tablet into your network you must not let your guard down. 

I've deeply discussed this kind of challenges in previous posts of mine, but I mainly refer to those issues coming from using a personal smartphone/tablet as a work tool. It's something that is becoming the master way for most of the people I know and unfortunately this exposes the corporate network and data to relevant risks. 

So independently from the fact that actually attacks and malwares regarding the mobile devices are not comparable in terms of numbers to the ones regarding the PC world, I can briefly summarize that 

- consumers need to adopts precautions (such as the ones suggested in the infographics down here) to avoid leakage of personal data or payment of unsubscribed premium rate services

- enterprises need to integrate their device & security management framework to guarantee that smartphone/tablet adoption and trends such as BYOD don't impact their security risk profile





Sunday, October 23, 2011

DuQu e Stuxnet: le aziende sono pronte a gestire queste minacce ?




DuQu è una nuova minaccia che ha molte analogie con Stuxnet

Nei giorni appena trascorsi Symantec ha reso pubblica la scoperta dell’esistenza di un nuovo trojan denominato DuQu. La notizia ha generato allarme a giudicare dalla diffusione sulla stampa mondiale; solo in Italia ho contato almeno una quarantina di testate giornalistiche web, tra cui Corriere.it, Metro, il Foglio, City, AdnKronos, ilGiorno.it e LaNazione.it.
Personalmente ritengo che in questo caso l’allarme sia del tutto giustificato.
Le varianti attualmente analizzate di DuQu indicano che l’obiettivo era la sottrazione di informazioni sui dati e gli asset presenti all’interno di imprese manufatturiere di sistemi di controllo industriali, al fine di condurre successivamente un attacco mirato verso le aziende che avrebbero adottato tali sistemi. In pratica, grazie alle varianti identificate e già analizzate, siamo in grado di dire che gli utilizzatori di DuQu stavano mirando ad ottenere documentazione di progetto che avrebbe potuto essere di supporto per un futuro attacco verso ambienti industriali. L’affinità con le finalità perseguite dal celeberrimo STUXNET è del tutto evidente; infatti, come noto, STUXNET fu utilizzato per condurre un attacco contro gli impianti di produzione nucleare in Iran. In aggiunta, con ogni probabilità, gli sviluppatori di entrambi i trojan sembrano essere gli stessi, perchè certamente parte del codice sorgente è identico, e tale codice non risulta pubblicamente disponibile a qualsivoglia sviluppatore.

C’è bisogno di ripensare il modello di security governance

Ciò premesso, il motivo principale per cui ritengo molto importante l’eco della scoperta effettuata da Symantec, è che spero contribuisca ad aumentare la consapevolezza da parte degli executive sia in ambito enterprise che nelle istituzioni, dell’importanza di essere direttamenti coinvolti nella governance della sicurezza ICT.
Questa scoperta contribuisce infatti a rendere ancora più evidente come oggigiorno dietro alle minacce informatiche si muovano interessi politici e/o economici di enti governativi ostili ed imprese concorrenti. Cyberwar, cybercrime e cyberspionage. Non ho controllato se tali parole inglesi siano già state introdotte come neologismi nel dizionario italiano, ma in caso contrario sarebbe necessario inserirle al più presto dato la necessità crescente di far riferimento a questi termini per spiegare eventi che sono trattati con grande enfasi in tutto il mondo.
Il livello di sofisticazione con il quale le minacce sono attualmente predisposte, nonchè la trasformazione dell’Information Technology attualmente in corso per mezzo dell’adozione di tecnologie di virtualizzazione e modelli di cloud computing e all’evoluzione del mobile, dovrebbe portare i suddetti “decision maker” a condurre attente riflessioni. Occorre riflettere sul modello di governance della sicurezza adottato nelle aziende, nonché le risorse economiche destinate ad assicurane la necessaria evoluzione in relazione ai suddetti cambiamenti di scenario. Troppo spesso infatti il reale livello di empowerment delle persone a cui è attribuita la responsabilità della sicurezza informatica nelle aziende è nella realtà purtroppo troppo limitato, e l’esercizio del loro ruolo così distante dai processi di business da non riuscire a comunicare efficacemente ai “business owner” ed agli executive, il potenziale impatto dei rischi che potrebbero interessare gli asset e/o i dati aventi rilevanza strategica per l’azienda. Per questo motivo mi auguro che il clamore suscitato da questo evento fornisca uno stimolo ad avviare le opportune e necessarie riflessioni ai giusti livelli aziendali.

