Ormai è tutto pronto per il lancio in grande stile del progetto Security eBook, anche la parte cosmetica con l’introduzione del nuovo logo. Ora seguiranno l’annuncio stampa e la creazione di alcuni flyer da distribuire negli eventi.

Grazie a Gianluca Varisco è stato creato anche un gruppo su Facebook, vi aspettiamo numerosi su questo nuovo gruppo!!!

Posso praticamente definire ultimata la fase di creazione dell’infrastruttura del progetto Security e-Book. Tutti gli scritti sono stati messi nelle quattro categorie principali: Reti, Sistemi, User management e Forensic e Audit. E’ stata aggiunta una pagina descrittiva sul progetto e sugli obiettivi prefissati.

Mancano ancora un logo migliore (quello che c’è adesso è temporaneo) e una scritta “Security e-Book” un po’ professionale da poter riusare in flyer da distrubire. Apro il contest del logo e della scritta che devono essere rigorosamente in formato scalabile (SVG), per chi vuole può sottomettere gli artwork. Ora si inizia la fase di revisione dei contenuti: la pagina della filosofia Defense in Depth è già stata rivista, aggiungeremo prossimamente un nuovo capitolo per l’integrazione tra OpenLDAP e Microsoft Active Directory che ho realizzato presso un famoso broadcaster televisivo italiano.

Una volta stabilito il logo e la scritta, il prossimo passo è l’annuncio ufficiale a mezzo stampa e distribuzione di flyers informativi sul progetto in eventi come l’Open Source Day (9 Giugno a Roma).

Buona pasqua a tutti!

Ho completato l’upload di tutte le mie pubblicazioni sul progetto Security e-Book (http://ebook.sikurezza.org). E’ stato un lavoro lungo e faticoso, ma alla fine sono riuscito nell’obiettivo.
Ora sono alla ricerca di volontari che mi aiutino a sistemare i contenuti ed aggiungerne dei nuovi!

Alcuni consigli di sicurezza per chi usa -come me- windows mobile:

1. Usare sia le password all’accensione/di sblocco e PIN con la SIM del cellulare. Questo fa molto come deterrente di sicurezza. E’ anche possibile impostare il “wipe” del device mobile dopo un numero definito di tentativi di accesso: la cosa migliore è distribuire queste policy con Exchange oppure se si possono usare alcune chiavi di registro.
2. Attivare il lock dello schermo dopo un breve periodo di inattività (2-3 minuti) con la richesta del password
3. Aggiornare sempre all’ultimo firmware del device, possono uscire delle vulnerabilità software esattamente come avviene nel modo tradizionale nel mondo dei computer
4. Usare la crittografia delle schede di memoria: in Windows Mobile 6 è già compreso con la possibilità di fare il wipe contemporaneamente anche della scheda SD. Però c’è qualche problema conosciuto e comunque con copre Windows Mobile 5, perciò magari potrebbe valere la pena affidarsi a prodotti quale PGP Mobile
5. Usare prodotti come Tweaks2K2.NET o Spb Kiosk che permettono di aggiustare alcuni settaggi di sicurezza che sono presenti solo su chiavi di registro.

La chiave di registro per effettuare il wipe del device è HKLM\Comm\Security\Policy\LASSD, creare la chiave in decimale DeviceWipeThreshold e impostarla ad un numero intero non negativo: questo sarà il numero massimo di tentativi di accesso prima della cancellazione (wipe).

Per vostra informazione, alcune policy di sicurezza di Exchange su dispositivi mobili sono anche supportati dall’iPhone.

Stiamo studiando un nuovo sito per progetto relativo al “Security ebook“: si tratterà di un wiki collaborativo per la creazione di un libro interamente dedicato alle architetture di sicurezza e alla sicurezza in generale. Da questo wiki estrapoleremo con cadenza annuale o biennale un libro che verrà venduto e i cui proventi verranno dati in beneficenza.
E’ senza dubbio un progetto ambizioso che vuole colmare un gap nell’editoria informatica e vedrà coinvolti diversi attori nel mondo della sicurezza IT, grazie anche al patrocinio di sikurezza.org.

