Riflessioni di Settembre (su PGP) …

Spesso i clienti mi espongono i loro problemi relativi alla privacy, ad esempio delle e-mail aziendali o dei files su disco. Anche se i certificati X.509 (SSL) si stanno largamente diffondendo, essi rimangono comunque legati ad un concetto gerarchico basati sulla “fiducia” di una Certification Authority che mette “il bollino di garanzia” sui certificati. Il problema è che non sempre le Certification Autorities verificano l’identità del richiedente e spesso in alcune realtà aziendali l’utilizzo di forme gerarchiche aumenta la complessità di gestione.

Sebbene inventato nel 1991 prima di X.509, PGP adotta un concetto di peer-2-peer che -a mio avviso- semplifica spesso la gestione della crittografia non solo all’interno della propria azienda, ma anche tra individui e entità diverse tra loro, pur mantenendo alti standard di sicurezza. PGP si basa infatti sullo stesso meccanismo a chiave pubblica/privata (RSA, IDEA e altri) su cui è basato anche la crittografia X.509.

Personalmente apprezzo in PGP la possibilità di criptare un testo o un file con più di una chiave, ad esempio utilizzando -oltre alla propria- anche una chiave di sicurezza che viene tenuta in un CD in cassaforte (o un key recovery agent).

Prendiamo il seguente esempio complesso che mi è stato sottoposto da un importante ente pubblico. Il presidente vuole criptare alcuni files, ma vuole contemporaneamente farne un backup in caso di smarrimento/furto del portatile, e vuole far si che se viene persa la smartcard possa sempre recuperare il file. L’utilizzo della crittografia del disco non proteggerebbe il file in caso di backup su un server, e lo smarrimento della smart card o della password renderebbe inutilizzabile il portatile e i documenti in essa contenuti. PGP può aiutarci in questo esempio perche la crittografia viene applicata a livello di file (quindi protegge anche il file sul server) e un eventuale smarrimento della smartcard può essere sopperita utilizzando il CD di emergenza in cassaforte.

Sarebbe utile poter implementare la crittografia PGP come alternativa al più gerarchico X.509: in questo modo si delega all’utente finale la creazione ed il mantenimento delle chiavi. Se qualcuno vuole poi parlare di verifica dell’utente, è sempre possibile pubblicare le chiavi su un keyserver privato e metterle di default in “disable”, finchè una persona di fiducia (ad es. il Security Officer designato) non le verifichi di persona.

Completato il trasferimento del sito

Il sito internet www.gpaterno.com è stato incorporato in blog.gpaterno.com per una migliore gestione dei contenuti. Il vecchio sito internet sarà ancora accessibile sul mirror francese gpaterno.free.fr, ma non verrà più mantenuto.

Ci vorrà qualche giorno prima che le nuove pagine siano re-indicizzate dai motori di ricerca. Aspetto i vostri commenti se trovate qualche inconsistenza. Grazie per la pazienza.

Sicurezza nell’Open Source e in Linux

Ho pubblicato le slides fatte presso il Ministero dell’Interno (Poizia di Stato) che trattano la tematica della sicurezza in ambito Open Source ed in particolare nel sistema operativo Linux. Le slides sono volutamente generiche e non riferite a Red Hat Enterprise Linux o ai prodotti Red Hat in generale, a richiesta del committente.

Le slides contengono i seguenti temi: filosofia del Defense in Depth, il processo di sviluppo Open Source e vantaggi di sicurezza rispetto ad un ambiente “closed”, sicurezza del sistema operativo (hardening e minimization), kernel security, SE Linux, autenticazione (smartcard e biometrica), autorizzazione e protezione applicativa.

Potete trovare il PDF seguendo questo link oppure nella pagina Pubblicazioni, sezione Presentazioni ed Interviste.

Ancora su virtualizzazione e sicurezza

Il mio whitepaper su “Virtualizzazione e Sicurezza” è stato pubblicato su Search Security, grazie anche all’intervento di Chiara Possenti di Axicom che cura Red Hat. Di seguito il link alla pagina:

http://searchsecurity.techtarget.it/01NET/HP/0,1254,18_ART_78581,00.html?lw=19;CHL

Una piccola precisazione sull’argomento, visto che il post su Sikurezza.org ha generato un piccolo flame. Parlando con alcuni colleghi di Red Hat, in primis Daniel Walsh, posso affermare che l’Hypervisor rappresenta il punto debole della catena che potrebbe essere attaccato. L’Hypervisor gira a ring0 ed ha le stesse problematiche di sicurezza di quanto potrebbe essere una interfaccia di management (es: una ILO). Se viene usata la full virtualization, in pratica un attaccante non può fare nulla, in quanto non esiste comunicazione tra l’Hypervisor ed il sistema operativo guest. Se viene usata la para virtualization, l’Hypervisor comunica con il sistema operativo guest solo a livello di device drivers, che gira a ring1 o a ring3 a secondo delle piattaforme (i386 la prima e x86_64 la seconda). La shared memory non viene condivisa tra i domini, a meno che non venga specificata e forzata.

Consiglio la lettura di un whitepaper del nome “Building a MAC-Based Security Architecture for the Xen Open-Source Hypervisor” del centro i ricerca TJ Watson di IBM. Praticamente si tratta di un sistema MAC alla stregua SELinux applicata a Xen. L’infrastruttura sHype, così si chiama l’Hypervisor definita in questo whitepaper, è stata già inserita nel tree vanilla di Xen, anche se Red Hat si sta rientando verso XSM (Xen Security Module) nello stile di LSM (Linux Security Module).

Whitepaper sulla virtualizzazione e sicurezza

Finalmente sono riuscito a pubblicare questo piccolo whitepaper che era pronto da Dicembre 2006, ma che purtroppo gravi problemi personali hanno costretto a posticipare la pubblicazione.

Il documento vuole essere uno spunto di riflessione su come utilizzare la virtualizzazione come metodologia di sicurezza in un’ottica “defense in depth” e come possa essere introdotta in un processo di sicurezza.

Il whitepaper è scaricabile dalla questo link: http://www.gpaterno.com/publications/2007/virtualizzazione_e_sicurezza.pdf