Empowerment al responsabile sicurezza e committment personale degli executive

Vorrei quindi suggerire quelli che potrebbero essere gli elementi chiave da considerare per una possibile evoluzione degli attuali modelli organizzativi.
In primo luogo, come già anticipato, credo che sia essenziale un effettivo empowerment del responsabile della sicurezza informatica. Troppo spesso il suo ruolo è marginale rispetto ai ruoli chiave dell’organizzazione e inoltre non risulta adeguatamente supportato dal top manager sotto 2 punti di vista: budget e committment nei confronti delle funzioni aziendali più propriamente collegate al business. Non è uno slogan ma una necessità per l’azienda, quella di definire e rendere efficace dei processi che prevedano l’analisi degli aspetti di sicurezza fin dalle fasi di definizione di un nuovo modello di business o di un nuovo servizio e/o processo. Gli executive devono inoltre partecipare in prima persona alla governance della sicurezza ICT della loro impresa o ente pubblico, avendo piena consapevolezza che un fallimento della strategie in questo ambito potrebbe comportare enormi danni al business dell’azienda per gli impatti diretti e soprattutto indiretti (danni di immagine).
Per un lungo periodo di tempo nel ruolo di Chief Information Security Officer in Telecom Italia mi sono trovato ad agire in simili favorevoli condizioni e posso affermare senza timore di essere smentito, che i benefici per l’azienda sono stati assai rilevanti.

Un nuovo modello a 2 livelli per il Security Operation Center interno all’azienda

In secondo luogo, data la elevata e crescente sofisticazione delle modalità con le quali le minacce sono predisposte, occorre prendere atto della oggettiva difficoltà ad individuare tempestivamente la presenza di eventi anomali che sono indice di un potenziale attacco. Molte aziende hanno implementato un modello organizzativo per la governance della sicurezza che prevede il monitoraggio degli eventi di sicurezza da parte di un Security Operation Center (SOC) interno all’azienda stessa.
Questo è un paradigma che deve necessariamente evolvere perchè non rappresenta più lo stato dell’arte, ed infatti la mia opinione è che oggi occorre che le aziende implementino un modello a 2 livelli. Il primo livello relativo alle attività per la gestione degli incidenti, deve essere implementato all’interno dell’azienda. Infatti una conoscenza diretta delle infrastrutture, dei processi aziendali e dei colleghi il cui supporto è essenziale per attuare azioni di contenimento e recovery, consente una gestione molto efficace delle situazioni di crisi. Il secondo livello, rappresentato dalle attività di monitoraggio e correlazione degli eventi con le fonti di intelligence riguardanti le vulnerabilità, gli attacchi e le minacce, dovrebbe invece essere realizzato integrando le capabilities offerte sul mercato da chi davvero è in grado oggi di effettuare quel tipo di mestiere con la necessaria efficacia.

La Global Intelligence Network di Symantec

DuQu è stato identificato grazie al monitoraggio di Internet da parte di Symantec. Questa attività di monitoraggio è effettuata ininterrottamente da un nutrito gruppo di specialisti tramite una Global Intelligence Network costituita da circa 240.000 sensori localizzati in più di 200 paesi al mondo, da 180 milioni di client/server aventi installato il software antivirus, da sistemi di antispamming che processano circa 8 miliardi di mail al giorno e dai sistemi nel cloud Symantec che elaborano circa 6 miliardi di connessioni web e email al giorno per erogare servizi di email e web security alla clientela. Per non citare gli 11 miliardi di log raccolti ogni giorno da oltre 1000 clienti che hanno delegato a Symantec il monitoraggio della sicurezza sul loro perimetro. 

Oggi sono queste le basi necessarie per realizzare in modo efficace un’attività di monitoraggio di eventi di significativa complessità.


Sunday, October 2, 2011

IT & Information Security in Formula 1 (ITA + ENG)




La scorsa settimana ho avuto la bellissima opportunità di imparare delle cose stupefacenti riguardo all'uso e l'importanza delle tecnologie nella Formula 1 visitando la fabbrica della Lotus Renault. 



Premetto che non sono un appassionato di motori e per questo motivo mi sono sempre accostato in modo abbastanza superficiale al mondo della Formula 1. Tuttavia non sono mai rimasto indifferente allo spettacolo offerto dai piloti che sfrecciando a velocità impressionanti, dimostrano di avere riflessi e capacità di concentrazione di gran lunga superiori a quelli normali. Ma soprattutto, per via dei miei studi ed esperienze professionali, ho sempre guardato con ammirazione e curiosità la costante introduzione di significative innovazioni tecnologiche. 



