Raven Consulting

Convegno CFI

Romano Romano — Tue, 24 Jun 2008 21:34:06 +0000

Mercoledì 18 giugno ho partecipato al primo convegno organizzato da CFI.

L’evento si è svolto presso la Libera Università S. Pio V a Roma ed è stato l’occasione per incontrare e conoscere le persone che animano la mailing list.

Purtroppo, la giornata è stata funestata da una serie di disguidi con i mezzi di trasporto e alcuni dei relatori sono arrivati in Università con un ritardo pazzesco: di conseguenza, sono saltati tutti i tempi e si è dovuto necessariamente tagliare sugli interventi.

E’ stato un vero peccato, perché – come mi aspettavo – erano tutti estremamente interessanti e ho potuto scambiare due chiacchiere e approfondire un po’ solo durante l’unico break che ci siamo concessi.
Speravo nel pranzo, ma nonostante i tagli abbiamo finito tardissimo ed è saltato pure quello… proprio vero che quando piove poi grandina!

Nonostante questo, è stata una bella esperienza e comunque non è servita solo per associare una faccia ai nomi già conosciuti, visto che in queste occasioni si scopre sempre qualcosa di nuovo di cui non si sospettava neanche l’esistenza.
Ad esempio, dopo aver ascoltato il Soprintendente Cucinotta, credo che non guarderò mai più una chiave di accensione di un’Audi o di una BMW con gli stessi occhi!

Il report completo e i link alle slide li trovate qui.

Così fan tutte

Romano Romano — Fri, 25 Apr 2008 13:50:50 +0000

No, non sto parlando del celeberrimo film di Tinto Brass ma di un’altra pessima esperienza con un cosiddetto “servizio clienti” in ambito ADSL.
Un paio di mesi fa mi ero scontrato con un vero e proprio muro di gomma avendo a che fare con l’assistenza tecnica di Telecom Italia, oggi tocca a Tele2 rendermi partecipe dell’incubo vissuto dagli utenti comuni che hanno la disgrazia di avere qualche problema con la linea.
Qualche giorno fa, un amico mi chiama disperato perché da una decina di giorni la sua ADSL è praticamente morta: la navigazione è lenta in modo esasperante, è difficile anche inviare e ricevere una banale email, non parliamo poi di scaricare qualcosa.
Lui ha già provato a chiamare il supporto di Tele2 che, manco a dirlo, gli ha garantito che sulla sua linea non ci sono problemi… per cui, dopo le domande di rito al telefono, decido che è il caso di andare a dare un’occhiata.
Vi risparmio la cronaca delle prove, il succo è che dal lato utente è tutto a posto ma sembra di utilizzare un vecchio modem a 28.8 invece di una linea a banda larga.
Chiamo il supporto tecnico e qui arriva la chicca: dopo la solita trafila nei meandri del risponditore automatizzato arrivo al sospirato “premi X per parlare con un nostro operatore”, premo il tasto e mi sento rispondere “spiacenti, il numero selezionato è inesistente”, poi la linea cade.
Guardo incredulo il cordless, sicuramente ho sbagliato qualcosa io, riproviamo… altra telefonata, altri 40 secondi abbondanti di marketing, altra discesa tra i menù del risponditore e arrivo al punto di prima.
Stavolta guardo la tastiera mentre premo il numero, giusto per essere sicuro, riaccosto il ricevitore all’orecchio e… “spiacenti, il numero selezionato è inesistente… tu tu tu tu tu”.
Io non so se lo facciano apposta ma vi garantisco che una cosa del genere fa incazzare e manco poco, almeno con gli operatori del 187 ero riuscito a parlarci.
Per la cronaca, l’amico in questione è il fratello di quello protagonista della storia con Telecom… sarà un caso di sfiga formato famiglia?

