Il taccuino di Armando Leotta Rotating Header Image

paper

Akamai report: the state of internet, 2nd quarter 2012

E’ stato pubblicato il report Akamai sullo Stato di Internet, relativo al secondo quarter 2012.
Particolarmente interessanti gli aspetti legati alla sicurezza (traffico, fonti e vettori d’attacco).
Utile anche il punto di osservazione privilegiato di Akamai in termini di connessioni https/ssl e i loro relativi algoritmi di cifratura utilizzati. (SSLv3 e TLSv1).
State of Internet, report akamai

Fonte Akamai

Da notare come la 445 si confermi la porta più “ambita” e che è più che triplicato rispetto al I Quarter il numero dei tentativi di connessione alla 8080 (mi viene da pensare a proxy check e a targeted attack, ndr).

Fonte Akamai

La sezione 1 del report è interamente dedicata agli aspetti di sicurezza mentre le restanti fotografano lo stato di penetrazione e diffusione di Internet nei vari continenti e con le rispettive disponibilità di broadband.

NOTA: Rispetto al I Quarter abbiamo scalzato la Germania dalla TOP 10 … ma si tratta della classifica delle 10 nazioni da cui ha origine il traffico relativo ad attacchi informatici.

Son soddisfazioni

 P.S.: il report è liberamente scaricabile previa registrazione

Public cloud computing: security and privacy issues

Le tematica della privacy in rete e del public cloud computing afferiscono a due argomenti estremamente delicati ed attuali.

Il NIST le ha unite andando a toccare le criticità, sottolineando gli alert senza trascurare gli indubbi benefici del public cloud computing.

Le implicazioni sono tante: dalla platform-as-a-service all’application-as-a-service, dall’infrastruttura condivisa alla gestione remota dei dati/log ospitati in luoghi soggetti a diverse e molteplici legislazioni (a mero titolo d’esempio si pensi ai dati prodotti da social network anche di natura enterprise).

Il risultato è la pubblicazione di una linea guida (NIST Special Publication 800-144) e di un draft sulle raccomandazioni (NIST Special Publication 800-146) estremamente interessanti.

Buona lettura.

IBM 2010 X-Force Mid-Year Trend and Risk Report: un trend pericoloso con illustri bocciati

Da qualche giorno il team X-Force di IBM ha reso disponibile il Mid-Year Trend and Risk Report.

Tale report viene pubblicato due volte l’anno (a metà ed a fine anno) e fornisce dei dati statistici circa tutti gli aspetti di minacce riconducibili alla sicurezza informatica incluso vulnerabilità, exploiting, malware, phishing, attacchi web-based ed in generale al cybercrime e alle sue dinamiche. Il report appena pubblicato si riferisce al primo semestre 2010.

Un primo aspetto particolarmente allarmante riguarda un sensibile aumento nella divulgazione delle vulnerabilità. Nel periodo di osservazione X-Force ha identificato 4.396 nuove vulnerabilità (cioè +36% rispetto ad analogo periodo 2009). Per oltre la metà delle vulnerabilità totali (55%) divulgate al termine del periodo non erano ancora state rilasciate le relative patch (+3% rispetto ad analogo periodo 2009).

Se da una parte le vulnerabilità della applicazioni web-based si confermano come maggiore minaccia e criticità dall’altra si registra l’aumento della complessità e della frequenza degli attacchi nascosti in PDF (grazie anche all’ausilio di botnet come Zeus e Pushdo) e Javascript (obfuscation).

Il phishing sembra essere diminuito ma gli istituti finanziari continuano ad essere i bersagli preferiti.

Nota positiva: viene segnalato un maggiore e proficuo impegno da parte delle organizzazioni nell’identificazione e

Vulnerability Disclosure first half of 2000-2010 (fonte X-Force 2010 Mid-Year trend and risk report) -Clicca per ingrandire-

pubblicazione delle vulnerabilità di sicurezza con ricadute positive per l’abbattimento del tempo in cui una postazione rimane potenzialmente attaccabile (se, dall’altra parte venissero rilasciate tempestivamente le relative patch).

Estremamente importante e chiara la tabella “Best & Worse  patchers” ovvero la classifica dei dieci vendor con maggior numero di vulnerabilità (1°colonna) e vulnerabilità critiche (2° colonna) non sanate:

Best and worse patchers, H2010

Best and worse patchers, H2010 (fonte X-Force 2010 Mid-Year Trend and risk report) - Clicca per ingrandire -

Per le tendenze per l’immediato futuro il team X-Force segnala non a sorpresa i rischi connessi alla virtualizzazione ed al cloud computing.

Per gli addetti ai lavori e per chi volesse leggere il report, è disponibile qui previa registrazione gratuita. Inoltre, se volete approfondire le modalità di funzionamento della botnet Zeus non perdetevi la sezione apposita nel paper.

RSA a 768 bit fattorizzato. Avanti il prossimo

RSA-768: è di questi giorni la notizia della fattorizzazione del numero di 768 bit, 232 cifre decimali su cui si basa il modulo 768-bit dell’RSA.

Un successo, visto che era nella Challenge list dell’RSA.

L’approccio utilizzato è il Morrison-Brillhart.

Alcune considerazioni.
Il modulo a 768-bit, ovviamente, non è più raccomandato specie per le implementazioni  prossime.

Dando uno sguardo alle velocità con cui siamo passati dalla fattorizzazione del modulo a 512-bit (1999) a quello a 768-bit si ritiene che in una decade si possa arrivare a fattorizzare anche il numero (chiave) a 512-bit (number field sieve factoring method).

Per gli addetti ai lavori, è possibile approfondire scaricando il paper.
La sola attività di identificazione degli interi (number field sieve) appropriati ha comportato uno sforzo computazionale equivalente a 1500 anni di elaborazione con un  core di un opteron a 2.2 GHz ed ha prodotto oltre 5 TB di dati.

Nessuno sconvolgimento quindi, ma solo un gran bel risultato che aiuta il phasing out del modulo con chiave a 1024-bit previsto proprio nel 2010.

____
Clusit

Falla in WPA: cautela, non allarmismi

Si legge su alcuni siti che è emersa una falla nel WPA, sistema crittografico usato nelle reti wi-fi.

Ho commentato su Zeus News  e su Punto-Informatico questa notizia che riassumo brevemente.

Dei ricercatori tedeschi hanno sottolineato la possibilità in alcune stringenti ma verosimili condizioni che tramite attacchi del dizionario o chopchop modificato per il TKIP (il protocollo oggettivamente incriminato, non il wpa) si possono decifrare pacchetti corti come ARP e ARP response.

Questo è possibile in quanto il TKIP è stato progettato come soluzione legacy per quegli apparati aggiornabili che funzionavano solo con il WEP. Pertanto, di quest’ultimo si porta dietro alcune criticità (come il cipher RC4 e l’ICV (con MICHAEL e non con CRC32) ad ogni pacchetto cifrato.

Per il resto, nulla di nuovo sotto al sole se non un livello di attenzione che la problematica merita anche da parte dei non addetti ai lavori.

Attendiamo fiduciosi il paper della PacSec di Tokyo per leggere i dettagli dello studio presentato dai due ricercatori.

Nel frattempo, se non potete disabilitare il TKIP e usare solo AES-CCMP, abbassate il rekeying time del TKIP a 60-120 secondi al massimo, per ora…

P.S.: avete il TKIP ancora abilitato? AES o direttamente WPA2 😉