Certamente alcuni impatti derivanti dall’innovazione tecnologica in questo ambito sono sotto gli occhi di tutti. In primo luogo mi riferisco ai miglioramenti conseguiti per garantire la sicurezza del pilota durante la corsa. Appena qualche anno fa un incidente analogo a quelli verificatisi durante le gare che ci sono state recentemente, avrebbe con ogni probabilità causato la perdita della vita del pilota. Invece ciò non é accaduto grazie alla maggiore protezione offerta da un abitacolo completamente riprogettato e soprattutto grazie all'utilizzo di nuovi materiali sorprendentemente robusti nonostante la loro incredibile leggerezza. In secondo luogo sono altrettanto evidenti i miglioramenti conseguiti per quanto riguarda le prestazioni dei motori e dei pneumatici. E' quindi per questo motivo che ho vissuto con grande entusiasmo una giornata alla scoperta delle tecnologie impiegate da una delle più prestigiose case automobilistiche mondiali. 



Entusiasmo ampiamente ripagato da grandi emozioni, quali ad esempio l'incredulità provata nel constatare che i componenti del motore dell'auto sono leggeri come una piuma. Per non dire della meraviglia che ha suscitato in me il processo di fabbricazione dei componenti del telaio, che definirei un'attività artigianale altamente industrializzata, in quanto finalizzato a realizzare pezzi straordinariamente unici dal punto di vista tecnologico e in "tiratura" limitatissima, per mezzo di un impianto automatizzato incredibilmente sofisticato. 


Automazione vuole dire Information Technology naturalmente, ma l'information Technology applicata alla Formula 1 non è limitata a quello. 

L'IT supporta infatti altri processi diventati core nell'ambito della Formula 1 negli ultimi 10-15 anni, quale ad esempio l'analisi dei dati ricavati nel corso delle attività svolte all'interno della cosiddetta "galleria del vento" onde determinare il migliore assetto dell'auto a seconda delle condizioni esterne. Di fondamentale importanza il contributo dell'IT alle varie attività di R&D che possono determinare il vantaggio competitivo di una casa automobilistica rispetto ai concorrenti durante tutto il corso di un campionato. 

E' quindi facile intuire che in questo contesto la gestione affidabile e la protezione dei suddetti dati durante tutto il ciclo di vita degli stessi è un'esigenza assolutamente "business critical". 

La dimostrazione che questa affermazione non è affatto un'esagerazione ci è fornita da un fatto di cronaca accaduto nel recente passato. Nel Settembre 2007 il Consiglio Mondiale della Fédération Internationale de l'Automobile (la denominazione francese è quella ufficiale, in sigla FIA, in italiano Federazione Internazionale dell'Automobile) ha multato la McLaren di 100 Milioni di Dollari, oltre all’esclusione dal mondiale in corso, per atti di spionaggio compiuti da dipendenti dell’azienda nei confronti della Ferrari, rei cioè di aver sottratto informazioni riservate (disegni, progetti, design dei componenti, tecnologie di assemblaggio, procedure riguardanti l’aereodinamica, etc.) frutto di anni di ricerche ed investimenti da parte della Ferrari, e di avere cercato di trarre un vantaggio sportivo da tali informazioni. Per la cronaca si noti che la posizione ufficiale della McLaren è sempre stata quella di essere del tutto estranea alla vicenda, e di non aver utilizzato ne tratto beneficio dalle informazioni riservate Ferrari ricevute dal suo Capo Disegnatore Mike Coughlan. Questa linea difensiva è stata però ritenuta non valida dalla commissione giudicante anche grazie alle attività investigative condotte dal CNAIPIC (Polizia Postale e delle Comunicazioni) che furono in grado di dimostrare l’esistenza di una fitta rete di contatti e scambio di commenti sulle informazioni sottratte all’interno della McLaren, che interessarono addirittura i piloti della casa costruttrice. Ulteriore aggravante che ha costituito un elemento determinante nella formulazione della sentenza fu la mancata adozione di misure punitive contro Coughlan da parte dei vertici della McLaren (del cui ruolo attivo nella vicenza non esistono prove certe) una volta che gli stessi vennero a conoscenza dell’accaduto, e soprattutto la mancata denuncia dei fatti alle autorità. 