E’ nata Computer Forensics Italy

Romano Romano — Wed, 26 Mar 2008 15:44:32 +0000

Segnalo una nuova risorsa tutta italiana per chi si interessa, a qualsiasi titolo, di computer forensics: Computer Forensics Italy.
Nata dall’iniziativa di Nanni Bassetti e Denis Frati, si propone di essere un punto di incontro aperto a tutti coloro che desiderano partecipare, senza pregiudizi o elitarismi di sorta.
La computer forensics è una materia piuttosto complessa, che richiede non solo competenze specifiche ma anche e soprattutto l’osservare scrupolosamente metodologie e “best practices”.
Infatti, come affermato anche dal Magg. Marco Mattiucci del RIS – uno che di CF qualcosa ne capisce! – va sempre tenuto presente che:

“(omissis) all’atto della presentazione nel processo, bisogna ricordare che contano soprattutto procedure e tool consolidati altrimenti si rischia di svolgere lavori egregi che però non sono in grado di incriminare nessuno e/o dimostrare nulla.”

Quindi, se siete interessati alla materia ma non sapete da che parte cominciare per fare le cose come si deve, CFI potrebbe essere quello che fa per voi.
Per ora esistono la mailing list e il sito web, ma la lista è un’autentica fucina di idee e proposte, per cui credo che altre risorse utili non tarderanno ad arrivare… stay tuned!

Rischio calcolato

Romano Romano — Tue, 11 Mar 2008 21:17:06 +0000

E’ notizia di oggi che un software discretamente famoso, che permette di fare una copia di backup della propria posta su Gmail, contiene una funzionalità non dichiarata letteralmente spaventosa: in pratica, quando viene usato, trasmette lo username e la password della casella direttamente allo sviluppatore, che può così avere accesso alla posta e a tutti gli altri servizi di Google a cui quell’account è abilitato.
Ora, il primo pensiero di una persona normale che cerca uno strumento software per soddisfare un suo bisogno non è sicuramente del tipo: “Oddio… e se questo software fa qualcosa di nascosto?”. E non è neanche giusto che lo sia!
Credo che sia ora, piuttosto, di iniziare a farsi una domanda fondamentale: “Sapendo che è inevitabile correre dei rischi per il semplice fatto di usare dei software, qual è per me il livello di rischio che posso permettermi di accettare?”
Se qualcuno si chiedesse come fare a saperlo, consiglio la lettura dell’ultima parte di questo post di Matteo Flora.

La RAM? Non è poi così volatile…

Romano Romano — Sat, 23 Feb 2008 21:11:01 +0000

Un gruppo di ricercatori dell’Università di Princeton ha annunciato di essere riuscito a recuperare dei dati contenuti in RAM dopo aver interrotto l’alimentazione elettrica.
A seconda delle condizioni ambientali e del tipo di chip utilizzati, i dati in memoria permangono per un periodo variabile tra qualche secondo e dieci minuti, che può essere ulteriormente prolungato raffreddando i moduli con un refrigerante.
Pare che sia addirittura possibile rimuovere i moduli dalla scheda madre e leggere le informazioni da un altro computer.
La cosa è particolarmente interessante per le implicazioni che ha sulle tecnologie utilizzate per la protezione dei dati memorizzati sull’hard disk: tutte, infatti, mantengono nella RAM la chiave di decifratura e si fondano sull’assunto che, se il PC viene spento, non è possibile recuperarla.
Visto l’interesse che c’è intorno a questi sistemi – che, per buona parte, deriva dai molteplici e clamorosi casi di smarrimento di notevoli quantità di dati personali verificatisi negli ultimi anni – il lavoro dei ricercatori americani assume un’importanza ancora maggiore.
E’ chiaro che non per questo TrueCrypt, BitLocker, FileVault e affini diventano di colpo inutili, ma è una dimostrazione in più che la sicurezza al 100% non esiste e non esisterà mai… oltre, ovviamente, a fare la felicità di quelli che per mestiere si occupano di computer forensics.

