Un piccolo addendum al whitepaper “Proteggere i files sensibili con SE-Linux”.

Se vi ricordate, uno dei problemi principali era il fatto di non poter concedere attraverso sudo tutti i privilegi di root, perchè il super user poteva disabilitare le protezioni SE-Linux tramite il comando setenforce oppure disabilitare l’audit tramite il comando auditctl.

Dopo alcune prove, ho scoperto che posso proteggere auditctl e setenforce in una maniera analoga a come avevo protetto la directory dei documenti /documents, ovvero l’uso degli stessi MLS. Nel mio caso, ho creato un secondo livello MLS che ho chiamato Serights e l’ho inserito in /etc/selinux/targeted/setrans.conf:

s0:c4=Serights

Poi, tramite chcat, ho protetto i due comandi:

chcat +Serights /usr/sbin/setenforce

chcat +Serights /sbin/auditctl

Ho reso permanenti questi files ad un relabel inserendo nel file “docsecret.fc” le seguenti righe:

/usr/sbin/setenforce        gen_context(system_u:object_r:sbin_t,s0,c4)

/sbin/auditctl              gen_context(system_u:object_r:auditctl_exec_t,s0,c4)

Ho poi permesso ad un utente, es: l’utente secofr (=security officer), di poter abilitare/disabilitare selinux con:

chcat -l +Serights secofr

Ovviamente, sempre da quello descritto nel paper, l’utente secofr è stato aggiunto nel gruppo wheel. In questo modo solo collegandosi come secofr e poi facendo “su -” si potrà disabilitare selinux, oppure collegandosi a root da console.
Tanto per essere un po’ piu’ paranoici …

Oggi rilascio pubblicamente il whitepaper dal titolo Proteggere i files sensibili con SE-Linux.

Tratto dall’esperienza di un caso reale, il documento descrive come proteggere alcuni files sensibili (nel caso in questione dei PDF) da accessi non autorizzati utilizzando i sistemi ad accesso mandatorio (MAC) tipicamente utilizzati in ambienti militari.

La particolarità di questo documento è la metodolgia utilizzata in quanto i sistemi MAC sono tipicamente difficili da amministrare. Sono riuscito a trovare una formula per coniugare la necessità di riservatezza di files, proteggendoli anche dalle utenze di amministrazione, senza però introdurre troppe complicazioni di gestione. Un sistema protetto da SE-Linux è molto difficile da amministrare, ed è raro trovare competenze in questo ambito, ad esempio io sono l’unico in Europa per Red Hat. Attraverso la personalizzazione di SE-Linux e di alcune configurazioni del sistema operativo, sono riuscito ad ottenere un ottimo compromesso tra sicurezza/riservatezza e gestione.

Potete scaricarlo gratuitamente dalla sezione pubblicazioni. L’annuncio ufficiale con la press release è disponibile qui.

Buona lettura e buone vacanze a tutti!

Maria si è presentata a casa con un regalo per me: un adorabilissimo pupazzo della Trudi. Non è carino??

Dice che è perche -con me- c’è un “alieno” in casa: tutto nasce da quando -più di un anno fa- ho cominciato a fare gli esperimenti con VoIP e facevo le telefonate provando audio feedback e codecs. In quel momento mi ha chiesto se cercavo gli alieni …. e allora me ne ha portato uno! Subito è diventata la mia mascotte!! Lo chiamo affettuosamente “Ciao Mondo” (ovvero “hello world”), perchè nelle varie telefonate VoIP rispondeva la voce di Asterisk con “Ciao Mondo”.

E’ con un pizzico di orgoglio che vi annuncio che la piattaforma ADSL+VoIP di Vodafone è entrata in produzione e ora commercializzata verso gli utenti finali.

Ho lavorato a questo progetto per quasi un anno, in cui ho studiato interamente l’architettura, la realizzazione, lo stress test e la messa in opera del back-end della centrale telefonica, sia sul sito di test/integrazione che portandola in produzione a Roma.

Si tratta di un’architettura LDAP ad altissime prestazioni acceduta da due principali “blocchi”: da un lato il customer care che carica le utenze telefoniche, dall’altro la Internet Station che si registra alla centrale telefonica via degli SBCs e va a richiedere le autorizzazioni e le informazioni sui sistemi LDAP. L’architettura è capace di reggere 22.000 queries al secondo con un average service time di 14ms a singola richiesta.

La foto a lato è stata scattata il giorno della messa in esercizio della piattaforma VoIP di Vodafone nel sito di Roma, con Arialdo e Domenico.

Ho publicato le slides sulla mia ricerca dal titolo “Exploring Smartcards: an independent look to technologies and market”: si tratta di un overview del mercato e delle tecnologie inerenti alle smartcard per condividere con voi i risultati e le conclusioni che ne ho tratto.

Potete scaricare le slides qui, oppure scaricare le slides con le note qui. In alternativa, sono disponibili nella pagina Pubblicazioni, nella sezione “Presentazioni ed interviste”

L’incontro fissato per il 13 Giugno verrà cancellato a causa dell’esiguo numero di persone, ma sono ben lieto di partecipare a vostri incontri e discuterne insieme i contenuti.

Manilo Torquato mi ha intervistato sugli argomenti DogTag e FreeIPA di RedHat

Prendendo spunto dal recente rilascio del Red Hat Certificate System, abbiamo rivolto qualche domanda a Giuseppe Paternò (Gippa) architetto senior e referente sicurezza Emea di Red Hat sulle novità del “cappello rosso”: Project Dogtag e FreeIPA

L’intervista completa è disponibile qui.

Ho completato i test sulle smartcard riuscendo a fare logon sul sistema con una smartcard e usando VPN, Mail e Web. Visto le crescenti esigenze di sicurezza delle aziende che curo, sentivo la necessità di capire la maturità del mercato ed esplorare le tecnologie attualmente disponibili. Sto attualmente rielaborando i risultati della ricerca e appena posso pubblicherò un whitepaper.

Un articolo apparso di recente sulla rivista on-line oneITsecurity  ha stilato la classifica dei “5 ebook sulla sicurezza da non perdere“. I miei due e-book “Sicurezza nelle Wireless LANs” e “Single Sign-On con Kerberos e LDAP” hanno vinto entrambi la medaglia di bronzo in questa specialissima classifica. Ringrazio pubblicamente Manilo Torquato che ha redatto l’elenco.

I test sono terminati con successo. E’ con grande piacere che annuncio il passaggio della mia infrastruttura voce totalmente su IP. Il centralino IP, basato su Trixbox/Asterisk, ha collegamenti upstream in SIP e ISDN, mentre in downstream gestisce telefoni PSTN analogici, telefoni IP-based e CPEs remoti. Grazie alle logiche offerte da FreePBX, integrato in Trixbox, mi è stato possibile gestire le chiamate in ingresso smitandole nel migliore metodo possibile e garantendo la mia raggiungibilità ovunque io sia.

Ho aperto un sito che permette l’accesso via web ai newsgroups, gestendo le gerarchie it.*, ch.* e sm.*, ovvero quei newsgroup relative alla lingua italiana.

Il sito è http://news.garl.it/

Per l’accesso è sufficiente avere un account su Gmail cui POP3 è stato abilitato