Potete a questo punto ben immaginare quanto sia sfidante ed allo stesso tempo eccitante collaborare al raggiungimento dei risultati di un team di Formula 1 e quindi la voglia per me di dedicare spazio all’interno del mio blog personale per raccontare che Symantec è partner tecnologico di Lotus Renault

Il contributo di Symantec è indirizzato a garantire la protezione delle informazioni riservate, la confidenzialità ed integrità delle comunicazioni effettuate via mail, la disponibilità della applicazioni critiche presenti sia in ambiente fisico che virtuale, il supporto specialistico nella gestione di incidenti e la standardizzazione delle soluzioni per la gestione della sicurezza delle infrastrutture IT

Ecco quindi che in definitiva la formula vincente per un team di Formula 1 (scusate la ripetizione) oltre a comprendere le qualità umane e tecniche del pilota e dello staff tecnico, la capacità di innovare continuamente indi compreso quella di condurre efficacemente ricerche finalizzate all’identificazione di nuovi materiali utili a migliorare le prestazioni meccaniche ed aerodinamiche, include in modo significativo il contributo fornito al team dai partner tecnologici.



English version


Last week I had the wonderful opportunity to learn amazing things about the importance of technology in Formula 1 visiting the Lotus Renault factory. 


I state that I am not a fan of engines and for this reason I have always approached Formula 1 world rather superficially. However I had never been indifferent in front of the show offered by drivers whizzing at incredible speed, giving evidence of reflection and concentration much higher than standard. But above all, because of my studies and professional experiences, I have always looked with admiration and curiosity at the constant introduction of meaningful technological innovations. 


Some implications resulting from technological innovation in this field are visible for all. First I am referring to the improvements achieved to ensure the safety of the riders during the race. A few years ago a similar incident that occurred during those races that have been recently, would have probably caused the loss of life of the pilot. Instead that didn’t happened, due to the deeper protection offered by a completely redesigned interior, and especially due to the use of new materials surprisingly robust despite their incredible lightness. Secondly, equally obvious are the improvements achieved with regard to the performance of engines and tires. And so for this reason I have lived with great enthusiasm a day discovering the technologies employed by one of the world most prestigious car manufacturers. 



Enthusiasm was greatly repaid by strong emotions such as the disbelief discovering that the engine components are as light as a feather bird. Not to mention the wonder that has given me the process of manufacturing the frame components, that I would call a “craft process highly industrialized”, since it aims to create amazingly unique pieces from the technological point of view and in very limited numbers, by an automated system highly sophisticated. 


Automation means Information Technology course, but the Information Technology applied to Formula 1 is not limited to that. 

In fact IT supports other processes which became core for Formula 1 manufactures in the last 10-15 years, such as the analysis of data obtained in the course of activities carried out within the so-called "wind tunnel" in order to determine the best car structure depending on external conditions. The same importance is the contribution of IT to R&D that can determine the competitive advantage of a car throughout the course of a championship. 

It’s easy to understand that in this context, reliable data management and protection is absolutely business critical

The proof for this statement is given by a recent fact. In September 2007 the World Council of Federation Internationale de l'Automobile (the French is the official name, the acronym FIA), fined McLaren with 100Million USD, as well as the exclusion from the world championship for that year, because of acts of espionage committed by company's employees against Ferrari. They were found guilty of stealing confidential information (drawings, plans, component design, assembly technologies, procedures relating to the aerodynamics, etc..) coming from years of research and investments from Ferrari, and of making a profit from these data. For the record note that the official position of McLaren has always been to be totally unrelated, and have not used of taken benefit from the Ferrari confidential information received from his chief designer Mike Coughlan. This defensive line, however, was deemed invalid by the judging committee also thanks to investigations conducted by CNAIPIC (an office of the Italian Police) who were able to demonstrate the existence of a huge network of contacts and exchange of comments on the stolen information inside McLaren including the race drivers. Further aggravating circumstance that constituted a crucial element in the formulation of the sentence was the lack of punitive measures against Coughlan on part of McLaren’s executives (of which there is no evidence of an active role in the espionage) once that they were aware of what was happened, and especially the lack of reporting the incident to authorities. 

You can imagine at this point just how challenging and exciting at the same time is working together with a Formula 1 team, and then my wish to dedicate space in my personal blog to tell you that Symantec is a technology partner of Lotus Renault. 

Symantec contribution is aimed at ensuring the protection of confidential information, confidentiality and integrity of mail communications, critical applications availability in both virtual and physical environment, support specialist for incident management and the standardization of infrastructure security solutions

Summarizing the winning formula for a team in Formula 1 (excuse the repetition) include technical and human qualities of the pilots and the technical staff, the ability to innovate, including effective researches aimed at identifying new materials to improve mechanical and aerodynamic performances, and last but not least important include a significant contribution from the technology partners.