La piccola bottega degli orrori

Romano Romano — Sat, 09 Feb 2008 12:28:31 +0000

Non saprei come altro definire il cosiddetto “servizio di assistenza tecnica Alice ADSL” di Telecom Italia.
Antefatto: un mio caro amico di recente si è abbonato ad Alice e ha comprato un router per gestire il collegamento.
Qualche giorno fa mi chiama perché gli hanno confermato l’attivazione della linea ma non riesce a fare nulla e visto che non è un tecnico non sa come uscirne, per cui parte il classico invito a cena con annessa consulenza gratuita.
Ieri sera vado a casa sua e mi metto subito a controllare la configurazione del router: di solito, infatti, nonostante i wizard per un utente normale è abbastanza difficile districarsi tra le voci di menù e qualche errore ci scappa sempre.
Ma stavolta non è questo il caso, il router è configurato correttamente e l’IP pubblico risulta assegnato.
Rapido giro di diagnostica (ping sul router di peer, ping verso l’esterno, ping su un indirizzo numerico etc.) e, dato che i pacchetti sembra non arrivino neanche all’altra estremità del doppino, decido di chiamare il 187.
Non sto qui a fare la cronaca completa, vi dico solo che ho parlato con tre operatori e ce ne fosse uno che abbia saputo darmi una indicazione utile, nonostante le mie spiegazioni precise.
La cosa più inquietante è la mentalità… nonostante Telecom Italia sia stata privatizzata oltre dieci anni fa, per l’operatore dell’assistenza la persona che sta dall’altra parte della cornetta non è un cliente da curare, ma un utente che ha voglia di rompere le scatole e come tale viene trattato.
Per dirvene un paio, uno di questi soggetti insisteva sul fatto che “non è stata creata l’icona di Alice sul desktop”, dopo che per la quarta volta gli avevo spiegato che il dispositivo è un router e quindi ha il modem ADSL integrato che si configura direttamente dalla sua interfaccia e non c’è bisogno di creare un collegamento remoto su Windows.
Come se non bastasse, quando gli ho chiesto di confermarmi almeno se il protocollo e il tipo di encapsulation erano giusti, si è lanciato in una filippica sul fatto che loro non possono conoscere tutti i modelli di router dei clienti (sacrosanto), pertanto è il cliente che deve sapere che cosa usa la sua centrale!
In altre parole, secondo lui il mio amico avrebbe dovuto sapere da solo se bisogna usare PPPoA piuttosto che PPPoE oppure VC/MUX piuttosto che LLC… ok che è ingegnere, ma mi sembra che basti il buonsenso a capire che non puoi e non devi dire una cosa del genere a un cliente che ti chiede aiuto.
Quello successivo ha avuto almeno la buona creanza di spiegare che l’autenticazione viene fatta sul numero telefonico e che è indifferente l’utilizzo di un’impostazione piuttosto che un’altra perché il DSLAM si adatta automaticamente; l’unica cosa che va fatta è una registrazione di un indirizzo email sul loro portale che “sblocca” il collegamento.
Tutto bene, se non fosse che gli ho fatto presente che lo sapevo e ci avevo già provato, ma il portale non si caricava nonostante avessi atteso a lungo.
E sapete la risposta qual è stata? “Sì, succede spesso e volentieri che non funzioni, non possiamo farci nulla, riprovi fin quando non riesce”… in altre parole, tu hai acquistato e stai pagando un servizio, che non ti viene fornito per una nostra mancanza, ma devi rassegnarti e sperare di essere fortunato.
Ora mi chiedo: se mi sono trovato in difficoltà io, qual è l’esperienza delle persone normali con questo “servizio” che, come dice il suo nome, dovrebbe essere una mano tesa verso chi ha dei problemi?
E questa è l’azienda che, volenti o nolenti, decide l’andamento dell’intero mercato italiano della banda larga: non mi stupisce affatto che nelle classifiche internazionali siamo dietro a parecchi paesi del cosiddetto terzo mondo.
Di buono c’è che la cena era di pesce ed è stata semplicemente deliziosa.