Da informazioni non ufficiali, Apple ha implementato nel proprio DHCP server e client presente in Mac OS X 10.5 l’opzione 95 che è descritta nel mio Internet Draft “DHCP Option for LDAP Directory Services discovery” per il rilascio di informazioni inerenti alla replica LDAP di Open Directory più vicina al client. Visto che il progetto era stato ostacolato da grosse aziende concorrenti ad Apple, per me questa è una grande soddisfazione.

Il sito è stato spostato in una server farm più potente con 100 Mbit/s di connettività. Ringrazio Gianluca Varisco per la gentile ospitalità sui suoi sistemi …

Milano, Sabato 18 Ottobre 2008 – Sono stato relatore a SMAU 2008 con una confenza dal titolo “Proteggere i files sensibili da accessi non autorizzati: case study“.

Un buon numero di persone ha partecipato attivamente all’intervento: non mi aspetttavo certamente una sala così numerosa. Estratto dal whitepaper “Proteggere i files sensibili con SE-Linux”, ho voluto illustrare il progetto eseguito presso un’agenzia governativa. Ho anche provveduto a fare una demo sulle potenzialità del sistema messo in produzione, facendo vedere che anche diventando l’utente root non era possibile accedere in nessun modo ai documenti sensibili.

E’ possibile scaricare le slides da questo link, oppure andando nella sezione pubblicazioni di questo sito. Grazie a tutti quelli che sono intervenuti nella sessione.

Un piccolo addendum al whitepaper “Proteggere i files sensibili con SE-Linux”.

Se vi ricordate, uno dei problemi principali era il fatto di non poter concedere attraverso sudo tutti i privilegi di root, perchè il super user poteva disabilitare le protezioni SE-Linux tramite il comando setenforce oppure disabilitare l’audit tramite il comando auditctl.

Dopo alcune prove, ho scoperto che posso proteggere auditctl e setenforce in una maniera analoga a come avevo protetto la directory dei documenti /documents, ovvero l’uso degli stessi MLS. Nel mio caso, ho creato un secondo livello MLS che ho chiamato Serights e l’ho inserito in /etc/selinux/targeted/setrans.conf:

s0:c4=Serights

Poi, tramite chcat, ho protetto i due comandi:

chcat +Serights /usr/sbin/setenforce

chcat +Serights /sbin/auditctl

Ho reso permanenti questi files ad un relabel inserendo nel file “docsecret.fc” le seguenti righe:

/usr/sbin/setenforce        gen_context(system_u:object_r:sbin_t,s0,c4)

/sbin/auditctl              gen_context(system_u:object_r:auditctl_exec_t,s0,c4)

Ho poi permesso ad un utente, es: l’utente secofr (=security officer), di poter abilitare/disabilitare selinux con:

chcat -l +Serights secofr

Ovviamente, sempre da quello descritto nel paper, l’utente secofr è stato aggiunto nel gruppo wheel. In questo modo solo collegandosi come secofr e poi facendo “su -” si potrà disabilitare selinux, oppure collegandosi a root da console.
Tanto per essere un po’ piu’ paranoici …

Oggi rilascio pubblicamente il whitepaper dal titolo Proteggere i files sensibili con SE-Linux.

Tratto dall’esperienza di un caso reale, il documento descrive come proteggere alcuni files sensibili (nel caso in questione dei PDF) da accessi non autorizzati utilizzando i sistemi ad accesso mandatorio (MAC) tipicamente utilizzati in ambienti militari.

La particolarità di questo documento è la metodolgia utilizzata in quanto i sistemi MAC sono tipicamente difficili da amministrare. Sono riuscito a trovare una formula per coniugare la necessità di riservatezza di files, proteggendoli anche dalle utenze di amministrazione, senza però introdurre troppe complicazioni di gestione. Un sistema protetto da SE-Linux è molto difficile da amministrare, ed è raro trovare competenze in questo ambito, ad esempio io sono l’unico in Europa per Red Hat. Attraverso la personalizzazione di SE-Linux e di alcune configurazioni del sistema operativo, sono riuscito ad ottenere un ottimo compromesso tra sicurezza/riservatezza e gestione.

Potete scaricarlo gratuitamente dalla sezione pubblicazioni. L’annuncio ufficiale con la press release è disponibile qui.

Buona lettura e buone vacanze a tutti!