Friday, September 9, 2011

LTE - Next Generation Mobile Network (ITA + ENG)


In questi giorni sto seguendo con particolare attenzione l’evoluzione della gara per l’assegnazione delle frequenze che gli operatori mobili potranno utilizzare per lo sviluppo della rete e servizi LTE in Italia. 





La gara, a cui stanno partecipando Telecom Italia, Vodafone, Wind e H3G, non si è ancora conclusa perchè i concorrenti stanno effettuando continui rilanci su tutte le bande in assegnazione, nonostante il conto complessivo per gli operatori sia già molto elevato, tanto da arrivare a superare in modo significativo la soglia che il governo aveva preventivato l’anno scorso nel bilancio statale pari a 2,4 Miliardi di Euro. 



Alcuni possono leggere questa situazione in modo positivo, considerato che i maggiori ricavi andranno a rimpinguare i conti dello Stato, ma la riflessione che io invece io sto facendo è di ben altro tipo. Senza dubbio il maggiore salasso agli operatori nel pagamento delle licenze sottrae loro risorse per effettuare altri tipi di investimenti. Personalmente ho quindi il forte timore che, innanzitutto, stiamo perdendo l’opportunità di un rilancio del mercato, e poi, cosa per me ancora più importante, corriamo il rischio che gli operatori non indirizzino adeguate risorse per garantire la survivability di un’infrastruttura che rappresenterà senza dubbio alcuno, una delle infrastrutture critiche più importanti del nostro Paese.

Guardando le cose sotto questa prospettiva c’è forse da essere meno lieti per i maggiori ricavi dello Stato.  


Tra l’altro, paradossalmente, è la prima volta che nella fase di specifica della nuova architettura di rete LTE, effettuata in ambito 3GPP, vedo effettuare un’analisi così puntuale delle esigenze di sicurezza collegate allo sviluppo di una nuova infrastruttura di rete. Il documento rilasciato dal 3GPP che identifica le potenziali minacce ad una rete LTE e le possibili contromisure, le architetture di sicurezza da implementare, etc, è costituito da ben 141 pagine. Nel seguito ho riportato l’indice principale del capitolo 5 che è quello in cui sono descritte le minacce e da cui si evince l’ampiezza della problematica.


Da notare che il componente base per il corretto funzionamento di tutti i meccanismi di sicurezza identificati è quello dell’autenticazione, ovvero in accordo alle specifiche 3GPP, è necessario introdurre un framework che consente agli operatori di gestire in modo altamente scalabile per ciascuno degli elementi della rete LTE le chiavi per l’autenticazione dei dispositivi e la cifratura delle comunicazioni. 


E’ un tema che conosco non solo per via della mia estrazione TLC, ma anche perché come Symantec abbiamo realizzato tale framework e abbiamo già effettuato con successo oltre a test di interoperabilità con la tecnologia Huawei anche delle prove in campo con uno dei principali operatori mobili globali. 




5....... Threats
  5.1......... Threats to UE
     5.1.1........... IMSI catching attack
     5.1.2........... Threat of UE tracking
     5.1.3........... Forced handover
     5.1.4........... Forced handover to legacy RAT
     5.1.5........... Threats of unprotected bootstrap and multicast signalling in LTE
     5.1.6........... Threat related to broadcast of system information
  5.2......... Threats to eNB and last-mile transport links
     5.2.1........... User Plane packet injection attacks
     5.2.2........... User plane packet modification attacks
     5.2.3........... User plane packet eavesdropping
     5.2.4........... Physical attack threat on eNB
     5.2.5........... (D)DoS attacks against eNB from the network
     5.2.6........... (D)DoS attacks against eNB from UEs
     5.2.7........... RLF recovery
  5.3......... Threats to MME/SAE gateway
     5.3.1........... (D)DoS attacks against MME through from RAN side
  5.4......... Threats related to mobility management
     5.4.1........... Unauthorised access to control plane data
     5.4.2........... Privacy
     5.4.3........... Unauthorised manipulation of control plane data
     5.4.4........... Disturbing or misusing network services
     5.4.5........... Unauthorised access to network services



English version




These days I am following the tender for radio frequencies that mobile network operators will be able to use for the development of the LTE network and services in Italy. 




The tender's participants, Telecom Italia, Vodafone, Wind and H3G, are making constant raises although the total count is already very high, so far it exceeds significantly the threshold (2.4 billion euros) that the government had forecasted last year. Some may comment this situation in a positive way, since that increased revenues will go to the State account, but instead my thoughts are different. Undoubtedly the biggest the operators pay to get the licences, the least they will put resources to make other investments. Personally I have the great concern that, first of all, we are losing the opportunity to develop the market, and then, more important for me, we run the risk that operators do not direct adequate resources to ensure the survivability of an infrastructure that represent without any doubt, one of the most important critical infrastructure for any country. From this perspective we may be much less pleased by these higher revenues for the state. 