Sono appena tornato da Infosecurity…

Romano Romano — Fri, 08 Feb 2008 14:11:48 +0000

E per quanto mi riguarda, c’è solo una parola che descrive adeguatamente questa esperienza: FAN-TA-STI-CA!
La serata in pizzeria è stata senza alcun dubbio la parte più coinvolgente, a tratti davvero emozionante, anche perché per me era la prima volta ed era tutto una novità.
Appena arrivato davanti alla pizzeria, ho subito fatto amicizia con Fabrizio e Alessio e abbiamo iniziato la serata quasi aggregandoci a un’altra pizzata che non c’entrava niente con Infosecurity.
Pian piano ha cominciato ad arrivare gente, tra loro Kahuna e tibberio, che non vedevo dai tempi del Security Date di Ancona del 2004… proprio vero che il mondo è piccolo.
Ci siamo accomodati ai tavoli e vecna è venuto a salutarci tutti, con semplicità e simpatia.
Subito dopo ho avuto il piacere di stringere la mano a LK, che mi ha fatto l’onore di darmi in anteprima la notizia di una novità che lo riguarda (no, non dico di che si tratta, lo farà lui).
Una volta seduto, mi sono trovato letteralmente circondato da persone straordinarie: Kinkie, che tanto per gradire è uno degli sviluppatori di Squid e admin del wiki, con il quale mi sono dilettato a parlare di sicurezza in ambito bancario; il simpaticissimo Bernardo, ricercatore universitario e autore di un intervento a Infosecurity che ci vuole la laurea solo per capirne il titolo; i ragazzi padovani, anche loro simpaticissimi e grazie ai quali forse riesco a rimettermi in contatto con un amico che non sento più da una vita.
Una menzione particolare se la merita alla grande TuxPat, che diverse volte ha tentato un omicidio di massa a mezzo risate e relativo strangolamento con la gigantesca pizza… fantastica la definizione di Pisa come “un cerchio con la torre in mezzo” e la cronaca della lotta con il suo TomTom.
La serata è proseguita in grande allegria, tra piacevoli chiacchierate e conoscenza di nuove persone.
Il grassetto non è superfluo, si tratta prima ancora che del meglio che ci sia sulla scena italiana della security – e non solo, secondo me – di persone vere, spesso molto più semplici, umili e disponibili di come uno se le immagina, con le quali è un sincero piacere guardarsi negli occhi… credo di aver capito solo adesso cosa vuol dire veramente fare parte di questa community.
Per dirne una, mentre mi passava di fianco ho preso il coraggio a due mani e ho chiesto a Raoul Chiesa se potevo stringere la mano a una leggenda… che altro vuoi dirgli a uno così?
Non credo di aver esagerato, eppure lui non solo mi ha stretto la mano ma ha sorriso e ha detto “dai, non dire così che mi fai arrossire”… e quando, dopo un po’, è andato a fumarsi una sigaretta mi ha chiesto se volevo accompagnarlo… lui, a me, che mi ha visto in faccia la prima volta quella sera!
Allo stesso modo, con estrema naturalezza, mi sono ritrovato nel corridoio a chiacchierare con LK, KJK::Hyperion (definito da LK “il numero uno in Italia su Windows”) e FX dei Phenoelit… e poi mayhem, che mi ha invitato a contribuire all’Hackers Profiling Project, Koba, naif, vodka e altri ancora.
La serata si è conclusa con una puntata a un pub, a cui però ho rinunciato perché ho perso l’ultima corsa della metropolitana e sono andato a cercare un taxi prima che sparissero dalla circolazione anche quelli.