Among other things, paradoxically, it is the first time in the design phase of the new LTE network architecture, made within the 3GPP, that it is included a deep analysis of security requirements related to the development of a such infrastructure. The document issued by 3GPP that identifies potential threats to an LTE network and possible countermeasures, security architectures to be implemented, etc., consists of 141 pages! Below I've listed the main index in Chapter 5, which describes the threats and shows the width of the problem. 



Note that authentication is the basic components for the proper functioning of all the security mechanisms, that is according to 3GPP specifications, it is necessary to introduce a framework that enables operators to manage network keys for device authentication and encryption of communications between LTE network elements in a highly scalable way. 



I know this theme not only because of my telco background, but also because as Symantec we realized that framework and we have already successfully performed as well as interoperability testing with Huawei's technology and also a field trial with a major global mobile operators.






5....... Threats
  5.1......... Threats to UE
     5.1.1........... IMSI catching attack
     5.1.2........... Threat of UE tracking
     5.1.3........... Forced handover
     5.1.4........... Forced handover to legacy RAT
     5.1.5........... Threats of unprotected bootstrap and multicast signalling in LTE
     5.1.6........... Threat related to broadcast of system information
  5.2......... Threats to eNB and last-mile transport links
     5.2.1........... User Plane packet injection attacks
     5.2.2........... User plane packet modification attacks
     5.2.3........... User plane packet eavesdropping
     5.2.4........... Physical attack threat on eNB
     5.2.5........... (D)DoS attacks against eNB from the network
     5.2.6........... (D)DoS attacks against eNB from UEs
     5.2.7........... RLF recovery
  5.3......... Threats to MME/SAE gateway
     5.3.1........... (D)DoS attacks against MME through from RAN side
  5.4......... Threats related to mobility management
     5.4.1........... Unauthorised access to control plane data
     5.4.2........... Privacy
     5.4.3........... Unauthorised manipulation of control plane data
     5.4.4........... Disturbing or misusing network services
     5.4.5........... Unauthorised access to network services


Saturday, September 3, 2011

Cybercrime & cyberspionaggio (ITA + ENG)

Negli ultimi mesi ci sono stati così tanti eventi significativi che è troppo forte la tentazione di dedicare il mio primo post ad una riflessione su quanto abbiamo visto accadere. Credo sia sufficiente citare alcuni nomi per richiamare alla memoria gli eventi a cui mi riferisco:  Stuxnet, Wikileaks, RSA,  Google, Sony, Wells Fargo, Lockheed Martin, Nasdaq, International Monetary Fund, Northrop Grumman, tanto per fare riferimento ai casi principali che hanno avuto gli onori delle cronache mondiali e non solo della stampa specializzata.

Siamo entrati a tutti gli effetti nell’era del cybercrime e del cyberspionaggio.  



L’epoca romantica della Fama e della Gloria è oramai tramontata e salvo sempre più rare eccezioni i creatori di malware non sviluppano per divertimento o per dimostrare le loro capacità ma per guadagnare denaro dalla commercializzazione della propria opera su canali ovviamente non ufficiali. E se c’è da credere alle stime riportate dagli analisti riguardanti il valore economico di tale black market, c’è da dire che questi personaggi di denaro ne stanno guadagnando veramente tanto !!

Non c’è affatto quindi da meravigliarsi se in questo recente passato abbiamo assistito ad un’evoluzione delle modalità di attacco ed in particolare se abbiamo osservato alcuni significativi esempi di attacchi cosidetti di “alto profilo”.  

Un caso per tutti è rappresentato dall’attacco perpetrato durante lo scorso mese di Maggio nei confronti di Lockheed Martin, un noto fornitore della Difesa USA, realizzato utilizzando le informazioni precedentemente sottratte a RSA.  Infatti, secondo quanto reso ufficiale da RSA stessa, lo scorso Marzo alcuni hackers penetrarono nei loro sistemi impossessandosi di informazioni riguardanti il noto algoritmo proprietario di autenticazione a 2 fattori “SecurID”. Lockheed Martin ha accertato che furono queste informazioni a consentire agli hacker di accedere in modo fraudolento alla rete interna attraverso l’accesso VPN che gli impiegati adottavano per connettersi da remoto ai sistemi aziendali per attività di assistenza tecnica.

L’attacco ad RSA fu quindi propedutico a perpetrare degli attacchi nei confronti di specifici target (targeted attacks) alla ricerca di informazioni magari pre-commissionate da qualcuno sui canali del black marketE’ possibile, anzi probabile. 


In ogni caso che sia certamente elevato il rischio per le aziende di un ripetersi di tale situazione è confermato dal fatto che a fronte di quanto accaduto a Lockheed Martin, RSA ha annunciato un piano di sostituzione dei propri token per tutti i clienti. A questo proposito come non dimenticare anche la preoccupazione riscontrata in quei mesi tra gli operatori finanziari che avevano fornito chiavette RSA ai propri clienti per l’accesso ai servizi di home banking ?

Per tutti la scelta tra le 2 possibili opzioni, ovvero mantenere la soluzione RSA oppure migrare verso una soluzione alternativa oppure aspettare la sostituzione dei token già rilasciati, non sarà stata sicuramente molto facile.

Io ho fatto personalmente nell’anno 2008 l’esperienza di introdurre una soluzione di autenticazione a 2 fattori (strong authentication) basata su chiavette quando ero CISO in Telecom Italia, e ricordo quanto fosse risultata onerosa (in termini di tempi e costi) la definizione e l’attuazione del processo di enrollment dei certificati e la distribuzione a tutti i dipendenti interessati (nel mio caso parecchie migliaia). Questo per dire che anche la scelta di effettuare la sostituzione dei token già distribuiti con altri resi disponibili dalla stessa RSA è tutt’altro che banale e richiede un grande effort nel caso si tratti di numeri importanti. 


A questo punto nei panni di un responsabile della sicurezza io considererei l’opportunità di migrare, anche per approfittare della discontinuità tecnologica, verso una soluzione alternativa basata sull'impiego di un terminale mobile. 

In Symantec vige il principio “eat your own’s cooking” ... che tradotto ha il significato di  “mangia quello che cucini”. Ed è così che lo scorso mese di Giugno, appena arrivato in Symantec ho assistito alla migrazione dalla soluzione RSA, ereditata da alcune delle società acquisite nel corso degli anni, a quella proprietaria denominata Verisign Identity Protection (VIP) che consente di utilizzare come token per l’accesso aziendale in modalità strong i nostri stessi cellulari e/o smartphones.

All’inizio di questa settimana è stato reso noto un evento per certi versi simile a quello appena descritto riguardante RSA: 


- anche in questo caso sono state sottratte alcune informazioni ad una società che fa della sicurezza il suo core business


- anche in questo caso le informazioni sottratte riguardavano l’ambito autenticazione


- e per finire è assai probabile che anche in questo caso le informazioni siano state sottratte per condurre un qualche targeted attack


Mi riferisco all’hackeraggio condotto ai danni di DigiNotar, la società  del gruppo Vasco che eroga servizi di Certification Authority ed in particolare distribuisce certificati di sicurezza per la connessione sicura (SSL) a siti internet. Vasco ha reso noto un paio di giorni fa che lo scorso 19 Luglio durante un security audit la società DigiNotar ha riscontrato una sottrazione di certificati ed ha quindi provveduto ad annullare i certificati compromessi ad eccezione almeno di uno. Le dichiarazioni contengono infatti l’ammissione che il certificato per l’autenticazione al dominio google.com è risultato non bloccato e quindi le comunicazioni da parte di un cliente con i siti afferenti a questo dominio potrebbero essere state monitorate compreso naturalmente il servizio di google mail. La situazione è talmente seria che Microsoft e Mozilla hanno revocato DigiNotar dalla lista delle CA riconosciute come root nei loro browser e anche Google l’ha disabilità in Chrome.  

E non solo …. "The company will take every possible precaution to secure its SSL and EVSSL certificate offering, including temporarily suspending the sale of its SSL and EVSSL certificate offerings. The company will only restart its SSL and EVSSL certificate activities after thorough additional security audits by third party organizations," the Vasco statement says.

Gestire un’infrastruttura SSL è tutt’altro che banale e richiede l’adozione di misure di sicurezza importanti visto quello che può significare una compromissione dei servizi erogati. Mi sono fatto una chiaccherata con i colleghi che curano questo servizio. Mi hanno raccontato che come Symantec/Verisign gestiamo il 90% dei siti internet commerciali e governativi del mondo e che ogni giorno la nostra infrastruttura effettua circa 2 miliardi di validazioni sui certificati gestiti.

Non male ... d’ora in poi presterò molta più attenzione nel momento in cui accedo ad un sito di e-commerce se il colore della banda del browser diventa verde !!