La mattina dopo, appuntamento a Infosecurity.
La fiera in sé non era niente di straordinario, per cui mi sono limitato a dare una rapida occhiata agli stand (e alle ragazze immagine, quelle sì davvero notevoli… complimenti in particolare alla F-Secure per il buon gusto) e poi mi sono fiondato ad ascoltare i talk all’area demo.
Nota di demerito agli altoparlanti che ogni 5 minuti avvisavano i visitatori degli eventi in corso… pienamente legittimo, se non fosse che il volume era talmente alto da coprire la persona che parlava al microfono.
Molto interessante e inusuale quello di ikki, divertentissimo quello di fusys con ampio uso delle strisce di Dilbert.
Il top di giornata spetta sicuramente a Ivan Ristic e al suo strepitoso talk su ModSecurity – di cui ne sa qualcosa, visto che lo ha scritto – e i web application firewall.
Anche qui, finito l’intervento, scambio di idee e invito a collaborare… non c’è niente da fare, Internet è uno strumento bellissimo ma parlare faccia a faccia con le persone è un’altra cosa.
Rapido pranzo al bar con Kahuna, tibberio, TuxPat e altri due ragazzi di cui purtroppo non so neanche il nome e via al corso di formazione sulla digital forensics, che mi riempie tutto il pomeriggio.
Ed è già tempo dei saluti, prima di tornare in albergo a recuperare il bagaglio e andare in stazione… allo stand ci sono Koba, fusys, TuxPat, una ragazza che a giudicare dal portatile quantomeno curioso credo fosse DElyMyth e altri ancora… ultimi scambi di indirizzi e biglietti da visita e mi dirigo all’uscita.

A tutti voi ragazzi, se state leggendo queste righe, un GRAZIE grosso così per una giornata o poco più che mi è sembrata lunga un secolo.
E ovviamente non vedo l’ora che ci sia la prossima occasione… a presto!

Infosecurity 2008

Romano Romano — Mon, 04 Feb 2008 17:33:39 +0000

Dal 5 al 7 febbraio si svolge a Milano Infosecurity, evento leader in Italia nel settore della sicurezza informatica.
Io sarò lì giovedì 7, vado a seguire qualche interessante convegno e a conoscere finalmente di persona un po’ di gente del settore, specialmente quelli che frequentano le liste di Sikurezza.org.
A questo proposito, segnalo anche che la sera prima, alle ore 20, è stata organizzata una pizzata per incontrarsi e conoscersi al di fuori del contesto lavorativo.
Io ci vado, se qualcuno volesse aggregarsi qui ci sono tutte le informazioni necessarie e ovviamente me lo faccia sapere.

Tempi duri per i router domestici

Romano Romano — Sat, 02 Feb 2008 11:09:33 +0000

Alzi la mano chi di voi ha a casa l’ADSL… bene, vedo che ormai sono pochi quelli che non ce l’hanno.
E suppongo che praticamente tutti, per gestire il collegamento, abbiate acquistato o preso a noleggio dal fornitore della linea un router ADSL di quelli economici, giusto?
Se è così, dovete sapere che questi dispositivi stanno diventando un bersaglio privilegiato per i soliti delinquenti che non hanno altro da fare nella vita se non inventarsi dei sistemi sempre nuovi per ingannare le persone oneste che quotidianamente usano Internet.

Circa tre settimane fa, Adrian Pastor e Petko Petkov hanno pubblicato un articolo segnalando la possibilità di modificare la configurazione del router ADSL di un tipico utente domestico sfruttando il protocollo Universal Plug and Play.
La tecnica, analoga a quella descritta solo pochi giorni prima dallo stesso Petkov, usa come vettore un comunissimo filmato Flash.
Chi di voi, magari più volte al giorno, non riceve da un amico la segnalazione di un filmato divertente o interessante e va a vederlo, anche solo per curiosità?
Ebbene, è possibile per un attaccante preparare un filmato ad hoc che, oltre ad essere interessante o divertente, interagisca con il vostro router ADSL aprendo delle porte verso la vostra macchina oppure riscrivendo la configurazione del DNS… il tutto in modo completamente trasparente e senza necessità di conoscere la password.
Questo apre la strada ad attacchi successivi, dai tentativi di bucare direttamente la macchina fino al phishing della peggiore specie.
La cosa più “simpatica” è che non si tratta di una vulnerabilità del protocollo ma dell’uso distorto di funzioni previste dal protocollo stesso, per cui non è neanche semplice per i produttori coinvolti metterci una pezza.
Per ora l’unica contromisura efficace è disattivare completamente l’UPnP: mi dispiace per quelli di voi che lo trovano così comodo per utilizzare i programmi P2P e affini, ma credo che l’alternativa di non essere gli unici a conoscere la password di accesso all’home banking valga bene lo sforzo di imparare come si configurano a mano le porte di eMule.