I suppose you know very well why, do you ? 




English version




In the recent months there have been so many significant events that is too tempting to devote my first post to reflect on what we have seen to happen. I think it's sufficient to mention a few names to call in our mind the events to which I refer: Stuxnet, Wikileaks, RSA, Google, Sony, Wells Fargo, Lockheed Martin, Nasdaq, International Monetary Fund, Northrop Grumman, only to refer cases that have had the headlines and not just those of the specialized press.
We have entered at all the effects in the era of cyber-crime and cyber-espionage



The romantic era of fame and glory has faded and now increasingly, unless rare exceptions, the malware writers do not develop for fun or to show their skills but to make money from the sale of his work on non-official channels of course. And if estimates given by analysts on the economic value of the black market are true, these people are earning very much!

Hence it's not surprising that in the recent past we’ve witnessed an evolution of the mode of attacking, and particularly we’ve observed some significant examples of so-called "high profile" attacks.

An example isrepresented by the attack perpetrated during May against Lockheed Martin, a renowned supplier of Defense, created using the information that was stolen from RSA. In fact, as made official by RSA itself, last March a few hackers penetrated their systems taking possession of information regarding the well-known algorithm for 2-factor authentication "SecurID". Lockheed Martin has established that this information allowed hackers to access their internal network fraudulently through the VPN access that employees take to connect remotely to corporate systems.

Was the attack on RSA preliminary to perpetrate attacks against specific targets (targeted attacks) in search of information, maybe pre-ordered by someone, in the black market channels? It’s possible, even probable.

Anyway the great risk for companies of a recurrence of such situation is confirmed by the fact that after what happened to Lockheed Martin, RSA has announced a plan to replace tokens to all its customers. At this regard, it’s impossible to forget concerns found in those months among financial institutions which had provided their customers with RSA keys to access home banking ?

For all RSA's customers, the choice between the 2 options, keeping RSA solution waiting for the replacement of the tokens already issued or migrating to an alternative solution, won't have been certainly easy.

I have personally done in 2008 the experience of introducing a 2-factor authentication solution (strong authentication) based on keys when I was the CISO in Telecom Italia, the leading telco provider in Italy, and I remember how it was found to be costly (in terms of time and costs) the definition and implementation of the enrollment process and distribution of certificates to all affected employees (in my case, several thousand). That is to say that even the decision to make the replacement of the tokens already deployed with others made available from RSA is non-trivial and requires a big effort in case of large enterprises.

At this point in the shoes of a CISO I would take the opportunity to migrate, also considering today’s technological discontinuity, to an alternative solution based on the use of a mobile device.
At Symantec we have the principle "eat your own cooking's" and so the last June, while I was just arrived, I could see the migration from RSA, which had been inherited by some of the companies acquired over the years, to the VeriSign Identity Protection (VIP) solution that allows us to use our phones and/or smart phones as a token.

Earlier this week it was announced an event in some ways similar to the one just described on RSA:

- also in this case have been withheld certain information to a company that makes security its core business

- also in this case, the stolen information is related to the authentication context

- and finally it is quite likely that even in this case the information has been withheld to conduct a targeted attack.


I refer to the hackering against DigiNotar, the Vasco group company that provides Certification Authority services and distributes security certificates for secure connection (SSL) to websites. A couple of days ago Vasco has unveiled that last July 19th a security audit found that the company DigiNotar had been subtracted certificates and they proceeded to cancel them with the exception of at least 1. In fact the statements include the admission that the certificate to authenticate the domain google.com was not cancelled and for this reason communications from a customer to sites related to this domain may have been monitored, including of course the google mail service . The situation is so serious that Microsoft and Mozilla have withdrawn DigiNotar from the list of acknowledged root CA in their browser and even Google has disabled it in Chrome.

And not only .... "The company will take every precaution possible to secure and EVSSL ITS SSL certificate offering, Including Temporarily suspending the salt of the ITS and EVSSL SSL certificate offerings. The company will only restart the ITS EVSSL certified SSL and Activities Thorough after additional security audits by third party Organizations" says Vasco in its statement.

Managing SSL infrastructure is far from trivial and requires the adoption of severe security measures in consideration of what it means compromising the provided services. I had a chat with my colleagues who take care of this service. They told me that Symantec/VeriSign manages 90% of commercial and government websites in the world and that every day our infrastructure makes about 2 billion managed validation of certificates.

Not bad ... from now on I will pay much more attention when I sign in a website for e-commerce if the color of the browser band turns green or no!

I suppose you know very well why, do you?