E’ di pochi giorni fa, invece, la notizia della comparsa in Rete di tentativi di attacco ad alcuni tra i router domestici più popolari per mezzo di una tecnica nota come “drive-by pharming”.
La tecnica in sé non è certamente una novità: già un anno fa, sui blog di Symantec, era comparso un articolo che spiega nel dettaglio la vulnerabilità e in che modo sia possibile sfruttarla per attacchi mirati a fare incetta di dati riservati.
Vi consiglio di leggerlo e in particolare di visualizzare il breve filmato Flash (tranquilli, non è pericoloso) che illustra il funzionamento dell’attacco, è mille volte più chiaro di qualsiasi descrizione.
La novità, come sottolinea la stessa Symantec, sta proprio nel fatto che non si tratta più solo di teoria.
Non sto qui a ripetere quello che è già efficacemente spiegato nell’articolo, l’unica cosa che riprendo è la raccomandazione di provvedere subito, se non lo avete già fatto, a modificare le credenziali di autenticazione standard del vostro router.
Anche se l’attacco non fosse poi così pericoloso come sembra e dando per scontato che non siate in molti ad avere un conto corrente in Messico, prevenire è meglio che curare.
Dato il numero elevato di tentativi di phishing che circolano sulla Rete italiana, non mi stupirei affatto se qualcuno ci provasse anche da noi.

Per concludere, non faccio altro che ripetere una volta di più le cose che si leggono scritte ovunque: ricordate che Internet è un posto meraviglioso ma ha le sue insidie, per cui occhi aperti, non siate pigri e adottate almeno le misure di sicurezza elementari e soprattutto informatevi prima di fare click su qualsiasi cosa vi capiti sotto il puntatore.

P.S. Avrete notato che è un bel pezzo che non pubblico più nulla… purtroppo e per fortuna sto attraversando un periodo di cambiamenti, che mi sta portando grandi soddisfazioni personali e professionali ma anche – ahimé – ad avere ancor meno tempo di prima (e già era poco) per dedicarmi al blogging.
Spero che questo articolo segni un’inversione di tendenza e di poter tornare a scrivere con cadenza almeno settimanale, ma per sana scaramanzia non vi prometto nulla.

Linux Day 2007

Romano Romano — Thu, 25 Oct 2007 15:21:56 +0000

Lo so, è un pezzo che non mi faccio sentire e sono in clamoroso ritardo con l’annuncio… meglio tardi che mai.
Sabato 27 ottobre 2007 è il Linux Day!
Giunta ormai alla settima edizione, la manifestazione ha lo scopo di promuovere la conoscenza e l’utilizzo di Linux e del software libero e si svolge in contemporanea in più di 100 città italiane (al momento in cui scrivo siamo a 117).
E’ l’occasione ideale per fare o approfondire la conoscenza del software libero e di tutto ciò che ci sta intorno.
Io sarò all’evento di Pesaro, organizzato dal Fortunae LUG – trovate il programma e tutti i dettagli qui – dove terrò ben due interventi.
Il primo verte sulla protezione delle comunicazioni via email utilizzando GnuPG, mentre il secondo sarà una dimostrazione in diretta dell’installazione e personalizzazione di un sistema Ubuntu Linux.
Spero partecipiate numerosi, in ogni caso buon Linux Day a tutti!